②【令和6年版・警察庁調査の徹底考察】セキュリティ対策費用確保と経営層の理解不足について

企業のセキュリティ

引き続き、「不正アクセス行為対策等の実態調査アクセス制御機能に関する技術の研究開発の
状況等に関する調査調査報告書」をもとに、セキュリティ対策費用確保と経営層の理解不足について考察をしていきます。

https://www.npa.go.jp/bureau/cyber/pdf/R6countermeasures.pdf

情報セキュリティ対策への投資に関する問題点

情報セキュリティ対策への投資に関する問題点

コストがかかりすぎる59%、費用対効果が見えない49%、基準が示されていない37%、トップの理解が得られない8%などの問題点があることがわかる。

簡単にまとめると、「費用・知識不足・人材・経営層の理解不足」が問題点であることが分析できる。

情報セキュリティ管理体制

  1. 情シスと情セキュが兼務68%→二兎追うものは一頭も得ず
  2. 情セキュ担当役員設置41%、つまり未設置59%→経営層に情セキュ理解者がいない
  3. 専従の部署や担当者を設置16%、つまり未設置84%→セキュリティを考える専従者がほとんどの会社でいない!

情報セキュリティ教育を実施しない理由

  1. 指導できる者がいない51%、何をしてよいかわからない36%→人材知識不足
  2. 必要な時間がない、資金がない、必要性が理解されない→経営層の理解不足
やさい
やさい

専従でセキュリティを考える人材が8割以上の会社で不在であることが分かった。更に経営層の理解不足から、セキュリティ対策に対する資金調達や時間確保が難しくなっている二重苦の状況が見えてきた。

セキュリティに対する費用について(一般論)

指標のタイプ一般的な目安 (2026年予測含む)補足
売上高に対する比率0.3% 〜 0.7%大企業ほど比率は安定し、中小企業は変動が激しい傾向。
IT予算に対する比率10% 〜 15%かつては5%程度でしたが、AI脅威やサイバー攻撃の激化で上昇。
1従業員あたりの費用数万円 〜 15万円/年業種や扱うデータの機密性によって大きく変わります。

売上高に対する比率:0.3%〜0.7% の根拠

● 国際的なベンチマーク

  • Gartner
    • 企業のセキュリティ支出は「売上高の 0.5% 前後」が一般的と報告。
  • Deloitte Cyber Benchmarking
    • 大企業の中央値は 0.48%、中小企業は 0.2〜0.4% と変動幅が大きい。

● 日本国内の傾向

  • IPA「情報セキュリティ白書」
    • 大企業は 0.4〜0.6%、中小企業は 0.1〜0.3% とばらつきが大きい。
  • 経産省「サイバーセキュリティ経営ガイドライン」
    • 「売上の 0.5% 程度を目安に投資する企業が増えている」と記述。

0.3〜0.7% は、日米欧の中央値をまとめた現実的なレンジ。

IT予算に対する比率:10〜15% の根拠

● 世界的な調査

  • Gartner IT Key Metrics
    • セキュリティが IT 予算に占める割合は 平均 12〜15%
  • IBM Cost of a Data Breach Report
    • 2010年代は 5〜8% 程度だったが、 AI攻撃・ランサムウェア増加により 2020年代は 10%超が標準

● 日本国内

  • IDC Japan
    • 日本企業のセキュリティ比率は 9〜13% に上昇。
  • NISC(内閣サイバーセキュリティセンター)
    • 「AI脅威の増加により、セキュリティ費用は IT予算の 10% を超える傾向」と報告。

10〜15% は、2020年代後半の世界的な標準値に基づく。

1従業員あたりの費用:数万円〜15万円/年 の根拠

● 海外の調査

  • Ponemon Institute
    • 1ユーザーあたりのセキュリティコストは $300〜$1,200(約4万〜16万円)
  • ISACA
    • 高機密データを扱う業界(金融・医療)は 1人あたり 10万円超 が一般的。

● 日本国内

  • IPA・JNSA 調査
    • 中小企業:1人あたり 1〜5万円
    • 大企業:1人あたり 5〜12万円
    • 金融・医療:10〜15万円

業種・データ機密性によって大きく変動するため、幅を持たせた数値が妥当

まとめ

やさい
やさい

各社情報セキュリティご担当のみなさまご苦労様です。

本件記事が、経営層への働きかけが上手く進み、予算と時間が確保できて、社内のセキュリティがレベルアップすることを祈っております。

やさい
やさい

①【令和6年版・警察庁調査の徹底考察】“不正アクセスの現実”──なぜ対策していても被害は減らないのか? | やさしいサイバーセキュリティ  

③【令和6年版・警察庁調査の徹底考察】なぜ組織のセキュリティ対策は進まないのか?―「コスト・人材・終わりの見えない不安」を断ち切る現実的アプローチ | やさしいサイバーセキュリティ

④【令和6年版・警察庁調査の徹底考察】「メール対策は“やっているつもり”が一番危ない|最新調査で見えた不正中継・なりすまし被害の盲点」 | やさしいサイバーセキュリティ

⑤【令和6年版・警察庁調査の徹底考察】なぜ「ログは取っているのに守れない」のか?調査データが暴く、日本企業のログ管理“5つの盲点”と現実的な改善策 | やさしいサイバーセキュリティ

⑥【令和6年版・警察庁調査の徹底考察】テレワーク×個人端末は本当に危険?警察庁データが示す「見過ごされがちな落とし穴」と現実的な対策 | やさしいサイバーセキュリティ

⑦【令和6年版・警察庁調査の徹底考察】①~⑥調査結果を分析して判明したことをまとめてみた。 | やさしいサイバーセキュリティ

も併せて読んでみてください。

コメント