CISOがセキュリティを損なわずに規模を縮小する方法

数年前、現在Transmit SecurityのCISOアドバイザーであるDavid Mahdi氏は、どのセキュリティリーダーも直面したくない状況に置かれました。突然の年度途中の予算削減で、延期する選択肢はありませんでした。「それは、内部問題、レガシー技術負債、市場圧力、地政学的要因が一度に重なった、制御不能な収束でした」と彼は語ります。財政的な圧迫により、彼は痛みを伴うトレードオフを迅速に行わざるを得ませんでした。

「これほど迅速な削減が求められる中で、プロセスが完璧でないこと、そして必然的にギャップが生じることを認識していました」と彼はCSOに語っています。

この経験は、彼の財政的制約へのアプローチに影響を与えました。彼は今、同様の課題に直面しているCISOに対し、明確な優先順位を設定し、何を縮小し、何を絶対に守るべきかについて意図的かつ慎重に決断することを勧めています。「すべてを薄く削るという誤った節約には注意してください。それは見えない脆弱性を生み出します。誰もその削減を感じませんが、何かが壊れたときに初めて気づくのです。」

リソースを減らしながらセキュリティを維持することは、不可能に思えるかもしれません。すべての決断にはトレードオフが伴い、ミスの余地はほとんどありません。

壊さずに削減する方法

サイバーセキュリティへの二桁成長の時代は終わったかもしれません。IANS ResearchとArtico SearchによるSecurity Budget Benchmark Reportによると、2024年にCISOの8人に1人が予算削減を報告し、約4分の1は予算が横ばいだったと述べています。増額を受けた大多数でさえ、1%から5%程度の控えめな増加にとどまりました。当然ながら、CISOの約3分の1は現在の予算が必要額に達していないと答えています。

支出の内訳を見ると、最大の割合（37%）が人件費と報酬に充てられています。オフプレミスのソフトウェアが23%、アウトソーシング、オンプレミスツール、特定プロジェクトにはより小さな配分です。ハードウェアにはわずか5%、トレーニングと開発には4%、裁量的支出はわずか3%しか割り当てられていません。

このような引き締まった配分の中で予算削減が発生すると、セキュリティリーダーは明確な選択肢がないまま厳しい決断を迫られます。何を守り、何を縮小し、どうすれば組織をリスクにさらさずに済むかには戦略的な思考が必要です。しかし、それと同じくらい重要なのがマインドセットです。「予算が縮小したとき、私は以前のリスク仮定を検証し、レガシー支出に疑問を持ち、セキュリティ投資をビジネスの重要な成果に合わせる機会だと捉えています」とMahdi氏は言います。

彼は3つの側面に基づいた構造的アプローチを用いています：

• 戦略的リスク（高・中・低）: このコントロールが失敗した場合、実際のリスクは何か？
• ビジネスとの整合性: どの機能が収益、顧客の信頼、コンプライアンスを支えているか？
• 明らかな無駄: 冗長なツール、使われていないソフトウェア、見かけ倒しの「セキュリティ演出」コントロールなど、実質的な保護をもたらさないもの。

この評価のために、Mahdi氏は事業部門リーダー、セキュリティアーキテクト、脅威インテリジェンスリーダー、組織内外の信頼できる同僚を含むクロスファンクショナルなチームを招集します。この協働的なアプローチは、責任を分散させるだけでなく、見落としを発見し、削減を組織全体のリスク姿勢に合わせるのに役立ちます。

また、特定のツールやプロセスが効率的かどうかを評価するための主要な指標にも頼っています。カバレッジと複雑さを比較し、そのソリューションが独自のセキュリティ課題に対応しているのか、既存の取り組みを単に重複させているだけなのかを判断しようとします。最後に、投資がどれだけ早く測定可能な成果をもたらすかも考慮します。このフレームワークを使うことで、CISOはリスクを大幅に増やすことなく縮小できる領域を特定できます。

どこから始めるべきか

最初に評価すべき領域の一つは冗長なツールです。「2つのツールが70%同じ仕事をしているなら、統合性とサポートが優れている方を残しましょう」とMahdi氏は言います。次にCISOは、しばしば合理化できるレガシーのコンプライアンス主導のコントロールに着手できます。「特にレガシーのガバナンス、リスク、コンプライアンスに偏りがちな組織では、チェックボックス的なコントロールではなく、効果的なコントロールに注力しましょう。」

ただし、削減は慎重に行うべきです。「適用される規制へのコンプライアンスは交渉の余地がありません」とApproach CyberのCISO、Laura Gonzalez Priede氏は言います。そのため、セキュリティリーダーは自分たちの法的義務を明確に理解し、セキュリティプログラムの調整がコンプライアンスやビジネスの中核的なニーズを損なわないようにすることが不可欠です。

すべての予算決定が白黒はっきりしているわけではありません。イノベーションや実験的プロジェクトのような取り組みはグレーゾーンにあり、価値はあるものの常に緊急性があるとは限りません。財政的な圧力がかかると、これらの取り組みは一時的に棚上げされることがあります。特に差し迫った脅威やコンプライアンスのニーズに対応していない場合はなおさらです。

しかし、イノベーションプロジェクトが一時停止している間もチームの士気を維持するため、Mahdi氏は予算状況が改善した際の詳細な立ち上げ戦略をチームに策定させることを提案しています。これにより、目的意識を持たせるとともに、リソースが増えた際に組織が迅速に勢いを取り戻せるようにします。

削減の時期には、Gonzalez Priede氏はツールよりも人とプロセスを優先します。「ツールは重要ですが、多くはオープンソースや社内開発の代替手段で置き換え可能です」と彼女は言います。「有能な人材に支えられた強固なプロセスがあれば、特定のツールがなくても補えることが多いのです。」

人員削減に関しては、Mahdi氏は職種や技術資格だけで判断しないことの重要性を強調します。「最も技術的な役割が最も重要だと決めつけないでください。時には、セキュリティをビジネスに結びつける人こそが、最も大きなレバレッジを持つ資産なのです。」

悪い決断は節約以上の損失を招く

サイバーセキュリティ予算のどこを削減するかの選択は簡単ではなく、急いで進めるとリスクが高まります。そのため、その場では実用的に見える削減が、最終的にはレジリエンスを損なったり、隠れた脆弱性を生み出したりすることがよくあります。

「私の見てきた限り、プレッシャー下のCISOは検知・対応能力、インシデント対応訓練、セキュリティオペレーションの役割を削減しすぎることが非常に多いです」とMahdi氏は言います。

彼らは、予防を強化すれば侵害後の対応にかける費用を減らせると考えがちですが、それはリスクの高い賭けです。「何かは必ず壊れます！予防は素晴らしいですが、何かは必ず侵入します」と彼は言います。「何かが壊れたとき、重要なのはコントロールの数ではなく、対応時間、封じ込め、そして回復力です。」

Gartnerのアナリスト時代、Mahdi氏はこれを目の当たりにしました。「あるケースでは、CISOがIR（インシデント対応）準備を削減し、Tier 1 SOCを外部委託して予算を節約しました」と彼は振り返ります。「侵害が発生した際、プロバイダーは初期兆候を見逃し、内部の力がなかったため、組織は事態の全容を把握するまでに貴重な時間を失いました。」このような場合、実際の損失はデータだけでなく、信頼性も含まれます。

CISOが犯しがちなもう一つのミスは、組み込みのプロダクトセキュリティやガバナンスリーダー、ビジネスに連携したリスクアドバイザーなどのクロスファンクショナルな役割を削減することです。「これらの役割は組織の結びつきです」とMahdi氏は言います。「これがなくなると、セキュリティは受動的で誤解され、脇に追いやられてしまいます。」

CISOはまた、削減時に沈黙し、透明性を失いがちです。「むしろ逆をすべきです！」と彼は言います。「何が守られていて、何がリスクとして受け入れられているのかを示しましょう。トレードオフを自分のものとし、自信を持ちましょう。」

透明性を保ち、人を大切にすることは、特に困難な時期には不可欠です。Gonzalez Priede氏がCISOによく見られる後悔の一つは、人材やトレーニングへの投資不足であり、これはチームの能力を静かに蝕みます。「継続的な教育により、スタッフが有能でセキュリティ意識を保てることが保証されます。これは絶えず変化する脅威環境では極めて重要です」と彼女は言います。また、誤った役割を削減したり、人材への投資を惜しむと、非効率や優先順位の不一致、長期的なコスト増につながることが多いです。

もう一つよくある見落としは、十分に文書化されたプロセスの欠如です。これは、特に主要な人材が離職した際の継続性に不可欠です。「これがないと、組織は重要な知識や一貫した実行を失うリスクがあり、予期しなかったリスクが増える可能性があります」と彼女は言います。

しかし、直感に反して、縮小には良い面もあります。Gonzalez Priede氏は、これによりセキュリティリーダーが優先順位を再評価し、プロセスをより機敏で成果志向に洗練する時間が得られると述べています。「移行期間は、適切な計画とモニタリングで慎重に管理する必要があります。」