極楽せきゅあブログ

ときどきセキュリティ

定量的な比較

セキュリティ

乗り換えましょう、という話をしたのにはもちろん理由があるんですが、良いお題をいただいたのでその側面から検討してみるです。
定量的な比較とかいうと、単純に考えるとこれまでに出した脆弱性の数とかいう話になりそうですね。しかし、既出の脆弱性よりもむしろ、潜在的にどれだけ脆弱性、言い換えるとリスクが含まれているか、ということの方が、使い手としては問題なのではないでしょうかねえ。そうなるとしかし、定量的な比較ってのはハナっから無理ですね(笑)。潜在しているものなんて数わかんないわけですし。
そこでどう考えるか、ってぇと、玉虫色的に言えば「総合的に判断(笑)」せざるを得ないような気がします。
まず見過ごせないのは、やはりIEの方が多機能である、という点でしょうかね。ActiveXが付いてるだけ、というコメントがありましたが、IEにはその他にも独自の機能がけっこうありますよね。対応しているスクリプトが多かったり、ファイルの取扱いなどに関しても独特の動きをしたりする部分もあります。逆にファイアフォックスやOpera独自の機能というのは、それほど多くはありませんよね。少なくとも、コードの中で「モジュール」とでも呼ぶべきデカイ機能が追加されている数で言えば、IEの方が多いと言えるでしょう。
まあそれだけ便利と言えるわけですが、モジュールが多ければバグも多くなるのが世の習いなので(笑)、その分潜在的なリスクは多くなる傾向にあると言って差し支えないと思います。
次に材料として使えるのは、例えば対応力、ってことになりますかね。
もちろん脆弱性がたくさん出ること自体、潜在的なリスクが多いという可能性を示唆しているわけですが、まあでも長い間開発している現場では、人材の新陳代謝も行われているわけだし、現時点でバリバリ対応できる力があれば十分に穴埋めできるかも知れません。と考えると、脆弱性が報告されてから直ってくるまでの期間、というのにその本気度や技術力、開発費用などの「対応力」が表れてくると言えるでしょう。eEyeが出していた指標はそういう材料に使えますね。単に数の比較、もしかすると脆弱性のシビアさを点数やランキングにした比較などより、むしろ「対応に要する期間」とかの方が使えそうです。
しかし、この点について「定量的」にデータをまとめてはいません(ヲイ)。ただ、ここ数年、MVPに選んで頂いたりしたことがきっかけとなって、これまでどちらかと言えばIEのバグが発表されるたびに「ふーん、また出たのかー」と反応していただけの立場だったんですけど、こちらでおかしいと思ったことや見つけたことを積極的に報告するというふうに自分のスタンスを変えてきました。で、報告やそれに対するレスポンスなど、そういうやり取りを通じて得た感触から言えば、マジメにやる気があるのかどうかすら疑わしい部分もあったりします。ブラウザがいきなり落ちたり、いきなりどうしようもなくXSSになったりするのに、仕様だとかにべもなく言われちゃうんですよね。仕様だというなら、ディスクローズしても何ら問題はないことだと思うのですが、しかしそれをそのまま公表するのをためらわれるような内容だったりして、報告者がうんうんうなって悩んでたりするわけです。
もちろんすべてがそういう反応ではなくて、すごく良くやってるなあ、という部分も多いすね。特に日本側の対応などには涙無くしては語れないというのもあります。そういう対応に加えて開発側がマジメにやる気をもう少しだけでも出していたら、あれだけの会社ですから不利な条件(潜在的なリスクの多さなど)を補って余りあるような「対応力」として評価できるはずだと思いますが、現状は本国の開発側がすっかり台無しにしてると思いますね。残念ながら。
そういう意味では、昨日記事にしたようなネタを発表されたあとのファイアフォックスの対応というのに注目してます。これまで、本気になったマイクロソフトとかには及ばないものの、報告から対応、というところは良くやってたと思いますが、ネタの中身次第では非常に重たくなりそうですからね。「対応力」として評価すべきパワーの真価ってのが問われる気がします。ただまあ、どちらを使うのか、と言われたら、ファイアフォックスとかに乗っかる方がまだ安全だろうな、という印象には変わりはありませんけどね(笑)。
もちろんブログで書いてあることをどう受け止めるかは読み手それぞれだし、「定量的なデータがねえじゃん」というのはむしろここで書いた意見の「説得力」に対する批判だと思います。そういう意味では、ここで書いたようなネタを少しでも書いておくべきだったかなーとは思いますが、まあブログなんでね(笑)。そんな毎日力入れてたら続かないしなーヽ(´ー`)ノ
ってかこれからは脱力系めざそうかなー(笑)。
というか、もしかしてISMS的リスク分析に倣って、対応力=(脆弱性報告から対応済みとするまでの日数×リスクのシビアさ)*(一定期間内の)脆弱性件数、とかいう式にすると指標になるのかな?どっかやってくんないかな(人任せ)?