ひとり情シス協会とスプラッシュトップが「日米デジタルエンゲル係数比較調査」でセキュリティリスクを指摘
2023年3月16日、一般社団法人ひとり情シス協会とスプラッシュトップ株式会社は、「日米デジタルエンゲル係数比較調査」を発表しました。昨年、リモートワークの実態調査の発表を行い、今回が2回目の共同発表となります。今回は日本と米国の中堅中小企業のデジタル投資を比較し、具体的にどのような違いがあるのかを明らかにしました。
さらに、スプラッシュトップの行った「企業・団体の無料リモートアクセスツールに関する実態調査」によって、日本の中堅中小企業のデジタル投資が低い金額に抑えられていることから、無料のリモートアクセスツールの利用が続くなど、セキュリティ被害が起こる要因のひとつとなっていると分析されました。
日米のIT投資実態を知る
はじめに、ひとり情シス協会の事務局・清水博氏が、日米の中堅中小企業のIT・デジタル投資動向を比較する「日米デジタルエンゲル係数比較調査」を発表しました。この調査は、2022年10月から2023年2月までの約半年の調査期間に、従業員数20人から200人の中堅・中小製造業を対象に、米国153社、日本453社から有効回答を得ています。
デジタルエンゲル係数とは
今回の調査結果については、「デジタルエンゲル係数」という指標で評価し、企業の販管費におけるIT・デジタル投資比率をデジタルエンゲル係数としています。
「エンゲル係数とは、家計に占める消費支出のうち食料費の割合を算出しているもので、貧困国では支出中のエンゲル係数が高くなると言われています。例えば、直近のデータでは日本のエンゲル係数は27.5%で、一世帯あたり7万9988円と、80年代以降で最も高くなっています。それに対し米国は15.3%と日本の約半分程度。金額は11万4551円と高くなっています。」(清水氏)
「これは労働生産性の違いなどが原因となっているのではないかとも推測できますが、同じことがデジタル利用のエンゲル係数でも言えるのではないでしょうか。今やITやデジタル化は企業存続に欠かせないものとされています。優先的にIT投資を行っているのであれば日本のデジタルエンゲル係数は高くなり、売上が伸び悩みIT投資に回す資金がないとなるとデジタルエンゲル係数が低くなるでしょう」と清水氏は問題提起します。
IT投資状況の見極めが重要
通説では、日本の大手企業では売上高の1%前後、中堅中小企業では2~3%が一般的なIT投資金額とされています。米国では、販売管理費の5%がIT運用の平均金額で、中小企業は7%と言われてきました。
しかし、この数値も業種・業界・業態により利益率が異なるので、「全ての企業に当てはまるわけではありません。日本の1%、米国の5%という数値も、20年以上言われていることになるので、実際のデータは現時点でははっきりわかりません」と、調査によってIT投資状況を見極めることが必要だと清水氏は指摘しています。
また、最近のIT投資では、企業ユーザーに新たな課題が出てきました。サブスクリプションモデルの台頭です。クラウドの利用をはじめ、アプリケーション購入など、従来の買い切りではなく、月次や年次など定期的に支払いを行うのがサブスクリプションモデルです。
「従来、買い切りの時代には、中堅中小企業は業績がよい時にパソコンを入れ替える、サーバーを導入するといったやり方をとってきました。オリンピックサイクルと呼ばれる、数年に一度投資を行うスタイルです。しかし、サブスクリプション方式で提供されるIT機器やサービスが増え、毎年コンスタントに費用を支払うことが難しいと考える中堅中小企業が増えています。これまでのオリンピックサイクルから、毎年支払っていくことができるよう、支出の考え方を変える必要が迫られているのです」(清水氏)
米国と3倍の格差となった日本の製造業デジタルエンゲル係数
IT支出について考える際、参考になるデータが示されました。米国の企業が従業員1人にどれくらいITコストをかけているのか算出したデータです。企業規模ではなく、製造・流通、金融サービス、ハイテク、小売り、病院という5つの業種のデータが出ています。最もITコストをかけているのは金融サービスで1人あたり263万円、今回の調査対象となった製造・流通は88万円となっています。
日米の中堅中小企業のIT投資費用であるデジタルエンゲル係数を比較した数値も示されました。調査対象の日本企業の売上平均は14億円、米国企業は売上18億円を比較した場合、日本企業の従業員1人あたりのITコストは9万3710円で、デジタルエンゲル係数は4.3%。それに対し、米国企業の従業員1人あたりのITコストは52万1360円で、デジタルエンゲル係数は12.7%となりました。
清水氏はこの結果について、「日本企業と米国企業では、デジタルエンゲル係数が約3倍の差があります。さらに従業員1人当たりのデジタル投資は約5倍の違いです。これを売上におけるIT投資費用で見ると、日本の中堅中小企業のIT投資コストは売上の1%も満たせず、0.7%にとどまりました。対して米国企業は、2.9%とやはり大きな違いがあります」と日米で大きな差が出ていることを指摘しています。
“攻めのIT”のSaaS投資額が低い日本
日米企業のIT投資の内訳を比較すると、いくつか注目すべきポイントがあることが明らかになりました。一つ目は外部リソースの活用の点で、22倍と大きな差がついています。
清水氏は日米の差について「元々米国では、ITリソースを外部調達する習慣があり、コンサルタントビジネスが昔から発達しています。日本の中堅中小企業はひとり情シスや少人数情シスで運営していますが、何らかのプロジェクトを実施した場合、一時的にITリソースが切迫します。このような場合に、外部パートナーに依頼する費用の捻出力やその価値を正しく評価する姿勢は、米国企業の方が日本企業よりも明らかに進んでいます」と分析します。
もう一つ、日米で大きく差がついたのがクラウドサービス、SaaSの活用です。日米で17.1倍の差がついています。また、情報システム部門の人件費も日米で9.7倍の差がつき、セキュリティ対策費用も9.3倍と大きな差がつきました。
SaaSは、”攻めのIT”として利用することが多いものです。日本は米国に比べ、”攻めのIT”への投資が遅れていること、さらに、セキュリティ対策費用という”守りのIT”のコストも遅れを取っていることが明らかになりました。
セキュリティリスクに対する無防備が露呈
「セキュリティ対策費用がこれだけ差がついているということは、日本企業は事実上無防備な状態となっているのではないかと考えられます。また、ソフトウェアのライセンス投資についても3.8倍と大きな差があることから、毎年のソフトウェアの更新やアップデート費用、サブスクリプション投資を行うことが十分に出来ていないのではないでしょうか」と清水氏は指摘します。
「従業員1人あたり、9万3710円という費用がITコストとして十分なのかという話です。日本のIT投資額の平均値は、ITコストとして最低限必要な費用も満たしていないのではないかと考えます」
さらに清水氏は、「本来、充実したIT環境を実現するためには2人以上のスタッフを置き、さらに必要な場面では外部サポートに依頼することが望ましいと言えます。ところが、そうなるとデジタルエンゲル係数が20.3%ほどかかることになります。」
「売上あたりで見ると、実際の平均値は0.7%で、1%に満たない数値になっています。最低限のコストとしては1.8%、充実したIT環境となると3.2%は必要になるのではないでしょうか。製造業に限っては、やはり1%、2%、3%でそれぞれラインがあり、目指す数値としてそれなりの指標になると考えます」と述べました。
低いセキュリティコストが被害を増大させる実態
IT投資額が低く抑えられていることで、様々な問題も起こっています。例えば社員が利用するパソコンのリプレース期間が長期化していることがあげられます。
清水氏は「セキュリティに関してはかなりシビアで、1人あたりにかけている対策費用は2650円というのが日本の実情です。対して米国企業は、一般的にはIT運用コストの5%から10%をサイバーセキュリティ対策に投資していると言われますが、実際には1人あたり2万4700円で、日本とは約10倍の差がついています。」と述べました。
さらに、「Emotetの検出台数は、日本が突出して多いことが明らかになっており、これは日本のセキュリティ投資額が低いことと無関係ではないと思われます。我々は極めてセキュリティリスクの高い国に住んでいることになります」(清水氏)と日本では十分なセキュリティコストを確保することができないことも問題のひとつであると指摘しています。
製造業のランサムウェア被害
「日本の製造業がランサムウェアの集中放火を浴びています。IoTブームで工場にインターネットを導入し、古い制御用コンピュータがインターネットに接続されたことで、セキュリティ対策されていない箇所が攻撃に遭いやすくなりました。また、製造業の場合、部品購入や下請け企業とのやり取りなど、他の業界よりもメールやり取りが多いことで、セキュリティ被害に遭いやすい環境となってしまっています」(清水氏)
こうした被害を避けるために、清水氏は米国の事例を説明しました。「米国の中堅中小企業のガイドラインは四半期に1度は従業員全員にセキュリティトレーニングを実施することが推奨されています。営業スタッフが参加を怠るとアカウントロックするなど厳しい対応を実施します」
日本では営業スタッフなどからあがる「外出先でパソコンを起動する際、時間がかかるためセキュリティソフトを外して欲しい」というような要望がでることも多いですが、毅然な対応も必要だと強く訴えました。
「米国ではデータ漏えいが起こった際、すぐに訴訟騒ぎになります。何かトラブルがあれば弁護士に連絡する、警察や法執行機関に連絡することが義務づけられ、その対応をしなかった場合は1日あたり数万ドルのペナルティが科せられるなど厳しいリスクがあります。それに対し日本では、特に中堅中小企業は自主性に任されるので、どうしてもセキュリティ対策が甘くなる傾向があります。最近のセキュリティ事故の顛末を見ていると米国のペナルティを上回る被害金額です。」(清水氏)
日本でも、大きな被害をもたらすセキュリティ被害を起こす可能性があることを認識し、きちんと予算をとってセキュリティ対策をする必要がありそうです。
無料リモートアクセスツール利用の実態を調査
スプラッシュトップ株式会社のチャネルセールスマネージャーの中村夏希氏は、「企業・団体の無料リモートアクセスツールに関する実態調査」について発表を行いました。
この調査は2023年1月に、情報システム担当者3189人を対象に調査を行っており、日本企業の最新の無料のリモートアクセスツール利用に即した内容となっています。
無料リモートツール利用が全体の約6割
無料リモートアクセスツールの利用経験を聞いたところ、全体の約6割が「利用したことがある」と回答しました。中村氏は無料ツール利用者が半数を上回っている要因として、「やはりコロナのパンデミックが起こった時に、予算が限られている中で従業員のテレワーク環境を整えなければならず、迅速に導入を迫られて、無料のテレワークツールを採用したことが背景になっているようです」と分析しました。
ところが、今回の調査でコロナによるパンデミックが起こってから3年が経過した2023年になっても、85%の企業が現在も無料ツールを使用していることが明らかになりました。
「無料ツール利用に対し、セキュリティに関する不安があるかを質問したところ、54.3%が無料ツールに対しセキュリティ面で不安を感じていると答えており、半数以上の企業が不安を感じながらも無料ツールを使用しているという結果となりました。今回、多くの中堅中小企業がテレワークに無料リモートアクセスツールを使用している実態が明らかになりました。要因として、日本でセキュリティ対策コストが制限されている状況が、少なからず影響しているものと分析しております」(中村氏)
無料ツールのセキュリティリスクへの認識
テレワーク自体は利便性も大きいものの、不正アクセスや脆弱性から不正侵入を起こすリスクなどがあることがセキュリティ専門家から指摘されています。安全が確保されていないまま、無料リモートアクセスツールを使い続けることはセキュリティリスクを高めることにつながります。
ところが、日本の中堅中小企業のセキュリティ対策費用は限られており、十分なセキュリティ対策を取ることができません。セキュリティ対策を実施する際に必要となる人員数も限られ、中堅中小企業は、セキュリティ対策上、厳しい状況にあります。
「スプラッシュトップでは、安全にテレワークを実施していくため、多要素認証など製品自身のセキュリティ性能を高めていくこと、セキュリティ教育など、”守りのIT”の導入を実施することを推奨しています。コストを抑えながら、十分なセキュリティ対策を実施するためのノウハウなどについても、引き続き情報発信していくことで、中堅中小企業の皆様のセキュリティリスクを低減できるような取り組みをしていきたいと考えています」(中村氏)
IT資産見直しで適正な予算配分を
IT投資にかけられる費用が限られる日本の中堅中小企業が、セキュリティ対策などを見直すために、清水氏は次のようにアドバイスを行いました。
「中堅中小企業の経営層の皆様にお願いしたいのは、ITに関わる費用を一度棚卸しをしてくださいということです。その金額の販管費に占める割合についても見直しを行ってみてください。実際にここまで把握している企業は少なく、今回の調査で『初めてIT費用の総額を算出した』というものでした。IT費用の棚卸しと販管費に占める割合を見直すことで、何が出来て、何が出来ていないことかが明らかになることが多かったです」
IT資産と費用の棚卸しを行ってみると、「使われないソフトにお金を払い続けていた」ことが明らかになることもありました。本来は支払う必要がないもの、コストをかけるべきものの実態を明らかにすることだけでも、デジタル化やセキュリティ対策を強化する第一歩となります。
情報システムを担当しているスタッフに十分な処遇がされていなことも多いです。年度の変わり目である3月は、スタッフが退職する時期です。今年も多くの方が転職されました。その原因として仕事の内容に対して十分な給与を支払っていないこともありますが、現状のシステムに投資されない状況における不安からの脱出も少なくありません。IT人材の給与面と共に、システムの適正化やセキュリティ対策などを考慮しないと人材の定着は難しいかもしれません。
まずはセキュリティ教育が有効
セキュリティリスクを抑える”守りのIT”に不可欠なのが、セキュリティ教育です。技術の進化が続くITの世界では、どういったセキュリティ対策が必要となるのか、社内でも日々啓発や情報発信が重要です。
「セキュリティに対する考え方やITトレンドは、どんどん変わっています。それを正確にキャッチアップするために社内の従業員向け教育が重要です。セキュリティ教育には、メールに添付されているファイルをむやみに開かないといった初歩的なところから、最新のインシデントなどがあります」(中村氏)
「ITの専門家ではない企業の場合、自分たちだけでセキュリティ教育を実施するのは難しいかもしれません。社外パートナーを見つけ、パートナーのリソースを活用し、専門家によるトレーニングを実施し、全社のセキュリティに対する認識をあげていくことも有効だと思います」と中村氏は外部企業との連携が有効になるとアドバイスしました。
ひとり情シス協会の清水氏は、中堅中小企業の情報システム担当者は、ITの経験値が浅い総務部門など他部署からの異動や兼任で務めることが多い実態から次のように話しました。
「ひとり情シス協会では、大学の1日コースとしてIT経験3年未満を対象にした基本を学べるコースを開催し、新たに情報システム担当者となった方を支援しています。他部門からひとり情シスとなった方の7~8割は経理や総務など管理部門に所属していた方です。そういう方はITの専門知識はないものの、経営層ときちんとコミュニケーションを取ることができるという強みがあります。」
「社内でセキュリティを徹底しましょう!と呼びかける際に、長年総務で働いてきた方は社内に周知徹底することの経験値があります。逆に外から専門家を起用して情シス担当にしても、会社のカルチャーに合わずに相互の期待値のズレにより退社することも度重なってきています。ITの専門家ではない方向けに、ひとり情シス大学1日コースセキュリティ特別講座をスプラッシュトップさんにも協力して頂いて、我々も取り組んでいきたいと考えています」(清水氏)
中堅中小企業が社内セキュリティ強化を実践するためには、社内リソースに頼るだけでなく、社外の専門家の力を借りて定期的に新たなセキュリティ侵害を起こす要因や基本的なセキュリティ対策を学ぶ機会を持つ必要がありそうです。
ひとり情シス協会とスプラッシュトップは、中堅中小企業向けに「ひとり情シス大学セキュリティ・リスキリング特別講座」をオンラインで開講しました。どなたでもお申し込みをいただきますと、特別講座を無料でご覧いただくことができます。(公開期日:2024年4月12日迄)