今年最後の月例セキュリティ情報の公開も終わりましたので、簡単に振り返りをしたいと思います。
年間の傾向
2012 年は、昨年の 100 件から減少し、全 83 件のセキュリティ情報 (MS12-001 〜 MS12-083) を公開しました。また、これら 83 件のセキュリティ情報を通じて 183 件の一意の脆弱性 (CVE) に対応しています。定例外[i] のリリースは 1 件 で、9 月に公開の MS12-063 (Internet Explorer) です。
セキュリティ情報の公開数および対応した CVE の数は、2010 年下半期をピークに減少傾向が続いています (図 1)。脆弱性の対応を安定的に行えるようになってきた、また、そもそも脆弱性の少ない製品を提供できるようになってきたことなどが背景にあるといえるかもしれません。
図 1: 半期ごとのセキュリティ情報公開数と対応した CVE の数 (2006 年上半期 ~ 2012 年下半期)
月の傾向
セキュリティ情報は毎月 1 回、第 2 火曜日 (US 時間) に日を定めて公開を行っています。IT 管理者にとって予測可能で、人員確保や適用準備を容易に行えるよう考慮し定めています。
製品の傾向
次に、製品の傾向を見てみます (図 3)。2012 年は Windows 向けセキュリティ情報が減り、数としては 2009 年以前と同等またはそれ以下まで減っています。全体に占める割合も減り、対象期間で初めて Windows が半数を割りました。攻撃の対象が Windows からその上のアプリケーションに移っていることなども影響しているといえそうです。
深刻度の傾向
最後に、深刻度の傾向を見てみましょう (図 4)。2012 年は深刻度が「緊急 (Critical)」のセキュリティ情報の数および割合が増えました。主な理由としては、通常 Office 向けのセキュリティ情報は「重要 (Important)」の場合が多いのですが、2012 年は 3 件の「緊急」のセキュリティ情報があったことなどが考えられます。
図 4: 深刻度別セキュリティ情報の数 (2004 年 ~ 2011 年)
以上、数値を中心とした簡単な傾向のご紹介でした。
2013 年も、お客様がより安全に安心してコンピューターを使用いただけるよう努めてまいります。皆様よい年末、そして新年をお迎えください。
[i] 月例のセキュリティ情報公開日以外に緊急でセキュリティ情報を公開すること。
[ii] ゼロデイ攻撃とは、あるソフトウェアの脆弱性に対する更新プログラムが世に公開されるより前に、その脆弱性を悪用する攻撃が実行されたり、悪用するプログラムが出現すること。更新プログラムの公開日を1日目と数え、それ以前に攻撃が始まるという意味でゼロデイと呼ばれている。