Google社内のWindows離れ？

Googleが社内でWindowsの使用を段階的に中止していくという
報道を昨夜聞いてからちょっと関連報道を見ていたところ、"Win
dows以外のOSはユーザやハッカーにとってもなじみが薄いから
安全"という趣旨の言葉がありました。が、実際のところはどうな
のでしょうか。

●脆弱性データベースを使って対応件数を調べてみる
例えば、"すでに知られている脆弱性の数だけでOSの強度が
明確になるわけではない"という反論はあるかもしれませんが、
その気になれば誰もが見ることができる指標として、Web上で
公開されている脆弱性データベースを利用してみました。

JVN iPediaという、日本語で脆弱性情報をチェックできるデータ
ベースでは、深刻度を「危険」、「警告」、「注意」の3つに分類
しており、この深刻度とキーワードを絡めた検索を行う事がで
きます。

仮に、深刻度が「注意」の場合を比較的低リスクと見たとして
Windows、Linux、Macintoshという各OS名（製品名の細かな
違いを吸収する意図で、上記の様に大まかなキーワードを設
定し、日付などは未設定にしています）と「危険」、「警告」と
いった深刻度を組み合わせてサーチしてみると以下のように
なります。

------------------------------------------------------------
深刻度：危険
Windows ：495件（53%）
Linux ：254件（27%）
Mac OS ：185件（20%）

深刻度：警告
Windows ：310件（38%）
Linux ：316件（38%）
Mac OS ：197件（24%）
------------------------------------------------------------

次に、海外における同様サイトの一例として、SecuniaでAdv
anced Searchをかけてみました。

ここでは、脆弱性がもたらす深刻度を"Critical Level"として
表記しており、JVN iPedia同様、検索時のキーに含める事が
できます。

そこで、最も深刻度が高いとされている「Extremely critical」
、次に中程度の「Moderately critical」を各OS名称と組み合
わせてサーチすると、どちらもLinuxが最多となります。

------------------------------------------------------------
Critical Level：Extremely critical
Windows ：37件（32%）
Linux ：50件（42%）
Mac OS ：30件（26%）

Critical Level：Moderately critical
Windows ： 582件（12%）
Linux ：3,693件（78%）
Mac OS ： 489件（10%）
------------------------------------------------------------

ちなみに、Mac OSとしているキーワードをMacintoshにすると、
絞り込まれる件数はぐっと少なくなります。

●各OSに対応する検証コードの件数を調べてみる
では、Windows以外のOSがハッカーにとってなじみが薄いの
か？という点については、脆弱性を検証できるコードをサーチ
できるサイトがいろいろ存在しますが、絞込んだ後の件数表示
機能を備えていないなどもあって、Googleで以下のキーワード
をそれぞれ入力してざっくりと見てみました。

site:www.milw0rm.com "Exploit" "OS Name"

site:www.securiteam.com "Exploit:" "OS Name"

securiteam.comを対象とした際、サーチ時に"Exploit:"と文字
列を囲んで検索精度を上げるようにしています。また、"OS N
ame"の中にある文字列が、各OS名となります。

------------------------------------------------------------
milw0rm.com
Windows ： 1,970件（58%）
Linux ： 1,140件（34%）
Mac OS ： 256件（ 8%）

securiteam.com
Windows ： 2,960件（81%）
Linux ： 604件（16%）
Mac OS ： 109件（ 3%）
------------------------------------------------------------

すると、上記のようにWindowsが多勢を占めました。

総合的に見ると、MAC OSへ安全性の軍配があがりそうに見え
ますが、Microsoftが主張しているようにWindows自体にも様
々な防御手法が提供されていますから、最終的にはどこまで
堅牢に構成できるかに依存する人的な割合の方が大きい様に
思います。

当のGoogleは、これまで社内でずっとWindowsばかりを使って
いたかといえばそうでもなく、2009年7月頃に公開されている
ITproの記事によると"Googleの社内ではデスクトップの半数
以上はLinuxで、Windowsは8分の1程度、後はMacintosh"と
いうことですから、慣れなどの利便性だけを考えれば、社内的
には元々大したインパクトはないのかもしれませんね。


■関連リンク
[報道関連]
グーグルのクリス・ディボナ氏：
「われわれはプロプライエタリソフトも重視している」
CNET Japan
文：Joris Evers（CNET News.com）
翻訳校正：編集部
2007年1月17日 08時00分

プロプライエタリ・ソフトウェア - Wikipedia

Google社内は既に“脱Windows”
- 記者の眼 特別編：「Chrome OS」私はこう見る
ITpro
2009/07/13

Googleが新入社員にWindowsの使用を禁止?Chrome OSへの移行準備か
Tech Crunch
by MG Siegler on 2010年6月1日

GoogleのWindows使用中止報道、Microsoftが公式ブログで反論
INTERNET Watch
2010/6/2 16:18

「GoogleがWindows利用中止令」の報道、セキュリティ専門家は疑問視
ITmedia エンタープライズ
2010年06月02日 08時38分 更新

[OS]
Microsoft Windows - Wikipedia

Linux - Wikipedia

Goobuntu - Wikipedia

Mac OS - Wikipedia

「世界一安全なOSはMac OS XとBSD」との英調査結果
INTERNET Watch
2004/11/04 12:32

BSDとMacOSは安全なOSなのか
tokix.net
2004/11/05 12:35

LinuxとWindowsを比べた場合，安定性や安全性が優れるのはどちらですか
Linux一問一答：ITpro
2007/02/08

WindowsやLinuxより安全なOSになることを約束するMINIX 3
Info Q
2009年5月31日 午後3時1分

安全性の高い新OSの開発にNSFが助成金 - Zero Day
ZDNet Japan
文：Ryan Naraine（Special to ZDNet.com）
翻訳校正：石橋啓一郎
2010年4月13日 16時37分

[脆弱性DB]
深刻度を色分け表示--脆弱性対策情報データベース「JVN iPedia」が刷新
CNET Japan
吉澤亨史2007年11月26日 20時24分

脆弱性の深刻度評価の新バージョンCVSS v2について(2007年8月20公開)
独立行政法人 情報処理推進機構
セキュリティセンター
最終更新日 2009年11月30日

情報処理推進機構：情報セキュリティ：共通脆弱性評価システムCVSS概説
独立行政法人 情報処理推進機構
セキュリティセンター
最終更新日 2010年2月25日

[Bug Hunting]
Bug Hunting, Step by Step
eWeek.com
By: Paul F. Roberts
2005-10-31

BUG HUNTING
JOY OF SETUP
Written by Bob Arnson
April 4th, 2010 at 14:47

Bug Hunting Open-Source vs. Proprietary Software
slashdot
Posted by Zonk on Sat Oct 07, 2006 01:41 PM