IT関係者に仕事で何が一番のストレスになっているかと尋ねれば、多くの人がサイバーセキュリティだと答えるだろう。ITのジェネラリストを対象とした451 Researchの調査「Digital Pulse」では、回答者の36%が不安の原因として情報セキュリティを挙げている。
Constellation Researchのバイスプレジデント兼主席アナリストSteve Wilson氏は、「規模の面でも、深刻さの面でも、技術レベルの面でも、脅威は拡大しており、情報漏えいは重大化し続けているようだ」と述べている。「データは新たなデジタル経済の血液のように不可欠なものだと言われているが、それを悪用しようとするサイバー犯罪者の技術レベルは常に上がり続けている」
Neustarが7月に発表したレポートによれば、情報漏えいやサイバー攻撃に対してITセキュリティプロフェッショナルが抱いている懸念は、1年前に比べて2倍になっているという。その懸念が予算策定のプロセスにも影響を与えており、451 Researchが行った調査の回答者のうち17%が、2018年にもっとも予算を増やす分野として情報セキュリティを挙げている。
451 Researchの情報セキュリティ担当調査ディレクターDaniel Kennedy氏は、米ZDNetの取材に対して、同社の調査「Voice of the Enterprise Information Security」では、企業の80%が来年のセキュリティ支出を増額する予定であることが明らかになったと述べている。
しかし、サイバーセキュリティの重要性を理解することと、その重要性が2019年のIT予算計画に与える影響を理解することは、まったく別の話だ。
予算策定は(当然ながら)金銭に関する問題なので、まずはそこから議論を始めよう。Gartnerのバイスプレジデント兼最上級アナリストPaul Proctor氏は、米ZDNetに対して、予算策定の際に冒す可能性のある最大の間違いは、やみくもにセキュリティチームの予算を増やし、結果を求めることだと語った。
「世の中でもっともよくあるやり方は、ほかの企業がサイバーセキュリティにどれだけの経費をかけているかを調べることだろうが、私はそのやり方は好きではない」とProctor氏は述べている。「そのやり方はあまり役に立たない。サイバーセキュリティにかける経費が多いにも関わらず、リスク状況が極めて悪い企業もあれば、あまり経費をかけていなくてもリスク状況がよい企業もあるからだ。結局、重要なのは備えのレベルだ」