Raymond Daoud, シニアバイスプレジデント兼最高セキュリティ責任者(CSO)、CGI
2025年7月31日
読了時間:4分
出典:Stuart Miles(Alamy Stock Photo経由)
論説
サイバー犯罪はもはやIT部門だけの問題ではありません。組織の財務諸表や評判に直接的な脅威となっています。2024年、米国におけるデータ侵害の平均コストは9.36百万ドルを超えました。幸いなことに、ビジネスリーダーはすでにこれらの脅威に対抗するためのツールを持っています。あとは、それらを戦略的に使う方法を知るだけです。
私のキャリア初期には、サイバーセキュリティはしばしば孤立したIT機能と見なされていました。しかし今日では、企業の価値提案の根幹となり、直接的な財務的影響を持つようになっています。最高財務責任者(CFO)にとって、この変化は、特定のサイバー脅威がどのように財務損失につながるか、顧客の信頼を損ない、組織のブランドを傷つけ、投資家の信頼を低下させるかについて、強い理解を持つことを意味します。
CFOがサイバーセキュリティ戦略の策定により深く関与するようになる中で、覚えておくべき3つのポイントを紹介します。
1. CISOとの連携を強化する
CFOはサイバーセキュリティの専門知識が深くないかもしれませんが、リスク管理の視点を持つことで、最高情報セキュリティ責任者(CISO)と自然なパートナーとなり、組織のシステムやデータを守り、結果として財務上の重大なリスクを未然に防ぐことができます。
最終的な目標は、顧客やクライアントから信頼される収益性の高い組織を作ることです。CFOは規制要件、予算、リスク許容度について深い知識を持っています。一方、CISOはこれらの制約を満たしつつ、保護を損なわないサイバーセキュリティ計画を策定できます。これらの役割が連携することで、サイバーセキュリティへの投資はより的確で費用対効果が高く、ビジネスの優先順位と整合し、価値を生み出します。
私たちの組織では、全事業部門の幹部や取締役で構成される審査委員会と毎月会合を持ち、サイバーセキュリティの課題が計画段階から対処・軽減されるようにしています。私たちがサービスを提供する業界やクライアントにおいて、ビジネスの中にサイバーセキュリティ文化を確立することが信頼・業務・自然な統合を促進する上で極めて重要であると早い段階で認識しました。クライアントから信頼されなければビジネスは成り立たない、というのは単純な事実です。
2. 強固でコンプライアンスに準拠したセキュリティ対策を構築する
CFOとCISOは、主要なアプリケーションを保護し、組織のサイバーセキュリティ状況を明確に把握するために協力しなければなりません。これには、アプリケーション、決済・会計システム、または独自データへのアクセス管理や権限の評価が含まれます。その目標を達成するための体制づくりには、定期的な統合リスク評価、リスクを軽減するための十分な内部統制、財務報告とインシデント対応・復旧計画の整合、そして部門横断的な強力な連携が求められます。
変化し続ける法規制も、CFOとCISOが密接に連携すべき理由の一つです。米国における最近のSEC規則改正では、企業がサイバーセキュリティリスク管理に関する記述を提出書類に含めることが求められています。また、業界や国のリスク状況に大きな影響を持つ企業において、基本的なセキュリティ管理策の実装と有効な運用が推進されています。例えば、金融業界向けのデジタル運用強靭性法(DORA)などです。ヨーロッパ全域では、ネットワークおよび情報セキュリティ指令2(NIS2)により、国の安全保障に影響を与える可能性のある企業に対し、サイバーセキュリティ保護の遵守を証明することが求められています。
CFOとCISOがリスク管理に共同で取り組むことで、企業全体が進化する規制に足並みを揃え、財務的な混乱リスクを最小限に抑えることができます。リスクに基づいて施策の優先順位を決め、積極的な投資を支援し、主要業績評価指標(KPI)やリスク低減指標を追跡することで、それを実現できます。
3. サイバーセキュリティを競争優位性に変える
サイバーセキュリティは、ビジネス計画の戦略的な柱として組み込まれるべきであり、後手のコストセンターとして扱うべきではありません。後回しにしないためには、セキュリティ投資、全社的な教育、リソース配分が、より広範なビジネス目標と一致する戦略的アプローチが必要です。
私のキャリアを通じて、サイバーセキュリティはビジネス戦略の中でより大きな役割を果たすようになり、IT部門だけにとどまらなくなりました。その結果、CISOは純粋な技術職から脱却し、経営層とビジネスの言葉で対話する能力を高めています。逆に、CFOのような非技術系の経営幹部も、サイバーセキュリティが企業の収益に与える意味や、データ侵害・サイバー攻撃・風評リスクなどの影響要因とその管理方法について、ますます理解を深めています。
リーダーや組織は、サイバーセキュリティが全体的なリスク管理のどこに位置づけられるべきか、そしてそれを成長の原動力としてどう活用できるかを再評価する必要があります。サイバーセキュリティは企業のリスク低減に不可欠であることは間違いありませんが、価値創造において過小評価されがちな要素でもあります。現代の市場では、信頼は「得るもの」ではなく「期待されるもの」です。信頼がなければ、ビジネスの成長はありません。
強力なサイバーセキュリティの実践は、収益成長の推進にも不可欠です。サイバーセキュリティへの支出は今年2,120億ドルに達すると予測されており、前年比15%増となっています。これは、今日の脅威環境におけるその重要性の高まりを示しています。サイバーセキュリティを戦略的かつビジネスに不可欠な投資として再定義するために、CFOとCISOは、強固なセキュリティ対策がもたらす大きな投資対効果を明確に伝える重要な役割を担っています。サイバーセキュリティはイノベーションの触媒となり、競争力を生み出す原動力となるのです。