ITmedia エンタープライズ『脆弱性が最多のブラウザはFirefox――Cenzic報告書』に注目が集まっているようだが、脆弱性の数だけを問題にする風潮には違和感を覚えるので、基本的な点をおさらいしておこう。

まず、Webブラウザの脆弱性は、公開されてはじめてカウントされる。公開するのは、開発元のこともあれば、外部のセキュリティ研究者のこともあるが、コードをよく知っている開発元が積極的に脆弱性について調査・公表すれば、カウントは増える。逆に、外部から指摘されるまで公開しない開発元の場合、脆弱性の数は見かけ上減る。しかし、それは潜在的な危険性の低さを何ら意味しない。

次に、Webブラウザの脆弱性は、危険度の高いものから低いものまでさまざまだ。脆弱性の数が少なくても、危険度の高いものが繰り返し発表されるなら、設計のどこかに大きな欠陥があるのかもしれない。他方、危険度の低い脆弱性が多いのであれば、数の見かけほどは脅威でないことになる。

それから、Webブラウザの脆弱性は、公開から修正までどの程度の時間がかかったかも考慮しなければ、正しく評価できない。パッチが出るまで数か月も放置されるようでは、脆弱性を悪用するコードが出回るのを許すことになり、ユーザーにとって危険極まりない。また、パッチの提供ルートも重要だ。自動アップデートが行われるならいいが、ユーザーがファイルをダウンロードしてパッチを当てるとなると、実行しない人もたくさん出てくるだろう。安全性の面からは、もちろん自動アップデートが望ましい。

最後に、Webブラウザの脆弱性は、シェアの高いブラウザほど攻撃の標的になりやすいこともあり、研究者を含めた第三者から脆弱性を発見されやすい。ユーザーが多いほど脆弱性を突いて攻撃したときの効果も上がりやすいわけで、こうした事態は避けがたい。

Firefoxに関していえば、Mozillaが脆弱性を精査して積極的に公開しており、約25％のシェアを有しているので第三者のチェックも厳しい。重大な脆弱性が発見された場合は、特別のスケジュールを組んで、数週間以内にセキュリティアップデートを実施しており、もちろん自動アップデートで差分が提供される。

その意味で、安全性にきちんと配慮されていることは疑いがない。あとは、危険性の高低の問題だが、これはそれこそ専門の研究者が評価すべき点だろう。報告を出したCenzicは、企業向けのセキュリティサービスを手がける米国の会社らしいが、脆弱性の数に危険度を掛け合わせた総合評価をなぜ発表しなかったのか。セキュリティ問題を考える上での鉄則を踏まえないようでは、報告の信憑性にもかかわるというべきだ。