【サイバーセキュリティ】「ITセキュリティ中期計画の作り方がわからない」がなくなる
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
「ITセキュリティの中期計画を作るように言われたけど、どこから手をつければいいかわからない。」
「とりあえず生成AIで計画書らしいものを作ってみたが、経営会議で『これは何のための計画なの?』と言われて終わった。」
アクセルパートナーズが中小企業の情シス担当者とお話しする中で、こうした声を多く耳にします。ITセキュリティ中期計画の作成は、「やらなければならない」とは思っているけれど、「どう作ればいいかわからない」「作っても誰にも読まれない」という状況に陥りがちです。
今回は、なぜITセキュリティ中期計画がうまく機能しないのか、そして経営層が「これは会社に必要だ」と感じる計画の立て方を、具体的なステップとともにご紹介します。
この記事でわかること
- 生成AIで作った計画が経営層に響かない本当の理由
- 事業方針と連動させるための「翻訳」の方法
- 経営層が読める計画書の作り方と優先順位の決め方
1. なぜ「ITセキュリティ中期計画」が必要なのか?
「対症療法」から「計画的な投資」へ
多くの中小企業のITセキュリティ対策は、「何かが起きたから対応する」という後手の対症療法になっています。取引先からセキュリティ証明を求められて慌てて対応したり、インシデント(情報事故)が起きてから慌てて調査や対策を入れたりする形です。
これが繰り返されると、次のような問題が生じます。
- 毎回緊急対応になるため費用が割高になる
- 対策がバラバラで、全体像がわからなくなる
- 経営層に「いつもセキュリティにお金がかかっている」と思われる
- 計画性のない投資は、補助金の活用がしにくい
ITセキュリティ中期計画(一般的に3年程度を見通した計画)を持つことで、「何を・いつ・いくらで・なぜやるか」を体系的に示せるようになります。その結果、経営層の理解を得やすくなり、補助金も活用しやすくなります。
IPA(情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」でも、経営者主導でのセキュリティ計画策定の重要性が強調されています(出典:IPA「中小企業の情報セキュリティ対策ガイドライン 第4版」)。
2. 「良かれと思って」が計画を骨抜きにしている
ITセキュリティ中期計画を一生懸命作っても「読まれない」「承認されない」「形骸化する」のは、多くの場合、次の「良かれと思って」パターンが原因です。
① 良かれと思って「セキュリティリスクの羅列」から計画を始めている
「まずリスクを洗い出すべきだ」という考えから、脆弱性(システムの弱点)や脅威(攻撃の種類)のリストを大量に並べた計画書を作る方がいます。確かにリスクの把握は重要ですが、それが計画の出発点になってしまうと、経営層には「コストの申請書」にしか見えません。
セキュリティ計画は、リスクを並べるものではなく、「会社の事業を守り・成長させるために何をするか」を示すものです。出発点が違うと、計画全体がずれてしまいます。
② 良かれと思って「業界のベストプラクティス」をそのまま持ってくる
「NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワーク」や「ISO 27001の管理策」をそのまま計画に落とし込もうとする方がいます。こうした国際標準は優れたフレームワークですが、「自社の事業規模・業種・課題」と紐づいていないと、実行可能性のない絵に描いた餅になります。
「業界標準に準拠しています」という計画は、経営層には「難しそうなことをやろうとしている」にしか見えません。自社の言葉で書かれた計画でないと、読んでもらえません。
③ 良かれと思って「生成AIにまるごと作らせている」
ChatGPTや他の生成AIに「ITセキュリティ中期計画を作って」と指示すると、それらしい計画書が出てきます。ただ、それは「一般的な企業のための一般的な計画」です。自社の事業戦略・規模・業種・現状の課題とは紐づいていません。
生成AIは「汎用的な正解」を出すのが得意ですが、「自社特有の文脈で経営層を説得できる計画」を作ることは苦手です。生成AIを使うこと自体は問題ありませんが、それをそのまま計画書にしてしまうと、「どこかから持ってきた資料」に見えてしまいます。
④ 良かれと思って「技術的な話」で計画書を埋めている
「ファイアウォール(外部からの不正アクセスを防ぐ装置)の更新」「EDR(エンドポイント検出・応答ツール)の導入」「SIEM(セキュリティ情報・イベント管理システム)の検討」…このような技術用語が並ぶ計画書は、経営層には読めません。
「これが何のためになるのか」「やることで会社のどの問題が解決するのか」が書かれていないと、経営層は理解できず、承認もしにくくなります。
⑤ 良かれと思って「3年分すべてをやろうとする」計画にしている
「3年間でやるべきことを全部入れよう」とすると、計画が膨らみすぎて現実感がなくなります。「優先順位がない計画」は、「すべてが最優先ではない計画」と同じです。経営層は「何を一番やらなければならないのか」を知りたいのです。
3. 事業方針と連動させる「3つのステップ」
では、経営層が「これは会社に必要だ」と感じる中期計画を作るには、どうすればよいのでしょうか。以下の3ステップで考え方を変えてみてください。
ステップ1:「会社の今後3年の事業方針」を経営層から引き出す
ITセキュリティ計画を作る前に、「会社はこれから3年でどうなっていきたいか」を経営層から言語化してもらいます。
たとえば次のような問いを立ててみてください。
- 「売上目標や新規事業の計画はありますか?」
- 「新しい取引先・顧客層を開拓する予定はありますか?」
- 「海外展開・M&A・新拠点の開設などの計画はありますか?」
- 「社員数・組織体制の変化はありますか?」
- 「業務のデジタル化・クラウド化の計画はありますか?」
これらの答えが、ITセキュリティ計画の「方向性」を決める材料になります。事業が変わればリスクの種類も変わり、優先すべきセキュリティ対策も変わります。
情シス担当者が単独でこの情報を持っていないことも多いため、経営企画・総務・社長室などと連携して情報を収集することが重要です。
ステップ2:事業方針を「ITセキュリティがどう支えるか」に翻訳する
事業方針が把握できたら、「その事業を実現するために、ITセキュリティが貢献できること」に翻訳します。
たとえば次のような接続が可能です。
| 事業方針 | ITセキュリティとの接続 |
|---|---|
| 新規取引先(大手・官公庁)の開拓 | セキュリティ認証・証明書類の整備が入札要件を満たす |
| クラウド・SaaS導入による業務効率化 | クラウドセキュリティの設定・管理ルールの整備が必要 |
| テレワーク・リモート勤務の拡大 | VPN・端末管理・アクセス制御の強化が必要 |
| M&A・グループ会社との情報連携 | セキュリティポリシーの統一とアクセス権管理が必要 |
| 新製品・新サービスの開発 | 開発環境の分離・知的財産の保護体制の整備が必要 |
この「翻訳」を行うことで、「セキュリティ対策のための計画」ではなく、「事業成長を後押しするための計画」という位置づけになります。経営層にとって、この違いは決定的です。
ステップ3:優先順位付きのロードマップに落とし込む
事業方針との接続が整理できたら、「何を・いつ・いくらで・なぜやるか」をロードマップ形式で整理します。
3年ロードマップの組み立て方(例)
| フェーズ | 時期 | 内容 | 目的・接続する事業課題 |
|---|---|---|---|
| フェーズ1(土台整備) | 1年目 | セキュリティポリシー策定・パスワード管理強化・バックアップ体制整備 | 取引先への基本的なセキュリティ証明ができる状態を作る |
| フェーズ2(信頼構築) | 2年目 | セキュリティ認証(SECURITY ACTION等)取得・インシデント対応手順の整備 | 新規取引先・大手企業との商談で信頼を示せる状態を作る |
| フェーズ3(事業拡大対応) | 3年目 | クラウドセキュリティ対応・EDR導入・定期的な脆弱性診断の実施 | クラウド化・テレワーク拡大に伴うリスクに対応する |
このように「フェーズ分け」をすることで、「今年は何をやるべきか」が明確になります。すべてを一度にやろうとせず、優先順位の高いものから段階的に取り組む設計にすることが現実的です。
4. 計画書を「経営層が読める」形にする
上記のステップで整理した内容を、経営層が読める計画書の形にまとめます。以下の構成を参考にしてください。
経営層向けITセキュリティ中期計画書の構成(例)
【表紙】
「○○(会社名)ITセキュリティ中期計画 2026〜2028年度」
【エグゼクティブサマリー(1ページ)】
- 計画の目的:なぜこの計画が必要か(事業課題との接続)
- 3年間でやること:3フェーズの概要
- 投資総額と期待効果:費用と補助金活用後の負担額
【現状分析(1〜2ページ)】
- 自社のセキュリティ現状の評価(何ができていて、何ができていないか)
- 事業環境の変化(取引先要件・業界動向・法規制)
【3年ロードマップ(1〜2ページ)】
- フェーズ1・2・3の内容・目的・費用・スケジュール
【費用概算と補助金活用(1ページ)】
- 年度別の投資額一覧
- 活用可能な補助金・助成金と適用後の実質負担額
【体制・推進方法(1ページ)】
- 誰が何を担当するか
- 外部専門家(コンサルタント等)の活用計画
5. よくある「立ち止まりポイント」と解消法
ITセキュリティ中期計画を作ろうとすると、次のような壁にぶつかることがあります。
「自社の現状が正確に把握できない」
→ 完璧な現状把握は後でよい。まず「できていること」と「できていないこと」を大まかに3段階(できている/部分的にできている/できていない)で分類するだけでも計画の土台になります。IPAが提供する「情報セキュリティ自社診断」ツールを活用すると、無料で現状の整理ができます(https://www.ipa.go.jp/security/guide/sme/)。
「経営層から事業方針を引き出せない」
→ 事業計画書・中期経営計画書・過去の経営会議の議事録などから情報を収集する方法もあります。それでも情報が不足している場合は、「社長に30分だけヒアリングの時間をいただきたい」と明示的にお願いすることも重要です。
「優先順位がつけられない」
→ 「インパクト(被害の大きさ)×発生可能性」でマトリクスを作ると整理しやすくなります。インパクト・発生可能性ともに高いリスクへの対策を優先フェーズに置くという考え方が基本です。
「3年後に状況が変わってしまう」
→ 中期計画は「固定のルール」ではなく「方向性の羅針盤」です。年度末に見直し・更新することを計画書に明記しておくと、「変化への対応」を最初から組み込んだ計画になります。
6. まとめ:計画の「出発点」を変えるだけで、景色が変わる
ITセキュリティ中期計画が経営層に刺さらない最大の原因は、「セキュリティの話として作ってしまっている」ことです。
経営層に読んでもらえる計画は、「事業の話として作られた計画」です。
今回お伝えした3つのステップをまとめます。
- 「会社の今後3年の事業方針」を経営層から引き出す(事業計画・経営方針を先に把握する)
- 事業方針を「ITセキュリティがどう支えるか」に翻訳する(コストではなく貢献として伝える)
- 優先順位付きのロードマップに落とし込む(すべてを今やるのではなく、段階的に示す)
まず「社長が今後3年でどんな事業をやりたいのか」を聞くところから始めてみてください。その答えが、あなたのITセキュリティ計画の最初の1行になります。
「計画の作り方から一緒に考えてほしい」「経営層への説明用の資料に仕上げたい」という方は、ぜひアクセルパートナーズにご相談ください。
アクセルパートナーズにご相談ください
ITセキュリティ中期計画の策定を、事業方針の整理からサポートしています。「何から始めればいいかわからない」「経営層に承認してもらえる計画にしたい」という段階からでも、専門家が一緒に考えます。
初回相談(60分・Zoom)は無料です。「まず自社の現状を整理したい」というところからでもお気軽にご連絡ください。
株式会社アクセルパートナーズ | 認定経営革新等支援機関 / 全国対応(Zoom)
お問い合わせ:listing-partners.com
参考・出典
- IPA「中小企業の情報セキュリティ対策ガイドライン 第4版」:https://www.ipa.go.jp/security/guide/sme/
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」:https://www.meti.go.jp/policy/netsecurity/mng_guideline.html
- 中小企業庁「IT導入補助金」:https://it-shien.smrj.go.jp/
- IPA「SECURITY ACTION」:https://www.ipa.go.jp/security/security-action/
本コラムの内容は2026年5月時点の情報に基づきます。補助金・助成金の内容・条件は変更される場合がありますので、最新情報は各公式サイトでご確認ください。
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
