Firefox web browser - Faster, more secure & customizable

Secuniaが発表した毎年恒例のセキュリティレポートの2008年版『Secunia 2008 Report [PDF]』において、代表的な4ブラウザ (IE、Firefox、Safari、Opera)の脆弱性報告がまとめられている。報告によれば2008年における脆弱性はブラウザごとに次のようになる。

  • Firefox 115件
  • Safari 32件
  • IE 31件
  • Opera 30件

Mozillaでセキュリティ関連のディレクタとして業務に従事しているLucas Adamski氏は6日(米国時間)付けのブログBeware the Security Metricで同報告について言及している。簡単にまとめるとセキュリティ測定は難しい作業で、ここであげられているようなやり方で数値比較をおこなうことは適切ではないということだ。数値をそのまま受け取れば2008年のFirefoxは他のブラウザよりも4倍も脆弱性が発見されていることになるが、そういった比較は適切ではないのだという。

Lucas Adamski氏はブログで次の言葉を使ってこの報告に対する意見を述べている。「これは同じ大きさの都市の交通事故率を比較するようなものだ。片方の報告はニュースになったものだけで、もう一方はすべての交通事故を報告している。これら数値を比較することは意味がない」

MozillaではFirefoxで修正されたすべてのセキュリティ問題を開示し報告している。それはどういった方法で発見されたかに依存していない。セキュリティ問題であれば修正し開示するスタンスだ。ほかのベンダのように外部のグループによる指摘を受けただけであったり、内部の開発者や品質保証チーム、セキュリティコントラクタがあげてきた問題だけを開示しているわけではないと説明している。

ただしそれらベンダが優れたチームを構成してセキュリティ問題に取り組んでいることは認めており、ベンダの取り組みよりも報告の方を問題視しているようだ。このような報告のやり方では、セキュリティ発見を減らして隠蔽した方がいいという理由を企業側に与えることになってしまうとみているようだ。Lucas Adamski氏はブログで、これではセキュリティ的には後退となると述べている。