米PricewaterhouseCoopersと米誌「CIO Magazine」は,企業のセキュリティ支出について調査した結果を米国時間9月29日に発表した。それによると,2003年にセキュリティ支出を増加した企業は62%に達し,2002年の50%を上回ったという。
調査は,政府機関,財務サービス,金融機関,製造,教育,電気通信,ヘルスケアなど,さまざまな業界の企業幹部と,ITおよび情報セキュリティ担当上級管理職をあわせた7596人を対象に,オンラインによるアンケートを実施したもの。
米メディア(CNET News.com)によると,企業がセキュリティ支出を増額した最大の理由は,米国企業改革法(Sarbanes-Oxley Act)など,企業の情報管理の責任を定めた法規制の施行だったという。
「米国企業改革法が大きな影響を及ぼしたのは明らかだ。企業幹部は,社内の情報システムが安全で,監査を受けても大丈夫だという安心感を求めている」(PricewaterhouseCoopers社Security and Privacy Practice部門担当主任のJoe Duffy氏)
また同氏は,「企業の42%が,ネットワーク・セキュリティの強化や侵入検知などに投資して,積極的な対策を講じると回答している。2004年は,セキュリティ対策に戦略的に取り組む企業が増えるだろう」と予測した。
北米とその他の地域を比較した結果は次の通り。
・ビジネスとITの両部門の幹部が,情報セキュリティに関する意志決定を行う企業は北米が67%,アジアが59%,欧州が52%,南米が29%
・無線技術を利用している企業は北米が50%,欧州が29%,南米が28%,アジアが27%
・セキュリティ確保のための方針,手段,技術要件を明確にすることで,社員のセキュリティに対する意識向上を図っている企業は米国が71%,アジアが62%,欧州が60%,南米が49%
・セキュリティ侵害を受けた場合,それを法的機関に報告する企業は,米国が50%,欧州が27%,アジアが16%,南米が10%。一方,セキュリティ侵害を提携企業,ベンダー,サプライヤなどに報告する企業はアジアが40%,南米が38%,欧州が37%,北米が25%だった
CIO誌の編集発行人Scott Berinato氏は,「どの地域の企業も,情報セキュリティの確保に努めているが,セキュリティを侵害された場合の対処法は国によって異なるようだ。例えば,欧州では顧客のプライバシ確保が最優先されるが,米国では責任の所在を最も心配する」と説明した。
セキュリティ侵害に関するその他の調査結果は以下の通り。
・過去12カ月間にセキュリティ侵害を受けたことがある企業は64%
・セキュリティ侵害で最も多かったのは,「悪意のあるコード」が59%,「許可されていないアクセス」が40%,「DoS(denial-of-service)攻撃」が36%
・セキュリティ侵害によって受けた被害は,「電子メールやアプリケーションへのアクセス不能」が53%,「ネットワークの故障」が49%,「従業員や顧客の記録など,機密情報の流失や紛失」が28%
・セキュリティ侵害を行うのは「社外の人間」と回答した企業は67%,「許可なくアクセスした社員」とした企業が31%
◎関連記事
■2003年のITサービス市場は前年から3.5%成長,企業のIT予算でセキュリティが初めて5%を越える
■IT支出の引き締めが続く大企業,2003年のIT支出は0.2%減,回復は2004年から
■「ITセキュリティ市場は2006年には450億ドル規模に」――米IDCの調査
■ITセキュリティ製品の支出は今後1年で成長の見込み,「知名度より品質重視」
■「大規模企業はセキュリティ侵害の危険が,小規模企業の5倍」,米誌の調査から
■「企業のセキュリティ関連支出が増加」,米Vista Researchの調査
■「米企業の86%が,企業改革法に準拠するためのプロジェクトを検討中/導入中」,米調査より
■「2003年に金融サービス機関はリスク管理に優先投資する」,米調査
[発表資料へ]
