「公表されている脆弱性は氷山の一角」--IBMが警告

　IBMのInternet Security Systems（ISS）部門は、セキュリティ脆弱性の数について、公表されている数と発見されているが未公表の数の間に「大きな隔たり」があると警告した。

　ISSのセキュリティ戦略担当ディレクターであるGunter Ollmann氏は自身のブログで、2006年にISSの研究者らが分析した公表済みの脆弱性の数は7000件強だったが、コード内で発見される新たなセキュリティ脆弱性の数は年間13万9362件に上る可能性があると指摘している。

　Ollmann氏は、ソフトウェアベンダーに報告され、現在修正中の脆弱性や、企業内部で発見され、内密にパッチが適用された脆弱性を考慮した上で、この推定値を弾き出した。

　またOllmann氏は、複数の組織がセキュリティ研究者からゼロデイ脆弱性（パッチがリリースされていない脆弱性）の情報を購入し、機密保持契約の下で顧客に情報が提供された可能性もあると付け加えた。また、その他の組織やハッカーたちも密かにゼロデイ脆弱性を利用して悪意あるソフトウェアを開発している可能性があるという。

　Ollmann氏はブログの中で、セキュリティサービスとの契約の下で（ペネトレーションテストなどを通じて）発見された脆弱性、発見されたものの「あまりに軽微」で企業に報告する必要はないと判断された脆弱性、さらに英語以外の言語に対応したソフトウェアを対象とするため、一部のアナリストが把握できない脆弱性を含めると、脆弱性の総数は「膨大な」数に上ると指摘している。

　しかし、一部のセキュリティ専門家らは、Ollmann氏の既知および未知の脆弱性の定義に疑問を呈した。

　「（Ollmann氏）が新たな脆弱性や未知の脆弱性に分類しているものは、まさに世間に知れ渡る過程にあるものだ」と指摘するのは、セキュリティ企業McAfee UKのアナリスト、Greg Day氏だ。Day氏は、ペネトレーションテストによって脆弱性の存在が明らかになっても、これらの脆弱性は決して公表されず、企業内部でパッチが適用されるため、それらの脆弱性が悪用されるリスクは低いと付け加えた。

　また、市場調査会社Canalysのシニアアナリストを務めるAndy Buss氏は、多くの企業内システムは直接インターネットに接続されていないとした上で、ISSが主張するリスクは「割り引いて考える」必要があると指摘した。しかし同氏は、ISSが弾き出した未知の脆弱性の推定数は「控えめな数字だ」と付け加えた。

　Buss氏は「企業内で使用されている多くのソフトウェアが一度もテストを受けていないことを考えると、IBM ISS（が弾き出した13万9362件という数字）は控えめと言えるだろう」と述べ、さらに「実際の数字は、それよりもはるかに多いと見ている」と付け加えた。

　一方、McAfeeのDay氏は、未知の脆弱性の正確な数の提示には難色を示した。「現実的には、アプリケーション、システム、インフラには膨大な数のコードが存在し、攻略あるいはテストすべき可能性も膨大だ。よって、（13万9362件という数字が）高いか低いかについてのコメントは差し控えたい」（Day氏）