概要
調査対象となった財務リーダーの10人中4人が、定量化されたリスク低減があればサイバーセキュリティ支出の増額を正当化しやすくなると回答した。
初出掲載
概要:
- サイバーセキュリティ企業Expelの調査によると、CFO(最高財務責任者)とCISO(最高情報セキュリティ責任者)は、サイバーセキュリティへの投資に関する目標や優先順位において大きく足並みがそろっていない。
- 今月公表された報告書によれば、この乖離は指標と意思決定の不一致に起因する。セキュリティリーダーは通常、業界のベストプラクティス、コンプライアンス要件、統合の容易さに基づいて意思決定を行う一方、財務責任者はコスト回避やリスク低減といった領域に焦点を当てる。
- 報告書は「相手が価値を見いださない、あるいは理解できない指標に固執するのではなく、CISOとCFOは互いに相手を教育することで双方が恩恵を受けられる」と述べた。「知識のギャップを埋めることで、財務とセキュリティのリーダーはより良い整合、より明確なコミュニケーション、そしてより戦略的なサイバーセキュリティ投資に向けて取り組める。」
分析:
Expelによると、今回の結果は、脅威の激化により組織が戦略的なサイバーセキュリティ投資を行うよう圧力が高まっている状況で示されたものだ。
犯罪者が人工知能の進歩を悪用する方法を探り続ける中、サイバー攻撃は今年急増すると見込まれている。
世界的な情報サービス企業Experianは、2026年のデータ侵害予測レポートで「現在、新たなAI主導の脅威ベクトル が、データ侵害の範囲、頻度、コストを増大させる可能性がある」と述べた。
CFO Leadership Councilの会長兼創設者であるジャック・マッカロー氏は最近のブログ投稿で、サイバー脅威が高度化し侵害の財務的影響が増すにつれ、CFOはサイバーセキュリティ戦略と投資判断においてより積極的な役割を担うようになっていると述べた。
同氏は「これは単に予算を承認することにとどまらず、事業継続への影響を理解し、組織が十分に保護されていることを確保することを含む」と語った。「成功は、CISOやITリーダーと協働して技術的リスクを取締役会や投資家向けのビジネス言語に翻訳すること、脆弱性やインシデント対応能力について透明性を保つこと、そして新たに出現する脅威への対応で機動力を発揮することにかかっている。」
Expelの報告書によれば、セキュリティと財務のリーダーは優れた協働を報告しており、それぞれ74%と68%が、早い段階から頻繁に一緒に取り組んでいると回答した。しかし、調査は乖離も明らかにした。
セキュリティリーダーは、財務部門から資金を得ようとする際に、サイバーセキュリティリスクに対する理解の不足などの障害に直面すると述べた。一方、財務リーダーは、サイバーセキュリティ投資を承認する前に具体的で測定可能なデータを求めているとし、40%が、定量化されたリスク低減があれば支出増を正当化しやすくなると回答した。
財務担当役員の10人超に4人が、技術的リスクを財務用語により適切に翻訳することが、両チームの協働改善に役立つと述べた。
Expelによれば、足並みをそろえるには、両チームが同じ言語で話せるようになる必要がある。
報告書は「そのためには、セキュリティリーダーが指標を財務リーダーに響く測定値へ翻訳する必要があるかもしれない」と述べた。「例えば『統合の容易さ』は時間やコストに基づく指標に変わり得るし、『コンプライアンス要件を満たすこと』は罰金の回避へと翻訳できる。」
Expelによると、この報告書はサイバーセキュリティリーダー136人と財務担当役員164人を対象とした調査に基づいている。
翻訳元: https://www.cybersecuritydive.com/news/cfos-cisos-clash-cybersecurity-spending-expel/810091/
