[CNET Japan] 「IEはFirefoxより安全」--MS幹部の調査報告書に批判の声

　Microsoftのあるシニアエグゼクティブによると、Internet Explorer（IE）はFirefoxよりも安全だという。同氏は両ブラウザで発見された脆弱性の数を比較したが、同氏の調査方法には欠点があるとの批判の声もある。

　MicrosoftのTrustworthy Computing Groupでセキュリティ戦略担当ディレクターを務めるJeff Jones氏は先週、MicrosoftのIEとMozillaのFirefoxに存在する脆弱性の数を比較した調査報告書をリリースした。当然のことながら、Jones氏はIEの方がFirefoxよりも優れていると結論付けた。

　MozillaのFirefoxで発見される脆弱性の数は、IEよりも少ないだろうという当初の予想に対し、Jones氏は両ブラウザにはこれまでに相当数の脆弱性が発見されたと認めた。

　しかし、ある一定の期間内でMozillaはMicrosoftよりも多くの脆弱性を修正しており、それがFirefoxがIEよりも脆弱だということを示しているとJones氏は説明する。

　「Mozillaは2004年11月にFirefox 1.0をリリースして以来、サポート対象のFirefox製品で発見された199個の脆弱性を修正した。その内訳は、深刻度「高」が75個、「中」が100個、「低」が24個だ。一方、Microsoftは同期間に、すべてのサポート版IEに影響を与える計87個の脆弱性を修正した。そして、その内訳は、深刻度「高」が54個、「中」が28個、「低」が5個だった」（Jones氏）

　Jones氏によると、Microsoftが2004年にリリースしたIE 6（Service Pack 2）とFirefox 1.0との比較では、Microsoftが修正した脆弱性の数が79個に対し、Mozillaが修正した数は88個だったという。

　またJones氏は、12カ月間かけてIE 7とFirefox 2.0の比較を行った。その結果、その期間内にMozillaが修正した脆弱性の数は56個だったのに対し、Microsoftが修正したIE 7の脆弱性の数は17個だったという。

　「このデータ傾向から、IEとFirefoxの最新版はいずれもセキュリティの質が向上していることが分かるが、一方で、一般的な認識とは対照的に、IEに含まれていた脆弱性の数は、Firefoxよりも少なかったことが分かった」（Jones氏）

　しかし、ウェブアプリケーション開発企業Internet Vision Technologyの創業者兼テクニカルディレクターでLinux AustraliaのプレジデントでもあるJonathan Oxer氏は、Jones氏の調査報告書には欠点があると指摘する。同氏によると、Microsoftは複数の修正をひとまとめにする傾向があり、比較期間内の同社の修正回数が少ないのはそのためだという。

　「例えば、（Microsoftの場合）ある脆弱性の修正を行うと、複数の問題が一度に解決される場合がある。同社のバグの総数が少ないのはそのためだ」（Oxer氏）

　Oxer氏は、どのレベルのセキュリティを報告するかは（企業によって）異なる場合が多いと指摘する。「Firefoxの場合、一般に知られているエクスプロイト（理論上のエクスプロイト）が含まれていない場合でも（Mozillaが）発表した問題があるかもしれない。よって、（各企業で）エクスプロイトの数え方や定義がどのように決められているかを理解しないまま修正されたエクスプロイト（の数）を直接比較しても、正確な結果が出るとは限らない」（Oxer氏）

　Oxer氏は、ソフトウェアをセキュリティの観点から評価するためのより有効な方法は、バグが発見されてから修正がリリースされるまでの日数に応じて、厳しさ係数で乗算することでそれぞれのエクスプロイトに数値を与えることだと考えている。

　「仮に2つの製品があり、一定期間内に修正されたエクスプロイトの数がほぼ同数だったとしても、ユーザーが危険にさらされた日数が両者で全く異なる場合もある」（Oxer氏）