コンテンツにスキップするには Enter キーを押してください

予算確保:サイバーセキュリティのリターンを示す

投稿日 2025年7月16日

Kara Sprague、最高経営責任者(CEO)、HackerOne

2025年7月16日

読了時間:4分

BUDGET PLANNINGと書かれたクリップボード上の紙。背景にノートパソコンのキーボードが見える。

出典:Jennifer Miranda Lobijin、Alamy Stock Photoより

論説

昨年、脆弱性の悪用による侵害は 180%増加し、米国におけるデータ侵害の平均コストはほぼ 500万ドルに達しました。それにもかかわらず、多くの組織は サイバーセキュリティ予算の増加に消極的 であり、多くはコンプライアンスを示すために必要な最低限のサイバーセキュリティ投資しか行わないという危険な慣行に陥っています。サイバーセキュリティにおいて、予防は治療に勝るということは直感的に理解していますが、それでもなぜセキュリティリーダーがより大きな予算を正当化するのがこれほど難しいのでしょうか?

問題は、サイバーセキュリティリーダーがどのようにサイバーセキュリティ支出を主張するかにあります。従来の投資収益率(ROI)指標だけでは不十分なのです。なぜなら、これらの指標は積極的なサイバーセキュリティ投資の価値に寄与する要素を十分に考慮しておらず、金銭的価値を十分に証明するのが難しいからです。

なぜROIはサイバーセキュリティに適さないのか

ROIは、支出の正当化や投資効率の測定において、他の多くのビジネス分野でゴールドスタンダードとなっていますが、 サイバーセキュリティにROIを適用する ことには独自の課題があります。製品や営業のように投資が直接収益に結びつく分野とは異なり、サイバーセキュリティの積極的な取り組みを測定するには、収益ではなくコスト回避に基づいて価値を割り当てる必要があります。リターンはもはや利益ではなく、潜在的な侵害、評判の損失、ダウンタイム、またはその後の収益への影響を防ぐことで節約された金額です。これらの問題を回避することは実際に金銭的な影響がありますが、それは間接的で仮想的なコスト削減です。

侵害の複雑な波及効果には、直接的および間接的なコストを含む多くの要素があり、サイバーセキュリティの影響を正確に測定するにはそれらを考慮する必要があります。ROIはこれらのコストを捉えることができません。実際、 最近のレポート では、多くのセキュリティリーダーがすでにROIの限界を認識していることが明らかになっています:

  • 77%が、ROIはインシデント対応や長期的な安定性を見落としていると考えている

  • 66%が、ROIは間接コストを考慮できず、直接コストを過大評価していると強調

  • 半数以上が、ROIはサイバーセキュリティの価値に寄与するすべての要素を考慮していないと考えている

そしてそれは事実です。データ侵害のコストは、ROIで適切に測定することはほぼ不可能です。例えば、1億4700万人以上に影響を与えたEquifaxの侵害は、同社に14億ドル以上のコストがかかったと推定されています。これには、米連邦取引委員会(FTC)、消費者金融保護局(CFPB)、州司法長官との数百万ドル規模の和解金、運用コスト、経営幹部の交代に伴う採用コストなどが含まれます。

しかし、この10億ドル超の中には、最終的に生じた評判の損失は含まれていません。同社の株価は 2週間で35%下落 し、回復には2年を要しました。また、同社は2020年1月から2027年まで、米国の消費者に年間6回の追加クレジットレポートを提供することも義務付けられました。

では、Equifaxが評判の損失や新たな規制要件によって被った数十億ドルもの間接コストのような、非常に捉えにくいものをどのように計算できるでしょうか?組織は、サイバーセキュリティ支出をこれらの問題を緩和するリターンとして再定義する必要があります。単なる初期投資のリターンではありません。

価値を証明する新たな方法「リスク緩和リターン(RoM)」の導入

リスク緩和リターン(RoM)は、投資の利益として純利益ではなく「緩和された損失」を用いることで、ROIを進化させたものです。セキュリティリーダーは、緩和された損失の総コストから投資コストを差し引き、それを投資コストで割ることでRoMを推定できます。これにより、サイバーセキュリティ施策の財務的効果をより包括的に把握し、他の主要な組織目標との整合性を効果的に伝えることができます。RoMはまた、セキュリティリーダーに以下のような利点をもたらします:

  • サイバーセキュリティの価値を財務的な観点で簡潔に示し、定量的なリスク低減を証明できる

  • 予算の正当化を支援し、影響の大きいセキュリティ施策の優先順位付けを改善できる

  • 取締役会や非セキュリティ系のステークホルダーにも、セキュリティの影響を明確に伝えられる

RoMは業界全体に恩恵をもたらす

組織レベルでは、RoMは顧客の信頼、評判、安定性といった積極的なサイバーセキュリティの抽象的な利点をより定量的に示すことができます。セキュリティリーダーが自社のセキュリティツールを継続的に評価し、脅威に対応するためにサイバーセキュリティへの投資拡大を主張する際、今後はより正確に、財務担当者にも理解できる「お金」という言語で説明できるようになります。

業界全体としても、RoMの導入は測定の標準化を促進し、最大の恩恵をもたらします。価値測定の標準化フレームワークは、組織が自社の業界内でのパフォーマンスをベンチマークし、同業他社と比較してセキュリティ成熟度がどこで遅れているかを特定しやすくし、最終的には業界全体の成熟度向上につながります。

投資とステークホルダーの連携強化

サイバーセキュリティインシデントが増加し続ける中、セキュリティリーダーには、リスク低減の価値を明確に伝えるための説得力ある方法が求められています。従来のROIでは回避された損失を捉えきれず、十分な投資や長期的な計画を主張するのが難しくなっています。

RoMはより明確な道筋を示します。セキュリティ投資を侵害リスクの低減や財務的影響の縮小といった測定可能な成果に結び付けることで、最高情報セキュリティ責任者(CISO)は社内ステークホルダーと連携し、実際のリスクに基づいた支出の正当化が可能になります。これにより、より効果的な予算交渉ができ、セキュリティ成熟度をビジネス上の強みとして位置付けられるようになります。

翻訳元: https://www.darkreading.com/vulnerabilities-threats/securing-budget-cybersecurity-return

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です