モジラの新セキュリティ責任者は元MS社員 - (page 2)

--そして今度はMozillaの一員となられたわけですが、これは難しい挑戦ですか、それとも心配事は何もないのでしょうか。

　ここにはチャンスがあります。Mozillaは特別な場所です。それはMozillaにコミュニティーがあるからです。われわれは開発を通して学んだことや、Mozillaのエンジニアリング環境を世界中の人々に提供することができます。製品開発を通して学んだことを、他の人々にも提供することができるのです。

--それはどういう意味ですか。

　Mozillaはこれまで、すばらしい活動を行ってきました。Mozillaはこうした活動を続けるだけでなく、プロセス全体を外部と共有することもできます。Mozillaの製品はオープンソースプロジェクトなので、われわれが学んだ教訓は他の人々の教材となります。これほど刺激的なことはありません。

　たいていの営利企業はプロプライエタリなソフトウェアを使っています。こうしたソフトウェアのソースは公開されていません。最終的な製品を見ることはできても、その過程を見ることはできないのです。しかしMozillaの製品、たとえばFirefoxなら最終的な製品だけでなく、それまでのステップをすべて見ることができます。

--Mozilla製品のセキュリティをどう思いますか。

　すばらしい取り組みがなされてきたと思います。

--しかし、安全なものは何もないのですね。

　安全なものは何もありません。当然、改善の余地はあります。

--FirefoxはMicrosoftのInternet Explorerより安全ですか。

　それはセキュリティを評価する方法によります。セキュリティを評価する指標として、私が特に重視しているのは「リスク日数」です。つまり、ベンダーがユーザーにパッチを提供するまでにかかる時間、パッチが提供されてから適用されるまでにかかる時間です。

　Mozillaは脆弱性が発見されてからパッチが提供されるまでの日数を大幅に短縮することに成功しました。この間隔は今も狭まりつつあります。

--FirefoxはInternet Explorerより安全ですか。ひとことで答えてください。

　この質問にひとことで答えることはできないと思います。

--イエスかノーかで答えられないのですか。

　リスク日数を考える必要があります。プロセス全体--対応のスピードやプロセスの透明性を考える必要があります。