JNSAがサイバー攻撃被害を受けた企業へのアンケート調査結果を公表被害金額など明らかに

2023年10月24日、特定非営利活動法人日本ネットワークセキュリティ協会（以下、JNSA）は、国内でサイバー攻撃の被害組織において実際に生じたコストを調査するために実施したアンケート調査の結果を公表しました。^※1

公表資料では、エモテット感染、ランサムウェア感染、ウェブサイトからの情報漏えい被害など、サイバー攻撃の種別ごとの被害金額等をまとめ、それぞれに対し分析を行っています。

調査方法として、情報セキュリティ関連のニュースサイトや企業の公表ページに掲載された情報などを基に、2017年1月1日から2022年6月30日までの4年半の間にサイバー攻撃被害を受けた約1,300組織に対してアンケートを実施し、インシデントによる発生コスト等を調査したということです。（アンケート実施期間：2023年7月24日～ 9月30日）

なお、公表資料は今後公開予定の「インシデント損害調査レポート（第2版）」の別紙「サイバー攻撃被害組織アンケート調査」の速報版として位置づけられるものとなります。

サイバー攻撃種別ごとの被害金額

今回のアンケート調査で明らかとなったサイバー攻撃種別ごとの被害金額は以下となります。いずれも平均被害金額が1,000万円を超える非常に高い金額となっています。

なお、ランサムウェアに関しては、1. システムの停止やデータ消失による機会損失の損害額を算出できていないこと、2. 対応に要する内部工数が高い傾向にあることから、実際の損害額はより大きいものになる可能性があると分析されています。

インシデント発生時において生じる損害

JNSAが2021年に公表した「インシデント損害額調査レポート 2021年版」^※2 では、インシデント発生時において生じる損害を下記の6つに区分しています。今回のアンケート調査でも、被害金額の内訳として下記①～⑤の費用項目に基づき調査が行われています。

① 費用損害（事故対応損害）	被害発生から収束に向けた各種事故対応（「初動対応および調査」「対外的対応」「復旧および再発防止」等）に関して自社で直接、費用を負担することより被る損害。
② 賠償損害	情報漏えいなどにより、第三者（被害者個人ほか、委託契約における委託元、クレジットカード会社、取引先等の法人）から損害賠償請求がなされた場合の損害賠償金や弁護士報酬等を負担することにより被る損害。
③ 利益損害	ネットワークの停止などにより、事業が中断した場合の利益喪失や、事業中断時における人件費などの固定費支出による損害。
④ 金銭損害	ランサムウェアをはじめとするマルウェア感染、ビジネスメール詐欺、インターネットバンキングでのなりすまし等による直接的な金銭の支払いによる損害。
⑤ 行政損害	個人情報保護法において命令違反等により科される罰金、GDPR（EU一般データ保護規則。日本における個人情報保護法に相当）等において課される課徴金等の損害。
⑥ 無形損害	風評被害、ブランドイメージの低下、株価下落など、無形資産等の価値の下落による損害、金銭の換算が困難な損害。

引用：JNSA「インシデント損害額調査レポート　2021年版」p6

例えば費用損害（事故対応損害）にはインシデント発生後の初動対応（ネットワークの遮断、証拠保全等）やフォレンジック調査にかかる費用、法律相談費用などが該当します。その他、詳しい内容については引用元のインシデント損害額調査レポートをご確認ください。

インシデントが発生する前に対策を

サイバー攻撃被害の件数は年々増加の一途をたどり、自社がいつ被害に巻き込まれるか予測がつかない状況です。一般的にセキュリティと利便性はトレードオフの関係にあると言われており、そのため、必要性は認識されつつもセキュリティ対策の導入を後回しにする企業が少なくありません。しかし、インシデントが実際に発生すると、復旧までに膨大なコストがかかるだけでなく、社会的信用の低下など目に見えないコストも発生します。インシデントが発生する前に、セキュリティ対策を優先的に実施すべきです。

弊社の提供するファイル暗号化ソリューション『DataClasys』は、サイバー攻撃から情報漏えいを防ぐ最後の砦として多くの組織のセキュリティ向上に貢献してきました。万が一、社内ネットワークに侵入されファイルが流出してしまっても、暗号化されていれば中身のデータは漏えいしないので安心です。また、利便性や運用の面からもご好評をいただいております。ご興味ある方は、是非お問い合わせ下さい。