ジェリー・レイデン(Jerry Layden)、CyberSaint CEO。同社はAI自動化によるサイバーリスク管理を支援するサイバーセキュリティ企業。
サイバーセキュリティが取締役会の場で注目を集めたことはかつてない。しかし同時に、その正当性を示すのがこれほど難しかったこともない。ツール群が拡充し、チームが拡大しているにもかかわらず、多くのCISO(最高情報セキュリティ責任者)は、セキュリティ投資を事業戦略と結びつけるのに苦慮している。不都合な真実は、多くの企業がサイバーセキュリティに投資不足なのではなく、資本配分を誤っているという点にある。
資本配分の問題
今日、セキュリティが機能しないのは、組織にツールや人材、努力が足りないからではない。セキュリティが本来そうであるべき「資本配分の問題」ではなく、「テクノロジーの問題」として扱われているからだ。
他のあらゆる企業投資と同様に、サイバーセキュリティへの支出は、理論上のカバレッジや恐怖に駆られたシナリオではなく、測定可能な成果、機会費用、リスク許容度に照らして評価されなければならない。その規律が欠けると、支出は増える一方で、効率は低下する。
企業は、どの投資がリスクを低減しているのかを明確に把握できないまま、ツールやサービスに数百万ドルを費やしている。セキュリティチームは、活動量、対応したアラート、実装したコントロール、通過した監査などを追跡するが、こうした指標はコスト削減にはつながらない。
CFOの視点では、活動は価値と同義ではない。成果こそが価値である。成果を評価するための共通の経済モデルがなければ、資本は必然的に「インパクト」ではなく「労力」へと流れていく。
CFOがサイバー投資について本当に知りたいこと
歴史的に、サイバーは技術領域として扱われ、財務的な精査から隔離されてきた。だが現在は、規制圧力と取締役会の説明責任がサイバーリスクを押し上げ、他のリスクと同列に置かれるようになっている。
CFOは、いくつのコントロールを展開したかは問わない。どの投資がエクスポージャー(リスク曝露)を減らしたのか、どのリスクが残っているのか、そして次の四半期に資本をどこへ再配分すべきかを問う。セキュリティのツールは、そもそもそうした問いに答えるために設計されていない。そのギャップこそが、多くのサイバーセキュリティ予算がCFOの審査に落ちる原因である。
結果として、組織はインパクトではなく症状に対処する、重複したソリューションを積み上げてしまう。紙の上では強固に見えても、実務では非効率なセキュリティポートフォリオが出来上がる。
AI:サイバー資本規律に対する新たなストレステスト
この誤った配分が最も可視化されるのがAIである。
組織がAI駆動のシステム導入を急ぐ一方で、それによって持ち込まれる財務リスクを明確に言語化できる企業は少ない。ベンダーは革新性や機能を強調するが、AIをエクスポージャーや事業インパクトの観点で語ることは稀だ。その結果、CISOは経営が抱く根本的な問いに答えられないまま取り残される。すなわち「当社のAIリスクは何か」「全体のエクスポージャーはどう変わるのか」「責任ある管理のためにどれだけの資本が必要か」である。
その明確さがなければ、AIへの支出は投機的なものになる。リスクを低減するのか、それとも負債を増やすのかを理解しないまま資本が投下される。2026年、AIがCFOの審査に落ちるのは、AIが本質的に危険だからではない。測定が不十分だからである。
この問題の根底には、ベースラインの欠如がある。あまりに多くの場合、セキュリティ投資は、次の基本的なビジネス上の問いに答える前に行われる。「組織は、どの程度の財務エクスポージャーを受け入れる意思があるのか」。この錨がなければ、CISOはリスクを管理するのではなくツールの正当化に追われ、CFOは、自分が重視するエクスポージャーが実際に変化しているのか分からないまま、コントロールに資金を出すことになる。
当て推量からリスク定量化へ
セキュリティには、共有された財務言語が欠けている。当て推量を超えるには、サイバーリスク定量化(CRQ)によって、セキュリティのギャップを年間予想損失額(ALE)のような、ビジネスに関連する指標へ変換する必要がある。
CISOが「50万ドルの投資が、モデル上500万ドルのエクスポージャーを軽減する」と示せれば、セキュリティ予算は直感から経済合理性へと移る。支出は説明可能になる。
資本効率エンジンとしての自動化
自動化はもはや選択肢ではない。ただし、それはベンダーが典型的に宣伝する理由によるものではない。
自動化は人を置き換えることではない。非効率を置き換えることだ。セキュリティチームがスプレッドシートや数カ月前のデータに依存していると、経営がリスクを理解する頃には、事業はすでに曝露しているかもしれない。
自動化はリアルタイムの洞察を可能にし、反応的ではなく予防的な意思決定を支える。その結果は何か。資本効率である。
サイバーセキュリティを投資ポートフォリオとして扱う
最も効果的なCISOは、サイバーセキュリティを、防御のコストセンターではなく投資ポートフォリオとして捉え直している。
あらゆるコントロール、ツール、取り組みを、リスク低減と事業レジリエンスへの寄与に基づいて評価する。投資ポートフォリオと同様に、これは「何を保有しているか」だけでなく「何を手放すべきか」を評価することを意味する。モデル上の損失を実質的に低減しなくなったコントロールは廃止する。重複する機能は統合する。資本は、より深刻度の高いエクスポージャーへ意図的に再配分される。
この「リスクから資本へ」という規律は、経営との対話を根本から変える。小幅な予算増を勝ち取るために争うのではなく、セキュリティリーダーは合理的なトレードオフの議論に参加する。「どのリスクは許容できるのか」「どれは軽減が必要なのか」「どの投資が最良のリターンをもたらすのか」——CFOが理解する言語である。
説明責任、信頼性、そしてビジネスの言語
意思決定が財務成果に結びつくと、説明責任が伴う。リーダーは信頼性を得るが、同時に責任も負う。意思決定は正当化でき、再現可能になり、企業の優先事項と整合する。
ビジネス上の意思決定に資さない技術的洞察は不完全である。現代のCISOが勝つのは、ビジネスにより通じていることによってだ。サイバーリスクを財務エクスポージャーへ変換し、セキュリティ戦略を成長目標と整合させる方法を理解している。
CISOが、投資がいかに収益を守り、利益率の変動を抑え、拡大局面でのダウンサイドリスクを低減するかを説明できるとき、サイバーセキュリティは防御コストであることをやめ、企業価値の守り手となる。
CFOの審査に合格する
究極のCFOテストは、即時的で直接的だ。
「我々は、重大なエクスポージャーを減らすために資本を配分しているのか。それとも、活動に資金を出しているだけなのか」
セキュリティには常に不確実性が伴う。しかし管理されない不確実性は高くつき、誤った資本配分はさらに高くつく。単一のインシデントが利益率を吹き飛ばし、成長を頓挫させ得る環境において、資本配分を正すことは選択ではない。
CFOの審査は、もはや「セキュリティが重要かどうか」ではない。その議論は終わっている。問われているのは、セキュリティリーダーが、費やした1ドルごとにエクスポージャーが減り、組織が事業を運営し成長する能力が強化されることを実証できるかどうかである。
これを身につけたCISOは、2026年により容易に投資を確保できるだろう。
