「ITリスク＝セキュリティリスク」の定説は間違い！〜シマンテック「ITリスク管理レポート」でさまざまな定説が覆される

　シマンテックコーポレーションは25日、「シマンテックITリスク管理レポート第2巻」を発表した。

　このレポートは、全世界のIT担当者を対象に、400以上の項目にわたって詳細かつ体系的な調査を分析したものとなっている。同レポートでは、主要な問題やトレンドを特定した上で、「ITリスク管理の対象は、ITセキュリティのみである」「ITリスク管理は、プロジェクト主導で行われる」「テクノロジーのみでITリスクを管理できる」「ITリスク管理は、一種の科学である」という、ITリスクに関連する4つの定説を誤りだとしている。

　1つめの定説「ITリスクはセキュリティリスクである」については、調査結果からIT担当者の間でより幅広い認識が生まれていることが指摘されている。調査回答者の78％は、セキュリティではなくアベイラビリティのリスクが「重大」または「深刻」であると答えた他、セキュリティ、パフォーマンス、コンプライアンスのリスクについては、回答者のそれぞれ70％、68％、63％が「重大」または「深刻」であると答えた。もっとも高く評価されたアベイラビリティリスクともっとも低く評価されたコンプライアンスリスクの差がわずか15％であったことから、IT担当者はITリスクに対して、セキュリティ中心ではない、よりバランスの取れた見方をしていることがわかったとしている。

　2つめの定説「ITリスク管理は一種のプロジェクトである」については、内部および外部のITリスク環境が動的だという性質を無視しており、効果的にリスク管理対策を行っている企業のほとんどが、より横断的なアプローチを採用していることが明らかになったとしている。

　3つめの定説「テクノロジーだけでITリスクを軽減できる」については、有効性を決定づけるのは、テクノロジーを利用する人やプロセスであって、プロセスの問題に起因するITインシデントは全体の53％を占めるとこと。データライフサイクルの管理において有効性は「75％以上である」とした回答者の割合は、第1巻から17％減少し、43％にとどまった。

　4つめの定説「ITリスク管理は一種の科学である」については、むしろビジネスプロセスとして進化していることが明らかとなったとしている。

　これらの調査結果から、IT担当者がセキュリティ、可用性（アベイラビリティ）、コンプライアンス、パフォーマンスのリスクを網羅して、よりバランスの取れたアプローチを採用していることが判明したものの、ITリスク管理に対する誤解は、ITシステムの障害を招き、最終的にはビジネス継続性に影響を及ぼす可能性があるだろうとの結論が導き出されている。また一方でIT部門はデータ損失の発生頻度を低く見積ることが多い点が指摘された。