セキュリティ・ホールは公開しない者勝ち？

「Internet Explorer（IE）はFirefoxよりも安全」。最近，このような話を読んだり耳にしたりする機会が何度かあった。ほとんどの場合，米Symantecが2005年9月に発表した「Internet Security Threat Report Volume VIII（インターネットセキュリティ脅威レポート 8巻）」のデータが根拠になっている（関連記事）。

Internet Security Threat Reportとは，同社が世界中に設置しているセンサーなどから収集した情報を基に，同社が半年ごとに作成し公表しているレポート。レポートではセキュリティに関するさまざまなデータがまとめられている。その一部として，2005年上半期（1月～6月）に公表された，主要ブラウザのセキュリティ・ホールの数がまとめられている。そのデータによると，Firefoxでは25件のセキュリティ・ホールが公表され，そのうち18件は深刻なものだったという。一方，IEでは13件が公表され，深刻なものは8件だったとされる。確かに，数字だけ見れば，IEのほうが少ない。

このレポートが公表される少し前に，Firefoxで深刻なセキュリティ・ホールが見つかっていたことも，Firefoxのセキュリティを疑わせる原因になっているようだ。9月はじめ，Firefoxなどには「IDNバッファ・オーバーフロー問題」と呼ばれる危険なセキュリティ・ホールが見つかった。9月下旬には，このセキュリティ・ホールを突くプログラムが公開されている（関連記事）。

9月23日にはセキュリティ・ホールを修正したFirefox 1.0.7日本語版がリリースされている。しかしこのセキュリティ・ホール騒ぎとSymantecのレポートが相次いだので，「Firefoxって安全なの？」と疑問を抱くユーザーがいても不思議はない。

ベンダーが公表したセキュリティ・ホールの数の比較に意味はあるか

もちろんIT Pro読者なら，上記の「IDNバッファ・オーバーフロー問題」とSymantecのレポートから，「IEはFirefoxよりも安全」と結論付けられないことはお分かりだろう。まず，「IDNバッファ・オーバーフロー問題」に“匹敵”するようなセキュリティ・ホールはIEにも数多く見つかっている。

Symantecのレポートについても，数字はあくまでもベンダーが確認して公表したものに限られている。たとえ見つかっていても，ベンダー が公表していなければ数には含まれない。例えば，セキュリティ・ベンダーの米eEye Digital Securityでは，IEに関するセキュリティ・ホールを見つけていることを公表している（詳細は未公表）。これらはMicrosoftからは公表されていないため，Symantecのレポートには含まれていない。

先日，Microsoftのセキュリティに関する最高責任者の一人であるMichael Nash氏にインタビューする機会があった（関連記事）。Nash氏は同社のセキュリティへの取り組みを説明する際に，他社製品と同社製品，あるいは以前の同社製品と現在の同社製品における，公表されたセキュリティ・ホールの数の違いに何度も言及した。

それを聞いて筆者は，「公表されたセキュリティ・ホールの数を比べることに意味はあるのか」といったことをたずねた。すると同氏は，「もちろん，セキュリティ・ホールの数はその製品が安全かどうかを計る唯一の指標ではない。だが，ユーザーが指摘する点，気にする点であることは間違いない」と答えた。

確かに多くのユーザーにとって，公表されているセキュリティ・ホールの数が，ソフトウエアの“安全度”を計る上での指標の一つになるだろう。それ以外に，数字として現れるセキュリティに関するデータはほとんどないからだ。とはいえ，公表されたセキュリティ・ホールの数だけで，ソフトウエアの安全度を判断されることを筆者はとても懸念する。そうなれば，公表しない者勝ちになってしまう。不誠実なベンダーが開発したソフトウエアが安全と判断され，積極的に情報を公開するベンダーのソフトウエアが危険とされてしまう。それはおかしい。 [全文]