業種・規模別のサイバーセキュリティ資源の目安値、連載２回目は製造業である。日本では最もポピュラーな産業で、数も多いがバリエーションも多い。主なセクターとして、重工業・輸送機器・産業用機器・化学・製薬・消費財・素材を調査した。

 

　全産業中では、IT投資が少なくセキュリティ投資も、セキュリティ要員も多くない。ただ、R&D色が強い、人命等に関わる機器が商品、現場の自動化が進んでいる企業では、平均を大きく上回るケースもあった。別カテゴリに「IT・情報通信」があるが、例えば半導体関連のように、それに近い業容の場合は高くなっている。

 

　業容が異なると言っても共通しているのは、現場を持っていること。工場やOT環境を標的としたサイバーリスクが高まっていて、被害事例も増えていることからセキュリティ投資は必要だとの意識は強い。ただ24時間稼働などの設備では、必要な対策（パッチ等）が難しいなどの課題もある。

 

　目安値としては、年商の0.2％程度はセキュリティ予算を用意すべきで、年商に占めるIT部門予算は２％、セキュリティ要員は従業員中の0.2％欲しいとした。

 

　今後の見通しを聞くと、取り組みを強化したいとの声が大きい。自社内だけでなく取引先からの要求や競合他社との差別化の点にも、自社の事業継続が必要だとの考えだ。経済安全保障推進法やJC-STARなどの制度整備が進み、セキュリティ対策が不充分だとサプライチェーンから外されかねないとの危機感である。逆に制度を活かして事業継続性を高めることは、競争力強化になると思われる。

 

　一方で長く続いたデフレ経済下でコストカットが常態化しており、「費用対効果」を厳しく問う経営姿勢も根強い。他業種に比べ、セキュリティ投資の効果を定量化する試みがより強く求められる。また、安全や品質管理にはお金も人も掛けるので、サイバーセキュリティを安全・品質並みにする企業風土づくりが重要と思われる。