情報漏えいの損害額はいくらになる？　経営者を納得させるためのセキュリティ対策費用の考え方

増え続ける情報漏えいの被害

　情報漏えいの被害は引き続き増加傾向にある。特に個人情報漏えいの発生件数は右肩上がりで、2021年8月の時点で既に2020年の合計を超えている。「この数字はニュースとして報道され、漏えいした情報が1,000件以上のものだけです。漏えい件数が1,000件以下のものも含めたら、被害件数はさらに多くなるでしょう」と渡辺氏は指摘する。

　情報漏えいの種類は様々で、大きく分類すると「技術的な脅威」「物理的な脅威」「人的脅威」での発生が多くあげられるという。技術的な脅威は、マルウェアや外部からのサイバー攻撃、ウェブサイトの脆弱性などを原因とするもので、日々攻撃が行われており、新たな手法も続々と登場している。今回はこの技術的な脅威にフォーカスし、その対策における適正な費用について紹介した。

　はじめに渡辺氏は、「6,505件」という数字を示した。この数字は、警視庁が保持するシステムが検知した1IPアドレス当たりの1日の不正アクセスの件数である。ウェブサイトやウェブサーバーは、日々気づかないうちに世界中からたくさんの攻撃を受けていることがわかる。この数字も年々増加傾向にあり、被害に遭うリスクも増えているなど、その対策が急務かつ非常に重要になっているという。

サイバー攻撃対策の実情

　このように企業が多様な攻撃にさらされている現在、サイバー攻撃対策は必須といえる。しかし、やみくもに投資するのではなく、必要経費として適切な対策に絞ってコストをかけるべきだと渡辺氏は語る。セキュリティ対策は、「投資」または「コスト」のどちらであるか、という議論が交わされることも多い。しかしながら、導入を最終的に判断するのは経営者であるため、経営者を納得させることこそが重要だと渡辺氏は指摘する。

　そのためには、提案するセキュリティ対策の費用対効果や、目的・リスクに対するレベル感などをきちんと説明できることが大切だ。適切なセキュリティ対策を実施していなかった結果、サービスの停止や売上機会の損失、ブランドイメージの毀損、信頼低下、上場延期、株価の下落、株主代表訴訟などの影響を受ける可能性がある。

　経営者は、セキュリティ対策は「企業の信頼構築」や「ビジネスメリット」にもつながっていくことを自分ごととして認識して意思決定をすべきだとした。

　では、実際に企業はどのくらいのセキュリティ投資を行っているのか。渡辺氏は、日本情報システム・ユーザー協会（JUAS）による、売上高に占める業種別のIT予算比率の資料を紹介した。これによると、銀行業界は突出しているが、それでも約10％であり、平均すると2.24％にとどまっている。

　また、IT予算としてセキュリティ予算も計上されており、その割合についても見てみると、IT予算に占めるセキュリティ予算の割合は、売上高100億円未満の企業では「5％未満」が14.6％、「15％以上」が43.8％と、15％以上をセキュリティ予算にあてている企業が約半数を占めた。一方、売上高が1兆円以上の企業では、「5％未満」が31.5％、「15％以上」が13.3％となった。

　売上高1兆円以上の大企業では、そもそも金額のボリュームが異なるだけでなく、既に多くのセキュリティ対策を導入済みである可能性が高いため、こうした逆転現象が起きているのではないかと渡辺氏は推測する。いずれにしても平均値であるため、あくまでも参考値として捉え、自社のコストや提供サービス、事業におけるITの重要度、データ保有量、優先順位などによる見極めが必要であるという。

　続いて渡辺氏は、リスク評価の考え方を示した。そもそも「リスクをゼロにすることは不可能」であることを前提に、考えうるリスクに対して評価を行うべきだとした。まずは、リスクが顕在化したときの被害を想定し、リスクを受容する基準を決める。そして、リスクの受容水準を上回ったものだけにリスク対応を行うというものだ。

　たとえば、A社には次の4つのリスクがあると仮定する。

1. 不正アクセスによる改ざん
2. リモートワークを狙った攻撃
3. データベースからの顧客情報の漏えい
4. 内部からの企業機密情報の持ち出し

　A社が自社Webサイトに個人情報登録フォームを保持している場合は、情報漏えいのリスクが想定される。もし、万が一情報漏えいが発生した場合は業務が停止し、消費者からの評価も下がり、売上に大きな打撃を受けることが予想できる。また、リスク受容水準を超えることが分かったのならば、前述した1と3のリスクに対して備える必要があると考えることができるという。その一方で、A社における社員のリモートワークの割合が30％ほどで、機密情報を扱う業務はオフィス内のみで実施している場合、この点に関してはリスク受容水準を下回るため、2あるいは4への対策は急務でないとも評価できるのだ。

　このようにしてリスクを評価し、限られた予算内で有効なセキュリティ対策の優先順位を見極めていくことが大切だという。なお、IPA（情報処理推進機構）などがリスク評価、分析に活用できるツールを提供^[※1]しているため、これらのツールを活用することも有効であるとアドバイスをおくる。

　[※1]　IPA：「情報資産管理台帳」（Excelブック形式ファイル）、「サイバーセキュリティ経営可視化ツール」、「情報セキュリティ診断」

情報漏えい被害が発生すると、損害額はどのくらいになるのか

　では、実際に情報漏えいが発生してしまった場合、どのくらいの損害費用がかかるのか。渡辺氏は、日本ネットワークセキュリティ協会（JNSA）の資料から、2018年にニュースとして報道された情報漏えい事故の平均値を示した。これによると、漏えいした個人情報の数は561万3,797人、事故の件数は443件、想定される損害賠償額は2,684億5,743万円。事故1件あたりの平均想定損害賠償額は6億3,767万円、1人あたりに換算すると2万9,768円となっている。

　たとえば、日本年金機構の情報漏えい事故のケースでは、事故後にかかった費用として「専用電話窓口の開設・運営」に2億3,600万円、「謝罪文」に1億3,200万円、「詐欺被害防止用チラシの配布」に3,100万円であったことが明らかになっている。

　また、あるECサイトでのサイト改ざん被害では、クレジットカードとそのセキュリティコードを含む個人情報約1万件が漏えいし、クレジットカード不正利用被害も合計2,500万円発生。この事件での損害費用の合計は9,490万円、約1億円であった。この損害費用は、中小企業にとっては死活問題といえる。

　そこで渡辺氏は、売上に対する損害額と対策コストのシミュレーションを示した。たとえば、年間売上高10億円の企業が1万人の情報漏えい事故を起こしてしまった場合、ECサイトの事例から損害額は9,490万円、この損害額は売上高の9.5％にあたる。一方、JUASによる資料から年間の対策費用（売上高に対するIT投資2.24％、その15％をセキュリティ対策費用とした場合）は336万円。売上高に対する割合は0.34％だ。つまり、情報漏えい事故が発生した際の損害額で、約28年分の情報漏えい対策費用がまかなえることになる。

効果的な情報漏えい対策とは

　情報漏えい事故は、Webサイトを介して発生しているものも少なくない。その手法は、脆弱性の悪用が高い割合を占めている。特に、Webサイトは複数のアプリケーションで構成されているため、日々それぞれに脆弱性が発見される。しかし、ひとつのアプリケーションに脆弱性の修正パッチをあてると、他のアプリケーションに影響を及ぼす可能性があるため検証が必要となる。これにより対策が遅れ、被害に遭いやすくなっているのだ。

　そのため、Webサイトのサイバー攻撃対策には、「脆弱性のないサイトを作ること」と「新たな脅威に対応し続けること」が重要になるという。具体的な対策として、前者ではセキュアコーディングやペネトレーションテスト、脆弱性管理が挙げられ、後者では脆弱性診断を踏まえたシステム改修、WAF（Webアプリケーション・ファイアウォール）の導入が挙げられる。

　たとえば、サイバーセキュリティクラウドでは、クラウド型のWAFである「攻撃遮断くん」、AWSおよびAzure向けのWAF自動運用サービス「Waf Charm」、そしてAWS WAF向けのルールセット「AWS WAF Managed Rules」を提供している。また、グループ会社のソフテックでは脆弱性診断と脆弱性管理「SIDfm」および「SIDfm VM」を提供。いずれも自社開発のソリューションであり、これらによりWebサイトのセキュリティ対策を強固にできる。

　そもそもWAFは、従来のファイアウォールやIDS/IPSでは防ぐことができない不正な攻撃から、Webアプリケーションを防御するファイアウォールである。脆弱性を悪用しようとする攻撃を検知し遮断するため、たとえWebアプリケーションの脆弱性対応が間に合っていなくても「仮想パッチ」として機能し、保護することができる。

　「攻撃遮断くん」は、月額1万円からの低価格で利用でき、24時間365日の日本語サポートを提供、導入から運用までを一貫してフルサポートするため、セキュリティの特別な知識がなくても導入できることが特徴となっている。既に12,000以上のサイトに導入されており、導入社数、導入サイト数はともに国内1位の実績だ。

　また、継続的な脆弱性管理ツールである「SIDfm VM」は、脆弱性管理の自動化が可能なツールである。Webアプリケーションやミドルウェア、OSの重要な脆弱性をいち早く特定し、パッチ対応の自動化を行える。リスクの自動トリアージやチケットの自動発行が可能で、パッチの詳細情報や対策情報も可視化できるだけでなく、1,000台以上の資産管理に対応している面でも支持されている。

　最後に渡辺氏は、「情報漏えい対策には脆弱性対策が非常に重要であり、サイバーセキュリティクラウドおよびソフテックでは様々なサイトの種類や規模に応じたプランを用意しています。また、無料トライアルも可能なため、ぜひ検討してみてください」としてセッションを締めくくった。

本記事で紹介している各種サービス資料は、下記より請求いただけます

• 「攻撃遮断くん」サービス資料
• 「WafCharm」サービス資料
• 脆弱性管理ツール「SIDfm VM」サービス資料

「20分でわかる WAF」
Webサイトを保持している、すべての企業が対応すべきセキュリティ対策とは

本セミナーでは、昨今の攻撃被害事例なども交えてクラウド型WAF「攻撃遮断くん」を活用し、どのようなWebセキュリティ対策ができるのか、20分で解説させていただきます。高度化・多様化する攻撃から企業のWebサイトを守るためのセキュリティ対策を検討されている方は、ぜひご参加ください。また、セッションの後にはQAの時間も設けていますので、疑問点などは直接ご質問いただけます。オンラインセミナーの詳細・申込み：「20分でわかる WAF」Webサイトを保持しているすべての企業が対応すべきセキュリティ対策とは