🔒 セキュリティ対策 ROI シミュレータ
「対策しない場合の年間損失額」と「対策導入による投資対効果(ROI)」を数値化します
チェックした項目はROI計算から除外されます(既に実施済みとして扱います)。
ROIを試算したい対策を選択し、年間コスト概算を入力してください。
📉 年間期待損失額(ALE)の比較
🎯 リスクカテゴリ別カバー率
| リスクカテゴリ | リスク比重 | 新規対策カバー率 | 残存リスク |
|---|
出典:000997024.pdf・R080312_access.pdf(警察庁・総務省)
📋 対策別 ROI 詳細
| 対策 | カバーリスク | 年間コスト | 年間回避損失 | ROI | 評価 |
|---|
💡 経営層向け推奨アクション
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(R07_cyber_jousei.pdf)
- 警察庁「サイバー対策に関する企業調査(令和7年)」(R7countermeasures.pdf)
- 警察庁・総務省「不正アクセス行為の発生状況」(000997024.pdf)、最新版(R080312_access.pdf)
- リスク削減係数は各統計の割合を元に設定した推計値です。実際の効果は環境により異なります。
以下は、説明の記事になります。
セキュリティ対策の投資対効果(ROI)を
数値で証明する
「費用対効果が見えない」を解消する ROIシミュレータ搭載 | 警察庁・IPA公式データに基づく完全ガイド
📋 目次
🤔 なぜ、セキュリティ投資は経営層に通らないのか?
56.5%の企業が「費用対効果が見えない」と回答。この壁を突破するデータがここにあります。
「うちは大丈夫」「お金をかけても意味があるのか」——この考え方が最大のリスクです
セキュリティ対策の予算を申請したものの、「コストがかかりすぎる」「効果が見えない」という理由で却下された経験はありませんか?実は、これは多くの企業に共通する課題です。警察庁の調査では、セキュリティ投資を阻む「3つの壁」が明確に示されています。
📊 セキュリティ投資における3大障壁(警察庁調査 令和7年)
この3つの障壁に共通するのは、「損失が数値化されていない」という点です。セキュリティ投資は「攻撃を受けなければ効果ゼロに見える」という特性があります。しかし、火災保険と同様に、「被害が出なかった」こと自体が投資の成果です。
被害を受けてから対策するのでは遅すぎる
令和7年の調査では、ランサムウェア被害を受けた組織の20.4%がMFAを事後に急遽導入し、27.5%がパッチ適用を事後に強化しています。「攻撃を受ける前には不要と判断していた対策」が、いかに重要だったかを如実に示しています。
本記事では、セキュリティ投資の「見えない効果」を数値化する方法と、実際に自社でROIを計算できるシミュレータを提供します。経営会議での承認取得に、ぜひお役立てください。
📉 データで見る「対策しないリスク」の実態
令和7年の最新統計が示す、サイバー攻撃の被害規模と業種別リスク。
「うちの業種は関係ない」は通用しない——令和7年 226件のランサムウェア被害
警察庁の最新データによると、令和7年のランサムウェア被害は226件に上り、業種・規模を問わず幅広い組織が標的にされています。特に製造業への攻撃が突出して多く、中小企業が被害の63.3%を占めるという深刻な実態があります。
🏭 業種別 ランサムウェア被害件数(令和7年 合計226件)
ランサムウェア被害に遭った組織を対象とした調査では、復旧期間2か月以上の場合、1,000万円以上の費用が発生した割合が50%に上ります。さらに1か月以上の長期停止では、売上機会の損失、風評被害、顧客離れが加わり、実質的な損害は復旧費用の数倍に達することも珍しくありません。
また、フィッシング詐欺による被害も急増しており、令和7年の被害額は約1,040億円に達しています(前年比約19.7%増)。報告件数も年間245万件を超え、もはや「大企業だけの問題」ではありません。
🎯 サイバー攻撃の侵入経路トップ3
不正アクセスの原因を知ることで、「どこに投資すべきか」が明確になります。
攻撃者は”弱い部分”を狙う——侵入経路の上位3つで全体の約86%を占める
警察庁・総務省の統計データを分析すると、不正アクセスの原因はほぼ3つのカテゴリに集中していることがわかります。これらの弱点を重点的に対策するだけで、攻撃の大部分を防ぐことが可能です。
ID・パスワード管理の不備
出典:警察庁 R080312_access.pdf(令和8年3月)
不正アクセスの最多原因。同じパスワードの使い回し、デフォルトパスワードの放置、不要アカウントの未削除などが攻撃者に悪用されます。リモートワーク普及により、VPN機器への不正ログイン被害も急増しています。
古いバージョン・脆弱性の放置
出典:総務省・警察庁 000997024.pdf
修正パッチが提供されているにも関わらず、OSやソフトウェアを古いバージョンのまま使い続けることで、既知の脆弱性を突かれます。VPN機器、Webサーバー、CMSのバージョン管理不足が特に多く見られます。
設定の不備・ミスコンフィグ
出典:総務省・警察庁 000997024.pdf
クラウドサービスやネットワーク機器の設定ミス・不適切な権限設定により、外部から不正アクセス可能な状態が生まれます。特にS3バケットの公開設定ミスや、管理画面のインターネット露出が多く報告されています。
🔀 不正アクセス原因の内訳と対策の対応関係
🧮 ROIの計算方法:損失を数字で見える化する
「年間期待損失額(ALE)」という考え方で、セキュリティリスクを定量化します。
セキュリティROIは「損失保険の価値計算」と同じ考え方です
セキュリティROIの計算は、保険数理の考え方をベースにしています。「年間にどれだけの損失が期待されるか(ALE)」を計算し、「対策によりどれだけ削減できるか」を算出することで、投資対効果が明確になります。
📐 ROI計算の3ステップ
💡 具体的な計算例:MFA(多要素認証)を導入する場合
年間期待損失額(ALE)を計算する
最大損失額(SLE)= 2,000万円、年間攻撃成功確率(ARO)= 10%(製造業・中規模企業の場合)
→ ALE = 2,000万円 × 10% = 年間200万円の期待損失
MFAによるリスク削減効果を算出する
ID/パスワード不備(原因の33.7%)に対してMFAは80%の削減効果
→ 回避できる損失 = 200万円 × 33.7% × 80% = 約54万円/年
ROIを計算する
MFAの年間コスト = 60万円/年の場合
→ ROI = (54万円 − 60万円) ÷ 60万円 = −10%(単独では僅かにマイナス)
✅ ただしパッチ管理と組み合わせると、複数のリスクを同時に削減でき、ROIは大幅に向上します
対策は「組み合わせ」でROIが飛躍的に向上する
MFA単体のROIは低く見えても、パッチ管理・セキュリティ教育・バックアップを組み合わせることで、複数のリスクカテゴリを同時にカバーでき、総合ROIが500〜1000%以上になるケースも多くあります。次のシミュレータでご自身の状況を試算してください。
📊 対策別ROI比較:費用対効果が高いのはどれか
警察庁統計データに基づいたリスク削減係数を用いて、主要な対策のROIを比較します。
📋 主要セキュリティ対策 ROI比較表(年間期待損失額2,000万円・製造業・中規模企業の試算例)
| 対策 | カバーする主なリスク | リスク削減率 | 年間コスト目安 | 年間回避損失(試算) | ROI評価 |
|---|---|---|---|---|---|
| 🔑 多要素認証(MFA) | ID/PW不備(33.7%) | 60万円/年 | 約54万円 | 費用対効果◎ | |
| 🔧 パッチ管理・脆弱性対策 | 古いバージョン(29.1%) | 120万円/年 | 約81万円 | 安定した効果 | |
| 📚 セキュリティ教育・訓練 | 設定不備(23.4%)+複合 | 50万円/年 | 約32万円 | 低コスト高効果 | |
| 💾 オフラインバックアップ | ランサムウェア復旧コスト削減 | 80万円/年 | 損失額55%削減 | 最優先導入 | |
| 🛡 EDR/XDR導入 | マルウェア実行阻止・拡散防止 | 240万円/年 | 損失額40%削減 | 中長期投資 | |
| 📧 DMARC/SPF/DKIM | フィッシングメール・なりすまし | 30万円/年 | フィッシングリスク70%削減 | 最高ROI | |
| 🌐 WAF | Web経由攻撃・設定不備突破 | 120万円/年 | Web攻撃リスク大幅削減 | Webサービス必須 |
※ 試算値は警察庁統計データに基づく推計です。実際の効果は環境・運用状況により異なります。複数対策の組み合わせにより相乗効果が期待できます。
限られた予算で最大の効果を得るには、以下の3つを優先的に導入することをお勧めします。
- DMARC設定(年間30万円):最低コストでフィッシングリスクを70%削減。ROIが最も高い。
- セキュリティ教育(年間50万円):人的ミスによるインシデントを継続的に削減。長期効果が高い。
- 多要素認証(年間60万円):最多原因のID/PW不備を80%削減。即効性が高い。
この3つの合計コストは年間140万円。複合的なROIは300〜700%に達することが多く、経営層への提案に最適です。
👔 経営層を動かす提案の組み立て方
ROIの数値をどう伝えるか。経営会議で承認を得るための3つのポイントをお伝えします。
「技術の話」ではなく「経営リスクの話」として提示する
経営層にセキュリティ投資を承認してもらうためには、「技術的な必要性」ではなく「事業継続リスク」と「財務的損失」の観点で話すことが不可欠です。ROIの数値化はそのための最も有効な武器です。
📊 ポイント1:損失を先に提示する
- 「年間期待損失額○○万円」から話を始める
- 業種別・規模別の被害件数を引用する
- 競合他社の被害事例を参考資料として添付
- 「被害後の事後対策は平均2〜3倍のコスト」を強調
💰 ポイント2:ROIを「保険料」として説明
- 「1,000万円の被害を防ぐために年60万円」という表現を使う
- 投資回収期間(ペイバック期間)を月単位で示す
- 損失回避額と対策費用を比較グラフで視覚化
- 補助金・助成金の活用でコストをさらに圧縮できることを付記
📋 ポイント3:段階的な導入計画を示す
- 「今期:DMARC+教育(140万円)→ROI推定400%」
- 「来期:MFA+バックアップ(140万円)→ROI推定300%」
- 「再来期:EDR導入(240万円)→リスク網羅完成」
- 段階的投資で経営負担を分散しながら効果を積み上げる
対策前ALE
年間期待損失を数値化する
ROI計算
シミュレータで根拠ある数字を
比較提示
対策コスト vs 損失回避額
承認獲得
段階的計画で経営判断を促進
まとめ:「見えない損失」を可視化することが最初の一歩
セキュリティ投資の最大の障壁は「費用対効果が見えない(56.5%)」ことです。本記事のROIシミュレータと計算方法を活用することで、自社の潜在リスクを数値化し、経営層が納得できる投資根拠を作成することができます。まずはシミュレータで現在のリスクを計算してみてください。
📚 出典・参考資料
本記事に使用したすべての統計データの出典を掲載します。
| 資料名 | 発行元 | 主な引用データ |
|---|---|---|
| 令和7年におけるサイバー空間をめぐる脅威の情勢等について R07_cyber_jousei.pdf |
警察庁 | ランサムウェア被害件数226件、復旧費用分布(1,000万円超50%超)、フィッシング被害額約1,040億円 |
| サイバー対策に関する企業調査(令和7年) R7countermeasures.pdf |
警察庁 | 投資問題点(費用対効果56.5%、コスト55.6%)、事後導入率(MFA 20.4%、パッチ27.5%、教育18.8%) |
| 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 000997024.pdf |
総務省・警察庁・経済産業省 | 不正アクセス原因別割合(古いバージョン29.1%、設定不備23.4%) |
| 令和8年3月期 不正アクセス届出状況 R080312_access.pdf |
警察庁 | ID・パスワード管理不備33.7%(最新値) |
| サイバー空間をめぐる脅威の情勢統計データ R07_jousei_data.xlsx |
警察庁 | 業種別被害件数(図表8)、不審アクセス48,626件/日(図表17)、フィッシング報告件数2,454,297件(図表21) |
※ 本記事のROI計算に使用したリスク削減係数(MFA→80%、パッチ→70%等)は上記統計データを元に設定した推計値です。実際の効果は組織の環境・運用状況により異なります。専門家への相談を推奨します。
コメント