昨日のVMwareのセキュリティアップデートでランクがCriticalだったんですが、この脆弱性のランクっていろいろあるけど、特に考えもせず新しいのが出ればランクに関係なく適用するようにしています。でも実際のところどうなんだろうと気になったので調べてみました。
英語では google:severity rating]、日本語では [google:深刻度 評価 あたりのキーワードでしょうか。
まずは最初に見つかったMicrosoftのランク分けですが、このページに詳しくあり、
危険度が高い順に
- 緊急 Critical
- 重要 Important
- 警告 Moderate
- 注意 Low
となっています。これはAdobeやRedHatでも同様みたいで、だいたいこのクラス分けのようです。
まあ、それでも各社の採点方法には違いがありますので、線引きは曖昧なところがあるだろうと思います。しかし上の二つのCriticalとImportantはなるべく早めに必ず適用した方が良さそうなのはわかりました。ちなみに今月のマイクロソフトの事前通知では緊急が5件、重要が2件、警告が1件となっています。