企業における4つITリスクを分析——シマンテックの包括的コンサルティング

　シマンテックは2日、コンサルティングサービス「Symantec Foundation IT Risk Assessment」を発表した。企業のITリスクを評価するというものだ。受注は、11月2日から、サービスは12月上旬からの開始となる。

　米シマンテックのグローバルサービスグループプレジデントのグレッグ・ヒューズ氏は、経営上のリスクとして、財務上のリスクと業務のリスクに分類し、業務のリスクについては、ITとそれ以外と定義した。そのうえでITに関するリスクとして、これまではセキュリティだけが重視されていたと指摘。自然災害「アベイラビリティ」、アプリケーションの対応時間などに関する「パフォーマンス」、法令遵守の「コンプライアンス」の3つもあげた。同サービスでは、この4つの分野を対象に包括的なコンサルティングが行われる。

　米国ではすでに実施されており、ある州立団体の事例が紹介された。その結果、組織文化、ITサービスの管理の実施、災害対策計画などに重大な欠陥があることが判明。ITリスク対策の作成や、トレーニングが実施された。

　シマンテックのコンサルティングサービス本部長のテルミ・ラスカウスキー氏は、ITリスクが及ぼす損失について、同社やガートナーが算出した数字として、セキュリティへの違反は1件あたり90〜1,500ドル、ダウンタイムは1時間あたり42,000ドルなどをあげた。そのうえで、「ITにお金を使いすぎると、イノベーションを阻害する」とし、ITリスクの解消は企業にとって必要だと強調した。

　このITリスクは先にグレッグ・ヒューズ氏があげた4つのものがあるが、テルミ・ラスカウスキー氏は多くの企業はどこから手を付けていいのか分からない状態だとする。Symantec Foundation IT Risk Assessmentは、このようなITリスクを評価し、「どこからスタートするのか」という改善案を提示する。また、「経営者層にITリスクを理解してもらい、現状とあるべき姿のギャップを認識してもらう」ことも重視されており、経営者層向けの報告書も行われる。

　なお同サービスは、ITリスクの把握までとなる。実際にはこののち、ビジネスに対するインパクトを数値化し、優先順位を決定。ソリューションの設計と導入、これが持続するための改善プログラムまで実施することになる。この際、コストとリソースのバランスをとり、ベンダーの枠を超えた中立的な立場からの提言を行うとしている。