不確実な時代にサイバーセキュリティ予算を確保する方法:Gartner Insights Pickup(420)
インフレや景気後退など不確実な経済環境の中、企業はコスト見直しを迫られている。サイバーセキュリティ投資も例外ではない。本稿ではベンチマークを活用し、サイバーセキュリティのビジネス価値を可視化して資金確保につなげる方法を解説する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
今日の急速に変化する経済状況の中で、世界の企業はインフレや景気後退、進化する政策要件による不確実性に対処している。これらの要因により、ビジネスリーダーはサイバーセキュリティを含む全ての業務にわたって、予算を見直すことが多くなっている。
そのため、サイバーセキュリティのリーダーは資金確保のアプローチをこうした流れに適応させ、透明性や経営陣との明確なコミュニケーション、説得力のあるストーリーテリングを活用し、自社を守るために必要なリソースの投入を提言する必要がある。
経営陣は、サイバーセキュリティをコストセンターと見なすことが多く、予算削減が自社のリスクに与える影響を十分に理解していない可能性がある。サイバーセキュリティリーダーはこれに対処するため、サイバーセキュリティに関する人員配置、支出、プログラムの成熟度について、同業他社とのベンチマーク(比較評価)を実施し、「サイバーセキュリティ投資がどのようにビジネス成果とレジリエンス(回復力)を支えるか」を明示することが推奨される。
組織の優先事項に沿ってサイバーセキュリティの取り組みを実施し、戦略計画の策定プロセスを体系化することで、サイバーセキュリティリーダーは経営陣の心に響く、強力なバリューストーリー(価値提供のシナリオ)を構築でき、重要な資金確保につなげることができる。不確実な時代においてもだ。
サイバーセキュリティの人員配置、支出、成熟度のベンチマーク
サイバーセキュリティの人員配置や支出、成熟度のベンチマークは、取締役やCxO(最高責任者レベルの経営幹部)との予算協議に不可欠な文脈を提供する。しばしば、サイバーセキュリティリーダーは「自社のサイバーセキュリティ投資は同業他社と比べてどうか」と尋ねられる。ベンチマークは、データに基づく明確な回答を提供し、コスト最適化に関する意思決定を支援し、経営陣とコミュニケーションを取る際のストーリーを強化する。
プログラムの成熟度、コントロールの実装、支出、人員配置、運用実績における強みと課題を評価することで、サイバーセキュリティリーダーはビジネスリーダーに響く説得力のあるストーリーを作り上げられる。例えば、自社が「より少ないリソースでより多くのことを成し遂げる」能力を強調したり、「業界標準に追い付く」ための計画を示したり、「最先端の高い成熟度」をアピールしたりできる。ベンチマークに基づくこれらのストーリーは、予算協議に不可欠な文脈を付加する。
ベンチマークの主要分野
ベンチマークの効果を最大化するために、サイバーセキュリティリーダーは以下の重要分野に注力すべきだ。
- 予算と人員配置:全体的な支出と人員配置の水準を類似の企業と比較し、リソースをサイバーセキュリティの領域別に分類する
- プログラムの成熟度:サイバーセキュリティ活動の成熟度を同業他社と比べて評価し、課題と改善機会を特定する
- コントロールの実装:確立されたフレームワークを用いてセキュリティコントロールの有効性を評価し、業界基準に照らしてベンチマークを行う
- 運用実績:主要な運用指標を測定し、結果を業界水準と比較して、強みと成長余地がある領域を特定する
ベンチマークはサイバーセキュリティ戦略の唯一の推進要因ではありませんが、予算とリソースの配分を決定する上で有益な視点をもたらす。
サイバーセキュリティのビジネス価値の実証
サイバーセキュリティ予算は、景気の低迷期にも安定していることが多かった。だが、依然としてコストセンターと見なされており、削減の対象となる可能性がある。サイバーセキュリティリーダーにとって、予算が削減されないという思い込みは禁物だ。資金を確保するには「サイバーセキュリティ投資が、経営陣にとって重要なビジネス成果にどのように貢献するか」を明確に示すことが不可欠だ。
従来、サイバーセキュリティリーダーは、経営陣とのコミュニケーションでリスク軽減に焦点を当ててきた。このアプローチは重要だが「ビジネス目標の達成への貢献」というサイバーセキュリティのより広範な恩恵を見落とすことにつながりかねない。これに対処するため、サイバーセキュリティリーダーはサイバーリスクを自社の業績に直接影響する主要なビジネスリスクに結び付けて説明する必要がある。
こうしてサイバーリスクとビジネスリスクの関連性を明確にすることで、サイバーセキュリティリーダーは「いかにサイバーセキュリティプログラムが、より迅速で安全なデジタルイノベーションを支援し、売上成長を可能にし、知的財産を保護し、ブランド価値を守り、進化する規制の順守を確保しているか」を示せる。
こうしたサイバーセキュリティの取り組みとビジネス目標の整合性を、いわゆる「戦略を1枚にまとめる」といった方法で簡潔かつ視覚的に表現した資料を用意すれば、サイバーセキュリティが自社にもたらす価値を、経営陣が迅速に理解する助けになる。
サイバーセキュリティ戦略計画の策定プロセスの体系化
サイバーセキュリティリーダーは、自社を守る包括的で一貫した戦略がないまま、緊急の優先事項への対応に追われることが多い。この受け身のアプローチでは、サイバーセキュリティ予算は削減対象になりやすく、CxOや取締役レベルの幹部が、サイバーセキュリティ支出を削減した場合の影響を十分に理解しない状況を招く可能性がある。
Gartnerの最近の調査は、サイバーセキュリティの戦略計画における重大な課題を浮き彫りにしている。サイバーセキュリティ部門の48%は、新しいソリューションや対策に関する文書化された戦略的ロードマップを持っておらず、52%はビジネス部門が定義したビジネスニーズに基づいてプロジェクトの優先順位を決定していない。
これらの課題に対処するため、サイバーセキュリティリーダーは、戦略計画と予算の策定プロセスを体系化する必要がある。構造化され、再現可能なアプローチを確立することで、支出の意思決定がより透明かつ説得力のあるものになり、経営リーダーへの説明責任を果たせる。
また、これによってサイバーセキュリティリーダーは、重要な業務を保護しながら、潜在的なコスト削減機会を積極的に特定できる。その中には、ベンダーの集約や技術のライトサイジング(適正規模化)、プロジェクトの優先順位の見直しなどが含まれる。
出典:Securing Cybersecurity Budgets in Uncertain Times(Gartner)
※この記事は、2025年8月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。