この調査結果を明らかにしたのは、米国IBMインターネット・セキュリティ・システムズ(ISS)に所属するX-Forceチームのセキュリティ戦略ディレクター、ガンター・オールマン氏である。
オールマン氏は、X-Forceが2002年から2006年にかけて収集した脆弱性情報を分析した結果、前述のソフトウェア・ベンダー上位10社が報告したセキュリティ脆弱性の割合が、2002年の20.2%から2006年には14.6%に低下していることがわかったと説明する。
同氏によると、上位10社のソフトウェア・ベンダーが品質保証および検証プロセスを改善した成果の結果であるという。これらの企業は、ソフトウェア・パッケージを何度も更新して版を重ね、セキュリティ研究者に脆弱性の存在を綿密にチェックさせる体制を確立してきた。
上位にランキングされるソフトウェア・ベンダーは、一般的に規模が非常に大きく、巨大なインストール・ベースを持っている。セキュリティ研究者やハッカーは、大きなインパクトを与えることができるという理由から、こうした大手ベンダーをターゲットとして選んできた。
しかし、大手ベンダーが自社のソフトウェアを効率的に防御することに成功し始めたことから、ソフトウェア研究者やハッカーは比較的新しいベンダーとそのアプリケーションにターゲットを移し、その結果、公表される脆弱性の全体数が増えたと、オールマン氏は話している。
過去5年の間で脆弱性の報告件数が多かったソフトウェア・ベンダーの上位には、Microsoft、Cisco Systems、IBM、Sun Microsystems、リナックス・カーネル・ファウンデーションの名前が常に見られたという。2006年には、Oracle、Apple、Mozilla、Adobe Systemsがランクインしている。
オールマン氏によると、2006年にこれらのベンダーの製品に発見された脆弱性の総数は964件であり、全ベンダーが公表した全脆弱性の約14%を占めた。残りの85%以上の脆弱性は、比較的小規模なベンダーの製品に見つかった。例えば、この年に公になった脆弱性のうちおよそ1,000件は、小規模ベンダーのPHPアプリケーションに関するものだったという。
また同氏は、上位10社に入るベンダーが発表した脆弱性は、小規模ベンダーが明らかにした脆弱性よりも、はるかに多くの人々に影響を及ぼすおそれがあると指摘する。しかし、その一方で、公になった脆弱性の修復に関しては、大手ベンダーのほうが効果的な対応を取れているケースが多いのも事実だという。
上位10社が公表した脆弱性のうち、2006年中に修復されなかった脆弱性の割合は14%にとどまるが、そのほかの企業の製品に存在した脆弱性は、全体の65%が未修復のまま放置されており、脆弱性を検知したり、ユーザーに危険を知らせたりする仕組みについても、小規模ベンダーより大手ベンダーのほうが優れていると、オールマン氏は説明している。
(ジャイクマール・ビジャヤン/Computerworld オンライン米国版)
米国IBMインターネット・セキュリティ・システムズ
http://www.iss.net/