未来を確かなものに:サイバーセキュリティ準備状況レポート
第7章:予算の制約
適切なセキュリティソリューションと最高の人材への投資は、サイバーセキュリティの課題に対処するための当然の戦略であると考えるでしょう。しかし、多くの企業は依然としてサイバーセキュリティへの資金不足に悩まされています。そこにある救いは、経営層がセキュリティ問題への意識を高めるほど、サイバーセキュリティへの投資を支持するようになると言う点です。さらに��、適切なセキュリティ対策を講じれば、限られた投資でも最大限に活かすことができるのです。
多くの企業はすでにセキュリティへの投資を強化しています。そうした企業は、IT予算の大部分を新しいセキュリティソリューションの購入や人材採用に充てています。調査によると、過去1年間で、企業の53%がIT予算の11~20%をサイバーセキュリティに使用しており、28%の企業が20%以上(5分の1)を費やしています。
一見すると、大規模で複雑なネットワークを防御する必要がある大規模組織であるほど、中小企業と比較してよりもIT予算のかなりの部分をサイバーセキュリティに費やしているように思われますが、実際、大企業とその他の企業との支出の差は、それほど大きくありません。当社の調査では、大企業の3分の1以上(35%)がIT予算全体の5分の1以上をセキュリティソリューションと人材に費やしている一方、中小企業でも26%が同等の割合を費やしています。
支出は業界によって異なります。今回の調査で、医療、輸送、金融サービス業界がサイバーセキュリティに最も多くの資金を費やしていることがわかりました。しかし、その割合に反し、それぞれが報告した自社評価によれば、必ずしも十分な対策を講じているとは言えません。実際、セキュリティ脅威に対処するための準備が十分にあると回答したのは、医療業界の回答者のうち16%に過ぎませんでした。
�今後、サイバーセキュリティ予算は増加する見込みです。調査回答者の3分の2(67%)が、今後12か月で予算が拡大すると予想し、11~20%の大幅な予算増を見込んでいます。一方で、回答者の22%がサイバーセキュリティへの支出を現在のレベルで維持すると予想しています。
すでに多くの支出をしている分野の企業は引き続き支出を拡大するでしょう。金融サービス、医療、運輸業界の調査回答者は皆、支出の増加を予測しています。一方、インフレやその他の経済動向の影響を受ける可能性のある小売や製造などの業界の回答者は、サイバーセキュリティ予算の削減を見込んでいます。
一部の企業で予算が拡大する主な理由としては、サイバーセキュリティインシデントの発生率の増加と深刻化が挙げられます。経営陣は、組織のリスクプロファイルとリスク許容度に基づいてサイバーセキュリティ予算を判断する必要がありますが、すべてのリスクが、多額の投資に見合うとは限りません。しかし、規制罰金、訴訟、復旧費用、評判低下による事業損失など、巨額の経済的損失をもたらす大規模攻撃に直面している組織が増加しています。多くの経営陣にとって、これらの事象は許容リスクのレベルを超えており、経営幹部は投資を強化しなければならないことを認識しています。
もちろん、すべての投資が同等のメリットをもたらすとは限りません。例えば、サイバーセキュリティ予算を最大限に活用��するためには、ポイントソリューションの沼に陥らないようにする必要があります。企業がポイントソリューションに頼ると、導入コストや管理コストばかりが増え、十分な防御効果が得られない場合があります。
チームが従来のセキュリティ戦略を再考しない限り、どれだけ投資を増やしても不十分となる可能性があります。Cloudflareの最高セキュリティ責任者であるGrant Bourzikas writes は、「私が大手グローバル銀行のCISOを務めていた当時、セキュリティ予算は10億ドル、従業員数は1,500人でした。しかし、それだけのリソースがあっても、セキュリティを強化して、進化する脅威を完全に防ぐには不十分でした。」と述べています。
利用可能な予算がどうであれ、セキュリティリーダーは、最大の効果をもたらすアプローチに確実に投資する必要があります。ほとんどの組織にとって、単一の統合セキュリティプラットフォームを実装することが最良のアプローチです。統一された仕組みでセキュリティを強化すれば、複数のツールを併用する煩雑さや継続的な人材不足の課題を回避しつつ、広範なセキュリティ脅威に対処できます。これにより、企業は、運用効率を向上させながら準備を強化することができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事では、以下のことがわかるようになります。
4,000人以上のサイバーセキュリティ専門家による調査結果
セキュリティインシデント、準備、結果に関する新たな知見
CISOがその組織のために将来の安全を保護し、より良い成果を達成するための考察