こういった話は以前にも書いたような気がするが...。
ソフトウェアのセキュリティホールに対する考え方はベンダーによって千差万別だ。オープン・ソース・ソフトウェアのようにすぐに修正を提供するベンダー、セキュリティホールを修正してから情報を公開するベンダー、セキュリティホールを修正してもその情報を隠蔽しようとするベンダー。
個人的な勝手な推測ではあるが、日本では大きな企業であればあるほどセキュリティホールの修正に時間がかかり、さらに情報開示に積極的ではないように感じる。といって、逆に小さな会社だから誠実な対応であるかどうかは別として。(Scopeの隠蔽疑惑のように...。)
というのも、大きなソフトウェア・ベンダーには大きな企業の顧客がある。セキュリティホールが発見され修正するにはすぐに対応できるが、その修正が既存システムに影響を与えないか、互換性は維持されているか、お客さんのシステムにはどのような影響が発生しうるかなど、実に様々な調査をしなければならない。また、修正プログラムが完成しても、今度は会社内での検証でも時間がかかるだろう。特にセキュリティホールの修正となると、ベンダー側も慎重に対応しようとしてさらに時間がかかるのかもしれない。

これは日本のベンダーだけの問題かもしれない。日本の"官"も時代の変化についていけていないが、日本のソフトウェア・ベンダーの内部も体質を変化できていないように感じる。何しろ、世界で最も大きな組織を持つソフトウェア・ベンダーの1つであるマイクロソフトでもセキュリティホールの情報を公開し、割と早く修正プログラムを公開しているのだから...。
内部統制が叫ばれる世の中、今後はますます日本のソフトウェア・ベンダーの足は遅くなるんだろうなぁ。心配。

• セキュリティ・ホールは公開しない者勝ち？：IT Pro
  http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/?ST=itpro_print
• 「フルブラウザには需要がない」--Scope開発者が激白 - CNET Japan
  http://japan.cnet.com/interview/story/0,2000050154,20088915,00.htm