セキュリティ速報の優先度と緊急度の評価体系
アドビの優先度評価体系は、管理された環境下でアドビ製品を使用するお客様が、セキュリティアップデートに優先順位を付けられるようにするためのガイドラインです。優先度の評価は、対象製品に対する過去の攻撃パターンや脆弱性の種別、影響が及ぶプラットフォーム、問題を軽減する手立ての有無などを総合的に勘案して決定されています。
優先度の定義は次のとおりです。
| レート | 定義 |
|---|---|
| 優先度1 | この優先度のアップデートは、対象として公表されている製品バージョンとプラットフォームにおいて、現在攻撃の対象となっている脆弱性、または攻撃対象になるリスクが比較的に高い脆弱性を解決します。この優先度のアップデートは、直ちに(例えば72時間以内)適用することを推奨します。 |
| 優先度2 | この優先度のアップデートは、過去に攻撃リスクが高いとされたことのある脆弱性を解決します。現在、この脆弱性が攻撃対象になっていることは報告されておらず、アドビでは過去の実績から判断して、脆弱性が今後悪用されることにはならないものと認識しています。この優先度のアップデートは、近い将来に(例えば30日以内)適用することを推奨します。 |
| 優先度3 | この優先度のアップデートは、過去に攻撃者の標的になったことのない脆弱性を解決します。この優先度のアップデートは、システム管理者が判断したタイミングで適用することを推奨します。 |
アドビの緊急度評価体系は、デベロッパーがソフトウェアの既知の脆弱性とそのセキュリティに及ぼす影響を把握・評価するためのガイドラインです。
緊急度の定義は次のとおりです。
| レート | 定義 |
|---|---|
| クリティカル | もし悪用された場合、不正なネイティブコードが実行される恐れのある脆弱性(場合によっては、ユーザーの知らぬ間に不正コードが実行されることもあります) |
| 重要 | もし悪用された場合、機密データへの不正アクセスを含め、データの機密性が脅かされたり、ユーザーコンピュータの処理リソースが悪用されたりする恐れのある脆弱性 |
| 中度 | デフォルトの環境設定や監査ポリシーなどの様々な要因で、悪影響が限定されている脆弱性、または悪用が困難な脆弱性 |
| 低度 | 最小限の悪影響を及ぼす恐れしかなく、しかも悪用が著しく困難な脆弱性 |
セキュリティ情報日本語抄訳
