japan.internet.comThe Internet & IT Network
Twitter
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年11月22日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
事業仕分けによる次世代スーパーコンピューターの開発予算削減について、どうお考えですか?
賛成
反対
どちらとも言えない
投票締切 11/30 12:00
Webビジネス2008年7月9日 13:20

Mozilla、『Firefox』のセキュリティ追跡で新たな取り組み

海外海外internet.com発の記事
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
Mozilla Foundation が、Web ブラウザ『Firefox』が実際どの程度セキュアな状態にあるのか、長期的に計測する方法の確立に取り組んでいる。

一見良いアイディアに思えるが、実際の計測がもたらす価値については大いに疑問を感じる。似たような計測法は、すでに Cisco Systems や Oracle などが業界標準のやり方で確立しているからだ。

Mozilla Corporation のセキュリティ責任者 Window Snyder 氏は、『Mozilla Security Blog』への投稿でこのプロジェクトについて明らかにし、次のように述べている。

「われわれは単純に脆弱性を数えるだけではなく、セキュアな開発作業の効果、およびユーザーの相対リスクの両方を、長期にわたってより正確に反映できるモデルを開発しようとしている」

ここで視点を一歩引いて考えてみよう。そもそも、単純に脆弱性を数えることの何が問題なのか?

Mozilla のセキュリティ勧告では、1回の勧告につき CVE 識別番号の付いた脆弱性1件またはそれ以上に対応している。CVE 識別番号の付いた脆弱性1件につき、Mozilla のバグ管理システム『Bugzilla』のエントリが1つまたはそれ以上添付される。つまり単純に計算すると、Mozilla のセキュリティ勧告1回につき複数のバグが修正されていることになる。Mozilla のセキュリティ勧告はすでに、複数の関連する脆弱性を1つの問題としてまとめるという仕事を立派にこなしているわけだ。

そこで疑問だが、どんなベンダーであれ、ベンダーが修正するバグや問題の数、あるいは公開するセキュリティ勧告の数の多い少ないが、そのベンダーのセキュリティの高い低いを決定するものなのだろうか?

Mozilla は1回のリリースにつき多数のバグを修正するが、それは、必ずしもそのリリース自体がセキュアでないということではない。しかし、単純にバグや脆弱性、セキュリティ勧告の件数を数えることは、特定のプロジェクトに関するセキュリティ対策を評価するための、単純だが非常に現実的な方法といえる。

確かに、Mozilla が多数のバグを修正している事実を利用して、一部の出来の悪い記者 (もしくは競合ベンダー) がその数字を根拠に何か否定的な見解を述べる可能性はあるだろう。しかし同時に、その同じ数字を、前進している証拠として肯定的にとらえることも可能なはずだ。

相対的なセキュリティを理解することは、バグの正味の影響と深刻度を理解することと同様、素晴らしい発想には違いない。だからこそ、Oracle と Cisco という世界の2大技術ベンダーは、脆弱性の深刻度を定義する業界標準の脆弱性評価システム『CVSS』(Common Vulnerability Scoring System) を採用しているのだ。

  • プリンター用
  • 記事を転送
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • BuzzurlにブックマークBuzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
最新トップニュース
Graphic Design Forum
【Graphic Design Forum】
流動的媒体と静的媒体に関する見解(11月18日)
「IT の耳」
「IT の耳」
【書評】『Hyper-V スタートアップバイブル』――仮想化についてのすぐれた解説書(11月20日)
百式のネットビジネス研究
百式のネットビジネス研究
世界でもっともパワフルな iPod のスピーカー「Wall of Sound」(11月20日)
週刊-サイト別アクセス状況データ
週刊-サイト別アクセス状況データ
ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)(11月19日)
海外ソーシャルウェブに学ぶ成功の秘訣
海外ソーシャルウェブに学ぶ成功の秘訣
ゲーム業界を襲う世界的な激震。ソーシャルゲーム急成長のインパクト(11月19日)
今さら聞けない初歩からのアクセス解析
今さら聞けない初歩からのアクセス解析
サイトリニューアル前のアクセス解析活用法(11月19日)
成約率、反応率を上げる Web 文章術
成約率、反応率を上げる Web 文章術
文章力を磨き、キャッシュを生み出す Web サイト に(11月19日)
「Webからの脅威」―その傾向と最新対策
「Webからの脅威」―その傾向と最新対策
新たな対策技術:スパムフィルタリングと E-mail レピュテーション(11月18日)
ROI向上のための戦略的WebPR
ROI向上のための戦略的WebPR
「戦略的 WebPR」のしかけ方〜WebPR の効果測定手法とは〜(11月18日)
スマートにソーシャルウェブを構築しよう
スマートにソーシャルウェブを構築しよう
社員力を生かすソーシャルメディアポリシー(11月17日)
DevX
DevX
Erlangを使った並列処理プログラムの作成(11月17日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/