サイバーセキュリティ投資におけるCFOとCISOの認識ギャップ

サイバーセキュリティ企業Expelの調査によると、最高財務責任者（CFO）と最高情報セキュリティ責任者（CISO）の間で、サイバーセキュリティ投資の目標と優先順位に関して大きな認識のズレが存在することが明らかになりました。この不一致は、主に指標の捉え方と意思決定プロセスの違いに起因しています。

セキュリティリーダーは通常、業界のベストプラクティス、コンプライアンス要件、システム統合の容易さに基づいて意思決定を行います。一方、財務責任者は、コスト回避やリスク低減といった財務的側面に重点を置いています。

Expelの報告書は、「互いが価値を認めない、あるいは理解できない指標に固執するのではなく、CISOとCFOの双方が、相手側の教育から恩恵を受けることができる」と述べています。知識のギャップを埋めることで、財務とセキュリティのリーダーは連携を強化し、より明確なコミュニケーションと戦略的なサイバーセキュリティ投資へと進むことができると提言されています。

高まるサイバー脅威とCFOの新たな役割

この調査結果は、サイバー脅威のエスカレーションが組織に戦略的なサイバーセキュリティ投資を迫っている現状と合致しています。AIの進歩を悪用する犯罪者が増加しているため、今年はサイバー攻撃が急増すると予測されています。グローバル情報サービス企業Experianは、2026年のデータ侵害予測レポートで、「新たなAI駆動型脅威ベクトルが、データ侵害の範囲、頻度、コストを増加させる可能性がある」と指摘しています。

サイバー脅威がより高度化し、データ侵害の財務的影響が拡大するにつれて、CFOはサイバーセキュリティ戦略および投資決定において、より積極的な役割を担うようになっています。CFOリーダーシップ評議会の代表兼創設者であるジャック・マッカロー氏は、最近のブログ記事で、「これは単なる予算承認を超え、事業継続性の影響を理解し、組織が適切に保護されていることを確実にする責任を伴う」と述べています。

成功のためには、CISOやITリーダーと協力し、技術的なリスクを経営陣や投資家が理解できるビジネス言語に変換し、脆弱性やインシデント対応能力に関する透明性を維持し、新たな脅威に機敏に対応することが不可欠です。

コミュニケーションの障壁と共通言語の構築

Expelの報告書によれば、セキュリティリーダーの74%、財務リーダーの68%が、早期かつ頻繁に協力していると回答しており、良好な連携が報告されています。しかし、調査は依然としてコミュニケーションの断絶が存在することを示しています。

セキュリティリーダーは、財務部門から資金を得ようとする際に、サイバーセキュリティリスクに対する理解不足といった障害に直面していると述べています。一方、財務リーダーは、サイバーセキュリティ投資を承認する前に、具体的で測定可能なデータを求めており、40%が「定量化されたリスク低減」があれば支出増額を正当化しやすくなると回答しています。また、40%以上の財務担当役員が、技術的なリスクを財務的な言葉にうまく変換できれば、両チーム間の協力が改善されると考えています。

Expelは、両チームが同じ言語を話せるようになる必要があると強調しています。そのためには、セキュリティリーダーが指標を財務リーダーに響く測定値に変換することが求められます。例えば、「統合の容易さ」は時間やコストに基づく指標に、「コンプライアンス要件の遵守」は罰金回避といった形で翻訳することが可能です。

調査概要

この報告書は、136名のサイバーセキュリティリーダーと164名の財務担当役員への調査に基づいて作成されました。

---

元記事: https://www.cybersecuritydive.com/news/cfos-cisos-clash-cybersecurity-spending-expel/810091/