2021-04-30
収益の縮小を予測している回答が多い(64%)にも関わらず、回答者のうちテクノロジーやセキュリティの最高責任者の55%が「自社のサイバーセキュリティ関連予算を増額する」ことを計画しており、51%が「2021年には常勤のサイバーセキュリティの担当者を増員する」と述べています。このことは、サイバーセキュリティがこれまでになく経営の重要課題となっていることを明示しています。
一方で、回答者の26%が「より少ない予算でこれまで以上の成果を出す必要がある」と述べており、13%が「一定の予算でこれを行わなければならない」と述べています。回答者の一人であるLiberty Mutual社CISOのKatie Jenkins氏は「私たちを取り巻く経済状況から、セキュリティへの投資が効率的かつ高い価値をもたらすものでなければならないという強いプレッシャーを感じています」と述べました。
企業のデジタル化が進むに連れ、サイバーセキュリティに関する支出を見直し、より効率的にセキュリティ対策への投資を行うことが重要になっています。なぜなら、新たにデジタル化されるプロセスと資産は、サイバー攻撃に対する新たな脆弱性となり得るためです。
回答者であるビジネスやテクノロジー、セキュリティの責任者の半数以上(55%)が、「最も重要なリスクに基づいてサイバーセキュリティ予算を編成できている」という自信を持てていないことが分かりました。また、「最も高いROI(Return on investment)をもたらすようなサイバーセキュリティ対策に予算を投入できている」という自信を持てていないことも判明しています(55%)。さらに、「深刻なサイバーインシデントへの対応に割り当てるリソースを調達できている」ことへの自信のなさ(55%)、「サイバーセキュリティ関連の支出に対し、対策の有効性をモニタリングするプロセスを持つことができている」ことへの自信のなさ(54%)も同様の数値を記録しました。
サイバーセキュリティ関連予算は、戦略的かつリスクに基づくデータドリブンな方法で、企業全体または事業単位の予算に紐付けられるようにすべきと考えられますが、回答者の53%は「現行のプロセスでこれを達成できている」という自信を持てていません。
さらに、今後のリスクへの対応について、「現状のサイバーセキュリティ関連予算で急成長するテクノロジーを適切に管理できる」とは考えていない(58%)ことも分かりました。
サイバーセキュリティへの支出に関する予算編成プロセスに自信を持てないことから、経営者からは「直ちに抜本的な見直しが必要である」といった声が聞かれました。また回答者の44%が「新たなプロセスを試行中であり、必要な予算を割り当てられるようCEOや取締役会を説得する最良の方法を検討中である」と述べています。しかし、回答者の3分の1以上が「テクノロジーの自動化や合理化によって、コストを抑えたまま自社のサイバーセキュリティ対策を強化できる」とも考えています。
サイバーセキュリティの担当者が、より少ないコストでより多くの施策を実行するには、サイバーリスクを定量化して、その情報を用いてセキュリティとプライバシーおよびキャッシュフローを保護するためのスマートな選択をする必要があります。
Global DTI 2021では、回答者の17%がサイバーリスクを定量化し、そのメリットを理解していることが明らかになりました。例えば、サイバーリスクを定量化している高い買収力を持つ企業は、ディールの機会をより体系的かつ迅速に評価することができています。1日に数百万もの取引を処理する金融機関は、日次または週次で脅威および脆弱性の評価を行うことができ、管理の基礎となるパフォーマンスや、リソースを再分配する必要性に、常に注意を払うことができています。
サイバーリスクの定量化は、変革に及び腰な企業には向かないと言わざるを得ません。その理由として、定量化には広く受け入れられるモデルが存在しないこと、サイバーリスクをビジネスの視点から考えることができる人材が不足していること、および規模の経済性が不足していることなど、多くの障害を伴うことが挙げられます。しかし、回答者の約60%はすでにリスクを定量化し始めており、その範囲を拡大させています。残りの回答者のうち半数程度(17%)は、「今後2年間でリスクの定量化に着手する計画である」と述べています。
長年の間、サイバーセキュリティの経済学はコスト面(コンプライアンス、更新機能など)に特化してきましたが、私たちは直ちにこの考え方を変える必要があります。サイバー戦略を見直す(あらゆるビジネス上の意思決定においてサイバーセキュリティを考慮する)ためには、戦略的かつリスクに基づくデータドリブンな方法で、企業全体または事業単位ごとの予算とサイバーセキュリティ関連予算を紐付ける必要があります。
リスクの低減やコンプライアンスコストの削減という観点から、サイバーセキュリティ関連プロジェクトの価値を金額で表すことで、関連投資の価値とコストを比較して、優先順位を付けることが可能になります。
コストを定量化することで、ビジネス目標に対するサイバーセキュリティ関連投資のポートフォリオ全体の価値の測定も容易になります。市場や規制当局がCEOや取締役会に対して、サイバーセキュリティやプライバシーに対する責任をより多く求めるようになるに連れ、特にこの種の厳格さや精巧さがますます必要になるでしょう。
「私たちを取り巻く経済状況から、セキュリティへの投資が効率的かつ高い価値をもたらすものでなければならないという強いプレッシャーを感じています」
