「他社のランサム被害」を予算に変えろ 情シスが経営層に突きつけるべきセキュリティの現実:大手企業の7割が「予算増額」に転じた決定打
経営層のセキュリティ意識は高まっているが、依然として「ROIの説明」が壁となっている。大手企業調査で見えた、予算増額成功の理由と、決裁者が首を縦に振る「ビジネス言語」とは。
2026年の企業経営において、セキュリティはもはや情報システム部門の一業務ではなく、企業の存続と社会的信用を左右する最優先の経営課題へと昇華している。この背景には、大手企業を標的としたランサムウェア(身代金要求型マルウェア)攻撃の激化と、それに伴う事業継続への深刻な打撃がある。攻撃者はAI(人工知能)技術を駆使し、防御側の検出を回避する巧妙な攻撃手法を確立させている。
セキュリティを強化するにはインフラ構築や運用への投資が必要だが、予算の確保は情シスにとって積年の課題だ。しかしここにきて、セキュリティの重要性に対する企業経営陣の理解が高まっていることが分かった。セキュリティの信用評価ツール「Assured」を提供するアシュアードが2026年1月20日に発表した調査結果によると、大手企業で経営陣のリスク意識が高まり、セキュリティ予算が増額傾向にある。その背景には何があるのか。
増額の背景と、経営陣を動かす「ビジネス言語」
アシュアードの今回の調査は、2025年12月に、従業員数1000人以上の企業に勤める情報システムまたはセキュリティ担当者500人を対象に実施された。特筆すべきは、企業の防衛意識が「侵入をいかに防ぐか」という境界型防御から、「侵入を前提にいかに早期復旧するか」というレジリエンス(回復力)の確保へとシフトしている点だ。
企業の投資意欲は、セキュリティリスクの増大を反映して極めて高い水準を維持しているという。今回の調査によれば、回答者の75.9%がセキュリティ予算を前年度比で「増額」した。この傾向は、経営層がセキュリティリスクをコストではなく、事業継続のための投資として捉え始めた結果だと言える。
セキュリティ予算増額を決定付けた大きな要因は、アスクルやアサヒグループホールディングス(アサヒGHD)を標的にしたランサムウェア攻撃を中心とした重大なインシデントの多発だ。回答者の62.6%がこれを最大の理由として挙げた。大規模なランサムウェア被害の事例が、決裁権を持つ情シス部長クラスに「恐怖」と「警告」として強く認識されているようだ。
他には、法規制への対応(48.3%)や、DX(デジタルトランスフォーメーション)推進に伴うシステムの変化(46.9%)も、セキュリティ予算増額の因子となっている。特に2025年10月の「Windows 10」サポート終了(EOS)に伴う移行作業や、BroadcomによるVMware製品のライセンス体系変更といった外的要因の激変が、予期しないコスト増とセキュリティ対策の再編を企業に強いている。
投資の優先順位においては、「データ保護/バックアップ/復旧」が63.6%で首位となった。これは、万が一攻撃を受けた際でも、データを確実に復元し、ビジネスを早期に再開させる能力を重視する傾向を反映している。「ネットワークセキュリティ/ゼロトラストセキュリティ」が62.6%で続き、従来の境界型防御から、全ての通信を継続的に検証するゼロトラストアーキテクチャへの移行が加速していることがうかがえる。
経営陣を説得するには
今回の調査で、深刻な構造的課題として浮かび上がったのが、経営層の「意識」と「理解」のギャップだ。回答者の76.2%が経営層のセキュリティ意識は「高まった」と感じている一方で、77.0%が経営層への投資対効果(ROI)の説明に課題を感じている。具体的には、「リスク評価結果と投資額の関連付けが難しい」が47.6%で最多となった。
経営層は、連日のニュースを通じて「セキュリティが重要であること」は理解しているが、「いくら投資すれば、リスクがどの程度低減されるのか」というビジネス言語での説明を求めていると解釈できる。情シスは依然として技術的な脆弱(ぜいじゃく)性やセキュリティ製品のスペックを軸に説明する傾向があり、ここに情報の非対称性が生じている。
Copyright © ITmedia, Inc. All Rights Reserved.