企業のセキュリティ戦略「限られた予算でリスク低減できる」――Secunia報告書
セキュリティ対策の第一歩はソフトウェアの脆弱性を修正するパッチを適用することだが、問題は量ではなく質だとSecuniaは解説する。
セキュリティ企業のSecuniaが、「限られたリソースでいかにリスクを低減するか」をテーマに、企業のセキュリティ戦略について分析したホワイトペーパーを発表した。
ホワイトペーパーではITセキュリティとリスク管理、コンプライアンスの関係について調べ、まず、「コンプライアンスへの投資が必ずしもリスク低減に結びつくとは限らない」と結論付けた。
セキュリティ対策の第一歩はソフトウェアの脆弱性を修正するパッチを適用することだが、問題は量ではなく質だとSecuniaは解説する。調査の結果、危険度の最も高い12種類のプログラム、あるいは普及度が高い上位37種類のプログラムを特定してパッチを当てることにより、80%のリスク低減を達成できることが分かったという。
メーカーがパッチを公開する前に脆弱性の存在が公になる、いわゆる「ゼロデイの脆弱性」は過剰反応を引き起こしがちだが、2010年の統計では、全脆弱性の65%は情報が公開された当日に、75%は10日以内にパッチが提供されていることが判明したという。この割合を考えれば、数少ないゼロデイの脆弱性をそれほど極端に恐れる必要はないとSecuniaは指摘。パッチが存在するのに適用されていないプログラムはいくらでもあり、攻撃者がわざわざゼロデイの脆弱性を狙う必要もないとした。
こうした分析結果を踏まえてホワイトペーパーでは、「限られたリソースでリスク低減を実現するためには、ITセキュイティに投資する額ではなく、技術の種類とその性能が重要になる」と結論付けた。
関連記事
- 情報セキュリティの支出は微増、“付け焼刃”的な対応が課題に
ITmedia エンタープライズとITRが実施した読者調査によると、2010年度の情報セキュリティ支出額が増える見込みの企業が減少する企業を上回った。しかし、IT支出全体に占める割合が不透明だとする回答が目立つなど、依然として「事後対応」に重きを置く状況が明らかになった。 - セキュリティ投資は無駄金? 競争優位に変える身近な方法
「仕方がないからやる」というセキュリティ投資への意識を改めてはいかがだろうか。多額の資金をかけずにセキュリティを競争優位性へと変えていく第一歩を紹介しよう。 - 企業のセキュリティ課題は社員のリテラシーと投資評価
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.