米Microsoftは2008年4月第3週,発売から1年たった「Windows Vista」についてセキュリティ・ホール情報開示や修正アップデート公開の状況を分析し,結果を報告書として公開した。報告書では,旧版である「Windows XP」や「Red Hat Enterprise Linux」「Ubuntu Linux」「Mac OS X」も分析対象とし,それぞれ同様の期間の状況を比べた。MicrosoftがWindows Vistaで根本からセキュリティを見直したことを考えれば,Windows VistaのセキュリティがほかのOSに比べ相当高かったことは当たり前の結果である。
報告書を執筆したMicrosoftセキュリティ戦略ディレクタのJeffrey R. Jones氏は,「この分析から,Windows VistaのセキュリティがこれまでのWindowsより改善したと分かる」と書いた。「セキュリティ・アップデートの分析結果をみると,当社がセキュリティ修正の手順と開発プロセスを改善したことで,Windows管理者がアップデートで受ける影響もWindows XPに比べかなり小さくなった」(Jones氏)。
Jones氏は「この報告書で分析対象OSの全体的なセキュリティ状況を評価するつもりなどないし,ある一つの製品がほかの製品より『安全性が高い』ことを証明するものでもない」と指摘した。当然であるが,報告書で取り上げたOSに対する様々なセキュリティ分析のごく一部に過ぎないのだ。つまり,報告書に掲載されたデータそのものが重要である。Jones氏がたとえ話として質問したように,「1年間に発見されるセキュリティ・ホールの数が10件のOSと100件のOSでは,どちらがリスクを軽減しやすいのか」が問題だ。
報告書のデータによれば,Windows Vistaはすべての分析項目で1位をとった。修正したセキュリティ・ホールの数,修正アップデートの件数,修正アップデートの提供回数,修正アップデート提供を1回でも実施した週の数という項目で,最も少ない値を記録したのだ。しかも,ほかのOSを相当引き離しての勝利である。例えば発売後1年間に修正したセキュリティ・ホールの数は,Windows Vistaが36個で,Windows XPが65個,Mac OS X 10.4が116個,Ubuntu 6.06 LTSが224個,そしてRed Hat Enterprise Linux 4に至っては360件もあった。
Linux支持者が偏見的な主張をする前に,Jones氏は先手を打った。Linuxを分析する際,非中核コンポーネントのセキュリティ・ホールを除外したのだ。つまり,オフィス・スイート「OpenOffice.org」やグラフィックス・ツール「GIMP」,各種開発ツールなどのオープンソース製品に存在したセキュリティ・ホールは,今回の報告書で分析対象OSのセキュリティ・ホールとして数えなかった。「『オプション』アプリケーションをLinuxディストリビューションに含める形でWindowsとLinuxを比べると,不公平であると必ず反論される。そこで,出荷時点のWindowsに搭載されていない機能と同等の非中核コンポーネントについては,セキュリティ・ホールを分析対象に含めていない」(Jones氏)。
もちろん大多数のWindowsユーザーと採用者にとっては,Windows XPとWindows Vistaの比較が最も重要である。この点で,Windows VistaはWindows XPに大差をつけた。セキュリティ・ホールの発見件数と修正件数はWindows VistaがWindows XPよりはるかに少なく,修正アップデートの影響度もWindows Vistaの方が小さかった。発売から1年間で,修正アップデートの件数はWindows Vistaが17件,Windows XPが30件。修正アップデート提供回数はWindows Vistaが9回,Windows XPが26回だった。
「2001年から2002年にかけてのWindows XPと2007年のWindows Vistaを比べると,毎月アップデートを予定通り公開するという方針と修正アップデートの減少が,セキュリティ・リスク対処に必要な作業の削減に大きく影響した。このことは,報告書のデータから簡単に分かる。これは,当社が以前から取り組んできた『Trustworthy Computing』(信頼できるコンピューティング)戦略で大きな成果を上げたことを示すよい例だ」(Jones氏)。
この報告書「Windows Vista One Year Vulnerability Report」は,MicrosoftのWebサイトから無償でダウンロードできる。
