SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2021レポート(AD)

情報漏えいの損害額はいくらになる? 経営者を納得させるためのセキュリティ対策費用の考え方

サイバーセキュリティクラウド 代表取締役CTO 渡辺洋司氏が示す「情報漏えい」対策

 サイバー攻撃は引き続き増加しており、それによる情報漏えい事故も多発している。最近では、Webサイトの脆弱性を狙って個人情報などを盗み出す攻撃も増加傾向だ。もし、情報漏えい事故が発生してしまうと、1億円以上の損害にのぼるケースも珍しくなく、中小企業においては死活問題となる。EnterpriseZine編集部主催で開催した「Security Online Day 2021」では、サイバーセキュリティクラウドの代表取締役CTOである渡辺洋司氏が「起きてからではもう遅い! いま始める『情報漏えい』対策~企業がかけるべき適正なセキュリティ対策費用とは~」と題したセッションで、サイバー攻撃による情報漏えいの現状と対策を考察した。

増え続ける情報漏えいの被害

サイバーセキュリティクラウド 代表取締役CTO 渡辺洋司氏
サイバーセキュリティクラウド 代表取締役CTO 渡辺洋司氏

 情報漏えいの被害は引き続き増加傾向にある。特に個人情報漏えいの発生件数は右肩上がりで、2021年8月の時点で既に2020年の合計を超えている。「この数字はニュースとして報道され、漏えいした情報が1,000件以上のものだけです。漏えい件数が1,000件以下のものも含めたら、被害件数はさらに多くなるでしょう」と渡辺氏は指摘する。

 情報漏えいの種類は様々で、大きく分類すると「技術的な脅威」「物理的な脅威」「人的脅威」での発生が多くあげられるという。技術的な脅威は、マルウェアや外部からのサイバー攻撃、ウェブサイトの脆弱性などを原因とするもので、日々攻撃が行われており、新たな手法も続々と登場している。今回はこの技術的な脅威にフォーカスし、その対策における適正な費用について紹介した。

「情報漏えい」を3つに大別
「情報漏えい」を3つに大別
[画像クリックで拡大]

 はじめに渡辺氏は、「6,505件」という数字を示した。この数字は、警視庁が保持するシステムが検知した1IPアドレス当たりの1日の不正アクセスの件数である。ウェブサイトやウェブサーバーは、日々気づかないうちに世界中からたくさんの攻撃を受けていることがわかる。この数字も年々増加傾向にあり、被害に遭うリスクも増えているなど、その対策が急務かつ非常に重要になっているという。

Webサイトへの攻撃件数は増加
Webサイトへの攻撃件数は増加
[画像クリックで拡大]

サイバー攻撃対策の実情

 このように企業が多様な攻撃にさらされている現在、サイバー攻撃対策は必須といえる。しかし、やみくもに投資するのではなく、必要経費として適切な対策に絞ってコストをかけるべきだと渡辺氏は語る。セキュリティ対策は、「投資」または「コスト」のどちらであるか、という議論が交わされることも多い。しかしながら、導入を最終的に判断するのは経営者であるため、経営者を納得させることこそが重要だと渡辺氏は指摘する。

 そのためには、提案するセキュリティ対策の費用対効果や、目的・リスクに対するレベル感などをきちんと説明できることが大切だ。適切なセキュリティ対策を実施していなかった結果、サービスの停止や売上機会の損失、ブランドイメージの毀損、信頼低下、上場延期、株価の下落、株主代表訴訟などの影響を受ける可能性がある。

 経営者は、セキュリティ対策は「企業の信頼構築」や「ビジネスメリット」にもつながっていくことを自分ごととして認識して意思決定をすべきだとした。

サイバーセキュリティは「ビジネスメリット」になる
サイバーセキュリティは「ビジネスメリット」になる
[画像クリックで拡大]

 では、実際に企業はどのくらいのセキュリティ投資を行っているのか。渡辺氏は、日本情報システム・ユーザー協会(JUAS)による、売上高に占める業種別のIT予算比率の資料を紹介した。これによると、銀行業界は突出しているが、それでも約10%であり、平均すると2.24%にとどまっている。

 また、IT予算としてセキュリティ予算も計上されており、その割合についても見てみると、IT予算に占めるセキュリティ予算の割合は、売上高100億円未満の企業では「5%未満」が14.6%、「15%以上」が43.8%と、15%以上をセキュリティ予算にあてている企業が約半数を占めた。一方、売上高が1兆円以上の企業では、「5%未満」が31.5%、「15%以上」が13.3%となった。

IT予算に占めるセキュリティ予算割合
IT予算に占めるセキュリティ予算割合
[画像クリックで拡大]

 売上高1兆円以上の大企業では、そもそも金額のボリュームが異なるだけでなく、既に多くのセキュリティ対策を導入済みである可能性が高いため、こうした逆転現象が起きているのではないかと渡辺氏は推測する。いずれにしても平均値であるため、あくまでも参考値として捉え、自社のコストや提供サービス、事業におけるITの重要度、データ保有量、優先順位などによる見極めが必要であるという。

 続いて渡辺氏は、リスク評価の考え方を示した。そもそも「リスクをゼロにすることは不可能」であることを前提に、考えうるリスクに対して評価を行うべきだとした。まずは、リスクが顕在化したときの被害を想定し、リスクを受容する基準を決める。そして、リスクの受容水準を上回ったものだけにリスク対応を行うというものだ。

 たとえば、A社には次の4つのリスクがあると仮定する。

  1. 不正アクセスによる改ざん
  2. リモートワークを狙った攻撃
  3. データベースからの顧客情報の漏えい
  4. 内部からの企業機密情報の持ち出し
リスク評価に基づき対処の優先度を決める
リスク評価に基づき対処の優先度を決める
[画像クリックで拡大]

 A社が自社Webサイトに個人情報登録フォームを保持している場合は、情報漏えいのリスクが想定される。もし、万が一情報漏えいが発生した場合は業務が停止し、消費者からの評価も下がり、売上に大きな打撃を受けることが予想できる。また、リスク受容水準を超えることが分かったのならば、前述した1と3のリスクに対して備える必要があると考えることができるという。その一方で、A社における社員のリモートワークの割合が30%ほどで、機密情報を扱う業務はオフィス内のみで実施している場合、この点に関してはリスク受容水準を下回るため、2あるいは4への対策は急務でないとも評価できるのだ

 このようにしてリスクを評価し、限られた予算内で有効なセキュリティ対策の優先順位を見極めていくことが大切だという。なお、IPA(情報処理推進機構)などがリスク評価、分析に活用できるツールを提供[※1]しているため、これらのツールを活用することも有効であるとアドバイスをおくる。

 [※1] IPA:「情報資産管理台帳」(Excelブック形式ファイル)、「サイバーセキュリティ経営可視化ツール」、「情報セキュリティ診断

情報漏えい被害が発生すると、損害額はどのくらいになるのか

 では、実際に情報漏えいが発生してしまった場合、どのくらいの損害費用がかかるのか。渡辺氏は、日本ネットワークセキュリティ協会(JNSA)の資料から、2018年にニュースとして報道された情報漏えい事故の平均値を示した。これによると、漏えいした個人情報の数は561万3,797人事故の件数は443件想定される損害賠償額は2,684億5,743万円事故1件あたりの平均想定損害賠償額は6億3,767万円1人あたりに換算すると2万9,768円となっている。

情報漏えいによる損害費用の平均値
情報漏えいによる損害費用の平均値
[画像クリックで拡大]

 たとえば、日本年金機構の情報漏えい事故のケースでは、事故後にかかった費用として「専用電話窓口の開設・運営」に2億3,600万円、「謝罪文」に1億3,200万円、「詐欺被害防止用チラシの配布」に3,100万円であったことが明らかになっている

 また、あるECサイトでのサイト改ざん被害では、クレジットカードとそのセキュリティコードを含む個人情報約1万件が漏えいし、クレジットカード不正利用被害も合計2,500万円発生。この事件での損害費用の合計は9,490万円、約1億円であった。この損害費用は、中小企業にとっては死活問題といえる。

ECサイトにおける情報漏えい事例
ECサイトにおける情報漏えい事例
[画像クリックで拡大]

 そこで渡辺氏は、売上に対する損害額と対策コストのシミュレーションを示した。たとえば、年間売上高10億円の企業が1万人の情報漏えい事故を起こしてしまった場合、ECサイトの事例から損害額は9,490万円、この損害額は売上高の9.5%にあたる。一方、JUASによる資料から年間の対策費用(売上高に対するIT投資2.24%、その15%をセキュリティ対策費用とした場合)は336万円。売上高に対する割合は0.34%だ。つまり、情報漏えい事故が発生した際の損害額で、約28年分の情報漏えい対策費用がまかなえることになる。

売上に対する損害額・対策コストシミュレーション
売上に対する損害額・対策コストシミュレーション
[画像クリックで拡大]

効果的な情報漏えい対策とは

サイバーセキュリティクラウド 代表取締役CTO 渡辺洋司氏

 情報漏えい事故は、Webサイトを介して発生しているものも少なくない。その手法は、脆弱性の悪用が高い割合を占めている。特に、Webサイトは複数のアプリケーションで構成されているため、日々それぞれに脆弱性が発見される。しかし、ひとつのアプリケーションに脆弱性の修正パッチをあてると、他のアプリケーションに影響を及ぼす可能性があるため検証が必要となる。これにより対策が遅れ、被害に遭いやすくなっているのだ。

 そのため、Webサイトのサイバー攻撃対策には、「脆弱性のないサイトを作ること」と「新たな脅威に対応し続けること」が重要になるという。具体的な対策として、前者ではセキュアコーディングやペネトレーションテスト、脆弱性管理が挙げられ、後者では脆弱性診断を踏まえたシステム改修、WAF(Webアプリケーション・ファイアウォール)の導入が挙げられる。

 たとえば、サイバーセキュリティクラウドでは、クラウド型のWAFである攻撃遮断くん、AWSおよびAzure向けのWAF自動運用サービスWaf Charm、そしてAWS WAF向けのルールセット「AWS WAF Managed Rules」を提供している。また、グループ会社のソフテックでは脆弱性診断と脆弱性管理SIDfmおよびSIDfm VMを提供。いずれも自社開発のソリューションであり、これらによりWebサイトのセキュリティ対策を強固にできる。

サイバーセキュリティクラウドとソフテックで包括的な保護を実現
サイバーセキュリティクラウドとソフテックで包括的な保護を実現
[画像クリックで拡大]

 そもそもWAFは、従来のファイアウォールやIDS/IPSでは防ぐことができない不正な攻撃から、Webアプリケーションを防御するファイアウォールである。脆弱性を悪用しようとする攻撃を検知し遮断するため、たとえWebアプリケーションの脆弱性対応が間に合っていなくても「仮想パッチ」として機能し、保護することができる

 「攻撃遮断くん」は、月額1万円からの低価格で利用でき、24時間365日の日本語サポートを提供、導入から運用までを一貫してフルサポートするため、セキュリティの特別な知識がなくても導入できることが特徴となっている。既に12,000以上のサイトに導入されており、導入社数、導入サイト数はともに国内1位の実績だ。

清水建設の導入事例
清水建設の導入事例
[画像クリックで拡大]

 また、継続的な脆弱性管理ツールである「SIDfm VM」は、脆弱性管理の自動化が可能なツールである。Webアプリケーションやミドルウェア、OSの重要な脆弱性をいち早く特定し、パッチ対応の自動化を行える。リスクの自動トリアージやチケットの自動発行が可能で、パッチの詳細情報や対策情報も可視化できるだけでなく、1,000台以上の資産管理に対応している面でも支持されている。

 最後に渡辺氏は、「情報漏えい対策には脆弱性対策が非常に重要であり、サイバーセキュリティクラウドおよびソフテックでは様々なサイトの種類や規模に応じたプランを用意しています。また、無料トライアルも可能なため、ぜひ検討してみてください」としてセッションを締めくくった。

本記事で紹介している各種サービス資料は、下記より請求いただけます

「20分でわかる WAF」
Webサイトを保持している、すべての企業が対応すべきセキュリティ対策とは

本セミナーでは、昨今の攻撃被害事例なども交えてクラウド型WAF「攻撃遮断くん」を活用し、どのようなWebセキュリティ対策ができるのか、20分で解説させていただきます。高度化・多様化する攻撃から企業のWebサイトを守るためのセキュリティ対策を検討されている方は、ぜひご参加ください。また、セッションの後にはQAの時間も設けていますので、疑問点などは直接ご質問いただけます。オンラインセミナーの詳細・申込み:「20分でわかる WAF」Webサイトを保持しているすべての企業が対応すべきセキュリティ対策とは

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15009 2021/10/18 11:00

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング