Mozillaのセキュリティチームに所属するJohnathan Nightingale氏いわく、セキュリティ問題を測るうえで欠かせない3つの要素があるという（『Measure What Matters - The SEC Essentials』）。Severity（深刻さ）、Exposure Window（露出期間）そしてComplete Disclosure（情報開示）だ。頭文字を取ってSECと呼ぶ。セキュリティホールの数がそこに含まれていないことに注意してほしい。

Severity（深刻さ）は、そのセキュリティホールが自動的に悪用されるものかどうかという基準である。ユーザーにとってたんに迷惑であるとか、ユーザーが攻撃者に手を貸さないと成立しないセキュリティホールであれば、自動的に悪用されるケースよりは深刻さが低くなる。

Exposure Window（露出期間）は、それぞれのセキュリティホールがどの程度の期間ユーザーを危険に曝したのかを問題にする。数が多くてもすべて短期間のうちに修正されるのであれば、ユーザーにとっての危険度はぐっと下がる。

Complete Disclosure（情報開示）で重要なのは、ベンダーが外部の者から報告されたセキュリティホールに限らず、内部で発見したものも開示すること。外部から報告されたものに限ってしまえば公表されるセキュリティホールの数は減少するが、それはユーザーにとっては無意味だ。実際に悪用可能な穴が少ないことを何ら意味しないのだから。こうした態度を許せば、内部に強力なセキュリティチームを作ろうという意欲が失われ、受動的な対応に終始するベンダーも出てくるだろう。

このようにMozillaがSECを強調するのは、製品（とくにFirefox）に自信があるからに他ならない。セキュリティホールの報告数がFirefoxよりも少ないからといって、深刻なものの数まで少ないとは限らないので、そのWebブラウザが安全かどうかは別問題だ。Mozillaは短期間のうちにセキュリティリリースを提供できる能力を備えているし、現に提供している。最近ではFirefox 3.0.8がその例である。また、内部外部を問わず、発見されたセキュリティホールはきちんと公開している（セキュリティアドバイザリ参照）。

SECを踏まえた分かりやすい指標はまだないが、セキュリティ問題を扱ったニュースに触れる際、この3つの要素を念頭に置いておくと理解が深まるだろう。