［米国］【Symantec調査】
企業のITリスク管理が進展、総合的・バランス重視の傾向に

セキュリティ技術重視の企業は減少

（2008年02月01日）

　企業のITリスク管理に進展が見られることが、米国Symantecの最新調査でわかった。調査対象企業の多くは、ITリスクの軽減を図るうえで、セキュリティ技術とは直接関係のないプロセスの改善にも力を入れている。

　米国の顧客企業を対象としたSymantecの年次調査（回答企業405社）のリポートによると、企業のリスク管理における重要度という観点から見た場合、ITセキュリティの向上に使われる技術は他の項目よりも順位が低い。多くの回答者は、ITの可用性管理や規制対応プロジェクトをITセキュリティと同様に重要だと見なしており、なかにはより重要だと評価しているケースもあった。

　また、ITリスク対策を、単独のスキル分野や取り組みと位置づける企業は減少の一途をたどっている。

　前年の調査時には、回答者の多くはセキュリティ技術の導入を、リスク管理計画の中心的な要素として挙げていた。しかし今年はその傾向が影を潜め、可用性の維持対策をセキュリティ・ツールの導入と同様に重要だと答えた回答者が78％にも上っている。

　約70％の回答者は、セキュリティ・プロジェクトを自社のアプローチの重要な要素だとしている。しかし、回答企業が経験したIT関連インシデントの53％は、システム保護以外の問題と結び付いていた。

　SymantecのAdvisory Services管理ディレクター、サミル・カプリア（Samir Kapuria）氏は、今回の調査リポートにおける「変化」について、次のように述べている。

　「ITリスクは必ずしもセキュリティ・リスクとイコールではない。調査結果に見られる大きな変化として、管理すべきリスク・ポートフォリオへの企業の対応が、より成熟してきていることが挙げられる。以前は、人々は1つの分野を個別にとらえていた。だが今では、バランスの取れた戦略に基づいて、コンプライアンス、セキュリティ、リスク、パフォーマンス可用性という4つの柱の下でリスク管理への取り組みを進めている」

　さらにKapuria氏は、可用性やパフォーマンスのほうがセキュリティ問題よりも重みを増していると指摘。これには、ビジネス・パートナーとの間で共有されるITシステムの相互依存が高まっていることが背景にあるとし、企業はセキュリティ攻撃を受けることよりも、グローバル・サプライチェーンでボトルネックが発生することのほうを、より心配するようになっていると述べた。

　そのほか、コンプライアンス・プロジェクトについても、多くの企業で主要な取り組みとなっているようだ。回答者の68％は、コンプライアンスへの取り組みを、自社のリスク管理戦略にとって非常に重要だと考えている。

　IT障害の防止状況への認識について見ると、69％の回答者が、1カ月に最低1回は小規模なインシデントに直面すると答えている。また、63％は大規模なIT障害が少なくとも年に1回は発生すると回答した。

　一方、規制コンプライアンス上のインシデントが年に最低1回は発生すると答えたのは26％、データ損失を年に1回は経験すると予想しているのは25％だった。

　「（こうした数字が）ITリスクの現状を物語っている。現在、リスク管理への評価が年に2回しか行われなかったり、資産のインベントリがたまにしか実施されなかったりといったことが問題視されている。これからも、可用性やセキュリティ、コンプライアンス、パフォーマンス上の問題から解放されることはないだろう。リスク管理にかかわるプロジェクトは継続的に管理しなければならない」（Kapuria氏）

(Matt Hines／InfoWorld米国版)