トレンドマイクロ、損害保険ジャパン日本興亜、SOMPOリスケアマネジメントは、「セキュリティインシデントに関する被害コスト調査」の結果を発表した。これによると、セキュリティ対策が最も進んでいる「対策レベル5」に属する組織においても、セキュリティインシデントの平均対応コストは約1億7600万円になることが明らかになった。
同調査は、国内在住の民間企業で情報システム・セキュリティに関する意思決定者、 意思決定関与者1745人を対象に、4月にインターネットで実施された。対策レベルは、ネットワーク、エンドポイントといった領域での技術的対策や、経営リスクとしての認識・体制整備といった組織的対策を含め、組織のセキュリティ対策を25項目で評価している。
セキュリティ対策項目実施割合(N =1745)
「対策レベル5」に属する企業は全体のわずか16.0%で、一方で対策の進んでいない「対策レベル2」と「対策レベル1」に属する企業は全体の56.7%。過半数を占める企業においてサイバー攻撃や内部犯行といったリスクを低減させる対策が不十分であることが分かった。また回答者の43.9%に当たる766人が、2017年の1年間に被害額の発生する何かしらのセキュリティインシデントを経験したと答えている。
セキュリティインシデントにおける対応コストを「対外的コスト」と「対内的コスト」に分類して見てみると、外部機関や顧客といった「社外からの通報」によりインシデントが発覚した場合、事業継続に必要な機器の調達や社告、コールセンター開設・増設などの対外的コストが全体の59.0%を占めることが分かった。
インシデント対応コスト一覧
発覚事由別被害コスト割合 (N=766)
「対外的コスト」の中で全体コストに占める割合が最も大きく開いたのは「謝罪文作成・送付費用」で、「社外からの通報」の場合には9.4%、「社内からの通報」の場合には5.0%と約2倍近い開きがあることが分かった。
インシデント別被害コスト内訳 (N=766)
セキュリティインシデントを「サイバー攻撃」と「内部犯行」に分類し、それぞれにかかった対応コストを調べたところ、サイバー攻撃の場合、内部犯行に比べて「営業継続費用」が+9.1ポイント、「システム復旧費用」が+3.9ポイントと大きな差が出た。内部犯行の場合には、サイバー攻撃に比べて「お詫び品・金券調達・送付費用」で+4.3ポイント、「データ復旧費用」で+2.2ポイントと、情報漏えいや情報消失に関連した対応コストの割合が膨らむ傾向にある。
