シマンテックは15日、企業内のITリスク管理戦略の有効性を評価する基準と、対策をまとめた「シマンテックITリスク管理レポート(Symantec IT Risk Management)」を発表した。 同レポートは、2005年10月から2006年10月までの12か月間、世界各地で事業を展開している幅広い業種の企業を対象にITマネージャーやトップITエグゼクティブなど500人以上から得た回答をまとめたもの。 発表によると、回答者の過半数は今後1年から5年の間にセキュリティ上、またはコンプライアンス上のインシデントが起こると予測している。また、66%はコンプライアンス上の大きなインシデントが、58%はデータセンターの停電・データ破壊・セキュリティシステムの侵害などが原因の大規模なデータ損失が少なくとも5年に1回は発生すると考えている。 プロセスコントロールについては、特に有効なプロセスコントロールとして認証・許可・アクセスが挙げられ、全回答者の68%が自社のプロセスコントロールに75%以上の有効性があるとした。しかし、その反面、資産のインベントリ・分類・管理プロセスコントロールの実施については75%以上の有効性があるとした回答者は全体の38%に留まり、IT資産の特定・分類・管理に問題があることをかいま見せている。 IT担当者とITエグゼクティブ間の自社のITリスクに対する認識の温度差は大きく、なかでもビジネスプロセスリスクとコンプライアンスリスクに対する評価の差は明確となっている。ITエグゼクティブの8%がビジネスプロセスリスクはIT業務上重要であると回答したのに対してIT担当者では22%に上るほか、コンプライアンスリスクの重要性についてはITエグゼクティブの23%、IT担当者では16%と意識の違いが見られた。 同レポートの16のコントロール分野について自己評価が高かった企業のうち、上位25%を定義した「ベストインクラス企業」の特徴として、高レベルのコンプライアンスリスクとビジネスプロセスリスク、ITインシデントの発生率の低さを併せ持つことだ。ベストインクラス企業では、広範囲のコントロール分野において総合的なアプローチを見せているが、評価が低い企業では少数の対症療法的なコントロールに執着する傾向が見られた。
BIGLOBE、クラウド型脆弱性診断サービス「McAfee SECURE」提供開始
