| サイバー攻撃による損失額を可視化 ~中小企業も内部でリスクの共有を~ | |
|---|---|
| 作成日時 25/03/18 (08:56) | View 702 |
中小企業の6割がセキュリティに投資せず
ランサムウェアやサプライチェーン攻撃に代表されるサイバー攻撃が増加している現状は、情報セキュリティに関係する省庁や業界団体などが繰り返し伝えているところです。被害を受けた組織の数も、攻撃の増加に比例して伸びていると考えられます。
一方、2025年2月に情報処理推進機構(IPA)が発表した「2024年度 中小企業における情報セキュリティ対策の実態調査報告書」(速報版)からは、攻撃の激化に逆行する企業社会のセキュリティ意識も読みとることができます。
同報告書では、インシデントが発生した企業における損失額、インシデントの原因、セキュリティ関連製品・サービスの導入状況などのアンケート結果を採り上げていますが、今回の調査で特に目を引いたのは以下の項目でした。
「過去3期における情報セキュリティ対策投資を行っていない企業は約6割」
攻撃の増加と逆行する現実
「過去3期におけるセキュリティ投資」には、関連機器やサービスの導入費、社員研修の費用などを含みます。ここに投資しない企業が6割という現実以上に、深刻さが垣間見えるのは、過去2回の調査に比べ投資しない企業が増えていた点でしょう(2016年度55.2%、2021年度33.1%)。
直近過去3期の情報セキュリティ対策投資額
出典:「2024年度中小企業における情報セキュリティ対策の実態調査報告書」 情報処理推進機構(IPA)
過去2回の調査でも数字がかなり上下している点から、サンプリングの相違により差が生じた可能性はありますが、投資額ゼロの根底にはセキュリティ担当者と経営層の意識のギャップがありそうです。
「投資していない」と答えた理由は、“必要性を感じていない(44.3%)”、“費用対効果が見えない(24.2%)”、“コストがかかりすぎる(21.7%)”の3点に集約できるようですが、必要性を感じないという回答の裏には、自社には“狙われるような情報はない”という意識があるからでしょう。
経営層と現場でリスクの共有を
現在のビジネス環境では、情報システムを使う以上、攻撃を受ける可能性をゼロにはできません。自社に狙われる情報資産はないとしても、サプライチェーン攻撃の踏み台になるリスクは常に内包し、データを暗号化して身代金を要求するランサムウェア攻撃を、業種や規模を問わず無差別に仕掛けるグループも活発に動いています。
経営層がこうした現実を意識するには、リスクの共有が不可欠です。しかし、ITや情報セキュリティへの関心が薄いトップは、サイバー攻撃の実態を伝える報告書などは、あまり実感が沸かないのが現実でしょう。共通のマターとして捉えるには、共通言語である数字、攻撃を受けたときの被害額の明示が有効です。
「サイバーリスク数値化モデル」で被害を可視化
被害額を可視化するツールの一つに、「サイバーリスク数値化モデル」があります。
サイバーセキュリティのシンクタンク 日本サイバーセキュリティ・イノベーション委員会(JCIC)が、国内の業界団体が蓄積しているデータ、個人情報保護法やGDPR(EUのデータ保護規則)などの法令、サイバー保険会社が持つ実例などの情報を元に作成したものです。
このモデルから、個人情報の漏えいによる金銭被害、業務停止による機会損失、法令違反の制裁金などの項目ごとに、最大損失額の目安を求めることができます。以下に引用したサンプルは、年商1,000億円の製造販売業を想定したものですが、数値化モデルの対象は組織の業種や規模は問いません。
サイバーリスク数値化モデルで算出した損失額のサンプル
出典:一般社団法人 日本サイバーセキュリティ・イノベーション委員会(JCIC)
数値化モデルの使い方ですが、例えば、個人情報の漏えいに関しては、「機微情報度」「本人特定容易度」「個人情報数」などの項目を埋めると、損失額の目安を割り出すことができます。算出に使うExcelのシート(「想定損失額の目安」簡易シミュレーション)が公開されていますので、自社における損失額を出しておくと会議などの際に活用できるでしょう。
「想定損失額の目安」の算出に利用するExcelシート
出典:一般社団法人 日本サイバーセキュリティ・イノベーション委員会(JCIC)
起点はフォレンジックとダークウェブの調査
広範囲に及ぶサイバー攻撃の被害を検証・算出するには、いくつかの分類と切り口があります。JCICのレポートでは「直接被害」と「間接被害」に分けていましたが、ここでは直接的な被害を中心に、具体的な内容と費用についてもう少し掘り下げてみましょう。
攻撃による被害が判明した際、最初に起こす行動は事故対応です。
JCICのサンプルでは、他の項目に比べ低めの数値(最大0.6億円)が出ていますが、特に中小企業の場合、個人情報の漏えいによる賠償と法令違反に伴う制裁金が少ない(ない)、かつ事業停止が短期間であれば、事故対応が損失額の多くを占めると考えていいでしょう。
対応の初動は被害状況の調査。詳細を把握するには、PCやサーバーの内部を精査し、攻撃の痕跡を追うフォレンジック調査が欠かせません。また攻撃用ツールや標的になり得る組織の情報が売買されるダークウェブが定着した現在は、ここに被害企業の情報が流れていないかを調べるダークウェブ調査も行われるようになってきました。
ダークウェブモニタリングのイメージ 457件の情報漏えいを発見
現状調査の後は、システムの復旧と再発防止に着手します。
この段階では、攻撃対象になった情報機器の改修、データの復元、セキュリティツールの追加などの工程が発生します。この他に事故対応に必要な要素として、コンサルティング、法的な対応を担う弁護士への相談、コールセンターの設置などが挙げられます。
軽視できない事業停止による損失
組織の規模を問わず、ビジネス機会の損失も軽視できません。
システムと業務が停止すると、本来得られていたはずの収益が逸失します。特にWebの売上比率が高い企業の場合、サイト改ざんやカード情報の窃取が行われると、甚大なダメージを受けます。この分野の損失額も、1日あたりの売上と事業中断期間が分かれば、前記の数値化モデルで算出できますので、目安を把握しておいてください。
間接的な被害では、まず株価への影響があります。
JCICの調査によると、情報漏えいなどの事案を公表した企業47社のうち、開示した50日後には株価が平均6.3%下落しました。このリスクがない中小企業でも、セキュリティ対策の不備で情報漏えいなどが起きてしまえば、対外的な信用力と企業イメージの低下、そしてある程度の客離れも避けられないでしょう。
専門性が高い分野は高コスト
最後に参考として、ここまで採り上げた中から、費用が比較的算出しやすい項目の例をいくつか見ておきます。具体的な数字を挙げた工程も、条件によって変動しますので、あくまでも参考値ととらえてください。
セキュリティの分野でも専門性が高いフォレンジック調査は、PC1台あたり数十万円、サーバーは1台100万~200万円前後。被害を受けた範囲にもよりますが、原因の掌握には少なくとも200万~300万円はかかると見ておいた方がいいでしょう。ダークウェブの調査は、データの種類と流出した量、調査範囲によって変動しますが、調査項目が多ければフォレンジックと同等の費用がかかる場合もあります。
弁護士に委ねる法的対応は、数十万~100万円前後。一般消費者を顧客に持つ企業の場合、個人情報が流出したら、DMや見舞品のプリペイドカードなどで連絡と謝罪を行います。DMは150~200円/通、カードは過去の例では額面500円が多いようです。顧客対応のコールセンターを開設した場合は、90日間で700万から1,000万円ほどかかります。
サーバーとPCの改修、セキュリティツールの追加導入など、システム面の費用はケースバイケースです。もし仮にソフトウェアの更新と運用の見直しなどで対処でき、大きな費用がかからなかったとしても、調査と法的な対応、顧客対応だけでも、数百万円の損失が生ずる可能性がある点は、社内で共有しておいた方がいいでしょう。
セキュリティ対策は中小企業のポジションを守る
中小企業の意識の転換になり得るのは、攻撃による被害額、もう一つはサプライチェーンの一員という視点です。冒頭で触れた「中小企業における情報セキュリティ対策の実態調査報告書」(IPA)では、インシデントの被害を受けた企業の約7割が、取引先(サプライチェーン)に影響が及んだと答えています。
また、取引先から要請された対策を実行したことが取引につながったと考える企業は約5割。2つの設問と回答から、セキュリティ対策はサプライチェーンの一角を維持する大事な要素であることが分かります。
過去にセキュリティ投資を行った企業の約5割が取引につながったと回答
出典:「2024年度中小企業における情報セキュリティ対策の実態調査報告書」 情報処理推進機構(IPA)
サイバー攻撃による損失額に比べると、セキュリティ投資はそれほど大きな負担にはならないはずです。一般的な目安として「連結売上高の0.5%以上」(JCIC)という指針も示されていますが、サプライチェーンの要請、自社の業態とシステム環境などを加味し、不可欠なガードから固めていきましょう。
攻撃の起点として多いメールを監視するメールセキュリティ、マルウェアの検知ツールなど対策の土台と言える部分に加えて、攻撃が多様化し新しい手口の展開も早い現在は、その動向を察知する脅威インテリジェンスのようなツールを使った攻撃の予防も必要です。
