こんにちは、さとうです。
JNSAから2021年8月18日に
「インシデント損害額調査レポート 2021年版」
が公開されています。
本書は、インシデント発生時の具体的な対応、そのアウトソーシング先、対応等によって実際に生じるコスト(損害額・損失額)を各事業者への調査により明らかにしたものです。
本書では、まずインシデント発生時に生じる損害を以下の6つのカテゴリーに分類しています。
<インシデント発生時において生じる損害>
1.費用損害(事故対応損害)
被害発生から収束に向けた各種事故対応に関して自社で直接、費用を負担することにより被る損害
2.賠償損害
情報漏えいなどにより、第三者から損害倍書請求がなされた場合の損害賠償金等や弁護士報酬等を負担することにより被る損害
3.利益損害
ネットワーク停止などにより事業が中断した場合の利益喪失や、事業中断時における人件費などの固定費支出による損害
4.金銭損害
ランサムウェアをはじめとするマルウェア感染、ビジネスメール詐欺、インターネットバンキングでのなりすまし等による直接的な金銭の支払いによる損害
5.行政損害
個人情報保護法において命令違反等により科される罰金、GDPR等において課される課徴金等の損害
6.無形損害
風評被害、ブランドイメージの低下、株価下落など、無形資産等の価値の下落による損害、金銭の換算が困難な損害
本書では、個々の損害額の算出根拠(算出に当たっての単価や考え方)が記載されています。
また、それらを用いたモデルケースも示されています。
ここではそのモデルケースを3件見ていきます。
モデルケース
1.軽微なマルウェア感染
1.軽微なマルウェア感染
・インシデント概要従業員がメールに添付されていたファイルを開いたところ、マルウェアに感染した。※対応および被害概要は省略・被害額(損害額)600万円-内訳〇費用損害(事故対応損害)・事故原因・被害範囲調査費用500万円⇒従業員端末3台、サーバー1台を調査・再発防止策メールフィルタリングサービスの導入100万円⇒1000台×3000円
モデルケース
2.ECサイトからのクレジットカード情報の漏えい
2.ECサイトからのクレジットカード情報の漏えい
・インシデント概要ECサイトから、利用者の氏名、住所、クレジットカード情報、セキュリティコード等が漏えいしていることが、決済代行会社からの通報により判明した。※対応および被害概要は省略・被害額(損害額)9,490万円-内訳〇費用損害(事故対応損害)・ECサイトの停止にかかった費用10万円・事故原因・被害範囲調査費用300万円⇒サーバー1台を調査・法律相談費用50万円⇒初回相談ほかその後の対応を委任・コールセンター費用1,080万円⇒10~18時受付、3か月間設置。
初月5名体制とし、2~3か月目は2名体制
(120万円×5名+120万円×2名+120万円×2名)・お詫び・見舞品送付費用650万円⇒券面額500円のプリペイドカードの購入、
詫び状の印刷および発送・ECサイトの再構築にかかった費用
(再発防止策の導入を含む)800万円〇利益損害3,000万円⇒ECサイト単体では、売上高(月間平均)1,000万円、
固定費45%、変動費50%、営業利益5%の割合であった。(1,000万円×6か月)-(1,000万円×6か月×50%)=3,000万円〇賠償損害3,600万円⇒不正利用の額および再発行手数料についての損害賠償請求額
モデルケース
3.大規模なマルウェア感染
3.大規模なマルウェア感染
・インシデント概要〇海外子会社のサーバーがサイバー攻撃を受けた。その後、攻撃者は各種資格情報を取得したうえでネットワークへの侵入を続け、本社が管理するサーバーにアクセスするに至った。〇攻撃者はさらにネットワーク内に存在する各種データをランサムウェアに感染させ、暗号化するとともに、既に窃取したデータの一部をダークWeb上で公開し、データの回復およびデータの公開をやめることと引き換えに身代金を払うよう当該企業に要求した(二重の脅迫)。※対応および被害概要は省略・被害額(損害額)3億7,600万円-内訳〇費用損害(事故対応損害)・事故原因・被害範囲調査費用1億円⇒複数台の従業員端末、サーバーを調査したことに加え、EDR(セキュリティ対策製品の一種)の導入により、ネットワーク全体の監視を一定期間実施した。・従業員端末の入れ替え費用1.42億円⇒マルウェア感染したサーバー10台、従業員端末900台の入れ替えを実施。サーバー :10台×70万円=0.07億円従業員端末 :900台×15万円=1.35億円・再発防止費用0.5億円〇利益損害0.84億円⇒工場の1日あたりの売上高1.4億円、
固定費15%、変動費80%、営業利益5%の割合であった。(1.4億円×3日)-(1.4億円×3日×80%)=0.84億万円※営業支援システムが利用できないことによる営業活動の停滞に伴う利益損害なども想定されるがこのモデルケースでは割愛
インシデント発生時に必要となるコストをが明確になるのはもちろんですが、そもそもどのような対応が必要になってしまうのかが把握できるのが本書のもう一つの特徴だと考えられます。
実際のインシデント発生にあたっては、各社それぞれの事情や方針によってどこまで対応するかは様々なパターンだと思いますが、事前におよその目安を立てるのに有効です。
さとう