サイバー攻撃による損害額はいくらなのか？

サイバー攻撃によりインシデントが発生、貴方は何をすればいいのか
そして、企業が受けた損額とその金額は

この記事の目次

1 インシデントが発生した場合の対応
2 サイバー攻撃による損害
3 過去の事例で発生した損害金額
4 再発防止のポイント

インシデントが発生した場合の対応

サイバー攻撃とはマルウェア感染の他に、DoS攻撃によりシステムをダウンさせたり、ウェブサイトを改ざんなどがあります。また、従業員による顧客データの持ち出しやうっかりミスによる情報の流出なども含まれます。

これらのインシデントが発生した場合の対応すべきことについて、インシデント発生から順を追ってまとめました。

対応	具体的内容
攻撃の検知・報告	攻撃の兆候を検知社内責任者への報告対応方針の決定
損害拡大の防止	端末・ネットワークの遮断情報の隔離サービス・取引の停止
損害状況の把握	原因の調査影響範囲の確認被害状況の調査・保存社内告知
顧客・取引先対応	顧客・取引先の被害状況確認
公開・届け出	顧客・取引先への連絡関係機関への届出 Webでの公開専用窓口の開設
復旧・再開	システム・データの復旧サービスの再開
二次被害の防止	情報漏洩による二次被害対策漏洩した情報の回収風評対策
再発の防止	報告書の作成システム・ポリシー・運営体制の見直し・実施

サイバー攻撃による損害

サイバー攻撃による損害は、会社や売上の規模が大きいと相対的に高くなります。インシデント発生直後には顧客や取引先への謝罪費用やシステムの対応費用と同時にサービス停止による売上の減少が発生します。さらに、サービスを再開した後も、ブランドイメージの回復などに長期間の投資が必要になります。

サイバー攻撃による損害の詳細は下記の通りです。

損害の種類	具体的内容
直接の金銭損害	ランサムウェアの身代金ネットバンク口座からの盗難
調査費用	原因の調査・解析・保全までのフォレンジック費用被害状況の調査
社内工数の増加	対応策検討システム対応顧客・取引先対応、専用窓口の開設・運営
事故の公開費用	ウェブページ制作記者会見顧客・取引への連絡、マスコミ対応
謝罪・損害賠償・法廷費用	個人・顧客・引先情報などの流失による謝罪・賠償
売上の減少	サービス・取引の停止ブランド・サービスイメージ回復に必要な宣伝風評対策
罰金・制裁金の支払い	個人情報保護法・GDPR・社内犯罪の場合の罰金
会社価値の低下	株価の下落金融機関からの借入金利の上昇保険金額の上昇
システム運用費用	システム・データの隔離・復旧費用サービスシステムの再開
システムの改善費用	再発防止システムの検討・導入

過去の事例で発生した損害金額

2021年8月には過去最大級のサイバー攻撃による資産流失事故として、暗号資産（仮想通貨）のサービスを手がけるポリ・ネットワークは、ハッカーのサイバー攻撃を受けて600億円を超る暗号資産が不正流出しています。また、2021年1月～4月に発生した不正アクセスによる個人情報の流失では恋活・婚活マッチングアプリ「Omiai」の会員情報171万件が漏洩しました。

いずれもニュースとして大々的に報道されていますが、身近な事例として、JNSA（日本ネットワークセキュリティ協会）が発行している「インシデント損害額調査レポート2021」では、被害対策に掛かった費用例が具体的に報告されています。

インシデント内容	費用例	具体的内容
軽微なマルウェア感染	600万円	調査費用500万円再発防止策100万円
ECサイトからクレジットカード情報が漏洩	9,490万円	ECサイト停止10万円調査費300万円法律相談50万円コールセンター1,080万円お詫び650万円 ECサイトの再構築800万円利益損害3,000万円賠償損害3,600万円
大規模なマルウェア感染	4億2,600万円	調査費1億円 PCの入替1.5億円再発防止策5,000万円利益損害1.26億円

参照インシデント損害額調査レポート　2021年版（インシデント被害調査ワーキンググループ）/JNSA

再発防止のポイント

最後に、再発防止のポイントは以下の通りです。

再発防止策	具体的対策案
システムの見直し	次世代エンドポイントプロテクション、次世代ファイアーウォール
ルール・教育の見直し	セキュリティポリシー、操作マニュアル、セキュリティ説明会
施設や端末の見直し	パソコンやサーバーの施錠、セキュリティ区画、入退室管理、監視カメラ
損害リスクの回避	サイバー保険への加入
組織・体制の見直し	危機管理室（CSIRT）、危機管理広報、クライシスマネジメント