IT資産管理に関連した最重要リスクは「個人情報/機密情報を保存したUSBメモリの紛失」。ウイルスメールでの信用失墜や障害も重要課題
「IT資産戦略白書2013-2015」より
2013年09月25日
株式会社日経BPコンサルティング(東京都港区)はこのほど、IT資産管理とIT活用に関する調査を実施し、その結果を「IT資産戦略白書2013-2015」にまとめた。
IT資産管理に関連した経営課題について調査したところ、個人/機密情報を保存したUSBメモリ紛失が最も重要であり、次いでウイルスメールによる信用失墜や障害が重要であることが分かった。統制の不足やITコストの増大はやや重要な課題として位置付けられている。
調査は2013年6~7月に実施し、従業員数規模が300人以上の企業の経営系部門/情報システム部門の所属者からの合計685件の回答を集計した。
個人/機密情報を保存したUSBメモリの紛失が最重要課題
この調査では、13項目の潜在的な経営課題を取り上げて、その課題としての大きさと顕在化する可能性を考慮し、リスクを評価し、IT資産管理で解決すべき課題を特定した。「経営課題としての大きさ(重要度)」と「事態が発生する可能性」で13の事態を分類したのが図1である。2つの評価軸のスコアが共に平均を上回る右上の象限には、「経営課題として重要であり、顕在化する可能性も大きい、特に重要なリスク/課題」が配置される。
最も右上に位置する経営課題として、USBメモリの紛失にまつわる2種類の事態が挙がった。具体的には、「個人情報を保存したUSBメモリを紛失し、その対外的な公表を余儀なくされ、信用を失うこと」、および「機密情報を保存したUSBメモリを紛失し、事業に支障が出ること」の2つである。USBメモリは、大容量データを記憶できる半面、CDやDVDのように専用のドライブ装置を必要せず、小型で持ち運びが容易であるため、他の記憶媒体と比べ、紛失や盗難の危険性が高い。
(a)経営課題としての大きさ(重要度)のスコアを横軸で、
(b)事態が発生する可能性のスコアを縦軸として、13項目の経営課題をプロットした。
(a)(b)ともに、「非常に大きい」、「大きい」、「やや大きい」、「小さい」を、それぞれ100、67、33、0としてスコア化した。
ウイルスメールでの信用失墜や障害も重要課題
同じ象限には、ウイルスメールに関する2種類の事態も挙がる。より右上にあるのは「受信したウイルスメールの内容を信じて処理したことで、取引先の信用を失うこと」であり、もう1つは「ウイルスメールを受信したことで、システム障害が起きること」である。
前者は特定の企業や組織のユーザーを狙った電子的手段による攻撃、すなわち「標的型攻撃」として、近年注目されているリスクである。「標的型攻撃」の典型例は、標的とした企業の従業員に向けて、実在する部署や社員の名前などを記載することで信用させ、同僚や取引先を装ってウイルスメールを送信するもの。受信者がメールや添付ファイルを開くことでウイルスに感染し、社内情報が外部に自動的に送信される情報漏えい事故に発展する。後者の事態は、標的型である場合と、そうでない場合の両方がある。ウイルスメールは大量に流通しており、厳重な対策がますます必要となってきている。
統制の不足やITコストの増大はやや重要な課題
図1の右下の象限、すなわち、「経営課題としては大きいが、顕在化する可能性が小さい」事態を見ると、2つの課題が挙がる。1つは「使用を禁止しているハード/ソフトを使用していた者がいることで、システム障害が起きること」。もう1つは「ソフトのライセンス契約に違反していることをソフト会社などから指摘され、突発的な支出が必要となること」である。統制がエンドユーザーに及ばないことに伴い、前者はシステム障害という結果、後者はコンプライアンス違反やIT支出のコントロール不足を招く。ソフトの違法コピーなどの著作権侵害行為は、法人への最大3億円の罰金や、民事上の損害賠償請求の対象となる場合がある。事態が顕在化する可能性は小さいと見られているが、顕在化した場合のリスクは大きい。
これに対して、図1の左上の象限には、「経営課題としては小さいが、顕在化する可能性が大きい」事態が2つ挙げられた。1つは、「ネットへの不適切な書き込みに対して、IT操作記録(ログ)が不十分であるため、ネットでの炎上や誹謗中傷が起きて、信用を失うこと」である。書き込んだ人が自らの氏名を開示していなくても、ネット上の複数の情報をひもづけることで、書き込んだ人が特定され得る。外部の第三者に特定され、炎上や誹謗中傷を招く前に、IT操作記録を追跡できるようにしておくことが望ましい。もう1つは、「稼働率の低いハード/ソフトをムダに保有・契約していることで、ITコストが増大すること」である。信用失墜やシステム障害と比べると、小さな経営課題とされているが、発生する可能性としては13項目中7番目と中位に位置する。
ツール導入は統制・標準化、適正使用、作業効率化に寄与
上述した経営課題に対するIT面での対策の一つとして、IT資産管理ツールの導入がある。IT資産管理ツールを導入した場合の効果を図2に示した。IT資産の統制や作業の効率化に関する上位3項目を過半数の回答者が挙げた。1位は「エンドユーザーが使用するハード/ソフトの統制・標準化」(61%)、2位は「ソフトのライセンス契約に基づいた適正使用の実現」(53%)、3位は「ソフトの導入/バージョンアップ作業の効率化」(51%)。次いで3割台~4割強に5項目が並び、うち3項目はセキュリティに関連している。
経営系部門と情報システム部門とで、ツール導入効果のとらえ方の差異を見ると、経営系部門は、機密情報の漏えい防止やスマート端末(スマートフォンやタブレット端末)の管理、コスト削減に関する効果への期待が情報システム部門より大きい。これに対して、情報システム部門では全体の上位3項目など、IT資産の統制や作業効率化に関する効果への期待が大きい。
調査概要
| 調査名称 | 「経営・業務課題とITに関する調査」 |
|---|---|
| 調査目的 | 2015年にかけてのIT環境の変化を踏まえて、経営課題との関連で見たIT資産管理に関する取り組みの実態を把握する。 |
| 調査対象者 | 日経BPコンサルティングの調査モニターから、「従業員数規模が300人以上の企業」で、「IT(勤務先の情報システムを担当)」「経営全般/経営企画」の部門の所属者を抽出した。 |
| 調査方法 | Webアンケート調査。上記の対象者に対して、調査協力依頼のメールを送付した。 |
| 調査時期 | 2013年6月27日(木)~7月8日(月) |
| 有効回収数 | 685件 |
| 回答者属性 | 勤務先の業種:製造業44%、流通業9%、金融業7%、建設・土木・不動産業6%、情報処理サービス業15%、その他19%
従業員数規模:300人~999人33%、1000人~4999人34%、5000人以上33%。 所属部門:経営全般9%、経営企画28%、情報システム63%。 役職:経営者・役員4%、部長17%、課長32%、係長・主任27%、一般社員・職員・その他19%。 |
| 調査機関 | 株式会社日経BPコンサルティング |
| 調査委託者 | Sky株式会社 |
なお、本調査結果については、日経BP社が主催するICT分野の総合展示会「ITproEXPO」のセミナー(セミナー番号D214)(2013年10月10日(木)14:10~14:50)で、より詳しく解説する予定。このセミナーのプレビュー情報はITproサイトに掲載されている。
株式会社日経BPコンサルティングについて
日経BP社全額出資の「調査・コンサルティング」「企画・編集」「制作」など、コンサルティング、コンテンツ関連のマーケティング・ソリューション提供企業。(2002年3月1日設立。資本金9000万円)
このリリースに関するお問い合わせ
株式会社 日経BPコンサルティング テクノロジーインダストリー部 担当:村中
〒108-8646 東京都港区白金1-17-3 NBFプラチナタワー