ライフハッカー［日本版］

Googleがスポンサーとなり、情報セキュリティ調査会社「Accuvant Labs」によって実施された、主要三大ブラウザのセキュリティに関する最新の調査結果（英文）が明らかになりました。これによると、Chromeがセキュリティ機能ではベストである一方、Firefoxはセキュリティ保護の観点から、Internet Explorerよりも下という結果に...。それでは、その内容について詳しく見ていきましょう。

Accuvantでは、Firefox、Google Chrome、Internet Explorerの3つのブラウザについて調査。2011年7月時点で最新バージョンだったブラウザを、32-bitの『Windows 7』で検証しました。今回の調査では、SafariやOperaなど、他のブラウザは調査対象から外されていますが、今後これらに関する調査結果も、随時更新していく方針だそうです。

このように、Accuvantの調査結果は一部のブラウザに対する評価のみであり、Windows以外のOSでは検証されていないものの、現時点では最も総合的なものと考えられているようです。現在、および将来の脅威に対するブラウザのセキュアな点、脆弱な点について、より多くの情報を提供し、専門家が「侵入者がマシンにアクセスしたとき、各ブラウザがどのように動くのか？」といった点をさらに検証するための示唆を与えています。

この調査結果では、ウェブページに埋め込まれ、自動的にダウンロードしたり、実行したりする、悪意のあるコードやスクリプトからユーザを守るという目的で、最新かつ最も効果的なセキュリティ機能を持っているのは、Google Chromeであると結論づけています。

この調査で検証されたもののうち、主な3つの機能についてみてみましょう。

以上の3つの機能で、Chromeはトップの成果。サンドボックスやJITハードニングは、Internet Explorerと互角ですが、いずれもChromeのほうが若干優れていたそうです。一方、いずれにおいても、Firefoxは最も低い結果となっています。

その他の機能では、3つのブラウザとも互角の結果。ただし、URLブロックリスティング機能は、Chromeが一番ましだったとはいえ、いずれのブラウザも十分な結果には至りませんでした。

結論として今回のAccuvantの調査結果では、Chromeがトップ、次いでInternet Explorerというランキングに。この結果に至った原因について、過去の「遺産」をある程度引き継がざるを得ないInternet ExplorerやFirefoxに比べ、Chromeは新しい発想とセキュリティの概念を元に、ゼロベースで開発できる点が指摘されています。

では、Mozillaやマイクロソフトはこの結果をどう捉えているのでしょうか？

Firefoxの開発にたずさわるMozillaのディレクターJohnathan Nightingale氏は、フォーブス誌の記事（英文）で今回の調査結果に回答。

Firefoxは、ASLRといったプラットフォームレベルの機能から内部システムまで、セキュリティ脅威を軽減・削減するため、様々な技術を網羅しています。たしかに、サンドボックスは我々も検討している便利な機能ですが、万能な技術はこの世には存在しません。Mozillaでは、社内外のコードレビュー、継続的なテスト、コード解析、顕在化したセキュリティ問題へのすばやい対応など、開発プロセスを通じてセキュリティに投資しています。セキュリティの優位性には自信を持っており、Firefoxにとって優先事項の中心です。

一方Microsoftは、「マルウェアからユーザシステムを保護するという点で、Internet Explorerは、FirefoxやChromeなどの競合ブラウザより優れている」というNSS Labsの調査結果（英文）を指摘し、その優位性を示しています。ただし、Accuvantの調査がGoogleから資金提供を受け、依頼のもとに実施されているのと同様、NSS Labsの調査費用はMicrosoftがまかなっている点をかんがみると、その調査結果については懐疑的に見ざるをない面もあります。

Accuvantは、高い評価を受けているセキュリティ調査会社です。調査結果すべてのテキスト（英文リンク）だけでなく、他の研究者による検証に備えて、この調査で使ったツールや補完データも公開しています。Googleがこの調査を依頼しているという背景ゆえ、Googleに優位な結果が出ることで、この研究結果自体の価値に疑問を呈される可能性については、Google、Accuvantともに認識しています。その上でAccuvantは、デジタルメディア「Ars Technica」の記事（英文）において「Googleは、Accuvantに幅広い裁量を与えており、ゆえに、Accuvantは公明正大にブラウザセキュリティを検証しています」と主張。Googleがこの調査の独立性の担保にオープンであるのかどうかは定かではないものの、Accuvantの調査結果がセキュリティ調査会社としての存在や、その成果のクオリティを代表するものであり、その根拠に優位性があることを踏まえれば、現時点ではその結果や手法について、批判はできません。むしろ、実際の問題は「どれくらいユーザがこの結果を気にするべきなのか？」という点です。

Chromeが現時点ではトップとされているものの、Internet ExplorerやFirefoxも今回の調査結果を踏まえて、改変されるでしょう。また、Accuvantの調査ではシステムが危険にさらされており、ブラウザ自体のセキュリティ機能以外に、他の保護機能を使っていないとことが前提となっています。しかし、いずれの前提条件も実際はあまり起きないものです。つまり、この調査結果は業界内でのいわゆる「ブラウザ戦争」を盛り上げるきっかけにはなりそうですが、一部のブラウザファンを除いては、じっくり目を通さなくてもいいかもしれません。

ほとんどの場合、ブラウザのセキュリティはユーザ側の責任で担保されるべきことです。ウェブサーフィンは、できるだけ注意深く、用心しましょう。可能な限りSSLを利用する、安易にファイルをダウンロードしたり実行したりしない、日常に必要な拡張機能だけインストールする、といった日ごろの実践こそ、コンピュータのセキュリティを保護する第一歩です。

たとえばFirefoxユーザなら、セキュアなセッションが使えるときはいつでも安全に閲覧できる「HTTPS Everywhere」や、悪意のあるJavaScriptの追跡を止めさせる「NoScript」といった拡張機能があります。また、Chromeにも「NotScript」や「ScriptNo」といった拡張機能があるので、同様の機能を備えることが可能です。

このほかオンラインセキュリティについては、ライフハッカーアーカイブ記事「オンライン生活をより強固に保つためのシンプルな5つのコツ」などもあわせてご参考まで。

Alan Henry（原文／訳：松岡由希子）

週刊アスキーBOOKS Vol.07 必携アドオン１５０ ブラウザーの不満解消にちょい足し拡張機能

キーワードで理解する最新情報リテラシー　第4版