セキュリティの
学び場

今回の解説ニュース

インシデントが発生した際の被害額や、組織のセキュリティ成熟度について発表されています。国内組織のセキュリティ成熟度や、インシデント対応にかかる費用について説明します。

今回の調査は、日本国内の従業員規模1,000名以上の組織に所属する情報セキュリティに中心的・主体的に関わる立場の253人を対象に実施されました。調査結果によると、インシデントの年間平均被害額は約3億2,850万円にも上り、全回答者の25.3％に1億円以上の被害が発生しているということです。

サイバーセキュリティフレームワークが示す識別・防御・検知・対応・復旧の5つの機能毎に、自組織のセキュリティ成熟度を5段階で評価する質問をしたところ、相対的に「対応」が最も高く「復旧」が最も低い結果となりました。また、今後強化する予定のセキュリティ管理策を尋ねたところ、「復旧」に関するセキュリティ管理策を強化したいと回答したのは45.8%で、「防御」に関するセキュリティ管理策を強化したいと回答したのは64.8%であったということです。

セキュリティ成熟度の低い「復旧」、向上させる為には

セキュリティ成熟度が低い理由は、国内組織がインシデントの未然防止を中心としたセキュリティ対策を行っているからと考えられます。復旧のセキュリティ成熟度を向上させるためには、計画と改善、利害関係者とのコミュニケーションが必要です。

例えば、皆さんがご自宅の防犯対策を進めようとしたら、復旧が必要とならないような状況を目指して、被害が発生しないための防御を優先的に考えるのではないでしょうか。国内組織のセキュリティ成熟度でも同様に、未然防止を第一の目的に置いて、防御を中心としたセキュリティ対策を優先していることが考えられます。万が一、インシデントが発生してしまった際に、復旧までの時間がかかってしまい、被害が拡大してしまうことが考えられます。

サイバーセキュリティフレームワークによると、復旧についてセキュリティ成熟度を向上させるためには、計画と改善、ステークホルダーとのコミュニケーションが必要とされます。まず、インシデントの発生中またはその後に復旧計画が実施されていること、次にインシデントから学んだ教訓から復旧戦略が更新されていること、最後に管理された復旧活動が、内外の利害関係者だけでなく役員と経営陣にも周知されており、組織の評判がインシデント発生後に回復されていることが挙げられています。

セキュリティインシデント発生時において生じる損害6区分

インシデントで発生する費用として、事故対応損害、賠償損害、利益損害、金銭損害、行政損害、無形損害が挙げられます。よって、クレジットカードやシステム復旧にかかる費用にとどまりません。JNSAが発表した「インシデント損害額調査レポート2021」によると、インシデント発生時において生じる損害は6つに区分できると発表されています。それぞれについて簡単に説明します。

• 事故対応損害
  初動対応および調査、外向きの対応、内向きの対応に分けられます。これらは、初動対応や対外的対応、復旧および再発防止策に関して直接、費用を負担することにより被る損害です。インシデントの内容をフォレンジック調査する費用がこれに含まれます。
• 賠償損害
  情報漏えいなどにより、第三者から損害賠償請求がなされた場合の損害賠償金や弁護士報酬等を負担することにより被る損害です。被害者やクレジットカード会社から請求される費用がこれに含まれます。
• 利益損害
  ネットワークの停止などにより、事業が中断した場合の利益喪失や、事業中断時における人件費などの固定費支出による損害です。本来、得られるはずだった営業利益の喪失がこれに含まれます。
• 金銭損害
  直接的な金銭の支払いによる損害です。ランサムウェアをはじめとするマルウェア感染、ビジネスメール詐欺、インターネットバンキングでのなりすまし等によって支払に応じた費用がこれに含まれます。
• 行政損害
  国や組織から課される罰金や課徴金等による損害です。個人情報保護法における命令違反や、GDPRにおける手続違反で課せられる費用がこれに含まれます。
• 無形損害
  無形資産等の価値の下落による損害、金銭の換算が困難な損害です。風評被害、ブランドイメージの低下、株価下落などがこれに含まれます。

今回は、国内組織のセキュリティ成熟度の現状や、インシデント対応にかかる費用についてお届けしました。