セキュリティ対策費を経費で処理するには？知っておくべきルールを解説

• # IT導入補助金
• # セキュリティ対策

近年、サイバー攻撃による深刻な被害が報告されている中で「うちの会社は大丈夫か」「何から対策すれば良いのだろう」と、不安になる方も多いのではないでしょうか。万が一、サイバー攻撃の被害に遭えば、機密情報の漏えいによる損害賠償や、最悪の場合は事業継続も困難になりかねません。

とはいえ、最新の動向を正確に把握し、自社に合った具体的な対策を段階的に実施することで、セキュリティレベルを向上させることは可能です。本記事では、サイバー攻撃による具体的な対策、気になる費用面まで、分かりやすく解説します。

ぜひ、この機会に自社のセキュリティ対策を見直す第一歩としていきましょう。

1. サイバー攻撃の最新動向（2024年版）

サイバー攻撃による被害は年々増加するとともに、深刻化しています。警察庁が発表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害は手口も巧妙化する一方です。

ランサムウェアは、パソコンやサーバーなどのシステムやファイルを暗号化して利用できない状態にし、その解除と引き換えに金銭を要求します。また、大企業だけでなく中小企業への攻撃が激増している点も注意が必要です。

これまで「大手しか狙われない」と考えていた企業も、今や無関係ではいられません。

警察庁・IPA発表の被害件数とその推移

2024年上半期の国内組織におけるランサムウェア被害は114件で、高水準で推移しています。被害を受けている企業のうち、中小企業が全体の約6割を占めているといわれ、もはやサイバー攻撃は大企業だけの問題ではありません。

攻撃者は、セキュリティ対策が手薄になりがちな中小企業を意図的に狙っていると考えられます。また、インターネットバンキングの不正送金被害も深刻化する中で、被害額は数十億円規模まで拡大し、一件あたりの被害額も増加傾向です。

中小企業も標的にされる「無差別攻撃」

サイバー攻撃は、特定の大企業のみを狙う「標的型攻撃」から、企業規模を問わない「無差別攻撃」へと変わり始めています。

無差別攻撃とは、ウェブサイトやメールを通じて不特定多数のシステムに対し、脆弱性を見つけて攻撃する「金銭窃取」や「情報詐取」を目的とした手法です。特に、中小企業はセキュリティ対策が十分でない場合、この無差別攻撃の格好の標的となりやすい傾向があります。

中でも問題とされているのが「RaaS」と呼ばれるサービスの普及です。RaaSでは、ランサムウェアの開発・運営を行う者が、攻撃の実行者にランサムウェア等を提供し、見返りとして身代金の一部を受け取ります。

結果として、攻撃の実行者が技術的な専門知識を有する必要もないため、サイバー攻撃が拡大している要因の1つです。

情報漏えいだけでなく業務停止のリスクも

サイバー攻撃がもたらす被害は、従来の「機密情報の漏えい」に限りません。最近の攻撃では、企業の業務を完全に停止させることを目的としたものも主流になり始めています。

たとえば、攻撃を受けることで社内のすべてのシステムが使用不能となり、メールの送受信や顧客管理、会計処理などに支障をきたす場合です。特に深刻なのは、復旧に要する時間の長さで、一般的にはランサムウェアの感染から完全復旧するには数日から数週間を要すると言われています。

当然ながら、その間の売上損失や機会損失は計り知れません。たとえば、ECサイトを運営している企業であれば、サイトが停止している間の売上はなくなり、顧客が他社に流れるリスクも抱えています。

近年では、サイバー攻撃による業務停止を想定した事業継続計画（BCP：Business Continuity Plan）の策定も急務といえるでしょう。

2. 社内でできるサイバーセキュリティ対策とは

サイバー攻撃の脅威が日々高まる中、企業は受動的な姿勢から脱却し、積極的な防御体制を構築しなければなりません。近年のサイバー攻撃を防ぐには、技術的、教育的、運用的な対策を組み合わせた「多層防御」の考え方が重要となっています。

また、最新の脅威に対応できる従業員のセキュリティリテラシー向上と、専門家による定期的なシステム監査が欠かせない状況です。

ウイルス対策ソフト・EDR・多要素認証など基本対策

サイバーセキュリティの基本は、技術的な防御策の導入から始まります。

まずは、常にサイバー攻撃に対応できるよう、ウイルス対策ソフトの導入は不可欠です。次に、不審な挙動を検知するとともに侵入後の迅速な対応を可能にする「EDR」は、未知の脅威対策として有効といえます。

さらに、ID・パスワードに加え、スマートフォンへの通知や生体認証などを組み合わせる「多要素認証」によって、不正アクセスを防ぐことも可能です。それぞれの対策を段階的に導入することで、限られた予算でも確実にセキュリティレベルを向上させられるでしょう。

従業員向けのリテラシー教育・定期的な訓練

サイバー攻撃を防ぐために最新のセキュリティ技術を導入したとしても、使用する従業員のセキュリティ意識が低ければ簡単に突破されてしまいます。被害の多くが、従業員の不注意や知識不足に起因する人的ミスによるものとされているからです。

そのため、効果的なセキュリティ教育は単発の研修ではなく、継続的なプログラムとして実施する必要があります。たとえば、実在する企業やサービスを装い、受信者を偽のWebサイトに誘導する「フィッシングメール」の見分け方や安全なパスワードの作成方法などの習得です。

実践的な訓練としては、模擬フィッシングメールを定期的に送信し、従業員が正しく対応できるかを確認する方法などが有効です。さらに、最新の攻撃手口や社内で発生した「情報セキュリティ上の脅威となる事象や事故、攻撃事例」を共有し、常に危機意識を保たせておきましょう。

システム監査やセキュリティ診断の活用

自社のセキュリティ対策が有効に機能しているかを客観的に評価するためには、外部専門家によるシステム監査やセキュリティ診断を活用しましょう。内部だけでは見落としがちな脆弱性や設定ミスを発見できるため、改善点を明確にできるからです。

なお、セキュリティ診断には「脆弱性診断」と「ペネトレーションテスト」に分かれます。
脆弱性診断はシステムやネットワークに存在する既知の脆弱性をチェックし、セキュリティホールを特定することが可能です。

一方、ペネトレーションテストは、実際の攻撃者の手法を模倣した侵入テストを行い、現実的な攻撃に対する防御力を評価します。

これら2つの診断を年1回以上定期的に実施することで、新たに発見された脆弱性への対応や、システム変更に伴うセキュリティリスクの洗い出しが可能です。診断結果に基づいて優先順位を付けて対策を実施し、次回の診断で改善状況を確認するPDCAサイクルを回すことで、継続的にセキュリティレベルを向上させられます。

3. セキュリティ対策費用は経費で落とせるのか？

サイバーセキュリティ対策には、ソフトウェアライセンス料、クラウドサービス利用料、外部コンサルティング費用など、多様な支出が発生します。セキュリティ対策費用が経費として認められるのか、また、どのように会計処理すべきかは、多くの経営者や経理担当者にとって重要な項目です。

適切な会計処理を行うことで、税務上の負担を軽減しつつ、必要なセキュリティ投資を計画的に進めることが可能になります。

ソフト・クラウド費用の仕訳例（消耗品費／リース料）

セキュリティ対策で発生するソフトウェア、クラウドサービスなどの費用は、内容や金額、契約形態によって会計処理の方法が変わります。ここでは、それぞれのケースに応じた適切な勘定科目と、具体的な仕訳例を解説しましょう。

1.ソフトウェア費用の会計処理

ウイルス対策ソフトなどのソフトウェア導入費用は、一般的に購入価格が10万円未満の場合、全額を消耗品費として経費計上します。

一方、購入価格が10万円以上、1年以上使用するものは無形固定資産として資産計上し、決算時には耐用年数に応じた減価償却が必要です。
例：25万円の業務ソフトを預金で購入し、決算時に耐用年数5年、定額法で減価償却した場合

2.クラウドサービス利用料の会計処理

クラウド型のセキュリティサービスを利用する場合、月額や年額で支払う利用料は「通信費」や「支払手数料」などの経費として処理されます。

なお、青色申告法人の中小企業者等は、取得価額30万円未満の減価償却資産を全額損金算入できる「少額減価償却資産の特例制度」があります。

セキュリティ教育や外部講師の費用は？

従業員のセキュリティリテラシーを向上させるための教育費用は、全額を経費として計上できます。一般的には「研修費」「福利厚生費」などの勘定科目で処理するのが適切です。

たとえば、外部講師を招いた集合研修の場合、講師料、会場費、資料作成費などを「研修費」として計上します。費用の相場は、研修形態、内容、時間、講師の実績により大きく変動しますが、半日研修で数万円から十数万円が相場です。

自社の状況や予算に合わせて最適な方法を選択し、適切に経費処理しましょう。

資産計上になるケース／補助金・助成金活用も検討を

セキュリティ関連設備では、取得価額が10万円以上の場合に固定資産として計上し、法定耐用年数に応じて減価償却を行います。中には高額なものもありますが、費用負担を軽減するために、国や自治体の補助金・助成金を活用することが有効です。

たとえば、IT導入補助金2025の「セキュリティ対策推進枠」の導入を見ていきましょう。「サイバーセキュリティお助け隊サービスリスト」に掲載されているサービスのうち、登録されたサービスを導入する際、サービス利用料の補助が受けられます。

補助率は中小企業で1/2以内（小規模事業者は2/3以内）、補助額は5万円以上150万円以下で、対象サービスの導入費用を大幅に軽減することも可能です。制度を積極的に活用し、計画的なセキュリティ投資を進めることが、企業の持続的成長につながるでしょう。（2025年2月時点の情報に基づく）

まとめ

サイバー攻撃の脅威は年々深刻化しており、企業規模を問わない無差別攻撃の増加と、攻撃手法の巧妙化が顕著になってきています。特に中小企業への攻撃が全体の6割を超える現状は、もはや他人事ではありません。

効果的な対策として、ウイルス対策・EDR・多要素認証などの技術的防御、従業員教育、専門家による定期診断の三本柱による多層防御が不可欠です。なお、セキュリティ対策費用は高額となるケースもありますが、適切な会計処理により経費計上し、さらにIT導入補助金などの活用により負担も軽減できます。

サイバーセキュリティは一度の対策で完結するものではなく、継続的な取り組みが求められるため、自社の現状を常に見直し、段階的な対策強化を進めていきましょう。

中小企業経営者や個人事業主が抱える資産運用や相続、税務、労務、投資、保険、年金などの多岐にわたる課題に応えるため、マネーイズム編集部では実務に直結した具体的な解決策を提示する信頼性の高い情報を発信しています。