セキュリティとリスクマネジメントのリーダーが予算削減に備えるには：Gartner Insights Pickup（187）

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　新型コロナウイルス感染症の世界的な大流行（パンデミック）に伴うビジネス環境の悪化を受け、ある大手IT企業のCIO（最高情報責任者）がCISO（最高情報セキュリティ責任者）に、支出を10％減らすよう求めた。残念ながら、予算が限られている中で、不確実な時代に対応した戦略計画を立てていなければ、CISOにとってコスト削減や全体的なコスト最適化は困難だ。さらにCISOは、コスト最適化の戦略を練る代わりにコスト削減にばかり力を入れ、潜在的な機会を逃す恐れもある。

　セキュリティとリスクマネジメントのリーダーは、効果的なコスト最適化戦略を策定することで、予算カットを求められる前に、あらかじめ備えておく必要がある。効果的なコスト最適化戦略には、複数の状況を想定した予算シナリオを作成することと、効率性や生産性、最適化を促進するように予算ポートフォリオのバランスを取ることが含まれる。CISOはこの2つの取り組みを組み合わせることで、CIOから求められるどんな予算変更にも対応し、事業継続を成功させ、組織に全体的な価値を提供する準備を整えられる。

ビジネス成果を促進

　2023年までに、CISOの有効性の30％は、ビジネスに価値を創出する能力で直接測定されるようになる見通しだ。

　予算をカットする一方でコスト最適化を進める方法には、機能およびサービス提供の代替プラットフォームを探ることや、アウトソーシング、一部支出の拡大、従業員の定着促進などがある。だが、リーダーは、予算削減圧力に対応する準備が不足していることが多く、その場合、より少ない予算の中でこれらを実行する新しい予算モデルに適応するのは難しい。

　セキュリティとリスクマネジメントのリーダーは、以下のように、バランスの取れたコスト最適化と複数の状況を想定した予算シナリオの作成により、組織全体にわたってコスト最適化を適切に進められる。

バランスの取れたコストの最適化により、支出削減一辺倒にならないようにする

　効果的なコスト最適化戦略を策定する上では、主要なサービスポートフォリオのバランスを取ることが重要だ。多くの場合、安易なコスト削減ではなく、戦略的なコスト変更を行うことで、リーダーも最初は気付かないかもしれない長期的な節約が可能になる。全体的なコスト最適化の取り組みがバランスを欠き、多角的な取り組みを展開するのではなく、特定の取り組みに偏ってしまうとコスト管理が効果的ではなくなる。Gartnerは、次の4つの方法を個別に、または組み合わせて行うことを勧めている。

契約管理

　経済の先行きが不透明な時代には、何かを犠牲にしたり、譲歩したりする必要がある。例えば、創意工夫を発揮し、オープンソースと有料サービスを組み合わせて利用する必要があるかもしれない。オンプレミスのセキュリティオペレーションセンターを廃止し、SaaSモデルを優先するハイブリッドモデルに移行する決断を下す可能性もある。ユニットコストの削減が目的だ。

セキュリティ／ITにおけるコスト削減

　リーダーは、ベースラインコストを削減または一掃する機会を見つける必要がある。例えば、IT効率の向上を目的に、ログ管理のような手動作業を自動化したり、これらの作業に優先順位を付けて取捨選択したりすることを考えなければならない。モニタリングのような機能を、マネージドセキュリティサービスプロバイダーにアウトソーシングすることも考えるべきだ。

　また、組織体制の全体最適化の観点から、アーキテクチャやシステムエンジニアリング、開発といったセキュリティの役割を、ITやビジネスが関連するチームに移管する決断が必要になる可能性もある。

ビジネスとセキュリティ共同のコスト削減

　コスト最適化の取り組みは機能とビジネスの両方に二重の影響をもたらす。こうしたコスト最適化の方法には、モダナイゼーション、サービスデリバリープラットフォームの変更、代替調達モデルの採用などがある。例えば、セキュリティリーダーがパスワードアクセスプロトコルに関して妥協し、セルフサービスリセットツールを実装することがコスト最適化に貢献する可能性がある。

ビジネスの最適化

　ビジネス最適化は価値創出につながる傾向がある。最適化方法の一例として、ビジネスオーナーや人事が実行する新しいアイデンティティー（ID）プロビジョニングシステムの導入が挙げられる。

　ビジネス最適化を進める上では、セキュリティコストの削減を、事業再構築やイノベーションなど、企業成長に向けた最適化手法と組み合わせて行うことも検討する必要がある。

セキュリティとリスクマネジメント機能の現実を反映した適応可能な予算シナリオを作成する

　ビジネスの意思決定に迅速に対応するために、適応可能で現実的な予算シナリオを定期的に作成する。そのためには、CISOは財務チームと連携し、協力してコスト最適化プロセス全体を進める必要がある。予算シナリオは、次の3つのアプローチで作成すべきだ。

基本ケース（長期的な影響を考慮する）

　このシナリオは通常、全部門で一律の予算カットが長期的に継続されることを想定した上で、コスト最適化の実現を目的としている。このシナリオでは、ビジネス目標への悪影響を最小限に抑えるよう、投資の削減を目指す必要がある。例えば、セキュリティ機能「B」において、今後1年間、四半期ごとに支出を10％カットするよう求められた場合が当てはまる。

最悪のケース（即座に行動を起こす）

　このシナリオは通常、自社の存続の危機を乗り越えるために大幅な予算カットを迫られる状況を想定している。このシナリオでは、自社が生き延びるために最低限のセキュリティ機能およびサービスの提供に不可欠な基本的投資のみを行う。例えば、セキュリティ機能「A」において、第2四半期末までに支出を半減するよう求められた場合が当てはまる。

最良のケース（現在の支出を維持）

　このシナリオは、自社が現在の環境にかかわらず、予算をカットしない状況を想定している。このシナリオでは、ベストプラクティスを維持すべきだ。高い価値を生むビジネス部門にとって重要な投資と定義されている支出を継続しなければならない。例えば、セキュリティ機能「C」において、予算を守りながら、ビジネス価値の実現に重点的に取り組むよう求められている場合が当てはまる。

　コスト最適化の取り組みには常に機会コストとリスクが伴い、トレードオフが発生する。セキュリティとリスクマネジメントのリーダーは、これらのシナリオに沿った3通りの行動計画を検討することで、将来のビジネスに向けてプロアクティブなアプローチでコスト管理と投資が可能だ。

出典：How Security and Risk Leaders Can Prepare for Reduced Budgets（Smarter with Gartner）