セキュリティ対策投資の最適化について(1)〜自社のセキュリティ投資額は多い？少ない？〜

日々のITセキュリティ対策のコンサルティングにおいて、お客様から「自社のセキュリティ投資額がどれくらいが最適なのか、他社と比較して多いのか少ないのか」という質問を頂く事が度々あります。
セキュリティ対策の投資は、それ自体では企業の利益を生むものでもなく、果たしてどれくらいの予算が適当なのか判断に迷われる企業は多いと思いますし、毎年の予算の確保や対策導入の稟議の際にも同じような疑問を持たれる会社も多いと思います。
もちろん事業内容やリスク対策の考え方、セキュリティ事故の発生状況や財務状況などによって企業のセキュリティ投資額は様々ですが、業界他社の投資額を知ることは自社の対策費用を考える上でのひとつの参考になるでしょう。

では具体的にセキュリティ投資額を考えていきます。まずは売上高におけるIT投資率を見てみましょう。
一般社団法人　日本情報システム・ユーザー協会（JUAS）(※1)のアンケート結果によると、

IT投資率の平均　= 売上高×1.23%

となっています。
この1.23%という値は業種によって異なります。例えば、金融業は他業種と比較し突出して売上高におけるIT投資率は高い傾向にあります。自社の業種で確認する場合は情報元のPDF(※1)を参照してください。

次に、IT投資額におけるセキィリティ投資の割合ですが、こちらは残念ながら単純には計算できません。理由は、売上高１兆円未満の企業においては、IT投資におけるセキィリティ投資の割合が、5％未満と15%以上の割合の企業が増加傾向にあります。つまり、セキュリティ投資に積極的な企業とそうでない企業がそれぞれ増加しているという、二極化の傾向にあります。
そこから想定すると、

・セキュリティ投資に積極的な企業
セキュリティ投資額　= 売上高×1.23%×15%

・セキュリティ投資に消極的な企業
セキュリティ投資額　= 売上高×1.23%×5%

と考えることができるでしょう。

ここからは具体的に、年商1,000億円の流通業であるA社の場合で計算してみます。
IT投資率の平均は[売上高×1.23%]であると前述しましたが、流通業に限るとこの割合が0.87%となります。ここから、セキュリティ投資に積極的なケースと消極的なケースを計算すると、

・セキュリティ投資に積極的なケース
セキュリティ投資額　= 1,000億円[売上高]×0.87%×15%　= 1億3,050万円 （a）

・セキュリティ投資に消極的なケース
セキュリティ投資額　= 1,000億円[売上高]×0.87%×5%　= 4,350万円 (b)

となります。
ここから、A社のセキュリティ投資額がもし(a)より多い場合は業界内では積極的にセキュリティ投資を行っている、(b)より低い場合は消極的である（その中間であれば業界相応の投資額である）と判断できます。
いかがでしょうか。ぜひ※1の資料を元に自社の業界に置き換えて計算してみてください。

なお、セキュリティ投資の中には、新たに導入するシステムだけでなく、導入済みのシステムのメンテナンス費用や委託先へのサポート費用、企業によってはセキュリティ監視費用など多くの項目が含まれます。限られた予算の最適配分もセキュリティ対策の悩みのひとつでしょう。

次回のコラムでは、セキュリティ投資額の配分の考え方について述べたいと思います。

※1 (データの出典元)
一般社団法人　日本情報システム・ユーザー協会（JUAS）
企業IT動向調査報告書 2021 ユーザー企業のIT投資・活用の最新動向 （2020年度調査）
https://juas.or.jp/cms/media/2021/04/JUAS_IT2021.pdf

調査期間は 2020 年 9 月 11 日から 10 月 27 日。調査対象は、東証一部上場企業とそれに準じる企業 の計 4508 社

2022.03.31