サイバー被害の巨額な経済的代償

株式会社アシュアードは、従業員数1,000名以上の大手企業に所属する情報システム・セキュリティ担当者500名を対象に、サイバー攻撃などのセキュリティインシデントによる経済的損失を調査した。インシデントを経験した企業のうち10％が10億円以上の損失を被り、14.2％で1ヶ月以上の業務停止・重大な支障が発生するなど、サイバーインシデントが企業の存続を揺るがす水準に達している実態が明らかになった。

調査概要：対象は大企業の情シス・セキュリティ担当500名

調査は、従業員数1,000名以上の大企業に所属する情報システム・セキュリティ部門担当者500名を対象に行われた。自社が受けたサイバー攻撃・セキュリティインシデントや、取引先で発生したインシデントの影響、その際の経済的損失と業務への影響、サイバー保険加入状況、インシデント後の対策強化における課題などを質問している。

10％が10億円超、1ヶ月以上の停止も14.2％

インシデント経験企業における経済的損失は、10％が10億円以上と回答した。1,000万〜5,000万円未満が12.5％で最多となり、多くの企業で数千万円規模の損失が発生している。復旧・調査費用、賠償、機会損失が積み上がることで、想定以上の負担となっていることがうかがえる。

業務への影響期間を見ると、業務が停止または重大な支障が出た期間として「1週間未満」が最も多い一方、「1ヶ月以上」と回答した企業も14.2％に上った。ひとたび大きなインシデントが起きると、短期での復旧にとどまらず、長期間にわたって事業継続に影響するケースが少なくないことが示されている。

自社66.8％・取引先58.2％、ITサプライチェーンを直撃

自社でセキュリティインシデントを「経験したことがある」と回答した企業は66.8％で、その内訳ではマルウェア・ランサムウェア感染が36.8％と最も高い。標的型攻撃や不正アクセスと並び、ランサムウェアが事業継続に与える影響の大きさがあらためて浮き彫りになっている。

取引先に起因するインシデントを「経験したことがある」とした企業も58.2％にのぼる。具体的な影響として、「取引先のマルウェア（ランサムウェア含む）被害をきっかけとした自社業務の遅延・停止」が28.8％、「自社の機密情報・個人情報の漏洩」が25.0％、「取引先システムを経由した自社のマルウェア感染」が17.0％であった。

インシデントの起点となった取引先としては、「システム開発・運用・保守委託先」が50.2％、「クラウドサービス事業者」が37.5％、「データセンター事業者」が28.9％と続く。企業活動を支えるITサプライチェーン全体が、業務停止や情報漏えいのリスクを抱えている構図である。

サイバー保険は約6割、人材・ノウハウ・経営理解がボトルネック

サイバー保険への加入状況は、「加入している」が58.6％となった。10億円以上の損失が10％の企業で発生している現状を踏まえると、サイバーリスクを前提とした補償設計や、保険の活用余地はまだ大きいといえる。

インシデント発生後の対策強化を進める上での課題としては、「対策を推進・運用する人材（リソース）の不足」が50.4％で最多となり、「必要な専門知識・ノウハウの不足」が41.3％、「経営層の理解不足」が28.5％、「予算確保が難しい」が23.4％と続いた。人材・ノウハウ・経営理解・予算といった要素が、実行段階での壁として立ちはだかっている。

専門家コメント：経営とサプライチェーンの視点が不可欠

Assuredクラウド評価事業部 セキュリティサービス部 部長の真藤直観氏は、10％が10億円以上の損失を被っている事実を踏まえ、サイバーインシデントはITの問題ではなく企業の財務・存続に直結する経営リスクであると指摘する。その上で、セキュリティ対策をIT部門任せにせず、経営層が最優先課題として関与する必要があると強調している。

また、58.2％が取引先起因のインシデントを経験している点について、自社が対策を講じていても、サプライチェーン上の「もっとも弱い部分」が企業の存続を脅かすリスクになり得るとコメントする。経営層が自社と取引先のリスク状況を正しく把握し、セキュリティの信用評価や取引先管理を通じて全体の底上げを図ることが重要であるとしている。

出典：PRTimes サイバー攻撃などのセキュリティインシデントの経済的損失を調査。インシデント経験企業の10%が10億円以上と回答