is702
ニュース

セキュリティインシデント対応コスト、発覚経緯や攻撃内容で大きな違い

2018/08/31

損保ジャパン日本興亜、SOMPOリスケア、トレンドマイクロの3社は8月28日、「セキュリティインシデントに関する被害コスト調査」の結果を発表しました。

この調査は、セキュリティインシデントにおける具体的な対応コストの実態を把握することを目的に、2018年4月に実施。日本に在住している、民間企業における情報システム・セキュリティに関する意思決定者・意思決定関与者1,745名から回答を得ています。その結果、全体の43.9%を占める766名が、2017年1年間に被害額の発生する何かしらのセキュリティインシデントを経験していることが分かりました。

セキュリティインシデントにおける対応コストを「対外的コスト」と「対内的コスト」という視点で見ると、外部機関や顧客といった“社外からの通報”によりインシデントが発覚した場合、事業継続に必要な機器の調達や社告、コールセンター開設・増設等の「対外的コスト」の割合が対応コスト全体の59.0%を占めていました。

一方、社内のセキュリティ業務や社員からの連絡といった“社内からの通報”で発覚した場合、「対外的コスト」は44.7%に留まりました。特に「謝罪文作成・送付費用」は、“社外からの通報”だと全体コストに占める「対外的コスト」は9.4%だったのに対し、“社内からの通報”だと5.0%とほぼ半分になっています。これは、企業の説明責任やブランド・信頼の回復といったような企業存続に向けたコストがかさむためと推測されます。

またセキュリティインシデントを「サイバー攻撃」と「内部犯行」に分類し、それぞれにかかった対応コストを比較したところ、サイバー攻撃の場合は「営業継続費用」や「システム復旧費用」が増大する傾向がありました。逆に内部犯行の場合は「お詫び品・金券調達・送付費用」や「データ復旧費用」が膨らんでいました。

さらに、組織のセキュリティ対策を25項目・5段階の対策レベルで調査したところ、もっとも対策が進んでいる「対策レベル5」に属する企業は全体のわずか16.0%に留まることが分かりました。一方で対策の進んでいない「対策レベル2」と「対策レベル1」に属する企業は、56.7%と過半数を占めました。

本調査では、対策レベル5に属する組織においても、セキュリティインシデントの平均対応コストは約1億7,600万円になることが判明しています。各企業は、対策レベルを引き上げるとともに、被害を見据えた上での対策も重要なポイントになります。



インシデント対応コスト一覧(上)および発覚事由別被害コスト割合(下)

インシデント対応コスト一覧(上)および発覚事由別被害コスト割合(下)

  • VBBSSあんしんプラス
  • IT資産管理 Asset CHECKER Cloud
  • CLOMO MDM
VBBSSあんしんプラス
IT資産管理 Asset CHECKER Cloud
CLOMO MDM