米Mozillaは数カ月前から,セキュリティ研究者兼アナリストであるRich Mogull氏の協力を得て,あるセキュリティ基準モデルの策定に取り組んでいる。オープンソースWebブラウザ「Firefox」のセキュリティ状況の推移を相対評価できるようにするためだ。作ろうとしているモデルは,バグの数を集計するだけの単純なものではなく,セキュリティ強化に向けた作業の効率性とユーザーに及ぶ危険性の両方について,時間的な変化を従来より正確に示せるものだ。この取り組みの第1段階で基準となるモデルを作り,各評価項目の有効性を確かめながら改良していく。セキュリティを絶対的に評価するモデルの作成は不可能だろう。そこで,セキュリティの改善(または低下)といった流れを追跡し,何らかの問題を特定する手段として,次第に変化する状況を把握できる評価基準を開発することにした。当記事で紹介する情報は,Firefoxの将来版にとどまらず,Mozillaのさまざまな開発プロジェクトにも影響を与える。
セキュリティ基準モデル作成プロジェクトの目標は,Excelファイル(同じ内容のzip圧縮ファイル)にまとめた。
以下に掲載する目標はまだ草案の段階で,現在フィードバックを受け付けている。最終版についてはきちんとした文章の形にする予定だが,現時点では方向性を明確化するために表形式とした。ダウンロードし,好きな項目について自由に意見を述べてほしい。基準モデルの作成作業はオープンに進める。最終的に成果物を一般公開するので,Mozilla以外の組織も状況に合わせて利用してもらいたい。
フィードバックは当ブログ記事に対するコメントで構わない。コメントを書き込みたくなければ,メールを直接Mogull氏(アドレスはrmogull@securosis.com)に送ってもよい。いただいた意見に目を通したら,まとめ記事を投稿し,さらに意見を聞かせてもらうつもりだ。
プロジェクトの目標:
評価基準となるモデルを開発し,(1)Firefoxのセキュリティ状況の推移を相対的に追跡,(2)セキュリティ確保を目的とするFirefoxの開発およびテスト作業の効率を評価,(3)Firefoxユーザーの立場でセキュリティ・ホールの存在期間を計測できるようにする。
付随する目標:
Firefox以外のソフトウエア開発活動でも同じ目標を達成するため,標準化/拡張可能な基準となるオープンなモデルを開発する。
目標の詳細:
(1)Firefox開発におけるセキュリティの傾向を追跡する
(2)安全な開発に向けた各種ツール/段階/手法の効率を計測する
(3)新たなセキュリティ・ホールが発見された時点から,ユーザーのX%が保護された状態になるまでの期間を計測する。発見後の初期対応からパッチ開発,ユーザーによるアップデートにいたる各段階も,作業効率をそれぞれ評価する。評価結果には,セキュリティ・ホールの深刻度も反映させる
Copyrights (C) 2008 Mozilla Foundation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,Mozilla Japanの許可を得て,米国のセキュリティ・ブログMozilla Security Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Mozilla Security Metrics Project」でお読みいただけます。
