支出が増えれば、情報漏洩も増える：サイバーセキュリティ投資対効果に関する不都合な真実

マークス＆スペンサーは昨年、数億ポンドの利益を見込んでいた。しかし、年末の決算報告では、彼らが稼いだのはほんのわずかな額に過ぎなかった。  

ランサムウェア攻撃によりオンライン販売が6週間停止し、物流も数ヶ月にわたって混乱したため、M&Sの利益は消滅した。事業はリアルタイムで急速に悪化し、その間にも復旧作業はゆっくりとしか進まなかった。

その数字は、私が最近配信されたポッドキャスト番組「The Segment」で、IllumioのCEO兼創業者であるアンドリュー・ルービン氏と対談した際に、一貫して話題に上った。これは、業界が長年曖昧にしてきた事実、つまり、組織がサイバーセキュリティに毎年より多くの費用を費やしてきたという事実を、具体的かつ否定できない数字で示したものだ。  

彼らはより多くの道具を購入し、予算も増やした。そして、投資額よりも速いペースで増加している唯一の数字は、情報漏洩の件数、漏洩の規模、そして破壊による経済的損失の総額である。

これは、あらゆる役員会で厳しい質問を投げかけるべき類のパターンだ。しかし、ほとんどの取締役会は彼らに質問していない――少なくとも今のところは。

アンドリューによれば、サイバーセキュリティへの投資モデルは破綻している。サイバーセキュリティへの支出を増やした結果、情報漏洩問題によるコストはさらに増大した。  

セキュリティ責任者がサイバーセキュリティの投資対効果（ROI）の問題を認めない限り、この悪循環は続くだろう。安全保障への支出と成果の乖離は拡大し続けており、根本的に異なるモデルが必要だ。

ROI：サイバー業界がひっそりと無視してきたデータ

アンドリューは自らを数学とデータの信奉者だと公言しており、ここでの数学的根拠は明確だ。

ガートナーによると、世界の情報セキュリティ支出は2024年には1930億ドルに達する見込みだ。2026年には2400億ドルに達すると予測されている。IDCは、世界のセキュリティ関連支出が2028年までに3770億ドルに達すると予測している。

同時に、 IBMのデータ侵害コストに関するレポートでは、過去10年近くにわたり、平均的な侵害コストが前年比で増加していることが記録されている。  

サイバーセキュリティへの支出は増加の一途を辿っている。一方、報告された情報漏洩件数は増加の一途をたどっている。サイバー攻撃が世界経済に及ぼす経済的影響は、現在では年間数兆ドル規模に達している。

アンドリューは、だからといって業界のやっていることすべてが間違っているわけではないと、慎重に指摘した。一部の対策は効果を発揮しており、一部の投資は、そうでなければより深刻な事態になっていたであろう事件の発生頻度や深刻度を実際に軽減している。  

しかし、あなたがセキュリティ責任者として取締役会にプレゼンテーションを行っている際に、取締役の一人が数字を見て、なぜ10年間にわたる投資の加速にもかかわらず、情報漏洩の増加傾向が抑制されていないのかと質問してきた場合、「投資がなければもっとひどい状況になっていただろう」という以上の、より説得力のある答えが必要になります。

2026年、規制当局、保険会社、投資家がこれまで以上にセキュリティの成果に注目するようになるにつれ、残された時間は少なくなってきている。

従来の証券投資モデルが構造的に破綻している理由

アンドリューは、支出と成果のギャップに対する3つの可能な対応策を特定した。

• モデル全体を破棄してやり直すという案は、おそらく過剰反応だと彼は認めた。
• 過去に有効だった方法は依然として必要ではあるが、もはや十分ではないことを認識し、新たな機能を追加する。
• モデルそのものを変更し、もはや適切でないアプローチを廃止し、代わりに新しいアプローチを構築する。

彼も私も、おそらく答えは2番目と3番目の選択肢の組み合わせだろうと考えている。

しかし、これらのことを賢明に行うには、まず現在のモデルがなぜ機能していないのかについて正直に向き合わなければならない。構造的な問題が3つあるが、それらは直接的に指摘されることはほとんどない。

問題点１：業界は成果ではなく活動を測定してきた

過去10年間の大半において、セキュリティプログラムは以下の要素に基づいて評価されてきた。  

• いくつのツールが導入されていますか？
• アラートはいくつ生成されますか？
• いくつの脆弱性が修正されましたか？
• これまでに何回のトレーニングセッションが完了しましたか？

これらは活動指標です。セキュリティ機能が何をしているかは教えてくれるが、組織がより安全になったかどうかは教えてくれない。

この状況が続く理由は、一つには慣性によるものであり、もう一つには成果指標の定義や擁護が難しいことにある。  

攻撃者が別の標的を選んだために情報漏洩が発生したのではなく、自社のプログラムが原因で発生したことをどのように証明しますか？ほとんどの場合、不可能です。そのため、業界は実際に重要なことではなく、測定可能なものを測定してしまうという傾向に陥った。

その結果、セキュリティ分野のリーダーたちは、活動ぶりを示すことには非常に長けているものの、その成果を示すことにはあまり慣れていない世代が生まれている。そして、予算が活動指標に基づいて配分されると、活動量は増えるものの、必ずしもより良い成果が得られるとは限らない。

問題点２：このモデルは予防を中心に構築されている

アンドリュー氏は、過去50年間のサイバーセキュリティモデルは、脅威を阻止することを前提としてきたと述べた。これまで販売されてきたほぼすべてのセキュリティ製品には、「これを導入すれば、悪いことは起こらない」という暗黙の約束が含まれている。

そのモデルは、情報漏洩を見逃した場合の損失が少なく、高度な攻撃の頻度が管理可能な範囲であった時代には、ある程度理にかなっていた。  

今日、情報漏洩を見逃した場合の代償は劇的に増大している。M&Sの事例は、最も分かりやすい例と言えるでしょう。情報漏洩は事件だったが、数ヶ月にわたるシステム停止は大惨事だった。  

あらゆるものを阻止することを前提としたセキュリティモデルでは、何かが突破された場合の対策は考慮されていない。統計的に見て侵害が避けられない脅威環境においては、回復力に関する計画は後回しにできるものではない。

問題３：ツールの乱立により、網羅性のない複雑さが生じている。

現在、平均的な大企業は50～100個のセキュリティツールを運用している。これらのツールはそれぞれ、特定の課題に対処するために購入されたものです。  

しかし、その格差は拡大し続けている。

ツールの数が増えたからといって、それらが統合されておらず、生成されるシグナルを関連付けることができず、それらを運用するチームが生成されるすべてのアラートに対応する能力を持っていなければ、カバレッジが向上するとは限りません。  

ツールの乱立は、多くの場合、包括的な網羅性があるという錯覚を生み出してきた。実際には、セキュリティ環境の管理がより困難になっている。  

攻撃者は、ツール間の隙間を見つけるように適応した。防衛側はツールの乱立への対応に追われていて、それに気づかなかった。

現実世界におけるセキュリティ成果を定量化する方法

アンドリューがCISO（最高情報セキュリティ責任者）からセキュリティの価値を証明することに関して最もよく受ける質問は、業界で最も難しい質問でもある。それは、「起こらなかったことをどうやって定量化するのか？」というものだ。  

実際に発生したであろうことを証明できない限り、未然に防いだ侵害事例を指摘することはできません。では、セキュリティ投資の信頼性のある定量的な根拠をどのように構築すればよいのでしょうか？

アンドリューの答えは、予防策を数値化しようとするのをやめて、回復力を数値化することから始めることだ。以下に、それを実現するための具体的な手順を示します。

インシデントの発生コストを測定するのではなく、インシデントの発生コストを測定する

セキュリティインシデントが発生した場合（ほとんどの組織では必ず発生する）、たとえ深刻な情報漏洩に至らなくても、データはすぐそこに存在している。  

• システムはどれくらいの時間停止していましたか？  
• 復旧にかかった直接的な費用はいくらでしたか？  
• システム停止による事業への影響はどのようなものでしたか？  
• 規制上のリスクはどのようなものだったのか？  

これらの数値は現実のものであり、測定可能であり、将来を予測することができる。  

セグメンテーションツールによって事故の爆発半径が60%縮小すれば、それは予想される損失の定量化可能な削減となります。検知・対応能力の向上によって、 平均封じ込め時間が48時間から4時間に短縮されれば、それはビジネスへの影響を定量的に軽減できることを意味します。

外部ベンチマークを用いて議論の基準点を設定する

アンドリューは、取締役会が理解できるような、まさに公に数値化された事例としてM&Sを挙げた。  

同業他社が数ヶ月間オフライン状態だったために数億ドルの損失を出した場合、それがあなたのベンチマークとなるでしょう。あなたの設計案がいかにして数ヶ月かかる作業を数時間に短縮できたかを示せば、どの取締役会も却下できないビジネスケースとなるでしょう。  

これらの例を集めたライブラリを作成してください。取締役会は、抽象的なリスクフレームワークよりも、具体的で身近な前例に遥かに強く反応する。

ROIに関する議論を、期待損失削減という観点から再構築する

保険業界の用語は、取締役会が既に理解しているため、ここでは有用である。  

どの組織も、サイバーインシデントによる年間損失をある程度想定しており、その推定値は、侵害の可能性、侵害の頻度、および平均的な侵害コストに基づいて算出される。セキュリティ投資は、そのコストに対して、予想される年間損失をどれだけ削減できるかという観点から評価されるべきである。  

これは、否定的なことを証明しようとするよりも、より説得力のある枠組みであり、どの対策が実際に期待損失に影響を与えるのかについて議論を促すものである。  

そうした話し合いの中で、セキュリティ予算の中で最も大きな項目の中には、必ずしも最も効果的なものではないものがあることが明らかになる場合が多い。

旧型モデルの販売終了が近づいている

10年間にわたる支出増加は、10年間にわたる結果悪化をもたらした。  

いずれ、セキュリティプログラムに資金を提供している人々は、モデルそのものに問題があるのではないかと問い始めるだろう。そして、その瞬間は、ほとんどのセキュリティ責任者が想定しているよりも早く訪れようとしている。

この難局をリードしたい、あるいはリードされる側になりたいと考えるCISOは、次の3つのことを行う必要がある。

• 現在のモデルで何ができて何ができないのか、正直に述べましょう。
• 測定の枠組みを活動から成果へ、そして予防指標から回復力指標へと転換する。
• 取締役会での議論は、ツールの数や脆弱性解消率ではなく、期待される損失削減と実証可能な回復力を中心に再構築すべきだ。

どれも簡単なことではないが、モデルが失敗した理由を事後的に説明するよりははるかに簡単だ。

企業はいつでもM&Sのような大ヒット商品が登場する可能性があると覚悟しておくべきだ。既にセキュリティに関する議論のあり方を変えてきたCISO（最高情報セキュリティ責任者）たちが、いざという時に対応を主導するだろう。

The Segment: A Zero Trust Leadership Podcastの全エピソードを聴くにはApple Podcast (アップルポッドキャスト),スポティファイ、 または当社のウェブサイト.