標的は中小企業に移行か……「1円も投資していない」30％超の企業に訴える、まずは“ゼロ円対策”から

費用捻出が壁に──7割以上の中小企業が“都度決裁”の現状

　なぜ日本企業はセキュリティに投資できないのか。清水氏によると、中小企業でIT予算を事前に決めている会社は23％しかない。残りの77％は都度決裁で、その時々の業績で投資を決める大福帳管理だ。

　この方式はサブスクリプション型セキュリティサービスとの相性が悪い。清水氏は「毎年バラバラの金額でIT投資をしていると、毎年更新が必要なセキュリティには予算が捻出しづらい」と説明する。更新時期に「今年は業績が厳しいから」と契約を切られるリスクが常につきまとう。

　管理会計を導入している企業は、米国の68％と比べて、日本は28％とかなり少ない。製品ごとの売上やコストの配分など経営の見える化がしにくく、IT投資の必要性を数字で示すことも難しい。実際、日本企業のIT投資は売上の0.7％で、米国の2.9％の4分の1以下。しかも1人あたりの売上や利益も米国のほうが大きいため、実際の金額では10倍近い差になる。

　加えて清水氏は、100～300名規模の企業はコストメリットが出にくいという事情も指摘。「中小企業だからといってセキュリティ対策が大企業の半分で済むわけではない。1,000人規模ならライセンスの割引もあるが、100名前後では1人あたりの投資が非常に割高になる」と清水氏。セキュリティ対策費用を捻出するのが難しい状況になっている。

最終判断は経営者の“直感”に委ねられる？　逆手に取る交渉も

　セキュリティ事故の発生確率は1.9％で、98.1％の企業は現時点で被害に遭っていない。この数字を見て「うちは大丈夫」と考える経営者は少なくないだろう。しかし実際には、交通事故の発生率0.5％や、がん罹患率（勤労世代）1.3％より高い。また「セキュリティ事故のヒヤリハット」は15.7%が経験している。

　注目したいのは経営者の意思決定プロセスだ。調査によると、上級役員の68％が「直感を優先する意思決定」をしているという。下位役員では41％なのに、上に行くほど直感重視の傾向だ。たとえば「周囲が工場の進出をやめろと言ったのに、あえて行って成功した」といった武勇伝を語る経営者は珍しくない。直感的な判断で成功した経験が多いのだ。

　セキュリティ投資でも同じことが起きる。それまで消極的だった経営者が、会社の業績が良くなり社員が忙しそうにしている様子を見て、突然「虫の知らせがする」と言ってセキュリティ投資を決断することがあるという。清水氏は「経営者がセキュリティ投資を必要ないと言ったとき、『最終的には経営者の直感で決まることが多いですよ』と伝えると、考えてくれやすい」と、経営者との対話のコツを明かした。

　そもそも投資以前に、見落とされがちなリスクもある。清水氏が最後に強調したのは内部脅威だ。米国データでは、セキュリティ事故の34％が内部要因、そのうち62％が誤送信やデータ消去などの過失。その20～40％がストレスに起因するというデータもある。

　中小企業でストレスチェックを実施しているのは32.3％のみ。清水氏は、中小企業の情シスは大企業より満足度が比較的高いものの、「会社全体のセキュリティも大事ですが、情シスの方自身のセキュリティも非常に大事。自分が壊れては仕方がないのでぜひ留意してほしい」と、日々奮闘するひとり情シスの担当者を気遣うメッセージで締めくくった。