シマンテックは3月25日、ITリスク管理に関する調査レポートの第2弾として、「シマンテックITリスク管理レポート第2巻」を発表した。このレポートは、全世界のIT担当者を対象に400以上の項目にわたる調査を分析したもの。主要な問題やトレンドを特定した上で、ITリスクに関連する定説を分析し、払拭している。
分析した定説は、「ITリスク管理の対象は、ITセキュリティのみである」「ITリスク管理は、プロジェクト主導で行われる」「テクノロジーのみでITリスクを管理できる」「ITリスク管理は、一種の科学である」の4つ。
「ITリスク管理の対象は、ITセキュリティのみである」の調査結果では、調査回答者の78%が、管理の対象はセキュリティではなくアベイラビリティのリスクが「重大」または「深刻」であると答えたほか、セキュリティ、パフォーマンス、コンプライアンスのリスクについては、回答者のそれぞれ70%、68%、63%が「重大」または「深刻」であると答えた。
最も高く評価されたアベイラビリティリスクと、最も低く評価されたコンプライアンスリスクの差がわずか15%であったことから、IT担当者はITリスクに対して、セキュリティ中心ではない、よりバランスの取れた見方をしていることがわかるとしている。
「ITリスク管理は、プロジェクト主導で行われる」では、回答者の69%が軽度のIT障害は最低1年10回発生すると予測し、63%が重度のIT障害は最低1 年に1回は発生すると予測している。レポートでは、効果的にリスク管理対策を行っている企業のほとんどが、より横断的なアプローチを採用していることが明らかになっている。しかし、多くの企業では資産の分類や管理など、リスクを管理し、コントロールするための基本的な施策の導入に失敗しているように思われるとしている。
「テクノロジーのみでITリスクを管理できる」では、プロセスの問題に起因するITインシデントは全体の53%を占め、いくつかのコントロールに対する評価が前年のレポートから低下していることが、高まる不安の材料としている。また、データライフサイクルの管理において有効性は「75%以上である」、とした回答者の割合は第1巻から17%減少し、43%にとどまった。これは、資産が優先度と関係なく同等に扱われていることで、コストやサービスの非効率化を招くとしている。
「ITリスク管理は、一種の科学である」では、ITリスク管理が緻密な科学ではなく、むしろビジネスプロセスとして進化していることが明らかとなっている。これは、個人や企業にとってはビジネスやテクノロジーを取り巻く環境の変化に対応して自ら積み重ねてきた経験に基づいているからであり、経営上のリスク管理や品質管理、ビジネスのガバナンスやITのガバナンスの要素が、ITリスク管理に含まれることに対する理解も高まっているとしている。
