セキュリティ予算を減額できないワケ

経済情勢が悪化する兆しがある中、セキュリティ関連の予算を引き下げる圧力が一部に生じている。これはセキュリティベンダーの統廃合をもたらすだろう。どのセキュリティソリューションを選べばよいのか、より難しい選択となる。加えて経営陣とCISOにはより重い責任が降りかかってくる。

[Naomi Eide, Matt Kapko, David Jones，Cybersecurity Dive]

　サイバーセキュリティへの投資がさらに必要だという意見が逆風を浴びている。経済状況が変化する中、、サイバーセキュリティ―部門がコストセンターだと見られ始めており、予算の切り下げを迫られている。

　関連するベンダーが悪影響を受け、サービスを提供する企業の統合に進むと予想されている。あるCISO（最高情報セキュリティ責任者）は、サービス提供市場の動きを「特売セール」と同一視しているほどだ。

サイバーセキュリティ予算を減額しにくい理由とは

　しかし、各企業のサイバーセキュリティの責任者には果たさなければならない義務がある。いい加減な対応を取った場合、ある結末を迎えることになるからだ。どのような結末だろうか。

　「Cybersecurity Dive」はセキュリティ関連の研究者やアナリストに、「2023年のサイバーセキュリティビジネスに打撃を与えることは何か」と質問した。4人の専門家からの回答を紹介する。

　暗い影を落としているのは、2022年10月に連邦裁判所で有罪判決を受けたUberのCISOの事例だ（注1）。サイバーセキュリティについて、投資先を調査して価値やリスクを評価するという「デューデリジェンス」の意味が変わってきた。

マウリシオ・サンチェス氏　Dell'Oro Groupのリサーチ・ディレクター

　セキュリティベンダーとソリューションの統合は今後も続くだろう。市場で勢いがある大手ベンダーは、市場の「小魚」を吸収する形でより大きくなっていく。

　2023年もセキュリティ予算はほとんど影響を受けないだろう。なぜなら、サイバーセキュリティをどうするのかは取締役会レベルの話であり、予算の優先順位が高いからだ。情報漏えい事件で世間を騒がせたくないという思いに加えて、UberのCISOが有罪判決を受けたことで、デューデリジェンスの意味が大きく変わった。

　セキュリティ予算が影響を受けないとしても、予算の使い道は変化し続けるだろう。企業はファイアウォールなど従来型のセキュリティインフラを重視しなくなり、ハイブリッドワークやクラウドアプリケーションを保護するためのクラウド提供型、つまりSaaS（Software as a Service）ベースのセキュリティにより重点を置くようになるだろう。

メアリー・ギャリガン氏　Deloitte USのサイバー危機管理リーダー

　サイバー脅威の状況が進化し、より巧妙になるにつれて、取締役会がサイバーリスクの監視に果たす役割はますます重要になった。

　企業が継続的な成長とともに顧客からの信頼を優先する中で、取締役会は顧客やベンダー、従業員、株主の間でより強い関係を育むための戦略的手段として、サイバーセキュリティを位置付けている。

　サイバーセキュリティの体制が強固であれば財務に良い影響があることを認識すれば、取締役会はサイバーセキュリティのリスク管理活動をより効果的に監督できる。

　ガバナンスやリスク管理、戦略、投資家へのタイムリーな通知を重視する最近のSEC（Securities and Exchange Commission）の提案は（注2）、サイバーリスクと取締役会を中心に据えたビジネスモデルの進化と形成を検討するよう、リーダーに促している。

リック・ホランド氏、Digital ShadowsのCISO兼戦略担当バイスプレジデント

　経済的な逆風は、サイバーセキュリティベンダーの明るい展望を乱すことになるだろう。あるベンダーはダウンラウンドにより、ベンチャーキャピタルから調達できる資金が減るだろう。別のベンダーは気前よく資金を使えるフリーマネーの時代が終わった今、廃業するだろう。

　サイバーセキュリティで新興企業との取引を検討する場合、買い手はデューデリジェンスを実行する必要がある。これまでクールに見えていた新興ベンダーは、今後、会社を売りに出す可能性がある。

　経済情勢もベンダーの統合を促すだろう。サイバーセキュリティベンダーは現在4000社以上存在するが、生き残るベンダーの多くは他のベンダーのプラットフォームの「機能」の一部に組み込まれるだろう。

ルシア・ミリカ氏　Proofpointのグローバル常駐CISO

　同業者と話す中で実感しているのは、2024年にはCISOの役割がさらに重要視されるようになることだ。サイバー攻撃側が成功し、被害が広が中で、新たな規制による監視が強化されている。

　米国証券取引委員会が提案する報告要件がより厳しくなったことで、上場企業は透明性を高め、サイバー防御を強化することを余儀なくされるだろう。これら全てがCISOに降りかかってくる。

　Uberの元CISOの有罪判決に見られるように、情報漏えいが発生した場合、より大きな責任を負わなければならなくなっており、非難の声も大きくなる。この業界では有能な専門家の確保に苦労してきた。このような流れはさらに大きな課題をもたらすことになる。

　CISOが脚光を浴びている今、取締役会との関係も変わらなければならない。

　潜在的な個人責任があるというプレッシャーは、取締役会とCISOの関係の緊張を高め、企業のセキュリティに大きな影響を与えることになりかねない。主な断絶の原因は、両者が同じ「言語」を話さないことだ。

　CISOはサイバーセキュリティの脆弱（ぜいじゃく）性とリスクについて、経営陣の共感を得られるに説明することを学ばなければならない。このような会話はセキュリティの専門用語ではなく、ビジネスの言葉で定期的に交わされる必要がある。

出典：On deck for the business of cybersecurity: Fire sales and due diligence（Cybersecurity Dive）

注1：https://www.cybersecuritydive.com/news/uber-cso-convicted/634332/（Cybersecurity Dive）

注2：Center for Board Effectiveness On the board's agenda｜US（PDF）