「GMOサイバーセキュリティ大会議」トップリーダーサミット・レポート

ブレーキ（セキュリティ）があるからアクセルを踏める　経営者たちのセキュリティ投資に対する本音

2025年04月11日 11時00分更新

文● 柳谷智宣　編集● 福澤／TECH.ASCII.jp

　2025年3月6日、GMOインターネットグループは、「GMOサイバーセキュリティ大会議＆表彰式2025」を開催。本イベントでは政府や自衛隊、民間の専門家らが一堂に会し、日本が直面するサイバー脅威への具体的な対応策や今後の展望について熱く語られた。

　今回は、「セキュリティ投資に対する本音」が語られたトップリーダーたちによるパネルディスカッションをレポートする。

「事業成長とセキュリティ投資のバランス」というタイトルでパネルディスカッションが開かれた

経営者がセキュリティ投資に悩む「3つの理由」

　まずは、モデレーターを務める、GMOインターネットグループの代表取締役グループ代表会長兼社長執行役員・CEOである熊谷正寿氏から、セキュリティ投資の現状について語られた。

GMOインターネットグループ代表取締役グループ代表会長兼社長執行役員・CEO 熊谷正寿氏

　セキュリティ投資は、企業経営者にとって最も難しい意思決定のひとつだという。日々、成長と利益を追求するよう投資家から強いプレッシャーを受けている一方で、顧客の情報や企業資産を守り、結果としてブランド価値を維持するセキュリティ対策も怠れない。この2つの要求は「本質的に相反しており、ここに経営者のジレンマがある」と熊谷氏。

　経営者の本音としては、セキュリティ投資は「企業価値向上のための投資」とうたわれるが、現時点では「コスト」として捉えられているのが現状だ。顧客に良いサービスを提供して喜んでもらい、収益を上げることが成長であり、そのためには利益を出さなければならない。しかしセキュリティ投資はその利益を圧迫する要因になりうる。

　熊谷氏は、経営者がセキュリティ投資に悩む理由を3つ挙げる。ひとつ目は、「費用対効果が見えにくい」こと。情報漏洩したかしていないかの二択しかなく、投資の成果を数値化しにくい。2つ目は、「どれだけ投資しても、それは当たり前のことにしか評価されない」こと。社内のあらゆるデバイスを守っていても、顧客からは「漏らさないのが当然」と思われている。そして3つ目は、「どの程度の投資が適切なのか明確な基準がない」こと。セキュリティ対策はありとあらゆることができ、際限なく投資できてしまう。

　この状況をさらに複雑にしているのが、年間4万件以上、対前年比3割増という膨大な数の脆弱性の発見だ。1日あたり約100件の脆弱性が見つかっており、レベルは軽微なものから深刻なものまで様々だが、企業システムの“穴”は次々と明らかになっている。こうした環境下で経営者は、「このくらいで十分か」「過剰投資ではないか」と常に自問しながら、誰も明確な答えを持たない問題に向き合っているという。

　政府や経産省も経営者向けのレポートを発行しているが、それらを読み解いても、結局は「サイバーセキュリティは企業価値向上のための投資だ」という理想論に終始している。しかし現実の経営判断の場では、成長投資とセキュリティ投資のバランスをどう取るべきかという難題に、各社が手探りで対応しているのが実情だ。

「よく効くブレーキ（セキュリティ）があるからアクセルを思いっきり踏める」

　それでは、経営者は実際にどうセキュリティ投資と向き合っているのか。パネルディスカッションに登壇したのは、LINEヤフーの代表取締役会長川邊健太郎氏、ドリコムの代表取締役社長内藤裕紀氏、delyの代表取締役CEO 堀江裕介氏の3名だ。

GMOインターネットグループ代表取締役グループ代表会長兼社長執行役員・CEO熊谷氏（以下熊谷氏）：経営者はセキュリティ投資に関して、非常に難しい決断を日々求められています。皆さんはどうお考えでしょうか。

LINEヤフー代表取締役会長川邊健太郎氏（以下川邊氏）：今説明のあった課題認識の通りですね。ただ、会社の事業が「BtoCなのかBtoBなのか」さらに「BtoCでも個人情報をたくさん扱うかどうか」でも、セキュリティの投資に対する考え方は変わると思います。当社は、BtoCかつ、膨大な個人情報を持っていますので、当然セキュリティに最も取り組まなければならない会社だと認識しています。

常に考えているのは、アクシデントが起きてから対策を強化するのを止めて、事前に守りたいということ。そして、景気が悪くなって経費削減をする時も、セキュリティは削らないということです。

「よく効くブレーキがあるからアクセルを思いっきり踏める」と言われますが、まさしくその通りです。我々は常に成長する必要がありますが、それはやっぱりセキュリティというよく効くブレーキがあるから攻められるのです。当社では、予算全体に対して一定程度の割合をセキュリティに当てると決めています。

LINEヤフー株式会社代表取締役会長川邊健太郎氏

熊谷氏：セキュリティ投資に関する予算を売り上げのパーセンテージで決められてらっしゃるのですか？

川邊氏：比較的、多いと感じであろう金額でやっていますが、大事なのは不景気の時にも削らなくてよい水準を保てるかどうかです。当然、何も起きないのがベストですけども、技術が日進月歩だと、何か起きます。その時に「そこまでやっていたのならしょうがないよね」と思われるような規模を保っています。

ドリコム代表取締役社長内藤裕紀氏（以下内藤氏）：社内のセキュリティチームと「イベントに登壇してうちの会社が何を対応していて、何を対応していないという話をすること自体リスクが高いよね」と話をしつつ、本日は登壇させていただきました（笑）。我々は売り上げの何割というのではなく、社外の会社さんたちも含めて、ガイドラインとして「ここはマスト、ここはベター」というやるべきことをアップデートしながら、セキュリティに取り組んでいます。

我々も、BtoCですが、個人情報は取り扱っていません。その状態で、「ここまではやろう」というラインを決めています。このガイドラインはあった方が絶対にいいのですが、そのガイドラインを見て（サイバー犯罪者が）攻めてくるので、いたちごっこ的なところもあり、難しいなと感じています。

ドリコム代表取締役社長内藤裕紀氏

dely 代表取締役CEO 堀江裕介氏（以下堀江氏）：基本、リスクのコストと予防のコストをどう天秤にかけるかだと思っています。インシデントが発生して、数十億円の損害賠償を出して、会社が一発で潰れるというケースを考えると、リスクは大きいです。実際、我々の業界でもいくつかのサービスが一発退場になっています。それに対する一定の予防コストは、当然必要だと考えていますが、どれくらいかは業種によって変わると思っています。