結論:「事故が起きてから考える」が成立した時代は終わっている
セキュリティ予算の稟議が毎年同じ理由で落ちる会社がある。「売上に貢献しない」「今年も何も起きなかった」「事故が起きてから考えればよい」。この査定の根底には、セキュリティ投資を「掛けても掛けなくてもよい保険」と見なす発想がある。だがこの発想は、事故時の総コスト、サイバー保険の引受条件、取引先からの要請という三つの現実によって、すでに成立しなくなっている。予算ゼロ査定は「堅実なコスト管理」ではなく、事業停止・取引喪失・無保険という三重のリスクを無自覚に引き受ける経営判断である。
- セキュリティ投資を「保険」と見なす査定は、事故時の総コスト(復旧・フォレンジック・事業停止・信用毀損)が平時投資を大きく上回る逆転を織り込んでいない。
- JIPDEC「企業IT利活用動向調査2026」では、ランサムウェアの感染経験がある企業が45.8%。事故は低頻度の例外ではなく、起こりうる前提である。
- サイバー保険はEDR・MFA・バックアップの3点セットが新規加入・更新の事実上の前提となり、無投資の企業は「最後の逃げ道」である保険にも入れない。
- 取引先からのセキュリティチェックシートが事実上の受注要件になり、無投資は失注リスクに直結する。
- 稟議は「売上に貢献するか」の土俵で戦わず、事業停止リスク・取引要件・保険要件からの逆算で組み立てる。
この連載「セキュリティ対策の失敗図鑑」は、企業が実際につまずきやすいセキュリティ対策の失敗を一つずつ分解している。第9回となる本稿が扱うのは、経営層の投資判断・予算化の失敗である。「うちは狙われない」という思い込みでリスクそのものを認知できない失敗は第6回の「うちは狙われない」正常性バイアスの失敗で扱った。本稿はその先、リスクを認知した後で「分かってはいるが予算は付けない」と判断が止まる失敗に絞る。同じく経営層に起因する失敗でも、自らを例外扱いして対策に穴を開ける運用の失敗は第8回のMFAを役員だけ免除する失敗で扱っており、本稿はそのもっとも上流にある予算査定の構造を対象とする。
なぜセキュリティ予算は毎年ゼロ査定されるのか
「売上に貢献しない」という基準が構造的に不利に働く
営業システムや生産設備への投資は、売上増や生産性向上という形で効果を語れる。これに対してセキュリティ投資は「何も起きないこと」が成果であり、成功すればするほど効果が見えなくなる。その結果、「今年も何も起きなかった。だから来年は削ってよい」という逆向きの推論が経営会議で成立してしまう。投資が効いているから無事なのだと示す材料がない限り、見えない成果は査定で負け続ける。
「起きてから考える」の前提となる確率認識が崩れている
予算ゼロ査定を支えるもう一つの柱が、「事故はめったに起きない」という確率認識である。だが公表データはこの認識を否定している。警察庁が2026年4月に公表した統計では、2025年の都内ランサムウェア被害は68件で過去最多を更新し、被害の過半数(約54%)を中小企業が占め、感染経路の約63%はVPN機器の脆弱性だった(詳細は都内ランサムウェア被害68件の警察庁統計解説)。IPAの「情報セキュリティ10大脅威2026(組織編)」でも、ランサムウェアによる被害が11年連続の1位、サプライチェーンや委託先を狙った攻撃が2位、AIをめぐるサイバーリスクが初登場で3位に入った(IPA10大脅威2026の中小企業向け解説)。脅威は「大企業の話」でも「例外的な不運」でもない。
提案する側の翻訳不足が査定落ちを助長する
査定落ちの責任は経営層だけにあるのではない。情シスがEDR・SOC・脆弱性といった技術の言葉でリスクを語り、いくら失うのか・どの取引に響くのかという経営層の判断軸に翻訳しないままでは、経営層は判断のしようがない。「保険扱い」の査定は、リスクが金額と取引の言葉で示されていないことの裏返しでもある。後述する稟議の3軸は、この翻訳のための道具である。
事故時の総コストは平時投資を大きく上回る
データが示す「起こりうる前提」と復旧の現実
JIPDECが公表した「企業IT利活用動向調査2026」(ITRと共同・有効回答1,107社)では、ランサムウェアの感染経験がある企業が45.8%にのぼった。注意すべきは、これは「過去1年の発生率」ではなく「感染を経験したことがある企業」の割合である点だ。それでも約2社に1社が経験しているという事実は重い。業種別では製造業が57.1%で最多、従業員299名以下の企業でも37.0%と、規模の小ささは安全を意味しない。さらに同調査では、身代金の支払い率が57.0%から43.8%へ低下する一方、払わずに復旧できなかった割合は10.5%から13.0%へ上昇している。「身代金は払わない」という方針が主流になるほど、払わなくても復旧できるだけの平時投資——バックアップと復旧体制——が前提になるということだ(詳細はJIPDEC調査で読むランサムウェア復旧・BCP設計)。
実例が示す長期化と突発費用の規模感
事故時のコストは復旧費だけでは済まない。東証プライム上場のコタ株式会社は2026年3月27日にシステム障害を発覚させ、被害を最小限にとどめるため全サーバ・全社内PC端末等をネットワークから遮断した。ランサムウェア感染とデータ暗号化を確報として開示した第4報は6月5日——発覚から約2か月余りを要する長期戦である(コタ社の適時開示に学ぶ初動と事業継続)。同社は生産・受注・出荷業務を継続できたと開示しており、これは事業継続の備えが効いた例だが、裏を返せば、備えのない会社が同じ攻撃を受ければ約2か月にわたり事業が止まりうるということでもある。
事故時に発生する費用を整理する。いずれも平時には存在しない突発費用であり、発生後は値引き交渉の余地がほぼない買い手不利の支出である。
- 復旧・再構築費:暗号化されたサーバ・端末の復旧、ネットワーク環境の再構築。
- フォレンジック調査費:感染範囲・侵入経路の特定のための外部専門調査。
- 事業停止の逸失利益:受注・生産・出荷が止まる期間の売上喪失と納期遅延の違約。
- 通知・対応費:顧客・取引先への通知、問い合わせ対応、当局報告。
- 信用毀損:取引の打ち切り・新規取引の困難化という、決算に遅れて効いてくる損失。
平時投資は金額・時期・範囲を自社で選べるが、事故時の総コストは攻撃者と被害状況に決められる。「保険扱い」の査定は、この主導権の差を見落としている。
「保険にも入れない」——最後の逃げ道が塞がった
サイバー保険は無投資の企業を引き受けない
「平時投資はゼロにして、いざとなれば保険でカバーする」という戦略には決定的な欠陥がある。その保険自体が、平時投資を引受の前提にし始めたからだ。2026年、国内大手損保各社はランサムウェア被害の急増による収支悪化を背景にサイバー保険の引受条件を厳格化し、EDR・MFA・バックアップの3点セットが新規加入・更新の事実上の前提条件になった。バックアップは「取れているか」ではなく「戻せるか」が審査され、3-2-1ルール、オフライン・イミュータブルな保管、復元テストの実施まで確認される(詳細はサイバー保険2026年引受条件厳格化の解説)。つまり予算ゼロの企業は、リスクを抱えたまま、リスクを移転する手段からも締め出される。「事故が起きてから考える」の最後の逃げ道は、すでに塞がれている。
取引先チェックシートが事実上の受注要件になっている
もう一つの現実が取引先からの要請である。サプライチェーンや委託先を狙った攻撃がIPA10大脅威の2位に入る状況下で、発注側の企業は委託先・取引先の対策状況をチェックシートで確認するようになった。「EDRを導入しているか」「バックアップの復元テストをしているか」——答えられない企業は、既存取引の継続でも新規取引の獲得でも不利になる。セキュリティ投資はもはや自社を守るだけの「守りの費用」ではなく、取引を維持するための要件、すなわち売上の前提条件である。「売上に貢献しない」という査定基準は、この時点で事実認識として誤っている。
経営層を通す稟議の組み立て——「失うもの」からの逆算
予算を通すには、「売上に貢献するか」という問いの土俵で戦わないことだ。問いを「投資しない場合に何を失うか」に置き換え、次の3軸で逆算する。いずれも金額・取引・契約という経営層の言語で語れる。
| 説得軸 | 経営層への問い | 稟議に落とす内容 |
|---|---|---|
| 事業停止リスク | 基幹業務が止まったら1日あたりいくら失うか。何日止まりうるか | 停止想定期間×逸失利益に復旧・調査の突発費用を加え、「投資しない場合の想定損失」として投資額と並べる |
| 取引要件 | チェックシートに答えられず失注したら、どの売上が消えるか | 主要取引先からの要請・チェックシート項目の一覧と、未対応のまま失いうる取引額 |
| 保険要件 | サイバー保険の新規加入・更新ができる状態か | 3点セット(EDR・MFA・バックアップ)と自社現状の差分。未対応なら事故時の費用を保険で填補する選択肢も失う旨 |
この3軸を支える点検項目を挙げる。稟議を書く前に自社の現在地を確認したい。
- セキュリティ予算が「効果が見えない」ことを理由に毎年の削減候補になっていないか。
- 基幹業務が止まった場合の1日あたり損失額を試算しているか。
- 取引先から受けているセキュリティチェックシート・要請事項を一覧化しているか。
- サイバー保険の引受条件(EDR・MFA・バックアップ)と自社の現状の差分を把握しているか。
- 復旧費・フォレンジック費を「起きたら払う」前提のままにしていないか。
- 投資を単年度の一括要求ではなく、優先順位を付けた複数年の段階計画にしているか。
最後の項目は特に重要である。予算ゼロ査定の対極は「全部入りの一括投資」ではない。リスクの大きい順に段階投資する計画こそが、経営層にとって承認しやすく、現場で運用しきれる形になる。予算規模に合わせて何から着手すべきかを設計し、導入後の運用まで伴走する形は、GXOのセキュリティリテイナーが担っている領域であり、診断から対策の全体像はセキュリティ事業で整理している。
関連記事
- 特集トップ:セキュリティ対策の失敗図鑑
- 第6回:「うちは狙われない」正常性バイアスの失敗
- 第8回:MFAを役員だけ免除する失敗
- サイバー保険2026年引受条件厳格化|EDR・MFA・バックアップ3点セット
- IPA情報セキュリティ10大脅威2026|中小企業が優先すべき対策
- セキュリティ運用伴走(セキュリティリテイナー)
- セキュリティ事業トップ
よくある質問
Q1. セキュリティ投資は売上に貢献しないのに、なぜ予算を確保すべきなのか。
「売上に貢献しない」という前提自体がすでに崩れている。取引先からのセキュリティチェックシートは事実上の受注要件になっており、未対応は既存取引の継続にも新規取引の獲得にも不利に働く。さらに事故時には復旧・フォレンジック・事業停止・信用毀損という突発費用が発生し、その総額は平時投資を大きく上回りうる。セキュリティ投資は売上を増やす投資ではなく、売上と事業継続の前提を守る投資として評価すべきである。
Q2. サイバー保険に入っておけば、平時の投資は最小限でよいのではないか。
順序が逆である。2026年のサイバー保険はEDR・MFA・バックアップの3点セットが新規加入・更新の事実上の前提条件となり、無投資の企業は引受の審査を通りにくくなった。バックアップは「取れているか」ではなく「戻せるか」まで審査される。つまり保険は平時投資の代替ではなく、平時投資を済ませた企業だけが使える上乗せの手段である。「保険でカバーする」戦略を取るためにこそ、3点セットへの投資が先に要る。
Q3. 中小企業は狙われにくいのだから、投資の優先度は低くてよいか。
データはその認識を否定している。警察庁が2026年4月に公表した統計では、都内ランサムウェア被害68件のうち過半数(約54%)を中小企業が占めた。JIPDECの調査でも従業員299名以下の企業の37.0%が感染を経験している。攻撃者にとって中小企業は対策が手薄で侵入コストの低い標的であり、サプライチェーン攻撃では大企業への踏み台としても狙われる。規模の小ささは投資を先送りする理由にならない。
Q4. 経営層を説得するには何から始めればよいか。
技術用語ではなく金額と取引の言葉に翻訳することから始めるのがよい。具体的には、基幹業務が止まった場合の1日あたり損失額の試算、取引先から受けているチェックシート・要請事項の一覧化、サイバー保険の引受条件と自社現状の差分整理の3点を揃える。このとき「投資しない場合に何を失うか」を投資額と並べて示すと、経営層が比較で判断できる形になる。一括の大型投資ではなく、リスクの大きい順に並べた複数年の段階計画として示すことも承認の確度を上げる。
セキュリティ予算の稟議が通らない、何から投資すべきか優先順位が付けられない、取引先のチェックシートや保険の更新要件に答えられない——そうした段階のご相談こそ歓迎している。予算規模に合わせた段階投資の設計と運用の伴走は、無料相談から現状の査定資料や取引先からの要請を持ち込んでいただきたい。
出典
- 一般財団法人 日本情報経済社会推進協会(JIPDEC)「企業IT利活用動向調査2026」(株式会社ITRと共同・有効回答1,107社)プレスリリース:https://www.jipdec.or.jp/news/pressrelease/20260327.html
- 同調査 報告書・関連ページ(感染経験45.8%/製造業57.1%/従業員299名以下37.0%/支払い率57.0%→43.8%/払わず復旧できなかった割合10.5%→13.0%):https://www.jipdec.or.jp/library/it-resarch/it-resarch2026.html
- 警察庁 サイバー空間をめぐる脅威の情勢等に関する公表資料(2026年4月公表。都内ランサムウェア被害68件で過去最多・中小企業が過半数・感染経路の約63%がVPN機器の脆弱性):https://www.npa.go.jp/publications/statistics/cybersecurity/
- IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2026(組織編)」(ランサムウェア11年連続1位・サプライチェーン攻撃2位・AIのサイバーリスク初登場3位)
- 各損害保険会社の約款改定発表資料・日本損害保険協会「サイバー保険ガイド」(EDR・MFA・バックアップ3点セットが新規加入・更新の事実上の前提)
- コタ株式会社「サイバー攻撃によるシステム障害発生のお知らせ(第4報)」(適時開示・2026年6月5日。発覚3月27日・全サーバ等の遮断・生産・受注・出荷は継続):https://ssl4.eir-parts.net/doc/4923/tdnet/2832077/00.pdf