サイバー攻撃への対処はいくらかかる? 損害項目と金額をまとめてみた(1/2 ページ)

ランサムウェア攻撃では多額の金銭的な損害が発生するが、具体的にどのくらいの金額なのか、と聞かれると答えに窮するだろう。この難しい問いに答える画期的なレポートの作成者たちに公開の背景や意図、具体的な損害額などを聞いた。

» 2024年09月09日 08時00分 公開
[田渕聖人ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 「ランサムウェアをはじめとしたサイバー攻撃の被害を受けると、多額の金銭的な損害が発生する」とはよく言われるが、具体的にどの程度被害が生じるのかを答えられる人は少ないはずだ。

 この疑問に答えるため、日本ネットワークセキュリティ協会(以下、JNSA)の調査研究部会インシデント被害調査ワーキンググループは2024年7月、調査資料「サイバー攻撃を受けるとお金がかかる〜インシデント損害額調査レポートから考えるサイバー攻撃の被害額〜」(以下、「サイバー攻撃を受けるとお金がかかる」)を公開した。

 これは2021年に公開された「インシデント損害額調査レポート」の初版と、2024年に公開された第2版の内容をまとめたものだ。タイトルの通り、サイバーインシデント発生から収束までの一連の流れの中で、どのような対応が必要になり、それによってどの程度の金銭的な損害が生まれるのかを明らかにしている。

 今回、「サイバー攻撃を受けるとお金がかかる」及びインシデント損害額調査レポートを作成した、JNSAの調査研究部会インシデント被害調査ワーキンググループでリーダーを務める神山太朗氏(あいおいニッセイ同和損害保険 新種保険部 サイバー・特殊リスクグループ 担当次長)とサブリーダーを務める西浦真一氏(キヤノンITソリューションズ サイバーセキュリティラボ セキュリティエバンジェリスト)に、レポートを公開した背景や損害額の詳細、同レポートをセキュリティ担当者がどう活用すべきかなどを聞いた。

インシデントを“きちんと怖がる”には、損害額を知る必要がある

――はじめに「サイバー攻撃を受けるとお金がかかる」を公開した背景について教えてください。

西浦氏: 2021年にインシデント損害額調査レポートを公開したとき、「非常にボリュームがあり、読むのに覚悟がいる」と指摘を受けました。読みやすさという点では私たち作成側も大変気を付けて作っていたのですが、ボリュームが原因で本来このレポートを読んで知識をインプットしてほしい層に届かないのはもったいないと感じ、今回レポートの第1版と第2版の内容をまとめたエグゼクティブサマリーとして「サイバー攻撃を受けるとお金がかかる」を公開しました。

神山氏: これに加えて、セキュリティ担当者がインシデント損害額調査レポートの内容を経営層に説明するのが難しいという指摘がありました。通常こうしたレポートはpdf形式で提供することが多いかと思いますが、この指摘を踏まえて、経営層への説明に担当者が許諾の範囲内で加工した上で使われることを前提に「Microsoft PowerPoint」のファイル形式で配布しています。

――なるほど。ではそもそもインシデント損害額調査レポートを公開した背景には何があるのでしょうか。

西浦氏: JNSAでは過去からインシデント被害調査ワーキンググループの前身となる「セキュリティ被害調査ワーキンググループ」で、「情報セキュリティインシデントに関する調査報告書」というレポートを作成していました。

 ただ、このレポートはインシデントなどによって個人情報が漏えいした場合の想定損害賠償金をまとめたものであり、昨今の流れからは、インシデントによる被害全体を捉えたものではありませんでした。

神山氏: 私は以前から情報漏えい時の損害賠償金だけでなく、インシデント被害時に発生するさまざまな損害額を調査すべきだと考えていました。サイバー攻撃が高度化、多様化、複雑化する中で、調査すべき損害の対象を拡張する必要性を感じたわけです。そのため、業界の方のお声がけもあってインシデント被害調査ワーキンググループを立ち上げました。

 インシデント損害額調査レポートが公開される前までは、我が国において、サイバー攻撃を受けた際にどのような損害が発生して、対処にいくらかかるかについて具体的に示したデータは少なかったと思います。

 正確にいうと、幾つかの著名なITベンダーからインシデント発生時の損害額のレポートは出ていたのですが、これらのレポートは大企業を中心とした調査であったため、算出された損害額は“億超え”でした。ただ、この数字は中堅・中小企業にとってあまりにも現実感がなく、「サイバー攻撃は大企業にしか関係ない話」という誤解を広げる要因になった可能性があると思っています。インシデント損害額調査レポートは、より中小企業目線でのレポートを公表すべきだという想いから作成したものです。

西浦氏: 中堅・中小企業の実態に即したデータがない状態では、これらの企業がサイバー攻撃による被害を“ジブンゴト”として捉えるのは困難ですし、セキュリティリスクを説明する際、経営層が判断するための材料がないため、対策にどれだけお金をかければいいのかが分かりません。

 こうした事情を踏まえて、誤解を恐れずにいえば“中堅・中小企業がきちんと怖がれる”資料として作成されたのがインシデント損害額調査レポートです。

“ITの言葉”でインシデントを語っても、経営層には“全く響かない”

――中堅・中小企業のセキュリティ担当者が経営層に対してサイバーセキュリティリスクを訴えるには具体的な金銭的な損害として伝えるのが最も有効ということですね。

神山氏: インシデント損害額調査レポートを作成した際、多くのセキュリティ業界の著名な方に意見をうかがいましたが、「経営層にしっかりとセキュリティリスクを伝えなければならない」といった旨をおっしゃる方が多いと記憶しています。しかし、サイバー攻撃被害の深刻さを“ITの言葉”で説明したところで残念ながら経営層には全く響きません。リスクを金銭的損害に置き換えることが、ストレートに経営者に危機感が生まれると考えています。

西浦氏: CISO(最高情報セキュリティ責任者)になるような人は特に技術者からのたたき上げが多いです。そのため“経営の言葉”でインシデント被害を説明できず、ミスコミュニケーションが発生してしまうことがあるのでしょう。

――損害額のデータがセキュリティ担当者と経営層の“共通言語”として機能するということですね。

神山氏: そうですね。そしてもう一つ、このレポートを出すにあたって分かったのは、多くのセキュリティ担当者がインシデント全体でどのくらいの損害額が発生するかを正確に把握していないということでした。これは、セキュリティ業界に長くいる方でもインシデントの初期対応やフォレンジック調査など、関わるプロセスは全体のごく一部であり、全体像をつかめないのは当たり前の話なのだと思います。

西浦氏: ITベンダーの視点でお話しすると、自分たちが対応しているセキュリティ業務については競合を含めて大体の相場が分かるのですが、それ以外の外部への情報発信や危機管理コンサルタントへの依頼といった費用項目については、セキュリティから離れているので、正直見えにくい部分もあるのではないかと思います。インシデントで発生する一連の費用項目が分からないため、対応しているうちに思わぬ費用がかかってしまったというケースもあるでしょう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.