クラウド時代のセキュリティ予算：需要と供給のバランスとリスクマネジメント

Google CloudのVP、TI Security & CISOであるPhil Venables氏は、セキュリティチームの予算に関する考察をCloud CISO Perspectivesで公開しました。予算はセキュリティプログラムの成功に不可欠ですが、そのアプローチはあまり議論されてきませんでした。同氏は、従来の予算獲得競争を超えて、需要と供給、そしてリスクの視点から、より効率的かつ効果的なセキュリティ投資を実現するための新しい視点を提示しています。

特に興味深いのは、セキュリティ予算を需要と供給のバランスという観点から捉え直すという考え方です。従来のセキュリティ対策は、脅威や脆弱性といった「需要」に対して、人員やツールといった「供給」を増加させることに重点が置かれていました。しかし、クラウド技術の進化やAIの登場により、セキュリティに対する需要は増大する一方であり、供給だけで対応するには限界があります。

そこでVenables氏は、需要を抑制し、供給を効率化するアプローチの重要性を説いています。具体的には、リスクの再定義、不要なサービスの廃止、クラウドベースシステムへの移行、従業員教育の強化、自動化ツールの導入などを挙げています。特に、クラウドベースシステムへの移行は、セキュリティ設計とデフォルト設定の強化により、効率的な供給を実現できる点で有効な手段と言えるでしょう。

さらに、供給不足を許容し、リスク管理手法で対応するという選択肢も提示されています。これは、すべての組織に適用できるわけではありませんが、経営陣の理解とリスクの可視化が不可欠となります。

Venables氏の提言は、セキュリティ予算の編成プロセスを根本的に見直す必要があることを示唆しています。従来の「脅威への対策」という視点から脱却し、「ビジネス目標の達成」という視点から、セキュリティ投資の最適化を図ることが重要です。

特に、日本企業は従来型のセキュリティ対策に固執し、クラウドへの移行が遅れているという指摘もあります。Venables氏の提言は、日本企業にとっても重要な示唆を与えるものであり、セキュリティ予算と投資戦略の見直しを促すものと言えるでしょう。

参照元サイト：Cloud CISO Perspectives: How to think about security budgets

NewsPilot編集部

世界の様々なニュースを、日本語でわかりやすく、いち早くお届けします！