脆弱性の数により安全性が低下するとは限らない

概要：
最近のレポートでは、2009年前半に報告された脆弱性の多くがFirefoxに関するものであると報告されている。これはFirefoxが最も安全性の低いWebブラウザである根拠になるのか。Corey氏はそう思わない理由について以下のように述べている。

詳細：
セキュリティベンダーであるCenzicは、最も被害を受け易いWebブラウザはFirefoxであり、Safariがそれに続くとしたセキュリティ傾向に関するレポートを発表した。レポートは、2009年の前半に研究員が各ブラウザに対して脆弱性を報告した回数に基づいている。 ちなみに、インターネット・エクスプローラー（IE）はFirefoxと比較してその脆弱性の数は3番目であるため相対的に安全性は高いといえる。

この統計値により最も安全性が低いブラウザがFirefoxであると誤解しないでいただきたい。 私は、この状況について疑問を感じている。 Cenzicのレポートは報告された脆弱性の重大性について考慮されているとは思えない。 また、誰が脆弱性を報告したのか、そしてMozillaがどのくらい迅速に脆弱性に対するパッチを提供したかについて考慮されていない。

攻撃者とセキュリティ研究員のどちらが先にセキュリティ上の脆弱性を発見したかにより実世界に与えるインパクトの大きさは異なる。対応策が未公表であるゼロデイ脆弱性と、ベンダーが脆弱性について把握し説明した後で公表されるケースでは大きな違いがある。

半年の間に最も多くの脆弱性が発見されることは必ずしも最も危険であると示しているというわけではない。 私は他のブラウザに比べIEが狙われやすい傾向にあるのではと疑っている。私のWebブラウザに関するアドバイスは常に一貫しており、他のブラウザと比べて唯一つのブラウザが安全であるとは考えていない。ブラウザは全てセキュリティ上の脆弱性を持っているものである。私は拡張機能であるNoScriptを理由にFirefoxを使用することを選択する。拡張機能であるNoScriptは、信頼のおけるサイト上で簡単にスクリプトの実行が許可される間にも、デフォルトで数多くのスクリプトをブロックする。そのため、Webサイトに危険があることを知りながらも、気楽にWebを閲覧できる。またMozillaはたとえ多くの修正があるとしても、脆弱性が発見されると比較的すぐにパッチを提供する傾向がある。

そのため、このような調査結果を解釈する際は慎重に行う必要がある。

Corey Nachreiner, CISSP

【原文】
Having the most reported vulnerabilities doesn't necessarily make something the least secure
http://www.watchguard.com/RSS/showarticle.aspx?pack=RSS.FF.vulns