編集部
2025年に向け、CISO(最高情報セキュリティ責任者)の役割はますます重要性を増しています。Forresterの最新の予算計画ガイドによれば、企業のデジタル事業を保護しつつ、収益を確保することがCISOの最優先課題となっています。
特に、APIとソフトウェアサプライチェーンのセキュリティ強化は不可欠であり、これらの領域に投資を集中させることが求められています。本記事では、2025年に向けたCISOの予算戦略と、サイバーセキュリティを企業成長のエンジンとしてどのように活用できるかを解説します。
2025年に向けたCISO予算の増加傾向
2025年に向けて、企業のサイバーセキュリティ予算は増加傾向にあります。Forresterの最新レポートによると、90%以上のCISOが予算増加を見込んでおり、その背景にはAPIやサプライチェーンのセキュリティ強化が急務であることが挙げられます。
サイバー攻撃の巧妙化や攻撃範囲の拡大が進む中で、CISOは限られた予算内で効果的なセキュリティ対策を講じる必要があります。しかし、サイバーセキュリティ予算は依然としてIT全体の支出の約5.7%に過ぎません。これは、ビジネスクリティカルなインフラを保護し、新たな収益を守るというCISOの広範な役割を考慮すると、非常に限られたリソースであると言えます。
このため、2025年に向けた予算では、クラウドセキュリティや新しいセキュリティ技術の導入が優先されると予測されています。多くの企業がクラウドベースのアプリケーションやプラットフォームを利用しており、これらの環境を保護するための予算増加が必要です。CISOは、単に予算を増やすだけでなく、投資の優先順位を明確にし、ビジネスリスクを最小限に抑える戦略を立てることが求められています。
APIとサプライチェーンのセキュリティ強化が不可欠
Forresterのレポートは、APIとソフトウェアサプライチェーンのセキュリティ強化が2025年に向けた最優先課題であると指摘しています。ソフトウェアサプライチェーンは、開発者が使用するオープンソースライブラリやサードパーティツール、古いAPIなど、多様な攻撃ベクターにさらされており、攻撃のリスクが急増しています。
特にAPIは、デジタルサービスの普及に伴い、攻撃対象として急速に重要度を増しています。APIは企業の内部システムと外部サービスをつなぐ重要な役割を果たしますが、適切なセキュリティ対策が講じられていない場合、重大なデータ漏洩やシステム障害を引き起こす可能性があります。Forresterは、APIセキュリティの戦略をDevOpsのワークフローに直接統合し、継続的インテグレーションとデリバリー(CI/CD)のプロセス全体を保護することを強く推奨しています。
また、企業はAPIの検出とレスポンス、リスク評価、モニタリングを強化し、APIを通じた攻撃リスクを最小限に抑える必要があります。
クラウドセキュリティへの投資拡大
クラウドセキュリティは、企業がクラウド環境への依存を深める中で、その重要性がますます増しています。Forresterの予測によると、2025年にはセキュリティ予算の中でクラウドセキュリティへの投資が大幅に増加するとされています。クラウドプラットフォームやサービスが企業の基幹システムとなっている現在、これらの環境を保護することが、ビジネスの継続性に直結します。
多くの企業がインフラストラクチャー・アズ・ア・サービス(IaaS)やプラットフォーム・アズ・ア・サービス(PaaS)、そしてソフトウェア・アズ・ア・サービス(SaaS)といったクラウド技術を活用しており、それに伴いクラウドセキュリティの脅威も増大しています。例えば、クラウド上でのデータ漏洩やシステム侵入のリスクは、オンプレミス環境に比べて複雑かつ広範であり、CISOはこれらのリスクに対処するための包括的なセキュリティ対策を講じる必要があります。
クラウドセキュリティへの投資は、企業のセキュリティ戦略においても最も優先度の高い項目となっており、今後さらに強化されることが予想されます。
IoTデバイスの脅威と対策
IoT(モノのインターネット)デバイスは、近年ますます増加し、企業の業務効率化や生産性向上に大きな貢献をしています。しかし、これらのデバイスは同時に新たな攻撃ベクターを提供し、セキュリティ上の脅威にもなっています。特に、産業制御システム(ICS)や製造・流通センターに導入されたIoTセンサーは、攻撃者にとって格好のターゲットとなっており、重要なインフラストラクチャが脆弱な状態にさらされています。
Forresterの調査によれば、IoTデバイスを標的とした攻撃は一般的なITシステムよりも大きな被害をもたらす可能性があります。攻撃が成功した場合、企業は500万ドルから1000万ドルの損害を被ることが多く、特に産業分野では被害が甚大です。さらに、国際的なハッカーグループや国家が、特にOT(オペレーショナルテクノロジー)環境を狙った攻撃を仕掛けており、国際的な脅威として認識されています。
IoTデバイスの保護には、ゼロトラストアーキテクチャの導入が必要です。ゼロトラストは、すべての接続を信頼せず、すべてのアクセスを検証する考え方であり、IoT環境においてもその重要性が増しています。さらに、ネットワークの境界を超えたセキュリティ対策を講じることで、IoTデバイスの脆弱性を効果的に管理できます。
テクノロジースプロールの管理と予算最適化
テクノロジースプロールとは、企業が必要以上のツールやアプリケーションを導入し、その管理やコストが肥大化する現象です。Forresterのレポートは、このスプロールがCISOの予算に大きな悪影響を及ぼしていると指摘しています。特に、セキュリティ分野では新たなツールを導入する際、古いツールを排除せずに残したままにするケースが多く、結果的に無駄なコストが発生する原因となります。
企業のセキュリティ予算の中で、ソフトウェアに費やされる割合は全体の3分の1を超えており、ハードウェアや人件費を大幅に上回っています。この過剰なソフトウェア依存が、効率的な予算運用を阻害し、セキュリティ対策の効果を低減させる一因となっています。Forresterは、ツールやベンダーを導入する際、「何か新しいものを追加する前に、古いものを削除する」という保守的なアプローチを推奨しています。
さらに、不要なツールを排除することで、運用効率が向上し、セキュリティ予算の最適化が可能となります。CISOは、これらの対策を講じることで、より効率的なセキュリティ運用を実現し、限られたリソースを有効活用することが求められています。
サイバーセキュリティを事業成長のエンジンとして捉える重要性
従来、サイバーセキュリティは主にリスク回避や防御策として位置づけられてきました。しかし、Forresterは、サイバーセキュリティを単なる防御手段ではなく、事業成長のエンジンとして捉えるべきだと提唱しています。企業が成長するためには、新たなデジタルビジネスを展開し、それを保護することが不可欠であり、そのためにはセキュリティ投資が重要な役割を果たします。
デジタルファーストの企業では、セキュリティ対策が事業の継続性や新たな収益源の保護に直結します。例えば、APIやソフトウェアサプライチェーンの保護は、新しい製品やサービスの迅速な市場投入を可能にし、競争力の向上に寄与します。セキュリティの強化は、企業の信頼性を高め、顧客満足度の向上にもつながるため、結果的に収益増加につながるのです。
さらに、CISOは単に技術的な専門家にとどまらず、経営陣に直接報告する立場を目指すべきです。これにより、企業のサイバーセキュリティ戦略を全体のビジネス戦略と統合し、より効果的な意思決定が行えるようになります。