参考資料として各所で使えそうなグラフ/レポートを見つけたのでご紹介。
【Windows Vista - 90 Day Vulnerability Report】
http://blogs.technet.com/security/archive/2007/03/21/windows-vista-90-day-vulnerability-analysis.aspx
OS初期出荷後の90日間で発見された脆弱性の数が、OS別(Windows Vista, Windows XP, RHEL4, Novell SLED 10 など)でグラフ化されています。モノの計り方にはいろいろな軸があるためこれだけですべてを表すことはできませんが、Windows Vista のセキュリティに対する力の入れ具合が、その実績を目で見てとることができます。
リンク先のレポート(PDF)を参照すると、もう少し詳しい説明が書かれています。
これによると、Windows Vista の初期脆弱性の数は合計5つ(内ひとつはFix済)でOS間比較では最小。
なんだかんだで Windows XP も合計18個の脆弱性(Fix済は14個)とそれほど多いわけではないのですが、Trustworthy Computing に基づく Windows Vista の成長は明らか。
またOSの性質が違うので単純比較できるものではありませんが、RHEL4WS が出荷後90日間で実際に何らかの対応をした脆弱性の数 181個と比べてしまうと、ある時期に異常なほど流行した「Windows はセキュリティが弱い」という謳い文句はなんだったのかと思ってしまいます。
いちおう補足しておきますと、筆者(Jeff Jones) は Microsoft の中の人であるため当然 Microsoft にとって都合のよいレポートを挙げることが前提になってきているはずです。とはいえ、このデータに関しては National Vulnerability Database をソースとしているため、特に疑う余地はなく、説得力のあるレポートだと思います。
あとは「今月リリースするセキュリティ更新プログラムはありません」といったアナウンスが定常化してくれると、誰からの文句もつけようがない水準に達っしたといえると思うんですが、さすがにそこに行くまではまだまだ Microsoft のチャレンジが続きそうです。