自社のセキュリティ投資、十分だと回答した経営層は2割、重要性は認識しつつも実行に課題

「日本を、IT先進国に。」をビジョンに掲げるレバテック株式会社( https://levtech.jp/ ) は、情報システム部門の担当者と経営層516名に対して、セキュリティ対策に関する実態調査を実施しました。

＜調査サマリー＞
1.セキュリティ対策への投資、「十分に実施できている」と回答した経営層は約2割に留まる
2.セキュリティ対策に着手したきっかけは「他社のサイバー攻撃被害」が最多
3.セキュリティ対策投資、約7割が「増やす予定」と回答

1.セキュリティ対策への投資、「十分に実施できている」と回答した経営層は約2割に留まる

情報システム部門の担当者と経営層516名に対し「実際にサイバー攻撃を受けたことがあるか」と聞いたところ、約4割が「受けたことがある（39.0％）」と回答しました。

所属企業におけるセキュリティ対策への投資については、サイバー攻撃を受けた経験の有無にかかわらず約9割以上の情報システム担当者・経営層が「重要だと認識している」と回答しました。理由として「情報漏えいへのリスクを低減するため（84.8％）」が最も多く、「将来的なセキュリティインシデント発生による損失を最小限に抑えるため（52.3％）」「事業継続性を確保するため（48.2％）」が続きます。

一方で、セキュリティ対策への投資について「十分に実施できている（20.5％）」と回答した経営層は2割に留まりました。企業規模別では、一般的に大企業と定義される従業員数1,000人以上の企業においては「十分に実施できている」と回答した割合が27.1％となり、1,000人未満の企業と比較して13.1pt高いことがわかります。

2.セキュリティ対策に着手したきっかけは「他社のサイバー攻撃被害」が最多

セキュリティ対策に着手したきっかけとして最も多かったのは「他社がサイバー攻撃を受けたことを知り、自社のセキュリティ対策を強化したいと考えたため（63.8％）」でした。その他、「社内の従業員からセキュリティに関する提案や問題提起があったから（38.4％）」や「外部機関から脆弱性を指摘されたから（28.5％）」といった理由も上位に挙がっており、外部からの情報や指摘も対策強化の動機になっているようです。

セキュリティ対策に取り組み始めた時期は「2018年以前（56.6％）」が過半数を超えました。一方、約25％は2020年以降に開始しており、なかでも「2020年頃から（15.2％）」に集中していることから、コロナ禍でリモートワークが普及したことをきっかけにセキュリティ対策を導入した企業も一定数存在するのではないでしょうか。

3.セキュリティ対策投資、約7割が「増やす予定」と回答

経営層に対し、セキュリティ対策における年間投資額を聞くと、最も多かったのは「2,000万以上（23.9％）」でした。従業員数1,000人以上の大企業では「2,000万以上（42.1％）」、中小企業では「100万以上500万未満（33.1％）」が最多となり、企業規模によって顕著な差が見られました。

今後のセキュリティ対策への投資額について、約7割が「増やす予定（72.9％）」と回答し、多くの企業がさらなるセキュリティ対策の強化を目指していることが分かります。

投資している分野としては「セキュリティ対策システムの導入（78.8％）」や「従業員への意識向上の研修（75.2％）」が上位に挙がりました。さらに「社内におけるセキュリティ対策に従事する人材の育成（64.4％）」も6割を超えており、セキュリティ人材の確保・育成への関心の高さがうかがえます。レバテックの保有するデータ*1では「セキュリティ」の転職求人倍率が54倍と他カテゴリと比較しても極めて高く、企業が採用に苦戦している状況です。こうした状況を受け、社内人材育成に注力する企業も存在するのではないでしょうか。

*1　2025年1月発表「2024年12月のIT人材　正社員転職/フリーランス市場動向」
https://prtimes.jp/main/html/rd/p/000000726.000010591.html

〈執行役社長泉澤のコメント〉

近年、企業規模の大小にかかわらず、サイバー攻撃の脅威が増大しています。経済産業省の調査によると、過去3年間にサイバー攻撃の被害に遭った中小企業のうち約7割が取引先にも影響が及んだ、いわゆる「サイバードミノ」現象が発生しており、企業にとってセキュリティ対策は喫緊の課題となっています*2。

今回の調査では、他社のサイバー攻撃被害や社内外からの指摘・提案をきっかけにセキュリティ対策に着手する企業が多いことが明らかになり、社会全体でセキュリティ強化の機運が高まっていることが分かります。一方で、多くの企業がセキュリティ対策の重要性を認識しつつも十分な投資ができていないのが現状です。

セキュリティ対策の推進にあたっては専門人材が不可欠ですが、国内では約11万人が不足している*3とも言われており、レバテックが保有するデータでもその求人倍率は54倍（2024年12月時点）に達すなど、人材確保は困難を極めている状況です。今年5月には経済産業省から「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」が公表されるなど、国内ではセキュリティ人材の裾野を拡大するための施策検討が進んでいます*4が、国内の不足を十分に補うには時間を要すると考えられます。

一民間企業においても、中長期を見据えた専門人材の採用や育成を行いながら、喫緊の課題解決にはフリーランスをはじめとする外部人材の活用も視野に入れていく必要があるといえるでしょう。また、潜在的なリスクや万が一の事態が発生した場合の影響を最小限に抑えるため、プロダクト・システムの品質や開発体制の見直しを検討することも重要になるのではないでしょうか。

*2　経済産業省　「中小企業の実態判明 サイバー攻撃の7割は取引先へも影響」
https://www.meti.go.jp/press/2024/02/20250219001/20250219001.html

*3　ISC2 Cybersecurity Workforce Study 2023
https://prtimes.jp/main/html/rd/p/000000016.000103584.html

*4　経済産業省『「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」を公表しました」』
https://www.meti.go.jp/press/2025/05/20250514002/20250514002.html

＜調査概要＞
調査年月：2025年6月3日～2025年6月5日
調査方法：インターネット調査
調査主体：レバレジーズ株式会社
実査委託先：株式会社マクロミル
有効回答数：516人
調査対象：従業員数100人以上の企業の情報システム担当者・経営層