欧州 ENISA NIS投資報告書 2025 (2025.12.08)

こんにちは、丸山満彦です。

ENISAが、Network and Information Security Investments Report 2025を公表していますね...

2020年から初めて今年で6年目ですね...

・サイバーセキュリティ予算はIT総予算の9％程度...

・サイバーセキュリティ投資の内訳は人材投資から技術・サービスに移行している...

ようです。

 

EUもグローバルの比較データが欲しいと思うので（一部は組み込まれていますが、、、）、日本も政策立案の際には必要となるのでしょうから、調整をして同じ調査をしても良いように思うんですけどね。。。どうかしら。。。

日本って政策立案についての定量的な分析を十分にせずに、一部の、政府職員、政治家、一部有識者？、それらの取り巻き？の思い、思いつきできまってしまうことが多くないでしょうかね。。。もう少し定量データ等を取り入れたらどうでしょうかね。。。

IPAが情報セキュリティ白書をだしていますが、読み物だけでなく、経年データのあるデータ編があると良いと思うんですよね...

 

● ENISA

プレス...

・2025.12.08 What’s Driving Cybersecurity Investments and where lie the challenges?

What’s Driving Cybersecurity Investments and where lie the challenges?	サイバーセキュリティ投資を推進する要因と課題はどこにあるのか？
The 6th edition of the NIS Investments report reveals investments shifting from people to technology, talent shortages deepening, compliance and NIS2 driving action but implementation posing a challenge.	第6回NIS投資報告書は、投資が人材から技術へ移行していること、人材不足が深刻化していること、コンプライアンスとNIS2が行動を促す一方で実施が課題となっていることを明らかにした。
The annual NIS Investments report presents the findings of a survey conducted by ENISA to explore how cybersecurity policy translates in practice across organisations in the EU and its effects on their investments, resources, and operations. The report’s objective is to provide national and EU-level policymakers and practitioners with insights into how EU cybersecurity policies are implemented in organisations and where challenges exist.	年次NIS投資報告書は、ENISAが実施した調査結果を提示する。EU域内の組織においてサイバーセキュリティ政策が実際にどのように反映され、投資・リソース・運用にどのような影響を与えるかを検証するものである。本報告書の目的は、EUサイバーセキュリティ政策が組織内でどのように実施され、どこに課題が存在するかを、各国およびEUレベルの政策立案者や実務者に示すことである。
This year’s edition has been redesigned to focus on the story the data tells and built around key insights.	今年の版は、データが示すストーリーに焦点を当て、主要な知見を中心に構成するよう再設計された。
ENISA Executive Director, Juhan Lepassaar stated: “The NIS Investments Study provides insights, central to ENISA’s role to support EU Member States in building cyber resilience in critical sectors. The findings help us to better understand the challenges, target our support and inform our recommendations for the future.”	ENISAのユハン・レパサー事務局長は次のように述べた。「NIS投資調査は、ENISAがEU加盟国に対し重要分野におけるサイバーレジリエンス構築を支援する役割の中核をなす知見を提供する。調査結果は課題の理解を深め、支援の的を絞り、将来に向けた提言の根拠となる。」
This year, the survey was carried out across 1080 public and private organisations in all Member States and covered all sectors and subsectors of high criticality under the NIS2 Directive. The NIS2 Directive is a cornerstone of the European Union's efforts to ensure a high common level of cybersecurity across all Member States, strengthening rules to better protect critical sectors. The sample for this year’s survey included 83% large enterprises and 17% SMEs, enabling comparative insights between different types of organisations.	本年実施された調査は、全加盟国の公的・民間組織1080機関を対象とし、NIS2指令で定義される重要度の高い全セクター及びサブセクターを網羅した。NIS2指令は、EU加盟国全体で高い共通レベルのサイバーセキュリティを確保し、重要分野をより良く防御するための規則を強化する、欧州連合の取り組みの基盤である。今年の調査対象には大企業が83％、中小企業が17％含まれており、異なる組織タイプ間の比較分析を可能にしている。
For in-depth exploration of the data gathered through this survey, a dedicated data companion has been published alongside the report. The companion contains two separate views of the dataset: a Member State view and a sector-by-sector view.	本調査で収集されたデータを詳細に分析するため、報告書と併せて専用のデータコンパニオンが公開されている。コンパニオンにはデータセットの二つの別個の視点が含まれている：加盟国別視点とセクター別視点である。
Key insights from this year’s report are summarised below:	本年報告書の主な知見を以下に要約する：
1. Investment focus shifts from people to technology and services	1. 投資の焦点は人材から技術・サービスへ移行
While organisations have maintained cybersecurity investment at levels comparable to last year’s (9% of IT budgets; median 1.5 million euro), spending is increasingly targeted towards technology and outsourcing rather than expanding internal cybersecurity teams.	組織はサイバーセキュリティ投資を前年並みの水準（IT予算の9％；中央値150万ユーロ）で維持しているが、支出は内部サイバーセキュリティチームの拡充よりも、技術とアウトソーシングに向けられる傾向が強まっている。
2. The cyber talent crunch shows no signs of easing	2. サイバー人材不足は緩和の兆しが見えない
Difficulties in attracting (76%) and retaining (71%) cybersecurity professionals persist, intensified by a shortage of skilled professionals and fierce competition for limited talent. High turnover further reinforces this gap, raising risk and reshaping staffing strategies.	サイバーセキュリティ専門家の採用難（76%）と定着難（71%）が継続しており、熟練人材の不足と限られた人材を巡る激しい競争によって悪化している。高い離職率がこのギャップをさらに拡大させ、リスクを高め、人員配置戦略の再構築を迫っている。
3. Compliance is the main investment driver but not the only outcome	3. コンプライアンスが投資の主因だが、成果はそれだけではない
Compliance remains the main driver of cybersecurity investment (70%) yet its benefits extend beyond regulation. These investments have strengthened risk management (41%), detection (35%) and response (26%). Looking ahead, organisations plan to focus more on upgrading tools, improving recovery capabilities and building internal skills, indicating that policy is steering progress in the right direction.	コンプライアンスはサイバーセキュリティ投資の主因（70%）であり続けるが、その効果は規制遵守を超えている。これらの投資はリスクマネジメント（41%）、検知（35%）、対応（26%）を強化した。今後、組織はツールのアップグレード、復旧能力の向上、内部スキルの構築に注力する計画であり、政策が正しい方向へ進捗を導いていることを示している。
4. NIS2 is raising the bar, yet implementation remains a challenge	4. NIS2は基準を引き上げるが、実施は依然として課題である
Although NIS2 is prompting entities to strengthen some of the most demanding yet essential areas of cyber resilience, implementing it is widely perceived as challenging. Organisations report patching (50%), business continuity (49%) and supply-chain risk management (37%) as key areas of difficulty. Differences in the size of organisations point to distinct challenges, for example for larger entities, harmonised approaches and paths for the transition from legacy to modern technology. For SMEs, accessible guidance, affordable tooling (including managed and cloud services) and skills development remain top challenges.	NIS2は事業体に対し、最も要求が厳しいが不可欠なサイバーレジリエンス領域の強化を促しているものの、その実施は広く困難と見なされている。事業体はパッチ適用（50%）、事業継続（49%）、サプライチェーンリスクマネジメント（37%）を主要な困難領域として報告している。組織規模による課題の違いも明らかだ。例えば大規模事業体では、レガシー技術から現代技術への移行に向けた統一的なアプローチと道筋が課題となる。中小企業にとっては、アクセスしやすいガイダンス、手頃な価格のツール（マネージドサービスやクラウドサービスを含む）、スキル開発が依然として最大の課題だ。
5. Patching still takes months; many still don’t test their security	5. パッチ適用に数か月かかるケースが依然として多く、セキュリティテストを実施していない組織も多い
Timely patching and regular assessments remain challenging even amid regulatory efforts. Almost 1 in 3 organisations across sectors have not conducted a cybersecurity assessment in the past 12 months, while 28% take more than three months to patch critical vulnerabilities. This is especially difficult for SMEs, where both testing (63%) and patching (51%) present persistent challenges. As vulnerability exploitation is a leading intrusion access point, patching and implementation of the Cyber Resilience Act provisions to advance cybersecurity and resilience remain critical across the EU.	規制努力が進む中でも、タイムリーなパッチ適用と定期的な評価は依然として困難だ。全セクターの組織の約3分の1が過去12ヶ月間にサイバーセキュリティ評価を実施しておらず、28％は重大な脆弱性のパッチ適用に3ヶ月以上を要している。これは中小企業にとって特に困難であり、テスト（63％）とパッチ適用（51％）の両方が持続的な課題となっている。脆弱性の悪用が侵入の主要なアクセスポイントであるため、パッチ適用とサイバーレジリエンス法の規定実施によるサイバーセキュリティとレジリエンシーの強化は、EU全域で依然として重要である。
6. Supply chain risk: stronger controls, deeper dependence	6. サプライチェーンリスク：強化された管理と深まる依存
While supply-chain risk management is improving, increasing reliance on outsourced ICT and security services introduces new vulnerabilities — particularly when suppliers are resource-constrained SMEs. Reflecting this, supply chain and third-party compromises are the second most frequently cited concern for the future (47%). This aligns with ENISA Threat Landscape report key trend, showing an increase in targeting cyber dependencies, with cybercriminals increasingly aiming at third-party providers.	サプライチェーンリスクマネジメントは改善されているものの、外部委託したICT・セキュリティサービスへの依存度上昇が新たな脆弱性を生んでいる。特にリソース制約のある中小企業がサプライヤーである場合に顕著だ。これを反映し、サプライチェーン及びサードパーティの侵害は将来の懸念事項として2番目に多く挙げられている（47%）。これはENISA脅威動向レポートの主要トレンドと一致し、サイバー依存関係を狙った攻撃が増加していることを示している。サイバー犯罪者はますますサードパーティプロバイダを標的にしている。
7. DoS caused the noise, ransomware causes the nightmares	7. DoSは騒音、ランサムウェアは悪夢
While DoS attacks put the most strain on daily operations, ransomware (55%), supply-chain attacks (47%) and phishing (35%) dominate organisational concerns looking ahead. Preparedness is uneven, with SMEs reporting the lowest confidence in their ability to anticipate, withstand and recover from cyber incidents across all scenarios.	DoS攻撃が日常業務に最も負担をかける一方、組織の将来の懸念事項ではランサムウェア（55%）、サプライチェーン攻撃（47%）、フィッシング（35%）が上位を占める。準備態勢にはばらつきがあり、中小企業はあらゆるシナリオにおいて、サイバーインシデントを予測し、耐え抜き、回復する能力に対する自信が最も低いと報告している。
How ENISA uses the data gathered	ENISAによるデータ活用方法
The data gathered through this study, contributes to ENISA’s wider analytical work, including the NIS360 report assessing sectoral criticality and maturity, as well as the EU Cybersecurity Index. Additionally, the study insights feed into the State of Cybersecurity in the Union report and inform its recommendations.	本調査で収集されたデータは、セクター別の重要性と成熟度を評価するNIS360レポートやEUサイバーセキュリティ指数など、ENISAの広範な分析業務に貢献している。さらに、本調査の知見は「EUサイバーセキュリティ状況報告書」に反映され、その提言の根拠となる。
NIS Investments Report 2025	NIS投資報告書2025
NIS Investments Report 2025: Data companion	NIS投資報告書2025：データコンパニオン
Navigating cybersecurity investments in the time of NIS 2	NIS 2時代におけるサイバーセキュリティ投資の指針
NIS Investments 2024	NIS投資2024
NIS Investments Report 2023	NIS投資報告書2023

 

 

・2025.12.08 NIS Investments 2025

NIS Investments 2025	NIS投資2025
The annual NIS Investments report presents the findings of a study conducted by ENISA to explore how cybersecurity policy translates in practice across organisations in the EU and its effects on their investments, resources, and operations.	年次報告書「NIS投資」は、ENISAが実施した調査結果を提示する。この調査は、EU域内の組織においてサイバーセキュリティ政策が実際にどのように運用され、それが投資・資源・運用にどのような影響を与えるかを検証するものである。
Data for this edition was collected from 1 080 professionals representing organisations1across the EU and the NIS sectors of high criticality. The sample consisted mainly of large enterprises (83%), complemented by a smaller share of SMEs (17%) to allow for comparative insights between organisations of different sizes.	本版のデータは、EU全域および重要度の高いNISセクターの組織1の代表者1,080名から収集された。サンプルは主に大エンタープライズ（83%）で構成され、中小企業（17%）が補完的に含まれており、異なる規模の組織間の比較分析を可能にしている。
Additional materials	追加資料
NIS Investments 2025 - Survey data companion document_0.pdf (application/pdf)	NIS Investments 2025 - Survey data companion document_0.pdf (application/pdf)

 

・・[PDF]

 

EXECUTIVE SUMMARY	エグゼクティブサマリー
The annual NIS Investments report presents the findings of a study conducted by ENISA to explore how cybersecurity policy translates in practice across organisations in the EU and its effects on their investments, resources, and operations.	年次NIS投資報告書は、ENISAが実施した調査の結果を提示する。この調査は、サイバーセキュリティ政策がEU域内の組織において実際にどのように運用され、それらの投資、リソース、運用にどのような影響を与えるかを明らかにすることを目的としている。
Data for this edition was collected from 1 080 professionals representing organisations1 across the EU and the NIS sectors of high criticality. The sample consisted mainly of large enterprises (83%), complemented by a smaller share of SMEs (17%) to allow for comparative insights between organisations of different sizes.	本版のデータは、EU全域および重要度の高いNISセクターの組織1を代表する1,080名の専門家から収集された。サンプルは主に大エンタープライズ（83％）で構成され、中小企業（17％）が補完的に含まれており、異なる規模の組織間の比較分析を可能にしている。
The data supports analysis of how cybersecurity policy plays out in practice. It also considers broader contextual factors — such as the threat landscape and market dynamics — that may influence how organisations prioritise and implement cybersecurity practices. In addition, the dataset contributes to wider analytical work, including ENISA NIS360, which assesses sectoral criticality and maturity, as well as the EU Cybersecurity Index and the State of Cybersecurity in the Union report.	本データは、サイバーセキュリティ政策が実際にどのように機能するかを分析する根拠となる。また、脅威の状況や市場動向など、組織がサイバーセキュリティ対策の優先順位付けや実施方法に影響を与える可能性のある広範な文脈的要因も考慮している。さらに、このデータセットは、セクターの重要性と成熟度を評価するENISA NIS360や、EUサイバーセキュリティ指数、EU域内のサイバーセキュリティ状況報告書など、より広範な分析作業にも寄与している。
Key insights from this year’s report are summarised below:	本年報告書の主な知見を以下に要約する：
Insight #1: Investment focus shifts from people to technology and services	洞察 #1：投資の焦点が人材から技術・サービスへ移行
Cybersecurity investment remains broadly in line with the levels reported in last year’s study (9% of IT budgets; median 1.5 million euros), though spending is increasingly focused on technology and outsourcing rather than internal cybersecurity teams.	サイバーセキュリティ投資は概ね前年調査と同水準（IT予算の9％；中央値150万ユーロ）を維持しているが、支出は内部サイバーセキュリティチームよりも技術とアウトソーシングに集中する傾向が強まっている。
Insight #2: The cyber talent crunch shows no signs of easing	洞察 #2：サイバー人材不足は緩和の兆しが見えない
Organisations across the EU continue to face difficulties in attracting (76%) and retaining (71%) cybersecurity professionals, intensified by a shortage of skilled professionals and fierce competition for limited talent. High turnover reinforces this gap, raising risk and reshaping staffing strategies.	EU全域の組織は、サイバーセキュリティ専門家の確保（76%）と定着（71%）に引き続き困難を抱えている。これは熟練人材の不足と限られた人材を巡る激しい競争によって悪化している。高い離職率はこのギャップをさらに拡大し、リスクを高め、人員配置戦略の再構築を迫っている。
Insight #3: Compliance is the main investment driver but not the only outcome	洞察 #3: コンプライアンスが投資の主因だが、唯一の成果ではない
Compliance remains the main driver of cybersecurity investment (70%) yet its benefits extend beyond regulation — strengthening risk management (41%), detection (35%) and response (26%). Looking ahead, organisations plan to focus more on upgrading tools, improving recovery and building internal skills, indicating that policy is steering progress in the right direction.	コンプライアンスはサイバーセキュリティ投資の主因（70%）であり続けるが、その利点は規制遵守を超え、リスクマネジメント（41%）、検知（35%）、対応（26%）の強化につながる。今後、組織はツールのアップグレード、復旧能力の向上、内部スキル構築に重点を置く計画であり、政策が適切な方向へ進捗を導いていることを示している。
Insight #4: NIS2 is raising the bar, yet implementation remains a challenge	洞察 #4: NIS2は基準を引き上げているが、実施は依然として課題だ
Implementing NIS2 is considered a challenge. Organisations say their key challenges are in the areas of patching (50%), business continuity (49%) and supply-chain risk (37%). This suggests that NIS2 is raising the bar by prompting entities to focus on strengthening some of the most demanding yet essential areas of cyber resilience.	NIS2の実施は課題と見なされている。組織はパッチ適用（50%）、事業継続（49%）、サプライチェーンリスク（37%）を主な課題として挙げている。これはNIS2が、最も要求が厳しくも不可欠なサイバーレジリエンス領域の強化に事業体を集中させることで、基準を引き上げていることを示唆している。
Insight #5: Patching still takes months; many still don’t test their security	洞察 #5: パッチ適用には依然として数か月を要し、多くの組織がセキュリティテストを実施していない
Timely patching and regular assessments remain challenging even amid regulatory efforts: 30% of organisations have not conducted a cybersecurity assessment in the past 12 months, 28% take more than three months to patch critical vulnerabilities.	規制努力にもかかわらず、タイムリーなパッチ適用と定期的なアセスメントは依然として困難だ。30%の組織が過去12か月間にサイバーセキュリティ評価を実施しておらず、28%が重大な脆弱性のパッチ適用に3か月以上を要している。
Insight #6: Supply chain risk: stronger controls, deeper dependence	洞察 #6：サプライチェーンリスク：管理強化と依存深化
While supply-chain risk management is improving, increasing reliance on outsourced ICT and security services introduces new vulnerabilities — particularly when suppliers are resource-constrained SMEs. Reflecting this, supply chain and third-party compromises are the second most frequently cited top concern for the future (47%).	サプライチェーンリスクマネジメントは改善傾向にあるが、外部委託のICT・セキュリティサービスへの依存度上昇が新たな脆弱性を生んでいる。特にリソース制約のある中小企業をサプライヤーとする場合に顕著だ。これを反映し、サプライチェーン及びサードパーティ侵害は将来の懸念事項として2番目に多く挙げられている（47%）。
Insight #7: DoS caused the noise, ransomware causes the nightmares	洞察 #7: DoSは騒音、ランサムウェアは悪夢
While DoS attacks put the most strain on daily operations last year, ransomware (55%), supply-chain attacks (47%) and phishing (35%) dominate organisational concerns looking ahead. Preparedness is uneven, with SMEs reporting the lowest confidence in their ability to anticipate, withstand and recover from cyber incidents — across all scenarios.	昨年はDoS攻撃が日常業務に最も負荷をかけたが、今後の懸念ではランサムウェア（55%）、サプライチェーン攻撃（47%）、フィッシング（35%）が組織の関心を集めている。準備態勢は不均一で、中小企業はあらゆるシナリオにおいて、サイバーインシデントを予測・耐性・復旧する能力への自信が最も低い。

 

 

洞察1

INSIGHT #1	洞察 #1
INVESTMENT FOCUS SHIFTS FROM PEOPLE TO TECHNOLOGY AND SERVICES	投資の焦点は人材から技術・サービスへ移行
Over the past year, organisations have maintained cybersecurity investment at levels comparable to the previous year; however, this spending appears to be directed more toward technology and outsourcing rather than expanding internal cybersecurity teams.	過去1年間、組織はサイバーセキュリティ投資を前年並みの水準で維持した。しかし、この支出は内部サイバーセキュリティチームの拡充よりも、技術とアウトソーシングに向けられているようだ。
Over the past year, organisations have maintained their cybersecurity2 investments at levels comparable to the year before, reflecting ongoing prioritisation of information security. In this report, budgets and investment are used interchangeably, covering CAPEX and OPEX on hardware, software, personnel, contractors, and outsourcing.	過去1年間、組織はサイバーセキュリティ投資を前年並みの水準で維持しており、情報セキュリティの優先度が継続していることを示している。本レポートでは、予算と投資を同義語として使用し、ハードウェア、ソフトウェア、人員、契約業者、アウトソーシングに対する設備投資（CAPEX）と運用コスト（OPEX）を包括的に扱う。
Cybersecurity investment and staffing were analysed in absolute terms and relative to overall spending on IT using ratios. Absolute values provide a sense of magnitude, showing the total resources (money or people) dedicated to cybersecurity. Ratios complement this by providing a consistent basis for comparing investment and staffing across organisations of different sizes and over time, supporting meaningful year-on-year analysis.	サイバーセキュリティ投資と人員配置は、絶対値とIT総支出に対する比率を用いて分析された。絶対値は規模感を示し、サイバーセキュリティに割り当てられた総資源（資金または人員）を明らかにする。比率はこの補完的役割を果たし、異なる規模の組織間や経時的な投資・人員配置の比較に一貫した基準を提供し、有意義な前年比分析を支える。
Overall cybersecurity spending has increased modestly in terms of absolute values, both in terms of the median and average, reflecting a gradual growth in cybersecurity budgets. By contrast, IT spending shows a divergent pattern: the average has decreased while the median has increased. This suggests that although very large IT spenders have reduced their investment —pulling the average down— most organisations have actually increased IT spending over the year.	サイバーセキュリティ支出全体は、中央値と平均値の両方で絶対値が緩やかに増加しており、サイバーセキュリティ予算の漸進的な拡大を反映している。これに対しIT支出は相反する傾向を示している：平均値は減少した一方で中央値は増加した。これは、非常に大規模なIT支出組織が投資を削減し（平均値を引き下げた）ものの、大半の組織では実際に年間を通じてIT支出が増加したことを示唆している。
FIG. 1 - IT & CYBERSECURITY SPENDING (ABSOLUTE VALUES)	図1 - IT及びサイバーセキュリティ支出（絶対値）
A similar dynamic is observed in staffing. For cybersecurity personnel, the average number of full-time equivalent (FTEs) decreased slightly while the median increased modestly, indicating that most organisations have largely stable team sizes. For IT personnel, the average FTEs declined while the median rose, reflecting reductions among very large organisations but modest growth for the majority (Fig 2)	人員配置においても同様の動きが見られる。サイバーセキュリティ要員では、フルタイム換算（FTE）の平均数はわずかに減少した一方、中央値は小幅に増加しており、大半の組織でチーム規模がほぼ安定していることを示している。IT要員では、平均FTEは減少したものの中央値は上昇しており、超大規模組織での削減傾向と大多数組織での小幅な成長を反映している。(図2)
(2) In this report, ‘cybersecurity’ and ‘information security (IS)’ are used interchangeably to refer to all activities, staff and resources dedicated to protecting an organisation’s information systems and digital assets.	(2) 本報告書では、「サイバーセキュリティ」と「情報セキュリティ（IS）」は、組織の情報システムとデジタル資産を防御するために専念する全ての活動、スタッフ、リソースを指すために同義語として使用される。
FIG. 2 - IT & CYBERSECURITY FTES (ABSOLUTE VALUES)	図2 - IT及びサイバーセキュリティFTE（絶対値）
In terms of ratios, median cybersecurity spending as a proportion of IT spending remained stable, reflecting that most organisations maintained or modestly increased their budgets. The average ratio dropped slightly, driven by reductions among very large spenders (Fig. 3). Overall, cybersecurity budgets accounted for 9% of total IT budgets, with independent studies suggesting that spending on cybersecurity is likely to continue rising3.	比率面では、IT支出に占めるサイバーセキュリティ支出の中央値は安定を維持し、大半の組織が予算を維持もしくは小幅に増加させたことを反映している。平均比率は、支出規模が非常に大きい組織での減少により小幅に低下した（図3）。全体として、サイバーセキュリティ予算はIT予算全体の9％を占めており、独立した調査によれば、サイバーセキュリティ支出は今後も増加し続ける可能性が高いとされている³。
Regarding staffing, cybersecurity FTEs now represent only 10,6% of total IT FTEs (Fig.3), marking the lowest proportion observed to date.	人員配置に関しては、サイバーセキュリティFTEは現在、IT総FTEのわずか10.6％を占めるに過ぎない（図3）。これはこれまでで最も低い割合である。
FIG. 3 - CYBERSECURITY AS A SHARE OF IT BUDGET (LEFT) & CYBERSECURITY AS A SHARE OF IT FTES (RIGHT)	図3 - IT予算に占めるサイバーセキュリティの割合（左）とIT FTEに占める割合（右）
The decline in the FTE ratio largely reflects faster growth in IT teams rather than reductions in cybersecurity staff and may also indicate that organisations face constraints in expanding cybersecurity teams due to persistent skills shortages. It also highlights that cybersecurity budgets are currently being directed more toward technology and outsourcing (the remaining areas of our budget definition) rather than internal team growth. This shift may reflect strategic choices to maximise impact with limited human resources, responses to talent constraints or greater reliance on external providers — trends that warrant further investigation in the coming year.	このFTE比率の低下は、サイバーセキュリティ要員の削減というよりITチームの人員増加が速かったことを主に反映している。また、持続的なスキル不足により組織がサイバーセキュリティチームの拡大に制約を受けている可能性も示唆している。また、サイバーセキュリティ予算が現在、内部チームの拡大よりも技術導入や外部委託（予算定義における残りの領域）に重点的に配分されていることも浮き彫りにしている。この変化は、限られた人的資源で効果を最大化するための戦略的選択、人材制約への対応、外部プロバイダへの依存度増大といった傾向を反映している可能性があり、今後1年間でさらに調査が必要だ。

 

 

追加資料...

・[PDF]

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.25 欧州 ENISA NIS投資報告書 2024

・2023.11.18 ENISA EUにおけるサイバーセキュリティ投資 2023

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17