2024年版|企業のセキュリティ投資の割合は?推奨される割合と設定する際の注意点【前編】
企業がセキュリティ対策を進める上で課題となるのが、適切なセキュリティ投資額の設定です。セキュリティ対策への投資は直接的に利益を生むものではないため、どの程度の予算を割くべきかお悩みの企業も多いのではないでしょうか。
最適なセキュリティ投資の割合は、事業内容やリスクへの姿勢などによって異なりますが、一般的な動向を把握することで自社の指標となるはずです。
この記事では、2024年12月時点の情報をもとに、企業のセキュリティ投資割合の最新動向や推奨される投資割合、セキュリティ投資の割合を最適化すべき理由、設定時の注意点、予算の計算例を2回に分けて詳しく解説します。
今回は前編となります。
- 目次 -
◆IT予算に占めるセキュリティ投資の割合
IT予算に占めるセキュリティ投資の割合は、売上規模や業界によって異なりますが、自社と似た企業規模や業種におけるデータを参考にすることで、最適な投資比率を見極めやすくなるでしょう。
ここでは、一般社団法人 日本情報システム・ユーザー協会(JUAS)の「企業IT動向調査報告書 2024」のデータをもとに、売上高別・業界別のセキュリティ投資の割合と、全体的な傾向を確認していきましょう。
■売上高別
まずは、売上高別のセキュリティ投資の割合についてです。2022年度から2023年度にかけて、IT予算に占めるセキュリティ関連費用の割合は、売上規模が小さい企業ほど高い傾向が見られます。
引用:企業IT動向調査 報告書|一般社団法人 日本情報システム・ユーザー協会(JUAS)
売上高1兆円未満の企業では「1~5%未満」の割合が減少し、「15%以上」の割合が増加しました。
一方、売上高1兆円以上の企業では、「1~5%未満」と「15%以上」の両方の割合がともに増えており、セキュリティ投資に慎重な企業と積極的な企業の二極化が進んでいます。
売上高1兆円以上の企業で積極的なセキュリティ投資が進んでいる背景には、ゼロトラストの導入やDX推進、テレワークの継続の影響があると考えられます。ゼロトラストとは、デバイスやユーザー、通信の常時監視と厳格な認証を行うセキュリティ対策であり、実現には十分なIT予算と専門人材が必要です。
同時に消極的な企業も増えている理由としては、既存システムへのセキュリティ投資よりも新規システム導入やDX推進への投資が拡大していることが想定されます。
実際に、2022年度と2023年度のセキュリティ投資の内訳を比較すると、売上高1兆円未満の企業は既存システムへの投資が増加したのに対し、大企業では既存システムより新規システム導入やDX推進に対する投資が増加しています。
引用:企業IT動向調査 報告書|一般社団法人 日本情報システム・ユーザー協会(JUAS)
■業界別
業種別のIT予算に占めるセキュリティ投資の割合を見てみると、2023年度は以下の業種でセキュリティ投資の割合が増加しています。
- 基礎素材型製造
- 小売・外食
- 社会インフラ
- 運輸・倉庫・不動産
- サービス
引用:企業IT動向調査 報告書|一般社団法人 日本情報システム・ユーザー協会(JUAS)
特に、基礎素材型製造やサービス業では「15%以上」の割合が大幅に増えており、セキュリティ対策への積極的な姿勢が伺えます。
一方で、以下の業種では、セキュリティ関連費用の割合が前年より減少しています。
- 金融・保険
- 建築・土木
- 生活関連型製造業
セキュリティ投資の割合が減少している背景には、これらの業界におけるセキュリティ対策の成熟化やコスト抑制の取り組みが影響していると考えられます。業界ごとに投資傾向が異なるため、自社のセキュリティ戦略を策定する際には、業界特性を踏まえた判断が必要です。
■体的な傾向
T予算に占めるセキュリティ投資の割合の全体的な傾向は、「15%以上」が過去5年間でもっとも高い水準に達しており、情報セキュリティへの取り組みを積極的に進める企業が増加していると考えられます。
ただし、情報セキュリティに関連するソフトウェアやハードウェアは海外製品が多いことから、円安やインフレなどの外的要因により費用が増加しているという見方もあるため、単純にセキュリティ関連の活動が増加したとは言い切れないことも事実です。
一方で、「10%未満」の割合も、2023年度には過去5年間で最大となっており、企業によるセキュリティ投資の姿勢には大きな差が生じていることがわかります。
引用:企業IT動向調査 報告書|一般社団法人 日本情報システム・ユーザー協会(JUAS)
◆推奨されるセキュリティ投資の割合
企業における最適なセキュリティ投資割合は、売上規模や業界によって異なるため、一律で定義することはできません。ただし、一般社団法人日本サイバーセキュリティ・イノベーション委員会(JCIC)が推奨する、「連結売上高の0.5%以上」という基準を参考にすることで、自社の規模やリスクに応じた適切な投資額を見積もることが可能です。
この基準は金融機関の調査データに基づいて設定されており、例えば年商1億円未満の企業は年50万円、年商10億円の企業は年500万円、年商1000億円の企業は年5億円が目安となります。
特にDX(デジタルトランスフォーメーション)を推進し、ビジネスモデルや業務プロセスを変革する企業は、利便性とセキュリティ管理を高い水準で両立させる指標として、この数値を参考にすべきとされています。
◆セキュリティ投資を最適化すべき理由
デジタル化が進む現代において、セキュリティ投資の最適化は企業の持続的成長に欠かせない要素です。適切なセキュリティ対策が講じられなければ、経済的損失や信頼失墜、サービス停止といった深刻な影響を受けるリスクが高まります。
ここでは、セキュリティ対策の重要性について、経済的影響・サービスの継続性・DX推進時の課題の3つの観点から解説します。
1.セキュリティ対策の不備は深刻な経済的影響をもたらす恐れがある
セキュリティ対策が十分に行われていない場合、企業に多額の経済的損失を引き起こす可能性があります。
JCICの調査によると、不正アクセスなどのセキュリティインシデントを公表した企業の株価は、発生から50日後に平均6.3%も下落することが明らかになりました。適切な対策を講じることで、これらのリスクを回避し、企業価値を守ることが可能です。
また、損害賠償請求や経営責任の追及を受けるリスクもあります。特に、DXを推進する中でのセキュリティ強化は、経営者を含めた全社的な取り組みが求められる重要な経営課題とされています。
2.サービスの継続と信頼を守るために必要
企業が提供するサービスの信頼性を維持するためにも、セキュリティ対策は不可欠です。
セキュリティ対策の欠如は、企業の提供するサービスそのものを危機にさらします。例えば、国内のケースとして、不十分な認証機能が原因で、全国規模で金銭被害を生じさせた通信事業者や小売業者の事例が報告されています。
また、大手人材サービス業では、個人データを許可なく第三者に提供したことで社会問題化し、結果としてサービスの廃止に追い込まれたケースもあります。
3.DX推進に伴うセキュリティ課題へ対応するため
DX推進を成功させるためにも、戦略的なセキュリティ対策が必要です。
トレンドマイクロ株式会社の調査では、DX担当者の約35%がセキュリティインシデントを経験しており、特に「情報漏えい」が多く報告されています。この背景には、新しいシステム導入時にデータ保護が十分でないケースがあると考えられます。
さらに、企業の約31%が「セキュリティ戦略の策定」、約28%が「セキュリティポリシーの策定」に懸念を抱いており、組織全体でのセキュリティ方針の整備が課題となっています。DX推進に伴うセキュリティ課題へ対応するためにも、組織全体でのセキュリティ方針の整備が急務となっています。
具体的なセキュリティ対策のコストを抑えるためのチェックポイントを公開中! |
『 【危険度が点数でまるわかり】 最先端のサイバーセキュリティ診断とは? 』公開中! |
更新日:2025.01.24