JNSA、インシデント損害額調査レポート 2021年版を公開
サイバー攻撃の脅威やその対策については、数多くのWebメディアを通じて、また経済産業省、総務省、警察、IPAなどの公的機関・団体から情報が発信されている。しかしながら、サイバー攻撃を中心としたインシデントが発生した場合に、企業・団体などにおいて一体どのような被害が発生するのか、金銭的なインパクトを示した記事や資料は実は少ない。
実際にセキュリティインシデントが発生した時に、どの程度の被害額になるのかを認識している経営者や担当者もわずかではないかと懸念され、このことがセキュリティ対策の遅れの一因になっていないかが心配されるところである。
万が一セキュリティインシデントが発生したら、各種対応、被害者への補償、事業の中断などにより、中小企業でも数千万円から数億円といった額に上ることもある。それにより、企業の継続が危ぶまれるということまで知っておくべきである。
今回JNSA(日本ネットワークセキュリティ協会)より公開された、「インシデント損害額調査レポート 2021年版」は、インシデント対応の詳細なプロセスについて、発覚から収束までの対応を単純化し、図の通り「(1)初動対応および調査」「(2)対外的対応」「(3)復旧および再発防止」の三つのステップに大別してまとめられている。
そして、各種対応だけでなく、インシデント発生時において生じる存在を6つの区分にわけて、それぞれの対応、コストがまとめられている。
| 1.費用被害(事故対応損害) 被害発生から収束に向けた各種事故対応(「初動対応および調査」「対外的対応」「復旧および再発防止」等)に関して自社で直接、費用を負担することにより被る被害をいいます、損害賠償請求により被る被害、事業中断により発生する利益喪失等の損害、風評・レピュテーションに関して生じる被害などは、以下「2.賠償損害」~「6.無形損害」にて取り上げます。 |
| 2.賠償損害 情報漏洩などにより、第三者(被害者個人ほか、委託契約における委託元、クレジットカード会社、取引先の法人)から損害賠償がなされた場合の損害賠償金や弁護士報酬等を負担することにより被る被害をいいます。 |
| 3.利益損害 ネットワークの停止などにより、事業が中断した場合の利益損失や、事業中断時における人件費などの固定費支出による被害をいいます。 |
| 4.金銭被害 ランサムウエアをはじめとするマルウエア感染、ビジネスメール詐欺、インターネットバンキングでのなりすまし等による直接的な金銭の支払いによる損害をいいます。 |
| 5.行政損害 個人情報保護法において、命令違反等により科される罰金、GDPR(EU一般データ保護規則。日本における個人情報保護法に相当)等において課される課徴金等の損害をいいます。 |
| 6.無形損害 風評被害、ブランドイメージの低下、株価下落など、無形資産等の価値の下落による損害、金銭の換金が困難な損害をいいます。 |
この報告書は、経営者、特に中小企業の経営者に向けて、インシデント発生時の具体的な対応、そのアウトソーシング先、対応などによって実際に生じるコスト(損害額・損失額)が、各事業者への調査により明らかにされています。事前対策・事後対応の両面を踏まえたセキュリティ対策の強化を図っていただくことを目的として作成されているため、是非ご興味のある向きは、こちらより確認して頂きたい。
【JNSA案内ページ】インシデント損害額調査レポート 2021年版
