サイバー攻撃への対処はいくらかかる? 損害項目と金額をまとめてみた(2/2 ページ)
こんなにかかるの? 調査で分かったインシデントの費用項目と損害額
――では次に、インシデント損害額調査レポートから具体的な費用項目と損害額を見ていきましょう。
中堅・中小企業におけるインシデントで発生する費用項目と損害額のイメージ。費用損害における損害額のイメージはアウトソーシング先の料金を踏まえて算出した参考値(出典:インシデント損害額調査レポートから抜粋)西浦氏: レポートでは損害の種類を細かい区分に分けています。インシデント対応そのものにかかる「費用損害(事故対応費用損害)」に加えて、情報漏えいをはじめとした過失に対する「賠償損害」、これには弁護士費用も含まれます。その他、事業停止などによる売上高の減少を想定した「利益損害」やランサムウェアによる身代金支払いなどを想定した「金銭損害」、罰金などの「行政損害」、株価の下落といった換算できない「無形損害」などがあります。
インシデントの内容によって損害額は大きく異なりますが、中堅・中小企業であっても数千万円単位の損失を抱える可能性があります。
――参考値とはいえ、非常に生々しい金額が並んでいます。費用損害を抑えるためにアウトソーシングに頼らないという選択肢もあるのでしょうか。
神山氏: インシデントを収束させるためには多くの作業が必要になるため、自社だけでの対応は困難です。表にある費用損害の部分を外部の専門会社にアウトソーシングすることは必要不可欠になるでしょう。
西浦氏: インシデント対応を税金などで賄えない自治体などでは、費用損害の項目を自分たちで実施するケースもありますが、きちんと計算すると内部で実施したコストの方が大幅に高くなるケースもあるでしょう。こうしたケースでは往々にして自分たちが動いた分のコストを勘定に入れていないことが多いです。
神山氏: 例えばコールセンター費用については、そもそもインシデント時の情報漏えいに伴う顧客への謝罪対応といったコールセンター業務を外注すべきことをよくわかっていない場合も多くあります。そのため、これを自前、またはこれらのノウハウのないコールセンター会社に委託することになり、負荷や費用負担もかかった事例もあると思います。
――任せられるところは信頼できるプロにお願いするというのはインシデント対応に限らず重要な視点だと思います。
神山氏: コールセンターの費用以外だと弁護士の方への法律相談費用も重要な項目です。法律相談費用は、インシデントに伴う情報漏えいなどで不祥事・謝罪対応、そして行政への報告などを実施する際に役に立ちます。謝罪対応は情報の出し方など含めて多くの場合、素人だけでは失敗します。大企業などでは危機管理コンサルを雇って謝罪対応を実施しますが、コストがかかるので、中堅・中小企業は弁護士を雇うのが一般的です。
西浦氏: コールセンター費用や法律相談費用などもそうですが、適切なアウトソーシング先を選定するというのが非常に重要です。ITに詳しくないと「Google 検索」で調べて一番上に出てきた業者が信頼できると勘違いして“カモ”にされてしまいます。
また、私が知っている事例だと、ある企業はランサムウェア被害に遭い、ダークWebのリークサイトに名前が掲載された途端に怪しい営業電話がたくさんかかってきて、「どこに依頼すればいいか分からない」と言っていました。適切なアウトソーシング先を選定するには、インシデント損害の相場観を把握し、対応を担う企業が“ぼったくり”かどうかを判断する必要があります。インシデント損害額調査レポートは適正価格を把握するという意味でも有効に機能するでしょう。
神山氏: インターネットで検索して一番上に出てきた企業だけを信頼するのではなく必ず複数社を評価・選定した上で、どこに依頼するかを決めることが必要だと思います。
――セキュリティ担当者にインシデント損害額調査レポートをどのように活用してほしいと考えていますか。
西浦氏: 先ほどもお話ししましたが、このレポートがセキュリティリスクを説明する際の判断材料の一つになればいいと思っています。経営者の視点で考えると、株主に説明責任を果たすためにもインシデントの被害だけでなく、それを金銭に換算したときにどのくらいの損害が生じるのかを知りたいはずです。セキュリティ担当者が経営層と同じテーブルで議論する上で、このレポートが役に立つはずです。
神山氏: 損害額に注目するだけではなく、どのような損害が生じるのかという項目自体も知らない人が多いと思うので、インシデント対応時の準備やアウトソーシングを依頼する対応の整理をする上でもこのレポートを活用してほしいです。
残念ながら、もしサイバー攻撃の被害に遭ってしまった方は、今後、対応をアウトソーシングする際の依頼先選定や適正価格の判断材料にレポートを使ってほしいと思います。インシデント損害額調査レポートや今回公表したパワポの資料は“使ってもらってなんぼ”の精神で作成・公開しているので、セキュリティ担当者から経営者、ITベンダーの方まで、たくさん活用してほしいです。
――本日はありがとうございました。
なお、「サイバー攻撃を受けるとお金がかかる」の詳細な内容については神山氏がこちらの動画で解説しているためぜひ確認してほしい。
関連記事
日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
「監視、分析、時々棚卸し」をモットーにせよ ホワイトハッカー流IT資産保護のススメ
「IT資産の保護は『監視、分析、時々棚卸し』をモットーにせよ」――ホワイトハッカーの守井浩司氏がエンドポイントセキュリティ保護のポイントと実践的な対策のステップを語った。
管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
人気記事ランキング
- IBMはなぜメインフレームを主力に据え続けるのか? CEOが熱弁
- スマートウォッチを悪用するデータ漏えい手法「SmartAttack」攻撃とは?
- 日本IBMはどこでミスを犯したのか? NHKシステム再構築“失敗”から学ぶ
- 「人を笑っている場合じゃない」 SentinelOneが引き起こした大規模システム障害
- いつまでIT部門は“足元改善”に注力しているのか? 脱「先送り」の思考術のすすめ
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- ConnectWiseが警告 国家による支援を受けたハッカーが脅威活動を実施
- NHKシステム再構築はなぜ“失敗”したのか 「メインフレーム大撤退」時代の課題をひも解く
- 若手セキュリティエンジニア獲得に最も有効な手段とは? ISC2調査
- AIエージェントが乗っ取られる「エージェントハイジャッキング」 急速な導入の裏で発生している問題
ITmediaはアイティメディア株式会社の登録商標です。