サイバーセキュリティ対策の投資効果を経営にどう説明する(写真:Adobe stock)

サイバーセキュリティ投資の埋没費用効果

この数年、大半の大企業でサイバーセキュリティ対策費用が増加する一方、8割もの企業が投資効果の説明に苦慮しているという調査(※)を見ました。この状態が続くようでは、本邦民間企業の将来性どころか、いつ何があっても、何度あっても不思議ではないと危機感を抱きます。
(※)大手企業の75.9%がセキュリティ予算を増額(Assured独自調査)
https://prtimes.jp/main/html/rd/p/000000775.000034075.html

今までセキュリティツールには十分投資してきたのだからと、過去の投資金額を思い起こしていては判断を誤ります。埋没費用効果というリスクを丸呑みするのは、今年は避けるべきでしょう。

AI搭載のマルウェアやディープフェイクの出現を挙げるまでもなく、脅威シナリオは一変しており、従来路線のサイバーセキュリティ投資はあり得ません。特に地政学的リスクは、脅威シナリオの背景であったのが、いまや前面に出てきて、それ自体の猛烈な熱量で多くの企業を焦がし始めています。

リスク管理部門としても、事が起こってしまった後で、経営陣がサイバーセキュリティ投資の刷新を渋ったからだと、その判断ミスをかこってみても愚にも付かないことです。そこで今回は、どのようにしたら攻めの経営に向けて、サイバーセキュリティ投資で稼ぐ力に貢献できるのか、そのための投資の焦点を探る解像度の上げ方について検討してみたいと思います。

これからの企業収益はどこで上げられるのか?

そもそも、企業が儲かる場所はどこかが変化しています。今は新興市場です。「世界のGDPのおよそ60パーセントを占める」、つまり異国です。自社が直接進出するか、現地企業との間接的取引で恩恵を受けるかはあるにせよ。

ところが、「新興市場は、レジリエンス・アジェンダの中核を成す。これらの国々は、貿易の混乱、資源価格の変動、そして気候リスクにさらされる一方、今後10年の世界成長を牽引し得る潜在力を秘めている。したがって、こうした経済のレジリエンスを強化することは、各国自身の繁栄にとって重要であるだけでなく、世界全体の安定を守るうえでも不可欠である」と、マッキンゼーの報告書は指摘します。

言われずとも、「うまい話には裏がある」ことは承知です。リジリエンスの課題を背負っている経済圏に無防備で出ていくのは呆けです。また、防護品の選択を誤っても負傷の覚悟が要ります。リスクの他者移転という手段もあるでしょうが、まずは自身の護身術であるサイバーセキュリティツールの刷新は必須です。

サプライチェーンレジリエンスは新興市場で利益を上げることに直結(写真:Adobe stock)

経済安全保障の視点で攻めの経営と指向を合わせる

では、どういう視点でサイバーセキュリティ投資を考えればよいのでしょうか。国家や国家の影響下にあるサイバー犯罪組織が関わった事件も、もはや覚えきれない数になっています。地政学的リスクが大きくなったための事象の一つです。ことに新興市場では、複雑な力が交錯しています。

ただ、攻められる企業側からすれば突然出現するリスクも、攻める国家側からすれば「経済安全保障の確保のための産業政策」という必然の行動ということもあり得ます。こうしたことも念頭に、経済分野における各国の政策動向を正しく意識することは、攻めの経営にとって必要不可欠です。この視点移動の中で、サイバーセキュリティ投資を更新する意欲を掻き立てることが出発点となるでしょう。

さらに、攻めの経営を志向する企業は「経済安全保障を巡る環境変化を事業機会と捉えて、自社の競争力強化に果敢に繋げていく戦略の構築」を目指し「調達価格のみならずサプライチェーン途絶リスクも考慮した原材料の供給安定性や、製品・サービスのセキュリティの堅牢性、さらには共同研究先や取引先を通じた自社の知的財産やコアとなる技術の流出防止のため相手先の技術管理体制を一層考慮するなど、調達戦略や研究開発戦略を時代に即したものに適応させる努力」(経済産業省「経済安全保障経営ガイドライン(第1版)」)を惜しまないはずです。

経済安全保障という視点から、経営者の目の向かう先をいっしょに見ているリスク管理部門は、正しい道を進んでいると言えます。