IDC(International Data Corporation)によると、2007年以降5年間で、ハードディスクなどの記憶媒体(ストレージ)の容量は6倍に増加し、オフィスで扱う文書などのデータは25%から63%に増加すると予測されている。
このようにIT環境が拡大し、企業が保有する情報が多様化することで、大量の情報を的確に管理することが困難になってきた。
IT情報は企業活動の根幹を成しているため、システムがダウンすれば社内外に大きな影響を与える。
セキュリティ・インシデントの報道化が進み、事件などの情報が迅速に社会に伝わるため、企業イメージ、信頼度への影響が大きいなど、ITリスクが拡大している。
米国では、2007年のセキュリティ・インシデントによる被害が、6600万ドルを超えた。
情報セキュリティ管理規格のISO27001全取得社数4426社のうち、2668社が日本企業であることから、他の国に比べて日本の情報セキュリティの意識は高いと考えられる。
しかし、ITセキュリティは、企業のコストを上昇させる一因だと考えられているため、日本では、ビジネスとしてのリターンにつながっていない。
自社が保有する情報の何を、どのように、どこまで守るべきかを、経営者が判断できないことも、ITリスク対応を積極的にビジネスに転換できない一因でもある。
企業の中に設置したCISOが、経営者の視点に立ってITガバナンスをコントロールすべきである。
シマンテックのアンケート調査によるとITガバナンスの成熟度が向上した企業ほど、プロフィット(利益)が多いという結果が出ている。
その意味からも、企業の差別化のために、ITリスク対応を企業戦略の一環としてビジネスに結び付けなければいけない。
このことを経営者は肝に銘じる必要がある。
優秀な人材が不足しがちなITセキュリティ部門においては、シマンテックが行っているSymantec Global Consultingサービスなどを利用して、アウトソーシングでITセキュリティに対応することも、今後は必要になるだろう。
