CISOの相談室 第2回 売上の何%をセキュリティ対策費用にすればよいのか? | ScanNetSecurity
2026.07.12(日)

CISOの相談室 第2回 売上の何%をセキュリティ対策費用にすればよいのか?

ソフト開発の企業を経営しています。従業員は100名程度で、Pマークなどの認証こそ取得していませんが、プライバシーポリシーを策定し従業員に配布し管理し、ネットワークにはファイアウォールやアンチウイルスなどを導入しています。高いセキュリティを求めるほど大きな

特集 特集
ソフト開発の企業を経営しています。従業員は100名程度で、Pマークなどの認証こそ取得していませんが、プライバシーポリシーを策定し従業員に配布し管理し、ネットワークにはファイアウォールやアンチウイルスなどを導入しています。高いセキュリティを求めるほど大きな予算がかかりますが、セキュリティにいくらお金をかけてもそこから直接的な利益は生まれないので、上限や見切りの線引きが重要だと考えています。今回先生にご相談したいのは、企業はどの程度の金額をセキュリティ対策に投下するべきでしょうか? 売上の何%といった、具体的な基準がありましたら教えて下さい。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa



●最低でも0.46%?

この問題を考察する材料として、先ずは、事実を明確にしておきたいと思います。

Q1:現在、企業のセキュリティ予算は足りているのか?
A1:どんな統計を見ても答えはNOですね。

Q2:現在、企業のセキュリティ予算は増加傾向にあるのか?
A2:どんな統計を見ても答えはYESですね。

Q3:現在、企業は実際にどのくらいセキュリティに投資しているのか?
A3:「国内IT投資動向調査報告書 2007」(CIO Magazine, ITR)によれば、2006年の売上高に占めるIT予算の比率は平均3.2%で、その内セキュリティへの投資は14.5%です。つまり、売上高に占めるセキュリティ予算の実際は、0.46%ということになります。さて、これらの事実を踏まえて、答えは「最低でも0.46%」と単純に言ってよいでしょうか?

●単純な予算算出は無意味

ITへの依存度は、企業によって異なりますから、単純に「売上高に占めるセキュリティ予算」は何パーセントかという議論は意味がありません。企業規模、業種、情報の重要度や資産価値などによってもITへの依存度は大きく異なりますので、正確な数字を出すことは困難です。そこで、かなり強引ですが売上高に占めるIT予算比率によりITへの依存度を選択してはどうでしょう?前出の「国内IT投資動向調査報告書 2007」によれば、2006年の売上高に占めるIT予算の比率は平均3.2%です。貴方の企業はこれに比べて多いですか?少ないですか?

また、一般的に企業規模の小さいところは売上高に占めるセキュリティ予算比率は高く(最高で1.68%)、企業規模が大きくなればなるほど売上高に占めるセキュリティ予算比率は低くなる(最低で0.16%)という傾向があります。ですから、「売上高に占めるセキュリティ比率」の算出には、「ITへの依存度」と「企業規模」も加味する必要があります。

●独断と偏見の計算式

ここまでの考察を総合して、独断と偏見ではありますが、以下のような「売上高に占めるセキュリティ予算比率」の計算式を作ってみました…

【執筆:せきゅバカ一代】
<執筆者略歴>
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  2. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  3. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

  4. 東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

    東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

  5. 「意図的な流通ではない」廃棄OA機器のハードディスク未破壊でオークション出品、受託業者が謝罪と再発防止を発表

    「意図的な流通ではない」廃棄OA機器のハードディスク未破壊でオークション出品、受託業者が謝罪と再発防止を発表

ランキングをもっと見る
PageTop