「セキュリティ対策にいくら使えばいいか分からない」
この問いに明確な答えを出せる経営者は少ない。なぜなら、セキュリティに使った費用が何を生み出したかを測ることが、構造的に難しいからです。
売上向上につながった広告費・開発速度が上がった技術研修費は、費用対効果を事後的に測れます。しかしセキュリティに使った費用の成果は「何も起きなかった」です。インシデントが発生しなかった状態が最良の成果ですが、それはセキュリティ投資がなかった場合と見た目が同じです。
この「測れない」という構造が、セキュリティをコストとして扱い続ける根本的な原因です。
IPA情報セキュリティ白書2025によると、中小企業が情報セキュリティへの投資を行わなかった最大の理由は「必要性を感じていない」が44.3%、「費用対効果が見えない」が24.2%です。投資していない中小企業の割合は62.6%に上ります。
「費用対効果が見えない」という感覚は正しい。しかしその感覚を理由に投資しないことが、本当に合理的な判断かどうかは別の問いです。
本記事では、セキュリティがコストと認識され続ける構造を整理した上で、投資として捉え直すための3つの判断軸を提示します。
この記事でわかること
- セキュリティがコストと認識され続ける構造的な理由
- 期中コストカットでセキュリティ費用が真っ先に切られる構造
- セキュリティにおけるコストと投資の本質的な違い
- セキュリティ投資として捉え直すための3つの判断軸
- セキュリティ投資のPDCAを回すための最初の一歩
セキュリティがコストと認識され続ける理由
「何も起きなかった」が成果という逆説
セキュリティ投資の成果は「何も起きなかった」です。この逆説がコスト認識の根本にあります。
営業研修の成果は売上として現れます。システム開発費の成果は機能として現れます。どちらも「使った前と後」を比較できます。しかしセキュリティは「使った後に事故が起きなかった」という事実は、「使わなくても事故が起きなかったかもしれない」という反事実と区別できません。
この構造では、費用対効果の算出が原理的に困難です。費用対効果が測れないものを経営として承認することは難しく、結果として「最小化すべきコスト」という扱いになりやすい。
期中コストカットでセキュリティ費用が真っ先に切られる構造
利益確保のために期中で現場にコストカットを求めるとき、現場は善意で動きます。「即効性のない費用」「成果が見えにくい費用」から削る判断をします。広告費がその筆頭ですが、セキュリティ費用も同じ運命を辿りやすい。
現場の担当者が悪意を持っているわけではありません。「これを削っても短期的な業務に影響しない」という判断で動いています。その善意が、組織のセキュリティリスクを高めることになります。
セキュリティ費用を削ったことで何かが起きるのは、削った直後ではなく数ヶ月〜数年後です。インシデントが起きてから「あのとき削るべきではなかった」という後悔は取り返せません。
これを防ぐのは現場の判断ではなく経営の設計です。「セキュリティ費用は期中のコストカット対象から除外する」という方針を経営が明示しておかなければ、現場は善意で削り続けます。広告費を守る経営判断と同じ発想が、セキュリティ費用にも必要です。
「必要性を感じていない」の正体
IPA情報セキュリティ白書2025によると、投資を行わなかった最大理由は「必要性を感じていない」44.3%です。しかしこの認識は2つの意味が混在しています。
①本当に必要ない(リスクが低い) 取引先の規模・業種・扱う情報の種類によっては、現時点でセキュリティ投資の優先度が低いケースは実際にあります。
②必要かもしれないが判断できない インシデントが起きていない日常が続いているため「今まで問題なかった」という認識が「必要ない」という判断に転化している状態です。リスクの実態ではなく、経験則から「必要ない」と感じています。
この2つを区別せずに「必要性を感じていない」という判断を続けることが、サプライチェーン攻撃が増加する現在において経営リスクになる可能性があります。
セキュリティ担当者が経営に説明できない構造
セキュリティ担当者が予算を申請するとき、経営への説明材料として「費用対効果」を求められます。しかし「何も起きなかった」という成果は数値化できません。結果として稟議が通らず、予算が確保できない。担当者は「予算がないから対策が進められない」という状態が続きます。
ISMSが意味ないと言われる理由でも整理していますが、セキュリティ施策が形骸化するのは担当者の問題ではなく、経営として判断の仕組みを持っていないことから生まれています。
セキュリティにおけるコストと投資の本質的な違い
セキュリティにおけるコストと投資の違いは、認識の問題ではなく判断の設計の問題です。
| 項目 | コストとして扱う場合 | 投資として扱う場合 |
|---|---|---|
| 予算の決め方 | 「いくら削れるか」で決める | 「いくら使うべきか」を先に決める |
| 成果の測り方 | 費用対効果を事後的に算出しようとする | PDCAを回すための指標を事前に設定する |
| 承認の基準 | 効果が証明できなければ承認しない | 枠を決めてから使い方を最適化する |
| 期中対応 | コストカット対象になる | 経営が明示的に除外する |
| 担当者の動き方 | 稟議のたびに正当性を証明する | 決まった枠の中で判断して動く |
コストとして扱う組織では、担当者が毎回の稟議で費用対効果を証明しなければならない。投資として扱う組織では、枠が先に決まっているので担当者は使い方の最適化に集中できます。
セキュリティ投資として捉え直す3つの判断軸
「費用対効果が測れないから投資できない」という論理から抜け出すためには、別の判断軸が必要です。以下の3つは、測れないものに対して経営として予算を確保するための考え方です。
判断軸①|セキュリティ予算の枠を先に決めてPDCAを回す
4マスの広告費を考えるとき、正確な費用対効果の算出は困難です。しかし費用対効果を測るための分析をしなければPDCAが回せない。だから「広告費の一定割合を分析費用としてセットで確保する」という判断をする経営者がいます。根拠となる数字より、PDCAが回せることの方が重要だからです。
セキュリティも同じ発想が使えます。「費用対効果が見えないから予算を確保しない」ではなく「PDCAを回すための予算を先に枠として確保する」という順序に変える。
目安として一つの考え方を示すとすれば、IT予算の10%前後をセキュリティに充てることが国際的に参照される指標の一つです。ただし中小企業においては絶対額で考える方が現実的で、「まず年間100万円のセキュリティ予算枠を作る」という決断から始める企業もあります。数字の根拠より、枠を作ってPDCAを回し始めることの方が重要です。
そしてその枠は「期中コストカットの対象から除外する」という経営方針とセットで設計する必要があります。枠を作っても期中に削れる状態では、現場の善意によって毎年消えていきます。
判断軸②|インシデント損失額からセキュリティ投資額を逆算する
「万が一インシデントが起きたら何を失うか」を経営として推計します。
- 顧客情報漏洩時の謝罪・対応コスト・信頼失墜
- ランサムウェア被害時のシステム復旧費用・業務停止期間の損失
- 取引先への損害賠償・契約解除リスク
これらを合計した「インシデント発生時の推計損失額」を算出します。その1〜3%を年間のセキュリティ投資の目安とする考え方は、保険の掛け率と同じロジックです。推計が100%正確でなくても構いません。「この程度の損失が起きるリスクがある」という経営的な共通認識を作ることがPDCAの出発点になります。
判断軸③|取引要件・制度との接続でセキュリティ投資を正当化する
「このセキュリティ投資があったから取れた案件がある」「★3を取得したことで継続できた取引がある」という形で、アウトカムを事後的に記録します。
2026年度末に始まるSCS評価制度(★制度)・経産省の補助金要件・大手取引先のセキュリティ調査への対応という具体的な外部要件が存在する場合、セキュリティ投資は「事業継続のための必要費用」として経営的に正当化できます。費用対効果の算出が困難でも「取引条件を満たすための投資」という位置づけは明確です。
セキュリティ対策の判断軸と順序でも整理していますが、取引先からの要件・★制度・補助金要件という外部起点の判断がセキュリティ投資を正当化する最も明確な根拠になります。
セキュリティ投資のPDCAを回すための最初の一歩
「測れないから予算を確保しない」から抜け出すための最初の一歩は、小さくても良いので「セキュリティ予算の枠を作ること」です。
枠を作ると何が変わるか。担当者が毎回の稟議で費用対効果を証明しなくて良くなります。使った結果を記録する仕組みが生まれます。翌年度の予算判断に使える実績データが積み上がります。これがセキュリティ投資のPDCAの最初のサイクルです。
何も測らなければ、永遠に「費用対効果が見えないから投資できない」という状態が続きます。枠を作ることで初めて「使い方を最適化する」という経営判断ができるようになります。そしてその枠を期中コストカットから守ることが、PDCAを継続させる経営の役割です。
まとめ|セキュリティはコストか投資かという問いを立て直す
セキュリティをコストと認識している中小企業が62.6%投資未実施という実態の背景には、「測れないから判断できない」という構造があります。この構造は認識を変えるだけでは解決しません。
期中コストカットで真っ先に切られる・担当者が稟議を通せない・必要性が判断できない。これらは担当者の問題ではなく、経営として判断の設計がないことから生まれています。
セキュリティ投資として扱うために必要なのは3つの判断軸を持つことです。枠を先に決めてPDCAを回す・インシデント損失額から逆算する・取引要件との接続で正当化する。この3つは「費用対効果が完全に算出できなくても経営として判断する」という設計です。
費用対効果が測れないことを理由に投資しない組織と、測れないことを前提に枠を作って最適化する組織では、3年後のセキュリティ体制に大きな差が生まれます。どちらの組織でありたいかという問いが、セキュリティをコストか投資かという問いの本質かもしれません。
コメント