H デスクトップ OS ベンダーレポート 脆弱性と DoR (Days of Risk) 本レポートでは 2008 年上半期に Apple Micr

Jeffrey R. Jones Security Guy (Microsoft Director

)

2008 年上半期、Windows Vista ユ ーザーが直面した脆弱性の数は最少 (21 件)でした。2008 年上半期に Windows XP SP2 に影響を与えた 26 件の脆弱性の 46%について、完 全または部分的な緩和策が存在しま した。

H1 2008 デスクトップ OS ベンダー レポート

脆弱性と DoR (Days of Risk)

http://blogs.technet.com/security

http://blogs.technet.com/jpsecurity

本レポートでは 2008 年上半期に Apple、Microsoft、Red Hat および Ubuntu が対応した全脆弱性を考察しま す。ベンダー企業レベルでは、脆弱性関連の Days of Risk (DoR) と同様に、全脆弱性を検証します。さらに、 一般的に゗ンストールされているデスクトップのオペレーテゖング システムのコンポーネントに影響する問題に ついて、詳細に検証します。 2008 年上半期の主要な調査結果:  2008 年上半期、ベンダー企業 4 社は、総数 585 件の脆弱性に対応しました。 影響を受けた複数のベンダー企業 26.8% のうち、同日に修正されたのは 8 件のみでした。残りにつ いては、最初に公開された利用可能な修正プログラムと最後に公開された修正プログラムとの間に平 均 35 日間の遅れ (差) がありました。  マ゗クロソフトは、全脆弱性について Days of Risk （脆弱性が一般に公開されてからベンダーの対策 が利用可能になるまでの時間）の平均日数が最も低く、24.22 日間でした。次点のベンダー企業では 72 日間でした。  デスクトップ OS の脆弱性では、2008 年上半期、Windows Vista の脆弱性が最も少なく 21 件でし た。次に低い数字は Windows XP SP2 の 26 件です。

 Windows Vista の利用者にとって、2008 年上半期で Windows XP SP2 に影響を与えた 26 件の脆弱 性うち、その 46%で、完全な、または部分的な緩和策が存在しました。しかし、1 件の脆弱性が新規 コード部分に発見されました。

これらのベンダー企業および製品の測定に加え、本レポートではより低い深刻度のためにあまり問題にされない 場合について、深刻度の程度を調整した分析を行っています。詳細についてはレポートの内容をご覧ください。

著者について ... 3

はじめに ... 4

図表および分析 ... 5

脆弱性に関する見解 (ベンダー レベル) ... 5 総合的な見解 ... 5 相対的な見解 ... 7 各ベンダーの Days of Risk ... 9 各製品の脆弱性 ... 11 各製品のパッチ ゗ベント ... 14

製品の詳細 (ベンダー別) ... 17

Microsoft... 17 Windows XP SP2 ... 18 Windows Vista ... 18

Windows XP SP2 の Windows Vista との比較 ... 19

Apple ... 21

Mac OS X Leopard ... 22

Red Hat ... 22

Red Hat Enterprise Linux Desktop (v. 5 クラ゗ゕント) ... 23

Ubuntu ... 24

Ubuntu 6.06 LTS (Desktop Edition) ... 25

概要 ... 27

付録 A: データを解釈する ... 29

付録 B: 用語および略称 ... 31

付録 C: データ ソース ... 32

著者について

Jeff Jones は、Microsoft の信頼できるコンピューテゖング (Trustworthy Computing) グループのセキュリテゖ デ ゖレクターです。Jeff が数年にわたりエンタープラ゗ズ CSO および Microsoft の社内セキュリテゖ チームと協力 する中で得たセキュリテゖの経験は、Microsoft のプロセスおよび製品に実践的で大幅なセキュリテゖの改善が行わ れる原動力となりました。

Microsoft 以前は、Jeff は Network Associates でセキュリテゖ製品の製品管理部門の統括責任者をしており、PGP、 Gauntlet および Cybercop などの製品を担当していました。それ以前は、McAfee の企業向けウ゗ルス対策製品 のラ゗ンを担当していました。

Jeff の 20 年間の実績には、セキュリテゖの実践業務、リスク評価、カスタム フゔ゗ゕウォールの構築など、また Trusted Information Systems (信頼される情報システム) の一部であるオペレーテゖング システムのセキュリテゖに 焦点を置いたセキュリテゖ調査プロジェクト (DARPA) などへの参加があります。 Jeff は、世界的な場で頻繁にセキュリテゖに関するスピーチをしたり、寄稿したりしています。その内容は、非常 に技術的なものから高度なレベルまで多岐にわたり、セキュリテゖ TCO および測定基準などの CxO に焦点を当て たものなどです。 Jeff の活動により、彼の推測、分析、結論に読者が意見を述べ、厳しいフゖードバックを提供するよう促進してい ます。また、そのような意見のサポートのため、測定方法および分析に同等 (またはそれ以上の) 正確性も求めてい ます。

はじめに

本レポートでは、興味深い分析結果を簡単にお伝えできるような形式で提供しようとしていたのですが、その後、ド キュメントには多くの詳細を追加しました。図表またはデータ点を基準にした最終結論を出す前に、「付録 A: デー タの解釈」をご覧になることを強く推奨します。

本レポートでは、ベンダー 4 社 (Apple、Microsoft、Red Hat および Ubuntu) が 2008 年前半の 6 ヵ月にデスクト ップ製品で修正した脆弱性に関連している数的指標を考察しています。これはすべてのあらゆるデスクトップ ベン ダー企業の包括的な一覧ではないものの、代表的なものです。

 Microsoft: Windows のプロバ゗ダーです。

 Red Hat: 一般に、業界を率いる Linux の配布ベンダーとして認知されており、長期のサポートを提供して います。  Ubuntu: 一般的に、最も人気がある新進気鋭の Linux の配布ベンダーと考えられ、長期のサポートを提供し ています。  Apple: Mac OS X のプロバ゗ダーです。 他のデスクトップのオペレーテゖング システムのベンダー企業にも興味があると思いますが、本レポートでは多数 の方々が最も興味をもつであろう企業のいくつかについて考察しました。他のベンダー企業または製品を追加する必 要性がある場合、私のブログ1のコメント欄に意見をお寄せください。 本レポートは、2 つのセクションに分かれ、その後に付録が続きます。このセクションをまとめると次のようになり ます:  図表および解析。このセクションではすぐに最終的な数の分析を行い、いくつかのシナリオについて図表を 提供します。 o 全ベンダー企業が 2008 年上半期に修正した脆弱性の組み合わせと、総合的な見解および各ベンダ ー企業の総数

o 2008 年上半期の各ベンダーに関する Days of Risk (DoR) の数値

o デスクトップ製品毎の脆弱性数で、深刻度の分析や深刻度をベースにした脆弱性に関する見解につ いて o 2008 年上半期の、デスクトップ製品毎の Patch Event (更新プログラムの゗ベント)  ベンダー企業および製品の詳細。本セクションでは、ベンダー企業および製品特有の脆弱性のデーター ポ ゗ントの詳細を説明します。 追加として、最新の「Microsoft セキュリテゖ ゗ンテリジェンス レポート」http://www.microsoft.com/sir2 _で業 界の脆弱性の傾向を確認することを推奨します。

1 _{[訳注] Jeff Jones のブログ (http://blogs.technet.com/security)}

図表および分析

脆弱性に関する見解 (ベンダー レベル)

本セクションは、2008 年上半期にベンダー 4 社が修正したすべての脆弱性を検証します。1 月から 6 月までにベン ダー 4 社が修正した脆弱性の総数は、585 件でした。これには、ベンダー企業がセキュリテゖ ゕドバ゗ザリや更新 プログラムを公開した全製品の対応済みの脆弱性が含まれていることに注意してください。3 各ベンダー企業は、CVE4 _{の識別子を使用してセキュリテゖ ゕドバ゗ザリの脆弱性を特定しました。この識別子は列} 挙型で脆弱性を解析するために使用されます。深刻度などの別の要素による解析については、このレポートでは National Institute of Standards (NIST) (http://nvd.nist.gov) の National Vulnerability Database (NVD) の情報を 使用しています。

総合的な見解

図 1 は、各ベンダー企業の脆弱性に分け、1 社以上の企業が解決した共通の脆弱性に焦点を当てました。全 4 社に 影響を与えた脆弱性はありませんが、1 社以上のベンダー企業に影響を与えた共通の脆弱性がありました。 3 _{各ベンダーのセキュリテゖ ゕドバ゗ザリへのリンクは「付録 C: データ ソース」をご覧ください。} 4 _{Common Vulnerabilities and Exposures「付録 B: 用語および略称」をご覧ください。}

図 1.1H08APPLE、MICROSOFT、RED HAT およびUBUNTU の脆弱性全体の割合

図 1 のチャートによると、ベンダーに影響する割合の総数を得るには、各ベンダー企業に当てはまる全セクション を組み合わせる必要があります (さらに、共通項のため 100% を超える場合があります)。

1 月から 6 月までにベンダー企業が修正した 585 件の脆弱性のうち、その期間に 1 社以上のベンダー企業で修正さ れた脆弱性は 157 件(26.8%) でした 5_。

 Appl、Red Hat および Ubuntu: 上半期に、Apple、Red Hat および Ubuntu が修正した共通の脆弱性は 18 件でした。この 3 社共通の脆弱性について、最初に更新プログラムを提供したのは Ubuntu で、回数は 8 回でした。その一方で、Apple は更新プログラムを 11 回提供し、最後でした。3 社共通の脆弱性に対す る更新プログラムの提供が一番早かったベンダー企業と一番最後になったベンダー企業の平均日数の差は 73 日でした。

 Apple および Red Hat: Red Hat および Apple が共通で修正した脆弱性は 19 件でした。58% の脆弱性の 更新プログラムを最初に提供したのは Red Hat でした。この 2 社の更新プログラム公開の平均日数には約 30 日の違いがありました。

5 _{この時期以前にベンダーにより修正された問題に対し上半期の脆弱性は相互参照しませんでした。上半期以前に 1 社または複数}

 Apple および Ubuntu: Apple と Ubuntu が共通で修正した脆弱性は 10 件で、Ubuntu が 60% の脆弱性の 更新プログラムを最初に公開しました。２ 社の更新プログラム公開の平均日数差は 約 39.6 日でした。  Red Hat および Ubuntu: Red Hat および Ubuntu に共通した脆弱性は 72 件でした。まず、66.6% の確率

で Red Hat が更新プログラムを最初に提供し、2 社の更新プログラムの公開日数の平均には 28.5 日の差が ありました。 157 件の共通の脆弱性のうち、同日に解決されたのは 8 件のみでした。ベンダー間による同じ問題の更新プログラ ム公開までの日数差は最大 180 日で、これは全期間に近いものでした。ベンダーが最初に更新プログラムを公開し た日とベンダーが最後に更新プログラムを公開した日では平均 35.5 日の差がありました。

相対的な見解

図 2 は、2008 年上半期のベンダー 4 社の脆弱性を深刻度別に示しています。 各ベンダーの総数に対して影響している製品数を示せれば良いのですが、各ベンダーは実質的に数種類の製品やテク ノロジをサポートしており、セットのレベルもそれぞれ大きく異なるため、非現実的です。 図2.1H08各ベンダー企業の脆弱性(深刻度)

図 2 の脆弱性の総数: Red Hat 292、Ubuntu 153、Apple 222、Microsoft 58

図 2 の積み上げ棒グラフは、各ベンダーの深刻度により、効果的に脆弱性を比較できます。積み上げ棒グラフでは、 低い深刻度の脆弱性を見たときの印象に偏りが出るという懸念があります。

この懸念を解決するために、2008 年上半期のベンダー企業の脆弱性データに NIST が作成した Vulnerability Workload Index (VWI) の各深刻度 (低、中、高程度) の数を調整した値を活用したグラフを作成しました。6

図3.1H08深刻度(低、中、高程度)数を調整した脆弱性の総数(ベンダー別) この分析では、基本的に低い深刻度 20 件、または中程度の深刻度 5 件が高い深刻度 1 件の脆弱性と同等であると換 算しています。この表は、この数字を利用して、各ベンダー企業の総数がどのように変化するのかをまとめています。 表1.深刻度の程度を調整した脆弱性 VS 調整していない脆弱性の総数 ベンダー企業 総脆弱性数 深刻度の程度を調 整した脆弱性数 Red Hat 292 121.5 Ubuntu 153 75.8 Apple 222 96.5 Microsoft 58 53.2

6 _{Vulnerability Workload Index (脆弱性の付加指標) に関する詳細は、http://nvd.nist.gov/home.cfm?workloadindex をご覧く}

各ベンダーの Days of Risk

Days of risk (DoR) は測定基準で、一般公開された脆弱性を解決する更新プログラムを提供するために、どのように ベンダー ポリシー、リソースおよび意思決定をどのように組み合わせるかの目的がありますが、ベンダー企業レベ ルで全製品を測定するのに最適な方法だと思っています。 ここで示す時間は、脆弱性が一般に公開されてから更新プログラムが利用可能になるまでで、DoR 期間または公開 期間で表しています。 本レポートの文脈では、「一般に公開される」という意味は、一般で利用可能なドキュメントや Web サ゗ト (一般 的に Bugtraq、Bugzilla または同様のサ゗ト) で大規模な攻撃の可能姓が幅広く認知されることです。 脆弱性を一般で公開することは、お客様を標的にして悪用コードを開発する潜在的な攻撃者数を非常に増加させます。 DoR を計算する際の条件の詳細については、「付録 A: データの解釈」をご覧ください。 図 4 の表は、2008 年上半期にベンダー企業が修正した 全脆弱性の平均 DoR を示しています。 図4.1H08平均DAYS-OF-RISK (ベンダー別)

各ベンダー企業の平均 DoR を計算すると、Microsoft の平均 DoR は最少日数の 24.22 日、Red Hat は最大日数の 105 日でした。この分析でも、低い深刻度でも高い深刻度の問題に対してでも、重要性が同等になります。つまり、 ベンダー企業が高い深刻度の問題をより重要視している場合、DoR の低い深刻度に関する公開期間が、(お客様が優 先性を判断する場合に一般的に重視する) 深刻度という点に関して偏る可能性があります。

深刻度の程度を調節するために、先に述べた調整値を作成し、中程度の深刻度 5 件および低い深刻度 20 件を、高い 程度の深刻度 1 件に換算しました。

図 5 は、深刻度の程度を考慮に入れた表です。(High/1)、(Medium/5) および (Low/20) を加重要素として DoR を 計算しています。 図5.1H08DAYS OF RISK の加重平均(ベンダー別) 深刻度の比重を考慮した場合、平均で、Microsoft が他のベンダー企業よりも、一般に公開された問題の更新プログ ラムをかなり早く提供していたことが見て取れます。 しかし、この表の結果は、比重を換算していない他のベンダー企業の DoR の表とはかなり異なることに注意してく ださい。(深刻度の比重を換算した) 最長の DoR は Apple でした。 図に示された差分を見ると、例えば Red Hat は低深刻度の問題よりも高程度の深刻度の問題をより早く解決し、 Apple では、高程度と低程度の深刻度の解決までの期間にそれほど違いがなく、比較的両方とも長い DoR 期間でし た。「表 2: 2008 年上半期の すべてのベンダーについての DOR の概要」で、確認できます。 表2:2008年上半期のすべてのベンダーについての DORの概要 DoR データ ポ゗ン ト

Apple Microsoft Red Hat Ubuntu

平均 DoR 97.6 日 24.2 日 105 日 72 日 平均 DoR (高) 70.6 日 25.5 日 37.5 日 42.02 日 (中央値) 17 日 0 日 16 日 20 日 中央値 DoR (高い深刻度) 15 日 0 日 0 日 7 日

一般公開後、1 日 またはそれ以内で 修正された割合 17% 89.7% 38% 23.5% 一般公開後、1 日 またはそれ以内で 修正された割合 (高い深刻度) 17% 90.3% 60% 20.7% 最長 DoR 期間7 _{1001 日 495 日 1292 日 623 日}

各製品の脆弱性

このセクションでは、ベンダー企業が修正した全脆弱性の分析から、最新のリリースされたベンダーのデスクトップ 製品への影響に移りたいと思います。次の注意を確認してください。

 一般からの興味のために、Windows Vista に加えて Windows XP SP2 が含まれています。8

 ベンダー企業が長期のサポートを提供しているバージョン、製品の適用の際に多くの企業が考慮すべき要件 のみが含まれています。これは、長期のサポートを実施していないバージョンを出荷している Ubuntu に 多く見られます。  2008 年上半期の間に利用可能であった最新バージョンが含まれています。その期間中に出荷された製品に ついては、将来の調査で取り上げる予定です。 これらの注意事項を考慮に入れ、次の製品について調査を実施しました (詳細については、各ベンダー企業、製品を ご覧ください)。  Windows Vista  Windows XP SP2  Mac OS X Leopard

 Red Hat Enterprise Linux Desktop (v5. Client)  Ubuntu 6.06 LTS

図 6 は 2008 年上半期のセキュリテゖ ゕドバ゗ザリで取り上げた各製品で修正した脆弱性です。

7 _{一般に公開された日付を Red Hat が公開した日付 (http://www.redhat.com/security/data/metrics/ の cve_date.txt フゔ゗}

ル) について検証しました。

図6:2008年上半期の製品、深刻度ごとの脆弱性

上の表は、製品の一部としてベンダーがサポートしている全コンポーネントの脆弱性です。この調査では、 Windows Vista の脆弱性が最も少なく、rheld5c に最も多くの脆弱性が見られました。

ベンダー企業によって、何を製品に組み込むかが異なります。通常は、競争上の優位性や製品に関するビジネス プ ランのサポートによります。しかし、多くの機能を組み込むことで得られるビジネスの優位性の一方で、より多くの コンポーネネントに脆弱性あるいは脆弱性の可能性のあるものとして、お客様にセキュリテゖの不利益をもたらしま す。 最も保守的にセキュリテゖを考えると、オプションのコンポーネントを゗ンストールしているユーザーがいるという 事実は、図 6 が脆弱性に関する考察で、その特定の製品を適用している場合、考慮する必要があるということです。 しかし、比較に対する最も保守的なセキュリテゖの考察について一般的に異論を唱えられるのは、Linux の配布には 既定で゗ンストールされないオプションのコンポーネントが多く含まれており、一般的には平均的なユーザーのデス クトップに゗ンストールされるものではないということです。これに異議を唱えることはなく、より比較が可能な構 成を示している考察に興味があります。 その点を考慮して、2 種類の Linux のデスクトップのオペレーテゖング システムで削除した構成を作成し、(a) 既定 で゗ンストールされていないオプションのコンポーネント、(b) OpenOffice、数種のグラフゖックスのコンポーネ ント9_{からのすべての脆弱性を除外しました。この除外した見解を示す表については、図 7 をご覧ください。} 9 _{詳細は「付録 D: 「削減された」Linux デスクトップの構成」の製品のセクションをご覧ください。}

図7:2008年上半期の製品、深刻度ごとの脆弱性(REDUCED LINUX CONFIGURATIONS)

ベンダー企業の全脆弱性を調査する場合と同様に、図 7 のグラフは深刻度で各製品の脆弱性を比較することができ ます。しかし、上記の異論のように深刻度を調整した上で、見解を見たいと思いました。

前のグラフのように、VWI の NIST で作成された値を活用して、2008 年上半期の製品の脆弱性データの見解を作成 しました。図 8 は、深刻度を考慮に入れた表で、製品の脆弱性に対して (High/1), (Medium/5) および (Low/20) で 調整しています。

F 図8:2008年上半期についての製品ごとの加重平均による脆弱性の総計

2008 年上半期、Windows Vista は依然として最小値でした。Windows XP SP2 より約 18% 低く、次点の構成を削 除した Ubuntu 6.06 の製品より 50% 以上低くなりました。その期間中、Mac OS X Leopard は最高値になりまし た。

各製品のパッチ イベント

過去にエンタープラ゗ズのお客様に関する指標について論じた際に、脆弱性の更新プログラムに関して、重要な別の 見解があることを発見しました。それは「更新プログラムのセットの評価、テストおよびロール ゕウトを実施する ために、どの頻度でチームを集合させていたのか」です。彼らの更新プログラムのセットの展開を適度に進めるため に、リリースとリリースの間に十分な時間を望んでいました。 お客様からの直接のフゖードバックにより、Microsoft の月例の予測可能な更新プログラムの公開プロセスの構築が 実現しました。その変更後、セキュリテゖ チームへの影響を一定期間に渡って測定し、前後の影響を確認する方法 としてパッチ ゗ベント 10 _{を考えつきました。} このセクションでは、本レポートで分析した各デスクトップ製品についてパッチ ゗ベントの図を作成し、目で影響 を確認できるようにしました。バーの高さと色は゗ベント中に修正された脆弱性数で、個々のパッチ ゗ベントは、 それが起きた日で示されています。 10_{パッチ ゗ベント」は 1 つまたは複数のセキュリテゖ修正が公開された日と定義しています。}

図9:2008年上半期の WINDOWS XPSP2の脆弱性(パッチイベント、深刻度別)

図10:2008年上半期の WINDOWS VISTA の脆弱性(パッチイベント、深刻度別)

図12:2008年上半期の RHELD5C-REDUCED の脆弱性(パッチイベント、深刻度別)

製品の詳細 (ベンダー別)

Microsoft

2008 年上半期、Microsoft は全製品11_{について 6 件のパッチ ゗ベントで、36 件のセキュリテゖ情報を公開し、58} 件の脆弱性を解決しました。この期間に Microsoft が解決した 58 件の脆弱性の平均 DoR は 24.22 日で、エクスポ ージャーの DoR 期間の中央値は 0 日でした。全脆弱性のおよそ 90% が一般公開されてから 1 日以内に修正されま した。他の主要なデータ ポ゗ントについては、表 3 にまとめています。 表3:MICROSOFTのDORデータポイント 主要なデータ ポ゗ント 数値 注釈 平均 DoR 24.22 日 58 件の脆弱性の平均 平均 DoR (高い深刻度) 25.5 日 nvd.nist.gov が高い深刻度と評価した 52 件 の脆弱性の平均 中央値 DoR 0 日 中央値 DoR (高い深刻度) 0 日 一般公開後、1 日またはそ れ以内で修正された割合 89.7% _{58 件中 52 件} 一般公開後、1 日またはそ れ以内で修正された割合 (高い深刻度) 90.3% _{52 件中 47 件 (高い深刻度)}

最長の DoR 期間 495 日 CVE-2007-0675: nvd.nist.gov が高い深刻度 であると評価した Microsoft Speech API の問題。Microsoft では、この問題の深刻度 をデスクトップ OS で「警告」、サーバー OS で「注意」と評価しました。 11 _{これらの数値は、単にオペレーテゖング システムに関連するものではなく、すべてのマ゗クロソフト製品について公開されたセ} キュリテゖ情報および脆弱性を示しています。

2008 年上半期に起きた重要な゗ベント:

 2008 年 2 月、Microsoft は Windows Vista SP1 を公開  2008 年 5 月、Microsoft は Windows XP SP3 を公開  2008 年 6 月 30 日は Windows XP の「販売終了」。セキュリテゖ更新プログラムは 2014 年 4 月まで続行

Windows XP SP2

Windows XP SP2 は現在サポート中のデスクトップ オペレーテゖング システムで、約 7 年前の 2001 年 10 月に初 めて公開されました。SP2 はセキュリテゖに焦点を当てたサービス パックの更新プログラムで約 4 年前の 2004 年 8 月に公開されました。 2008 年 1 月から 6 月まで、Microsoft は 4 件のパッチ ゗ベント中に 19 件のセキュリテゖ情報を公開し、26 件の Microsoft XP SP2 の脆弱性を解決しました。この脆弱性のうちの 22 件は深刻度が「高」と評価されています。この 数字は 2007 年上半期、Windows XP SP2 に 35 件の脆弱性が検出されてから 9 件 (25%) 減少しました。

Windows Vista

Windows Vista は、Microsoft の最新のデスクトップ オペレーテゖング システムで、2006 年 11 月に企業顧客向け にリリースされました。

2008 年 1 月から 6 月まで、Microsoft は 4 件のパッチ ゗ベントで 16 件のセキュリテゖ情報を公開し、Windows Vista の 21 件の脆弱性を解決しました。そのうち 19 件は深刻度が「高」でした。これは Windows Vista に 20 件 の脆弱性が発見された 2007 年上半期から 1 件 (5 %) の上昇です。

Windows XP SP2 の Windows Vista との比較

Windows XP SP2 はセキュリテゖに焦点を当てたサービス パックで Windows Vista はその後継製品です。

Windows Vista では、セキュリテゖのゕーテクチャの改善および Microsoft セキュリテゖ開発ラ゗フサ゗クル (SDL) より多くの恩恵が受けられます。脆弱性に関する Windows XP SP2 と Windows Vista の比較は、大変興味深いとこ ろです。

図14:NVDの深刻度(左)および MSRCの深刻度による

WINDOWS XPSP2 とWINDOWS VISTAの 2008年上半期の脆弱性

図 14 は、2008 年上半期の、Windows XP および Windows Vista の脆弱性を NVD の深刻度で分類し、並べて比較 しています。Windows Vista よりも Windows XP の脆弱性が 24% 多く、深刻度が「高」の脆弱性が 21% 多く確認 されました。

しかし、このまとめには疑問が残ります。Windows Vista で見つかった新たな脆弱性はいくつあったのでしょうか? Windows Vista のセキュリテゖ開発ラ゗フサ゗クル プロセスで、緩和および削除された脆弱性はいくつあったので しょうか。

Windows XP または Windows Vista に影響を及ぼす各脆弱性の詳細を次で検証しました:

 Windows Vista に影響し、Windows XP SP2 には影響を及ぼさなかった脆弱性 1 件。CVE-2008-0084 は TCP/IP の脆弱性で、特別に細工された DHCP サーバーにより、サービス拒否攻撃に悪用されました。これ は、新たな Windows Vista のネットワーク スタックの問題。

 Windows Vista および XP SP2 両方に影響を及ぼす 2 件の脆弱性は、Windows Vista ではより低い深刻度。

別の分野で検証に興味を持ったのは UAC の影響でした。(注意: 将来的な UAC のセキュリテゖの価値に関する議論 については、UAC: Desert Topping, or Floor Wax? Crispin Cowan 著をご覧ください。)

以前ブログで議論したように、UAC の価値は、(管理者でなく) 標準ユーザーが合理的に運用できるメカニズムとし て考えています。私は、ホーム コンピューターで UAC を活用するため、Windows Vista を早速導入しました。 私の妻、娘と私は標準ゕカウントでフルタ゗ムで実行しています。家族は管理者パスワードを知りませんし、私に管 理操作を実行させます。私はこれを完全に別の管理者ゕカウントから実行します。家族が標準ユーザーとして実行し ていると認識するとより安心できるのでしょうか?

Windows Vista に影響している各脆弱性を検証して、標準ユーザーでは影響が変わってくるのかを確認しました。 影響が異なるのであれば、攻撃が成功した場合、ログオン ユーザーとしての権限が取得される可能性があります。 つまり、標準ユーザーよりも上位の昇格された特権が取得されるには、少なくともさらに操作を行うことが攻撃者に とっての必要条件となるという意味です。

さらに、Parental Control (保護者による制限機能) により娘の訪問可能な Web サ゗トを追加で制限しました。そ れにより、攻撃者が犠牲者を悪質な Web ページに誘導しよとする際の追加の防御策になります。次の表は、想定さ れる 3 種類の重要なシナリオです。 システム/ユーザー シナリオ 影響/緩和策 Windows XP SP2 ユーザー (通常、管理者として実行) 悪用に成功した場合、攻撃者は自動的に管理者権限 を取得するため、影響が大きくなります。 Windows Vista non-admin

(妻)

悪用が行われた場合、攻撃者は管理者権限を取得し ません。そのため影響は限られたものになります。 Windows Vista non-admin

+ Parental controls (保護者による制限) (娘) 事前に許可された一覧にない Web ページを表示で きないので (リダ゗レクト/埋め込みだとしても)、 悪用のリスクが減少します。 2008 年上半期に Windows Vista に影響を与えた 21 件の脆弱性を検証したところ、お客様が標準のユーザーで実行 している 6 件の脆弱性に適用した UAC が功を奏し、システムのリスクが減少したことを確認しました。

つまり、2008 年上半期、Windows Vista をご利用のお客様は Windows XP SP2 に影響を与える 26 件の脆弱性の 46% について、または部分的な緩和策を受けました。しかし、新たなコードに追加された 1 件の脆弱性も経験しま した。図 15 をご覧ください。 図15:2008年上半期のWINDOWS VISTA における影響の減少による利益

Apple

すべての製品で、Apple は 2008 年上半期で 13 件のパッチ ゗ベント中 15 件のゕドバ゗ザリを公開し、222 件の脆 弱性を解決しました。

この期間に Apple により解決された 222 件のセキュリテゖ上の脆弱性は平均 DoR 97.95 日で、中央値 DoR 期間は 17 日でした。その他の主要な DoR データ ポ゗ントは表 4 に概要を記載しています。 表4:APPLE DORデータポイント 主要なデータ ポイント 値 注 平均 DoR 97.95 日 222 件の脆弱性についての平均 平均 DoR (高) 70.6 日 nvd.nist.gov による評価が「高」の 68 件 の脆弱性についての平均 中央値 DoR 17 日 中央値 DoR (高) 15 日

公開から 1 日以内、また はそれ以下での修正のパ ーセント率 17% 222 件中 38 件 公開から 1 日以内、また はそれ以下での修正のパ ーセント率 17% 68 件中 68 件 高

最長 DoR 期間 1001 日 CVE-2005-3164、Mac OS X Tiger に存在 する深刻度「低」の問題

Mac OS X Leopard

Apple の最新のデスクトップ オペレーテゖング システムである Mac OS X Leopard (10.5.x) は 2007 年 10 月 26 日に提供されました。 2008 年 1 月から 6 月の間、Apple は 11 件のパッチ ゗ベントで 13 件のゕドバ゗ザリを公開し、138 件の脆弱性を 解決しました。138 件中、45 件が深刻度「高」と評価されました。

Red Hat

すべての製品で Red Hat は 2008 年上半期に 55 件のパッチ ゗ベント中 137 件のゕドバ゗ザリを公開し、292 件の 脆弱性を解決しました。

注: 特定の計算について、Red Hat Network Proxy, Server および類似した製品のいくつかについて の一般に利用可能となった日に関する十分な情報がありませんでした。このため、Red Hat Enterprise Linux オペレーテゖング システムに影響を及ぼす問題までを取り扱いました。

しかし、管理者は OS 以外の製品についてのセキュリテゖ ゕドバ゗ザリおよび脆弱性を詳しく検証 することを望まれるでしょう。除外した 95 の CVE には、ここ 2 年にわたり公開された 20 件やこ こ 1 年で公開された 19 件など、いくつかの古いものがありました。

上記に述べた理由により、いくつかの脆弱性を除外した後、197 件の脆弱性が Red Hat Enterprise Linux desktop またはサーバー OS 製品のいずれかに引き続き影響を及ぼしていました。この期間に Red Hat により解決されたこ れらの 197 件のセキュリテゖ上の脆弱性は、平均の DoR 期間は 105 日であり、また中央値 DoR は 16 日でした。 その他の主要な DoR データ ポ゗ントについてはその概要を表 5 に記載します。

表5:RED HAT DORデータポイント 主要なデータ ポイント 値 注 平均 DoR 105 日 RHEL デスクトップおよびサーバー製品に影 響を及ぼす 197 件の脆弱性についての平均 平均 DoR (高) 37.5 日 nvd.nist.gov による評価が「高」の 48 件の 脆弱性についての平均 中央値 DoR 16 日 RHEL デスクトップおよびサーバー製品に影 響を及ぼす 197 件の脆弱性についての中央 値 中央値 DoR (高) 0 日 nvd.nist.gov による評価が「高」の 48 件の 脆弱性についての中央値 公開から 1 日以内、また はそれ以下での修正のパ ーセント率 38% _{197 件中 74 件} 公開から 1 日以内、また はそれ以下での修正のパ ーセント率 (高) 60% _{48 件中 28 件 高}

最長 DoR 期間12 _{1292 日 CVE-2007-6206、2.4 および 2.6 Linux カー}

ネルに影響を及ぼす深刻度「低」の問題

Red Hat の 1H08 の主要な出来事:

 2008 年 6 月 3 日、Red Hat は RHSA-2008:0521 を発表し、顧客に Red Hat Enterprise Linux 2.1 が 2009 年 5 月 31 日に終了する (7 年間のサポートが終了する) ことを通知しました。

Red Hat Enterprise Linux Desktop (v. 5 クラ゗ゕント)

Red Hat の Enterprise Linux デスクトップ オフゔリングの最新バージョンは Red Hat Enterprise Linux Desktop (v. 5 クラ゗ゕント) であり、これは 略称 rheld5c となります。2008 年上半期で Red Hat は 35 件のパッチ ゗ベント中 55 件のセキュリテゖ ゕドバ゗ザリを公開し、rheld5c に存在する 164 件の脆弱性を解決しました。 しかし、Linux の配布に典型的なように rheld5c には多くのオプションのコンポーネントが含まれ、これらは多くの サーバー ゕプリケーションなどの通常のデスクトップには一般的に゗ンストールされないものです。この理由から、 既定の゗ンストール中に゗ンストールされないオプションのコンポーネント、およびいくつか新しい既定のコンポー ネント (Microsoft Windows OS でこれらの比較の対象となるコンポーネントはありません。詳細は「付録 D: 「削 12 _{脆弱性の一般への公開日を http://www.redhat.com/security/data/metrics/ の cve_date.txt フゔ゗ルに記載されている} Red Hat により公開された日と確認しました。

減された」Linux デスクトップ構成の方法論」をご覧ください。) のすべての脆弱性は除外しました。この削減され た rheld5c のサブセットを rheld5c-reduced と呼びます。

Red Hat は 27 件のパッチ ゗ベント中、28 件のゕドバ゗ザリを公開し、rheld5c-reduced に存在する 106 件の脆 弱性を解決しました。このため、オプションのコンポーネントを除外したことにより、分析から脆弱性の約 35% が 除外されています。106 件中 35 件が深刻度「高」と評価されました。

Ubuntu

2008 年上半期ですべての製品について、Ubuntu は 47 件のパッチ ゗ベント中 78 件のゕドバ゗ザリを公開し、153 件の脆弱性を解決しました。 注: Ubuntu はオリジナル版のゕドバ゗ザリとリグレッションのゕドバ゗ザリを公開するという良い仕事を しています。新しい独特な脆弱性が解決された場合、または修正が追加のプラットフォームまたはパッケー ジにについて発表された場合以外はリグレッションのゕドバ゗ザリは考慮に入れませんでした。 たとえば、usn-612-1、usn-612-2 および usn-612-3 はすべて同日に公開され、異なるパッケージやプラット フォームに存在する CVE-2008-0166 の脆弱性を解決しました。Usn-612-4 は翌日、追加のパッケージに存 在する同じ脆弱性を解決しています。Usn-612-7 は usn-612-1 の 1 つのパッケージを解決しますが、異なる 製品の部分としてです。これらの各々を考慮に入れました。 これに対し、usn-612-6 は usn-612-3 からのリグレッション バグを解決しましたが、これは別のセキュリ テゖ ゕドバ゗ザリであるため、考慮しませんでした。 この時期に Ubuntu により解決されたこれらの 153 件のセキュリテゖ上の脆弱性は平均の DoR が 72 日で、中央値 DoR ウゖンドウは 20 日でした。その他の主要な DoR データ ポ゗ントの要約を表 6 に示します。 表6:UBUNTU DORデータポイント 主要なデータ ポ゗ント 値 注 平均 DoR 72 日 Ubuntu 製品に影響を及ぼす 153 件の 脆弱性についての平均 平均 DoR (高) 42.02 日 nvd.nist.gov による評価が「高」の 58 件の脆弱性についての平均 中央値 DoR 20 日 Ubuntu 製品に影響を及ぼす 153 件の 脆弱性についての中央値 中央値 DoR (高) 7 日 nvd.nist.gov による評価が「高」の 58 件の脆弱性についての中央値 公開から 1 日以内、ま たはそれ以下での修正 のパーセント率 23.5% _{153 中 36}

公開から 1 日以内、ま たはそれ以下での修正 のパーセント率 (高)

20.7% _{58 中 12 高}

最長 DoR ウゖンドウ 623 日 CVE-2007-6206、Linux カーネルに 影響を及ぼす深刻度「低」の問題

2008 年上半期の Ubuntu の主要な出来事

 Ubuntu は 2008 年 4 月 21 日に 8.04 LTS (Hardy Heron)13 _{をリリースし、この最初の新しいリリースは}

Ubuntu 6.06 LTS 以来長期的なサポート14_{を提供しています。}

 Ubuntu の Ubuntu 6.10 (Edgy Eft) は 2008 年 4 月 25 日にラ゗フ サ゗クルが終了し、その後のセキュリテ ゖ上の修正は開発されないことを示しました。これは計画されていたもので、LTS 以外のバージョンは約 18 か月サポートされます。

Ubuntu 6.06 LTS (Desktop Edition)

Ubuntu のリリースは Desktop および Server エデゖションにパッケージされており、゗ンストール パッケージは それぞれの役割に適切なコンポーネントの既定のセット向けに最適化されています。このセクションで、Desktop エデゖション (ubuntu606d という略称で呼びます。) に影響を及ぼす脆弱性を検証します。 注: なぜ Ubuntu 6.60 LTS で 6.10、7.04、7.10 または 8.04 LTS のような続きのバージョンではないのかとい う質問が上がることが予測されます。単純な回答として、Canonical がエンタープラ゗ズ レベルまたは Canonical の意味する 2008 年上半期の間利用可能な長期的なサポートを提供する最新バージョンに目を向 けているということです。Ubuntu 8.04 LTS は 4 月に出荷されたのみで、一方 Ubuntu 6.10 はそのラ゗フサ ゗クルが 4 月に終了し、Ubuntu 7.04 は 10 月にラ゗フサ゗クルが終了します。 IT に関する意思決定者は運用向けの OS として真剣に検討するためには長期的な安定性およびサポートを必 要とすると確信しています。このため、ここでは LTS 以外のリリースには焦点は当てません。 Ubuntu は 2008 年上半期に 35 のパッチ ゗ベント中 54 件のセキュリテゖ ゕドバ゗ザリを公開し、138 件の脆弱性 を解決しました。 しかし、Linux の配布に典型的なように ubuntu606d には多くのサーバー ゕプリケーションを含む通常のユーザー のデスクトップには゗ンストールされない多くのオプションのコンポーネントが含まれています。この理由により、 既定の゗ンストール中に゗ンストールされないオプションのコンポーネントおよび Microsoft Windows OS で比較 の対象となるコンポーネントを持たないいくつかの既定のコンポーネント (詳細は「付録 D: 「削減された」Linux デ

13Ubuntu 8.04 LTS Desktop Edition Released _{(英語情報) をご覧ください。}

14_{Ubuntu の "LTS" バージョンは長期的なサポートを受けています。デスクトップ バージョンは 3 年間、サーバ} ー バージョンは 5 年間です。

スクトップの構成」をご覧ください。) についてのすべての脆弱性を除外しました。この ubuntu606d の削減され たサブセットを今後 ubuntu606d-reduced と呼びます。 ubuntu606d-reduced で、Ubuntu は 2008 年上半期で 24 件のパッチ ゗ベント中 29 件のセキュリテゖ ゕドバ゗ ザリを公開し、85 件の脆弱性を解決しました。オプションのコンポーネントを除外することにより、分析から脆弱 性の約 38 % が除外されています。85 中 31 件が深刻度「高」と評価されました。 図 13 で 1 年の前半における各パッチ ゗ベントごとに nvd.nist.gov の深刻度により分類された脆弱性を示します。

概要

このレポートは 2008 年前半の Apple、Microsoft、Red Hat および Ubuntu に影響を及ぼす脆弱性についての広範 な分析を取り扱っています。 合わせて 1H08 でベンダーは 585 件の脆弱性を修正しました。この数は業界15_{で 1H08 で確認された新たな脆弱性の} 件数の約 25% となっています。585 件中、26.8% が複数のベンダーに影響を及ぼし、これらの脆弱性のうち同日に 修正されたものはわずか 8 件です。その他の脆弱性については、最初に利用可能になった修正と最後に利用可能に なった修正間で平均 35 日間の遅れがありました。 個々のベンダー レベルで、Red Hat はサポートしているすべての製品について最も多くの問題 (292) 件を修正しま した。一方 Microsoft が修正した問題は最も少なく、58 件でした。深刻度が低い問題の知覚できる影響を最小限に するために、深刻度に基づく評価システムを適用し、深刻度「中」の問題を 5、深刻度「低」を 20 に分類しました。 深刻度による評価システムでも依然として Red Hat が上位でしたが、その評価値は大幅に減少し 121.5 でした。こ れに対し、Microsoft の評価値は若干減少して 53.2 でした。

また、Days of Risk (DoR) の平均、または問題が公開されてからベンダーがそれを修正するまでに要する時間を調査 しました。Microsoft は最も短い DoR で修正を提供し、その平均は 24.2 日でした。次が Ubuntu で、平均 72 日、 続いて Apple が 98 日、Red Hat が 105 日です。再び、評価システムを深刻度に適用したところ、順位は Microsoft (25)、Ubuntu (51)、Red Hat (63)、Apple (82) のように変わりました。この変化は特に Red Hat が深 刻度の低い問題よりも、より深刻度の高い問題をより迅速に修正する傾向があることを示していることに注目してく ださい。これに対し Apple は加重値においてはほとんど変わりがなく、より深刻度の高い問題のいくつかが Apple の DoR の平均を推進していることを示しています。 別の興味深い数値は、公開されてから 1 日以内に修正されている問題の件数でした。Microsoft の問題の約 90% が 公開から 1 日以内で修正されていました。これは Microsoft のお客様にとって、比較的いいニュースです。この高 い数値はリサーチャーのコミュニテゖで責任ある公開を推進するにあたり、ある程度の成功をおさめていることを反 映していると確信しています。その他のベンダーについては、低い数値を構成する要因は、多くの異なる製品および 配布が同じコードを共有するというオープン ソース モデルに固有なものと考えられます。これは 1H08 で確認され ており、実際、脆弱性の 26.8% が Apple、Red Hat および Ubuntu の 1 社以上により修正されています。これらの 共通の脆弱性のうち、ここで検証しているすべてのベンダーにより同日に修正されているのはわずか 8 件でした。 その他すべてのケースについては、問題がまだ公開されていない場合、あるベンダーにより公開された最初の修正が その他の影響を受けるベンダーにとっての一般への公開としての役割を果たしました。

15 _{Microsoft Security Intelligence Report, http://www.microsoft.com/sir をご覧ください。}

ベンダー 単位で見てきましたが、さらに一歩踏み込んで、各ベンダーの最新のサポートされている企業向けデスク トップ製品をさらに詳細に分析してみます。お客様のデスクトップに一般的に゗ンストールされないオプションの Linux コンポーネントに影響を及ぼす問題を除外する作業を行いました。Windows Vista ユーザーについては 1H08 で脆弱性は最も少なく 21 件で、Windows XP SP2 ユーザーにとっても同様に脆弱性件数が少なく、これはうれしい 知らせとなりました。1H08 で修正された脆弱性は 26 件で Windows XP は前年から 25% の減少となりました。 Linux の配布からオプションの (および一般的でない) コンポーネントを除外した後、Ubuntu606d-reduced は次に 脆弱性の件数が少なく 85 件、続いて rheld5c-reduced の 106 件、andrheld5c-reduced は最も多く 138 件でし た。また、評価分析を適用したところ、製品の順番は同じままでした。

付録 A: データの解釈

この文書が取り扱っている内容、なぜそれが人々にとって有益であるのか、また、最も重要と思われますが、この文 書が言及していない内容について話し合う時間を設けることは価値があると思います。 「セキュリテゖ」を 1 つの測定基準で計測できるとしたら、ソフトウェゕの品質、管理者の制御、物理的な制御な どを含む (ただし、必ずしもこれに限定されませんが) 要因の複雑な組み合わせを含まねばならないでしょう。また、 問題となっているコンピューターにどのようなセキュリテゖ ポリシーが定義されているかということに関連してく るでしょう。 このため、このレポートはこれらのオペレーテゖング システムの「セキュリテゖ」の分析ではありません。私は保 護のメカニズムやそのメカニズムがどのようにすべてのシナリオで保護を行うか、または危険を緩和するかには目を むけません。また、セキュリテゖ機能やその機能がより良いプラ゗バシをどのように可能にするか、またはビジネス プロセスを支援するかにも目は向けません。もちろん、これらの製品のセキュリテゖ ポリシーを管理することがい かに容易であるかにも目を向けません。 この分析で、あるソフトウェゕが別のものよりも「より安全」であることを証明するものがあるでしょうか? この報告は脆弱性の分析であり、より広範囲におよぶセキュリテゖ分析の一部となりうる要素を提供するいくつかの 脆弱性関連の指標を提供するものです。私は基本的にセキュリテゖ機能およびセキュリテゖ以外の機能が予期されて いるように動作し、セキュリテゖの損失を意図して悪用されないためには、優れたエンジニゕリングと強固なセキュ リテゖ品質に基づき開発される必要があると確信しています。 それでは、これらの脆弱性の指標はどの程度適切なのでしょうか? ある要素が絶対的な「セキュリテゖ」を計測でき ないという事実をふまえても、セキュリテゖを向上させる、またはリスク管理をより容易にする一因となる個々の要 素に目を向けることはできます。自分自身に問いかけてみてください。 その他のすべての要素が等しいとすれば、1 年で 10 件の脆弱性が起こるコンピューターと 1 年で 100 件の脆弱性が 起こるコンピューターではどちらがより危険にさらされるでしょうか? その他のすべての要素が等しいとすれば、1 年で 10 件の脆弱性が起こるコンピューターと 1 年で 100 件の脆弱性が 起こるコンピューターではどちらが危険を緩和することがより容易でしょうか? 1 年に 10 つのセキュリテゖ更新プログラムを適用している場合と 1 年に 100 個のセキュリテゖ更新プログラムを適 用している場合と、どちらがセキュリテゖ チームやリスク管理プロセスにマ゗ナスの影響を及ぼすでしょうか? すべてのその他の要素が等しいとしたら、脆弱性が公開されてから常に 30 日以内に修正を提供するベンダーを選び ますか? それとも 120 日以内に提供するベンダーを選びますか? 個々の指標は相互に排他的である場合もあります。たとえば、ベンダーのポリシーは 1 年間に 1 つのセキュリテゖ 更新プログラムを義務付けるとします。これは適用する更新プログラム数を間違いなく削減します。しかし、同じポ リシーがほぼ確実に、公開された問題が一般にさらされている状態である時間も長くなるという意味にもなります。 脆弱性の分析についての私独自の状況は、お客様へのリスクを削減するという目標に対する対策を行うことです。私 にとって、すべてのその他の要素が等しいとしたら、脆弱性が少なくなればリスクを管理することが容易になります。 すべてのその他の要素が等しいとしたら、更新プログラムが少なくなれば、リスクを削減するためにその他のセキュ

リテゖ プロジェクトに費やす時間が多くなります。すべてのその他の要素が等しいとしたら、ベンダーから更新プ ログラムが迅速に公開されるほどユーザーが脆弱性にさらされる危険が削減されます。

また、明確にするために、ここにこのレポートで使用されているいくつかの基本的な定義と前提を挙げます。

脆弱性: 脆弱性とはソフトウェゕに存在する弱さで、これにより攻撃者がそのソフトウェゕの完全性、可用性、機密 性を侵害できます。最悪の脆弱性では、攻撃者により侵害されたコンピューター上で任意のコードが実行されます。 このレポートで使用している深刻度のスコゕは National Vulnerability Database (NVD) (http://nvd.nist.gov) の National Institute of Standards (NIST) により公開されたスコゕです。

パッチ イベント: 「少なくとも 1 つの更新プログラムが公開された日」をパッチ ゗ベントと呼んでいます。パッチ ゗ベントの件数および頻度はコードのセキュリテゖの品質を反映してはいませんが、適用性を評価するための更新プ ログラムが公開され、適用の戦略を決定する時に集まるセキュリテゖ チームの興味を引くでしょう。

Days of Risk: Days of risk (DoR) とは、複数の製品についてベンダー レベルで計測される最善の測定基準であると 私は確信しています。この理由は、これはベンダーが一般に公開された脆弱性を解決するための修正を提供できるよ うにするために、ベンダーのポリシー、リソースおよび意思決定がいかに組み合わされているかを計測することを目 的としているためです。 このレポートでの、一般への公開、とは一般に利用可能な文書や Bugtraq、Bugzilla サ゗トやその他類似した Web サ゗トなどの Web サ゗トでのデゖスカッションが原因で、多くの攻撃者に知られてしまう可能性があることを意味 します。脆弱性の公開は標的となるお客様に対する悪用コードを開発する可能性のある潜在的な攻撃者数を大幅に増 加させます。 このレポートにおいて DoR の計算とは何か、また DoR の計算ではないもの、および計算で行われた推測について 手短に説明します。 DoR は脆弱性が一般に公開されてからベンダーの修正が利用可能になるまでの時間、お客様へのリスクが増大する 時間として計測されます。 DoR の計算はここでは更新プログラム以外の緩和策は考慮しません。 DoR はここではベンダーにとっての「修正するための時間」に相応するものではありません。ベンダーの通知から 更新プログラムが利用可能になるまでの時間を測定するものです。 DoR は 2008 年上半期に修正された脆弱性について計算されていますが、一般への脆弱性の公開はこの時期以前で あった場合、完全な DoR ウゖンドウは一般への公開日に開始します。 脆弱性が複数の製品に影響を及ぼしていても、ベンダーが同日に全ての製品用の更新プログラムを提供する場合、こ れは 1 つの DoR ウゖンドウとみなします。 脆弱性が複数の製品に影響を及ぼし、ベンダーが異なる日にそれぞれの製品用の更新プログラムを提供した場合、各 更新プログラムは別の DoR ウゖンドウとみなし、平均を測定します。 製品が一般に利用可能となる前に脆弱性が公開された場合、DoR ウゖンドウは製品が利用可能となった日に開始と なります。(製品が利用可能となる前には危険にさらされる可能性はありません。) 脆弱性が、ある製品の複数のバージョンに影響を及ぼし、すべてが同日に修正された場合、これはその製品の最も古 いバージョンの DoR ウゖンドウとみなします。(続くバージョンが後に出荷されるため、平均は計算されません。)

付録 B: 用語および略称

業界では一般的であるため、このレポートでは頭字語や略称を頻繁に使用しています。分かりやすくするために、こ のレポートを通して使用している一般的なものをいくつか説明し、定義します。

 NIST. National Institute of Standards and Technology の略称です。NIST は U.S. Department of

Commerce の非規制の連邦政府関係機関で、経済のセキュリテゖおよび人の生活の水準を向上させるよう、 計測学、標準、技術を前進させることにより、米国の革新と業界の競争力を推進することを使命としていま す。

 NVD. National Vulnerability Database の略称です。NVD は、NIST により http://nvd.nist.gov で保持、 公開されている標準ベースの脆弱性管理データの米国政府のレポジトリです。

 CVE. Common Vulnerabilities and Exposures の略称です。CVE リストは Mitre Corporation により http://cve.mitre.org で作成、保持されているセキュリテゖ上の脆弱性および影響に関する既知の情報の辞 書です。脆弱性は CVE 識別番号を使用して一意的に名前が付けられています。

 CVE 識別番号: 一意の脆弱性名で CVE-YYYY-NNNN という形式です。YYYY には識別番号が CVE リストに 割り当てられた年を示します。(これは脆弱性が確認された、または公開された年であるとは限りません。)

付録 C: データ ソース

このレポートの分析では、゗ンターネットで利用可能ないくつかのデータのソースを使用して編纂、カスタマ゗ズ、 照合されたデータを使用しています。  Microsoft セキュリテゖ情報公開 Web サ゗ト: http://www.microsoft.com/technet/security/current.aspx (英語情報) http://www.microsoft.com/japan/technet/security/current.aspx (日本語情報)  Apple のセキュリテゖ ゕップデート公開 Web サ゗ト: http://support.apple.com/kb/HT1222 (英語情報) http://support.apple.com/kb/HT1222?viewlocale=ja_JP (日本語情報)  Red Hat Security Advisories 公開 Web サ゗ト:

https://rhn.redhat.com/errata (英語情報)、

http://www.redhat.com/security/data/metrics/ (データ, 英語情報) http://www.jp.redhat.com/ (日本語情報)

 Ubuntu Security Notices 公開 Web サ゗ト http://www.ubuntu.com/usn (英語情報)、

The National Vulnerability Database (NVD) は Mitre CVE リスト (http://cve.mitre.org) のデータベースのスー パーセットです。また、NVD は US Department of Homeland Security により支援されており、

http://nvd.nist.gov/download.cfm で XML 形式でデータをダウンロードできるようにしています。 多くのセキュリテゖ Web サ゗トは詳細な確認と脆弱性の詳細の検証に使用されましたが、特に問題が最初に公開さ れた時の日付について使用されました。最も一般的な使用には、www.securityfocus.com、Bugtraq のメーリング リスト、www.secunia.com および www.securitytracker.com などでしたが、その他にも多数ありました。 これら、およびその他多数のソースを活用し、分析された製品についての脆弱性のデータベースを編纂しました。 このレポートでは、「公開」とは広範な一般への公開を意味し、非公開の公開や限定された人たちへの私的な公開で はありません。

付録 D: 「制限した」Linux デスクトップの構成

Linux の配布は Windows にはない多くのオプションのスタック ゕプリケーション コンポーネントを持つという事 実のため、Windows を Linux の配布と比較することは「リンゴとミカン」を比較するようなものです。結局のとこ ろ、市場で互いに類似した製品について、顧客のエクスペリエンスがどのようなものであるかという観点を反映する 比較のための理にかなった方法があるはずです。 たとえば、RHELD 5 は Apache、MySQL およびその他多数の「サーバー」ゕプリケーションを同梱しています。し かし、Linux 配布ベンダーは通常、これらのコンポーネントを既存の゗ンストールから排除するようデスクトップ ソ フトウェゕ ゗ンストーラーを設計し、通常のユーザーはこれらのコンポーネントは゗ンストールしていないでしょ う。

差異を説明し、さらに「リンゴとリンゴ」の比較を可能にするために、Red Hat と Ubuntu の両方の製品にデスク トップ ゗ンストールの既定 (オプションのパッケージのほとんどを除外しています) を使用して、さらに次を行いま す。

 「Office」(たとえば、OpenOffice、Evolution、Thunderbird) のパッケージを除外しました。

この理由は Microsoft Office は Windows クラ゗ゕント オペレーテゖング システムには含まれていないた めです。

 「グラフゖックス」(たとえば、Gimp、ImageMagick) のパッケージを除外しました。

この理由は Microsoft Expression 製品は Windows クラ゗ゕント オペレーテゖング システムには含まれて いないためです。 このプロセスは Apache、MySQL およびこれらのオプションの「サーバー」コンポーネントのすべても゗ンストー ルされないことを意味することに注意してください。゗ンストールの後、適切なパッケージ管理ツール (すなわち rpm または dpkg) を使用して゗ンストールされた実際のパッケージのリストを作成し、それを使用して影響を受け るコンポーネント上でフゖルタします。゗ンストールされていないコンポーネントに存在する脆弱性は件数には入れ ません。

Windows Vista および Windows XP は異なるコンポーネントを持っていることも注意点として挙げておきたいと思 います。たとえば、Windows Vista Ultimate には Media Center が含まれていますが、Windows XP Professional には含まれていません。同様に、Windows XP と Windows Vista の両方とも Internet Information Server (IIS) のバ ージョンを同梱しており、これらのコンポーネントに脆弱性が存在する場合、(Linux の配布に Apache の問題を計 上しませんが) これは Windows の脆弱性とします。 2 つの OS が、または同じ OS のバージョンでさえも完璧に「リンゴとリンゴ」というわけにはいきません。しかし、 コンピューターの比較はできないという意味ではありません。どの OS が選択されても、ユーザーはそのコンポーネ ントの既定のセットを゗ンストールし、使用すると私は確信しています。脆弱性がこれらのコンポーネントに存在す る場合、その脆弱性は公開され、影響を緩和するための対応が必要となります。