梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

IT予算のうち1割が目安

 この日、国名は明かせないがある国の大使館主催のクローズドな勉強会に呼ばれた。サイバーセキュリティの時事問題を話し合う会合で、日本の政府関係者や大手企業も参加していた。主に、組織のCISOが集まったような会議。

 

 ゲストで呼ばれた日本の大手金融機関の役員が、自社や金融ISACの取り組みを説明した。休憩時間に雑談していると、説明してくれた人にある人が質問しているのが耳に入った。「言いにくいだろうけど聞きたい。御行のセキュリティ予算は、IT投資の中でどのくらいだ」

 

 先ほどの紹介が非常に優れた取り組みだったから、そこまでやるにはいくらかかるのかとの思いだったようだ。説明した人は「まあ、1割くらいです」と応えた。休憩後のセッションは、その国の外務省の説明。取り組み説明のなかで、偶然だろうが予算のグラフがあった。総予算100に対して、IT予算は35、そのうち1割にあたる3.5がセキュリティ予算だとある。

 

    

 

 私の所属するシンクタンクでは、DXに積極的な企業なら(サイバーリスクが増すので)総売り上げの0.5%を目標にセキュリティ予算を立てるべきと提言(*1)している。業種によって異なる傾向があって、売り上げに対するIT予算は一般企業で1~3%ほど。しかし金融機関では5%もあると言われる。金融機関では「IT予算の1割が、セキュリティ予算」という話は、上記の提言と符合する。売り上げという指標が当てはまらない政府機関も、IT/セキュリティ予算については、これに準じていると考えられそうだ。

 

 ただ一口にIT予算/セキュリティ予算といっても、各社の定義に差はあるだろう。例えば、A社はサイバー保険料をCISO差配のセキュリティ予算に入れているが、B社は財務本部長差配の保険予算に入れているケースだ。

 

 大手企業に限ってのことになるだろうが、このような仮説をぶつけてみて、各社の「DX with Security」度合いを伺ってみるのもいいだろう。

 

*1:Security-Resources-Report.pdf (j-cic.com)