経営層の理解が進むのはいいことばかりじゃない? セキュリティ支出を巡る事情:Cybersecurity Dive
経営層はサイバーリスクを現実的な脅威だと認識し始めるようになった。これに合わせてIT予算のうちセキュリティが占める割合も改善傾向にある。
インシデントが企業全体のビジネスに大きな影響を及ぼすにもかかわらず、セキュリティに関する支出はIT予算の範囲内にとどまっており、さらにケースも多く存在する存在する。
Gartnerの調査によると(注1)、2022年におけるIT予算のうちセキュリティが占める割合はわずか5.2%だった。一見この割合は小さく見えるが、2021年と比較すると改善傾向にある。同社の調査によると、増加の要因は企業がセキュリティリスクを現実的な脅威と認識し始めたことにある。
サイバーリスクに対する認識は深まっているが、予算の使い道は厳しい
企業のリーダーたちは、ビジネス資産の保護に関してリスクの許容度が低い傾向にあるが、近年、企業の関係者はサイバーリスクを組織の評判や財務利益に対する現実的な脅威として認識し始めるようになった。
セキュリティを含めたIT予算には制約があるが、全体として見ると企業の経営幹部はサイバーリスクの防止に力を入れるようになってきている。
セキュリティ企業Pathlockのピユーシュ・パンデイCEO(最高経営責任者)は「企業は、取引やデータに影響を与える可能性があるアプリケーション環境内に存在するリスクについてよりよく理解し、セキュリティとコンプライアンス両方の目的で、これらのアプリケーションを保護するための対策を進めている」と語る。
サイバーリスクやインシデントがどのような影響を及ぼすかについての理解は深まっているが、企業は予算の使い道について難しい決断を下している。リーダーは常に、新しい機能や、より優れた機能を持つ製品への置き換えによってコストを削減する方法を探っている。
セキュリティ企業Rezonateのロイ・アクマン氏(共同創設者兼CEO)は「CISO(最高情報セキュリティ責任者)とCIO(最高情報責任者)は、セキュリティオペレーションの最適化とコスト削減により多く投資している。ツールの数を減らし、異なるツールの運用に割り当てるFTE(Full-Time Equivalent:フルタイム当量)の数を減らし、自動化を増やし、統合に重点を置いている」と述べている。
景気が停滞する中で、企業はどこにカネを使うべきか
セキュリティ支出は経済が減速している中でも増加している。多くの組織が縮小し、お金をどこにどのように使うかを検討している。ITも経済の不確実性から免れることはできないし、企業は技術資産についてより慎重に考えるようになっている。
「数年ではなく、数カ月以内のROI(投資収益率)に対する明確な道筋を持つソリューションが優先されるのを見てきた」とパンデイ氏は述べる。
これによって新しい製品やソリューションを試す意欲が低下し、システムを稼働させるためのセキュリティ担当者や技術者が少ない中で、リーダーシップはより予測しやすい選択肢を重視するようになった。
その代わりに、企業はビジネスの安全性を維持し、業務を円滑に進めるために必要なものを中心にセキュリティ支出を設計している。
「CISOとCIOはそれらを運用するための追加の人員がないことを知りながら、自分たちの投資を最大限に活用しようとしている」とアクマン氏は述べている。
規制への対処がセキュリティ支出を増加させる
経済がどのように変化しても、セキュリティ支出を左右する原動力となるのは政府や業界による規制だ。コンプライアンス基準は組織がセキュリティ支出についてどのように考え、どこに予算を集中させるべきかを考える際に大きな役割を果たす。
インシデント対応には高額な費用がかかる。2022年のデータ侵害に関するレポートによると、データ侵害に関する平均コストは440万ドルであり、これは過去最高だったとIBMは指摘している。
しかし企業がコンプライアンス違反を指摘された場合、追加の罰金やその他の費用で100万ドル以上を支払うこともある。
特に、順守すべき法律が複数ある業界では規制やコンプライアンスを確実に満たすことは簡単ではないが、インシデントの後処理に費用をかけるよりもセキュリティ費用を先行して予算化する方が安価だ(注2)。これにはサイバー保険の要件が追加される可能性もある。
サイバーセキュリティの専門家であるバイロン・ラシェッド氏は「サイバーセキュリティ保険に加入している多くの組織は、引受条件や契約条件を満たすためにサービスの実施やネットワークのアップグレードを求められている」と話す。
規制要件を満たし、ネットワークとデータをサイバー攻撃者から守るといったセキュリティの現実に対応するためのセキュリティ支出は常に右肩上がりだ。
「新規またはアップグレードされたサービス、ソリューションおよびハードウェアの適切さは、予算を正当化するために厳しく精査される」とラシェッド氏は言う。
その厳しい監視が続く限り、セキュリティ予算はIT支出全体の中で後回しにされるだろう。
(注1)IT Key Metrics Data 2023: IT Security Measures ― Analysis(Gartner)
(注2)Cost of regulatory security compliance? On average, $3.5M(NETWORKWORLD)
関連記事
- サイバーレジリエンスをかみ砕く 構成要素と具体的な対策を把握しよう
近年注目のキーワード“サイバーレジリエンス”。よく聞く言葉だが「何をもってサイバーレジリエンス能力が高いといえるのか」を自信を持って説明できる人は少ないのではないか。本連載はサイバーレジリエンス能力向上に向けた実践的なステップを解説する。 - サイバーレジリエンス(回復力)を高めるために企業は何をすべきか?
BakerHostetlerの調査によると、2022年のデータセキュリティインシデントの数は前年とほぼ同じだった。悪意のある活動に適切に対応するための対策が充実する一方で、新たな攻撃手段も生まれている。 - “お金をかけずに”サイバーレジリエンスを高める方法
サイバー攻撃の激化に向けてサイバーレジリエンス能力を高めることが企業には求められています。ただ、これに向けてすべてを購入する予算やリソースが不足している企業もあることでしょう。そこで本稿では“お金をかけなくてもできる対策”を紹介します。 - 「日本企業はデータ保護意識が低すぎる」 サイバーレジリエンス向上のために見直すべき4つのこと
ランサムウェアが活発化する昨今、被害後の回復や復旧を迅速に実現するサイバーレジリエンスに注目が集まっています。しかし、実現にはハードルもあるようです。本稿では、グローバル調査から日本企業が抱えている問題点を洗い出します。
© Industry Dive. All rights reserved.