セキュリティの基本はパッチあて

Secuniaが興味深いホワイトペーパーをリリースしていたのでメモ。

企業のセキュリティ戦略「限られた予算でリスク低減できる」――Secunia報告書 - ITmedia ニュース

セキュリティ対策の第一歩はソフトウェアの脆弱性を修正するパッチを適用することだが、問題は量ではなく質だとSecuniaは解説する。調査の結果、危険度の最も高い12種類のプログラム、あるいは普及度が高い上位37種類のプログラムを特定してパッチを当てることにより、80％のリスク低減を達成できることが分かったという。

セキュリティというと大げさに考えがちですが、ちゃんと情報収集して、ちゃんとパッチをあてようねということのようです。Secunia はそのための情報ベンダーなのでそのあたりをきっちり押さえたレポートなのですね。原文は「CIO: Security needs “more informed patching”」で公開されている、How to Secure a Moving Target with Limited Resources　(PDF) のようなので、あとでゆっくり目を通したいと思います。