ガートナー ジャパンは、企業でのセキュリティ投資に関する13種類の「よくある質問」を発表した。ガートナーに多く寄せられている質問の中から、特によく聞かれるものとして選ばれた。
トップの「一般的な位置付けとして、セキュリティ関連の支出は『費用』か『投資』か」については、ガートナーではその時々の状況や支出の内容によって異なるが、デジタルビジネスの取り組みにおいて、セキュリティはビジネスの根幹を支える必須のものとなっており、「投資」として考えるべきだとしている。同社では、IT投資を「変革(Transform)」「成長(Grow)」「運営(Run)」の3つに分類する「TGR」モデルを提唱している。
ガートナーのIT投資分類モデルTGR:「変革 (Transform)」「成長 (Grow)」「運営 (Run)」
これによると、セキュリティ支出は、未知のビジネスモデルを創出するための支出とも異なるROIの測定が不可能なことも多いため、一般的には「運営」に分類される。しかし、デジタルビジネスの取り組みにおいては、企画/設計などの早い段階から、セキュリティを組み込む「セキュリティ・バイ・デザイン(Security by Design)」や、プライバシー評価を行う「プライバシー・バイ・デザイン(Privacy by Design)」が必須の考え方になっていると同社は指摘する。そして、セキュリティ関連支出は「変革」あるいは「成長」を実現するための1つの要素として、欠かせないものになっているとした。
5位の「『IT予算に占めるセキュリティの割合』はどのくらいか」については、同社の調査から、国内のユーザー企業は、2016年以降2018年まで毎年「3%以上5%未満」あるいは「5%以上7%未満」とした回答者の割合が最も高い結果となったおり、3~7%が平均的な割合になっているとした。
ガートナーでは、セキュリティ関連の支出について議論する際には、単なるコスト削減対象領域と誤解されないように、費用やコストなどの言葉を避け、極力「投資」の意味合いでセキュリティを語ることが重要だとしている。