膨れ上がる金銭被害─平均2億円の被害が意味すること
トレンドマイクロの「法人組織におけるセキュリティ実態調査」は、官公庁自治体・民間企業などの法人組織を対象に例年実施されている。2016年版では、これら組織のセキュリティ対策に関する意思決定者、ならびに意思決定に関与する立場にある担当者を対象に2016年6月に調査が実施され、有効回答数(サンプル数)は1,375名に上る。
その調査(以下、2016年版調査と呼ぶ)結果でまず目に引くのが、図1に示すセキュリティ侵害による法人組織の年間被害総額だ。これは、2015年一年間で深刻なセキュリティインシデントを経験した組織の被害額の平均を算出したもの。
被害総額の平均は実に2億1,050万円となり、前年度調査の約1.6倍に膨れ上がっている。また、従業員数5,000名以上の組織になると、被害総額平均は4億5,628万円に及び、従業員数50名~99名の組織の被害額平均も前年比約2.6倍の1億3,802万円に達している(図1)。
図1:インシデント発生組織における年間被害総額-規模別 n=530
資料:トレンドマイクロ「法人組織におけるセキュリティ実態調査-2016年版」[クリックすると図が拡大します]
言うまでもなく被害額は損失であり、組織の利益を直接圧迫するものだ。仮に組織の売上対利益率が5%から10%と想定すれば、2億円の損失をリカバーするのに40億円から20億円を売り上げなければならない計算になる。情報漏えいなどのセキュリティインシデントを発生させ、組織の信用・信頼が低下する中で、それだけの売上を上積みするのは簡単なことではないはずである。
「いったん重要情報の大量流出・漏えいといったインシデントに見舞われれば、被害者への慰謝料はもとより、事故に関する調査費用、事後対策のコンサルタント料など多くの出費がかさみます。加えて、信頼・信用の失墜による売上ダウンも予想され、事実、過去には顧客情報の流出によって巨額の特別損失の計上を余儀なくされた組織や、情報漏えいでショッピングサイトの長期閉鎖に追い込まれ、再開のメドが立てられずにいる企業もあります。その意味で、調査で得られた被害額は現在のセキュリティ被害の深刻な実態を表した数値と言えます。これを目安に自組織における損害の想定や被害発生のリスクを抑える施策を展開していただきたいと考えています」と、トレンドマイクロの上級セキュリティエバンジェリスト、染谷征良は話す。
