予算を獲得するには、取締役会に実際の財務リスクを示し、コンプライアンスを超えた計画を立て、セキュリティ用語だけでなく彼らの言葉で話しましょう。
年末が近づくにつれ、CISOはすでに来年度のサイバーセキュリティ予算の策定に深く取り組んでいます。それ自体が難しい作業ですが、最も困難な部分は取締役会の承認を得ることです。CISOは、サイバーセキュリティ予算の承認を得るのが、犬に英語の授業を説明しようとするようなもので、まったく違う言語を話しているようなものだとよく知っています。
現代のCISOは、急速に進化する脅威から組織を守る責任を負っていますが、サイバーセキュリティ予算は縮小したり再配分されたりしています。取締役会は依然としてサイバーセキュリティをコストセンターと見なす傾向があり、ビジネスの効率向上につながるものとは考えていません。CISOはその真実を知っていますが、取締役会が理解できる言葉でサイバーセキュリティの価値を伝える方法を見つける必要があります。
この予算シーズンに取締役会を味方につけるための3つのヒントを紹介します。正しく実行すれば、予算の確保と、急速に変化する脅威環境の中で組織をより強靭にするチャンスが高まります。
ヒント1:リスクを定量化する
防御可能な予算を構築する最初のステップは、コントロールしようとしているリスクに数値を付けることです。CISOとして、組織には高度なエンドポイント検知、ゼロトラストアーキテクチャ、適切なセキュリティオペレーションセンターなどが必要だとすぐに理解できますが、これらを予算会議で持ち出すと、取締役会の目はうつろになります。彼らがサイバーセキュリティを軽視しているわけではなく、これらの技術的投資が彼らの関心事であるビジネス成果とどう結びつくのか理解できていないのです。
だからこそ、財務用語を使って組織のリスク価値を定量化すべきです。取締役会は、侵害の財務的影響を理解できれば、予算を受け入れる可能性が高まります。もちろん、これまで侵害を経験していない場合は難しい作業です。業界で最も一般的な脅威や侵害を調査し、脅威インテリジェンスの情報源を参照し、ベンダーのサイバーセキュリティ態勢を調査してサードパーティリスクを理解することで、自社のリスクサーフェスを把握し始めることができます。また、業界レポート、政府統計、過去の社内インシデントデータから侵害の確率データを収集することもできます。
しかし、最も正確で影響力のあるアプローチは、自社の専門家や関係者にアンケートを取り、定量化プロセスに参加してもらうことです。これを手動または自動で行うためのツールもあります。いずれの方法でも、直接的な財務損失、事業中断、長期的なビジネス・評判への影響など、リスクの全体的なビジネスインパクトを算出できます。
実際の例として、最近発生したコリンズ・エアロスペースの侵害を挙げます。これは複数のヨーロッパ空港で大きな混乱とフライトのキャンセルを引き起こしました。影響を受けた組織には直接的な財務損失があっただけでなく、機会損失や効率低下も発生しました。システムを復旧させるためのエンジニアリング工数の増加、自動化された作業を代替するための現場での紙とペンの対応、過重労働となった空港スタッフなどです。こうした個々の高コストな出来事を使って、CFOと財務インパクトのモデリングについて話し合い、自社が同じ被害を受けた場合を想定しましょう。
これは多くの組織にとって憂鬱なシナリオですが、取締役会がその全容を理解すべきものです。取締役会にリスクを定量化して示す際は、最悪の場合、最良の場合、最も起こりやすい場合のインパクトをすべて財務損失の観点から説明できるように準備しましょう。侵害の連鎖的な影響の全範囲を定量化することで、非技術系の経営陣にも組織を強靭化するために必要な投資規模を理解してもらうことができます。
ヒント2:コンプライアンス基準を超える
コンプライアンスや規制がCISOの予算根拠の約80%を占めているのは周知の事実です。HIPAAやSOC2などの業界標準はプログラムの指針となりますが、AIによる新たな脅威、量子コンピューティングの台頭、ますます複雑化するサードパーティリスクなど、CISOはコンプライアンスだけでは必ずしも軽減できない脅威についても考える必要があります。
可能であれば、予算の10%以上を3~5年先を見据えた非コンプライアンスリスクに割り当てることを目指しましょう。こうした二桁の割合は理想的ですが、平均的なCISOの裁量予算は3%です。この予算はすべて新規投資である必要はありません。たとえば、生成AIリスクはCISOや取締役会の最重要課題ですが、専用の市販ツールはまだ初期段階です。データセキュリティ態勢管理、SASE、GRCアナリスト工数など既存の予算項目は、生成AIワークロードやツールへの脅威リスクを低減できます。これらの技術やプロセスへの投資を増やし、新たなものと組み合わせることで、貴社が中期的に生成AIを効率的に活用できる基盤を築き、ポイントソリューションへの新規支出を最小限に抑えることができます。こうした投資は、競合他社に先駆けて安全にスケールするための基礎となり、AI FOMOに飛びつくことを防ぎます。
取締役会は、あなたが新たなリスクについて考え、それにどう予算で対応するかを積極的に検討していることを知りたがっています。特定のリスクについてすべてのデータが揃っていなくても、その存在を認識し、組織に影響を与える可能性を取締役会が理解できるようにすべきです。脅威環境が進化するにつれ、組織をそうしたリスクに強くするための戦略も進化させましょう。
ヒント3:取締役会を知る
取締役会を味方につけるには、彼らの意思決定を動かす説得戦術を知ることも重要です。取締役会はサイバーセキュリティについて賢くなっています。最近のNACDの調査では、取締役会の約80%がサイバーセキュリティの知識が向上したと回答しています。別の調査では、85%の企業が、サイバーセキュリティの専門知識を持つ取締役会メンバーがいる、または探していると報告しています。取締役会がサイバーセキュリティの重要性をより認識するようになった今、あなたも彼らと歩み寄り、ビジネスの観点から何を重視しているのかを理解する番です。
一部の取締役会は財務指標に強くこだわり、予算の金額だけに注目します。その場合は、財務用語で伝えることが不可欠です。侵害による事業中断のコストで組織が失うものについて、具体的な例を求められるでしょう。この定量化は、単に予算を正当化するだけでなく、セキュリティチームとビジネスの目標をつなぐ架け橋となります。ストーリーテリングに動かされる取締役会もあります。その場合は、攻撃がどのように進行し、それに伴う影響がどうなるかを段階的に描写することが最も説得力を持ちます。
いずれの場合も、予算とその説明は、あなたの取締役会が使う言語で語られるべきです。重要なのは、取締役会が何を重視しているかという洞察は、年間を通じた定期的なコミュニケーションからしか得られないということです。予算シーズンに取締役会の単なるチェック項目にならないよう、関係構築に努めましょう。
CISOは、セキュリティ投資の意思決定に厳密さ、明確さ、ビジネスとの整合性をもたらすべきです。取締役会のためにリスクを定量化し、新たなリスクも考慮し、彼らが最も重視することを理解できれば、この秋、取締役会を味方につける可能性が高まるでしょう。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加をご希望ですか?
