損害保険ジャパン日本興亜とトレンドマイクロら、「セキュリティインシデントに関する被害コスト調査」を発表
- 2018/08/29 10:30
- SecurityInsight
損害保険ジャパン日本興亜とSOMPOリスケアマネジメント、トレンドマイクロの3社は8月28日、民間企業における情報システム・セキュリティに関する意思決定者を対象に行なった、事業継続を脅かすサイバー攻撃および内部犯行による対応コストへの影響を明らかにする「セキュリティインシデントに関する被害コスト調査」の調査結果を発表した。
今回の調査では民間企業における情報システム・セキュリティに関する意思決定者、意思決定関与者1,745名を対象に調査を実施。その結果、全体の43.9%を占める766名が、2017年1年間に被害額の発生する何かしらのセキュリティインシデントを経験していることが分かったとしている。その概要は以下のとおり。
●セキュリティインシデントの発覚が「社外からの通報」の場合、対外的な対応コストが増加
セキュリティインシデントにおける対応コストを「対外的コスト」と「対内的コスト」に分類して見てみると、外部機関や顧客といった「社外からの通報」によりインシデントが発覚した場合、事業継続に必要な機器の調達や社告、コールセンター開設・増設などの対外的コストが全体の59.0%を占めた。一方、社内のセキュリティ業務や社員からの連絡といった「社内からの通報」で発覚した場合には、対応コスト全体に占める対外的コストの割合は44.7%にとどまっており、14.3ポイントの大幅な開きがあった。
「対外的コスト」の中で全体コストに占める割合が最も大きく開いたのは「謝罪文作成・送付費用」で、「社外からの通報」の場合は9.4%、「社内からの通報」の場合には5.0%と、約2倍近い開きがあった。
・サイバー攻撃はシステム関連コスト、内部犯行は情報漏洩・消失関連コストに影響
セキュリティインシデントを「サイバー攻撃」と「内部犯行」に分類し、それぞれにかかった対応コストを調べたところ、サイバー攻撃の場合には内部犯行に比べて「営業継続費用」が+9.1ポイント、「システム復旧費用」が+3.9ポイントと大きな差が出ていた。サイバー攻撃の場合には、システムの調達や復旧に関連した費用割合が大きくなる傾向が分かった。
一方で内部犯行の場合には、サイバー攻撃に比べて「お詫び品・金券調達・送付費用」で+4.3ポイント、「データ復旧費用」で+2.2ポイントと、情報漏洩や情報消失に関連した対応コストの割合が膨らむ傾向にあることが分かった。
・依然として進まないセキュリティ対策
組織のセキュリティ対策を25項目・5段階の対策レベルで調査した結果、最も対策が進んでいる「対策レベル5」に属する企業は全体のわずか16.0%に留まった。一方で対策の進んでいない「対策レベル2」と「対策レベル1」に属する企業は全体の56.7%となっており、過半数を占める企業においてサイバー攻撃や内部犯行といったリスクを低減させる対策が不十分であることが分かった。
今回の調査から、セキュリティ対策が最も進んでいる対策レベル5に属する組織においても、セキュリティインシデントの平均対応コストは約1億7,600万円になることが明らかになっており、被害を見据えた上での対策も重要なポイントになる。