日本企業のセキュリティ予算比は?


NRIセキュアテクノロジーズ社が毎年行っているセキュリティ実態調査の2019年度版がリリースされたので読んでみた。

日本企業の情報セキュリティ対策は一般的に欧米企業と比べると遅れていることは認識していた。

それでもアジア圏の中で見ればそれなりに進んでいるのだろうと思っていたのだが、シンガポールと比較してもだいぶ後れを取っていることが分かり、残念な感じになった。

企業におけるIT予算やセキュリティ予算の考え方は、絶対的な解は無い。

そのため、IT予算の場合はその企業の売上高の何割をIT予算に充てているかで考えることが多い。

んで、セキュリティはそのIT予算の何割をセキュリティ予算に充てているかで考えることが多い。

ちなみにIT予算については、売上高の2%~3%が標準的な水準であると考えている。

一番比率が高いのは金融業界で5%~7%

ちなみ0.5%程度とかいう業界も存在していたと思う。

ちなみに売上高に占めるIT予算化比率が0.5%程度だとどういうことになるかというと・・

・保守/運用体制が確立できない(企画やプロジェクト推進の担当と保守運用担当のメンバーが同じ)
 ⇒リソース不足とメンバーへの高負荷により離職率増加

・ドキュメントが存在しない(上述の影響でそもそもドキュメント作成のリソースが無い)

・PDCAサイクルが存在しない(PDサイクルのみが存在、またはPすら無く、Do,Do,Doだけとか・・・)

・新規のIT投資がほとんどできていない(既存システムの保守もままならない状態)

ということで、IT予算化比率が0.5%程度の会社はIT投資を怠っている会社となり、更にはセキュリティ対策も怠っている会社と言うこともできる。

前置きが長くなったが、今回はそのIT予算に占めるセキュリティ予算の話。

レポートを見た感じ、IT予算の10%をセキュリティ予算に充てるというのが一つのポイントなのだろうか。

レポートはこんな感じだった。

【IT関連の予算に占めるセキュリティ予算の割合が10%以上の比率の企業割合】

・日本:37.6%

・アメリカ:84.5%

・シンガポール:71.6%

ちなみに日本企業の最多ボリュームゾーンは1%~5%、5%~10%未満でそれぞれ30%ずつだった。

CISOの設置率も日本は50%程度なので、そもそも予算が取れないという問題はあるかも。

来年オリンピックがあるのにセキュリティ後進国化している感が気になる今日この頃。