IT 予算の調査：セキュリティ対策に充てられているのは僅か９％ – Vanta

Only 9% of IT budgets are dedicated to security

2023/11/20 HelpNetSecurity — Vanta の調査によると、最善の努力を尽くしているにもかかわらず、企業の 67％がセキュリティとコンプライアンス対策を改善する必要があると回答しており、24％が後手に回っていると評価しているという。ポスト・パンデミックのハイブリッド世界における攻撃対象の拡大／チームや予算の縮小／生産系 AI の急速な台頭などが相まって、企業にとって急務となっているのは、セキュリティ態勢の改善と証明である。

あらゆる規模の企業おいて、リスクの可視化が限られ、リソースが制約されており、セキュリティの改善が困難になっている。具体的に言うと、10社のうち４社しか、リスクの可視性が高いと評価していない。その一方で、４社に１社は IT スタッフを削減しており、60％は IT 予算をすでに削減したか、削減を計画しているという状況だ。

セキュリティ向上の新しい手段が必要とされている

リスクの増大とリソースの縮小に伴い、新たなセキュリティ改善の手法を、企業が求めていることは明確だ。その緊急性をさらに高めているのが、刻々と進化するグローバルな規制と、増え続ける標準に準拠するための、時間的な負担の増大である。顧客は企業のセキュリティ慣行について、より深い洞察を求めている。

セキュリティとコンプライアンスの証明を、顧客／投資家／サプライヤが求めるようになったと、67％ が回答している。また、41％ が内部監査報告書を提出し、37％ が第三者による監査を受け、36％がセキュリティ・アンケートに回答しているが、12％ は証拠を提出しないか、提出できないと回答している。つまり、世界中の企業が最初のハードルでつまずき、潜在的な収益や新しい市場での成長機会を失っているのだ。

それぞれの企業は、１週間あたり平均 7.5時間 (年間 9週間以上) を、セキュリティ・コンプライアンスの達成／維持に費やしている。54%は、AI の導入により安全なデータ管理が困難になることを懸念しており、51%は、生成 AI の使用は顧客の信頼を損なう可能性があると回答している。

セキュリティを対外的に証明／実証するための２つの最大の障壁は、人員不足および手作業に代わる自動化の欠如である。企業の IT 予算のうち、セキュリティに特化しているのは僅か 9％であり、また、IT 予算の縮小が続いていると 33% のリーダーが回答している。

規制に準拠していないID とアクセス管理、および、データ処理が、組織にとって２つの大きな盲点となっている。

グローバルなセキュリティ課題

米国のリーダーたちは、コンプライアンス要件のために新規市場への参入を遅らせる傾向が最も強く、財政的な投資においてコンプライアンスが優先されないことを認めている。また、オーストラリアの回答者は、生成 AI が顧客の信頼に与える潜在的な影響を最も懸念している。

ドイツでは、強固なセキュリティ・プログラムを維持する上で、規格や規制の多さが障壁になっていると回答する割合が最も高い。フランスでは 76％ のリーダーがセキュリティとコンプライアンスを改善する必要があると回答しており、これは全市場で最も高い。

オーストラリアに関しては、顧客に対してコンプライアンス遵守の証明を提供できる可能性が最も低い。英国は、他のどの市場よりも、進化する規制への対応に懸念を抱いている。

米国の企業は、セキュリティとコンプライアンスに関する業務を自動化することで、少なくとも週に３時間を節約できると考えている。

セキュリティの強化が信頼と効率を高める

セキュリティの向上は、最終的に、効率の改善／信頼構築／増収などにつながる。リーダーの 70%は、セキュリティとコンプライアンスの戦略を強化することで、顧客からの信頼が高まり、ビジネスにプラスの影響を与えると回答している。また 72%は、セキュリティとコンプライアンスの戦略を強化することで、より効率的になると考えている。

特に手作業を減らし、ベンダーのリスク・レビューとオンボーディングを合理化するために、83％ の企業が自動化の利用を拡大中、または、拡大する予定である。回答者たちは、セキュリティとコンプライアンスのタスクが自動化されるなら、少なくとも週に ２時間 (年間 2.5 週間) 以上を節約できると考えている。

Vanta の CEO である Christina Cacioppo は、「ビジネスにおいて、信頼の管理は必要不可欠なものだ。セキュリティの現状を打破するという意味で、最前線に立っている企業にとって必要なのは、プロセスの一元化／コンプライアンスの自動化／セキュリティ・レビューの速やかな実施により、信頼を市場価値のある優位性に変化させることだ。コンプライアンスから継続的なモニタリングとコミュニケーションに至るまで、セキュリティ・ライフサイクルのループをつなげることで、企業は信頼を構築する方法を変革し、最終的に成長を実現することができる」と述べている。

自動化と生成 AI は、IT とビジネスの意思決定者にとって最重要課題であり、77％ の企業が高リスクのアクションを検出するために、すでに AI／ML を使用しているか、使用する予定であるという。

AI が適切に導入されるなら、セキュリティ・ワークフローが加速し、信頼を変革する力を生じてくる。回答者たちは、AI の最大の可能性として、セキュリティ質問票の回答精度の向上 (44％)／手作業の削減 (42％)／ベンダーのリスク・レビューとオンボーディングの合理化 (37％) ／大規模チームの必要性の削減 (34％) などを挙げている。

この種の調査結果については、その母数の妥当性や、回答者の偏りなどを考慮する必要がありますが、業界全体を網羅する調査は不可能であるため、いくつかの調査結果を見比べながら、読み手が推測しなければなりません。その意味で、このブログ内で比較対象として挙げられるのは、2023/02/02 の「サイバー・セキュリティ調査：インサイダーは？ 予算は？ 人員確保は？」や、2022/07/28 の「セキュリティ意識調査：予算の大部分が無駄になっていると 70% 以上の企業が回答」などになるでしょう。よろしければ、ご参照ください。