情報セキュリティの支出は微増、“付け焼刃”的な対応が課題にITmedia リサーチインタラクティブ 第8回調査(2/3 ページ)

» 2010年09月27日 08時00分 公開
[國谷武史,ITmedia]

先行きを見通しにくい大企業

 2010年度の企業のセキュリティ支出動向は、増減傾向で「横ばい」とする企業が大半を占め、比較的動きが少ないと見ることができる。だが、以下の図3を見ると受ける印象はやや変わってくる。これは、2010年度においてセキュリティ支出がIT支出全体のどの程度の割合を占める見込みであるかと尋ねた結果だ。注目すべきは、全体の実に4分の1以上(25.8%)が「分からない」と回答していることである。とりわけ、従業員数5000人以上の超大手企業では、その割合が全体の半数(50.0%)にもなる。

 これは、多くの企業においてセキュリティ支出が依然として、事後的に決定されていることを物語っている。特にセキュリティインシデントの発生が社会的に大きなインパクトをもたらす大企業では、「被害が発生すれば、事前の計画や全体のバランスを崩してでもセキュリティ支出を行う必要がある」との思いが強い。これが支出の先行きをいっそう見通しにくくしているという面であると推察される。

 先に述べたように、支出の増減傾向に大きな動きがない背景には、国内企業にとって「プロアクティブ(事前対応)」型のセキュリティ支出が依然として難しい課題であるという事情も影響しているといえよう。

図3 図3 2010年度のIT支出に占めるセキュリティ支出の割合(有効回答186件) 出典:ITmedia リサーチインタラクティブ/ITR(2010年9月)

支出の妥当性評価は不十分

 情報セキュリティ対策にかかわるIT支出は、概して適正なコストの判断が難しい。そのことが計画的な支出を阻む要因だとも指摘される。そこで、情報セキュリティ支出の予算化と、支出後の妥当性評価の取り組み状況についても尋ねた。

 まず予算化について、全体の約7割の企業が何らかのかたちで取り組みを実施しており、かなり定着している様子がうかがえる。ただし、主管部門は比較的分散しており、「IT部門」「情報セキュリティ管理の専任部門」「全社的なリスク管理部門」「総務部門」などに回答が分かれている。予算化の実施率はやはり大企業ほど高く、しかも、規模が大きいほどIT部門や情報セキュリティ専任部門など、技術やツールに通じた部門の権限が大きい。また、準大手(従業員数1000〜5000人未満)よりも小さな組織では、総務部門が予算化を行っている企業も一定の割合で存在する。特に中小企業(100人未満)ではその影響力が大きい(図4参照)。

図4 図4 セキュリティ支出に関する予算化の取り組み 出典:ITmedia リサーチインタラクティブ/ITR(2010年9月)

 一方で実際の情報セキュリティ支出に対して、事後にその妥当性を評価しているかについては、「特に評価は行っていない」との回答が63.2%を占めた。何らかの妥当性評価を行っているとした回答の中でも、「ROIに基づいたセキュリティ投資額の評価を実施している(11.8%)」「他社とのベンチマークに基づいた評価を実施している(7.6%)」とした回答者は少数にとどまる。ち密な評価が行われていないという傾向が示された(図5参照)。

図5 図5 情報セキュリティ支出の妥当性評価の実施状況 出典:ITmedia リサーチインタラクティブ/ITR(2010年9月)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ