Skip to main content

セキュリティ更新プログラムの深刻度評価システム

お客様のシステムに影響を与える攻撃が、未知の脆弱性を悪用する攻撃者によって引き起こされることは稀です。攻撃者は一般的に、更新プログラムが利用可能であったものの、適用されていなかった脆弱性を悪用します。そのような理由により、マイクロソフトはお客様に更新プログラム適用の優先順位付けを推奨しています。現在利用可能な更新プログラムは、 セキュリティ更新プログラム ガイドで確認することができます。

しかし、すべての脆弱性が同等の深刻度を持つわけではありません。更新プログラムで修正する各脆弱性に関連するリスクをお客様が理解できるよう、マイクロソフトは、その脆弱性が悪用された場合の理論上最悪の結果に基づいて各脆弱性を評価する深刻度評価システムを公開しました。

評価定義
緊急
(Critical)

この脆弱性が悪用された場合、ユーザーの操作なしでコード実行が行われる可能性があります。これらのシナリオには、自己増殖性のマルウェア (例: ネットワーク ワーム)、もしくは、警告やプロンプトの表示なしにコード実行が起こるような、避けることのできない一般的な使用方法のシナリオなどが含まれます。これには、Web ページの閲覧やメールの開封が含まれる場合もあります。

マイクロソフトは、お客様が「緊急」の更新プログラムを早急に適用することを推奨します。

重要
(Important)

この脆弱性が悪用された場合、ユーザー データの機密性、完全性、または可用性が侵害されたり、処理中のリソースの完全性または可用性が侵害される可能性があります。これらのシナリオには、警告やプロンプトの表示があるにもかかわらずクライアントが侵害されるという、一般的な使用方法のシナリオが含まれます。この場合、プロンプトの出所、品質、またはユーザービリティは関係ありません。プロンプトや警告を生成しない一連のユーザー アクションも含まれます。

マイクロソフトは、お客様が「重要」の更新プログラムをできる限り早く適用することを推奨します。

警告
(Moderate)

脆弱性の影響は、認証要件または既定値以外の構成に対してのみ適用性があるなどの要素によって、大幅に緩和されます。

マイクロソフトは、お客様が「警告」のセキュリティ更新プログラムの適用を検討することを推奨します。

注意
(Low)
脆弱性の影響は、影響を受けるコンポーネントの特性によって、包括的に緩和されます。マイクロソフトは、お客様が影響を受けるシステムに対してセキュリティ更新プログラムを適用するか否か判断することを推奨します。


脆弱性の深刻度は、脆弱性が悪用される可能性とは異なります。その可能性を判断するために、 Microsoft Exploitability Index (悪用可能性指標) では追加の情報を提供し、お客様がマイクロソフトのセキュリティ更新の適用について、より的確に優先順位付けができるよう支援しています。この指標は、マイクロソフトのセキュリティ更新プログラムの公開後 30 日以内に、更新プログラムが解決する脆弱性に対して機能する悪用コードが開発される可能性に関するガイダンスを提供します。

この深刻度評価システムは、それぞれの問題を広く客観的に評価できるようにすることを目的としていますが、マイクロソフトは、お客様がご自身の環境を評価し、システムを保護するために必要な更新プログラムを決定されることを強く推奨します。