企業のセキュリティ予算と経営層のリスク意識　実態調査

2026/01/20真藤直観

セキュリティの信用評価プラットフォーム「Assured（アシュアード）」は、従業員1,000名以上の企業に所属する情報システム・セキュリティ担当者500名を対象に、「企業のセキュリティ予算と経営層のリスク認識に関する調査」を実施しました。

※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

【調査結果サマリー】
75.9％でセキュリティ予算増加
最大の理由は「重大セキュリティインシデントの多発」
予算を増額したセキュリティ領域トップは「データ保護・バックアップ・復旧」で半数以上の63.6％
76.2％で経営層のリスク意識が高まるものの、77%がROIの説明に苦慮
47.6%が「リスク評価と投資額の紐付け」に課題

調査背景

昨今、大手企業を標的としたランサムウェア攻撃が相次いで発生し、事業継続に深刻な影響を及ぼす事例が増加しています。こうしたサイバー攻撃の激化により、企業におけるセキュリティ対策の重要性はかつてないほど高まっています。

そこでこの度、企業のセキュリティ投資の実態と経営層の意識変化について、従業員数1,000名以上の大手企業に所属する情報システム・セキュリティ担当者を対象に調査を実施し、500名から回答を得ました。

調査結果詳細

1. 昨今の重大なセキュリティインシデントの多発を背景に、75.9％で予算が増加

次年度（または直近で策定した）のセキュリティ予算の増減について聞いたところ、増減の回答を得られた内（500名中377名）、前年度と比較して「大幅に増加（目安：20％以上の増額）」（10.6%）、「増加（目安：10％～20％未満の増額）」（30.8%）、「やや増加（目安：10％未満の増額）」（34.5%）を合わせ、75.9%が前年度から増額を予定または見込んでいることが分かりました。

セキュリティ予算を増額した理由としては、「昨今の重大なセキュリティインシデント（ランサムウェア、サプライチェーン攻撃等）の多発」が62.6%で最多でした。次に「法規制（個人情報保護法、海外規制など）への対応強化」が48.3％、「DX推進（AI活用含む）に伴うリスク増加への対応」が46.9％と続きます。また、昨今注目が集まるサイバー保険についても、約3分の1にあたる32.9%で、加入および更新条件への対応に向けて予算を増額しています。外部環境の変化が直接的な投資要因となっていることが明らかになりました。

2. セキュリティ投資領域トップは「データ保護・バックアップ・復旧」

予算を増額したセキュリティ領域としては、「データ保護・バックアップ・復旧」が63.6%と最多でした。また、「ネットワークセキュリティ・ゼロトラスト」も62.6％とほぼ同じ割合で予算を増額していることが分かりました。昨今のランサムウェア攻撃の拡大を受け、万が一感染した場合の事業継続と被害の未然防止・最小化のため、復旧対策とネットワークの堅牢化を強化する動きが広がっていることが伺えます。また、ランサムウェアの主要な侵入経路として指摘されるVPNの刷新など、攻撃を未然に防ぐための対策も強化する動きが見られます。

3. 76.2%で経営層の意識は高まるものの、77％が投資対効果（ROI）の説明に課題

昨今のセキュリティ情勢を受けた経営層の意識変化について聞いたところ、76.2%が「高まった」と回答しました。

一方、セキュリティ投資の投資対効果（ROI）を経営層へ説明・報告する際の課題を尋ねたところ、77％で経営層へのROIの説明に何らかの課題を抱えていることが明らかになりました。具体的には、「リスク評価結果と投資額の関連付けが難しい」が約半数の47.6%で最多となりました。次いで「数値（インシデント発生率や被害額の低減等）での証明が難しい」（45.0%）が続きます。また、「競合他社や業界平均と比較するためのデータがない」（28.0%）という声もあり、セキュリティ投資がどれだけリスク低減に寄与したかを客観的・定量的に示せないという課題が浮き彫りになりました。

＜調査概要＞

調査主体: セキュリティの信用評価プラットフォーム「Assured」

調査対象: 全国、従業員数1,000名以上の企業に勤める情報システム・セキュリティ担当者

有効回答数: 500名

調査時期: 2025年12月

調査手法: インターネットリサーチ（調査協力:株式会社クロス・マーケティング

※構成比は小数点第二位を四捨五入しているため、合計が100%にならない場合があります

専門家コメント

本調査により、大企業の経営層がセキュリティを「経営リスク」として認識し、予算措置を講じている実態を確認することができました。しかしその一方で、現場担当者は「予算の妥当性」や「投資による効果」を客観的・定量的なデータで経営層に説明しきれていないという壁に直面していることが伺えます。

こうしたセキュリティに関する費用対効果を厳密に算定していくことは困難なケースが大部分ですが、一方で経営層・対応現場間での日ごろからのコミュニケーションと事業観点でのリスク評価、インシデント時の影響の理解が予算、投資の観点でも重要です。

Assuredは、取引先企業やクラウドサービスのセキュリティ対策状況について、第三者の専門家が評価した客観的かつ標準化されたセキュリティ評価情報を共有管理するプラットフォームを構築しています。

このプラットフォームを活用することで、サプライチェーン管理の観点においては、客観的・定量的なデータに基づいた取引先のリスク評価が可能になります。また、評価を受ける取引先側も、自社のセキュリティ対策の立ち位置を標準値と比較し、必要な対策を明確に可視化できるようになります。

今後もAssuredは、客観的なデータに基づいた実効性の高い経営判断をサポートできるよう、サービスの向上に継続して取り組んでまいります。

真藤直観

監査法人にてSOC1, SOC2レポート業務を経験後、インターネット企業にて内部統制構築業務を推進。その後、再び監査法人にて金融機関のシステムリスクにかかわる監査・アドバイザリー業務に従事したのち、セキュリティ評価プラットフォーム「Assured」を運営する株式会社アシュアードに入社。セキュリティ領域のセキュリティエキスパートとして評価業務、顧客支援、事業開発等に携わる。主な資格：CISA、システム監査技術者、CIA