今回の調査は、今年4月に実施されたもので、民間企業における情報システム・セキュリティに関する意思決定者、意思決定関与者1,745名が対象となった。その結果、全体の43.9%を占める766名が、2017年1年間に被害額の発生する何かしらのセキュリティインシデントを経験していることが分かった。
社外からの通報でインシデントが発覚した場合、対外的コストが全体の59.0%を占める
セキュリティインシデントにおける対応コストを「対外的コスト」と「対内的コスト」に分類して見てみると、外部機関や顧客といった「社外からの通報」によりインシデントが発覚した場合、事業継続に必要な機器の調達や社告、コールセンター開設・増設などの対外的コストが全体の59.0%を占めることがわかった。
一方、社内のセキュリティ業務や社員からの連絡といった「社内からの通報」で発覚した場合には、対応コスト全体に占める対外的コストの割合は44.7%にとどまっており、14.3ポイントの大幅なひらきがあることが分かった。
「対外的コスト」の中で全体コストに占める割合が最も大きくひらいたのは「謝罪文作成・送付費用」であり、「社外からの通報」の場合には9.4%、「社内からの通報」の場合には5.0%と約2倍近いひらきがあった。
社外からの通報で発覚するセキュリティインシデントは、個人情報漏洩などの深刻かつ顧客や取引先への直接的な影響が高いものと考えられることから、企業の説明責任やブランド・信頼の回復といったような企業存続に向けたコストがかさむものと推測される。セキュリティリスク自体や対外的コストを低減するためにも、サイバー攻撃や内部犯行の兆候を早期に特定できるセキュリティ対策が重要であると考えられる。
サイバー攻撃はシステム関連コスト、内部犯行は情報漏洩・消失関連コストに影響
セキュリティインシデントを「サイバー攻撃」と「内部犯行」に分類し、それぞれにかかった対応コストを調べたところ、サイバー攻撃の場合には内部犯行に比べて「営業継続費用」が+9.1ポイント、「システム復旧費用」が+3.9ポイントと大きな差が出ていた。サイバー攻撃の場合には、システムの調達や復旧に関連した費用割合が大きくなる傾向が分かった。
一方で内部犯行の場合には、サイバー攻撃に比べて「お詫び品・金券調達・送付費用」で+4.3ポイント、「データ復旧費用」で+2.2ポイントと、情報漏洩や情報消失に関連した対応コストの割合が膨らむ傾向にあることが分かった。
最悪な事態が発生した際には、様々な対応コストを計上する必要性が出てくることから、企業はサイバー攻撃や内部犯行といったリスクによってもたらされる損害を想定し、対策を強化する必要がある。
依然として進まないセキュリティ対策
ネットワーク、エンドポイントといった領域での技術的対策や、経営リスクとしての認識・体制整備といった組織的対策を含め、組織のセキュリティ対策を25項目・5段階の対策レベルで調査した。これらの設問は、サイバー保険加入時に顧客に記入してもらう告知書の確認事項をベースに作成したもの。
その結果、最も対策が進んでいる「対策レベル5」に属する企業は全体のわずか16.0%に留まることが分かった。一方で対策の進んでいない「対策レベル2」と「対策レベル1」に属する企業は全体の56.7%となっており、過半数を占める企業においてサイバー攻撃や内部犯行といったリスクを低減させる対策が不十分であることが分かった。
今回の調査から、セキュリティ対策が最も進んでいる対策レベル5に属する組織においても、セキュリティインシデントの平均対応コストは約1億7,600万円になることが明らかになっており、被害を見据えた上での対策も重要なポイントになる。
技術・組織の両面で包括的にセキュリティ対策を実施することは、サイバー攻撃や内部犯行のリスクを緩和させると同時に、有事の際に発生するコストをリスク移転する上での手段となるサイバー保険契約の締結においても重要なポイントになる。脅威によるリスクを緩和し、対応コストにともなうダメージを最小限に止めるためにも、企業としての全方位的なセキュリティ対策は不可欠となる。
