2023年、予算の逼迫でセキュリティのスリム化は必至
2023年2月21日、Phil Muncaster
サイバーセキュリティは今日の組織にとって重要ですが、だからといってマクロ経済がもたらす嵐の影響を受けないわけではありません。最新の調査によると、多くの企業で予算は横ばい、あるいは減少していく傾向が見られます。ただでさえ厳しくなる一方の状況に直面しているITおよびセキュリティ部門のリーダーにとって、これは悪い知らせです。残念ながらサイバー犯罪の世界には、こうした予算的な制約がありません。サイバー犯罪者たちは今までと同じように、互いに助け合い、革新し合い、あらゆる機会を逃さず弱点につけ入ってくるでしょう。
IT 部門のリーダーにとって、この2つの圧力に対処する方法は、ベンダーとの関係を見直すことだといえます。ビジネスリーダーに効率性と生産性、財務規律を求められているのなら、妥協することなくセキュリティを実現する最善の方法は、より少ない製品やサプライヤーに統合することでしょう。
財布のひもを締める時
世界のほとんどの地域で、来年の経済見通しがかなり暗いものとなっています。IMF は最近、今年の成長率見通しを 2.9%に下方修正し、先進国ではさらに一段低く(1.2%)なっています。フランス、ドイツ、イタリア、イギリスといった欧州の大きな市場では、今年の GDP 予測が1%を超えることはないとされており、一部の経済は景気後退に陥る可能性さえあります。高インフレと高金利は、特にエネルギーコストの高騰など、企業に大きな打撃を与えています。また、同じマクロ経済要因が、消費者の消費意欲を減退させています。
世界経済の行方は、拡大する攻撃対象領域のセキュリティを確保することにも、デジタルトランスフォーメーション(DX)プロジェクトで組織が過剰なリスクにさらされないようにすることにも苦労しているITセキュリティリーダーにとっても重要です。最近の調査では、欧州と中東、アジア、そして米国の組織のうち現在の要件を満たすのに十分な予算があると信じているのはわずか半数(49%)であることが明らかになりました。さらに悪いことに、11%が最も重要な資産を保護する予算しかないと答えており、35%が2023年の予算は横ばいか減少すると考えています。
本調査レポートによると、経営幹部がサイバー脅威の深刻さを理解し、セキュリティ関連予算を削れば DX にも悪影響が及びかねないと認識しているにもかかわらず、予算の制約は避けられないとIT部門リーダーの多くが回答しています。つまり経営幹部にどれだけ懇願しても、これ以上の資金は出てこないということなのでしょう。
この課題は、中小企業にとってはさらに深刻です。2022年後半の別の調査によると、米国と英国およびオーストラリアの中小企業の半数以上(56%)が予算削減を懸念していることが明らかになりました。
脅威は続く
その懸念も当然のことです。たとえ予算が変わらなかったとしても、目の前にある多くの課題を軽減するには十分ではないかもしれません。その課題とは、大きく分けて 2 つあります。
- 地下の最先端サイバー犯罪ワールドでは、相当に高度な脅威を仕掛けるために必要なツールやサービスを調達することなどもはや子どもの遊びと言っていいくらい簡単です。ランサムウェア・アズ・ア・サービス(Ransomware-as-a-Service)が急速に増えていることからも、このサービスがいまなお大企業よりも中小企業に大きな打撃を与えていることがわかります。
- 企業の攻撃対象領域は拡大しています。背景には、コロナ禍によるクラウドコンピューティングへの投資やハイブリッド型の働き方へのシフトなどがあります。ある調査によると、グローバル企業の43%が、自社の攻撃対象領域が「制御不能なほど広がっている」ことを恐れていました。
こうした理由などから、事業の存続に関わりうる侵害は定期的に発生し続けています。PwC によると世界の CFO の4分の1以上(27%)が、過去3年間に重大なデータ侵害に見舞われ、100万ドル以上の損害を被ったことがあると回答しています。実際、情報侵害の世界平均コストは現在約 440 万ドルに上っています。PwC が英国で行った調査では、今年、脅威は大幅に増加すると、調査対象企業の約4分の1が予想しています。なかでもランサムウェア、ハック&リーク攻撃、クラウドベースの脅威、ビジネスメール侵害(BEC)などが最も懸念される脅威として挙げられています。
より少ないものでより多くを成し遂げる
こうしたことから、中小企業のITリーダーは、限られたリソースをより有効に活用する方法について考え始める必要があります。もっとも、それはこれまでしたきたことでもあります。好景気の時でも、中小企業は大企業にはない方法でリソースを最適化する必要があったのですから。しかし、現在の経済情勢からは、より一層の引き締めが必要となりそうです。
ある調査によると、中小企業の大半でサイバーセキュリティチームのメンバーは5人未満です。調査対象となった中小企業の半数がサイバーセキュリティにかけている費用は年間 2 万ドルに届かず、年間5万ドル以上を費やしているのは 10 社に 1 社です。このような状況で、どうすればより少ないコストでより多くのこと成し遂げられるのでしょうか。適切に行えるのであれば比較的早く実現できることとして、ベンダーの統合があります。中小企業であっても、特定の問題を解決するために購入したツールや、長年にわたるM&Aで獲得したツールが、余るほどあるかもしれません。
しかし、重なり合う可能性のあるポイントソリューションは、いくつかの理由から好ましくありません。
- サイロ化されたデータにより、セキュリティのカバーギャップが発生する。
- 各ツールの使い方を習得する必要があるため、ただでさえ余力のないITチームの管理諸経費が発生する。
- 不要なライセンスの追加など、コスト増につながる。
- 最新のダイナミックなクラウド環境との相性が悪い。
むしろ、より多くのセキュリティをより少ないベンダーに集約することで、IT リーダーは脅威に対する防御に妥協することなく、コストを削減できます。また、プラットフォームベースのアプローチにより、リスクを把握し管理する能力が向上することも期待できます。低コストのサイバー衛生ベストプラクティスと組み合わせることで、このアプローチは、組織が経済の荒波を乗り切ったその先でこれまで以上に強く成長する一助となるでしょう。業界最大規模のITアドバイザリー企業ガートナー社も、そう言っています。
原文はこちら
Budgets are tightening in 2023: It’s time to streamline security.
Feb. 21, 2023 Phil Muncaster
https://blog.barracuda.com/2023/02/21/budgets-tightening-2023-streamline-security/
No comments yet.