損害保険ジャパン日本興亜とSOMPOリスケアマネジメント、トレンドマイクロの3社は28日、民間企業の情報システム・セキュリティに関する意思決定者など1745名を対象にしたインシデント対応コストを調査、「セキュリティインシデントに関する被害コスト調査」として発表した。

日本企業におけるセキュリティインシデントとコストの関連性を調査するは今年の4月に行われており、43.9%にあたる766名が昨年1年間に被害額の発生するのセキュリティインシデントを経験している。

インシデントの処理にかかったコストをお詫びや賠償金、対応コールセンターの開設などの「対外的コスト」、システムやデータ復旧、外部調査依頼費用、再発防止などの「対内的コスト」に区分してセキュリティインシデントの発覚を顧客や外部機関など「社外からの通報」と社内業務や社員による「社内からの通報」に分けてコストを分析すると対外的コスト/対内的コストの割合に有意な違いが見られる。

社外からの通報の場合、コールセンター開設や増設など対外的コストが59.0%を占め、社内からの通報の場合は44.7%と14.3%低くなる。対外的コストの中では「謝罪文作成・送付費用」が社外からの通報の場合9.4%、社内からの通報の場合には5.0%と約2倍と差が大きい。個人情報漏えいなどコストがかかるインシデントが外部から発覚しやすい。説明責任やブランド回復といったコストがかさむため、サイバー攻撃や内部犯行の兆候を早期に特定できる対策が重要だと指摘している。

  • インシデント対応コスト一覧(同社資料より)

    インシデント対応コスト一覧(同社資料より)

またインシデントを「サイバー攻撃」/「内部犯行」に分類した場合のコスト傾向では「サイバー攻撃」ではシステムの調達や復旧に関連した費用割合が大きくなるのに対して、内部犯行の場合「お詫び品・金券調達・送付費用」や「データ復旧費用」が膨らむ傾向になる。

  • インシデント別被害コスト(同社資料より)

    インシデント別被害コスト

内部犯行とサイバー攻撃では、インシデントまでの流れも異なる。人的要素や権限問題が大きくなる内部犯行は、人や組織の問題にも直結する。対策方法も異なるが、徹底した暗号化や特権ID管理などITでの対策方法もソリューションとして数多く各ベンダーから提供されている。コストを含んだ損害を想定し、対策を強化することが必要となる。また、各法構成要件に該当する場合は懲役刑を含む犯罪行為にもなりうる行為であること、個人的な過失による損害である場合には損害賠償を負担しなければならない可能性があることを、データを取り扱う者は肝に銘ずる必要がある。