億単位の被害になることも - インシデント発生時の具体的な損害を解説
2024年3月26日(火)9時0分 マイナビニュース
●サイバー攻撃を受けるとお金がかかる
「サイバー攻撃を受けると莫大な損害が発生する可能性があることを頭に入れておいてほしい」と訴えかけるのは、JNSA(日本ネットワークセキュリティ協会)で調査研究部会 インシデント被害調査WG リーダーを務める神山太朗氏だ。経営者が大きな損害が生じることを理解すれば、あるいは情シス担当者、ITベンダーが経営者に理解させることができれば、その組織のセキュリティ対策を進めることにつながっていくためだ。
JNSAではその一助として、インシデント発生時の被害、損害額をまとめた「インシデント損害額調査レポート」を発表している。このレポートは本紙と別紙の二部構成で、本紙ではインシデントの際に被害組織が対応を委託したアウトソーシング先へのヒアリングにより損害額などをまとめており、別紙では被害企業へのアンケートを基に、被害の実態を調べている。
3月5日〜8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」に神山氏が登壇。同レポートの内容を紹介し、インシデント発生時に生じる損害の具体的な内容を解説した。
「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら
○サイバー攻撃を受けるとお金がかかる
このレポートで訴えたいことは「サイバー攻撃を受けるとお金がかかるということ」だと切り出した神山氏は、インシデント発生時にすべき対応は大まかに3つあると話す。まずは初動対応および調査で、何が起きているかを調べる。次に外向きと内向きの2つの対応を行う。外向きの対応とは、世間や取引先に向けお詫びなどをすること、内向きの対応は社内のシステム復旧や再発防止策の検討などだ。これらの対応には通常アウトソーシングが必要になる。専門性が求められる中で自社で調査するのは難しいし、対外対応のコールセンター会社への委託、ITベンダーへのシステムの復旧依頼などが必要になる場合が多いためだ。するとそこにコストがかかることになる。
インシデント発生時にはさまざまな損害が生じる。まずは、事故対応に関して直接費用を負担する「費用損害」だ。それ以外にも、情報漏えいが発生した場合に支払う損害賠償金などの「賠償損害」、事業中断の利益喪失による「利益損害」、ビジネスメール詐欺などにより金銭(資金)を支払ってしまった場合の「金銭損害」、個人情報保護法の罰金や「EU一般データ保護規則」(General Data Protection Regulation、GDPR)違反の制裁金などの「行政損害」、そして風評被害や株価下落など金銭の換算が困難な「無形損害」の6つがある。
調査やお詫び、クレーム対応、復旧など、合わせれば億単位の損害に
.
「サイバー攻撃を受けると莫大な損害が発生する可能性があることを頭に入れておいてほしい」と訴えかけるのは、JNSA(日本ネットワークセキュリティ協会)で調査研究部会 インシデント被害調査WG リーダーを務める神山太朗氏だ。経営者が大きな損害が生じることを理解すれば、あるいは情シス担当者、ITベンダーが経営者に理解させることができれば、その組織のセキュリティ対策を進めることにつながっていくためだ。
JNSAではその一助として、インシデント発生時の被害、損害額をまとめた「インシデント損害額調査レポート」を発表している。このレポートは本紙と別紙の二部構成で、本紙ではインシデントの際に被害組織が対応を委託したアウトソーシング先へのヒアリングにより損害額などをまとめており、別紙では被害企業へのアンケートを基に、被害の実態を調べている。
3月5日〜8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」に神山氏が登壇。同レポートの内容を紹介し、インシデント発生時に生じる損害の具体的な内容を解説した。
「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら
○サイバー攻撃を受けるとお金がかかる
このレポートで訴えたいことは「サイバー攻撃を受けるとお金がかかるということ」だと切り出した神山氏は、インシデント発生時にすべき対応は大まかに3つあると話す。まずは初動対応および調査で、何が起きているかを調べる。次に外向きと内向きの2つの対応を行う。外向きの対応とは、世間や取引先に向けお詫びなどをすること、内向きの対応は社内のシステム復旧や再発防止策の検討などだ。これらの対応には通常アウトソーシングが必要になる。専門性が求められる中で自社で調査するのは難しいし、対外対応のコールセンター会社への委託、ITベンダーへのシステムの復旧依頼などが必要になる場合が多いためだ。するとそこにコストがかかることになる。
インシデント発生時にはさまざまな損害が生じる。まずは、事故対応に関して直接費用を負担する「費用損害」だ。それ以外にも、情報漏えいが発生した場合に支払う損害賠償金などの「賠償損害」、事業中断の利益喪失による「利益損害」、ビジネスメール詐欺などにより金銭(資金)を支払ってしまった場合の「金銭損害」、個人情報保護法の罰金や「EU一般データ保護規則」(General Data Protection Regulation、GDPR)違反の制裁金などの「行政損害」、そして風評被害や株価下落など金銭の換算が困難な「無形損害」の6つがある。
調査やお詫び、クレーム対応、復旧など、合わせれば億単位の損害に
.
