SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

社外の通報で発覚したインシデントでは対外的対応コストがかさむ傾向――トレンドマイクロなど3社が被害コスト調査

 今回の調査は、今年4月に実施されたもので、民間企業における情報システム・セキュリティに関する意思決定者、意思決定関与者1,745名が対象となった。その結果、全体の43.9%を占める766名が、2017年1年間に被害額の発生する何かしらのセキュリティインシデントを経験していることが分かった。

社外からの通報でインシデントが発覚した場合、対外的コストが全体の59.0%を占める

 セキュリティインシデントにおける対応コストを「対外的コスト」と「対内的コスト」に分類して見てみると、外部機関や顧客といった「社外からの通報」によりインシデントが発覚した場合、事業継続に必要な機器の調達や社告、コールセンター開設・増設などの対外的コストが全体の59.0%を占めることがわかった。

 一方、社内のセキュリティ業務や社員からの連絡といった「社内からの通報」で発覚した場合には、対応コスト全体に占める対外的コストの割合は44.7%にとどまっており、14.3ポイントの大幅なひらきがあることが分かった。

 「対外的コスト」の中で全体コストに占める割合が最も大きくひらいたのは「謝罪文作成・送付費用」であり、「社外からの通報」の場合には9.4%、「社内からの通報」の場合には5.0%と約2倍近いひらきがあった。

 社外からの通報で発覚するセキュリティインシデントは、個人情報漏洩などの深刻かつ顧客や取引先への直接的な影響が高いものと考えられることから、企業の説明責任やブランド・信頼の回復といったような企業存続に向けたコストがかさむものと推測される。セキュリティリスク自体や対外的コストを低減するためにも、サイバー攻撃や内部犯行の兆候を早期に特定できるセキュリティ対策が重要であると考えられる。

図1:インシデント対応コスト一覧
図2:発覚事由別被害コスト割合(N=766)

サイバー攻撃はシステム関連コスト、内部犯行は情報漏洩・消失関連コストに影響

 セキュリティインシデントを「サイバー攻撃」と「内部犯行」に分類し、それぞれにかかった対応コストを調べたところ、サイバー攻撃の場合には内部犯行に比べて「営業継続費用」が+9.1ポイント、「システム復旧費用」が+3.9ポイントと大きな差が出ていた。サイバー攻撃の場合には、システムの調達や復旧に関連した費用割合が大きくなる傾向が分かった。

 一方で内部犯行の場合には、サイバー攻撃に比べて「お詫び品・金券調達・送付費用」で+4.3ポイント、「データ復旧費用」で+2.2ポイントと、情報漏洩や情報消失に関連した対応コストの割合が膨らむ傾向にあることが分かった。

 最悪な事態が発生した際には、様々な対応コストを計上する必要性が出てくることから、企業はサイバー攻撃や内部犯行といったリスクによってもたらされる損害を想定し、対策を強化する必要がある。

図3:インシデント別被害コスト内訳 (N=766)

依然として進まないセキュリティ対策

 ネットワーク、エンドポイントといった領域での技術的対策や、経営リスクとしての認識・体制整備といった組織的対策を含め、組織のセキュリティ対策を25項目・5段階の対策レベルで調査した。これらの設問は、サイバー保険加入時に顧客に記入してもらう告知書の確認事項をベースに作成したもの。

 その結果、最も対策が進んでいる「対策レベル5」に属する企業は全体のわずか16.0%に留まることが分かった。一方で対策の進んでいない「対策レベル2」と「対策レベル1」に属する企業は全体の56.7%となっており、過半数を占める企業においてサイバー攻撃や内部犯行といったリスクを低減させる対策が不十分であることが分かった。

 今回の調査から、セキュリティ対策が最も進んでいる対策レベル5に属する組織においても、セキュリティインシデントの平均対応コストは約1億7,600万円になることが明らかになっており、被害を見据えた上での対策も重要なポイントになる。

図4:セキュリティ対策項目実施割合(N =1,745)

 技術・組織の両面で包括的にセキュリティ対策を実施することは、サイバー攻撃や内部犯行のリスクを緩和させると同時に、有事の際に発生するコストをリスク移転する上での手段となるサイバー保険契約の締結においても重要なポイントになる。脅威によるリスクを緩和し、対応コストにともなうダメージを最小限に止めるためにも、企業としての全方位的なセキュリティ対策は不可欠となる。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/11106 2018/08/28 15:15

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング