セキュリティ投資は成熟?予算横ばいにみるサイバー攻撃対策の現状
この記事は約4分で読めます。
DXによって業務のデジタル領域が拡大したことで、サイバー攻撃がもたらすリスクは無視できないものとなってきました。
このような時代の変化に伴い、世界ではセキュリティ投資がここ数年加熱しています。一方、この急激なトレンドが成熟期に入ったことで、セキュリティへの積極投資が停滞に差し掛かりつつあるというレポートも発表されています。
セキュリティ投資の成長が横ばいになったことは、何を意味するのか、そして世界が成熟期に移行する中で、日本企業は今後、セキュリティ対策とどのように向き合うべきなのでしょうか。
2023年、セキュリティ投資の成長率は横ばい傾向に突入
2024年9月、コンサルティング会社のIANSは、アメリカとカナダにおけるセキュリティ投資の現状をまとめたレポートを発表しました。これによると、2023年のセキュリティ予算は前年比で横ばい、あるいはわずかな増加にとどまり、2022年までに見られた2桁クラスの成長水準は失われたということです。
2024年のセキュリティ投資成長率は8%と、2023年に比べると増加はしているものの、それでも2021年から2022年の水準で見ると半分程度に過ぎません。インフレ率を考慮しても、低い数字であると言えます。
サイバー攻撃件数は増加し、DXに伴う業務のシステム依存度も高まったことで、セキュリティ対策の必要性は年々高まっています。そのような状況でセキュリティ投資の成長がピークアウトしているというのは、一考の余地があるでしょう。
セキュリティ人材の獲得も鈍化
セキュリティ投資の成長が止まる中で、人材の獲得にもその影響が見られます。上記のレポートでは、2024年のセキュリティ人材増加率は12%にとどまると見られており、この数字は2022年に31%を達成していたことを踏まえると、半分以下の数字であることがわかります。
セキュリティ投資が減っているということは、それだけ現場にも少ないリソースで業務を遂行することが求められているとも言えます。現場担当者の負担が増加し、円滑な業務の遂行が阻害される懸念が、今後大きくなるかもしれません。
日本企業のセキュリティ投資余地は?
このようなセキュリティ投資意欲の減退が北米で見られる中、気になるのは日本におけるセキュリティ投資の今後です。日本でもDXがこの3〜4年で一気に加速し、業務のデジタル化や働き方改革はかつてないほど普及しました。
結論から言うと、日本におけるセキュリティ投資の余地は以前として低く、成熟にはまだ少し時間がかかると見るべきでしょう。
アメリカの大手通信会社であるシスコが2024年4月に発表した調査によると、サイバー攻撃に対して防御可能な体制が整っている日本の組織は、わずか2%にしか至っていないとのことです。また、82%の企業がセキュリティの初期・形成段階であり、リスクを回避するための十分な成熟には辿り着いていません。
セキュリティ対策の成熟には、人材のセキュリティリテラシーの向上や現場におけるシステムの浸透といった、時間的な要素が求められます。そのため、必ずしもお金をかければ成熟できるというわけではないのも難しいところでしょう。
それでも、成熟企業が2%しかいないというデータは、日本におけるセキュリティ投資のあり方を見直す余地が大きいと考えさせられる事実です。
なぜ日本はセキュリティ投資が進まないのか
かねてより日本は、他の国に比べてセキュリティ投資の割合が少なく、サイバー攻撃の標的となりやすい問題がささやかれてきました。
日本企業でセキュリティ投資が進まない理由は、主に以下の3つです。
- コスト削減志向が強い
- セキュリティリスクの認識が弱い
- 長期的な視点が欠けている
日本企業は海外企業に比べ、コスト削減志向が強いと言われています。少ない予算で最大のリターンを得ることが重視されており、設備投資が進みづらく、セキュリティは直接収益に関わらないことから、見過ごされやすい問題です。
また、セキュリティリスクの認識が弱く、十分な検討が行われていないことも問題です。サイバー攻撃や内部不正によってもたらされる損失は甚大で、不可逆な事態に発展するケースもあります。このようなリスクが日々大きくなっていることを、意思決定者の間で共有されていないわけです。
セキュリティ投資は、いつ訪れるかわからない「もしも」に備えるための投資です。短期間でリターンを得られるわけではなく、数年後、あるいは数十年後にリターンを得るために投資を行う、という観点が求められます。
まとめ
このように、日本企業は文化的な要因からもセキュリティ投資を怠る風土があります。そのため、いきなりセキュリティ投資を倍増するような舵の切り方は望み薄と考えるべきでしょう。
北米ではセキュリティ投資にブレーキがかかりつつある一方、日本はまだまだ投資余地が大きく、認識が変化していくにつれ市場も育まれていくはずです。いきなり組織の予算を大幅にセキュリティに割くようなことは難しい以上、できるところから投資拡大に繋げていく必要があります。
意思決定者や従業員に向けたセキュリティ投資の啓蒙を行ったり、既存のセキュリティ体制が抱えるリスクを客観的に評価したりと、投資拡大に向けた地ならしを進めるべきでしょう。