サイバーセキュリティを「守り」から「価値を生み出す攻めの機能」へと進化させるには？

ほとんどのサイバーセキュリティ部門が、全社的な技術導入、ビジネス革新、新市場への進出など、価値創出を目的としたビジネス上の取り組みに少なくとも一度は関与しています。しかし本調査によると、CISOをはじめとするサイバーセキュリティ責任者の58%が、リスク軽減以外の領域で価値を提供可能であることを明確に示すことが難しいと感じています。

EYでは、こうした課題への対応を支援するために、戦略的に重要な取り組みにおいて、サイバーセキュリティ部門が収益創出やコスト削減にどれだけ貢献しているかを定量的に可視化するためのフレームワークを策定しました。そして、企業価値の創出に対する貢献度を算出するために、EYのこれまでのクライアント支援における経験を踏まえ、サイバーセキュリティ部門が深く関与すべき6つの主要な取り組みを特定しました。

1. 技術の導入と構築
2. ブランドの信頼性・評判の強化
3. 顧客体験の向上
4. 全社的な変革・イノベーションの推進
5. 新市場への進出
6. 新製品・新サービスの開発

本調査では、これらの取り組みによって生み出された収益、年間平均のコスト削減額、そしてその成果のうちサイバーセキュリティ部門の貢献と見なされる割合について、CISOをはじめとする経営幹部から回答を得ました。EYでは、これらの情報を基に、サイバーセキュリティ部門が深く関与した各プロジェクトや取り組みにおける、企業にもたらされた付加価値の創出額を算出しました。

注目すべき点として、成果の一部がサイバーセキュリティ部門の貢献によるものであるという認識は、CISO以外の経営幹部の間でも一貫して示されており、CISOが自らの貢献を過大評価しているわけではないことは明らかです。

全体では、サイバーセキュリティ部門が関与した各取り組みにおける付加価値創出額は、中央値で3,600万米ドルに達しています。この数値は企業規模によって大きく異なり、年間売上高が10億〜49億米ドルの企業では1,100万米ドル、200億米ドル以上の企業では1億5,400万米ドルとなっています。

では、各取り組みにおけるサイバーセキュリティ部門の関与は、企業にどのような付加価値をもたらしているのでしょうか。

セキュアクリエイターは重要な戦略的取り組みにおいてどんな価値をもたらしているか

「セキュアクリエイター」とは、より高度なサイバーセキュリティ機能を備えた企業を指し、2023年度の EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査で初めて特定されました。このグループの企業は、他のグループに比べ、企業の重要な取り組みに、より早期かつ深く関与している点が特徴です。今回の調査でも、こうしたセキュアクリエイターの最新の実態が明らかになりました。

セキュアクリエイターは、プローンエンタープライズ（セキュリティ対策で劣る企業）に比べて、事業部門をはじめとする他部門のAI導入をより積極的に支援する傾向が見られ、関与率は48%と、プローンエンタープライズの31%を大きく上回っています。こうした支援の背景には、技術導入においてセキュリティを確保しながら迅速な価値創出を実現していることに加え、成長が著しい技術分野の取り組みにも継続的かつ密接に関与するCISOの姿勢があり、それが事業部門のリーダーとのより良い関係の構築につながっています。その結果、セキュアクリエイターにおける、事業部門のリーダーはCISOを「ブレーキをかける存在」ではなく、「テクノロジー変革を推進する重要なパートナー」として捉える傾向が高まっています。

また、セキュアクリエイターは、外部ステークホルダーが抱くブランドイメージに良い影響を与えていると回答した割合が多く、72%がそれを実感しています。これは、プローンエンタープライズの56%を大きく上回る水準です。ブランドの信頼性は、サイバーセキュリティと密接に関係しており、評判を損なうハッキングや情報漏えいの防止、さらにはインシデント発生時の損失や影響の最小化が、信頼を維持する上で重要な要素となっています。そうした中でも特にセキュアクリエイターは、ブランドの信頼性を左右する顧客との接点にまでサイバーセキュリティを組み込むなど、より深いレベルでブランド価値を高めています。その例として、回答企業からは、ランサムウェア攻撃による損失や評判リスクの回避、データ転送の安全性確保などが挙げられています。これらに取り組むことは、既存顧客との信頼関係を強化できるだけでなく、データ保護を重視する新規顧客の獲得にもつながります。

同様に、顧客体験の向上に向けた取り組みに関しても、セキュアクリエイターの53%が積極的に関与しているのに対し、プローンエンタープライズは42%にとどまっています。サービスの利用や定着には、顧客の信頼が大きく影響します。特にAIを活用したサービスでは、その傾向が顕著です。EY AI Sentiment Index Studyによると、消費者の64%が、AIシステムによって個人データが本人の同意や許可なしに利用されることに不安を感じています。こうした背景を踏まえ、セキュアクリエイターは顧客の信頼や体験の向上に向けて、さまざまな対応策を講じています。その代表的なものとしては、顧客サービスの品質向上や苦情処理の迅速化を目的とした社内コミュニケーションのセキュリティ強化、サービスへのアクセスを容易にする顧客ポータルの整備などが挙げられます。

セキュアクリエイターの多くが、自身のアプローチが変革やイノベーションのスピード向上に貢献していると考えています。その一例として、あるセキュアクリエイターは次のように述べています。「最先端のAI製品を開発していた際、機密性の高い学習データが危険にさらされるリスクがありました。そこで、AIの学習環境を保護するために、サイバーセキュリティ部門がデータの暗号化とアクセス制御を導入しました。その結果、AI製品は予定通りにローンチされ、市場での競争優位性も確立することができました」

新規市場への進出において、経営層はサイバーセキュリティ部門の役割をこれまで以上に重視するようになっています。実際、ガートナーの最新調査によると、CEOの85%がサイバーセキュリティを事業成長にとって極めて重要な要素と位置付けています。こうした認識の高まりを背景に、CISOは、リスク管理幹部と連携し、新規市場への進出に伴うリスクエクスポージャーの増加から資産の可視性など、さまざまな影響を自社が的確に考慮・対応できるよう支援しています。また、サイバーセキュリティ部門は、市場調査の初期段階から関与することで、新規市場への進出において、リスクを抑えるだけでなく、付加価値の創出にも貢献できることが明らかになっています。

同様に、新たな製品やサービスの開発においても、サイバーセキュリティ部門は価値をもたらしていますが、そうした貢献は必ずしも十分に認識されているとは限りません。この点について、EY Asia-Pacific Cybersecurity Consulting LeaderのJeremy Pizzalaは次のように述べています。「サイバーセキュリティは、新しい製品やサービスの価値を守るだけでなく、価値そのものを生み出します。製品開発の初期段階から関与することで、サイバーセキュリティチームは主要なサービスに『信頼』を組み込むことができます。その信頼は市場での差別化要因となり、企業の成長を後押しします」

セキュアクリエイターは、今後も他社をしのぐ成長を遂げると予測される

本調査で特定されたセキュアクリエイターのうち、73%が今後、自社の価値創出力がさらに高まると考えています。重要な取り組みに初期段階から効果的に関与することで、CISOは、取締役会との接点を増やし、経営層の中で影響力を高めることができます。これによって、従来の技術実務者としての役割から戦略的経営者へと進化することも可能になります。こうした背景を踏まえれば、CISOが企業価値創出力は、さらに向上すると考えることは当然です。

これに関して、EY Global Cyber Risk and Cyber Resilience LeadのRudrani Djwalapersadは次のように述べています。「CISOが戦略的な取り組みの初期段階から関与することで、セキュリティを事業計画の根幹に組み込むことができるだけでなく、施策の迅速な導入や消費者との信頼関係の構築を通じて、企業に付加価値をもたらすことができます」

EYの分析によれば、サイバーセキュリティが企業価値の創出に与える最も重要な影響のうち、以下の要素は、セキュアクリエイターが実践するサイバーセキュリティ戦略の中核を成しています。

• 実効性の高いサイバー戦略：価値の保護にとどまらず、先端技術の早期導入などを通じて、価値の創出に重点を置く。
• 戦略的関与：サイバーセキュリティ部門が事業の重要課題や戦略に深く関与する。
• 連携：経営層との強固なコミュニケーション体制や関係性を築き、それを活用する。

サイバーセキュリティはもはや地下室にこもってフィッシングメールに対する注意喚起を呼びかけるだけの孤立した部門ではなく、企業全体に関わるべき重要な機能だと、多くのCEOが認識し始めています。好ましい傾向として、本調査でも、CISOが従来のサイバーセキュリティの枠を超えて、より早い段階から自社の戦略的方向性の策定に関与すべきだという認識が芽生え始めていることが示されています。

EYでは、本調査シリーズの2024年度版レポートで、AIがサイバーセキュリティにどのような変化をもたらしているか示しました。AI、より具体的には機械学習（ML）は、脅威や異常検知、パターン認識、不審な行動の特定など、これまで人が担っていた作業の自動化に活用されています。この調査以降、より主体的に判断・行動するエージェント型AIが登場し、AIの進化は新たな段階へと進み始めています。一例としては、NVIDIAのNIMマイクロサービスを基盤としたCrowdstrikeの「Charlotte AI」が挙げられます。同技術を活用することで、脅威の検知から対応・解決までの一連のワークフローを人の介入なしで処理することができます。これにより、サイバーセキュリティ上の脅威への対応にかかる時間が劇的に短縮されます。

本年度の調査では、AIによる「コストと時間の削減」という観点にも注目し、詳細な分析を実施しました。その結果、サイバーセキュリティの簡素化と自動化によって、年間中央値で約170万米ドルの直接的なコスト削減が実現していることが明らかになりました。

サイバーセキュリティの現場では、AIの導入はまだ本格化しておらず、初期段階にある部門が大半を占めています。2024年度の CrowdStrike Surveyによれば、生成AIツールを積極的に活用しているのは、全体のわずか6%に過ぎません。CISOをはじめとするリーダー層は、今後、AIの活用が進むにつれ、年間のコスト削減額は急速に増加すると予想しています。

簡素化と最適化

CISOは、サイバーセキュリティ業務全体へのAI導入を進める中で、自らのアプローチをいかに簡素化できるかを検討する必要があります。ServiceNowが発表した最新のレポートによると、AI導入の準備が最も整っている企業は、単一のコードベースを活用したプラットフォーム型のアプローチを採用し、企業全体にわたる管理の簡素化を実現しています。このようなアプローチを取ることで、企業はエージェント型AIのような新しいAIツールを、迅速かつ大規模に導入することが可能になります。同レポートによれば、新たな技術やアプリケーションが市場に登場するたびに、毎回ゼロから仕組みを構築する必要がなくなるからです。

EY Global and US Cyber Chief Technology OfficerのDan Mellenは次のように述べています。「AIの導入、技術革新、そして大規模な意思決定において競合他社に勝る体制を整えている企業の多くは、統合型テクノロジープラットフォームの活用を進めています」

既存のテクノロジーツールの最適化やサイバーセキュリティツールの簡素化は、重複の排除やコスト削減につながるだけでなく、可視性の向上や攻撃対象領域の縮小にも効果的です。現在、企業が使用しているサイバーセキュリティツールの数は中央値で35種類に上り、37%は50種類以上のツールを運用しています。こうした状況を背景に、多くのCISOがテクノロジースタックの簡素化と、それに伴うコスト削減を目指しています。調査回答者のうち、23%は過去2年以内にテクノロジーの合理化を完了しており、41%は現在その取り組みを進めています。同様に、18%がすでにプラットフォームの簡素化を終えており、41%が現在実施中です。

ツールの簡素化や最適化に取り組むことで、コスト削減が実現するだけでなく、予算の制約にも柔軟に対応できるようになります。セキュアクリエイターは、高度なサイバーセキュリティ機能を有していますが、平均で10%少ない予算で運用しており、予算を主な課題として挙げる企業も少ない傾向にあります。

AIと自動化

AIや機械学習ツールは、サイバーセキュリティ部門全体の業務の自動化を促進しています。

サイバーセキュリティ部門の主要業務へのAI導入は、さまざまな良い成果をもたらしています。特に、CISOは、検知時間（MTTD）と対応時間（MTTR）が平均で28%短縮されたことを大きな成果として挙げています。この他にも、回答者の6割が、攻撃対象領域全体にわたり、可視性が向上したと述べています。

コストと時間を最適化しさらなる価値を創出する

最適化と自動化は、サイバーセキュリティの有効性向上やコスト削減といった直接的なメリットに加え、より多くの資金と時間を価値創出に振り向けることを可能にします。その結果、企業は新たな脅威に先手を打ちつつ、セキュリティ体制全般を強化できます。

自動化や簡素化、アウトソーシングによって得られたコスト削減分は、多くの企業でサイバーセキュリティ機能のさらなる強化に活用されています。これは自然な流れであり、実際に、74%の企業が統制上の弱点への対応に投資し、46%が攻撃対象領域のカバー範囲拡大に充てています。こうした取り組みにより、潜在的な侵害に対する防御力が一層高まります。

さらに注目すべきは、回答企業の3分の2（68%）が最適化によるコスト削減分を、イノベーションやAI関連施策に再投資している点です。こうした戦略は、AI活用に先進的なCISOが、今後もその優位性を維持する可能性が高いことを示しています。

実際のコスト削減分をこのようにAI投資などの価値創出の取り組みに振り向けることは、組織全体にメリットをもたらすだけでなく、先進的なサイバーセキュリティ部門が単なるコストセンターではなく、戦略的な事業部門として機能していることを浮き彫りにしています。

Ernst & Young LLPの最新の調査によると、サイバーセキュリティの重要性が高まっているにもかかわらず、CISOは経営陣の戦略的意思決定に十分に関与できていないのが現状です。実際、59%の回答者が、企業の戦略的意思決定においてサイバーセキュリティ部門は意見を求められないと述べています。

さらに、前述のEY米国による調査では、サイバーセキュリティ侵害と企業の株価下落との間に直接的な相関関係があることも明らかになっています。サイバーセキュリティインシデント発生後、株価は下落する傾向があり、その影響は最大で90日間続くケースも確認されています。こうした株価の動きは、同様のインシデントを経験していない企業では見られません。

M&A（合併・買収）活動においても、サイバーセキュリティが重要な要素として認識されるようになっています。「EY Private Equity Value Creation Benchmark Survey」によると、プライベートエクイティ企業が買収前のデューデリジェンスにおいてサイバーセキュリティを重視する傾向は、2年前と比べて2.3倍に高まっています。こうした背景を踏まえ、CISOはより早い段階から、より戦略的にM&Aプロセスに関与することが求められます。

企業がAIを軸に戦略や業務の変革を進める中、CISOには、信頼・スピード・価値を実現するキーパーソンとして影響力を発揮する絶好の機会が訪れています。これは、サイバーセキュリティ部門を、企業の戦略的成長を支える中核的な機能として位置付ける好機でもあります。こうした機会を生かすことで、CISOは社内の他の重要な取り組みに、より早い段階から実質的に関与できるようになるでしょう。

サイバーセキュリティ部門を社内の戦略的パートナーとして位置付けるためにCISOが実践すべきこととして、以下の3つの行動が推奨されます。

1. CISOの役割のあり方を見直す

サイバーセキュリティ機能の責任範囲に対する認識を全社的に刷新するには、まずCISOの役割のあり方を見直す必要があります。

CISOは自身の役割を、部門内の技術的実務者から、企業全体に戦略的な価値をもたらすセキュアクリエイターへと進化させる必要があります。その際に欠かせないのが、業界やビジネスに対する深い理解と洞察力です。こうした知見を備えることで、CISOは、組織全体の目標に向けてサイバーセキュリティ部門を導くことができます。またCISOには、全社的なAI導入やフロントオフィスの変革、M&A・事業売却といった取り組みにおいて、サイバーセキュリティが価値を生み出せるよう、予算の優先順位を適切に判断することも求められます。

これは、サイバーセキュリティ部門の位置付けや企業との関わり方において、従来の枠組みを大きく塗り変えるパラダイムシフトであり、その実現には全社的な変革が不可欠でしょう。CISOの役割を戦略的なものへと進化させることは、サイバーセキュリティリーダーの選定・育成のあり方やチームの編成、ビジネスニーズに応じた能力の配置などについて、見直すきっかけとなります。これらの能力には、価値の測定や変革の計画立案のように、サイバーセキュリティ部門内で構築できるものもあれば、財務・戦略・変革推進チームとの密接な連携や、マネージドサービスの活用を通じて、より効果的に整備すべきものもあります。こうした取り組みを支えるソリューションの1つが、価値の定量化フレームワークです。これは、単なる計画策定ツールにとどまらず、サイバーセキュリティ部門の体制設計やリソース配分、他部門との連携のあり方など、より本質的な変革を導くための指針として機能します。このような進化は、組織によってはCISOが主導する場合もあれば、経営層によるトップダウンで推進されることもあります。

2. サイバーセキュリティ予算の枠と配分を見直す

予算に厳しい制約がかかる現在の環境下では、すべての部門リーダーに対して、投資の正当性を明確に示すことが求められており、サイバーセキュリティも例外ではありません。本調査では、そうした投資判断に新たな視点を提供しています。それは、サイバーセキュリティを単なるコストセンターやリスク軽減のための機能としてではなく、企業価値を高める推進力として位置付けるべきだという考え方です。サイバーセキュリティ部門が全社的な成長や変革の取り組みに深く関与し、その貢献を定量的に示すことができれば、その役割は「守り」から「戦略的な攻め」へと進化し、組織の価値創出において、より大きな影響力と説得力を持つ存在となるでしょう。

CISOには、予算配分においても戦略的な判断が求められます。予算の使途としては、大きく分けて、セキュリティ対策への直接的な投資に充てるか、あるいは組織全体の価値創出を促進する取り組みに投じるか、という選択肢が考えられます。米国生産性品質センター（APQC）によると、セキュリティ投資収益率（ROSI）は平均で19%と報告されています¹。一方で、価値創出に向けた支出は、約6.6倍のリターンを生み出すとされています。こうした説得力のあるデータは、CISOが予算の正当性を主張する上での強力な根拠となるだけでなく、社内の重要な取り組みに対して影響力を高める一助になります。

CISOには、セキュリティツールの合理化・最適化を進めると同時に、関連する技術コストの削減にも取り組むことが求められます。そこで推奨されるのが、包括的ソリューションやプラットフォームを軸としたアプローチです。CISOは、このアプローチを採用することで、既存のセキュリティツールを戦略的なテクノロジーベンダーのプラットフォームへと合理的に移行することが可能になります。さらに、ライセンス費用の削減によって見込まれるコストを、進行中および計画中のプロジェクトを通じてセキュリティ対策の強化に充てることもできます。

3. AI導入を推進し、経営層や取締役との信頼関係を深める

本調査によると、サイバーセキュリティ部門が他部門のAI導入プロジェクトに実質的に関与しているという企業は、全体のわずか43%にとどまっています。

ここにもまた、CISOにとって絶好の機会があります。AI導入を推進する戦略的パートナーとしての立場を築くことで、CISOはより高い信頼を得るとともに、全社的な変革の取り組みにおいて意思決定の場に加わり、影響力を発揮できるようになります。同様に、AI導入以外でも、以下の6つの取り組みにCISOが戦略的に関与することで、サイバーセキュリティの観点から大きな価値をもたらすことができます。

• 技術の導入と構築
• ブランドの信頼性・評判の強化
• 顧客体験の向上
• 全社的な変革・イノベーションの推進
• 新市場への進出
• 新製品・新サービスの開発

CEO、CFO、取締役にとって、CISOの関与は単なるリスク管理にとどまらず、組織の戦略的かつ収益を生み出す取り組みから、より多くの価値を創出する機会となります。早い段階からサイバーセキュリティの機能をより意味のある形で統合することで、施策の迅速な展開、市場における信頼の獲得、そして事業価値の持続可能性を支える製品・サービス・体験の開発・提供が促進されます。

サイバーセキュリティ予算を、単なるリスク軽減のための必要経費と捉える狭い視点は、企業が本来得られるはずのより大きな価値を生み出す能力への投資を妨げる要因になります。このような認識は、改める必要があります。今、取るべき行動は明確です。予算の意思決定を「コストベース」から「価値ベース」の視点へと転換し、サイバーセキュリティを単なる防御的な費目としてではなく、成長・イノベーション・持続的な成果を生み出す原動力として捉えることが不可欠です。

本記事の執筆に当たっては、Ernst & Young LLP Associate DirectorのAnnMarie Pino、Ernst & Young Group Limited Associate DirectorのEd Wong、EYGS LLP Associate DirectorのJoe Morecroft、Ernst & Young LLP Supervising AssociateのWilliam Reidの協力を得ました。