ウイルス被害からの復旧作業、そのお値段は?

情報処理推進機構(IPA)は、ウイルスやSQLインジェクション、Winny経由の情報流出といった情報セキュリティ事件による被害額調査の結果を明らかにした。

» 2006年11月29日 21時52分 公開
[高橋睦美,ITmedia]

 「SQLインジェクションによる不正アクセスを受けると、システム再構築や対応人件費などを含んだ対策経費は数千万円。場合によっては総額1億円を超える」――情報処理推進機構(IPA)は11月29日、企業における情報セキュリティ事象の被害額調査の結果を明らかにした。

 この調査は、セキュリティインシデントによる被害の実態を明らかにすることで、企業のセキュリティ対策の推進、底上げを狙ったもの。ウイルス被害に関するアンケート調査を行って被害額を推計したほか、2005年に相次いで報じられたSQLインジェクションおよびWinnyを介した情報流出の当事者に対するヒアリングを行い、対策の経緯と大まかな被害額をまとめた。

 ウイルス被害については、国内企業5500社を対象にアンケート調査を実施。独自の推計モデルを基に、「復旧に要したコスト」と「ウイルス被害による逸失売上」に分けて被害額を計算した。あくまで直接的に被った被害のみを算出しており、顧客への補償や損害賠償、謝罪広告、風評被害による利益減少といった二次的被害は含まれていない。なお、アンケートの有効回答数は1206社だった。

 調査によると、ウイルスによってシステム停止が発生したことによる被害額は、従業員300名未満の中小企業で1社当たり約430万円。システム復旧そのものに要したコストは41万3000円程度にとどまったが、その停止によって生じた損失が大きく膨らんだ。

 従業員数300名以上の大手/中堅企業になると被害額は約1億3000万円に上る。ただしこの場合も、システム復旧コストは約15万円程度にとどまる。一方で、電子商取引/基幹システムの停止によって大きな売り上げ減が発生したという。

IPAセキュリティセンター長の三角育生氏

 システム復旧作業自体には慣れていることもあって、工数はほとんど掛からない。対照的に「ほとんどは逸失利益。システム停止の結果、商売そのものに影響が出た」(IPAセキュリティセンター長の三角育生氏)

億単位の費用が生じるケースも

 2005年のセキュリティ上の重大事件として取り上げられることの多かったSQLインジェクションとWinnyについては、事件の当事者に個別にヒアリングを行い、工数などを元に被害額を算出した。それぞれ6社、4社から協力が得られたという。

 SQLインジェクションの場合は、事件が発覚すると、被害拡大防止のためサイトの全面停止に追い込まれるケースが多い。その後、被害状況の調査と範囲の特定といった作業に平均数日間、事件を踏まえてのWebアプリケーションやデータベースのチェックと改修、サーバ再構築といった作業には、平均して3カ月程度を要するということだ。この間並行して、顧客への事情説明やコールセンターを通じた対応なども進めることになる。

 こうした作業に要するコストだが、Webアプリケーションの改修やセキュリティ検査といったシステム再構築関連費用が4800万円から1億円。また、専門対応チームの設置といった社内人件費は180万円から360万円と推計されるという。さらに、顧客への謝罪や問い合わせ窓口設定といった対外経費が数百万円から5000万円となり、対策経費だけで数千万円から1億円を超えるケースが複数あった。このほかに、Web停止による売り上げ減が数億円から20〜30億規模で生じる。

 一方、Winnyを経由した情報漏洩では、「システムが倒れることはないので、直接的な復旧コストなどは生じない」(三角氏)。一方で、どのデータが漏洩したかという分析/特定作業に要する人件費が推定90〜180万円、流出元PCの調査や専門業者によるWinnyネットワーク上での拡散状況の調査などに500〜600万円を要すると見込まれる。また、顧客への事情説明や問い合わせ窓口設置などの対外説明に要する費用は45万円から1600万円と推計された。こうした人件費や外注費を合わせると中には総額2000万円を超える事例もあったという。

 「被害状況の調査においては、社員が徹夜で調べ、翌日には顧客に説明できるよう各社ともがんばっていた」(三角氏)。またその後の再発防止策として、ルールの再徹底や教育、暗号化ツールの導入などの措置が取られているという。

パッチ適用は「まだ放置」の事業所も

 なおIPAでは同時に、ウイルス対策やセキュリティパッチの適用状況、スパイウェアの対策状況についての調査も行っている。この調査は、企業5500社、自治体1061件を対象とし、それぞれ1206件、495件の有効回答が得られた。

 まずクライアントPCへのウイルス対策ソフト導入状況を見ると、「9割以上のPCに導入済み」という回答は、2004年の73.8%から86.4%に上昇。逆に「まったく導入していない」は7.1%から2.4%に減少し、改善が見られる。

 しかしセキュリティパッチの適用状況となると、「常に最新のパッチを適用」は前年の31.2%とほぼ横ばいの32.0%。「ほとんど適用していない」は逆に9.5%から12.2%に増加する結果となった。

 今年からは新たに、スパイウェアおよび対策ツールの導入状況についても尋ねた。この結果「専用ツールを導入」が6.2%、「ウイルス対策ソフトなどが機能拡張したものを利用」は49.7%。一方「導入していない」は32.5%に上っている。

 今のところ、「スパイウェアの被害に遭った経験がある」と回答した事業者は7.5%、「発見したが侵入や実行に至らなかった」のは31.4%で、ウイルスの場合(それぞれ15.3%、53.7%)よりも低い数値となった。しかしIPAでは、「スパイウェアは見つからないように潜んでいるのが常であり、発病などにより姿を現すことはほとんど行わない」ことから、「被害も発見もなかった」と回答した事業者の中には、侵入されていても気がついていないケースが含まれているのではないかと推測している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ