セキュリティ投資の現状
まず、企業における情報セキュリティ対策への支出の状況について触れる。アイ・ティ・アールでは、企業におけるIT投資の動向について、国内企業のIT導入にかかわる意思決定層を対象に調査を実施している。
2008年9月に実施された最新の調査では、回答企業全体の平均として、IT予算における13・4%を情報セキュリティ対策に投じているという結果が示された│図1│。この結果を過去からの経年変化で見ると、2006年度と2007年度は14・5%の同率で推移していたものの、2008年度には1・1ポイント減少することとなり、わずかではあるものの対策への費用が縮小傾向にあることがうかがえる。
また、同調査が2008年の9月に実施されていることと9月以降で国内の経済状況が更に悪化しているということを鑑みると、2009年度の情報セキュリティ対策費用は一層減少する可能性が高いと考えられる。
図1では、2008年度における企業規模別(従業員数)の内訳も示しているが、IT予算に占める情報セキュリティ対策費用は、規模が大きい企業ほどその比率が小さく、反対に小規模な企業であればあるほど同比率が大きくなるという特徴がうかがえる。
これは例年に共通して見られる傾向であるが、この背景には規模効果が考えられる。情報セキュリティ対策には、アンチウィルスなどのように従業員数が増加すればその分費用額が増加する分野もある一方で、ファイアウォールなど規模を問わずどの企業においても必要となり、かつ単価が相対的に高いという分野が主流となっている。
そして、IT予算の上限は売上高の規模に比例しているという一般的な状況からは、IT予算の絶対額が多い大規模な企業であればあるほど、対策費用の相対的な比率が抑えられていくということになる。
企業規模が大きいほど情報セキュリティ対策への費用が小さくなってはいるものの、同一の企業規模であれば費用の水準も同一であるとは限らない。抜本的な施策を講じるために特別予算を別途確保し、ある時点で大規模な投資を行うという企業も存在していないわけではない。
また、業種や事業内容により注力の度合いに差が生じていることも考えられる。これについて、前述の比率の中央値を取ってみると、2008年度では全体の結果は7・0%となり、企業規模別においてもそれぞれ大企業が5・0%、中堅企業が7・9%、中小企業では10・0%となっている。
これらの数値は、前述の平均値での結果よりも低い水準となっており、その差も比較的大きい。こうした結果からは、類似の企業規模であっても対策への注力度は企業によって異なり、少数ながらも突出して高い比率を示している企業が存在しているという状況がうかがえる。
