サイバーセキュリティは一過性のテーマではなく企業インフラになった
サイバーセキュリティ関連株を見るとき、最初に理解すべきことは「流行テーマ」ではなく「企業活動を継続するための固定費」に近づいているという点です。以前のセキュリティ投資は、ウイルス対策ソフトや社内ネットワークの防御など、どちらかといえば守りのIT費用として扱われていました。しかし現在は、クラウド、リモートワーク、SaaS、電子契約、キャッシュレス決済、生成AI、IoT、工場のネットワーク化が進み、攻撃される入口そのものが増えています。
投資家目線で重要なのは、需要が「事件が起きたときだけ増える特需」ではなく、「毎年更新される契約」「利用人数に応じて増えるライセンス」「監視対象の拡大に伴って積み上がる月額収益」に変わっていることです。これはサブスクリプション型の収益に近く、うまく事業化できている企業では売上の見通しが立ちやすくなります。
ただし、サイバーセキュリティという言葉が付いていれば何でも有望というわけではありません。テーマ性だけで株価が先行し、実際の売上や利益が追いつかない企業もあります。投資で狙うべきなのは、ニュースで注目される企業ではなく、顧客企業の予算に継続的に入り込み、解約されにくいサービスを持ち、利益率を改善できる企業です。
この記事では、サイバーセキュリティ需要拡大の構造を整理したうえで、個人投資家が実際に使えるスクリーニング方法、決算書で見るべき指標、避けるべき銘柄の特徴、具体的なポートフォリオへの組み込み方まで解説します。
セキュリティ需要が伸びる理由を投資家目線で分解する
サイバーセキュリティ需要が伸びる背景は、単にハッキングが増えているからではありません。投資テーマとして見るなら、需要を生む構造を分解する必要があります。需要の源泉が明確であれば、どのタイプの企業が恩恵を受けやすいかも見えやすくなります。
クラウド化で守る対象が社外へ広がった
かつて企業システムの多くは社内ネットワークの内側にありました。社内のサーバー、社内PC、社内メールを守れば一定の防御ができました。しかしクラウド利用が進むと、データは社外のクラウド環境に置かれ、社員は自宅や外出先からアクセスします。結果として、守るべき対象は社内の壁の内側から、ID、端末、クラウドアプリ、API、外部委託先へ広がりました。
この変化は、ID管理、アクセス制御、ログ監視、クラウド設定診断、ゼロトラスト関連サービスへの需要を生みます。単なるウイルス対策よりも、利用企業の業務プロセスに深く入り込むため、契約が継続しやすいのが特徴です。
人手不足で外部サービスへの依存が強まる
日本企業の多くは、社内に高度なセキュリティ人材を十分に抱えていません。専門人材を採用しようとしても、報酬水準や教育コストの問題があります。そのため、監視、診断、インシデント対応、脆弱性管理、従業員教育などを外部企業に委託する流れが強まります。
このとき恩恵を受けるのは、単発のコンサルティング会社だけではありません。継続監視を提供するMSS、SOC運用、脆弱性診断の自動化、セキュリティ教育クラウド、クラウドID管理、メール防御など、継続課金型のサービスを持つ企業が有利になります。
規制・取引先要請がセキュリティ投資を後押しする
企業がセキュリティ投資をする理由は、自社の危機感だけではありません。大企業と取引する中小企業、金融機関と接続する企業、個人情報を扱う企業、医療・行政・インフラ関連企業では、取引先や監督当局からセキュリティ体制を求められる場面が増えます。これは「やったほうがよい投資」ではなく、「やらないと取引や業務に支障が出る投資」になりやすい領域です。
投資家にとってこの構造は重要です。景気が悪くなっても完全に削られにくい費用になれば、売上の下方耐性が高まります。もちろん企業のIT予算全体が縮小すれば影響は受けますが、単なる広告費や採用費よりも優先順位が高い支出になりやすいのです。
サイバーセキュリティ関連企業を4タイプに分類する
サイバーセキュリティ関連株を探すとき、最初から銘柄名で探すよりも、事業タイプで分類したほうが失敗しにくくなります。同じセキュリティ企業でも、収益構造、利益率、成長速度、株価評価は大きく異なります。
製品・SaaS型
製品・SaaS型は、セキュリティソフト、クラウドサービス、ID管理、メール防御、脆弱性管理、ログ分析などを提供する企業です。投資対象として最も魅力が出やすいのはこのタイプです。理由は、初期開発後に顧客数が増えるほど売上総利益率が上がりやすく、継続課金によって収益が積み上がるからです。
見るべきポイントは、ARRやMRRに相当する継続収益、解約率、顧客数、1社あたり売上、売上総利益率です。決算説明資料で「サブスクリプション売上」「クラウド売上」「継続契約比率」などが開示されている場合は、事業の質を評価しやすくなります。
運用・監視サービス型
運用・監視サービス型は、顧客企業のセキュリティログを監視し、不審な通信や攻撃の兆候を検知するサービスを提供します。MSSやSOC運用が代表例です。このタイプは継続契約になりやすい一方で、人件費が増えやすいため、売上成長がそのまま利益成長につながるとは限りません。
投資家は、売上高成長率だけでなく、営業利益率の改善を必ず確認すべきです。人員増に依存した成長なのか、運用自動化やAI活用で一人あたり売上が伸びているのかによって、企業価値は大きく変わります。
診断・コンサルティング型
診断・コンサルティング型は、脆弱性診断、ペネトレーションテスト、規程整備、セキュリティ認証取得支援などを行います。需要は強いものの、案件ごとの売上になりやすく、人的リソースに制約されます。高単価案件を継続的に取れる企業は魅力がありますが、SaaS型と同じ倍率で評価するのは危険です。
このタイプを見るときは、稼働率、技術者数、一人あたり売上、リピート率、診断ツールの自動化比率を確認します。単なる人月ビジネスではなく、診断ノウハウをプロダクト化できている企業ほど評価できます。
SI・周辺商材型
SI・周辺商材型は、ファイアウォール、ネットワーク機器、認証基盤、クラウド導入支援などを扱う企業です。セキュリティ需要の恩恵は受けますが、商材販売や導入案件が中心だと利益率は限定的になりやすいです。一方で、既存顧客基盤が厚く、保守契約や運用契約まで取り込める企業は安定感があります。
このタイプは、急成長株というより、堅実なテーマ連動株として見るほうが現実的です。株価が急騰した後に高PERで買うより、決算で保守・運用比率が上がっている局面を狙うほうが期待値は高くなります。
投資対象を選ぶための実践スクリーニング条件
サイバーセキュリティ関連株を探す際は、テーマ性、成長性、収益性、財務安全性、株価位置の5つを組み合わせてスクリーニングします。単独の条件だけで選ぶと、話題株や割高株をつかみやすくなります。
売上高成長率は最低でも年率10%以上を確認する
セキュリティ需要が拡大しているなら、関連企業の売上にも成長が出ている必要があります。目安として、直近3期の売上高成長率が年率10%以上、できれば15%以上ある企業を候補にします。単年度だけの急増ではなく、複数年で伸びているかを確認します。
たとえば、売上高が30億円、36億円、43億円と伸びていれば、事業の需要はかなり強いと判断できます。一方、30億円、31億円、45億円のように1年だけ跳ねている場合は、大型案件や一時的な特需かもしれません。決算説明資料で増収要因を確認し、継続契約の増加なのか、単発案件なのかを見分けます。
売上総利益率が高い企業を優先する
セキュリティ企業の質を見るうえで、売上総利益率は非常に重要です。自社製品やSaaS比率が高い企業は粗利率が高くなりやすく、商材販売や外注依存が強い企業は粗利率が低くなりやすいです。目安として、粗利率が40%以上なら一定の付加価値があり、50%以上ならプロダクト性が強い可能性があります。
ただし、粗利率が高くても営業利益が出ていない企業は、研究開発費や広告宣伝費、人件費を大量に使っている可能性があります。その場合は、赤字そのものよりも、売上成長に対して赤字率が縮小しているかを見るべきです。売上が伸びても損失が拡大するだけなら、ビジネスモデルの検証が必要です。
継続収益比率を最重要指標にする
サイバーセキュリティ投資で最も重視したいのは、継続収益比率です。毎年契約が更新されるサービスは、翌期の売上がある程度見えています。これに新規顧客の獲得が上乗せされると、売上成長の確度が高まります。
決算資料に「継続課金売上」「ストック売上」「サブスクリプション売上」「保守・運用売上」などの項目があれば、売上全体に占める割合を確認します。理想は50%以上、成長企業なら30%台から上昇中でも候補になります。逆に、毎年案件を取り直すフロー型売上が大半の場合、景気や営業力に左右されやすくなります。
営業利益率の改善トレンドを見る
成長株投資では、今の営業利益率よりも改善トレンドが重要です。セキュリティ企業は成長投資が必要なため、初期段階では利益率が低くても問題ありません。しかし、売上規模が拡大するにつれて営業利益率が改善していない場合は注意が必要です。
たとえば、売上高が20億円から40億円に倍増したのに営業利益率が3%のままなら、規模の経済が働いていない可能性があります。一方、売上高が20億円、28億円、36億円と伸び、営業利益率が2%、5%、8%と改善していれば、固定費を吸収し始めていると判断できます。
決算書で見るべき具体的なチェック項目
テーマ株投資で失敗する典型例は、ニュースや銘柄紹介だけを見て買い、決算書を読まないことです。サイバーセキュリティ関連企業は事業内容が専門的に見えるため、雰囲気で買われやすい領域です。だからこそ、数字で確認する姿勢が重要です。
売上の内訳を確認する
まず確認するのは売上の内訳です。セキュリティ製品、クラウドサービス、運用監視、コンサルティング、機器販売など、どの分野が伸びているかを見ます。企業全体では増収でも、実際にはセキュリティ以外のSI案件が伸びているだけというケースもあります。
投資テーマとして買うなら、セキュリティ関連の売上比率が高いか、少なくともその比率が上昇している必要があります。売上の大半が一般的なシステム開発で、セキュリティは一部だけという企業を「サイバーセキュリティ本命」と見なすのは危険です。
受注残と契約期間を見る
BtoB向けのセキュリティ企業では、受注残が伸びているかも重要です。受注残が増えていれば、将来売上の見通しが立ちやすくなります。特に複数年契約が増えている場合、収益の安定性は高まります。
ただし、受注残には注意点もあります。大型案件の納品が遅れているだけで受注残が増えている場合、必ずしも良い兆候とは限りません。受注残の増加と同時に、売上総利益率や営業利益率が改善しているかをセットで確認します。
顧客基盤の質を見る
セキュリティサービスは、顧客の信用が非常に重要です。大企業、金融機関、官公庁、医療機関、インフラ企業などの導入実績がある企業は、営業面で有利です。導入実績が次の顧客獲得につながりやすく、参入障壁になります。
ただし、大口顧客依存には注意が必要です。売上の大半を数社に依存している企業は、契約終了や価格交渉の影響が大きくなります。理想は、優良顧客を持ちながらも顧客数が分散している企業です。決算説明資料で導入社数や顧客数が継続的に増えているかを確認します。
研究開発費と人件費の使い方を見る
セキュリティ企業にとって研究開発費は将来の競争力に直結します。研究開発費を削って短期利益を出している企業より、売上成長に見合った開発投資を続けている企業のほうが長期的には有望です。ただし、開発投資が売上につながっていない場合は問題です。
人件費についても同じです。技術者を増やすこと自体は悪くありませんが、売上成長以上に人件費が膨らむと利益率は低下します。見るべきは、一人あたり売上や一人あたり営業利益が改善しているかです。自動化やプロダクト化が進む企業ほど、従業員数の増加以上に売上が伸びやすくなります。
株価が高すぎる銘柄を避けるための評価軸
サイバーセキュリティ関連株は人気化しやすいため、良い会社でも高すぎる株価で買うとリターンが出にくくなります。成長企業を見つけることと、良い投資対象を見つけることは別です。
PERだけで割高・割安を判断しない
成長企業ではPERが高く見えることがあります。特に投資先行期の企業では、利益が小さいためPERが極端に高くなります。この場合、PERだけで割高と判断すると、有望な企業を見逃すことがあります。
一方で、PERが高い理由を「成長株だから」で片付けるのも危険です。売上成長率、粗利率、継続収益比率、営業利益率改善を見て、将来利益が本当に拡大するかを考える必要があります。売上成長率が10%程度なのにPERが80倍を超えているような銘柄は、かなり強い利益成長が続かないと正当化しにくいです。
PSRを使って売上規模とのバランスを見る
赤字または低利益の成長企業を見る場合、PSRも参考になります。PSRは時価総額を売上高で割った指標です。たとえば時価総額300億円、売上高50億円ならPSRは6倍です。高粗利で継続収益が強いSaaS企業なら一定のPSRが許容されることもありますが、粗利率が低い受託型企業でPSRが高い場合は警戒が必要です。
目安として、売上成長率が高く、粗利率も高く、解約率が低い企業ほど高いPSRが許容されます。逆に、売上成長が鈍く、利益率も低く、案件型売上が中心なら、PSRは低くて当然です。重要なのは、同じサイバーセキュリティ関連でも事業モデルに応じて評価倍率を変えることです。
株価位置と出来高を確認する
テーマ株は、好材料が出た直後に急騰することがあります。しかし、出来高を伴って急騰した後、すぐに失速する銘柄も少なくありません。買う前に、週足で株価位置を確認します。上場来高値圏で出来高が急増している場合は、短期資金が集中している可能性があります。
実践的には、急騰当日に飛び乗るより、決算後に5日線や25日線を大きく割らずに推移するかを見ます。テーマ性だけでなく、機関投資家が継続的に買っている銘柄は、押し目で出来高が細り、再上昇時に出来高が増える傾向があります。値動きの質を見ることで、短期の仕手性と中長期の成長株をある程度見分けられます。
具体例で考えるサイバーセキュリティ銘柄の評価
ここでは架空の企業を使って、実際にどのように評価するかを整理します。実在企業名ではなく、投資判断の型として見てください。
A社:クラウドID管理を提供する高成長企業
A社はクラウドID管理サービスを提供し、売上高は3年間で25億円、35億円、49億円と成長しています。粗利率は62%、継続課金比率は78%、営業利益率は4%、7%、11%と改善しています。顧客数も毎年増加し、解約率は低水準です。
この企業は、サイバーセキュリティ関連の中でも質の高い候補です。理由は、売上成長、粗利率、継続収益、利益率改善がそろっているからです。株価が極端に割高でなければ、中長期の監視対象にできます。ただし、時価総額が売上高の10倍以上まで買われている場合は、成長期待がかなり織り込まれているため、決算ミス時の下落リスクも大きくなります。
B社:セキュリティ診断に強い人材依存型企業
B社は脆弱性診断やペネトレーションテストを主力とし、売上高は20億円、24億円、29億円と堅調に伸びています。粗利率は38%、営業利益率は9%前後で安定しています。ただし、売上拡大には技術者採用が必要で、採用が遅れると成長も鈍化します。
この企業は悪くありませんが、SaaS型ほど高い評価倍率を付けるべきではありません。投資対象にするなら、診断業務を自動化するツールを開発しているか、教育・監視・クラウド診断など継続収益に展開しているかを確認します。単なる人材依存の診断会社であれば、成長余地は人員数に制約されます。
C社:セキュリティ機器販売で売上が急増した企業
C社はセキュリティ機器販売が伸び、売上高が40億円から70億円に急増しました。しかし粗利率は18%、営業利益率は3%、継続収益比率は低く、大型案件の納入が増えただけです。決算短信には「一部大型案件の寄与」と記載されています。
この企業は、テーマ性で株価が上がっても慎重に見るべきです。売上高の伸びは見栄えがよいですが、利益率が低く、継続性も不透明です。大型案件が一巡すると翌期の成長率が鈍化する可能性があります。投資するなら、機器販売後の保守・監視契約がどれだけ積み上がるかを確認してからでも遅くありません。
個人投資家向けの銘柄発掘フロー
実際にサイバーセキュリティ関連銘柄を探す場合、やみくもに検索するより、手順を固定したほうが効率的です。以下の流れで候補を絞ると、テーマだけの銘柄を避けやすくなります。
最初に事業内容で候補を広げる
まず、証券会社のスクリーニング、四季報、決算説明資料、企業サイトを使って、セキュリティ関連事業を持つ企業を広めに集めます。この段階では完璧に選別する必要はありません。キーワードとしては、サイバーセキュリティ、SOC、MSS、ゼロトラスト、ID管理、脆弱性診断、EDR、クラウドセキュリティ、メールセキュリティ、ログ監視、認証、情報漏えい対策などを使います。
ただし、企業サイトにセキュリティという言葉があるだけでは不十分です。実際に売上の柱になっているか、決算資料でセグメントとして説明されているかを確認します。事業比率が低すぎる場合は、テーマ株としての感応度も限定的です。
次に数字でふるい落とす
候補を集めたら、売上高成長率、営業利益率、粗利率、自己資本比率、営業キャッシュフローを確認します。最低限、売上が伸びていない企業は除外します。サイバーセキュリティ需要が拡大しているのに売上が伸びないなら、競争力が弱いか、事業比率が低い可能性があります。
次に、赤字企業を見る場合は赤字幅の縮小を確認します。成長投資による赤字は許容できますが、売上が伸びても損失が拡大し続ける企業は危険です。黒字企業であれば、営業利益率が横ばいまたは改善しているかを見ます。利益率が毎年悪化している場合、価格競争や人件費増の影響を受けているかもしれません。
最後に株価のタイミングを見る
良い企業を見つけても、買うタイミングを間違えると損失になります。候補銘柄はすぐに買わず、決算発表後の反応、出来高、移動平均線、直近高値からの距離を確認します。中長期投資なら、株価が25日線や75日線付近まで調整し、業績見通しが崩れていない局面が狙いやすいです。
短期で狙う場合は、好決算後にギャップアップし、その後も出来高を維持しながら高値圏で横ばいになる形を監視します。逆に、好材料で急騰した後に出来高が急減し、すぐ25日線を割るようなら、短期資金が抜けた可能性があります。
ポートフォリオに組み込む際の考え方
サイバーセキュリティ関連株は成長期待が高い一方、バリュエーションが高くなりやすいです。そのため、ポートフォリオ全体での位置づけを明確にする必要があります。
主力ではなく成長枠として扱う
個人投資家が最初に取るべき現実的な方法は、サイバーセキュリティ関連株をポートフォリオの成長枠として扱うことです。たとえば全体の10%から20%程度を成長テーマ枠とし、その中で複数銘柄に分散します。1銘柄に集中すると、決算ミスや評価倍率低下の影響を大きく受けます。
特に小型株の場合、流動性が低く、悪材料が出たときに売りにくいことがあります。時価総額、出来高、信用残も確認し、ポジションサイズを調整します。魅力的な企業でも、1日の売買代金が小さい銘柄に大きな資金を入れるのは避けるべきです。
事業タイプを分散する
セキュリティ関連株の中でも、SaaS型、監視サービス型、診断型、SI型に分散すると、リスクを抑えやすくなります。SaaS型は成長性が高い反面、バリュエーションが高くなりやすいです。監視サービス型やSI型は成長率がやや低くても、収益が安定している場合があります。
理想は、高成長SaaS型を少数、安定収益型を複数、周辺テーマとしてITインフラ企業を一部組み合わせる形です。これにより、テーマ全体の成長を取り込みながら、特定銘柄の失敗リスクを抑えられます。
決算ごとに保有理由を更新する
成長株投資では、買った理由が崩れていないかを決算ごとに確認します。サイバーセキュリティ関連株であれば、売上成長率、継続収益、粗利率、営業利益率、顧客数、受注残を定点観測します。株価が下がっても、事業指標が改善しているなら買い増し候補になります。逆に株価が上がっていても、成長率が鈍化し、利益率が悪化しているなら警戒が必要です。
重要なのは、株価ではなく保有理由を基準にすることです。「セキュリティは伸びるはず」という抽象的な理由だけで保有を続けると、事業の変調を見逃します。数字が崩れたら、テーマ性が残っていても一度見直すべきです。
避けるべきサイバーセキュリティ関連株の特徴
有望企業を探すのと同じくらい重要なのが、避けるべき企業を見分けることです。テーマ株では、名前だけで買われる銘柄が必ず出てきます。
セキュリティ売上の比率が低い
企業説明ではセキュリティを強調していても、実際の売上比率が低い場合があります。全社売上の数%しかない事業であれば、仮に伸びても業績全体への影響は限定的です。テーマ性だけで株価が上がった場合、後から実態との差が意識される可能性があります。
粗利率が低く改善しない
粗利率が低いまま改善しない企業は、価格競争に巻き込まれている可能性があります。商材販売や外注依存が強い企業では、売上が伸びても利益が残りにくくなります。セキュリティ需要拡大の恩恵を受けるには、自社の付加価値を価格に反映できる必要があります。
買収で売上だけ伸ばしている
M&Aによって売上を伸ばしている企業もあります。買収自体は悪くありませんが、既存事業の成長と買収による成長は分けて考えるべきです。のれんが大きく積み上がり、買収先の利益貢献が弱い場合、将来の減損リスクがあります。売上成長率だけを見て高評価するのは危険です。
株価だけが先行している
サイバー攻撃のニュースや国策テーマ化によって、関連銘柄が一斉に買われることがあります。しかし、株価が先行しすぎると、次の決算で少しでも期待を下回っただけで大きく売られます。短期で乗るなら損切りラインを明確にし、中長期で買うなら業績確認を待つべきです。
実践チェックリスト
最後に、サイバーセキュリティ関連株を選ぶ際のチェックリストをまとめます。候補銘柄を見つけたら、以下の項目を順番に確認してください。
第一に、セキュリティ関連売上が実際に伸びているか。第二に、売上総利益率が高いか、または改善しているか。第三に、継続課金や保守運用などのストック売上が増えているか。第四に、営業利益率が売上成長とともに改善しているか。第五に、顧客数や導入社数が増えているか。第六に、大口顧客依存や大型案件依存が強すぎないか。第七に、自己資本比率や営業キャッシュフローに問題がないか。第八に、株価評価が成長率に対して過度に高くないか。第九に、決算後の株価反応が強いか。第十に、保有後も決算ごとに成長シナリオを更新できるか。
このチェックを通過する企業は多くありません。しかし、少ない候補に絞ることこそが投資の実務です。テーマ株投資では、候補を増やすより、買わない理由を明確にするほうがリスク管理になります。
まとめ
サイバーセキュリティ需要は、企業のクラウド化、DX、人手不足、規制対応、取引先要請によって構造的に拡大しやすい領域です。ただし、投資対象として見る場合は、テーマ性だけでは不十分です。重要なのは、売上成長が本物か、継続収益が積み上がっているか、粗利率が高いか、営業利益率が改善しているか、株価が成長に対して高すぎないかです。
特に注目すべきは、SaaS型や継続監視型のように、顧客基盤が積み上がるビジネスです。一方で、単発案件や機器販売だけで売上が伸びている企業は、利益率と継続性を慎重に確認する必要があります。
個人投資家が実践するなら、まず事業タイプで候補を分類し、次に決算書の数字でふるい落とし、最後に株価のタイミングを待つ流れが有効です。良いテーマを見つけることより、良い企業を適正な価格で買うことが重要です。サイバーセキュリティ関連株は今後も注目されやすい分野ですが、投資成果を分けるのは、流行に乗るスピードではなく、数字を読む精度です。
コメント