企業のセキュリティ戦略「限られた予算でリスク低減できる」――Secunia報告書

[鈴木聖子，ITmedia]

　セキュリティ企業のSecuniaが、「限られたリソースでいかにリスクを低減するか」をテーマに、企業のセキュリティ戦略について分析したホワイトペーパーを発表した。

　ホワイトペーパーではITセキュリティとリスク管理、コンプライアンスの関係について調べ、まず、「コンプライアンスへの投資が必ずしもリスク低減に結びつくとは限らない」と結論付けた。

　セキュリティ対策の第一歩はソフトウェアの脆弱性を修正するパッチを適用することだが、問題は量ではなく質だとSecuniaは解説する。調査の結果、危険度の最も高い12種類のプログラム、あるいは普及度が高い上位37種類のプログラムを特定してパッチを当てることにより、80％のリスク低減を達成できることが分かったという。

　メーカーがパッチを公開する前に脆弱性の存在が公になる、いわゆる「ゼロデイの脆弱性」は過剰反応を引き起こしがちだが、2010年の統計では、全脆弱性の65％は情報が公開された当日に、75％は10日以内にパッチが提供されていることが判明したという。この割合を考えれば、数少ないゼロデイの脆弱性をそれほど極端に恐れる必要はないとSecuniaは指摘。パッチが存在するのに適用されていないプログラムはいくらでもあり、攻撃者がわざわざゼロデイの脆弱性を狙う必要もないとした。

　こうした分析結果を踏まえてホワイトペーパーでは、「限られたリソースでリスク低減を実現するためには、ITセキュイティに投資する額ではなく、技術の種類とその性能が重要になる」と結論付けた。