ITリスク管理を考える現場の意識は？ シマンテックが調査結果を公開

シマンテックは、情報セキュリティなどのITリスク管理担当者の意識調査結果をまとめたリポートを公開した。

[ITmedia]

　シマンテックは3月25日、ITリスク管理に関する「シマンテックITリスク管理レポート第2巻」を公開した。企業などで情報システムのリスク管理などに携わる担当者の意識がまとめられている。

　同リポートでは、IT担当者がセキュリティや可用性（アベイラビリティ)、コンプライアンス、パフォーマンスの各種リスクに対して、バランスの取れた取り組みをしていることが明らかになったという。また、ITインシデントの原因では、回答者の53％が「プロセスの問題」を挙げている一方で、データ損失の発生頻度を低く見積る傾向があるといった点が浮き彫りになった。

　調査では世界中の企業のIT担当者を対象に400種類以上の項目を調査・分析した。主要な問題やテーマを特定し、ITリスクに関連して業界内でかたられる4つの定説について、IT担当者の意識の実態を調べている。

4つの定説

• ITリスク管理の対象は、ITセキュリティのみである
• ITリスク管理は、プロジェクト主導で行われる
• テクノロジーのみでITリスクを管理できる
• ITリスク管理は、一種の科学である

定説1：「ITリスクはセキュリティリスクである」

　従来、ITリスクではセキュリティに関するリスクを連想するケースが目立ったものの、調査によればIT担当者の間ではより広範な認識が生まれていることが確認された。回答者の78％がセキュリティよりもアベイラビリティのリスクが「重大」または「深刻」だと答えた。また、セキュリティ、パフォーマンス、コンプライアンスのリスクについては、回答者のそれぞれ70％、68％、63％が「重大」または「深刻」であると答えている。

　なお、アベイラビリティリスクとコンプライアンスを「重大」「深刻」なリスクとして挙げた回答数の差は15％で、IT担当者がITリスクに対してセキュリティばかりではなく、幅広い要素を捉えていることが判明した。

定説2：「ITリスク管理は一種のプロジェクトである」

　ITリスク管理の取り組みは一種のプロジェクトであり、予算期間内や数年間のうちに局所的に実施することによってリスク対応ができるようになるとの定説があるという。だが、同社によればこの定説はITリスク環境が常に変化するという現実を無視したものだと指摘し、調査ではITインシデントの種類別の発生頻度についてIT担当者の意識を分析した。

• 軽度のIT障害は最低1年10回は発生するとの回答者は69％
• 重度のIT障害は最低1年に1回は発生するとの回答者は63％
• 規制の順守違反は最低5年に1回は発生するとの回答者は66％
• 重大な情報損失は最低5年に1回は発生するとの回答者は59％

　この結果、IT担当者は定説1の調査で判明しようにITリスクを広範に捉える傾向にあるものの、回答者の半数以上が一定の確率でリスクが発生すると答えており、同社では資産分類や管理といった基本的な施策が上手くいっていないように予見されると分析している。

定説3：「テクノロジーだけでITリスクを軽減できる」

　ITリスクの軽減では技術が重要な役割を果たすものの、同社ではITリスク管理の有効性を決定づけるのはテクノロジーを利用する人やプロセスになるとしている。定説3の調査では、回答者の53％がITインシデントは「プロセスの問題に起因する」と答えた。

　また、IT資産のインベントリや分類による管理のの有効性については回答者の評価が低いという。データのライフサイクルの管理では「75％以上は有効である」とした回答者が43％にとどまった。これらの管理手法は効果の有効性が低く、同社では「資産が優先度と関係なく同等に扱われ、ITリスクからの保護が過剰または過少になるシステムやプロセス、情報が発生して、コストやサービスの非効率化を招くことになる」と分析する。

定説4：「ITリスク管理は一種の科学である」

　調査では、ITリスク管理の取り組みが科学的なものではなく、ビジネスプロセスとして進化していることが明らかとなったという。同社では、個人や企業が各自のビジネスや技術を取り巻く環境の変化に柔軟に対応ながら経験を積み重ねた結果だと分析する。特に企業では、経営リスクの管理や品質管理、ビジネスのガバナンスやITガバナンスが、ITリスク管理に含まれるという理解が広まりつつあるとしている。