先日8月14日に、A社が大規模なサイバー攻撃の影響により、2025年3月期に36億円の特別損失を計上する見通しだと発表しました。
A社は、2024年6月8日に大規模なランサムウエア(身代金要求型ウイルス)攻撃を含むサイバー攻撃を受けたことが明らかになり、8月5日には約25万人の個人情報が漏洩したと発表もされています。
こちらは大企業がサイバー攻撃を受けた際の被害額ですが、中小企業がサイバー攻撃を受けた場合はどの程度の被害が出るのでしょうか。
サイバー攻撃を受けるとお金がかかる
日本ネットワークセキュリティ協会(JNSA)調査研究部会 インシデント被害調査WGは7月に「サイバー攻撃を受けるとお金がかかる~インシデント損害額調査レポートから考えるサイバー攻撃の被害額~」を発表しました。今回はそのレポートから各種損害の種類や被害コストをご紹介します。
インシデント発覚時の流れ
損害コストをはじく前に、インシデント発覚時の流れを軽く見ながら、どのポイントでコストがかかっているか、おさらいしてみましょう。①初動対応
インシデントが発覚した際、まずはネットワークの切断などにより被害の拡大を防ぐといった初動対応が必要です。その初動対応と並行して、事故原因や情報漏えいの有無、その被害範囲などの調査も必要となります。
②復旧と報告
次のステップとして、内向きの対応としては被害を受けたデータやシステムの復旧です。外向きには、関係各所(監督官庁や個人情報保護委員会など)への報告、警察への相談、取引先や顧客へのお詫び等との対応などが必要となってきます。
実際には弁護士への法律相談、専門家のアドバイス、専門の会社へのアウトソーシングも必要となるでしょう。
③収束へ
収束に向かうためには再発防止策の策定も必要となります。必要に応じて各種機器の入れ替え、ネットワークシステムの再構築、人員の再配置なども考えなくてはなりません。
こういった対応をすべて自組織だけで行うのは非常に困難といえます。
インシデント発覚から収束まで簡単にご紹介しましたが、どのポイントで費用がかかりそうかを掴んでいただけたかと思います。
それではインシデント発生時の主な損害の種類を考えてみましょう。
サイバー攻撃の各種損害の種類
サイバー攻撃を受けてしまった場合の損害の種類は、以下の通りです。1. | 費用損害 (事故対応損害) | 被害発生から収束に向けた各種事故対応に関して、アウトソーシング先への支払を含め、自組織で直接費用を負担することにより被る損害(下記2~6に該当しないもの) |
2. | 賠償損害 | 情報漏えいなどにより、第三者から損害賠償請求がなされた場合の損害賠償金や弁護士報酬等を負担することにより被る損害 |
2. | 利益損害 | ネットワークの停止などにより、事業が中断した場合の利益喪失や、事業中断時における人件費などの固定費支出による損害 |
4. | 金銭損害 | ランサムウェア、ビジネスメール詐欺等による直接的な金銭(自組織の資金)の支払いによる損害 |
5. | 行政損害 | 個人情報保護法における罰金、GDPRにおいて課される課徴金などの損害 |
6. | 無形損害 | 風評被害、ブランドイメージの低下、株価下落など、無形資産等の価値の下落による損害、金銭の換算が困難な損害 |
次でいよいよ損害コストについて詳しく説明いたします。
サイバー事故の費用損害のコスト例
先ほどご紹介した損害の表のうち「1. 費用損害 (事故対応損害)」のみ、詳しくご紹介します。なんと驚くことに「1.」の費用損害だけで数千万単位、場合によっては億単位の損害が発生する可能性があります。
それはなぜでしょうか。
参照:日本ネットワークセキュリティ協会(JNSA)資料「サイバー攻撃を受けるとお金がかかる~インシデント損害額調査レポートから考えるサイバー攻撃の被害額~」より
1. 事故原因・被害範囲の調査費用
【コスト】300~400万円・復旧対応を進めるためにも、まずは原因や被害範囲等の調査が必要
・サイバー攻撃等の場合、フォレンジック調査が必要
・フォレンジック調査はプロの専門業者へ依頼が必要
※フォレンジック調査とは、PCやサーバを解析し事故原因や影響・被害範囲の特定などを行う調査です。
※フォレンジック調査費用は、被害にあった台数が増えるほど費用が増えます。一般的な調査費用はPC1台あたり100万円程度、サーバは300万円程度のため、例えばPC10台+サーバ1台がランサムウェアの被害にあった場合、(100万円×10台)+300万円=1300万円になります。
2. 法律相談費用
【コスト】数十万円~・リーガル面(個人情報保護法等)を踏まえた対応が必要
・法律事務所へ依頼するのが通例
3. 広告・宣伝活動費用
【コスト】DM印刷・発送は1通あたり130円~、新聞 全国紙240万円前後、地方紙50万円前後・お詫び文を作成し、ホームページへの掲載、お詫びのDM送付等が必要
・新聞出稿の検討も必要
4.コールセンター費用
【コスト】最大3オペレーター換算で、3ヶ月間で700~1,000万円・問い合わせ対応のため、電話受付体制の整備が必要
・コールセンター事業者への委託が一般的
5. システム復旧費用
【コスト】対応規模によってケースバイケース・システムの消失、改ざん等があった場合、データ復旧等が必要
・データ復旧は主としてバックアップされたデータの復旧
・システム構築したITベンダー等へアウトソーシング依頼が必要
6. 再発防止費用
【コスト】対応規模によってケースバイケース・今後の再発を防ぐため、その防止策の策定・実施が必要
まだまだある、サイバー事故にかかるコスト
いかがでしたでしょうか。 こちらはまだ「1. 費用損害 (事故対応損害)」のみのコストであり、この他に表組でご紹介した2~6の損害が発生するおそれがあります。 特に、PCやサーバが故障してしまっていたら、買い替え費用やも必要ですし、元の状態に戻すために復旧費用も必要となります。そしてサイバー攻撃により顧客データの情報漏洩が起きてしまったら、顧客から訴訟の可能性があり、法律相談費用・訴訟費用・損害賠償費用等が必要となってきます。
余談ですが中小企業で恐ろしいのは、自社を踏み台として関連会社や親が貴社を狙うサプライチェーン攻撃です。
もし、PC等を乗っ取られてしまい、関連会社へアクセスされてしまったら、莫大な損害となることでしょう。
これらの被害金額の想定は、下記の記事でもご案内していますのでご確認ください。
▼サイバー保険はいらない?普及しない理由とは
被害想定はその企業の事業によって異なるため、もし自社の被害想定がしきれない場合には、遠慮なく弊社までご相談ください。
サイバー攻撃や情報漏洩を補償するサイバー保険
もし万が一、自社がサイバー攻撃に遭ってしまったら、ご紹介したように費用損害だけで数千万単位、場合によっては億単位の損害が発生する可能性があり、情報漏洩が発生してしまった場合には、刑事上の罰則のみならず、民事上でも法的責任(損害賠償責任)が発生し、賠償請求される可能性があることを、ご理解いただけましたでしょうか。この費用損害・損害賠償を、補償してくれるのが「サイバー保険」なのです。(場合によっては利益損害も補償可能)
でもサイバー保険は高いのでは?とお考えではないでしょうか。
保険料の割引方法
保険会社によっては、セキュリティ対策を行っている企業に保険料の割引を行っている場合があります。 中には最大60%の割引を行う保険会社もありますので、お気軽にご相談ください。サイバー保険の保険会社の選び方は?
サイバー保険は様々な損害保険会社からプランが出ており、どの保険会社のプランに加入してよいかわからないということがあると思います。サイバー保険に加入する際の重要なポイントは、自社の状況にあった保険会社のプランを選び、必ず相見積もりをするということです。
実際にサイバー事故や情報漏洩が起きた際に、必要な補償が洩れてしまっていた場合は会社の事業存続に関わる可能性もあり得るので、補償の選択は慎重に行っていただきたいところです。
そのために必要なのが、取扱保険会社数と保険代理店の担当者スキルです。
見積は1社だけではなく、各保険会社で相見積もりをすることをおすすめいたします。
次に保険代理店ですが、日本の損害保険は保険会社が直接お客様と接することはほとんどなく、一般的な損害保険の販売は保険代理店にゆだねられています。
損害保険の代理店は、自動車保険を得意とする会社、旅行保険をメインとする会社もありますが、サイバー保険を得意とする保険代理店で複数の保険会社の見積もりをすることを強くおすすめいたします。
貴社の事業とリスクを把握できる経験豊富な保険代理店でプランを決めていただくことは、結果的に貴社を守ることになるとお考えください。
当サイトの運営会社ファーストプレイスは、サイバー保険に特化した損害保険の代理店です。
大手5社のサイバー保険を取り扱っており、すべて相見積もりが可能なためお気軽にご相談ください。
迅速かつ丁寧に、過不足のないサイバー保険のご提案をいたします。
まとめ
今回は日本ネットワークセキュリティ協会(JNSA) の資料を元に、サイバー攻撃の企業への被害額をご紹介しました。また、サイバー攻撃の被害を補償するサイバー保険を選ぶことが必要とお伝えしました。
残念ながらサイバー攻撃のリスクをゼロにすることはできませんし、サイバー保険に加入すればサイバー攻撃のリスクは低減するわけでもありません。
しかしサイバー保険に加入しておくことで、万が一の際に生じる損害や多大な労力から自社を守ることが可能です。
今、サイバー保険への加入を悩んでいるのであれば、ぜひこの機会に検討してみてはいかがでしょうか。
サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
引用:「サイバー攻撃を受けるとお金がかかる~インシデント損害額調査レポートから考えるサイバー攻撃の被害額~」日本ネットワークセキュリティ協会(JNSA) 調査研究部会 インシデント被害調査WG