セキュリティ対策はもう「コスト」ではない 経営層の意識を変えた背景とは：IT調査ピックアップ

国内のサイバーセキュリティ市場の拡大が続いている。背景にある、セキュリティに対する経営層の意識の変化と、その変化を促した最近のセキュリティをめぐる情勢とは。

[エンタープライズ編集部，ITmedia]

　市場調査を手掛ける矢野経済研究所は2026年6月3日、国内のサイバーセキュリティ市場の調査結果を発表した。2025年度の市場規模は、事業者売上高ベースで前年度比9.2％増の1兆9471億円に達したと推計している。

サイバーセキュリティ市場規模推移・予測（出典：矢野経済研究所のプレスリリース）

　市場拡大を支えているのが、セキュリティ投資に対する経営層の姿勢の変化だ。これまでセキュリティ分野への投資は、平時を保つための費用、つまりコストと受け止められることが多かった。同社によると、特に中堅・中小企業では、攻撃者から狙われる可能性は低いとみて、投資に消極的な企業も見られたという。

　今、経営層のセキュリティに対する意識は「IT部門が担う技術的な業務」から、「事業を継続するための経営基盤そのもの」に変わりつつある。何がこの変化を促したのか。

経営層の意識を変えた状況とは

　背景にあるのは、サイバー攻撃の「民主化」と低コスト化、そして攻撃の入口の増加だ。

　矢野経済研究所によると、攻撃の「民主化」とは、生成AIなどによって、専門的な知識がない組織や人が容易に攻撃を仕掛けられるようになった状況を指す。高度な技術や高価な機材を持たなくても攻撃できるようになっている。

　攻撃を受ける側の環境も変わった。クラウドの利用やIoTが広がり、働き方の変化でテレワーク向けのモバイル端末やネットワーク環境が多様化した。守るべき範囲が社外にも広がり、攻撃の入口が増えている。こうした要因が重なって被害が拡大していると同社は指摘する。

　被害を受けた企業の報告から、日常業務が継続できなくなることや、復旧までに時間がかかることも分かってきた。サイバーセキュリティと事業継続（BCP）の重要性が改めて認識されるようになり、経営層の意識が変わった、と同社は分析している。

企業の備え、どこまで進んでいる？

　矢野経済研究所によるアンケート調査には、サイバーセキュリティの成熟度に関する設問もある。サイバーセキュリティにおけるプロセスの文書化の有無や、取り組みの規模、継続的な改善の度合いに応じて5段階で評価した。最も低い「レベル1」は、「対策のプロセスが未整理で文書化もしていない」段階を指す。最も高い「レベル5」は、「既存のプロセスから得た知見をもとに継続的に改善している」段階だ。

サイバーセキュリティの成熟度（出典：矢野経済研究所のプレスリリース）

　今回の回答の平均値は3.0だった。「レベル1」と「レベル5」はそれぞれ1割に満たず、多くの企業が「レベル2」〜「レベル4」に分布している。平均の「レベル3」は、「会社が定めた文書化された手順に基づいて部分的に取り組んでいる」段階に当たる。これを受けて矢野経済研究所は、「やや不安が残る結果」だと指摘している。

市場の拡大は続く？

　矢野経済研究所は、2026年度の国内サイバーセキュリティ市場規模を前年度比9.0％増の2兆1220億円と予測する。市場の拡大はその後も続き、2028年度には2兆4480億円規模に達する見込みだ。

　今後市場を占うカギの一つになるのがAIだ。同社は、中長期的にはAIエージェントがセキュリティ製品に組み込まれることで、セキュリティ運用の自動化が進むと予測する。

　販売面では、これまで日本市場で広がってこなかったマーケットプレイス（製品の販売や調達を行うオンラインショップ）経由の販売が増えている。外資系大手企業がマーケットプレイスを活用する傾向は続く。これらに加えて、2030年前後には量子コンピュータによる暗号解読のリスクへの対応も検討が必要になる可能性があると同社は分析している。