IBM傘下の米ISS(Internet Security Systems)は今年1月、同社の研究開発チーム"X-Force"がまとめたセキュリティ・レポート"IBM Internet Security Systems X-Force 2006 Trend Statistics"を公開している。

7月24日(現地時間)、同社のセキュリティ戦略担当ディレクター(Director of Security Strategy)のGunter Ollmann氏がブログでこのレポートについて改めて言及したことで、再び注目されている。話題に上ったのは「脆弱性の多いソフトウェア・ベンダー トップ10」(Top-10 Vulnerable Vendors)というリストだ。

このリストには同社の新オーナーであるIBMが5位にランクインしているため、このリストをレポートに含めるかどうかについて社内でも議論になったと同氏は明かしている。幸いにもリストは当初の方針通りに掲載されたのだが、同氏は、もしもIBMが6~10位にランクされていた場合としたら、Top5リストの掲載で打ち切っていた可能性があったとも言っている。この時期になって再びブログで取り上げられたのは、このリストに対する反応がそれだけさまざまあったということなのかもしれない。

同氏はこのリストが(たとえば売上高でみた)ソフトウェア・ベンダーTop10というリストとほとんど同じであるという点を改めて指摘している。人気のあるソフトウェアには先進的な機能、便利な機能が実装されているものであり、一方ソフトウェアに機能を盛り込めば、それだけバグや脆弱性が入り込むことになるものだ。メジャーなソフトウェア・ベンダーは人気のある製品をリリースしているものであり、それを考えれば、たとえそうした会社が業界最高水準の品質保証体制やテスト・プロセスを持っていたとしても、脆弱性の数が多くなるのは避けられないことになる。

同氏がこのタイミングでこのリストに言及した理由は、レポートをまとめた当時には実施しなかった分析を先頃行なったためだという。それは、トップ10リストに名前の上がったソフトウェア・ベンダーが年間の脆弱性発見数にどの程度貢献したかを示すものだ。年間の全脆弱性発見数のうち、ソフトウェア・ベンダー自身が公開した脆弱性がどのくらいの比率になるかを求め、その過去5年間の推移をグラフ化したところ、右肩下がりのグラフが得られたという(図1)。2006年の脆弱性の公開数が記録的な伸びを示していることと考え合わせると、この結果は予想外といえる。

同氏はこうした傾向が示される理由について、以下のように考察している。

  • メジャーなソフトウェア・ベンダーではソフトウェア開発における品質保証とテスト手順の改善を行なっており、その結果見つけやすい脆弱性は一通り見つかってしまった。経験の浅い研究者では見つけられないような脆弱性ばかりが残ったということになる。
  • 主要ソフトウェア・ベンダーのリリース・サイクルは長期化する傾向にある。その間にさまざまなセキュリティに関する調査対象となり続ける。
  • ソフトウェア・パッケージのリリース数としては主要ソフトウェア・ベンダー以外の会社がリリースする数のほうが多く、こちらのほうにより発見しやすい脆弱性が多く含まれている。このため、こうした新進ソフトウェア・ベンダーが報告する脆弱性の数が多くなる傾向がある。

基本的に、ソフトウェアの開発プロセスの成熟に伴い、脆弱性が見つけにくくなる傾向があるのは間違いなさそうだ。

参考までに、1月に公表されたレポートに記載されたTop-10 Vulnerable Vendorsのリストを図2に示す。企業名としてはメジャーなところばかりであり、その意味では意外性はない。問題のIBMは5位にランクインしており、仮にTop5リストに変更したとしてもランキング入りは避けられなかったわけだ。なお、このリストのベンダーによって情報が公開された脆弱性は、発見された全脆弱性の14%に留まる(図3)。レポートでは、「トップ10にランク入りする主要ベンダーから提供されるアップデートやセキュリティ・パッチの適用だけでは、その他のソフトウェアに含まれる多数の脆弱性が未対処のまま残ることになる」と警告している。

図2
出典: X-Force 2006 Trend Statistics(以下同)
図3

では次に、改めてセキュリティ・レポートの中身を読んでみよう。