数十億ドルのセキュリティ投資にも関わらずデータ侵害増加、CISOが直面する新たな挑戦

Last Updated on 2024-03-04 08:34 by 荒木 啓介

企業組織は毎年数十億ドルをセキュリティツールやシステムに投資しているが、データ侵害の件数は増加の一途をたどっている。過去10年間、ITセキュリティ予算は重要な項目として扱われ、他部門に課される削減から保護されてきた。しかし、世界的な不況の不安が高まる中、ビジネスリーダーは運営予算の各項目を見直すようになった。その結果、企業のCISO（最高情報セキュリティ責任者）は、セキュリティプログラムのコスト効率について具体的な質問に答える準備をしなければならなくなった。

セキュリティリーダーが予算を守る、あるいは増やすためには、経験データを武器にして、セキュリティ投資のビジネス価値を明確に伝える必要がある。セキュリティの有効性を測定する標準的な方法はなく、CISOは以下の4つのデータ駆動型戦略を用いて、セキュリティの価値をビジネスリーダーに伝えることが求められる。

1. 有意義なメトリクスの定義: セキュリティメトリクスは、ビジネスメトリクスやKPIと一致する方法で捉え、伝えることが難しい。ROIを直接的に収益を生み出す製品やサービスに対して計算するのは比較的簡単だが、主に財務損失を防ぐことに焦点を当てたセキュリティツールのROIを定量化することはより複雑である。

2. 運用リスクの定量化: セキュリティチームが組織に提供する価値を示すためには、リスクを定量化し、そのリスクが効果的なセキュリティコントロールによってどのように軽減されているかを示す必要がある。

3. ツールとベンダーの統合: 過去10年間で、企業のセキュリティチームはセキュリティツールの購入に多額を投じてきた。ツールを統合し、運用を合理化することで、コストを削減し、脆弱性を減らすことができる。

4. 可視性の優先: 広範なネットワーク可視性に投資することで、環境内のリスクを把握し、管理することが可能になる。

セキュリティリーダーは、経験データに基づく責任文化を構築し、セキュリティの完全な価値を合理的に伝えることで、取締役会の席を維持する必要がある。

【ニュース解説】

企業組織が直面しているセキュリティの脅威は日々進化しており、これに対抗するためには莫大な投資が必要です。しかし、データ侵害の件数が増加する一方で、世界的な不況の不安が高まる中、企業の最高情報セキュリティ責任者（CISO）は、これまで比較的保護されてきたセキュリティ予算が削減の対象になる可能性に直面しています。このような状況下で、CISOはセキュリティプログラムのコスト効率を明確に示し、ビジネスリーダーにその価値を伝える必要があります。

セキュリティの有効性を測定する明確な基準は存在しないため、CISOは以下の4つの戦略を用いて、セキュリティのビジネス価値を伝えることが求められます。

1. **有意義なメトリクスの定義**
セキュリティメトリクスは、ビジネスリーダーが理解しやすい形で伝える必要があります。直接的な収益を生み出さないセキュリティツールのROIを定量化することは難しいですが、組織の主要なビジネス機能や優先事項にメトリクスを合わせることで、その価値を示すことができます。

2. **運用リスクの定量化**
リスクを定量化し、セキュリティコントロールによってリスクがどのように軽減されているかを示すことで、セキュリティチームが組織に提供する価値を明確にすることができます。リスクの確率や影響、コントロールの有無を評価することが重要です。

3. **ツールとベンダーの統合**
セキュリティツールの数が増えることは、管理の複雑さやコストの増加を意味します。ツールを統合し、運用を合理化することで、コストを削減し、セキュリティのギャップを減らすことができます。

4. **可視性の優先**
広範なネットワーク可視性に投資することで、環境内のリスクを把握し、効果的に管理することが可能になります。エンドポイントの可視性を高めることも、攻撃の検出と対応において重要です。

これらの戦略を通じて、CISOは経験データに基づく責任文化を構築し、セキュリティの完全な価値を合理的に伝えることができます。これにより、不確実な経済状況の中でも、セキュリティ予算を守り、さらには増やすことが可能になるでしょう。セキュリティは単なるコストではなく、組織の持続可能な成長と直接的に関連する重要な投資であることを、CISOはビジネスリーダーに理解させる必要があります。

from 4 strategies data-driven CISOs need to take now to defend their budgets.