|||||
Symantec.com > シマンテックについて > ニュース & メディア > プレスリリース > プレスリリース
印刷
 
News Release

IT PCG の調査により情報セキュリティと監査のコストを大幅に削減できる可能性が明らかに

一部の企業は、セキュリティ予算が同等の他社に比べ情報漏えいのコストが 149 倍


参考資料

2009 年 2 月 19 日 米国本社発表資料抄訳

2009 年 3 月 3 日

【報道関係各位】


IT Policy Compliance Group ( 以下、IT PCG ) は 2009 年 2 月 19 日に、最新のベンチマーク調査レポート「Managing Spend on Information Security and Audit to Improve Results ( 情報セキュリティと監査に費やすコストの管理による成果向上 )」を公開しました。IT PCG に参加する 2,600 社以上の企業を対象に実施された調査によると、「直面している財務上のリスクや損失と比較すると情報セキュリティに費やしているコストは少ない」と回答した企業が 68%に上りました。さらに、ベストプラクティス ( 成功事例 ) を目指して予算を徐々に増やすことで、ほとんどの企業で 200%を超える財務リターンを得ていることが判明しました。


Computer Security Institute ( コンピュータセキュリティ協会 ) 、The Institute of Internal Auditors ( 内部監査人協会 ) 、Protiviti 社、ISACA ( 情報システムコントロール協会 ) 、IT Governance Institute ( IT ガバナンス協会 ) 、シマンテックコーポレーション ( NASDAQ: SYMC、以下、シマンテック ) が共同で実施した今回の調査では、「成果を上げる情報セキュリティの予算を編成するリスクベースのアプローチ」、「IT の利用によりビジネス上のリスクと財務上のリスクを管理する手法」、「IT の監査に費やすコストの大幅な削減」についてまとめられています。


IT PCG のマネージングディレクター兼シマンテックの調査主任のジム ハーレイ ( Jim Hurley ) は次のように述べています。「保険の免責金額のように、すべての組織は顧客情報の盗難による財務上のリスクや損失、または IT システム の中断によるビジネス停止時間にある程度甘んじています。ただし、調査結果によると、損失に対する組織の耐性は非常に低く、少しの改善に対する財務リターンは非常に高くなっています。」


上位のビジネスリスク

想定し得るどのリスクよりもはるか上位に企業が選んだ IT 関連のビジネスリスクは、「機密情報の保持」「IT の情報、資産、統制の整合性」「IT サービスの可用性」の 3 つでした。IT PCG のレポートでは、継続的なベンチマークを使ってこれら 3 つのリスク分野に対する企業の取組みが測定されています。ベンチマーク調査の結果は次のとおりに分類されています。


  • 下位グループ:19%の企業が毎年 15 回を超える情報漏えいまたは盗難、IT 障害による 80 時間以上のビジネスダウンタイム、15 回を超える監査不合格を経験しています。
  • 中位グループ:68%の企業が「標準」レベルで運営されており、毎年 3 回から 15 回の情報漏えいまたは盗難、IT 障害による 7 時間から 79 時間のビジネスダウンタイム、3 回から 15 回の監査不合格を経験しています。
  • 上位グループ:13%の企業が最良の結果を出しており、毎年 3 回未満の機密情報の漏えいまたは盗難、7 時間未満のビジネスダウンタイム、3 回未満の監査不合格を経験しています。このような組織の年間の財務リターンは 22%から 3,000%以上まで多岐にわたります。

意外にも、下位グループと上位グループの違いはセキュリティ予算の規模が原因ではありませんでした。実際には、セキュリティ予算の規模の違いはほとんど影響しておらず、問題は予算の使い方にありました。



本レポートでは、最良の結果を出して財務上の損失を最小限に抑えている企業が用いている次の 5 つの手法について詳しく説明しています。

  • 経営幹部を活用したリスク管理
  • リスクの優先順位付け、統制の改善、手順の自動化
  • 統制とリスクの継続的な評価
  • 技術的な統制、ポリシー、IT 変更管理の使用
  • 総合レポート

財務上の影響

このようなリスクの財務上の影響は、IT がリスク管理のために実施した手法にほぼ全面的に対応することがわかりました。当然のことながら、ベストプラクティスを実施している企業は金額の面でも頻度の面でも財務上の損失が最も少なくなります。最低レベルで運営している企業は情報漏えいと盗難で年間収益の 9.6%相当、ビジネスダウンタイムのコストとして年間収益のおよそ 3%相当の対価を文字どおり支払っています。


収益が 50 億ドル規模の組織では、情報漏えいまたは盗難とビジネスダウンタイムを合計したコストは、手法が最も不適切であった企業の 3 億 2,900 万ドルからベストプラクティスを実施した企業の 225 万ドル ( 149 分の 1 ) まで多岐にわたりました。


Hurley 氏は次のように述べています。「緊急事態が起きて優先順位を見直さざるを得なくなるまで放っておくか、業界で実証された手法を始めることが自社にとって最善だと判断するかは、企業の自由です。」


この調査によって、最良の結果を出した企業が実際に支払っている監査費用と経費は 35%から 52%少ないということもわかりました。このような企業では、リスク、損失、監査費用を削減する手法にかかるコストを調整することで、組織が甘んじて被っている損失よりも 1,000%から 500,000%多い財務リターンを上げることができます。


IT PCG メンバーのコメント

IT Governance Institute の Risk IT Task Force メンバーであるブライアン バルニエ ( Brian Barnier ) 氏は次のように述べています。「このレポートにより、セキュリティ、アベイラビリティ、その他の IT 関連のビジネスリスクを効果的に管理することで得られるメリットが明確になりました。無料でダウンロードできる COBIT フレームワークなどの有効な手法は、リスクを軽減して価値を最大限に高めるために具体的に行動するうえで役立ちます。」


Protiviti 社の情報セキュリティ/データプライバシー担当マネージングディレクターのロッコ グリロ ( Rocco Grillo ) 氏は次のように述べています。「IT PCG の調査によって、IT セキュリティリスクの管理を改善した企業には、財務上のリスクと損失の軽減や規制監査の費用と経費の削減など、さまざまなメリットがあることが証明されました。本調査結果には、ベストプラクティスであると考えられていた手法が定量的に示されています。トップダウン型のアプローチを実施し、一連の権限を持ち事業内容を把握した明確なオーナーが存在する組織は、最も費用対効果に優れた総合的な情報セキュリティプログラムを整備しています。」




調査について

IT PCG のベンチマークで調査されるトピックは、サポートメンバー、顧問メンバー、最近の調査からの情報をまとめた継続的な調査の一環として調査されます。本レポートに含まれる最新のベンチマークは、734 の組織を対象に 2008 年 9 月から 12 月の間に実施されました。最新のベンチマークに参加した 734 社すべての組織が北米の組織で、その大半 ( 95%) が米国の組織です。IT PCG に参加する 2,600 社以上の参加組織の大半 ( 90%) は米国の組織です。その他の 10%はヨーロッパ、ラテンアメリカ、中東、アジア、環太平洋地域の組織です。


IT PCG について

IT PCG は組織がポリシーや規制に関するコンプライアンス目標を達成するうえで役立つ調査と情報の提供を専門に行っています。事実に基づくベンチマークによりメンバー組織のビジネス、ガバナンス、リスク管理、コンプライアンスの成果の改善を支援しています。Computer Security Institute、The Institute of Internal Auditors、Protiviti 社、ISACA、IT Governance Institute、シマンテックコーポレーション ( NASDAQ: SYMC ) などの業界を代表する組織が支援しています。詳しくは www.ITPolicyCompliance.com をご参照ください。



注:IT PCG の詳細については、同グループ Web サイトの「About Us」( http://www.itpolicycompliance.com/about%5Fus/) をご覧ください。



シマンテックについて

シマンテックは、今日の情報主導の社会 ( information-driven world ) において、企業および個人の情報の保護と管理を実現するためのセキュリティ、ストレージ、システム管理のソリューションを提供する世界的なリーダーです。シマンテックが提供するソフトウエアとサービスは、あらゆる箇所で発生するリスクから、情報を包括的かつ効果的に保護し、情報が使用/保存されている場所を問わずに確実に保全します。詳細は www.symantec.com/jp をご覧ください。



*Symantec 社の名称、ロゴ、は、米国 Symantec Corporation の米国内およびその他の国における登録商標または商標です。
*その他製品名などはそれぞれ各社の登録商標または商標です。



©1995 - 2009 Symantec Corporation
サイトマップ|
利用規約|
プライバシーポリシー|
お問い合わせ|
各国サイト|
使用許諾契約