［世界］【アーンスト＆ヤング調査】
アウトソーサーの監査体制は不十分

（2006年11月22日）

　アーンスト＆ヤングが実施した2006年国際情報セキュリティ調査によると、世界的に情報セキュリティとリスク・マネジメントの重要性に対する認識が高まりつつあるなか、組織のほとんどが、IT業務をアウトソーシングしているベンダーのリスク・マネジメントを効果的に監査できていないという。

　今回の調査では、回答を寄せた組織のおよそ3分の2が、定期的な会議の開催、運営グループの設置、フレームワークの作成といった手法を使って情報セキュリティを確保していることがわかった。また、情報セキュリティがリスク・マネジメントのプロセスやプログラムに統合されていると回答した組織は、2005年の40％から43％に増加した。

　しかし、IT業務をアウトソーシングしたベンダーが効果的なリスク・マネジメントを実施しているかどうかを、実質的に把握できている企業はごくわずかであるという。

　調査リポートは、ベンダーに起因する情報の脆弱性から自らの組織を守るために、どのような対策を講じるべきかを理解する必要があるとしており、「企業の多くは、ベンダーのリスク・マネジメントに対応する正式な手順を導入する必要があり、その導入に際しては、手順の有効性を確認する必要がある」と指摘している。

　調査結果を見ると、ベンダーにまつわるリスクを管理するために、第三者によって有効性が確認された正規手順を使っている企業は6％にすぎず、これらの課題にまったく対応していないと答えた企業も21％に上っている。

　「現在、アウトソーシング・ベンダーにIT業務を委託している組織のうち、情報セキュリティとプライバシーに関する慣行を、指針となる慣行に照らして独立した第三者に審査してもらうようベンダーに求めている組織は14％にすぎない」という。

　今回の調査は、世界各国でIT関係の上級職に就いている1,200人以上の管理者を対象に実施され、ベンチマーク化されたセキュリティ標準に基づく2部構成の質問表が使用された。

　調査結果からは、情報セキュリティにまつわるIT業務をアウトソーシングすることに対する回答者の慎重な姿勢も浮き彫りになった。

　調査リポートによると、「2006年と2005年の調査では、情報セキュリティ業務をアウトソーシングするのは好ましくないという回答が支配的だったが、今回の調査では、情報セキュリティ業務のアウトソーシングを計画しているかすでにアウトソーシングしている回答者の60％が、貴重なリソースを社内の他の業務に振り向けるためにアウトソーシングしたと答えている」という。

　アーンスト＆ヤング・オセアニアのテクノロジー／リスク・サービス担当パートナー、ブルース・ヤング氏は、「業務の一部をアウトソーシングする場合には、セキュリティ市場の成熟状況を考慮して、標準に基づくリスク・マネジメント評価を受けるようベンダーに要求すべきだ」と指摘する。

　同氏によると、近年、多くの組織が、アウトソーシング・ベンダーに対して、監査報告書などの提出を要求するなど、標準に照らして良好な評価を受けていることを示すよう求めるようになっているという。

　「多くの組織が、情報セキュリティのアウトソーシングにより、説明責任を果たせなくなることにきわめて慎重になっており、セキュリティ業務全体のアウトソーシングに否定的な姿勢を示している。いずれの組織も、セキュリティに対する説明責任と責務を果たす必要性を明確に理解しており、SLA（Service Level Agreement）やKPI（Key Performance Indicator）などの指標を用いて引き続き業務を監督しようとしている」（同氏）

(マイケル・クロフォード／Computerworld Today オーストラリア版)