インシデント対応にかかる費用はいくら？ IPAがセキュリティ費用を可視化するツールを公開

サイバーセキュリティリスクは企業にとって無視できないレベルになっている。IPAは、サイバー攻撃によってもたらされる金銭的損失（事故対応費用、賠償費用、利益損害、金銭損害、行政損害、無形損害など）を試算するツールを公開した。

[後藤大地，有限会社オングス]

　情報処理推進機構（IPA）は2023年1月20日、サイバー攻撃によって企業が被る金銭的損失（事故対応費用や賠償費用、利益損害、金銭損害、行政損害、無形損害など）を計算する支援ツール「NANBOK」（Next-generation-scenario in Assembled Notes for security administrator with Bill calculator Optimized by Kawamura model）を公開した。担当者や経営層がセキュリティ対策に必要となる予算を算出する上で有益なデータとして利用できる。

　サイバー攻撃が事業継続に及ぼす影響は多くの企業にとって無視できないものになっている。しかし、どの程度の予算をセキュリティ対策にかければよいのか、根拠となる試算が困難であり、適切な取り組みを阻害する要因になっている。今回IPAから公開されたツールは、こうした対策における予算検討において重要なデータとして活用できる。

IPAはサイバー攻撃によって企業が被る金銭的損失を計算する支援ツール「NANBOK」を公開した（出典：IPAのWebサイト）

セキュリティ関連費用を計算するツール「NANBOK」登場

　セキュリティ担当者は、昨今のサイバーセキュリティリスクが無視できないほど高いものであることを認識しており、脅威の侵入を防ぐことがどの程度困難であるかをよく理解している。しかし実際にサイバー攻撃の被害者となった場合に、どの程度の金銭的損失が生じるのかを見積もることは困難だ。

　また、経営者もセキュリティ対策が事業継続において重要な要素であることは認識しつつも、実際に金銭的にどの程度の損失が予測され、それを回避するためにどの程度の予算をかけて対策を取るべきかという根拠がセキュリティ担当者から上がってこない状況に困惑している。

　サイバー攻撃は実際に被害に遭わないと、そこにかけた予算の効果が実感しにくいという問題がある。だが、サイバー攻撃の被害が発生していないからと対策を後手に回し続けると、いずれかの段階で取り返しのつかない事態を招く恐れもある。

　IPAは今回、こうしたケースで使用できる支援ツールNANBOKを公開した。同ツールは「Microsoft Excel」のデータとして公開されており、シナリオごとに必要な項目を選択することで発生が予測される損害金額を算出できる。

　NANBOKは以下のデータに基づいて動作している。

• 「情報セキュリティ10大脅威2022」、情報処理推進機構（IPA: Information-technology Promotion Agency, Japan）
• 「インシデント損害額調査レポート2021」、日本ネットワークセキュリティ協会（JNSA: 、Japan Network Security Association）
• 「企業IT利活用動向調査2022報告」、日本情報経済社会推進協会（JIPDEC）

　IPAはNANBOK利用時の注意点として、商用レベルのツールではないこと、利用者が必要に応じて自主的に損害項目毎の実際の金額を調査することを挙げている。