セキュリティ予算はどう決めればよいですか？

まず「今期、何を1つ優先するか」と「今期はやらないと決めること」を決めます。そのうえで、その1つに必要な範囲の予算を置くと、金額の根拠を説明しやすくなります。

予算が少ないときはどうすればよいですか？

「全部やる」をやめ、優先順位を1つに絞ります。最大損失×起こりやすさで直す順番を出し、そのTOP1に期限と担当を置く。予算は「その1つをやるために足りるか」で見ます。

撤退基準とは？

いつまでに何ができなければ、その施策を止めて別の手を打つか、という条件です。予算を「出しっぱなし」にしないために、途中で止める条件を事前に1行で書いておきます。

セキュリティ予算の決め方——「いくら使うか」より先に決める2つのこと | First byte コラム

セキュリティ予算の決め方——「いくら使うか」より先に決める2つのこと

この記事が想定する読者：セキュリティにいくらかけるか決めかねているが、金額の根拠を説明したい担当者。

判断を誤るとどうなるか：予算枠を先に決めると「その中で何をやるか」が曖昧になり、均等配分やなんとなく配分で、何を優先したか説明できない。先に「今期やる1つ」と「やらないこと」を決めてから予算を置くと失敗しにくい。

金額を先に決めると、何に使うかで判断が止まる

「セキュリティにいくらかければいいか分からない」——

そのとき、まず予算枠を決めていませんか？

枠を先に決めると、「その中で何をやるか」が曖昧になり、費用対効果の根拠を説明しづらくなります。

この記事では、「いくら使うか」より先に決める2つのことを置きます。First byte の経営者向け記事（損失の期待値を下げる投資）の延長で、判断できる予算の設計です。

なぜ「予算を先」だと止まるか

「今期はセキュリティに〇〇円」と決めたあと、「何に使うか」を探し始める
複数の候補が出て、「どれが効くか」が分からず均等配分やなんとなく配分になる
結果、何を優先したか・なぜそれに使ったかを説明できない

逆に、

何を優先するかを先に決める
何をやらないか（今期は手を付けない）も決める
そのうえで「その1つ（または数個）に必要な範囲」として予算を置く

と、金額の根拠を同じ言葉で説明できます。

経営者向け：セキュリティは「技術」ではなく「損失の期待値」を下げる投資であるで扱った守る対象・最大損失・起こりやすさと、そのままつながります。

先に決める2つ

1. 今期、何を1つ優先するか

「今期、セキュリティで1つだけやるとしたら何か」を決めます。

入口・手続き・運用のどこを直すか
最大損失×起こりやすさで並べたときのTOP1に、期限と担当を置く

「1つ」に絞る理由は、中小企業のセキュリティ：何から手を付けるかの判断軸と同じです。

全部やるは現実的でないので、1つ決めて実行できる範囲で予算を見ます。

「その1つをやるために、いくら・誰が・いつまで必要か」が、予算の第一の根拠になります。

2. どこまでやらないか（撤退基準）

「いつまでに何ができなければ、そのやり方は止めるか」を1行で決めておきます。

例：3ヶ月以内に「止める基準」を1ページに書けなければ、外注や別の切り口に切り替える
例：半年で入口の棚卸しが終わらなければ、範囲を半分に絞り直す

予算を出しっぱなしにしないために、途中で止める条件を事前に置く。

First byte の前提設計で言う「撤退基準」と同じ考え方です。

前提設計：成果を出す前に、判断を壊さない"土台"を作るの15問のうち、「途中で止める条件」に当たります。

失敗像：予算だけ決めて中身を後回しにすると

枠だけ決めて中身が曖昧

→ 年度末に「使わなきゃ」となり、効果が説明できない支出が並ぶ。

優先を決めずに均等配分

→ 何が効いているか分からず、次期の予算要求も根拠が弱い。

撤退基準がない

→ うまく回っていない施策に予算が流れ続け、機会損失になる。

逆に、1つ優先と撤退基準を決めておくと、

予算要求のときに「何のためか」を説明できる
途中で見直すとき、「撤退基準に達したか」で判断できる
次期は「前の1つの結果」を材料に、次の1つを決められる

予算が少ないときの判断

「お金がないから何もできない」ではなく、「何を1つやるか」をさらに絞ると判断が進みます。

セキュリティ棚卸し＆優先順位でTOP10を出し、その1番だけに期限と担当を置く
予算は「その1つをやるために足りるか」で見る（ツール導入でなく、ルール化・手順の1ページ化だけでも1単位）
やらないこと・後回しに理由を付ける（「今期は〇〇を優先するため、△△は来期」）

「いくらかけたか」より、何を優先し、何をやらないと決めたかが、経営判断として残ります。

判断の土台として押さえておくこと

「いくら使うか」より先に2つ決める：今期何を1つ優先するか、今期はやらないと決めること。そのうえでその1つに必要な範囲として予算を置く。
撤退基準を事前に1行で書く：いつまでに何ができなければ止めて別の手を打つか。予算を出しっぱなしにしない。
予算が少ないときは「1つ」をさらに絞る：TOP1に期限と担当を置き、その1つに足りるかで予算を見る。

次の一手：経営者向け：セキュリティは損失の期待値を下げる投資／中小企業のセキュリティ：何から手を付けるか／前提設計の基礎

次に読む（学習パス）

セキュリティを判断の軸で整理する（読み方・記事一覧）：セキュリティ関連の記事・ツールの入口
経営者向け：セキュリティは「技術」ではなく「損失の期待値」を下げる投資である：費用対効果と5つの意思決定
中小企業のセキュリティ：何から手を付けるかの判断軸：1つ決める・リソースが限られる前提
前提設計：成果を出す前に、判断を壊さない"土台"を作る：撤退基準・判断の順番
セキュリティ棚卸し＆優先順位：直す順番とTOP10で優先の1つを決める

セキュリティ予算の決め方——「いくら使うか」より先に決める2つのこと

セキュリティ予算の決め方——「いくら使うか」より先に決める2つのこと

なぜ「予算を先」だと止まるか

先に決める2つ

1. 今期、何を1つ優先するか

2. どこまでやらないか（撤退基準）

失敗像：予算だけ決めて中身を後回しにすると

予算が少ないときの判断

判断の土台として押さえておくこと

次に読む（学習パス）

よくある質問（FAQ）

この記事の関連リンク

セキュリティ予算の決め方——「いくら使うか」より先に決める2つのこと

なぜ「予算を先」だと止まるか

先に決める2つ

1. 今期、何を1つ優先するか

2. どこまでやらないか（撤退基準）

失敗像：予算だけ決めて中身を後回しにすると

予算が少ないときの判断

判断の土台として押さえておくこと

次に読む（学習パス）

よくある質問（FAQ）

この記事の関連リンク

関連コンテンツ