2024年版|企業のセキュリティ投資の割合は?推奨される割合と設定する際の注意点【後編】
前回は企業のセキュリティ投資割合の最新動向や推奨される投資割合、セキュリティ投資の割合を最適化すべき理由について解説しました。
今回はセキュリティ対策費用設定時の注意点、業種別対策費用の計算例、今後の推移予測をご紹介します。
- 目次 -
◆セキュリティ対策費用を設定する際の注意点
セキュリティ対策費用を適切に設定することは、企業の経営戦略において重要な取り組みです。ここでは、セキュリティ対策費用を適切に設定するための3つの注意点を解説します。
1.企業規模だけでなく、業種や事業の特性に応じて目標を設定する
セキュリティ対策費用を決める際には、企業規模だけでなく、業種や事業の特性に合わせた目標設定が求められます。
JCICが推奨する「連結売上高の0.5%以上」という目安は、あくまで指標の一つであり、すべての企業にそのまま適用できるものではありません。新規システム導入やセキュリティインシデント対応が多い場合には、より多くの投資が必要になることもあります。
一方で、一定の成熟したセキュリティ体制を構築した企業では、目標値がこれを下回っても問題ないケースもあります。そのため、複数の情報源をもとに、自社に最適な目標を掲げることが重要です。
2.全社的なリソースとして検討する
セキュリティ対策は特定のシステムや部門だけではなく、企業全体で取り組むべき課題です。費用や人材リソースの配分は、企業全体の戦略に基づいて慎重に検討することが求められます。
具体的には、専任のセキュリティ担当者の配置や予算配分を、経営層を含む全社的な視点で決定することが重要です。また、全社員のセキュリティ意識を向上させるためには、定期的な教育やトレーニングの実施も欠かせません。
このような全社的なリソースの最適な配分と協力によって、企業のセキュリティを強化し、リスク管理をより堅実にすることが可能になります。
3.IT費用との区分けに注意する
セキュリティ費用とIT費用は重なる部分が多いことから、投資内容を慎重に分類することが求められます。
例えば、セキュリティ機能を提供するシステムがある場合、その費用はセキュリティ費用に計上することが望ましいです。主要な機能や目的に応じて適切に分類することで、セキュリティに関する投資状況をより明確に把握できます。
◆【業種別】セキュリティ対策費用の計算例
企業がセキュリティ投資の予算を決定する際、セキュリティ投資に対して積極的か消極的かによって費用は大きく異なり、また業種によっても差があります。
ここでは、具体的なセキュリティ対策費用の計算例を、JUASの「企業IT動向調査報告書 2024」に記載されている「業種別 売上高に占めるIT予算比率(トリム平均値)」をもとに説明します。(※トリム平均値とは、データの中で極端に大きい値や小さい値を計算から除外して求めた平均値のこと)
■IT予算におけるセキュリティ投資の割合が15%以上の場合(積極的なケース)
JUASがまとめたデータによると、2023年度の業種別の売上高に占めるIT予算比率(トリム平均値)は、以下の通りです。
- 全体:1.30%
- 建築・土木:0.87%
- 生活関連型・その他製造:1.21%
- 基礎素材型製造:0.87%
- 加工組立型製造:1.15%
- 卸売:0.93%
- 小売・外食:1.17%
- 金融・保険:6.32%
- 社会インフラ:1.61%
- 運輸・倉庫・不動産:1.38%
- サービス:2.06%
引用:企業IT動向調査 報告書|一般社団法人 日本情報システム・ユーザー協会(JUAS)
セキュリティ投資に積極的なケースとして、IT予算に占めるセキュリティ投資の割合を15%と設定し、仮に年商10億円の企業の場合、セキュリティ投資額の計算式は以下のようになります。
【計算式】
- IT予算 = 年商10億円 × 業種別IT予算比率
- セキュリティ投資額 = IT予算 × 15%
業種別IT予算比率を当てはめると、各業種のセキュリティ投資額の結果は以下の通りです。
- 全体:約195.0万円
- 建築・土木:約130.5万円
- 生活関連型・その他製造:約181.5万円
- 基礎素材型製造:約130.5万円
- 加工組立型製造:約172.5万円
- 卸売:約139.5万円
- 小売・外食:約175.5万円
- 金融・保険:約948.0万円
- 社会インフラ:約241.5万円
- 運輸・倉庫・不動産:約207.0万円
- サービス:約309.0万円
■IT予算におけるセキュリティ投資の割合が5%未満の場合(消極的なケース)
次に、セキュリティ投資に消極的なケースとして、IT予算に占めるセキュリティ投資の割合を5%と設定した場合、セキュリティ投資額の計算式は以下のようになります。
【計算式】
- IT予算 = 年商10億円 × 業種別IT予算比率
- セキュリティ投資額 = IT予算 × 5%
業種別IT予算比率を当てはめると、各業種のセキュリティ投資額の結果は以下の通りです。
- 全体:約65.0万円
- 建築・土木:約5万円
- 生活関連型・その他製造:約5万円
- 基礎素材型製造:約5万円
- 加工組立型製造:約5万円
- 卸売:約5万円
- 小売・外食:約5万円
- 金融・保険:約316.0万円
- 社会インフラ:約5万円
- 運輸・倉庫・不動産:約69.0万円
- サービス:約103.0万円
■JCICが提唱する「連結売上高の0.5%以上」との差
仮に、年商10億円の会社の売上規模に、JCIC提唱する「連結売上高の0.5%以上」の基準を当てはめると、推奨されるセキュリティ投資額は500万円以上です。上記で算出した数値と比較すると、消極的な投資(約43.5万~316.0万円)は業界基準を大きく下回っており、十分なセキュリティ対策が取られていない可能性が高いと判断できます。
このように投資が少ない場合、セキュリティリスクが高まり、後々高額な対応費用が発生する恐れがあるため、早期に対策を講じる必要があるでしょう。
◆今後のセキュリティ対策費用の推移予測
一般社団法人日本情報システム・ユーザー協会(JUAS)によると、2024年から3年間の情報セキュリティ関連費用は、引き続き増加が予測され、特に売上高1,000億円以上の企業では、2割以上の増加が見込まれています。
業界別にみると、生活関連型やその他製造業はDI値(「増加する割合」から「減少する割合」を引いた値)が大幅に低下する一方で、加工組立型や基礎素材型製造業はDI値が大幅に上昇すると予測されています。
企業は将来的なリスクに備えた予算配分を意識し、セキュリティ対策の充実を図ることが重要です。
◆まとめ
デジタル化が進む現代では、セキュリティ投資の最適化は企業の成長に不可欠な要素です。
企業規模や業界によって、IT予算に占めるセキュリティ投資の割合は異なり、15%以上をセキュリティに割り当てる企業と10%未満の企業の二極化が進んでいます。
消極的なセキュリティ予算を設定している企業の場合、JCICが推奨する「連結売上高の0.5%以上」の基準を下回っている可能性が高いため、早期にセキュリティ対策を強化することが求められます。
また、セキュリティ投資には新規システム導入だけでなく、既存システムのメンテナンスやサポート費用も含まれるため、予算の適切な配分が重要です。本記事で紹介した投資割合の動向を参考に、自社のセキュリティ投資を最適化しましょう。
具体的なセキュリティ対策のコストを抑えるためのチェックポイントを公開中! |
『 【危険度が点数でまるわかり】 最先端のサイバーセキュリティ診断とは? 』公開中! |
更新日:2025.01.29