より少ない費用でサイバーセキュリティ機能を向上させる5つの方法

州や地方自治体のベテランCISOであるオレンジ郡CISOのアンドリュー・アリパナは、非常に厳しい予算の中でセキュリティ機能を最適化する方法を熟知しています。過去には、リバーサイド市在職中にCISA（サイバーセキュリティ・インフラセキュリティ庁）、MITRE、MS-ISAC（多州情報共有分析センター）など、連邦政府が支援する機関を通じて提供される補助付きリソースを活用していました。

しかし、これらの多くのリソースは、米連邦政府がこれまで無料だったリソースの予算を大幅に削減した今年、消滅しました。そのため、より少ない費用でサイバーセキュリティ機能を維持するために、さらに創造的な工夫が必要となりました。そのために、彼（および本記事でインタビューした他のCISOたち）は、新たな技術に資金を投じるのではなく、人材の育成やプロセスの効率化に注力しています。

1. リソースを最大限に活用する

ISACAの「State of Cybersecurity 2024 and Beyond 調査」によると、サイバーセキュリティ専門家の50％以上が、脅威が増加し採用が停滞しているにもかかわらず、自分たちのセキュリティ運用が十分な資金を得られていないと答えています。

「現在の予算状況では新しいツールを手に入れる可能性はほとんどありません。だからこそ、既存のリソースを最大限に活用し、節約する方法を考案する必要があります」とアリパナはCSOに語ります。「リソースというと多くの人がツールを思い浮かべますが、組織は人材やプロセスに十分な注意を払っていません。」

これは、連邦政府がMulti-State ISACSの資金提供を打ち切った際にも当てはまりました。彼や他の郡の機関が頼りにしていたリソースです。「MS-ISACを管理するCenter for Internet Security（CIS）が、すべての機関が自分たちで会費を支払う必要があると発表したとき、私たちは州に対し、会費をまとめて購入し、郡や市をひとつの州会員に含めるよう要請しました」とアリパナは説明します。州はこれを実施し、これにより州のコストを上げることなく、これらの機関は何百万ドルもの節約ができたと彼は言います。特にオレンジ郡は、年間26,000ドルの会費を節約しました。

別の例では、アリパナは、郡のCISOたちが協力してさまざまな種類のEDR製品を単一ブランドのEDRに統合した際に、人材・プロセス・技術がどのように連携したかを説明しています。郡の26部門のうち18部門が1つのEDR製品に統合しました。その結果、郡全体のシステムにおける対応と可視性の統一、管理の効率化、ボリュームディスカウント、専門的なスキルの必要性の削減など、劇的な節約が実現しました。

「アライアンスや相互支援協定、より大きな交渉単位を作ることで、より良い取引を引き出すことができます」とアリパナは付け加えます。「私たちはスキルや方針、手順に取り組み、それらを完璧にし、また既存のツールも磨き上げています。」

オレンジ郡地方検事局の部門CISOであるリン・シェラミーは、アリパナや他の郡のCISOたちと共に、これらの革新的でコスト削減につながる取り組みを進めています。シェラミーはアリパナを「影響力のあるリーダー」と評し、これは少ないリソースで多くを成し遂げるために不可欠だと言います。特に、縦割りのギャップを埋め、既存の人材を活用することに当てはまります。

2. 人材とプロセスに注力する

「チームワークと影響力のあるリーダーシップはオレンジ郡において極めて重要です。私たちは部門を超えて一体となって働いています。全員がすべてをこなすことはできませんし、車輪の再発明もしたくありません。負担を分かち合い、既存の取り組みを見直し、技術的負債を減らしています」とシェラミーは説明します。「これが少ないリソースで多くを成し遂げる方法です。やるべきことが多いときには積極的に関わり、お互いと郡のために尽力するのです。」

これはすべてのスタッフレベルに及びます。厳しい時期にこそ、最も価値のあるリソースである人材を維持し、スキルアップさせることが重要です。その点について、フラクショナルCISOでCyber Point Advisoryの創設者兼CEOであるDd Budihartoは、人材の維持とスキルアップを新しい技術の購入よりも優先すべきだと言います。これこそが、少ないリソースで多くを成し遂げる重要な方法だと彼女は付け加えます。

例えば、過去のCISO職では、Budihartoは各部門（広報、法務、調達、人事、経理）からインシデント対応の「アンバサダー」を募集しました。「彼らは新しいスキルを学び、大きなプロジェクトの一員になれたことを喜んでいました」と彼女は述べます。「そして、BEC詐欺の被害に遭ったとき、彼らは訓練を受けてすぐに対応できました。とても効率的で活気がありました。これこそがROI（投資対効果）です。」

また、彼女は調達チームに対し、新規ベンダー候補に基本的なサイバーセキュリティの質問をするよう訓練し、事前審査によってセキュリティチームの貴重な時間を節約しました。こうしたクロストレーニングを受けた人材はしばしばセキュリティチャンピオンとなるとBudihartoは付け加えます。中にはサイバーセキュリティ分野にキャリアを広げる人もいます。新しい視点やアイデアはセキュリティ機能を活性化し、イノベーションをもたらします。

ISC2が実施した最新のサイバーセキュリティ人材調査報告書によると、調査対象となった15,000以上の組織の大半が、採用を抑制しているにもかかわらず、サイバーセキュリティの優先事項を満たすための人材が不足していると答えています。また、報告書では多様なバックグラウンドや経路からサイバーセキュリティ業務に参画することの価値も指摘されています。

この点について、グランドキャニオン大学のCISOであるマイケル・マンロッドは、サイバーセキュリティスタッフを補強するために学生インターンを活用しており、その大半が卒業後も残っています。「多くの人をインターンとして受け入れ、その中の優秀な人材を残せば、素晴らしいチームができます。現在のトップパフォーマーは7～10年前の学生でした」と彼は言います。「内部の人材パイプラインを活用する方が、特定スキルの獲得競争に参入するよりも常に安価です。」

3. 不要なものを整理する

マンロッドは「ガーベジコレクション（不要なものの整理）」にも力を入れています。彼とそのチームは定期的に技術契約を見直し、もはや必要ない、または効果的でないツールを特定して削除しています。特に、過去の問題解決のために導入されたものの、現在は不要になった、あるいは他のプラットフォームやOSでカバーされているソリューションに注意を払っています。

「教育機関では、どの製品を維持し、どの製品を導入するかを非常に慎重に選ぶ必要があります。だから、2025年に廃止できる製品を見極め、それによって2026年の新たな脅威対策費用を捻出しています」とマンロッドは説明します。「新しいポイント製品を次々と導入するのではなく、ホストの堅牢化を重視しています。何らかの悪意あるものが侵入する可能性を前提に、Windows Defender Application Control（WDAC）やホストファイアウォールルールなど、標準設定でそれらをブロックする方法を検討しています。」

最近、マンロッドのチームは8年間契約していたID/IAMベンダーとの契約を更新せず、代わりにMicrosoft Authenticatorを使って多要素認証（MFA）をサポートすることにしました。しかし、攻撃者が新たな手法でMFAを回避するようになったため、節約した費用で新たな敵対的手法に対応するための専門製品を追加しました。

4. AIで補強する

不要なものを整理し、セキュリティ運用予算を確保したマンロッドは、大学全体のAIイニシアチブを安全に推進することに注力しています。逆に、彼とそのチームもAIを活用してサイバーセキュリティ部門内の効率化を図っています。

例えば、承認済みのAIチャットボットを活用し、SIEMへのクエリ用スクリプト作成、脅威の経路分析、トレーニング補助、SOCアナリストの質問への迅速な回答など、効率化が必要な部分を補っています。マンロッドや他の専門家は、AIがSOC機能で本格的に活用されるにはまだ早いとしつつも、信頼できるAIチャットボットはすでにスタッフの時間を節約し、他の重要なセキュリティ業務に集中できるようになったと述べています。

「人間を補助してより優秀で、賢く、強く、速く、より有能にするためにチャットボットと協働するのであれば、AIは非常に生産的になり得ます」と彼は言います。「しかし、多くのAI活用はひどいやり方で行われています。だからこそ、私たちはその点に注意を払っています。」

5. ガバナンスを重視する

関税は間違いなく技術投資に影響を与えています。したがって、無駄や重複するプロセス・技術を特定し整理することは、コスト削減の重要なステップです。

アドバイザリーファームAlvarez & Marsal（A&M）が発表した「Spend More or Spend Better（より多く使うか、より賢く使うか）」レポートは、CISOに対して、単に予算拡大を追い求めるのではなく、効率と効果に注目するよう促しています。CSOとのフォローアップインタビューで、同レポートの著者であり、同社の欧州・中東サイバーリスクサービス部門を率いるロレンツォ・グリッロ氏は、CISOに対し、無駄な支出の特定と排除、ギャップ分析の実施、セキュリティ態勢を高めるプロセス改善に注力するよう助言しています。

「最近の事例では、組織がセキュリティソリューションにすべての注意と予算を集中させた結果、ガバナンスやプロセスに大きな弱点が残っていました。サイバーコスト最適化の取り組みにより、企業のリスク許容度を下回るリスク低減とともに、サイバーセキュリティ態勢が向上しました」とグリッロ氏は述べます。「目標となる運用モデル、役割と責任、サービスや技術のカタログ化を最適化することで、サイバーセキュリティ組織の効率が向上し、サイバーリスクが軽減されるはずです。」