年初めに公表されたセキュリティー統計

　オープンソースより、ウインドウズの方が脆弱性が少ない、そんなセキュリティー統計報告をCERTが公表した。このようなセキュリティー統計を鵜呑みにすると、誤解を与えるので、詳しいところは、下記の米国CERTのホームページを参考にして欲しい。

　全体的に言えることだが、セキュリティー統計に関する報告に振り回されないことが大切だ。情報提供者の考えを誘導させるためにセキュリティー統計は、しばしば利用される。例えば、セキュリティー統計を実施した調査期間。これを明記せずに引用するケースとしては、市場シェアを取り戻す企業がよく使う手だ（ご用心）。「2005年」と「2005年度」では3ヶ月分のズレ（1月から3月)を誤魔化すことができる。ちなみに、CERTの報告では、2005年1月から12月までが期間となっている。

　また、統計発表側が、結論に関するサービスを提供しているケース。これは明らかな営業向けの調査結果であるケースが多い。最近では、事業継続、日本版SOX法対応に関するコンサル会社、アドバイザリー業務という名目でコンサルティングを実施している企業が、調査を実施して結果を公表している。

統計に対する考え方

　CERTの報告に話を戻そう。オープンソース陣営には不利に思われる報告であるが、セキュリティーを生業にしている著者は、次のように解釈している。

・氷山の一角で判明した統計情報は、信用するしない以前の話
　諸事情で公表されない脆弱性の数は多数存在する。ある国際的な事務機器会社でも、公表されていないセキュリティー修正プログラムは多数存在している。あるベンダーでは、非公開となっている脆弱性は、本部（例えばオースチン）に問い合わせなければ入手できない仕組みだったりする。まぁ公表しているメーカーはマシだ。
　似たようなケースは日本でも起きている。あるセキュリティー機関では、かれこれ10年以上前からコンピューターウイルス感染報告の統計が発表されている。その情報源は、自己申告に頼って統計結果を公表してきた。その機関は、国内ベンダーから研究者を受け入れており、一部の情報が流用され、営業活動に使われたりしていたが、それよりも重要な事は、報告された件数の何倍ものウイルスに感染が存在していた事実である。
　その結果、今では、自己申告による統計情報は信用できないことが明らかとなった。鵜呑みにした新聞社は記事にしたが、事情を知っているIT系のメディアは、ウイルス対策ベンダーからの情報を参考にするようになった。現在では、ウイルス対策ベンダーから提供される情報を元に記事にされるケースが大半だ。メディアの顧客（広告主）という関係もある点を差し引いても、複数のウイルス対策ベンダーからの情報を比べれば正確なことが裏付けられたからだ。氷山の一角を裏付けるセキュリティ調査でなければ、意味はない。

・ソースを舐めてセキュリティーを確保する手法では、件数は多くなる

　プログラミングの勉強方法の一つとして、オープンソースは非常に勉強になる。私自身、授業では学生にも勧めている。その中で、バグを偶然発見したり、誤訳を発見することがしばしばある。その多くは、関連するコミュニティーに報告されるが、その一部をコミュニティーに報告せず、セキュリティー組織（CERTなど）に報告すれば1件とカウントされる。逆に企業が内部でバグを検出する手法を導入して開発するケースでは、件数は減る。ベータ版（試作量産製品）で製品評価をする場合、発見されたバグを公表せず、開発側に報告することを求めるケースでは、バグは組織外部でカウントされることは稀だ。
　つまり、ソースを舐めて安全性を向上させる開発アプローチでは、脆弱性をカウントする品質評価手法そのものが妥当なのか、という話になる。調査そのものに疑問を持たざるえない。

では、どうすればよいのか

　私なら、セキュリティー調査項目に「脆弱性を適用しない組織数」を追加し、比較する。ウインドウズ、オープンソース共に膨大な利用者が存在する今、最新バージョン（修正バグ件数）だけの比較はネットワークの安全性確保に貢献するのだろうか。むしろ、商用ソフトウエアならサポート切れの商用ソフトを利用しているサイト数、重大な欠陥を放置しているリビジョン（バージョンとは意味が違う）を外部向けに稼動させているオープンソースの特定ソフトの数で比較すべきだろう。過去の統計手法をそのまま引きずって公表していれば通用するほど、統計の魔術による誤解を広め、安全確保の道を誤ることになるからだ。

米国セキュリティー機関US-CERT
http://www.us-cert.gov/