セキュリティー

2025 年にスマートなサイバーセキュリティー支出決定を行う

出版された 13 12月 2024
ノートPCで作業する女性

共同執筆者

Jennifer Gregory

Cybersecurity Writer

12月は、祝日のカウントダウンからパーティーの返信まで、数字が目白押しの月です。しかし、ビジネス・リーダーにとって、今月最も重要な数字は2025年の予算の数字です。2025年には多くの企業がサイバーセキュリティーを最優先事項とし、新たな年に向けて多くの予算においてサイバーセキュリティーが最重要課題となる可能性が高くなっています。

サイバーセキュリティーへの支出は2025年に1,839億米ドルから2,120億米ドルへと15%増加するとGartnerは予想しています。最も支出の伸びが見込まれるセグメントでは、セキュリティ・サービスが先頭に立っており、セキュリティソフトウェアが2番目、ネットワーク・セキュリティーが3番目の成長分野となっています。

Gartnerの上級主席研究員であるShailendra Upadhyay氏は最近のプレスリリースで「継続的な脅威環境の激化、クラウドの動き、人材不足により、セキュリティーは優先事項のトップに押し上げられ、最高情報セキュリティー責任者(CISO)は組織のセキュリティー支出を増やす必要に迫られています」と語っています。「さらに、組織は現在、エンドポイント保護プラットフォーム(EPP)および EDR(エンドポイントの検知と対応)のニーズを評価し、CrowdStrikeの障害後に運用のレジリエンスとインシデント対応を強化するための調整を進めています」

支出増加の要因

支出の決定と増加はさまざまな理由による可能性がありますが、Gartnerは予測される増加の主な理由として2つを挙げています。

  • 生成AI:Garter氏は、生成AIを使用する組織は、その環境を保護するための追加措置を講じる必要があると述べています。IBM Framework for Securing Generative AIでは、データの保護、モデルの保護、使用の保護、AIモデルのインフラストラクチャーの保護、健全なAIガバナンスの確立という5つのステップを定めています。生成AIの利用拡大により、多くの組織がアプリケーション・セキュリティー、データ・セキュリティー、プライバシー、インフラ保護などのソフトウェアを追加購入する必要があります。

  • 世界的なスキル不足:多くの組織は、サイバーセキュリティーのニーズを管理する人材が社内にいないため、スキル不足に直面しています。その解決策として、セキュリティー・コンサルティング・サービス、セキュリティー・プロフェッショナル・サービス、マネージド・セキュリティー・サービスなど、リスクを軽減するための支援を多くの企業が求めています。Gartnerは、これらのサービスのコストが高額支出が予測される要因となっており、サービスがサイバーセキュリティーの高成長分野となっていると指摘しています。

IBMニュースレター

The DX Leaders

AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。

ご登録いただきありがとうございます。

ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。

サイバーセキュリティー予算の策定

サイバーセキュリティーを網羅する単一の項目を組織の予算に単に作成するのではなく、効果的なサイバーセキュリティー・プログラムのすべての構成要素を分類することから正確な予算編成が始まります。

予算では以下の点を考慮してください。

  • 人件費:すべての正社員の給与に加えて、購入が必要な追加サービスを検討します。たとえば、ペネトレーション・テストの外注は、この項目に該当します。さらに、サイバーセキュリティーの一部でマネージド・サービスを利用する必要があるかどうかも検討します。

  • テクノロジー:ウイルス対策、暗号化ツール、ファイアウォールなど、必要なあらゆる種類のソフトウェアを検討します。サイバーセキュリティーに生成AIを使用するかどうか、また、日常の業務に使用する生成AIツールに対する攻撃から組織を守るために必要な追加ツールを使用するかどうかを検討します。新しい技術ツール(特に生成AI)を実行するために必要なインフラストラクチャーのアップグレードなどのハードウェア・コストも必ず考慮してください。

  • 研修: 多くの組織は、サイバーセキュリティー・スタッフの研修と認定の予算のみを考慮しています。ただし、必ず組織全体のサイバーセキュリティー研修に資金を割り当てるようにしてください。既成概念にとらわれず、十分な資金を確保することで、従業員のミスによるサイバー攻撃を減らすことに大きな影響を与えることができます。

  • インシデント対応:侵害や攻撃が発生した後、組織は侵害を封じ込め、対応を管理するための資金を必要とします。頻繁に発生するコストには、弁護士費用、PR会社、残業代、データ侵害通知、個人情報盗難保護、収益損失などがあります。
オフィスでミーティングをするビジネスチーム

IBMお客様事例

お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。

予算は従業員のストレスに影響する可能性がある

多くの組織は、サイバーセキュリティー予算を作成する際に業務の混乱と潜在的なリスクを考慮していますが、多くは予算がサイバーセキュリティー・チームに及ぼす影響を見落としています。

ISACAの「2024年以降のサイバーセキュリティーの現状」調査では、サイバーセキュリティー専門職の66%が、自らの役割はよりストレスが多いと回答しています。当然のことながら、脅威の状況がますます複雑化していることが、最大の理由(81%)となっています。しかし、予算が低すぎること(45%)は、採用維持の課題の悪化とスタッフのスキル不足/訓練不足と並んで2位にランクされています。

レポートによると、半数以上(51%)が予算が不足していると感じており、その感情は2023年の47%から増加しています。また、2025年に予算が増えると予想しているのはわずか37%でした。ストレスに加え、チームがサイバー攻撃に対処する準備ができていると高い自信を持っているのはわずか40%でした。同時に、47%が組織に対するサイバー攻撃を予想しています。

2025年に向けての予算業務における従業員のストレス軽減

ビジネス・リーダーが予算の策定に取り組んでいる中で、2025年の予算に関連する従業員のストレスを軽減する方法をいくつかご紹介します。

  • 予算の議論に、サイバーセキュリティー・チーム・メンバーを参加させてください。従業員は、自分の視点やアイデアが受け入れられていると感じると、不満を抱く可能性が低くなります。さらに、予算編成に関わるトレードオフや、各決定が他の項目に与える影響を直接確認することもできます。

  • 従業員に現在の課題を共有してもらいます。まず問題を理解することから始めますが、その問題を利用して予算決定を推進することができます。チーム・メンバーがテクノロジー・ソリューションに飛躍した場合は、最初に問題について話し合う話に戻します。

  • サイバーセキュリティー・チームに調査と見積もりを依頼します。予算業務のソリューション部分に入ると、サイバーセキュリティー・チームのメンバーにツールを研究して、見積もりを取得します。ユーザーは日常的にツールを使用することになるため、特定のソリューションについて賛同を得ることで、満足度を高め、予算の精度を高めることができます。

  • 予算(ドラフト)をチームメンバーに提示します。予算編成とは、しばしば困難な決定を意味します。予算案を示し、インプットを求めることで、話を聞いてもらっていると感じ、予算業務プロセスの一環として必要なトレードオフも確認できます。

サイバーセキュリティー支出の増加は全体的に前向きな傾向ですが、最も重要なのは企業が高額な投資をどのように活用するかです。特定の組織に適した選択をすることで、リスクを軽減しながら従業員の満足度を向上させることができます。