【サイバーセキュリティ】「セキュリティ予算が毎回却下される」がなくなる
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
「今年もセキュリティ強化の予算を申請したのに、また却下されてしまった。」
アクセルパートナーズが中小企業の情シス担当者・総務担当者とお話しする中で、こうした声を非常によく耳にします。担当者としては「このままでは会社が危ない」という強い危機感を持っているのに、経営層には伝わらない。それどころか、「で、それって本当に今必要なの?」と逆に問い返されてしまうケースも少なくありません。
この状況が毎年繰り返される背景には、「伝え方」に根本的なズレがあります。セキュリティ担当者がいくら熱意を持って申請しても、経営層が見ている景色と話の入り口が合っていないと、どれだけ正しいことを言っていても届きません。
今回は、セキュリティ予算がなぜ通らないのか、そして「経営層が動く」申請に変えるための具体的なアプローチをご紹介します。
この記事でわかること
- 「良かれと思ってやっている」が逆効果になる申請パターン
- 経営層が納得する「リスクの金額換算」の方法
- 補助金を活用して負担を抑えながら承認を得るステップ
1. なぜセキュリティ予算は通らないのか?
担当者と経営層は「まったく違う景色」を見ている
情シス担当者がセキュリティ予算を申請するとき、多くの場合こう考えます。
「ランサムウェア(身代金要求型ウイルス)の被害が業界でも増えている。だから次世代型のEDR(エンドポイント検出・応答ツール)を導入しなければ。年間150万円の投資で守れるなら安いはずだ。」
一方、経営層はこう考えています。
「うちは今まで何も起きていない。売上が伸びているわけでもないのに150万円を使うのはリスクでしかない。もし何か起きたら、そのとき考えればいい。」
どちらも間違いではありません。ただ、この「見ている景色の違い」を埋めないまま申請しても、なかなか通らないのです。
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2025」によると、中小企業に対するサイバー攻撃は年々増加しており、特にランサムウェアによる被害は直近数年で急増しています(出典:IPA「情報セキュリティ10大脅威 2025」)。しかし、こうした統計を持ち出しても「うちは大丈夫」という感覚はなかなか変わりません。
問題は、統計やリスクの「大きさ」を伝えることではありません。経営層の「関心ごと」に合わせた伝え方をしていないことが根本原因です。
2. 「良かれと思って」やっていることが逆効果になっている
情シス担当者が懸命に申請しているにも関わらず却下されてしまうのは、多くの場合、以下の「良かれと思って」パターンに陥っているからです。思い当たるものがないか、確認してみてください。
① 良かれと思って「製品の機能・スペック」で説明している
「このEDRは、AIが脅威をリアルタイムで自動検出して、侵入後の横展開も防ぎます」という説明を経営層にしても、反応は薄いことが多い。なぜなら、機能の話を聞いても「それが自社のどんな問題を解決するのか」が伝わらないからです。
社長が聞きたいのは「それを導入したら、うちの会社にどんないいことがあるのか」です。機能の話は、効果の話ではありません。どれだけ高性能な製品でも、「何を守るのか」「守れると何が変わるのか」が伝わらなければ、承認にはつながりません。
② 良かれと思って「業界標準だから導入必須」と言っている
「ISO 27001(情報セキュリティマネジメントの国際規格)への準拠のために必要です」「この対策を持っていない会社は取引先の審査で不利になります」という言い方で申請する方がいます。
ただ、これが刺さる社長は「ISOや取引先審査をすでに気にしている」社長だけです。自社の社長が今何を課題として抱えているかを把握せずに申請すると、「その話、今うちに必要?」となってしまいます。
③ 良かれと思って「セキュリティ強化」という言葉でまとめている
「セキュリティを強化するために」という表現は、担当者には自明のことでも、経営層には「なぜ今?いくら守られるの?」という疑問を生みます。「強化」は目的ではなく手段です。「強化によって何を守り、それによって会社にどんな価値があるのか」が伝わっていないと、承認には至りません。
④ 良かれと思って「事例・ニュース」で危機感を煽っている
「先月、同業の会社がランサムウェアで被害を受けて、1週間業務停止になりました」と伝えても、「へー、怖いね。でもうちは大丈夫でしょ」で終わってしまうケースが多い。他社の話は「他人事」になりやすいのです。
経営層を動かすのは「業界の話」ではなく、「自社の話」です。「もし自社で同じことが起きたら、どうなるか」という視点で話を組み立てることが重要です。
⑤ 良かれと思って「被害が出てからでは遅い」と言っている
「万が一のことが起きてからでは手遅れです」という言い方は感情に訴えますが、経営の意思決定には数字が必要です。「遅い」がどのくらいの損害になるのかが具体的でないと、「では何かあったらそのとき対応しよう」という回答が返ってきます。感情ではなく、経営リスクを金額で語ることが鍵です。
3. 経営層が動く「3つのステップ」
では、どうすれば予算が通るようになるのでしょうか。以下の3つのステップで考え方と伝え方を変えてみてください。
ステップ1:まず「社長の今一番の関心ごと」を把握する
予算申請の前に、社長や経営層が今何に頭を使っているかを確認します。「セキュリティの話をする前に、社長の話を聞く」という順番が重要です。
たとえば、社長の関心ごとは次のようなものが多く見られます。
| 社長の関心ごと | セキュリティとの接点 |
|---|---|
| 取引先・親会社からの要請 | 取引継続のためにセキュリティ要件をクリアする必要がある |
| 新規顧客・入札案件の獲得 | セキュリティ体制の証明が入札条件になっているケースが増えている |
| 採用・人材定着 | セキュリティ体制が整っていない会社は優秀な人材が来にくい |
| コスト・利益の改善 | 被害が出たときの対応コストを事前投資で抑えられる |
| 業務の安定継続 | サイバー攻撃でシステムが止まると売上に直結する |
| 経営者保険・コンプライアンス | 役員の善管注意義務(適切な管理義務)の観点でリスク対策が求められている |
社長の関心ごとを把握した上で、「このセキュリティ投資は、社長が気にしている○○のために必要です」という入り口で話し始めると、聞く姿勢がまったく変わります。セキュリティの話ではなく、経営の話として受け取ってもらえるからです。
ステップ2:「被害が起きたらいくら損するか」をリスクの金額で伝える
「セキュリティリスクがある」という抽象的な言い方ではなく、「被害が出たら経営的に○○円の損失が発生する」という形で伝えます。
たとえばランサムウェア被害が発生した場合、次のようなコストが発生します。
業務停止による売上損失
- 1日あたりの売上 × 業務停止日数(平均10〜30日程度)
- 例:日次売上50万円の会社で10日停止 → 500万円の機会損失
対応・復旧費用
- IT専門会社への緊急対応費(数十〜数百万円)
- フォレンジック調査(証拠保全・原因究明)費用:数百万円規模になることも
信頼・取引への影響
- 顧客・取引先への説明対応コスト
- 場合によっては契約解除・新規受注の停止
再発防止対策費用
- 事後に導入する対策費は、事前対策の2〜5倍になるケースも多い
警察庁の調査によると、ランサムウェア被害を受けた企業の復旧コストは規模によって異なりますが、中堅・中小企業でも数百万円〜数千万円規模になるケースが報告されています(出典:警察庁「令和6年のサイバー空間をめぐる脅威の情勢等について」)。
「今回の申請額150万円を投資しないことで、万が一被害が出た場合には500万円以上の損失リスクがある」という文脈で話すと、コストとリターンの比較として経営判断がしやすくなります。
ステップ3:「補助金を使えばこの負担で済む」という着地点を示す
IT導入補助金など国や自治体の補助制度を活用すると、セキュリティ関連ツールの導入費用の一部が補助される場合があります。
たとえば、IT導入補助金ではサイバーセキュリティ対策に特化した補助区分があり、対象ツールの導入費用の一部(補助率は制度によって異なりますが最大1/2〜2/3程度)が補助される仕組みです(出典:中小企業庁 IT導入補助金)。
東京都の場合は「サイバーセキュリティ対策促進助成金」という制度もあり、セキュリティ製品・サービスの導入費用の一部が助成されます(出典:公益財団法人東京都中小企業振興公社)。
「150万円の投資が、補助金を活用すれば実質75〜100万円程度の負担で済みます」という提案は、経営層の意思決定を後押しします。
ただし、「補助金ありきで計画する」のではなく、「投資として必要な理由」をまず固めた上で、「さらに補助金でコストを抑えられる」という順序で伝えると説得力が増します。補助金は手段であり、投資の正当性の根拠にはなりません。
4. 申請書の「組み立て方」を変える
上記の3ステップを踏まえて、申請書の構成を次のように組み立てることをお勧めします。
経営層が読みやすい申請書の構成(例)
【表紙タイトル】
「○○(社長の関心ごと)対応のためのセキュリティ投資計画書」
→「セキュリティ強化」ではなく、社長の課題と紐づいたタイトルにする
【1ページ目:なぜ今やるのか】
- 外部環境の変化(取引先の要請・規制の動向・業界トレンドなど)
- 自社が現在抱えているリスクの所在(どの業務・システムが危ないか)
- 被害が出た場合の損失試算(金額で示す)
【2ページ目:何をやるのか】
- 投資内容(製品・サービスの概要)※機能ではなく「何を守るか・何が変わるか」で説明
- スケジュール(いつまでに、何をするか)
【3ページ目:いくらかかるか・どれくらいお得になるか】
- 費用総額
- 補助金活用後の実質負担額
- 投資しない場合のリスク損失額との比較
【4ページ目:承認をお願いすること】
- 判断を求めるポイントを明示する(「○月○日までに発注の判断が必要です」等)
5. よくある「却下パターン」への対処法
実際の申請シーンで、経営層からよく返ってくる言葉と、その対処法を整理します。
「今は予算がない」と言われたとき
→「補助金を活用すると今年度は○万円の実質負担で済みます。補助金の申請期限が○月○日なので、ここで決めていただくと最も費用を抑えられます」と、具体的な期限とコストで返す。
「今まで何もなかったから大丈夫」と言われたとき
→「今まで起きていない理由が2つあります。ひとつは運が良かったこと、もうひとつは攻撃者がうちを標的にしていなかっただけです。最近は中小企業が攻撃の起点にされるケースが急増しています」と、他人事ではない理由を具体的に伝える。
「何かあったときに対応すればいい」と言われたとき
→「事後対応にかかるコストのシミュレーションを見ていただけますか。事前投資の3〜5倍のコストがかかることが多く、事業継続が難しくなるリスクもあります」と、事後対応の現実的なコストを示す。
「他の優先課題がある」と言われたとき
→「○○の課題と連動しています。たとえば、取引先のA社から求められているセキュリティ要件をクリアすることで、新規受注の障壁がひとつ減ります」と、経営の優先課題とセキュリティを結びつける。
6. まとめ:予算が通らない原因は「熱意」ではなく「翻訳」にある
セキュリティの重要性を一番よく理解しているのは、現場の担当者です。ただ、その危機感が「経営の言葉」に翻訳されていないと、承認はなかなか得られません。
担当者がやるべきことは、「セキュリティリスクを正確に伝える」ことではなく、「社長の関心ごとの言葉で、経営リスクとして伝える」ことです。
今回お伝えした3つのステップをまとめます。
- 社長の「今の関心ごと」を先に把握する(取引先要件?業務継続?コスト削減?)
- 被害コストを金額で示す(「リスクがある」ではなく「○○円の損失リスク」)
- 補助金を活用した実質負担額で着地させる(「○万円の投資が補助金利用で実質○万円」)
まず「社長が次の経営会議でどんな議題を持っているか」を確認するところから始めてみてください。「セキュリティ投資はコストではなく、経営を守る保険」という文脈で話せると、景色が変わってくるはずです。
「申請書の作り方から一緒に考えてほしい」「経営層への説明資料を作りたい」という方は、ぜひアクセルパートナーズにご相談ください。
アクセルパートナーズにご相談ください
セキュリティ投資の必要性を経営層に伝えるための資料作りや、補助金を活用した導入計画の立案を一緒に行っています。「どう経営層を説得すればいいかわからない」という段階からでも、専門家が一緒に考えます。
初回相談(60分・Zoom)は無料です。「まず自社のリスクを整理したい」というところからでもお気軽にご連絡ください。
株式会社アクセルパートナーズ | 認定経営革新等支援機関 / 全国対応(Zoom)
お問い合わせ:listing-partners.com
参考・出典
- IPA「情報セキュリティ10大脅威 2025」:https://www.ipa.go.jp/security/10threats/
- 警察庁「令和6年のサイバー空間をめぐる脅威の情勢等について」:https://www.npa.go.jp/
- 中小企業庁「IT導入補助金」:https://it-shien.smrj.go.jp/
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」:https://www.meti.go.jp/policy/netsecurity/mng_guideline.html
- 公益財団法人東京都中小企業振興公社「サイバーセキュリティ対策促進助成金」:https://www.tokyo-kosha.or.jp/
本コラムの内容は2026年5月時点の情報に基づきます。補助金・助成金の内容・条件は変更される場合がありますので、最新情報は各公式サイトでご確認ください。
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
