セキュリティ事故のコストに150倍の差――対策効果で米企業に明暗:経営陣の積極的な参加も
米IT PCGの調査で、情報セキュリティ対策を効果的に実施している企業としていない企業では事故後の対応コストに150倍の差が生じることが判明した。
北米の情報セキュリティ対策を効果的に実施している企業としていない企業では、セキュリティ事故後の対応コストに149倍の差が生じることが研究団体の調べで判明した。対策を効果的に実施している企業は、全体の1割強だった。
企業のコンプライアンス研究などを行うIT PCGなどが2008年12月に実施した調査によれば、19%の企業が年間に15回以上の情報漏えい事故やPCの盗難、システム障害などを経験し、事業のダウンタイムも80時間以上の及んでいた。68%の企業は情報漏えい事故やPCの盗難、システム障害などが年間に3〜15回程度あり、事業のダウンタイムは7〜79時間だった。
情報漏えい事故やPCの盗難、システム障害などが年間に3回未満、事業のダウンタイムが7時間未満の企業は13%。こうした企業は、情報セキュリティ対策を効果的に実施しており、内部統制などの監査を実施しても不合格になる回数は3回未満だった。一方、対策を十分に行えていない19%の企業では、監査が不合格となるケースが15回以上にもなった。
年間収益が50億ドル以上の企業では、セキュリティ事故が起きた場合の対応コストが最も対策が不十分な企業で3億2900万ドルに、最も効果的な対策を企業では225万ドルとなり、その差は149倍になる。
効果的な対策を実施している企業では、経営陣が情報セキュリティリスクの管理を積極的に行っているほか、リスクレベルの設定や組織統制の改善、手順の自動化、各種施策の継続的な評価・見直しを行っていた。技術的な対策やセキュリティポリシーの導入、変更管理の適切な実施、総合分析なども積極的に実施していた。
調査はIT PCGに加盟する北米などの企業2600社を対象に実施し、734社から回答を得たもの。IT PCGのほか、Computer Security Institute、The Institute of Internal Auditors、IT Governance Institute、ISACA、Protiviti、Symantecが共同で行った。
対策を効果的に実施しているかどうかは、投資額の大小ではなく、その内容によって差が生じていていると調査では指摘している。
関連記事
- 事実を証明できますか? 内部リスクを知る方法
経営を脅かす重大なリスクの芽は、日常業務のデータの中にも潜んでいる。万が一の事態において、事実を正しく証明できる準備は整っているだろうか。 - 情報漏えいの最大コストは「顧客の喪失」
Ponemon Instituteの調査によると、情報漏えいに起因する平均コスト(検出、通知、事業機会の損失などにかかわるコスト)は増加しつつあるようだ。企業にとって最大のコストは事業機会の喪失で、情報流出コスト全体の69%を占めている。 - 情報漏えいの対応費用は1件200ドル超に
2008年に起きた情報流出に関してかかったコストは1件あたり平均665万ドルで、年々上昇している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.