2022年 3月22日公開

企業のITセキュリティ講座

セキュリティ侵害による最新の損害額から対策費用を考える

ライター・吉澤亨史

企業を狙うサイバー攻撃は毎日のように発生しており、公表されていないものも含めるとその損害額は膨大な金額になる。セキュリティ侵害を受けてしまうと、どのような費用がかかるのか。JNSAが発表した「インシデント損害額調査レポート 2021」から探るとともに、適切なセキュリティ対策費用を算出する。

近年のサイバー攻撃被害の状況

世界中が新型コロナウイルスのパンデミックの影響を受け、生活が一変した。一方でサイバー攻撃は活発化し、特にフィッシング攻撃が急増。そこで得たログイン情報などを悪用し不正アクセスを行い、ランサムウェアを設置するなど、攻撃はますます巧妙化している。サイバー攻撃は、攻撃者の組織化に伴って標的が個人から企業に移っているが、最近もその傾向は変わっていない。

セキュリティベンダーの調査によると、サイバー攻撃による2019年の企業の被害額は平均1億4,800万円に上るとしている。一方、しばしばニュースに取り上げられる情報漏えい事故は、JNSA(日本ネットワークセキュリティ協会)の現時点での最新の調査「2018年 情報セキュリティインシデントに関する調査報告書」によると、443件の情報漏えい事故が発生し、想定損害賠償総額は2,684億5,743万円。漏えいした人数は561万3,797人なので、1件当たりの平均想定損害賠償額は6億3,767万円、1人当たりの平均想定損害賠償額は2万9,768円となる。

もちろん情報漏えい事故の全てがサイバー攻撃によるものではなく、その原因は「紛失・置き忘れ」と「誤操作」が半数を占める。ただし、サイバー攻撃の場合は漏えい人数が膨大な数になる傾向にあり、被害額も高額になってしまう。また、サイバー攻撃の被害は情報漏えいだけでなく、事業の停止やそれによる売上機会の損失、ブランドイメージの低下、株価の下落など、重大なダメージを受けることになってしまう。

2018年インシデント・トップ10

引用元:JNSA「2018年 情報セキュリティインシデントに関する調査結果」

目次へ戻る

セキュリティ侵害における損害額と内訳

サイバー攻撃を受けてしまうと、どのような被害が発生するのか。JNSAによる「インシデント損害額調査レポート 2021」によると、インシデント発生時に生じる損害を「費用損害」、「賠償損害」、「利益損害」、「金銭損害」、「行政損害」、「無形損害」に区分している。

費用損害は事故対応損害とも呼ばれ、被害の拡大防止や原因究明のための「初動対応および調査」、顧客や取引先など第三者に被害が発生する可能性がある際には、関係機関への報告や第三者に向けた情報開示などを行うための「対外的対応」、サイバー攻撃による被害を復旧し、技術・組織・人の三つの観点を踏まえた再発防止策を策定・実施していく「復旧および再発防止」の三つが含まれる。

賠償損害は、第三者から損害賠償請求がなされた場合の賠償金や弁護士報酬などのこと。利益損害は、サイバー攻撃により事業を中断せざるを得なくなった場合の利益損失や、その間の人件費など固定費支出による損害。金銭損害は、ランサムウェアやビジネスメール詐欺、インターネットバンキングでのなりすましなどによる直接的な金銭の支払いによる損害。

行政損害は、個人情報保護法やGDPR(EU一般データ保護規則)などの法律違反による罰金や課徴金などによる損害。無形損害は、風評被害やブランドイメージの低下、株価の下落など、無形資産などの価値の下落による損害のことを指す。調査レポートでは、損害の種類ごとに想定金額などが詳細に説明されている。

また、調査レポートではモデルケースも紹介されている。例えば、「軽微なマルウェア感染」では、従業員がメールの添付ファイルを開き、社内3台のパソコンと1台のサーバーがマルウェアに感染したが、個人情報の漏えいなどの影響はなかった。このケースでは、事故原因・被害範囲調査費用が500万円、再発防止策としてメールフィルタリングサービスを導入し、これが100万円。総額600万円の費用損害だけで済んだ。

しかし、「ECサイトからのクレジットカード情報等の漏えい」では、サイトの構築システムの脆弱(ぜいじゃく)性を悪用されてサイトを改ざんされ、利用者が入力したクレジットカード番号などの各種情報が1万件漏えい。2,500万円のクレジットカードの不正利用被害が発生した。原因究明および再発防止策の導入により、サイトは6カ月にわたり閉鎖された。

このケースでは、コールセンターの設置やおわびとして送付した500円分のプリペイドカードの購入費用など、費用損害が2,890万円、利益損害が3,000万円、賠償損害が3,600万円と、合計9,490万円にもなってしまった。なお、2015年に発生した日本年金機構における不正アクセスによる情報漏えい事故では、コールセンターの設置に2億3,600万円、謝罪文の掲載に1億3,200万円、詐欺被害防止用チラシの配布に3,100万円かかったという。

調査レポートでは、損害額3億7,600万円の例も掲載されている

引用元:JNSA「インシデント損害額調査レポート 2021年度版」

目次へ戻る

適切なセキュリティ対策費用を算出する

サイバー攻撃による被害を受けないために、企業はセキュリティ対策を行っている。しかし、セキュリティ対策は利益を生むものではなく、万一の際の保険として捉えている企業が多く、積極的な投資を行う企業は少ない。さらに、「今までサイバー攻撃を受けたことがない」「サイバー攻撃を受けても盗まれて困るものはない」という考えで、セキュリティ対策すらしない企業もある。

しかし、サイバー攻撃の標的は大企業から中堅・中小企業へと移行している。また、攻撃が巧妙になっているため、攻撃を受けて侵入されていても気付けないケースが多い。以前は大企業へのサイバー攻撃の足掛かりとして中堅・中小企業が狙われたが、最近では企業規模に関係なくサイバー攻撃を行い、企業のシステムを自由に操ることのできるアカウントを入手した状態で攻撃を止め、そのアカウントを販売するケースもある。もはやどのような企業・組織もサイバー攻撃を受ける可能性がある。

情報漏えいに対するセキュリティ対策には、幾らの予算をかければいいのか。先ほどのECサイトの情報漏えい事故のケースでは、被害企業の年間売上高は10億円であった。それに対し、情報漏えいの損害額は9,490万円であり、約10%である。JUAS(日本情報システム・ユーザー部会)の調査によると、企業の売上高に対するIT予算比率の平均は2.24%となっており、モデルケースのECサイトの企業規模ではIT予算のうち15%以上をセキュリティ対策費用にあてている企業が最も多い。

そうすると、年間のセキュリティ対策費用は最低でも336万円となる。この金額をしっかりとセキュリティ対策にかけていれば、9,490万円という損害は発生しなかった可能性が高い。この損害額は、年間のセキュリティ対策費用の約28年分となる。サイバー攻撃者の狙いは、業種によって変わる。ECサイトであれば、不正アクセスによる改ざんや、顧客情報の漏えいが最もリスクになるので、そこに重点を置いて対策することがベストとなる。こうしたリスク評価をしっかり実施して、的確なセキュリティ対策を実施するようにしたい。

経営層がセキュリティを十分に理解していない企業も一定数存在する

引用元:NISC「平成30年度 企業のサイバーセキュリティ対策に関する調査報告書」

目次へ戻る

関連記事