JCIC、企業規模・業界別のセキュリティ投資額・人員数の目安値を公開

ここでいうセキュリティ投資額とは、セキュリティ対策に投じるすべての支出を対象としており、リスク低減や事業継続力の強化を目的とした投資と位置付けている。セキュリティ人員数とは、セキュリティ部門に限らず、他部門所属者と外部委託先要員を含め、セキュリティ業務を担当しているリソースをFTE（Full-Time Equivalent）^※で算定した値を指す。

出典：一般社団法人日本サイバーセキュリティ・イノベーション委員会（JCIC）
「企業規模・業種別に見るセキュリティ投資・人員数の目安値～DX with Securityを実現するために必要なリソース水準とは～」をもとにMS&ADインターリスク総研作成

顧客の機微な情報を大量に保有し、事業の安定性が高く求められる金融業は、最も高い投資額と人員数が目安値として設定されている。IT・情報通信業は、提供するITサービス・通信事業そのものにセキュリティ対策を実装することが不可欠であり、自社の信頼性を確保する観点からも、金融業に次いで高い目安値となっている。社会インフラ業は、提供するサービスが国民生活や経済活動を支える基盤であり、インフラの安全性・継続性を確保する観点からセキュリティへの投資は公的責任の一環と位置付けられるため、3番目に高い目安値となった。

サイバー攻撃によって事業が停止する事案が複数発生していることから、企業のサイバーセキュリティ対策への関心は非常に高まっている。一方で、セキュリティ投資の効果や必要な水準の判断は難しく、その妥当性を客観的に把握しにくいのも事実である。適切なセキュリティ対策は企業の責務となりつつあるなか、経営層とセキュリティ部門の責任者は、本調査結果で示されている目安値を参考に、自社に必要なセキュリティリソースを計画的に配分・確保し、実効性のある対策を推進することが求められる。

※）FTE（Full-Time Equivalent）：組織やプロジェクトにおける人員の仕事量をフルタイム勤務の人数に換算して表す指標。

【参考情報】
一般社団法人日本サイバーセキュリティ・イノベーション委員会（JCIC）
「企業規模・業種別に見るセキュリティ投資・人員数の目安値～DX with Securityを実現するために必要なリソース水準とは～」
https://www.j-cic.com/reports.html