セキュリティ対策、予算規模ではなく使い方こそが重要--米IT PCGレポート

　シマンテックは3月3日、IT Policy Compliance Group（IT PCG）による調査レポート「Managing Spend on Information Security and Audit to Improve Results（情報セキュリティと監査に費やすコストの管理による成果向上）」の内容を公開した。

　この調査は、Computer Security Institute（コンピュータセキュリティ協会）、The Institute of Internal Auditors（内部監査人協会）、Protiviti、ISACA（情報システムコントロール協会）、IT Governance Institute（IT ガバナンス協会）、Symantecが共同で実施したもの。対象はIT PCGに参加する2600社以上の企業で、成果を上げる情報セキュリティの予算の編成や、ITを使ったビジネス上のリスクと財務上のリスクを管理する方法、ITの監査に費やすコストの削減方法などについてまとめている。

　調査結果によると、「直面している財務上のリスクや損失と比較すると、情報セキュリティに費やしているコストは少ない」と回答した企業は68％にのぼった。さらに、ベストプラクティス（成功事例）を目指して予算を徐々に増やすことで、ほとんどの企業で200％を超える財務リターンを得ていることが判明したとしている。

　企業が最も重視しているIT関連のビジネスリスクが、「機密情報の保持」「ITの情報、資産、統制の整合性」「ITサービスの可用性」の3つであったことから、レポートではベンチマークを使ってこれら3つのリスク分野に対する企業の取り組みを測定し、レベルを3種類に分けた。

　まず、毎年15回を超える情報漏えいまたは盗難、IT障害による80時間以上のビジネスダウンタイム、15回を超える監査不合格を経験していた「下位グループ」は19％の企業が該当した。毎年3回から15回の情報漏えいまたは盗難、IT障害による7時間から79時間のビジネスダウンタイム、3回から15回の監査不合格を経験していた標準レベルの「中位グループ」は、全体の68％だった。

　毎年3回未満の機密情報の漏えいまたは盗難、7時間未満のビジネスダウンタイム、3回未満の監査不合格を経験していた「上位グループ」には、13％の企業があてはまった。上位グループの企業の財務リターンは、22％から3000％以上まで多岐にわたっている。

　下位グループと上位グループの違いは、セキュリティ予算の規模が原因ではなかったという。実際には、予算の使い方に問題があったとのことだ。

　財務上の損失を最小限に抑えている企業は、「経営幹部を活用したリスク管理」「リスクの優先順位付け、統制の改善、手順の自動化」「統制とリスクの継続的な評価」「技術的な統制、ポリシー、IT変更管理の使用」「総合レポート」の5種類の手法を活用していた。また、最低レベルで運営している企業は、情報漏えいと盗難に年間収益の9.6％相当、ビジネスダウンタイムのコストとして年間収益のおよそ3％相当の対価を支払っているとしている。

　収益が50億ドル規模の組織をみると、情報漏えいや盗難、ビジネスダウンタイムを合計したコストは、手法が最も不適切であった企業の3億2900万ドルから、ベストプラクティスを実施した企業の225万ドルまで多岐にわたった。その差は149倍だ。

　また、最良の結果を出した企業が実際に支払っている監査費用と経費は35％〜52％少ないということもわかったという。リスクや損失、監査費用を削減するコストなどを調整することで、組織が被っている損失よりも10倍から5000倍多い財務リターンを上げられると分析している。