標的は大企業や重要組織だけではない
まず整理しておきたいのは、新型ランサムウェアによる攻撃は技術的には「標的型攻撃」の手法を取っていますが、ターゲットとしての「標的」が以前とは異なる点です。以前は「標的型攻撃」は国家組織によるものが主で、「標的」となった企業の重要情報を窃取するといったものでした。しかも、それらは大企業の機密情報がターゲットとなっていると推察されていました。しかしながら、昨今の事案を見ていますと、新型ランサムウェアによる「標的」は必ずしも大企業や特別な重要情報を持った企業というわけではなく、攻撃者のメソッドに則った脆弱性をもった企業が「標的」になると考えるのが正しいと思われます。また、メディアに取り上げられるのは、知名度の高い大企業の事案であることが多いため、サイバー攻撃が大企業に偏っているという錯覚をしがちなことも考慮に入れておくべきです。
なお本稿では、「攻撃者」という表現をしていますが、実際には「攻撃エコシステム」の形がとられていると考えられています。図1のように各エリアで専業化され、またその同業種内での競合が激しいため、攻撃がより洗練されていき、スピードやステレス性がより高まっていくことが予想されます。そのため、侵入時には気づきにくく、攻撃は広範囲にわたって行われるようになるわけです。
外部環境としては攻撃が洗練され脆弱性も日々見つかる中、コロナウィルスによるテレワークの推進により今までの「出入り口対策」では通用しない「裏口」が企業側に作られてしまったように、内部環境も日々変化しています。そのため、従来当たり前のように行われていた「年1回のセキュリティ診断」では脅威の変化に追いつけないことをまず認識する必要があります。
情報漏えい時に発生するコスト
さて、企業の財務に影響を与えるという観点で、IBM Securityから『2020年 情報漏えい時に発生するコストに関する調査』(*1)という興味深いレポートが出ていましたので紹介します。このレポートでは、情報漏洩のあった500以上の企業からヒアリングを行い、様々な観点からリサーチされています。一番目を引くのは、情報漏洩の対応費用が平均で386万ドル(約4億円)であった、ということです。調査対象の約80%は個人情報が漏洩しており、漏洩した情報に個人情報が含まれる場合、1レコードあたり平均150ドルのコストがかかるところ、暴露型ランサムウェアのように悪意のある攻撃による漏洩では175ドルに上昇すると述べられています。
もちろん、地域、業種、企業規模の大小によってもコストの違いはあるのですが、内訳としては以下のようなものが考えられます。
1.インシデントの調査や原因究明にかかるコスト:これにはセキュリティ専門家による調査コストが含まれます。
2.情報漏洩の事実を関係各署・被害者に通知するためのコスト:当局や被害者への通知のコストもそうですが、弁護士や外部の専門家に相談をするコストも含まれます。
3.ビジネス機会ロスによるコスト:こちらは詳細を後述します。
4.恒久対策のためのコスト:被害者のサポートもそうですし、セキュリティ技術的には脆弱性対策のためのセキュリティ製品導入、設定の変更、監視を強化するなどの対策のコストが含まれます。システムそのものをリプレイスする必要もあるかもしれません。いずれにしてもユーザー企業が自社の手に負えることではありませんので、外部の専門家やベンダーの支援を仰ぐ必要があります。
5.社内オペレーション変更のためのコスト:第3回で述べた通り、インシデント発生時、また発生後には社内オペレーションを緊急ないし恒久的に変更する必要があり、そのためにコストがかかります。また、社員のサイバーセキュリティリテラシーを上げるための教育費用も含まれます。
ここでさらに、「インシデントの調査や原因究明」と「ビジネス機会ロス」について掘り下げてみたいと思います。
