シマンテックは3月3日、IT Policy Compliance Group(IT PCG)による調査レポート「Managing Spend on Information Security and Audit to Improve Results(情報セキュリティと監査に費やすコストの管理による成果向上)」の内容を公開した。
この調査は、Computer Security Institute(コンピュータセキュリティ協会)、The Institute of Internal Auditors(内部監査人協会)、Protiviti、ISACA(情報システムコントロール協会)、IT Governance Institute(IT ガバナンス協会)、Symantecが共同で実施したもの。対象はIT PCGに参加する2600社以上の企業で、成果を上げる情報セキュリティの予算の編成や、ITを使ったビジネス上のリスクと財務上のリスクを管理する方法、ITの監査に費やすコストの削減方法などについてまとめている。
調査結果によると、「直面している財務上のリスクや損失と比較すると、情報セキュリティに費やしているコストは少ない」と回答した企業は68%にのぼった。さらに、ベストプラクティス(成功事例)を目指して予算を徐々に増やすことで、ほとんどの企業で200%を超える財務リターンを得ていることが判明したとしている。
企業が最も重視しているIT関連のビジネスリスクが、「機密情報の保持」「ITの情報、資産、統制の整合性」「ITサービスの可用性」の3つであったことから、レポートではベンチマークを使ってこれら3つのリスク分野に対する企業の取り組みを測定し、レベルを3種類に分けた。
まず、毎年15回を超える情報漏えいまたは盗難、IT障害による80時間以上のビジネスダウンタイム、15回を超える監査不合格を経験していた「下位グループ」は19%の企業が該当した。毎年3回から15回の情報漏えいまたは盗難、IT障害による7時間から79時間のビジネスダウンタイム、3回から15回の監査不合格を経験していた標準レベルの「中位グループ」は、全体の68%だった。
毎年3回未満の機密情報の漏えいまたは盗難、7時間未満のビジネスダウンタイム、3回未満の監査不合格を経験していた「上位グループ」には、13%の企業があてはまった。上位グループの企業の財務リターンは、22%から3000%以上まで多岐にわたっている。
下位グループと上位グループの違いは、セキュリティ予算の規模が原因ではなかったという。実際には、予算の使い方に問題があったとのことだ。
財務上の損失を最小限に抑えている企業は、「経営幹部を活用したリスク管理」「リスクの優先順位付け、統制の改善、手順の自動化」「統制とリスクの継続的な評価」「技術的な統制、ポリシー、IT変更管理の使用」「総合レポート」の5種類の手法を活用していた。また、最低レベルで運営している企業は、情報漏えいと盗難に年間収益の9.6%相当、ビジネスダウンタイムのコストとして年間収益のおよそ3%相当の対価を支払っているとしている。
収益が50億ドル規模の組織をみると、情報漏えいや盗難、ビジネスダウンタイムを合計したコストは、手法が最も不適切であった企業の3億2900万ドルから、ベストプラクティスを実施した企業の225万ドルまで多岐にわたった。その差は149倍だ。
また、最良の結果を出した企業が実際に支払っている監査費用と経費は35%〜52%少ないということもわかったという。リスクや損失、監査費用を削減するコストなどを調整することで、組織が被っている損失よりも10倍から5000倍多い財務リターンを上げられると分析している。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス