ニュース
» 2009年03月04日 08時12分 公開

経営陣の積極的な参加も:セキュリティ事故のコストに150倍の差――対策効果で米企業に明暗

米IT PCGの調査で、情報セキュリティ対策を効果的に実施している企業としていない企業では事故後の対応コストに150倍の差が生じることが判明した。

[ITmedia]

 北米の情報セキュリティ対策を効果的に実施している企業としていない企業では、セキュリティ事故後の対応コストに149倍の差が生じることが研究団体の調べで判明した。対策を効果的に実施している企業は、全体の1割強だった。

 企業のコンプライアンス研究などを行うIT PCGなどが2008年12月に実施した調査によれば、19%の企業が年間に15回以上の情報漏えい事故やPCの盗難、システム障害などを経験し、事業のダウンタイムも80時間以上の及んでいた。68%の企業は情報漏えい事故やPCの盗難、システム障害などが年間に3〜15回程度あり、事業のダウンタイムは7〜79時間だった。

 情報漏えい事故やPCの盗難、システム障害などが年間に3回未満、事業のダウンタイムが7時間未満の企業は13%。こうした企業は、情報セキュリティ対策を効果的に実施しており、内部統制などの監査を実施しても不合格になる回数は3回未満だった。一方、対策を十分に行えていない19%の企業では、監査が不合格となるケースが15回以上にもなった。

 年間収益が50億ドル以上の企業では、セキュリティ事故が起きた場合の対応コストが最も対策が不十分な企業で3億2900万ドルに、最も効果的な対策を企業では225万ドルとなり、その差は149倍になる。

 効果的な対策を実施している企業では、経営陣が情報セキュリティリスクの管理を積極的に行っているほか、リスクレベルの設定や組織統制の改善、手順の自動化、各種施策の継続的な評価・見直しを行っていた。技術的な対策やセキュリティポリシーの導入、変更管理の適切な実施、総合分析なども積極的に実施していた。

 調査はIT PCGに加盟する北米などの企業2600社を対象に実施し、734社から回答を得たもの。IT PCGのほか、Computer Security Institute、The Institute of Internal Auditors、IT Governance Institute、ISACA、Protiviti、Symantecが共同で行った。

 対策を効果的に実施しているかどうかは、投資額の大小ではなく、その内容によって差が生じていていると調査では指摘している。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -