セキュリティ投資の目安は売上高の何%?JCICレポートが示す企業規模・業種別の指標
「セキュリティ対策にいくらかければいいのか?」——この問いに、客観的な指標で答えられる企業は多くありません。
2025年2月、一般社団法人 日本サイバーセキュリティ・イノベーション委員会(JCIC)が「企業規模・業種別に見るセキュリティ投資・人員数の目安値」と題したレポートを公開しました。日本初の試みとして、企業規模と業種の掛け合わせでセキュリティ投資額・人員数の目安を提示した内容です。
本記事では、このレポートのポイントを解説しつつ、特に中小・中堅企業がどう受け止め、何から手を付けるべきかを、IT支援の現場視点でお伝えします。
JCICレポートの背景:なぜ「目安値」が必要なのか
DXの進展、生成AIの普及、地政学リスクの高まり——企業を取り巻くサイバーセキュリティ環境は急激に変化しています。にもかかわらず、多くの企業ではセキュリティ投資や人員の確保が進んでいません。
レポートでは、その原因を**「投資や人員数の妥当性を測る指標が存在しないこと」**と指摘しています。
指標がないと、次のような状態に陥ります。
- 現在地が分からない:「今の投資額は適切か?同業他社と比べてどうか?」に答えられない
- 目的地を示せない:「今後どの水準を目指すべきか?そのために何が必要か?」を経営層に説明できない
結果として、経営判断が滞り、予算は都度承認の繰り返し。計画的なセキュリティ強化が進まない——という悪循環が生まれています。
セキュリティ投資・人員数の目安値
レポートが提示した目安値は、企業規模(大企業 / 中堅企業)と業種(金融 / IT・情報通信 / 社会インフラ / 製造 / 小売・サービス・その他)の掛け合わせで整理されています。
大企業(売上高1,000億円以上)の目安値
| 業種 | セキュリティ投資(対売上高) | セキュリティ人員(対従業員数) |
|---|---|---|
| 金融 | 0.5% | 0.5% |
| IT・情報通信 | 0.5% | 0.3% |
| 社会インフラ | 0.2% | 0.2% |
| 製造 | 0.2% | 0.1% |
| 小売・サービス・その他 | 0.1% | 0.2% |
中堅企業(売上高100億〜1,000億円)の目安値
| 項目 | 目安値 |
|---|---|
| セキュリティ投資 | 売上高の 0.3% |
| セキュリティ人員 | 従業員数の 0.2% |
具体例を挙げると、売上高500億円・従業員1,000人の中堅企業の場合、セキュリティ投資額は1.5億円、セキュリティ人員は**2名(FTE)**が目安ということになります。
中堅企業が直面する現実
レポートの中で、中堅企業について特に重要な指摘がいくつかあります。
「うちは狙われない」は誤解
レポートでは、中堅企業に「自分たちは大企業ではないので狙われないだろう」という誤った安心感が依然として見られると指摘しています。しかし実際には、警察庁の統計でランサムウェア被害は中小企業が全体の約3分の2を占め、過去最多を記録しています。セキュリティ体制が整っていないからこそ、攻撃者にとって格好のターゲットになっているのです。
IT専任者すらいない企業が多い
中堅企業では、セキュリティ以前にIT専任者が不在で、総務や経理がITを兼任しているケースも珍しくありません。レポートでは「最低でもIT専任1名、できればIT専任1名+セキュリティ担当1名の確保が出発点」としています。
この最初の1人を社内に置くことで、「外部ベンダーをどう活用するか」「どのような人材を追加で採用すべきか」といった判断が初めて可能になります。つまり、最初の1人を確保すること自体が、セキュリティ投資の第一歩なのです。
人材不足は「ハイブリッド体制」で乗り越える
人件費の高騰と少子高齢化による慢性的な人材不足は、今後さらに深刻化が見込まれます。レポートでは、社内の人材育成と外部リソースの併用を前提とした「ハイブリッド体制」を早期に構築することを推奨しています。
中小企業はどう受け止めるべきか
今回のレポートは売上高100億円以上の企業を対象としており、それ未満の中小企業は直接の対象外です。しかし、レポートが提示する考え方は中小企業にも十分に当てはまります。
自社のセキュリティ投資を「可視化」する
まずやるべきは、セキュリティ関連の支出を洗い出すことです。ウイルス対策ソフトのライセンス料、ファイアウォールの保守費用、外部委託費、教育・訓練費——これらが各部門に分散していて全体像が把握できていない企業が大半です。
1円単位の精緻さは不要です。「自社がセキュリティにどの程度のリソースを投じているか」の全体感をつかむことが出発点です。
「選択と集中」で限られた予算を活かす
すべてのリスクに同じ強度で対策を打つのは、大企業でも非現実的です。中小企業であればなおさらです。
レポートのインタビューでも「選択と集中」が重要なキーワードとして挙がっています。まずは自社にとって守るべき資産の優先順位を明確にし、そこにリソースを集中させることが、限られた予算で最大の効果を生む方法です。
外部リソースを「戦略的に」使う
人材不足の解決策として、レポートでは外部活用の重要性が繰り返し述べられています。ただし、「何でも外に出すのが正解ではない」という指摘も重要です。
インタビューでは「自社で理解できないものを外に出すのは危険」「外部任せにしすぎると内部の判断力が育たない」という声が複数ありました。自社がやるべきこと(戦略判断・意思決定)と外部に任せること(定型的な運用・高度な専門領域)を明確に分けることが、外部活用の成否を分けます。
情シス365ができること
このレポートが示す課題——「IT専任者がいない」「セキュリティにかける人員も予算も限られている」「外部に任せたいが何をどう任せればいいか分からない」——は、まさに情シス365が日々向き合っている中小企業の現実です。
情シス365は、中小企業の「IT部門」として、以下のような支援を提供しています。
セキュリティ体制の構築として、SECURITY ACTIONの宣言支援、Microsoft 365のセキュリティ設定最適化(MFA、条件付きアクセス、情報保護ポリシー)、セキュリティ基本方針の策定をサポートします。
IT運用のアウトソーシングでは、ひとり情シスの業務負荷軽減、ヘルプデスク・アカウント管理・ライセンス管理の代行を行います。
**M&A後のIT統合(PMI)**として、買収後のテナント統合、デバイス管理統一、セキュリティポリシー整備を支援します。
レポートが「最初の1人を社内に置くことがセキュリティ投資の第一歩」と述べているように、自社にIT・セキュリティの判断ができる人材がいない場合、外部の専門パートナーがその役割を担うことが現実的な選択肢になります。
セキュリティ体制の現状把握や、何から手を付けるべきかのご相談は、お気軽にお問い合わせください。