サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2025年3月21日

ポイント1：サイバーセキュリティも歯のケアも、どちらもケチると痛みとコストに

セキュリティ予算の削減に関しては、すべての選択肢が同じというわけではない。一部の選択肢によっては、組織を攻撃にさらす可能性があるものもある。社員教育やテクノロジのアップグレードに出し惜しみすることは数ドルを節約する簡単な方法のように思えるかもしれないが、歯のクリーニング代を節約するために歯医者に行かないようなものだ。確かに、今日は虫歯に気付かないかもしれない。でも、それが根管治療にでもなれば、あの時歯ブラシに投資していればよかったと後悔するだろう。CISOは、このような影響の大きい分野に焦点を絞り、ここでの削減は単なる節約ではなく大きな損失であると、リスクに基づいて大胆に主張する必要がある。物議を醸すだろうか？おそらく。しかし実際には、情報漏洩のコストは常にそのような短期的な節約をはるかに上回ることになる。

ポイント2：CISOはIT専門家ではなく、経営に関わる重要な話し合いに参加すべき戦略的なリーダー

セキュリティはCISOだけの責任ではなく、会社全体で共有される責任だ。

実用的なアドバイス：CISOは、リスクを技術的な脅威だけでなく、金銭的な損失など明確なビジネス用語で伝えること。経営幹部の皆さん、CISOをサポート役と見なすのはやめよう。CISOを戦略の中核に据えなければ、次の侵害が発生したとこきに代償を払うことになる。中小企業でもこの考え方が必要だ。CISOは、大企業だけの特権ではない。CISOの仕事は攻撃を阻止することだけではない。安全な成長を可能にすることだ。

ポイント3： 備えあれば憂いなし

CISOは、確かなデータに基づいて、起こりうる侵害のコストを見積もるべきだ。大げさに語るのではなく、重要なのは明確に伝えることだ。インシデント対応計画を作成してテストし、問題が発生したときに冷静に対処できるようにすること。取締役会には、ビジネスに役立つわかりやすい最新情報を提供しよう。そうすれば、取締役会はあなたの明確さと自信を高く評価するだろう。これにより、リスクを抑制しながら、セキュリティとビジネスの優先事項のバランスをとる戦略的リーダーであることを示すことができる。