特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は、「インシデント損害額調査レポート」2021年版を公表。
本レポートは、インシデントにより直接的または間接的に発生しうる費用項目を洗い出し、それぞれの費用項目について対応を請け負う企業・組織へのアンケートやインタビュー調査、またはインターネット上の公開データを調査し、集計したものである。

今まで似たものは存在していたものの、今回のように経営者、特に中小企業の経営者の方に向けて、インシデント発生時の具体的な対応、そのアウトソーシング先、対応等によって実際に生じるコスト（損害額・損失額）を明らかにしたものというのは、なかなか見当たらないであろう。
今回はこの「インシデント損害額調査レポート」2021年版より、被害額について紹介する。

２０

 

インシデントとその対応

おさらい：インシデントとは

”インシデント（incident）”とは、本来の英語の意味としては「（偶発的な）事件」「（1回だけの）出来事」という意味で用いられる単語である。「重大な事件に至る危険のあった小事件」といったニュアンスで”インシデント（incident）”が用いられる。F1を観ていても、車同士が接触した際に解説者は「インシデント」をよく用いている。（往年のセナプロ対決のようにわざとぶつけるのはインシデントではない）
では、情報セキュリティにおける”インシデントとは何を指すのであろうか？

情報セキュリティにおける”インシデント”とは、「情報システムの運用や個人情報の管理に支障を来すような事態に陥りかねない状況」であり、セキュリティインシデントと呼ばれることもある。
典型的なセキュリティインシデントとしては、以下のようなものが挙げられる。

• マルウェア感染
• DoS/DDos攻撃
• ウェブサイトの改竄
• 従業員による内部不正（データ持ち出し）
• PC及びUSBメモリなどの記憶媒体の紛失
• 電子メール/FAX/郵便物の誤送信・誤発送
• 機器の故障
• 自然災害等による機器の損壊

インシデントが発生、そのあとはどうしたら？

どんなに適切なセキュリティ対策を行おうとも、インシデントの発生を100%なくすことはできない。だとすれば、インシデントによるビジネスの影響を最小化するように準備するほかはないだろう。つまりは、被害の拡大を抑え、迅速な復旧・回復を図るための対応が必要となる。

このようなインシデント対応プロセスについては、NIST、JPCERT/CC、IPAなど、様々な業界団体や組織から公開されたマニュアル等も存在する。
JNSAでは以下のような3つのステップにその対応をまとめており、「わかっている」と思っても改めて確認することをおススメする。

図：インシデント発生時の対応（3つのステップ）
＜出典：JNSA・インシデント損害額調査レポート（2021年版）＞

上図の三つのステップは以下のような内容となっている。

（１）初期対応及び調査
インシデント発生直後には、ネットワークの遮断、影響を受けたサービスの停止、情報の隔離など被害の拡大防止のために必要な措置を講じる必要がある。
また、以降の対応方針を決定するためにも、インシデントの原因や影響・被害範囲の調査を実施する。
この活動はインシデントの対応が完了するまで継続して実施する必要がある。

（２）対外的対応（外向きの対応）
顧客や取引先など第三者に被害が発生する、またはその可能性がある場合には、被害の拡大防止策を最優先とし、インシデントの概要や対応方針等を通知・公表する必要がある。
また、個人情報の漏洩があった場合は個人情報保護委員会等への報告、サイバー犯罪であった場合は警察への相談など行政機関との連携も検討・実施する必要がある。

（３）復旧及び再発防止（内向きの対応）
対外的対応と併行して、インシデントによりシステム内のデータまたはソフトウェアが消失/改竄/損傷した場合には、データまたはソフトウェアの復旧及びハードウェアの復旧を行う。
今後、同様の事案の発生、再発を防ぎつつ、顧客や取引先等の関係者が納得する形での技術・組織・人の三つの観点を踏まえた抜本的な再発防止策を策定し、これを実施していく。

引用：JNSA・インシデント損害額調査レポート（2021年版）

インシデントが発生してしまった場合は、前述のような対応が必要になることはご理解いただけたと思う。
では、このような対応を行う場合一体いくらの費用が掛かるのであろうか？

 

インシデント発生で生じる費用

初期対応から調査、システム復旧など様々な対応が必要であるが、これを実施するには当然コストがかかる。更にインシデント発生要因がサイバー攻撃などであれば、事業中断となることも考えられ、売上/利益を失うことになる。
また、インシデント発生により第三者に被害が及んでしまった場合には損害賠償が必要な場合もあり、金銭的なダメージだけでなく、社会的信頼も失うことさえある。

JNSAでは各種対応だけでなく、インシデント発生時において生じる損害を6つに区分し、それぞれの対応及びコストをまとめている。

表：損害の６つの区分

＜出典：JNSA・インシデント損害額調査レポート（2021年版）＞

１．事故対応損害

この項目に含まれる活動範囲は非常に広い。初動対応やフォレンジック調査だけではない費用がこの中に含まれる。
しかしながら、被害の程度によってその対応に必要な金額は大きく左右されるため、あくまでも費用感を知っていただくための参考である。

• 事故原因・被害範囲調査費用：300～400万円
• 危機管理対応費用（コンサルティング）：数十万円
• 法律相談費用：数十万円
• 通信費（お詫び文や謝罪広告など）：十数万円（DM）～350万円（新聞広告）
• コールセンター費用：120～200万円/人
• 見舞金/見舞品：500円（手数料/印刷料/送料等含まず）/人
• 被害範囲調査費用（ダークウェブ調査）：数百万円～数千万円
• システム復旧費用：数万円～20万円程度（HW復旧についてはケースバイケース）
• 再発防止費用：セキュリティソフト 数百～数千円、SOC 約500万円/年、教育 数百～数千円

上記費用の中には、発生したインシデントによっては不要なものもあると思われるが、この1項目だけでも少なく見積もっても1千万円単位の費用は必要になってしまうことは覚えておく必要がある。

２．賠償損害

インシデント発生による被害は様々あるが、情報漏洩などにより第三者に対して損害を与えた場合には損害賠償請求がされ、損害賠償金を支払うことになる。
個人情報・クレジットカード情報・企業の秘密情報など、漏洩した情報によりその賠償額には大きく差があることは忘れないでもらいたい。
また、このように損害賠償の手続きを行うには弁護士立会い（または代行）で行うことが多いことから、弁護士費用もこの中に含まれる。

• 損害賠償金
  個人情報漏洩（自社管理）：約3万円/人
  個人情報漏洩（委託管理）：数千万～数億円（但し、事業規模や実被害状況による）
  クレジットカード情報漏洩：ケースバイケース（不正利用平均被害額：約10万円）
  機密情報漏洩（他社情報）：ケースバイケース（数百億円という事例も存在）
• 弁護士費用等その他の費用
  着手金：損害賠償請求額の8%～約2%（30億円超は協議により決定）
  報酬金：損害賠償請求額の16%～約4%（30億円超は協議により決定）

弁護士費用は日弁連が定めていた報酬基準が撤廃されたことで、個々に決めることができる為、参考として考えてもらいたい。

３．利益損害

インシデント発生の原因がランサムウェアのような悪意のあるサイバー攻撃だった場合、サービスしているシステムが停止する可能性もある。このようなサイバー攻撃が発生した場合に想定される損害に利益損害が挙げられる。

利益損害として発生する費用は、事業内容やその規模によって大きく異なり、平均的な数値などはない。
例えば、被害にあった企業における平時の売上高・固定費・変動費・営業利益を確認し、サービス停止期間で被った損失を算定し、対応することとなる。一つ覚えておくとよいのは、「売上高の減少分≠損失」である。

４．金銭損害

他のケースと異なり、サイバー犯罪等によるインシデントが原因で直接的な金銭被害を被るケースも増加の一途をたどる。ランサムウェア、BEC（ビジネスメール詐欺）、フィッシング詐欺、ウィルス感染など様々な手口があるが、これらは年を追うごとに巧妙化し、その被害は確実に増えている。

しかしながら、これも一概にいくらというものはなく、被害事例を参考にしていただきたい。

• ランサムウェア：平均約2400万円（2021年8月、Coveware社調べ）
• ビジネスメール詐欺（BEC）：ケースバイケース（数百万～数千万、中には億単位も）
• 不正出金（インターネットバンキング）：平均約140万円（法人）

５．行政損害

行政損害という言葉はあまり聞きなれないのではないだろうか。
日本なら個人情報保護法、欧州であればGDPR、米国はCCPAなど世界各国に存在する法令に対し、違反があった場合に課せられる金銭的制裁として、罰金・過料・制裁金・課徴金などを定めている。

• 個人情報保護法（日本）：最大1億円
• GDPR（欧州）：最大2000万ユーロまたは全世界売上高の4%のいずれか高い方
• CCPA（米国）：最大2500ドル（1名あたり）　但し、故意の場合は7500ドル

６．無形損害

読んで字のごとく”形のないもの”に対しての損害になります。ブランドイメージ毀損や株価下落などがこれに該当する。どこかに支払う類の損害ではないが、自社が被ることになる。

しかしながら、インシデントとの因果関係の証明が困難なことから定量的な評価は非常に難しいのが実情である。
売上高や株価時価に数十パーセントの影響を与えることが想定されるとJNSAのレポートでもまとめている。

 

まとめ

”従業員がメールに添付されていたファイルを開き、マルウェアに感染したというような
軽微なマルウェア感染でさえ、事故・原因被害調査費用で500万円、再発防止策で100万円と計600万円の損失に。
”ECサイトからのクレジットカード情報やセキュリティコードの漏洩”というケースでは、事故対応損害で2890万円、利益損害で3000万円、損害賠償で3600万円と合計で9490万円の損失額となったものもある。

セキュリティ事故が発生するということがどれだけ企業の損失となるかは、これらの例から理解していただけると思う。
各人レベルでの注意から企業としての対応まで様々なレベルで備える必要があるセキュリティであるが、各自がすべてを信じるのではなく、”怪しいかも”と常に疑う気持ちは忘れないだけでもセキュリティ事故は防げるのである。

この記事を見たことで情報セキュリティを考え直す良い機会となることを願いたい。

 

【執筆：編集Gp　ハラダケンジ】

---

＜参考資料＞

• インシデント損害額調査レポート　2021年版