「Internet Explorer(IE)はFirefoxよりも安全」。最近,このような話を読んだり耳にしたりする機会が何度かあった。ほとんどの場合,米Symantecが2005年9月に発表した「Internet Security Threat Report Volume VIII(インターネットセキュリティ脅威レポート 8巻)」のデータが根拠になっている(関連記事)。
Internet Security Threat Reportとは,同社が世界中に設置しているセンサーなどから収集した情報を基に,同社が半年ごとに作成し公表しているレポート。レポートではセキュリティに関するさまざまなデータがまとめられている。その一部として,2005年上半期(1月~6月)に公表された,主要ブラウザのセキュリティ・ホールの数がまとめられている。そのデータによると,Firefoxでは25件のセキュリティ・ホールが公表され,そのうち18件は深刻なものだったという。一方,IEでは13件が公表され,深刻なものは8件だったとされる。確かに,数字だけ見れば,IEのほうが少ない。
このレポートが公表される少し前に,Firefoxで深刻なセキュリティ・ホールが見つかっていたことも,Firefoxのセキュリティを疑わせる原因になっているようだ。9月はじめ,Firefoxなどには「IDNバッファ・オーバーフロー問題」と呼ばれる危険なセキュリティ・ホールが見つかった。9月下旬には,このセキュリティ・ホールを突くプログラムが公開されている(関連記事)。
9月23日にはセキュリティ・ホールを修正したFirefox 1.0.7日本語版がリリースされている。しかしこのセキュリティ・ホール騒ぎとSymantecのレポートが相次いだので,「Firefoxって安全なの?」と疑問を抱くユーザーがいても不思議はない。
ベンダーが公表したセキュリティ・ホールの数の比較に意味はあるか
もちろんIT Pro読者なら,上記の「IDNバッファ・オーバーフロー問題」とSymantecのレポートから,「IEはFirefoxよりも安全」と結論付けられないことはお分かりだろう。まず,「IDNバッファ・オーバーフロー問題」に“匹敵”するようなセキュリティ・ホールはIEにも数多く見つかっている。
Symantecのレポートについても,数字はあくまでもベンダーが確認して公表したものに限られている。たとえ見つかっていても,ベンダーが公表していなければ数には含まれない。例えば,セキュリティ・ベンダーの米eEye Digital Securityでは,IEに関するセキュリティ・ホールを見つけていることを公表している(詳細は未公表)。これらはMicrosoftからは公表されていないため,Symantecのレポートには含まれていない。
先日,Microsoftのセキュリティに関する最高責任者の一人であるMichael Nash氏にインタビューする機会があった(関連記事)。Nash氏は同社のセキュリティへの取り組みを説明する際に,他社製品と同社製品,あるいは以前の同社製品と現在の同社製品における,公表されたセキュリティ・ホールの数の違いに何度も言及した。
それを聞いて筆者は,「公表されたセキュリティ・ホールの数を比べることに意味はあるのか」といったことをたずねた。すると同氏は,「もちろん,セキュリティ・ホールの数はその製品が安全かどうかを計る唯一の指標ではない。だが,ユーザーが指摘する点,気にする点であることは間違いない」と答えた。
確かに多くのユーザーにとって,公表されているセキュリティ・ホールの数が,ソフトウエアの“安全度”を計る上での指標の一つになるだろう。それ以外に,数字として現れるセキュリティに関するデータはほとんどないからだ。とはいえ,公表されたセキュリティ・ホールの数だけで,ソフトウエアの安全度を判断されることを筆者はとても懸念する。そうなれば,公表しない者勝ちになってしまう。不誠実なベンダーが開発したソフトウエアが安全と判断され,積極的に情報を公開するベンダーのソフトウエアが危険とされてしまう。それはおかしい。
重要なのは情報公開と対応の早さ
Mozilla Foundationの公式アフィリエイトであるMozilla Japanに,Symantecのレポートの感想を聞いてみた。「確かに(比較的)多数のセキュリティ・ホールを公表しているが,すぐに対応している。ユーザーには,公表したセキュリティ・ホールの数だけではなく,情報公開や対応の早さなどを含めて総合的に判断してほしい」(技術部 プロダクト開発担当の吉野公平氏)。
筆者もそのとおりだと思う。セキュリティ・ホールが見つかることはある程度避けられない。問題は情報公開と対応の早さだ。できるだけ早く修正版やパッチを公開し,それらの適用の必要性を分かりやすく告知することがベンダーにとっては重要だ。筆者は,FirefoxもIEも,セキュリティ情報を積極的に公開していると思っている。
だが,セキュリティ・ホールを隠したがるベンダーは少なくない。第三者が発見し公表しているセキュリティ・ホールに関して,当事者であるベンダーに筆者が問い合わせると,「次期バージョンで修正するから問題ない。無用の混乱を招くからユーザーには知らせない」と回答されたことが何度となくある。セキュリティ・ホールを公表することよりも,そういった対応をすることのほうがユーザーの信頼を失うと思うのだが・・・。
「情報公開」という言葉にも過敏に反応する。筆者は,パッチや修正版の公開前にセキュリティ・ホールの詳細を公表しろといっているのではない。「起こりうる問題と対応策」を広くユーザーに知らせることを「情報公開」といっているつもりだ。そういった話をしても,「セキュリティに関することなので,一切公表するつもりはない」の一点張りというのはいかがだろうか。筆者には言わなくてもよいので,せめてユーザーには伝えてほしい。
「情報は公開している」というベンダーでも,信じられないくらい“深い”ディレクトリにセキュリティ情報ページを用意しているところもある。トップページからはとてもアクセスできないようなところに置いて,「情報を公開している」と言えるのだろうか。
あるベンダーの方からは,「どうして(わが社の製品の)セキュリティ・ホールの記事を書くのか分からない。一度,理由を聞きたいと思っている」という言葉をいただいたこともある。筆者としては,その製品のユーザーの一助になると思って記事を書いているのだが・・・。
セキュリティ・ホールが見つからないことに超したことはない。だが,プログラムが肥大化を続ける現状では,なかなか難しいだろう。セキュリティ・ホールを見つける「バグ・ハンター」たちのスキルも向上している。セキュリティ・ホールが見つかることよりも,きちんと対応しないことのほうが問題なのである。セキュリティ・ホールを公表したがらないベンダーの方には,そのことを理解していただきたい。「セキュリティ・ホールは公開しないほうがよい」と思っているのは当事者だけである。ユーザーはその不誠実さを見逃さない。
