セキュリティ予算増大の最大要因はコンプライアンス
回答企業の62%が年内にPCIデータ・セキュリティ基準に対応米国のコンサルティング会社、ザインフォプロ(TIP)がフォーチュン1,000企業のITマネジャー147人を対象に行った調査によると、70%以上の企業が、規制および監査のコンプライアンス要件を満たすための機能やプロセスを実装する目的でセキュリティ予算を増額しているという。
コンプライアンス関連の支出の大半はポリシーとプロセスの変更に伴うもので、ソフトウェア調達と暗号化技術がそれに続いている。
TIPのセキュリティ部門のマネージング・ディレクター、ビル・トラッセル氏は、調査結果について、米国産業界においてコンプライアンスがセキュリティ支出の最大要因の1つになったことを示していると分析する。
同氏によると、大手企業の大多数が、情報セキュリティ活動の中心を監査基準や規制要件を満たすことに絞っている。これは、医療・保険業界を対象としたHIPAA法(Health Insurance Portability and Accountability Act:医療保険の相互運用性と説明責任に関する法律)や金融業界を対象としたPCIデータ・セキュリティ基準(Payment Card Industry Data Security Standard)といった規則に直接関係しない業界も含めて、業界横断的な傾向だという。
トラッセル氏は、データ侵害やデータ漏洩が及ぼす結果に対する懸念の増加が支出増に拍車をかけているとし、「面接調査したフォーチュン1,000企業の70%でコンプライアンス関連予算が増加している。情報セキュリティ市場でこれほど大きな影響を及ぼす要因が登場するのはめずらしい」と説明する。
コンプライアンスの取り組みを促す大きな要因の1つはPCIと見られ、TIP調査の回答者の62%が年内にPCI関連のプロセスとシステムを実装する計画があると答えている。
今回のTIP調査の結果は、セキュリティ支出が今年は全体的に増えることを示唆する他の調査結果とも符合する。例えば、フォレスター・リサーチが1月に発表したリポートは、大多数の企業が、その規模、地域、業界を問わず、IT予算の7.5〜9%をセキュリティ対策に費やすと予測している。
フォレスターによると、支出パターンが均一なのは情報セキュリティ・プラクティスが成熟し、IT事業においてセキュリティ対策の取り組みが定着したこと。さらに、IT中心の純然たる戦略的なセキュリティ・モデルから、業務にフォーカスしたより戦略的なモデルへの移行が進んでいることなどが、プロセスやツールに対する投資増の要因になっているという。
(ジャイクマール・ビジャヤン/Computerworld オンライン米国版)
