Enterprise Watch
最新ニュース

「ITリスク管理はバランス良く行うべき」-シマンテックが調査レポートを公開


コンサルティングサービス本部のディレクター、ラスカウスキー・テルミ氏
 株式会社シマンテックは2月15日、同日に発表した「シマンテック ITリスク管理レポート」に関する説明会を開催。同レポートから読み取れる傾向などについて、コンサルティングサービス本部のディレクター、ラスカウスキー・テルミ氏が解説を行った。

 今回発表されたレポートは、米Symantecが外部の調査会社に委託し、第三者的な立場からITリスク管理戦略に関する調査結果を、世界レベルでまとめてもらったもの。対象者は、一般のIT系イベントに参加した528名のIT担当者で、調査期間は2005年10月からの1年間。

 これによると、コンプライアンス対応にあたってリスクがどこで発生すると思うか、という設問に対しては、「データ保存」と「データ保護」の両分野で危機意識が高かったという。全回答者のうち66%は、大規模なインシデントが少なくとも5年に1度生じると予測しており、また58%は、大規模なデータ喪失が少なくとも5年に1度生じると予測している。一方で、ビジネスプロセス上でのリスクが生じやすい場所としては、財務・総務を上げた人がもっとも多く、全体の66%が、同分野でのリスクが高いと認識している。逆に、研究開発やサプライチェーンでは多くの人がリスクは高くないと考えているという結果になった。


コンプライアンスエリア別のITリスクに対する認識 ビジネスプロセス別のITリスクに対する認識

 また次にSymantecでは、リスク管理に必要な管理手法を、ITプロセスの管理を行うプロセスコントロールと、技術面で対策するテクノロジーコントロールに分割して、有効性がどちらが高いと考えるかを問うた。その結果は、「圧倒的に、テクノロジーの方がわかりやすい、やりやすい、実装しやすい」(ラスカウスキー氏)ため、テクノロジーコントロールの方が高いという結果になった。

 さらにそれぞれに8つ、計16の項目を設定して、各分野がIT管理において有効かどうかを問う調査を行った。これによると、プロセスコントロールでは、ユーザー認証やアクセス管理が分類される「認証・許可・アクセス」を有効とした人がもっとも高く、逆に資産を特定・分類するプロセスである「資産インベントリ・分類・管理」がもっとも低かった。ラスカウスキー氏は、この傾向にも「わかりやすさがかかわっている」という点を指摘。「後者が低いのは、大きな問題だ。どの情報・資産に対してリスクがどのくらいあるかを把握できていなければ、適切に費用をかけているかどうかがわからない」と話した。

 テクノロジーコントロールでは、これもわかりやすい「ネットワーク、プロトコル、ホストセキュリティ」を有効とする人が高かった反面、「セキュアアプリケーション開発」「パフォーマンス管理」といった項目では有効性を認めている人は少なかった。また、変更管理ツールやプロセスが含まれる「変更/構成管理」の評価も低い。こうした結果を踏まえてラスカウスキー氏は、「いくらネットワークセキュリティができていたとしても、現状が把握されていない上でのセキュリティ対策になってしまっている」と警鐘を鳴らしている。


ITリスク管理における、プロセスコントロールとテクノロジーコントロールの有効性に対する見方 プロセスコントロールにおける有効性意識調査 テクノロジーコントロールにおける有効性意識調査

 一方、企業全体に目を転じた場合、「各分野について、有効性の自己評価が高かった『ベストインクラス企業』では、コンプライアンス、ビジネスプロセス両分野でのリスクが高いのに、インシデント発生率が低い」との分析結果を説明。続いて、「ふつう、リスクが高いと感じているのは、インシデントが多いからではないかと考えがちだが、それなりの対策をしているので、発生数を抑えられる。逆に危機意識が低いところでは、インシデントが起きている」(ラスカウスキー氏)と述べた。

 また、「ITリスクレベルが低いにもかかわらず、管理の有効性が高い企業は、過剰な投資をしているかもしれない。両者のバランスが取れている企業は、ベストインクラスの場合が多い」として、バランスが重要とも主張。適切にITリスクを認識し、事業への影響を図り、ビジネス上でリスクをどこまで下げるかを考えて、ITガバナンス、コーポレートガバナンスと連動して実行していく、というサイクルを回すことで、ベストインクラスの企業を目指すことが可能だとしていた。


ITリスク管理の有効性評価の違いによって、インシデント発生率に差が出ているのがわかる ベストインクラス企業は、広範囲のコントロール分野へバランスよく取り組んでいる


URL
  株式会社シマンテック
  http://www.symantec.co.jp/
  ニュースリリース
  http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20070215_01


( 石井 一志 )
2007/02/15 17:45

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.