SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

経営の脅威となるランサムウェア:その理解と対策

新型ランサムウェアによる経営リスク:インシデントで発生するコストと法的被害

第4回

 前回までは新型ランサムウェアと旧型ランサムウェアの違い、その被害実態についてご紹介をしてきました。今回は経営リスクの観点から見ていきたいと思います。

標的は大企業や重要組織だけではない

 まず整理しておきたいのは、新型ランサムウェアによる攻撃は技術的には「標的型攻撃」の手法を取っていますが、ターゲットとしての「標的」が以前とは異なる点です。以前は「標的型攻撃」は国家組織によるものが主で、「標的」となった企業の重要情報を窃取するといったものでした。しかも、それらは大企業の機密情報がターゲットとなっていると推察されていました。しかしながら、昨今の事案を見ていますと、新型ランサムウェアによる「標的」は必ずしも大企業や特別な重要情報を持った企業というわけではなく、攻撃者のメソッドに則った脆弱性をもった企業が「標的」になると考えるのが正しいと思われます。また、メディアに取り上げられるのは、知名度の高い大企業の事案であることが多いため、サイバー攻撃が大企業に偏っているという錯覚をしがちなことも考慮に入れておくべきです。

 なお本稿では、「攻撃者」という表現をしていますが、実際には「攻撃エコシステム」の形がとられていると考えられています。図1のように各エリアで専業化され、またその同業種内での競合が激しいため、攻撃がより洗練されていき、スピードやステレス性がより高まっていくことが予想されます。そのため、侵入時には気づきにくく、攻撃は広範囲にわたって行われるようになるわけです。

図1 サイバー犯罪エコシステム[クリックして拡大]

 外部環境としては攻撃が洗練され脆弱性も日々見つかる中、コロナウィルスによるテレワークの推進により今までの「出入り口対策」では通用しない「裏口」が企業側に作られてしまったように、内部環境も日々変化しています。そのため、従来当たり前のように行われていた「年1回のセキュリティ診断」では脅威の変化に追いつけないことをまず認識する必要があります。

図2 サイバーセキュリティ脅威の多様化[クリックして拡大]

情報漏えい時に発生するコスト 

 さて、企業の財務に影響を与えるという観点で、IBM Securityから『2020年 情報漏えい時に発生するコストに関する調査』(*1)という興味深いレポートが出ていましたので紹介します。このレポートでは、情報漏洩のあった500以上の企業からヒアリングを行い、様々な観点からリサーチされています。一番目を引くのは、情報漏洩の対応費用が平均で386万ドル(約4億円)であった、ということです。調査対象の約80%は個人情報が漏洩しており、漏洩した情報に個人情報が含まれる場合、1レコードあたり平均150ドルのコストがかかるところ、暴露型ランサムウェアのように悪意のある攻撃による漏洩では175ドルに上昇すると述べられています。

 もちろん、地域、業種、企業規模の大小によってもコストの違いはあるのですが、内訳としては以下のようなものが考えられます。

1.インシデントの調査や原因究明にかかるコスト:これにはセキュリティ専門家による調査コストが含まれます。

2.情報漏洩の事実を関係各署・被害者に通知するためのコスト:当局や被害者への通知のコストもそうですが、弁護士や外部の専門家に相談をするコストも含まれます。

3.ビジネス機会ロスによるコスト:こちらは詳細を後述します。

4.恒久対策のためのコスト:被害者のサポートもそうですし、セキュリティ技術的には脆弱性対策のためのセキュリティ製品導入、設定の変更、監視を強化するなどの対策のコストが含まれます。システムそのものをリプレイスする必要もあるかもしれません。いずれにしてもユーザー企業が自社の手に負えることではありませんので、外部の専門家やベンダーの支援を仰ぐ必要があります。

5.社内オペレーション変更のためのコスト:第3回で述べた通り、インシデント発生時、また発生後には社内オペレーションを緊急ないし恒久的に変更する必要があり、そのためにコストがかかります。また、社員のサイバーセキュリティリテラシーを上げるための教育費用も含まれます。
 
ここでさらに、「インシデントの調査や原因究明」と「ビジネス機会ロス」について掘り下げてみたいと思います。

次のページ
インシデントの調査や原因究明

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
経営の脅威となるランサムウェア:その理解と対策連載記事一覧

もっと読む

この記事の著者

村上 雅則(マクニカネットワークス)(ムラカミマサノリ)

マクニカネットワークス株式会社
第2営業統括部第1部 主幹1995年にファイアウォール製品の国内展開を開始し、日本のインターネット黎明期からセキュリティビジネスに従事。
ビジネス面からサイバーセキュリティ脅威の変遷に合わせて製品やサービスを提供し、お客様のサイバーセキュリティ対策の支援を...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13698 2020/12/17 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング