武田圭史

　Windowsは多くの脆弱性が発見されているので危険だなどという話を聞くことは少なくなかった。これに対して、マイクロソフトからは実はWindowsはLinuxよりも脆弱性に関するアドバイザリーの発行数は少ないというアナウンスがなされ、先日もCNET Japanに「パッチの数はWindowsよりLinuxが多い」–Windowsの安全性をアピールするマイクロソフト」という記事が掲載されていた。

　一方、そもそも、パッチや発見された脆弱性の数を安全性の指標として使用すること自体に無理があるんじゃないか。むしろ、アドバイザリーが多いほど安全だと言ってもいいんじゃないかという意見もある。

　ソフトウェアの開発工程のテストの段階では検出できたバグの数をもって品質基準としているということもあるし、脆弱性が多く発見されているということは（リリース後とはいえ）それだけ多くの検証が行われているという見方もできる。また、内包するアプリケーションの数が多くなれば発見される脆弱性も多くなるだろうし、利用するユーザが多かったり脆弱性によって引き起こされるインパクトが大きければ、それだけ脆弱性を発見したり公開したりする動機付けも大きく、多くの脆弱性が発見されることになる。

　パッチの数というのはある見方では脆弱性の検証実績を示し、別の見方ではソフトウェアの重要性や社会的な位置づけを示すことになる、さらに別の見方ではリリース時点でいかに検証が足りていなかったかを示すとも考えられる。つまり数が多い方が安全とも言えるし、別の見方では数が少ない方が安全ということになる。

　クローズドソースのWindowsとオープンソースのLinuxではリリースに関する開発工程上の意味合いも異なってくるので、単純に発行されたアドバイザリーの数だけを使って、システムの安全性を比較する指標とすること自体に無理があるように思われる。

【参考情報】
「パッチの数はWindowsよりLinuxが多い」–Windowsの安全性をアピールするマイクロソフト(CNET Japan)
http://japan.cnet.com/news/ent/story/0,2000047623,20080635,00.htm

Windows Users Have Fewer Vulnerabilities(Microsoft)
http://www.microsoft.com/windowsserversystem/facts/analyses/vulnerable.mspx

More Advisories, More Security(Thierry Carrez@SecurityFocus)
http://www.securityfocus.com/columnists/299