メニュー
ブログ

ブログ

Blog

サイバー攻撃の想定損害費用とは?不利益を理解してリスクマネージメントを!【サイバー保険検討のポイント】

2023.01.24 最終更新日:2023.01.26 保険情報

2023年1月23日に日経新聞から『サイバー攻撃、日本に矛先3年で攻撃数倍増』の記事が発表されました。(本編の記事は有料となっておりますが、Twitter上の動画は見ることが出来ます)

 

日経新聞が報じたと数字は警視庁の調査です。

【参考】警視庁 – サイバー空間をめぐる脅威の情勢等
https://www.npa.go.jp/publications/statistics/cybersecurity/

 

警視庁では、通常のインターネット利用では考えられない通信(サイバー空間で脆弱性の探索行為などを無差別に行った悪意がある可能性が高い通信)の検知数を集計しております。

その数値は、令和4年上期だけで1日7,800.3件(年換算だと約285万件)となっていて、すでに令和3年の総件数を超えて右肩上がりの状況です。

 

 

狙われる日本!海外からの不正アクセスが急増している。

この「悪意がある可能性が高い通信」には、海外を送信元とするアクセスが高い割合を占めている特徴があります。

つまり、日本は海外から狙われているのです。では、なぜ日本が狙われるのでしょうか?

それは日本が「サイバー攻撃の検知」「ソフトウェアの虚弱性対策」が主要国と比べても【遅い】ためです。つまり、海外のハッカーから見ると日本はサイバー攻撃の防衛力が低いため狙われやすいのです。

特に日本の中小企業は以下の理由から狙われる存在になってます。

  • 大企業は「人材」や「お金」に投資してセキュリティが強固である。
  • 中小企業のセキュリティ対策は進んでいない。(人材やお金が限られる)
  • 中小企業を踏み台にして大企業へ攻撃する方が効率的。

この様な理由から大手企業ではなく、商品が生産され消費者に届くまでの一連の流れ(サプライチェーン)に属する、中小企業を標的とした「サプライチェーン攻撃」が増えております。

他にも、ウィルスを仕込んだメールを不特定多数に送付し、感染したパソコンからメールアドレスやメール本文を盗み出す「ばらまき型攻撃」。

ばらまき型攻撃で盗み出した情報から返信メールに偽装し添付ファイルを開かせて感染させる「返信型攻撃」。

これらも中小企業で流行を繰り返しています。(この様にメールの添付ファイルを介して感染を広げていく手口はEmotet(エモテット)と呼ばれます)

 

 

サイバー攻撃で中小企業が被る不利益について

もし、何気なく開いたメールで自社のパソコンがウィルスに感染し、意図せず取引先にもウィルスメールを送信して感染させてしまった場合、自社が被害を受けるだけでなく、顧客や取引先にも損害を与え、企業は様々な不利益を被ってしまいます。

  • 金銭の損失
    原因や被害の調査費用、損害賠償や訴訟の費用、復旧に向けた対応費用、再発防止や対策の費用。
  • 信頼の失墜
    取引先や協力会社も含めたステークホルダーの信頼失墜、従業員の不信や不安から辞職者が増加。
  • 業務の停滞
    調査やシステム復旧までの完全な業務停止、業務の停止や停滞に伴う納期遅延や機会損失。
  • 顧客の流出
    セキュリティ対策が万全な競合他社へ顧客流出、企業やブランドイメージ低下による潜在顧客喪失。

特に「金銭の損失」はサイバー事故の内容によっては数百万あるいは数千万円の損害が発生する可能性があり、経営にとって大きなダメージとなります。また、他の不利益も同時に発生するため、会社の存続が危ぶまれる事態になりかねません。

 

 

サイバー攻撃によって発生する具体的な金銭的な被害は?

では、サイバー攻撃によって想定される金銭的な被害(想定損害額)はどの程度になるのでしょうか?

この金額が一定明らかにならないと情報セキュリティ対策に必要な適切な予算が組めません。

そこで、情報処理推進機構(IPA)は2023年1月20日に情報セキュリティ関連費用の可視化をサポートするお助けツール「NANBOK」(Next-generation-scenario in Assembled Notes for security administrator with Bill calculator Optimized by Kawamura model)を公開しました。

このツールでは「予算を割振りする経営者側」と「セキュリティの担当者」が抱える以下の様な問題点を解消するために作成されたツールです。

 

情報処理推進機構(IPA)- セキュリティ関連費用の可視化(お助けツール「NANBOK」)
https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/visualization-costs.html

 

このツールでは、業界や従業員人数、そしてインシデント発生時の想定シナリオ(質問への回答)を入力する事で、IPA「情報セキュリティ10大脅威2022」 に関わるインシデントが発生した場合の想定損失額が算出されます。

想定損失額は以下の内訳毎に表示され、それぞれの説明もあるため、自社が認識していなかったリスクや対応の洗出しにも役立ちます。

<想定損失額の内訳>

  • 事故対応損害
  • 賠償損害
  • 利益損害
  • 金銭損害
  • 行政損害
  • 無形損害

本ツールでは客観性を担保するために、以下の公的機関が公開している情報を元に計算がされています。これなら経営側も納得行くのではないでしょうか?

情報情報源発信者LINK
脅威の種類情報セキュリティ10大脅威 2022独立行政法人情報処理推進機構(IPA)
損害費用の区分インシデント損害額調査レポート 2021特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)
セキュリティ対策の導入状況企業IT利活用動向調査2022⼀般財団法⼈⽇本情報経済社会推進協会(JIPDEC)

 

<試しに以下の条件でお助けツール「NANBOK」(セキュリティ関連費用の可視化)をやってみました。>

  • 10大脅威:ランサムウェアによる被害
  • 業界:サービス業(金融・設計業を含む)
  • 従業員数:20名
  • 各種シナリオに回答

結果的に合計想定損害額は230万円!!!

従業員数やインシデント発生時の想定シナリオ(質問への回答)によっては想定被害額が500万円以上になることも!!

 

 

サイバー攻撃に対するリスクマネージメントの考え方

この様にサイバー攻撃の被害にあうと大きな損害が発生するリスクがあります。こうしたリスクから、身近に発生するリスクまで、全ての対策をするとコスト負担が大きくなってしまいます。

また、システムの脆弱性を突く新しい攻撃方法が日々生み出されているため、セキュリティ対策を万全にしてリスクを極小化してもゼロには出来ません。

そこで重要なのは「リスクマネージメント」です。自社で発生する可能性があるリスクを洗い出し、仮に事故が発生した際の影響度や事故が発生する確率や頻度からリスクを分析・評価します。

その上で、リスクに対する具体的な対策を検討します。

例えば「メールの誤送信」のリスクを【発生確率:低】【影響度:小】と判断した場合は、リスクを保有(許容)となり『メール誤送信後の対応手順を作成する』ことで、「メール誤送信が発生しても許容して手順書通りに対応する」が対策となります。

「メールの誤送信」のリスクを【発生確率:高】【影響度:小】と判断した場合は、リスクを低減するとなり『メール誤送信防止ツールを導入』してリスク低減をする事が対策となります。

では、「サイバー攻撃による業務停止」や「盗難されたパソコンから個人情報が流出」はどうでしょうか。これらのリスクについてセキュリティツールの導入など各種対策を行うのは当然ですが、【発生確率:低】のにも関わらず【影響度:大】のためリスクの移転『サイバー保険』が有効です。

サイバー保険の説明は以下の記事で書いておりますので、こちらをご覧ください。

 

 

サイバー保険の加入検討ポイント

経済産業省とIPA(独立行政法人 情報処理推進機構)が策定した「サイバーセキュリティ経営ガイドライン」では、『セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要』と明言されており、サイバー保険の活用も対策例として記載されています。

サイバーセキュリティ対策への取り組みは、今や企業の社会的責任(CSR)の1です。サイバー保険の加入検討をキッカケにリスクの見直しやセキュリティ対策が行われるのであれば、それは結果的に企業価値の向上に繋がります。

もし、保険料の負担が経営を圧迫しないのであれば、加入を優先して、加入後にセキュリティ対策をするのも一案です。保険料(掛け金)が高いと感じる場合は、業界や地域の団体保険への検討をオススメします。

新型コロナウィルスの対策は、「手洗い・マスク・こまめな換気」が基本である様に、サイバーセキュリティ対策も、日常業務の中で「基本的な対策を徹底する」ことが大切です。そして、万一、感染してしまった場合の連絡先や対応手順、そして保険対応を準備しておくこと。それが会社を守る事になります。

是非サイバー保険の導入をご検討してみてください。

 

+━━━━━━━━━━━━━━━━━━━━━━━━━━━━━+
 弊社では皆様のお役に立てるメルマガを毎月1回配信しております。
 ご希望の方は下記よりご登録ください!

 企業のリスクを題材としたメールマガジンの申込はこちら
 https://www.gripletter.jp/regist_newsletter.php?dname=Safety-i
+━━━━━━━━━━━━━━━━━━━━━━━━━━━━━+

ご相談はこちら

ネットでご契約
電話でのご相談
営業時間 平日9時~18時 土曜9時~12時(日祝休み)
WEBからのご相談