フォレスターの最新レポートによると、予算削減と経済の不確実性を乗り越え、サイバーセキュリティ予算は増加している。しかし、企業はサイバーセキュリティの脅威に対抗し、自社の安全を守るために苦闘している。
Scale社の「サイバーセキュリティ展望2023」レポートによると、大半の企業(71%)が3件以上のセキュリティインシデントを経験しており、これは2022年と比較して51%の増加となっています。セキュリティ予算が大企業で平均20%、中規模企業で5%増加しているにもかかわらず、セキュリティチームは人材不足に悩み、大量のアラートに圧倒され、適切なツールを見つけることができません。
問題は資金不足にあるように思われますが、CYE Securityの最高情報セキュリティ責任者であるアイラ・ウィンクラー氏にとって、問題はサイバーセキュリティ予算がどのように決定され、割り当てられるかに尽きます。CYEはSaaSプラットフォームであり、セキュリティリーダー向けにサイバーセキュリティ戦略と投資を最大限に活用するための専門的なコンサルティングを提供しています。
7 月 20 日、私は Northeast Virtual Cybersecurity Summit に出席し、サイバーセキュリティ予算の割り当て方法を効果的に変えるために使用できる新しい方法についての洞察を得ました。
ジャンプ先:
- 時代遅れの考え方をビジネス主導のモデルに転換する
- 経営陣と取締役会からの賛同を得る
- ROI主導のサイバーセキュリティ予算
- 最終的な考え:優先順位の設定
時代遅れの考え方をビジネス主導のモデルに転換する
サミットでウィンクラー氏は、サイバーセキュリティ業界は、情報資源管理アプローチに基づくソフトウェアとハードウェアの保護から、最高情報セキュリティ責任者(CISO)の台頭により、システム内を移動する情報の保護へと移行していると説明した。しかしながら、企業は依然として時代遅れの考え方でサイバーセキュリティ予算を配分している。
サイバーセキュリティ経済学、サイバーセキュリティ評価、そしてリスクアプローチモデルは、リスク、対策、そして投資収益率を定量化し、システムのセキュリティを最大化し、損失を最小化できる新興分野です。しかしながら、これらの分野は十分に理解されておらず、応用も進んでいません。
- サイバーセキュリティ経済学は、サイバーセキュリティの経済的コストと便益を研究する学問です。組織が直面するリスクを考慮し、サイバーセキュリティへの最適な投資判断をどのように下せるかを理解することを目指しています。
- サイバーセキュリティ評価は、データ、システム、ネットワークなどを含むサイバーセキュリティ資産の価値を見積もるために使用される方法です。
- リスクアプローチモデルは、脅威のリスクとその影響を評価するために使用されます。リスクモデリングでは、サイバー攻撃の発生確率、サイバー攻撃の潜在的な影響、リスク軽減にかかるコストなど、さまざまな要因が考慮されます。
「ランサムウェアインシデントはどれくらいのコストがかかるのでしょうか?」とウィンクラー氏は参加者に問いかけた。「ほとんどの人は本当のところを知りません。そしてさらに重要なのは、サイバーセキュリティの世界では、インシデントが発生しなかった場合にどれだけのコストがかかるのかを把握していないことです。ほとんどの場合、私たちはインシデントをどれだけうまく阻止できたかを追跡していません。これは、ビジネスにおける規律と思考プロセスの根本的な欠如です。」
ウィンクラー氏は、このようなビジネスアプローチの欠如はサイバーセキュリティ部門に特有だと説明した。財務・会計、サプライチェーン、オペレーション、製造といった他の部門では、予算が恣意的に配分されることはない。例えば、現代の工場では、特定のダウンタイムがどれだけのコストをもたらすのか、そして工場が稼働し始めた時点でどれだけの価値が生まれるのかを、通常、十分に理解している。
データドリブンの時代において、サイバーセキュリティチームは、障害、インシデント、そしてパフォーマンスと企業の収益に影響を与えるその他のあらゆる要因に関する洞察を得る必要があります。こうした情報があれば、経営陣は経済的な影響、リスク、損失とROI(投資収益率)および利益を比較検討し、データに基づいた予算決定を行うことができます。
経営陣と取締役会からの賛同を得る
CISOをはじめとするセキュリティリーダーが直面する最大の課題の一つが、取締役会や経営幹部の支持を得ることであることは周知の事実です。さらに、セキュリティチームは役割と責任の拡大に伴い、取締役会からのプレッシャーも増大しています。
ClubCISOの最新レポート2023では、調査対象となったCISOの62%が、より優れたセキュリティ文化を育む上で最も重要な要素として、リーダーシップの支持を挙げています。セキュリティチーム、経営陣、取締役会間の連携が強化されているにもかかわらず、調査対象者の20%は依然として、経営陣の支持とサポートの不足が企業のセキュリティに影響を与えていると回答しています。
「残念ながら、サイバーセキュリティの世界には、経営陣と予算についてどう議論したらよいか分からない人がいる」とウィンクラー氏は語った。
ウィンクラー氏によると、セキュリティリーダーが予算編成においてより科学的かつビジネス的なアプローチを取らない限り、常にランダムな予算配分を受け、望ましくない結果を招くことになるという。経営陣に賛同を求める際には、セキュリティリーダーは許容可能なリスクレベル、対策の有効性、そして主要な脆弱性がもたらすコストについて十分な情報を得なければならない。
ウィンクラー氏は、経営陣にはリスクと潜在的な損失を最小限に抑える予算のみを提示すべきだと述べています。取締役会や経営陣が予算削減を提案した場合、セキュリティチームはその削減が会社にどれだけのコストをもたらすかを把握する必要があります。この方法により、経営陣はより正確な情報を得て、より適切な意思決定を行うことができ、経営陣の賛同を得やすくなります。また、セキュリティリーダーはリスクが実際に発生する前に経営陣に報告することで、その責任を軽減できます。
「サイバーセキュリティプログラムをビジネス用語で提示する方法を知ることが、必要な予算を獲得する最も効果的な方法です」とウィンクラー氏はセキュリティ専門家の聴衆に語った。
ウィンクラー氏によると、プライバシー侵害、コンプライアンス問題、米国、EU、国際法、保険費用、罰金、自然災害による機能停止などもセキュリティプログラムに組み込む必要があるという。
ROI主導のサイバーセキュリティ予算
サイバーリスクの定量化は新しい概念ではありませんが、リスクアプローチモデルはまだ初期段階にあります。ガートナーなどの組織は、その導入が進んでいると報告しており、Bitsight、SecurityScorecard、Corax、UpGuard、Squalifyといった大手ベンダーも提供していますが、すべてを実装するのは容易ではありません。
ウィンクラー氏は、リスクアプローチモデルは過度に複雑化すべきではないと断言した。「これは私の会社で唯一の図です」とウィンクラー氏は述べた(図A)。
図A
グラフの赤い線は企業の脆弱性を表し、赤い線の下にあるものはすべて潜在的な損失を表しています。企業が対策を講じずにリスクモデリングを開始すると、脆弱性と潜在的な損失は最大になります。対策が実施され、強化されるにつれて、潜在的な損失は減少し始めます。しかし、ウィンクラー氏は、そこに落とし穴があると説明しました。
リスク管理において、企業は脆弱性を最小限に抑え、潜在的な損失をゼロにするために、可能な限り多くの対策を講じるべきだと多くの人が考えます。しかし、これは正しくありません。なぜなら、脆弱性を最小限に抑えるために必要な対策を実施するコストは、通常、脆弱性自体のコストよりも指数関数的に高くなるからです。
企業は、対策費用が損失額を上回ることは望んでいません。また、損失額と同額になることも望んでいません。適切なバランスを実現することは容易ではありません。
「重要なのは、私がリスク最適化ポイントと呼んでいるものを把握することです」とウィンクラー氏は説明した。「つまり、自分が許容できる潜在的な損失を把握し、理論上どのような対策を講じればそこに到達できるかを考えるのです」。この概念は長期投資とよく似ている。
セキュリティチームと経営幹部にとっての課題は、何をしても潜在的な損失とリスクに常に直面することを受け入れることです。さらに、数十年にわたり、サイバーセキュリティ予算を前年度の予算に5%から20%増額するだけの単純な方法で割り当ててきた企業文化は、変革を迫られています。
「恣意的な予算配分は、恣意的な結果をもたらす」とウィンクラー氏は述べた。彼はイベントに出席したセキュリティ専門家に対し、脅威源、資産、脆弱性、そして潜在的な損失をマッピングし、それらのリスクを理解するよう促した。また、サイバーセキュリティの専門家は、企業がリスク要因を定量化する方法を説明するためにリスク方程式を提示し、これらの数学的計算を推し進めるAIと機械学習の破壊的な力を強調した(図B)。
図B
最終的な考え:優先順位の設定
脆弱性のコストと発生確率を分析しながら、優先順位を設定し、最も高いROIを生み出す最も価値の高い対策を実施することは、インシデントや損失が必然的に発生する、不公平な数字のゲームのように思えるかもしれません。しかし、損失やインシデントを最小限に抑えることを受け入れることは、他の選択肢をはるかに上回ります。
サイバーセキュリティ予算の割り当てに使用されてきた従来の方法は時代遅れになっており、こうしたアプローチに伴う結果は、脅威のコストが年々増加していることを示す脅威レポートに詳しく記載されています。
資金やツールを増やしても、必ずしもセキュリティが強化されるわけではありません。セキュリティリソースは適切に配分され、それぞれの対策ソリューションのコストと攻撃のコストのバランスが取れていなければなりません。
各顧客、パートナー、システムを保護するための企業の倫理的責任など、他の要素も考慮する必要がありますが、サイバーセキュリティ予算に対するデータ主導のビジネスアプローチは、間違いなくサイバーセキュリティ業界を変える可能性があります。
