デニス・コザック氏はIvantiの最高経営責任者(CEO)であり、同社の全体的な戦略方針と成長に責任を負っている。
AIシステムは現在、わずか50ドルで高度なサイバー攻撃を実行できる。同じ作業を人間のハッカーが行えば、10万ドル近くのコストがかかる。これは、WizとIrregularによる共同調査の結果だ。この調査結果が私の机に届いたのは、KPMGが報告した、経営幹部レベルのセキュリティ責任者の99%が今後数年間でサイバーセキュリティ予算を増やす計画だという内容とほぼ同時期だった。
それにもかかわらず、企業は最も懸念する脅威に対する防御能力において、さらに後れを取っている。当社の最高情報セキュリティ責任者(CISO)は、これを「サイバーセキュリティ準備不足」と呼んでいる。私は、これがCEOが追跡できる最も重要な重要業績評価指標(KPI)の1つになりつつあると考えている。
企業は記録的な金額を費やしているが、準備態勢は低下している
これが純粋に予算の問題であれば、我々は良好な状態にあるだろう。Crunchbaseによると、サイバーセキュリティ分野のスタートアップへの投資は2025年に180億ドルに達し、前年比26%増となった。KPMGの経営幹部レベルのセキュリティ責任者を対象とした調査では、54%が6%から10%の予算増を計画している。
しかし、支出と準備態勢は別物であり、現在、両者は逆方向に動いている。
当社の調査は、すべてのCEOが注目すべき具体的な状況を示している。ITおよびセキュリティ専門家の95%が、AIによってセキュリティの脅威がより危険になると述べている。
それにもかかわらず、3人に1人近くが、生成AIのリスクに対処するための文書化された戦略を持っていない。
これらの数字は、優先順位付けに問題を抱える組織を表している。
資金では、雇用できないものは解決できない
この格差の一部は、人材に関係している。世界経済フォーラムの調査によると、サイバーセキュリティの目標を達成するために必要な熟練した専門家を擁する組織は、わずか14%だった。
熟練した人材の不足は、サイバーセキュリティの卓越性を実現する上での障壁の1つに過ぎない。そして、セキュリティチームとITチーム間の溝によって、適切な人材が揃っている場合でも実行がより困難になっている。
より多くのツールを購入することはできる。予算項目を増やすこともできる。しかし、購入したツールを操作する熟練した人材を見つけられなければ、資金だけでは解決できない問題に資金を投じていることになる。
非常に高額なコミュニケーションエラーを犯している可能性がある
私は詳細に踏み込むことを重視している。CEOとしての役割において、私は自ら製品体験をレビューする。従業員や顧客が実際に何に対処しているかを理解したいのだ。なぜなら、直接見ていないものは修正できないからだ。
私はサイバーセキュリティにも同じ考え方を持ち込んでいる。そして、最大の問題の1つが技術的なものではないことに気づいた。それはコミュニケーションだ。
時として、セキュリティ専門家は経営幹部にリスクエクスポージャーを効果的に伝えることに苦労している。多くは依然として、平均修復時間やパッチ適用された脆弱性の割合といったプロセス指標に依存している。これらは、チームがどれだけ忙しいかを示す数字であり、適切な問題が修正されているかどうかを示すものではない。
例えば、CISOが入ってきて、1万1000件の脆弱性が発見されたと報告する。平均修復時間(MTTR)は25日から15日に短縮された。修復率は88%に達した。これらはすべてダッシュボード上で緑色だ。しかし、CEOが本当に知る必要があるのは、これらの脆弱性のうち、収益を生み出すシステムを停止させる可能性があるのはどの10件かということだ。
当社の調査によると、現在80%以上の組織が文書化されたリスク許容度フレームワークを持っている。しかし、これらのフレームワークが日常業務で厳密に遵守されていると答えたのは半数未満だ。つまり、ほとんどの企業は(書面上では)どの程度のリスクを受け入れるかについて合意しているが、その後、その合意とは無関係な意思決定を行っているということだ。
CEOはもっとうまくやれる
サイバーセキュリティ準備不足が、セキュリティチームの問題ではなく、成長と収益の問題になると、事態はさらに複雑になる。準備態勢が脅威環境に追いつけず、その環境が四半期ごとに攻撃者にとってより安価になっている場合、ビジネス上の影響は複合的になる。規制上のエクスポージャー、顧客の信頼、取引速度、保険コスト。すべてだ。
同業者に考えてもらいたいことがいくつかある。
• 予算の議論を超える。取締役会が依然として「サイバーセキュリティに十分な支出をしているか」と尋ねているなら、それは間違った質問だ。より良い質問は、すでに支出している資金が適切なもの、つまりビジネスを妨げる可能性のあるエクスポージャーに向けられているかどうかだ。
• CISOと取締役会の間のコミュニケーションの溝を埋める。セキュリティ報告が略語と深刻度スコアで満たされているが、ビジネスへの影響については軽視されている場合、問題がある。翻訳を求めよ。どの脅威が収益、評判、規制上の地位に影響を与えるか。何か問題が発生した場合の復旧時間はどのくらいか。
• スキル不足をCEOレベルの業務上の制約として扱う。委任は素晴らしいが、これは人事部門の問題でもIT部門の問題でもない。サイバーセキュリティが取締役会レベルで議論されているにもかかわらず、チームが重要なポジションに人員を配置できない場合、それはトップに転嫁される実行リスクだ。
• 文書化されたものではなく、機能するリスク許容度フレームワークを要求する。組織のフレームワークが書面上に存在するが、日々の意思決定を推進していない場合、それは装飾だ。エクスポージャー管理は、ビジネスが機能的に運営される方法と結びついている場合にのみ機能する。
サイバーセキュリティ準備不足が悪化しているのは、攻撃者がより速く、より安価になっている一方で、ほとんどの企業が依然として過去の戦争と戦うように組織されているからだ。つまり、それらをうまく使用するための熟練した人材や優先順位付けの規律なしに、ツールやプラットフォームに資金を投じているのだ。
これは資金だけでは解決できない問題だ。そして、それはますますCEOに属する問題になっている。



