最高情報セキュリティ責任者(CISO)は、今やあらゆるところにサイバーセキュリティ上の脅威が潜んでいるこの状況で、組織のすべてのデータ、資産、人員の安全を守らなくてはならない立場にある。
フィッシング攻撃を受ければ比較的簡単にユーザー名やパスワードを盗まれてしまうし、ソフトウェアの脆弱性をそのままにしておけば、ネットワークに侵入するためのバックドアになってしまう可能性がある。また、ランサムウェア攻撃を受ければ、被害は莫大な額に及ぶかもしれない。
企業や情報セキュリティチームは、これらの脅威に加えて、今や当たり前のことになりつつあるリモートワークの拡大にも対応する必要がある。リモートワークは、企業や従業員の事業継続性を実現してくれる一方で、サイバー犯罪者がネットワークを侵害するための糸口も増やしてしまう。
これでは、多くのCISOが、12カ月以内に所属組織がサイバー攻撃の被害を受ける可能性があると考えるのも不思議はない。ニュースの見出しを飾った米石油パイプライン大手Colonial Pipelineのインシデントや、アイルランドの医療サービスに対するランサムウェア攻撃は、サイバー攻撃の被害が致命的なものになり得ることを証明している。
CISOは、データ保護法制の規制遵守以外にも多くのことを考えなければならない。そしてそのすべてが予算とリソースを必要とする。理想は、CISOが事業の安全性を維持するために必要なリソースや人材に自由に手に入れられることだろう。しかし取締役会は、サイバーセキュリティ予算を無尽蔵に割り当ててくれるわけではない。
取締役会は、価値が分からないものには予算を割きたくないと考えている上に、毎年のようにセキュリティ予算の増額を求められてうんざりしている。この状況で、CISOがビジネスの安全を守るにはどうしたらいいのだろうか。
取締役会は結局のところ、自分たちが大規模なサイバーインシデントに見舞われない限り、サイバーセキュリティに投資しなければならない理由を理解できないかもしれない。何も起こらなければ、すべてうまくいっていると(実情は理想とはほど遠かったとしても)考えてしまうだろう。
Forrester Researchの主席アナリストPaul McKay氏は、「企業の取締役会は、CISOが毎年前年よりもXパーセント多くの予算が必要だと言ってくるのに少々食傷気味になりつつある。しかも、予算の増え幅は2桁である場合が多い」と述べている。
「私は、取締役会には少々いらついた空気があると考えている。彼らは、『われわれはセキュリティ予算を増やし続けているのに、向こうは毎年のように予算の増額を求めてくる』と考えている」とMcKay氏は付け加えた。
しかし、ネットワークの安全を確保するのに十分な予算を割り当て、従業員に必要なツールやスキルを持たせることは極めて重要だ。