「IEはFirefoxより安全」--MS幹部の調査報告書に批判の声

　Microsoftのあるシニアエグゼクティブによると，Internet Explorer（IE）はFirefoxよりも安全だという。同氏は両ブラウザで発見された脆弱性の数を比較したが，同氏の調査方法には欠点があるとの批判の声もある。

　MicrosoftのTrustworthy Computing Groupでセキュリティ戦略担当ディレクターを務めるJeff Jones氏は先週，MicrosoftのIEとMozillaのFirefoxに存在する脆弱性の数を比較した調査報告書をリリースした。当然のことながら，Jones氏はIEの方がFirefoxよりも優れていると結論付けた。

　MozillaのFirefoxで発見される脆弱性の数は，IEよりも少ないだろうという当初の予想に対し，Jones氏は両ブラウザにはこれまでに相当数の脆弱性が発見されたと認めた。

　しかし，ある一定の期間内でMozillaはMicrosoftよりも多くの脆弱性を修正しており，それがFirefoxがIEよりも脆弱だということを示しているとJones氏は説明する。

　「Mozillaは2004年11月にFirefox 1.0をリリースして以来，サポート対象のFirefox製品で発見された199個の脆弱性を修正した。その内訳は，深刻度「高」が75個，「中」が100個，「低」が24個だ。一方，Microsoftは同期間に，すべてのサポート版IEに影響を与える計87個の脆弱性を修正した。そして，その内訳は，深刻度「高」が54個，「中」が28個，「低」が5個だった」（Jones氏）

　Jones氏によると，Microsoftが2004年にリリースしたIE 6（Service Pack 2）とFirefox 1.0との比較では，Microsoftが修正した脆弱性の数が79個に対し，Mozillaが修正した数は88個だったという。

　またJones氏は，12カ月間かけてIE 7とFirefox 2.0の比較を行った。その結果，その期間内にMozillaが修正した脆弱性の数は56個だったのに対し，Microsoftが修正したIE 7の脆弱性の数は17個だったという。

　「このデータ傾向から，IEとFirefoxの最新版はいずれもセキュリティの質が向上していることが分かるが，一方で，一般的な認識とは対照的に，IEに含まれていた脆弱性の数は，Firefoxよりも少なかったことが分かった」（Jones氏）

　しかし，ウェブアプリケーション開発企業Internet Vision Technologyの創業者兼テクニカルディレクターでLinux AustraliaのプレジデントでもあるJonathan Oxer氏は，Jones氏の調査報告書には欠点があると指摘する。同氏によると，Microsoftは複数の修正をひとまとめにする傾向があり，比較期間内の同社の修正回数が少ないのはそのためだという。

　「例えば，（Microsoftの場合）ある脆弱性の修正を行うと，複数の問題が一度に解決される場合がある。同社のバグの総数が少ないのはそのためだ」（Oxer氏）

　Oxer氏は，どのレベルのセキュリティを報告するかは（企業によって）異なる場合が多いと指摘する。「Firefoxの場合，一般に知られているエクスプロイト（理論上のエクスプロイト）が含まれていない場合でも（Mozillaが）発表した問題があるかもしれない。よって，（各企業で）エクスプロイトの数え方や定義がどのように決められているかを理解しないまま修正されたエクスプロイト（の数）を直接比較しても，正確な結果が出るとは限らない」（Oxer氏）

　Oxer氏は，ソフトウェアをセキュリティの観点から評価するためのより有効な方法は，バグが発見されてから修正がリリースされるまでの日数に応じて，厳しさ係数で乗算することでそれぞれのエクスプロイトに数値を与えることだと考えている。

　「仮に2つの製品があり，一定期間内に修正されたエクスプロイトの数がほぼ同数だったとしても，ユーザーが危険にさらされた日数が両者で全く異なる場合もある」（Oxer氏）

ディストリビューターのサポート

　また，Microsoftが示したデータは，レガシーソフトウェアのサポートに関する問題も提起している。Mozillaは，Firefoxの新版をリリースしてから6カ月経過すると，その前のバージョンのサポートを終了。一方Microsoftは，OSのサイクルに従い，IEのそれぞれのバージョンの終了後，最高10年間サポートを続ける。

　「仮にMicrosoftが（Mozillaと）同じポリシーを持っていたとしたら，Internet Explorer 6のサポートは2007年5月に終了していたはずだし，またInternet Explorer 5.01のサポートも2001年に終了していたはずだ。しかし，Microsoftは一般に，新たにリリースされるOSとともにブラウザもリリースし，そのブラウザのライフサイクルが終了するまでサポートを提供している。現在，ビジネス製品のライフサイクルは10年間だ」（Jones氏）

　サポート問題はサードパーティーのディストリビューターにも影響を与える，とJones氏は指摘する。Mozillaは2007年5月にFirefox 1.5のサポートを終了したが，（Firefox 1.5が統合されている）Linux OSの「Ubuntu 6.06 LTS」は，2009年までセキュリティサポートを提供するとしている。また，Novellの「SUSE Linux」は2013年までFirefox 1.5のサポートを行う。UbuntuとRed HatはそれぞれFirefox 1.5用に複数のパッチをリリースしたが，Jones氏によると，「それぞれのベンダーがパッチを適用した脆弱性は，部分的にしか重複していない」という。

　「ライフサイクルの検討は，今後企業にとって重要性を増しそうだ。というのは，企業は時にカスタマイズされたウェブアプリケーションを使っていたり，（ソフトウェアの）2つのメジャーリリースの間に頻繁にアップグレードすることを嫌うからだ。そしてその場合にも，比較的長期の移行計画を立てていたりする」（Jones氏）

　しかし，Linux AustraliaのOxer氏は，このようなサポート配信方法はオープンソースモデルの恩恵だと見ている。顧客は契約期間中，柔軟なサポートを得られるからだ。

　「プロプライエタリとオープンソースモデルの大きな違いの1つとして，（オープンソースの場合）複数のベンダーが単一のコードに対してサポートを提供している点がある。Mozillaがサポートを終了しても，企業顧客にサポートを提供することにコミットした，（Linux）ディストリビューションベンダーなどの，ソフトウェアベンダーが存在する」とOxer氏は語る。

　「これは，エンドユーザーが自分でサポートレベルを選択できることを意味する。デスクトップ向けに安定した運用環境を長期的にサポートする企業を選ぶのであれば，それは選択肢の1つとして可能だ。あるいは，頻繁にアップデートするディストリビューターを選択することもできる」（Oxer氏）

　Microsoftのようなプロプライエタリソフトウェアベンダーを利用するデメリットは，企業顧客は単一ベンダーのスケジュールに拘束されるという点だ，とOxer氏は続ける。ベンダーのスケジュールが自社のスケジュールに合わないこともあるだろう。