【サイバーセキュリティ】「セキュリティ予算はいくらが正解?」がわかるようになる
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
「セキュリティの予算、毎年どうやって決めていますか?」
アクセルパートナーズが中小企業の情シス担当者・総務担当者にこう聞くと、返ってくる答えの多くは「正直なところ、去年と同じくらいで…」「必要そうなものを積み上げた感じで」「特に根拠はなくて、経営者に何とかお願いして…」というものです。
「予算の根拠を教えてください」と経営層から問われたとき、自信を持って答えられる情シス担当者は、実はとても少ないのが現状です。
しかし、予算の根拠を説明できないということは、「なぜこの金額か」を経営層に理解してもらえないということであり、毎年の予算交渉が「お願いベース」になってしまうということでもあります。
この状況を変えるために、書籍『取引先から信頼される日本発サイバーセキュリティ基準』(藤田哲矢著、ダイヤモンド社)では、セキュリティ予算の考え方として「連結売上高の0.5%以上」という具体的な目安が示されています。
今回は、この考え方を中小企業の情シス担当者が実務で使える形に落とし込みながら、「根拠のある予算」の出し方をご紹介します。
この記事でわかること
- 日本企業のセキュリティ予算が足りない理由と国際比較データ
- 「売上高の0.5%」という目安の根拠と使い方
- ビジネスへの影響から逆算する予算計算の方法
1. 日本企業のセキュリティ予算は「感覚値」で決まっている
約7割の日本企業でセキュリティ予算が不足している
NRIセキュリティテクノロジーズの調査「NRI Secure Insight 2022」によると、IT予算(情報システム全体への投資額)に占めるセキュリティ予算の割合が10%未満の企業は、日本では約7割に上ります。
一方、米国では34.8%、オーストラリアでは27.5%の企業が同じく10%未満という結果です。日本企業の方が「セキュリティへの投資比率が低い企業の割合が多い」という事実がここにあります。
米国・オーストラリアの企業では多くの企業がITの投資全体のうち1割以上をセキュリティに充てているのに対し、日本企業の多くは1割にも満たない水準でセキュリティ投資をしているということです。
なぜこうした差が生まれているのでしょうか。それは、「セキュリティ予算をどう決めるか」という考え方自体が、日本では曖昧なまま放置されているからです。
経営層が投資判断できない3つの理由
サイバーセキュリティへの投資を経営層が意思決定できない理由として、前述の書籍では以下の3点が指摘されています。
- 定量情報の分析結果と戦略的IT投資のひも付けが不十分
「セキュリティが必要なのはわかるが、この金額が本当に必要かどうかわからない」という状況が生まれます。数字で根拠を示せないと、経営層は「感覚的に多すぎる」と判断してしまいます。 - リスクの重大性が経営の言葉で伝わっていない
「脆弱性(セキュリティの弱点)がある」「攻撃の件数が増えている」という技術的な情報だけでは、「では自社が被害を受けたらどうなるか」という経営リスクに結びつきません。 - 投資判断の尺度が不足している
「どれくらいセキュリティに投資すれば十分なのか」という判断基準がないため、経営層はとにかく「削れるなら削りたい」という姿勢になりがちです。
この3つの問題を解決するには、「根拠のある数字を示す」ことが出発点になります。
2. 「良かれと思って」やっていることが予算を適正化できない原因になっている
情シス担当者が懸命にセキュリティ予算を組んでいるにも関わらず、毎年「根拠を示せない」「削られてしまう」という状況に陥るのは、以下の「良かれと思って」パターンが原因であることが多いです。
① 良かれと思って「製品カタログの積み上げ」で予算を計算している
「セキュリティ対策に必要そうなツールをリストアップして、その価格を合計したら必要な予算になる」という考え方で予算を組む方がいます。ただ、この方法で出てきた金額は「製品の合計金額」であって、「自社のリスクに見合った投資額」ではありません。
製品ベースの積み上げは、「なぜその製品が必要か」「その製品で何が守れるか」という説明ができないため、経営層に「本当にすべて必要なの?」と疑問を持たれやすい。
② 良かれと思って「去年の予算+少し上乗せ」で申請している
「去年の予算をベースに、物価上昇分や新しいツール分を足した」という形で予算を組むと、「なぜ去年の金額を基準にするのか」という説明ができなくなります。
去年の予算が適正だったかどうかわからないまま踏襲してしまうと、毎年「去年も同じことを言っていた」という評価になり、担当者の信頼が下がります。
③ 良かれと思って「大手企業の取り組みを参考にしている」
「業界の大手が〇〇を導入したから、うちも同じにする」という考え方は、規模・業種・リスクが違う自社の実情に合わない対策コストを見積もってしまいます。大手企業のセキュリティ体制は、人員・予算・技術の規模が中小企業とはまったく異なります。
「業界の有名企業がやっていること」を自社に当てはめることが、過大または過小なセキュリティ投資を招きます。
④ 良かれと思って「インシデント事例を見せて危機感を煽ってから申請している」
「先週、大手企業がランサムウェア被害を受けました」という事例を見せることで経営層の危機感を高めようとする方法は、短期的に効果があるように見えて、長期的には信頼を失います。
経営層にとって「他社の話」は「他人事」になりやすく、毎回同じアプローチを繰り返すと「また脅してくる」という印象になってしまいます。
⑤ 良かれと思って「とにかく低コストに抑えようとしている」
「経営層に却下されないように、低めに見積もって申請する」という方法も、実は逆効果になることがあります。
適切な対策ができない低予算で対応してしまうと、「セキュリティ予算をかけているのになぜ事故が起きるのか」という問いに答えられなくなります。また、「低予算でやりくりできる担当者」という評価になり、翌年以降も予算を削られやすくなります。
3. 「根拠のある予算」を出す3つのステップ
では、「なぜこの金額が必要か」を説明できる予算はどう作ればよいのでしょうか。以下の3ステップで考えてみてください。
ステップ1:「売上高の0.5%」という目安で、まず基準値を計算する
JCIC(金融サービス情報共有分析センター)やデロイトの調査を元にした書籍の分析では、「セキュリティ投資額は連結売上高の0.5%以上」という考え方が示されています。
この「0.5%」という数値は、特に金融機関のセキュリティ投資実態の分析から導かれたものです。FSA(金融サービス機構)の調査によると、金融機関のセキュリティ投資額は2019年に売上高の0.34%、2020年には0.48%に増加しており、DX(デジタルトランスフォーメーション)に積極的な先進企業では、0.5%以上を確保することが目安として示されています。
売上高別の目安金額の例
| 年商(売上高) | 0.5%の目安額(年間) |
|---|---|
| 1億円 | 約50万円 |
| 3億円 | 約150万円 |
| 5億円 | 約250万円 |
| 10億円 | 約500万円 |
| 30億円 | 約1,500万円 |
| 50億円 | 約2,500万円 |
この金額はあくまでも「最低限の目安」です。業種・取り扱うデータの重要度・取引先の要件によっては、より高い水準が必要になる場合もあります。
ただし、まずこの「0.5%」という数値を経営層に示すことで、「うちは今、この水準より上か下か」という判断ができるようになります。「根拠のある基準値」を持つことが、予算交渉の出発点です。
ステップ2:「業務が止まったら何日で何円の損失か」を計算する
0.5%という基準値を示したあと、「なぜその金額が必要か」をさらに具体的に説明するには、「投資しなかった場合の損失」を数字で示します。これが「ROI(投資対効果)」の考え方です。
業務停止による損失の試算方法(例)
まず、「自社の主要なビジネスが〇日間止まったら、売上にどれだけ影響が出るか」を考えます。
- 1日あたりの売上損失 = 年商 ÷ 営業日数
- 業務停止による損失 = 1日あたりの売上損失 × 業務停止日数
たとえば、年商5億円(1日あたり約200万円)の企業でシステムが10日間停止した場合、売上機会の損失だけで2,000万円になります。そこに復旧費用・調査費用・顧客対応費用が加わると、損失はさらに膨らみます。
参考:KADOKAWAのランサムウェア被害(2024年)
2024年6月、KADOKAWAグループはランサムウェア攻撃を受け、26万件以上の個人情報が流出、ニコニコ動画のシステム復旧に約2カ月を要しました。同社は特別損失として24億円以上を計上し、業績への深刻な影響が生じました。大企業でも、サイバー攻撃による被害はこれだけの規模になります。中小企業が同様の被害を受けた場合、会社の存続に関わるリスクになりえます。
「自社が〇日間停止したら○○円の損失」という計算を経営層に示すことで、「セキュリティ投資の○○円は、その損失を防ぐための保険料」という文脈が生まれます。
ステップ3:「ビジネスへの影響の大きさ」でリスクを評価し、投資配分を決める
適正な予算の「総額」が決まったら、次は「何に使うか」の優先順位をつけます。その判断基準は「そのシステム・業務が止まったとき、自社のビジネスにどれだけ大きな影響が出るか」です。
優先度の高い領域:直接売上に影響するシステム
- ECサイト・オンライン予約システム
- 顧客データベース・個人情報を管理するシステム
- 取引先との受発注システム
優先度が中程度の領域:代替手段がある業務
- 社内のファイル共有
- メールシステム(電話・FAXで代替可能な場合)
優先度を業種・業務で判断する領域
- 製造業の生産管理システム(停止=生産停止)
- 医療機関の電子カルテ(停止=診療停止)
自社のビジネスモデルと照らし合わせて、「止まったら困るもの順」に投資配分を決めることが、限られた予算を最大効果で使う方法です。
4. 「適正予算」の考え方を経営層に説明する
ここまで整理した内容を、経営層への説明に使える形にまとめます。
経営層への説明の流れ(3分バージョン)
①まず「業界の目安値」を示す
「セキュリティ投資は売上高の0.5%が最低限の目安とされています。当社の売上(○億円)だと、年間○○万円が目安になります。現在の予算(○○万円)はこの水準の△%です。」
②「投資しない場合の損失」を金額で示す
「当社のシステムが10日間停止した場合、売上への影響だけで約○○万円の損失が想定されます。今回の投資額(○○万円)は、この損失リスクに対する保険コストとして考えることができます。」
③「何から着手するか」の優先順位を示す
「優先度の高い〇〇(業務名)のセキュリティ対策に○○万円、次に△△の対策に△△万円を充てることで、最も重要なビジネスリスクから段階的に対応できます。」
この3つの説明ができると、経営層は「なぜこの金額か」「何に使うのか」「投資しなかったらどうなるか」が明確になり、意思決定しやすくなります。
5. よくある「壁」と乗り越え方
「0.5%の基準は、うちのような小さな会社には関係ない」と言われたとき
→「この0.5%は金融機関のデータが元になっていますが、あくまでも”最低限の目安”です。大切なのは”根拠ゼロ”で予算を決めることをやめることです。0.5%の水準をすぐに達成できなくても、現状を把握して段階的に近づけていくロードマップを経営層と共有することが出発点です」と伝えます。
「今年はそんな予算は出せない」と言われたとき
→「では今年は優先度が最も高い〇〇(例:バックアップ体制)だけを整備させてください。来年は△△を追加します」と、段階的なアプローチを提案します。一度に全額を獲得しようとするより、毎年少しずつ適正水準に近づけていく計画の方が、経営層の承認を得やすいケースが多いです。
「セキュリティに投資しても効果がわからない」と言われたとき
→「セキュリティへの投資は、事故が起きなかった場合には”何もなかった”という形でしか結果が見えません。ただ、事故が起きてからの対応コスト(復旧費用・調査費用・信頼失墜)は事前投資の3〜5倍になるケースが多いです。今年の○○万円は、○○円の損失リスクを避けるための費用です」と、見えにくいROIを言語化します。
6. まとめ:予算の「根拠」を持つことが、情シス担当者の信頼をつくる
「セキュリティ予算はいくらが正解?」という問いに、完全な正解はありません。ただ、「根拠なく感覚で決める」ことと「一定の基準と計算式を持って決める」ことには、大きな違いがあります。
今回お伝えした3つのステップをまとめます。
- 「売上高の0.5%」という目安で基準値を出す(JCIC・デロイト調査が示す最低ラインの目安)
- 「業務が止まったら何日で何円の損失か」を計算する(損失の金額でリスクを可視化する)
- 「ビジネスへの影響の大きさ」で投資配分の優先順位をつける(止まったら困るもの順に予算を配分する)
この3つを実践することで、情シス担当者が「なぜこの金額か」を自信を持って経営層に説明できるようになります。そして経営層にとっても、「感覚で承認する」のではなく、「経営の視点で判断できる」予算交渉に変わります。
「自社のセキュリティ予算が適正かどうかチェックしたい」「経営層への説明資料を一緒に作りたい」という方は、ぜひアクセルパートナーズにご相談ください。
アクセルパートナーズにご相談ください
セキュリティ予算の考え方の整理から、経営層への説明資料の作成まで、情シス担当者の課題を一緒に解決します。「今の予算水準が適正かどうかわからない」「予算を増やしたいが根拠がない」という段階からでも、専門家が伴走します。
初回相談(60分・Zoom)は無料です。「まず自社の予算水準を確認したい」というところからでもお気軽にご連絡ください。
株式会社アクセルパートナーズ | 認定経営革新等支援機関 / 全国対応(Zoom)
お問い合わせ:listing-partners.com
参考・出典
- 藤田哲矢著「取引先から信頼される日本発サイバーセキュリティ基準」ダイヤモンド社(JCIC・デロイト・FSA調査データを引用)
- NRIセキュリティテクノロジーズ「NRI Secure Insight 2022」:https://www.nri-secure.co.jp/
- IPA「情報セキュリティ10大脅威 2025」:https://www.ipa.go.jp/security/10threats/
- 警察庁「令和6年のサイバー空間をめぐる脅威の情勢等について」:https://www.npa.go.jp/
- 中小企業庁「IT導入補助金」:https://it-shien.smrj.go.jp/
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」:https://www.meti.go.jp/policy/netsecurity/mng_guideline.html
本コラムの内容は2026年5月時点の情報に基づきます。補助金・助成金の内容・条件は変更される場合がありますので、最新情報は各公式サイトでご確認ください。
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
