米BearingPointは、米Forester Consultingと共同で実施した、情報セキュリティ・リスク管理に関する担当部門と企業幹部の意識調査のまとめを発表した。

同調査は、米国、EMEA、アジア太平洋地域の売上高2億5,000万ドル超の大企業175社の企業幹部と担当部門を対象に2008年7月に実施したもの。情報セキュリティ・リスク管理に関する取組み上の課題と優先順位について質問が行われている。

発表によると、情報セキュリティ・リスク管理者の51%、企業幹部の55%が情報セキュリティ・リスク管理はCEO、または取締役レベルの懸案事項であると回答した一方、情報セキュリティ・リスク管理者がCEO、または取締役レベルに会っている頻度が「少なくとも月に1度」と答えたのは46%、「少なくとも四半期に1度」と答えたのは26%という。BearingPointでは、他の経営課題が優先されており、情報セキュリティ・リスク管理に対する組織的な取り組みが妨げられていることが明らかになった、と結論づけている。

全回答者の3分の1強が複数のレポートラインを持ち、人事、法務、財務、もしくはエンタープライズリスク部門への報告も行っている。具体的には、金融業界では、72%がエンタープライズリスク部門、55%が法務部門に対して副のレポートラインで報告を行っているとしている。公的部門、およびライフサイエンス業界ではそれぞれ47%、49%が法務部門に対して副のレポートラインで報告を行っている。地域ごとでも違いが見られ、アジア太平洋地域の企業は米国、またはEMEAの企業に比べて、副のレポートライン、またはマトリックス形の組織を導入しているケースが少ない。また、EMEAの企業はマトリックス形のレポートラインを導入している比率が最も高い。

全回答者の73%が情報セキュリティの測定・分析・報告が大きな課題のひとつであると指摘し、さらには企業幹部の約半数が情報セキュリティとコンプライアンス確保の主な手段として内部監査を挙げている。その反面、第三者による評価を挙げた人はほとんどいなかった。さらに、多くの組織では、第三者とビジネスパートナーのリスク管理においてインフォーマルな手続きと自己評価を用いていて、回答者の4人に3人が、測定された結果は意思決定に利用されないと感じている。

全回答者の3分の1近くが組織における現行のリスク評価について非常に自信を持っており、企業幹部では47%、情報セキュリティ・リスク管理者では41%が同様の回答をしている。それを反映して、情報セキュリティ・リスク管理者の51%が今後12ヶ月の間に情報セキュリティ関連支出の増加を見込んでいる一方、同じように感じている企業幹部は40%に留まり、意識のズレが浮き彫りとなった。