企業がセキュリティ対策を進める上で課題となるのが、適切なセキュリティ投資額の設定です。セキュリティ対策への投資は直接的に利益を生むものではないため、どの程度の予算を割くべきかお悩みの企業も多いのではないでしょうか。
最適なセキュリティ投資の割合は、事業内容やリスクへの姿勢などによって異なりますが、一般的な動向を把握することで自社の指標となるはずです。
この記事では、2024年12月時点の情報をもとに、企業のセキュリティ投資割合の最新動向や推奨される投資割合、セキュリティ投資の割合を最適化すべき理由、設定時の注意点、予算の計算例を詳しく解説します。
1. IT予算に占めるセキュリティ投資の割合
IT予算に占めるセキュリティ投資の割合は、売上規模や業界によって異なりますが、自社と似た企業規模や業種におけるデータを参考にすることで、最適な投資比率を見極めやすくなるでしょう。
ここでは、一般社団法人 日本情報システム・ユーザー協会(JUAS)の「企業IT動向調査報告書 2024」のデータをもとに、売上高別・業界別のセキュリティ投資の割合と、全体的な傾向を確認していきましょう。
1.1 売上高別
まずは、売上高別のセキュリティ投資の割合についてです。2022年度から2023年度にかけて、IT予算に占めるセキュリティ関連費用の割合は、売上規模が小さい企業ほど高い傾向が見られます。
売上高1兆円未満の企業では「1~5%未満」の割合が減少し、「15%以上」の割合が増加しました。
一方、売上高1兆円以上の企業では、「1~5%未満」と「15%以上」の両方の割合がともに増えており、セキュリティ投資に慎重な企業と積極的な企業の二極化が進んでいます。
売上高1兆円以上の企業で積極的なセキュリティ投資が進んでいる背景には、ゼロトラストの導入やDX推進、テレワークの継続の影響があると考えられます。ゼロトラストとは、デバイスやユーザー、通信の常時監視と厳格な認証を行うセキュリティ対策であり、実現には十分なIT予算と専門人材が必要です。
同時に消極的な企業も増えている理由としては、既存システムへのセキュリティ投資よりも新規システム導入やDX推進への投資が拡大していることが想定されます。
実際に、2022年度と2023年度のセキュリティ投資の内訳を比較すると、売上高1兆円未満の企業は既存システムへの投資が増加したのに対し、大企業では既存システムより新規システム導入やDX推進に対する投資が増加しています。
1.2 業界別
特に、基礎素材型製造やサービス業では「15%以上」の割合が大幅に増えており、セキュリティ対策への積極的な姿勢が伺えます。一方で、以下の業種では、セキュリティ関連費用の割合が前年より減少しています。
- 金融・保険
- 建築・土木
- 生活関連型製造業
セキュリティ投資の割合が減少している背景には、これらの業界におけるセキュリティ対策の成熟化やコスト抑制の取り組みが影響していると考えられます。業界ごとに投資傾向が異なるため、自社のセキュリティ戦略を策定する際には、業界特性を踏まえた判断が必要です。
1.3 全体的な傾向
IT予算に占めるセキュリティ投資の割合の全体的な傾向は、「15%以上」が過去5年間でもっとも高い水準に達しており、情報セキュリティへの取り組みを積極的に進める企業が増加していると考えられます。
ただし、情報セキュリティに関連するソフトウェアやハードウェアは海外製品が多いことから、円安やインフレなどの外的要因により費用が増加しているという見方もあるため、単純にセキュリティ関連の活動が増加したとは言い切れないことも事実です。
一方で、「10%未満」の割合も、2023年度には過去5年間で最大となっており、企業によるセキュリティ投資の姿勢には大きな差が生じていることがわかります。
2. 推奨されるセキュリティ投資の割合
企業における最適なセキュリティ投資割合は、売上規模や業界によって異なるため、一律で定義することはできません。ただし、一般社団法人日本サイバーセキュリティ・イノベーション委員会(JCIC)が推奨する、「連結売上高の0.5%以上」という基準を参考にすることで、自社の規模やリスクに応じた適切な投資額を見積もることが可能です。
この基準は金融機関の調査データに基づいて設定されており、例えば年商1億円未満の企業は年50万円、年商10億円の企業は年500万円、年商1000億円の企業は年5億円が目安となります。
特にDX(デジタルトランスフォーメーション)を推進し、ビジネスモデルや業務プロセスを変革する企業は、利便性とセキュリティ管理を高い水準で両立させる指標として、この数値を参考にすべきとされています。
3. セキュリティ投資を最適化すべき理由
デジタル化が進む現代において、セキュリティ投資の最適化は企業の持続的成長に欠かせない要素です。適切なセキュリティ対策が講じられなければ、経済的損失や信頼失墜、サービス停止といった深刻な影響を受けるリスクが高まります。
ここでは、セキュリティ対策の重要性について、経済的影響・サービスの継続性・DX推進時の課題の3つの観点から解説します。
1. セキュリティ対策の不備は深刻な経済的影響をもたらす恐れがある
セキュリティ対策が十分に行われていない場合、企業に多額の経済的損失を引き起こす可能性があります。
JCICの調査によると、不正アクセスなどのセキュリティインシデントを公表した企業の株価は、発生から50日後に平均6.3%も下落することが明らかになりました。適切な対策を講じることで、これらのリスクを回避し、企業価値を守ることが可能です。
また、損害賠償請求や経営責任の追及を受けるリスクもあります。特に、DXを推進する中でのセキュリティ強化は、経営者を含めた全社的な取り組みが求められる重要な経営課題とされています。
2. サービスの継続と信頼を守るために必要
企業が提供するサービスの信頼性を維持するためにも、セキュリティ対策は不可欠です。
セキュリティ対策の欠如は、企業の提供するサービスそのものを危機にさらします。例えば、国内のケースとして、不十分な認証機能が原因で、全国規模で金銭被害を生じさせた通信事業者や小売業者の事例が報告されています。
また、大手人材サービス業では、個人データを許可なく第三者に提供したことで社会問題化し、結果としてサービスの廃止に追い込まれたケースもあります。
3. DX推進に伴うセキュリティ課題へ対応するため
DX推進を成功させるためにも、戦略的なセキュリティ対策が必要です。
トレンドマイクロ株式会社の調査では、DX担当者の約35%がセキュリティインシデントを経験しており、特に「情報漏えい」が多く報告されています。この背景には、新しいシステム導入時にデータ保護が十分でないケースがあると考えられます。
さらに、企業の約31%が「セキュリティ戦略の策定」、約28%が「セキュリティポリシーの策定」に懸念を抱いており、組織全体でのセキュリティ方針の整備が課題となっています。DX推進に伴うセキュリティ課題へ対応するためにも、組織全体でのセキュリティ方針の整備が急務となっています。
4. セキュリティ対策費用を設定する際の注意点
セキュリティ対策費用を適切に設定することは、企業の経営戦略において重要な取り組みです。ここでは、セキュリティ対策費用を適切に設定するための3つの注意点を解説します。
4.1 企業規模だけでなく業種や事業の特性に応じて目標を設定する
セキュリティ対策費用を決める際には、企業規模だけでなく、業種や事業の特性に合わせた目標設定が求められます。
JCICが推奨する「連結売上高の0.5%以上」という目安は、あくまで指標の一つであり、すべての企業にそのまま適用できるものではありません。新規システム導入やセキュリティインシデント対応が多い場合には、より多くの投資が必要になることもあります。
一方で、一定の成熟したセキュリティ体制を構築した企業では、目標値がこれを下回っても問題ないケースもあります。そのため、複数の情報源をもとに、自社に最適な目標を掲げることが重要です。
4.2 全社的なリソースとして検討する
セキュリティ対策は特定のシステムや部門だけではなく、企業全体で取り組むべき課題です。費用や人材リソースの配分は、企業全体の戦略に基づいて慎重に検討することが求められます。
具体的には、専任のセキュリティ担当者の配置や予算配分を、経営層を含む全社的な視点で決定することが重要です。また、全社員のセキュリティ意識を向上させるためには、定期的な教育やトレーニングの実施も欠かせません。
このような全社的なリソースの最適な配分と協力によって、企業のセキュリティを強化し、リスク管理をより堅実にすることが可能になります。
4.3 IT費用との区分けに注意する
セキュリティ費用とIT費用は重なる部分が多いことから、投資内容を慎重に分類することが求められます。
例えば、セキュリティ機能を提供するシステムがある場合、その費用はセキュリティ費用に計上することが望ましいです。主要な機能や目的に応じて適切に分類することで、セキュリティに関する投資状況をより明確に把握できます。
5.【業種別】セキュリティ対策費用の計算例
企業がセキュリティ投資の予算を決定する際、セキュリティ投資に対して積極的か消極的かによって費用は大きく異なり、また業種によっても差があります。
ここでは、具体的なセキュリティ対策費用の計算例を、JUASの「企業IT動向調査報告書 2024」に記載されている「業種別 売上高に占めるIT予算比率(トリム平均値)」をもとに説明します。(※トリム平均値とは、データの中で極端に大きい値や小さい値を計算から除外して求めた平均値のこと)
5.1 IT予算におけるセキュリティ投資の割合が15%以上の場合(積極的なケース)
JUASがまとめたデータによると、2023年度の業種別の売上高に占めるIT予算比率(トリム平均値)は、以下の通りです。
- 全体:1.30%
- 建築・土木:0.87%
- 生活関連型・その他製造:1.21%
- 基礎素材型製造:0.87%
- 加工組立型製造:1.15%
- 卸売:0.93%
- 小売・外食:1.17%
- 金融・保険:6.32%
- 社会インフラ:1.61%
- 運輸・倉庫・不動産:1.38%
- サービス:2.06%
出典:出典:企業IT動向調査 報告書|一般社団法人 日本情報システム・ユーザー協会(JUAS)(図表 2-1-19を参照)
セキュリティ投資に積極的なケースとして、IT予算に占めるセキュリティ投資の割合を15%と設定し、仮に年商10億円の企業の場合、セキュリティ投資額の計算式は以下のようになります。
【計算式】
1. IT予算 = 年商10億円 × 業種別IT予算比率
2. セキュリティ投資額 = IT予算 × 15%
業種別IT予算比率を当てはめると、各業種のセキュリティ投資額の結果は以下の通りです。
- 全体:約195.0万円
- 建築・土木:約130.5万円生活関連型
- その他製造:約181.5万円
- 基礎素材型製造:約130.5万円
- 加工組立型製造:約172.5万円
- 卸売:約139.5万円
- 小売・外食:約175.5万円
- 金融・保険:約948.0万円
- 社会インフラ:約241.5万円
- 運輸・倉庫・不動産:約207.0万円
- サービス:約309.0万円
5.2 IT予算におけるセキュリティ投資の割合が5%未満の場合(消極的なケース)
次に、セキュリティ投資に消極的なケースとして、IT予算に占めるセキュリティ投資の割合を5%と設定した場合、セキュリティ投資額の計算式は以下のようになります。
【計算式】
- IT予算 = 年商10億円 × 業種別IT予算比率
- セキュリティ投資額 = IT予算 × 5%
業種別IT予算比率を当てはめると、各業種のセキュリティ投資額の結果は以下の通りです。
- 全体:約65.0万円
- 建築・土木:約43.5万円
- 生活関連型・その他製造:約60.5万円
- 基礎素材型製造:約43.5万円
- 加工組立型製造:約57.5万円
- 卸売:約46.5万円
- 小売・外食:約58.5万円
- 金融・保険:約316.0万円
- 社会インフラ:約80.5万円
- 運輸・倉庫・不動産:約69.0万円
- サービス:約103.0万円
5.3 JCICが提唱する「連結売上高の0.5%以上」との差
仮に、年商10億円の会社の売上規模に、JCIC提唱する「連結売上高の0.5%以上」の基準を当てはめると、推奨されるセキュリティ投資額は500万円以上です。
上記で算出した数値と比較すると、消極的な投資(約43.5万~316.0万円)は業界基準を大きく下回っており、十分なセキュリティ対策が取られていない可能性が高いと判断できます。
このように投資が少ない場合、セキュリティリスクが高まり、後々高額な対応費用が発生する恐れがあるため、早期に対策を講じる必要があるでしょう。
6. 今後のセキュリティ対策費用の推移予測
一般社団法人日本情報システム・ユーザー協会(JUAS)によると、2024年から3年間の情報セキュリティ関連費用は、引き続き増加が予測され、特に売上高1,000億円以上の企業では、2割以上の増加が見込まれています。
業界別にみると、生活関連型やその他製造業はDI値(「増加する割合」から「減少する割合」を引いた値)が大幅に低下する一方で、加工組立型や基礎素材型製造業はDI値が大幅に上昇すると予測されています。
企業は将来的なリスクに備えた予算配分を意識し、セキュリティ対策の充実を図ることが重要です。
7.まとめ
デジタル化が進む現代では、セキュリティ投資の最適化は企業の成長に不可欠な要素です。
企業規模や業界によって、IT予算に占めるセキュリティ投資の割合は異なり、15%以上をセキュリティに割り当てる企業と10%未満の企業の二極化が進んでいます。
消極的なセキュリティ予算を設定している企業の場合、JCICが推奨する「連結売上高の0.5%以上」の基準を下回っている可能性が高いため、早期にセキュリティ対策を強化することが求められます。
また、セキュリティ投資には新規システム導入だけでなく、既存システムのメンテナンスやサポート費用も含まれるため、予算の適切な配分が重要です。本記事で紹介した投資割合の動向を参考に、自社のセキュリティ投資を最適化しましょう。
