「サイバー攻撃を受けると莫大な損害が発生する可能性があることを頭に入れておいてほしい」と訴えかけるのは、JNSA(日本ネットワークセキュリティ協会)で調査研究部会 インシデント被害調査WG リーダーを務める神山太朗氏だ。経営者が大きな損害が生じることを理解すれば、あるいは情シス担当者、ITベンダーが経営者に理解させることができれば、その組織のセキュリティ対策を進めることにつながっていくためだ。

JNSAではその一助として、インシデント発生時の被害、損害額をまとめた「インシデント損害額調査レポート」を発表している。このレポートは本紙と別紙の二部構成で、本紙ではインシデントの際に被害組織が対応を委託したアウトソーシング先へのヒアリングにより損害額などをまとめており、別紙では被害企業へのアンケートを基に、被害の実態を調べている。

3月5日~8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」に神山氏が登壇。同レポートの内容を紹介し、インシデント発生時に生じる損害の具体的な内容を解説した。

「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら

サイバー攻撃を受けるとお金がかかる

このレポートで訴えたいことは「サイバー攻撃を受けるとお金がかかるということ」だと切り出した神山氏は、インシデント発生時にすべき対応は大まかに3つあると話す。まずは初動対応および調査で、何が起きているかを調べる。次に外向きと内向きの2つの対応を行う。外向きの対応とは、世間や取引先に向けお詫びなどをすること、内向きの対応は社内のシステム復旧や再発防止策の検討などだ。これらの対応には通常アウトソーシングが必要になる。専門性が求められる中で自社で調査するのは難しいし、対外対応のコールセンター会社への委託、ITベンダーへのシステムの復旧依頼などが必要になる場合が多いためだ。するとそこにコストがかかることになる。

インシデント発生時にはさまざまな損害が生じる。まずは、事故対応に関して直接費用を負担する「費用損害」だ。それ以外にも、情報漏えいが発生した場合に支払う損害賠償金などの「賠償損害」、事業中断の利益喪失による「利益損害」、ビジネスメール詐欺などにより金銭(資金)を支払ってしまった場合の「金銭損害」、個人情報保護法の罰金や「EU一般データ保護規則」(General Data Protection Regulation、GDPR)違反の制裁金などの「行政損害」、そして風評被害や株価下落など金銭の換算が困難な「無形損害」の6つがある。

  • インシデント発生時に生じる損害

調査やお詫び、クレーム対応、復旧など、合わせれば億単位の損害に

例えば費用損害なら、初期段階での調査をインシデントレスポンス事業者にアウトソーシングするとして300万円~400万円、大規模なマルウエア感染なら数千万円が必要になる場合もある。また外向きのお詫びやその後の進め方を考えると、法律面を考慮した対応が必要だ。改正個人情報保護法では個人情報保護委員会への報告や被害者への通知が義務化されているため、法律のプロに任せるのが無難だが、そこで数十万円がかかる。お詫び関連では、HPへの掲載、DMの送付などが必要だが、影響範囲が広ければ新聞出稿も考えねばならない。DMは印刷、発送などで一通130円程度だが、数を考えると膨大になりかねない。新聞出稿は全国紙で240万円程度、地方紙でも50万円程度だ。

そしてクレームや問い合わせの電話対応も自社では難しいためコールセンター事業者に委託すると、オペレーター1人で1カ月約120万円となる。漏えい件数によってはオペレーターを増やし、対応期間も長くしなければならないため、仮に10万件単位ならコストも億単位に膨れ上がる。さらにシステム復旧のためにITベンダーの費用もかかるし、再発防止のための費用も必要だ。これらは規模によって異なるが、大企業なら億単位になってもおかしくない。

利益損害は、ネットワークの停止などによって事業が中断した場合の損害だ。ここで注意すべきなのは、新型コロナ禍において多くの飲食店がそうであったように、閉店していても賃料や人件費といった固定費は発生し続ける。単に売上高が減少するだけでなく、トータルの営業利益が大きくマイナスになることが考えられるのだ。