サイバー攻撃の被害額から考えるセキュリティ
2024年11月7日、株式会社KADOKAWAはサイバー攻撃の影響による2025年3月期の特別損失を約23億円に修正したことを公表しました。本稿ではサイバー攻撃による被害金額を軸にセキュリティに求められる戦略を考えます。
公開日:2024年8月16日
更新日:2024年11月29日
サイバー攻撃による経済損失が国内でも度々発生
2024年8月14日、株式会社KADOKAWAはサイバー攻撃の影響により2025年3月期に36億円の特別損失を計上する見通しだと発表しました。また2024年11月7日に特別損失の計上を約23億円に修正したことを発表しました。
今年の2月にはサイバー攻撃による全世界での被害が年間147兆円であることが報じられるなど、世界全体でサイバー攻撃による被害が深刻化していることは明らかです。今回のKADOKAWAにおける事案は日本国内においても同様の大きな被害が起きうる可能性があることを示した事例の一つです。
特別損失とは企業においてもともと想定になかった臨時的、偶発的に発生した損失が該当します。今回のサイバー攻撃以外にも例えば災害やリコール対応などにより急遽発生した損失などの場合にも計上されます。今回のようなサイバー攻撃を起因とした特別損失が発生した事例は他にも国内で複数公表されています。
発表時期 | 組織 | 概要 | 特別損失概算 | 営業利益 (発表時の予想含む) |
---|---|---|---|---|
2021年9月 | 株式会社オリエンタルコンサルタンツホールディングス |
復旧に向けた調査及び対応に伴う関連費用 | 約7億5千万円 | 約30億円(21年9月期) |
2023年8月 | 株式会社エムケイシステム |
固定資産除却損、システム障害対応費用 | 約2億3千万円 | 約△1.8億円(24年3月期) |
2024年6月 | 日東製網株式会社 | ランサムウェア感染被害に対処したシステム復旧費用 | 約1千960万円 | 約4.3億(24年4月期) |
2024年6月 | 株式会社イズミ |
システム停止期間の売上と再発防止を含めた復旧費用 | 約10億円 | 約314億(24年2月期) |
2024年8月 | 株式会社KADOKAWA | クリエーターへの補償費用やサーバーなどの復旧費用 | 約23億円 | 106億(25年3月期) |
表:ランサムウェア攻撃の被害によって生じた特別損失を発表した国内の主な組織例
(公開情報を元にトレンドマイクロが整理)
それぞれの組織によってその規模は異なるものの、少なくとも営業利益の数%以上を占めるなど大きな被害が発生しています。
なお、概要の列にてそれぞれの組織が特別損失概算として記載した内容をまとめていますが、組織ごとに内容が異なることに注意が必要です。ランサムウェアの被害と言えば、業務停止による売り上げの停止や身代金の支払いなどについて想像が及びやすいですが、再発防止などを含めて検討する場合、損失額はより大きくなります。
サイバー攻撃によって生じる被害は多岐にわたるため、いくつか分類して整理する場合、下記の3種類が例として挙げられます。
直接コスト
攻撃そのものによって引き起こされる主に金銭的なコストが複数存在します。不正送金や身代金支払いなど攻撃者への直接的な金銭の支払いが発生する可能性があります。またランサムウェアなどによって可用性が侵害される場合、業務停止期間中の本来あったはずの売上損失、サービス利用顧客に対する補償金なども発生する可能性があります。
復旧コスト
攻撃を受けてからの調査・封じ込めなどの対応、システム復旧などに必要な、主には人的コストにあたる損害が想定されます。被害範囲の特定やデータやシステムの復旧に関わる人件費に加え、対外的な広報対応や社内における関連部門の対応時間にあたる人的コストが発生します。
再発防止コスト
被害を受けた後の今後の再発防止や被害低減に向けた様々な施策・活動・投資などの中長期的コスト。セキュリティソリューションの追加導入、今後のインシデント対応計画の策定などのコストがこれに含まれます。
いつサイバー攻撃被害が発生するかわからない現状において、組織のセキュリティリーダーはこうした企業経営に影響を及ぼしかねないコストが複数発生することを事前に想定・見積の上、サイバーリスク分析を行う必要があります。
(2024年10月28日追記)
2023年3月~2024年2月期に特別損失として10億円を計上したイズミですが、2024年10月15日に2024年3〜8月期の連結決算において、純利益が前年同期比22%減であることを発表しました。
ランサムウェア感染被害によって、商品提供が一部困難になったことや客足が遠のいたことなどが原因として述べられており、サイバー攻撃被害が短期的なものにとどまらず、中長期的なレピュテーションの低下や客離れにつながるものであることが示された事例と言えます。
また10月23日にはカシオ計算機株式会社が10月5日に発覚したランサムウェア被害の影響で11月初旬に予定していた連結決済の発表を延期することを公表しています。ここから、サイバー攻撃による影響を算出すること自体にも大きなコストがかかることがわかります。
サイバー攻撃被害額から考えるセキュリティ予算
サイバー攻撃によって生じる再発防止コストは、インシデントを経験することで、組織に必要なセキュリティレベルと自社のセキュリティ状況にギャップがあることを自覚し、適切な対策を追加で講じるための費用です。
言い換えれば、サイバー攻撃被害の有無にかかわらず、セキュリティ状況のギャップを埋めるためにそもそも投資しておくべきコストと言えます。では、組織におけるセキュリティへの投資コストはどのように算出するべきでしょうか。
その際の判断軸の一つが総売上高の占めるセキュリティ予算の割合です。一般財団法人日本サイバーセキュリティ・イノベーション委員会(JCIC)は企業のセキュリティ投資額は連結売上高の「0.5%以上」を投資すべきとの基準を示しています。この基準に対し、トレンドマイクロの過去の調査では、0.5%以上投資している組織がわずか12%であることがわかっています。
自社のセキュリティ予算の妥当性に疑問を感じる担当者は、自社売り上げに占めるセキュリティ予算の割合の把握を行い、0.5%に届いているかを確認することも1つの判断基準となるかもしれません。
また、サイバー攻撃被害が発生した際の損失を想定し、そのリスクに応じた予算を配分することも1つの手段となります。トレンドマイクロが2023年に行った調査において、ランサムウェア被害に遭った組織の被害金額は下図のような分布となりました。
回答の中には5%程度ですが、5億円以上の大きな被害が発生している組織も存在していました。自社におけるランサムウェア被害が発生した場合に、こうした大規模の被害が発生することを前提として事前に予算を組んでおく、といった戦略も有効と言えるでしょう。
「プロテクト戦略」と「レスポンス戦略」の両輪が重要
上記のサイバー被害の統計データを取り扱う際に注意しておくべき点が存在します。それはサイバーリスクに性質の異なる2種類のリスクが存在する、ということです。
オックスフォード大学が出版するジャーナル・オブ・サイバーセキュリティでは、サイバー事故被害額の「平均値」は「中央値」の約160倍だったという研究結果を提示されています。縦軸にサイバー事故の発生件数、横軸に被害額の大きさを表したグラフを作成すると、y=1/x²に似た形の曲線が描かれます。
ここで注目するべき部分は平均値と中央値の解釈です。上図よりサイバー被害額の「平均値」は約22憶ですが、13万件の事故のほとんどは、平均被害額に至っていないことが確認できます。一方で、発生確率は低いものの、平均値を大きく上回る壊滅的な被害があることも事実です。
これは「多発するが比較的軽微なリスク」と「万が一の壊滅的リスク」という二種類の性質の異なるサイバーリスクに組織がさらされていることを示しています。リスクの性質が異なるからには、それぞれのリスクごとに適切なリスクマネジメント戦略も異なります。
「多発するが比較的軽微なリスク」は具体的には毎日のように発生する単調な不正通信や、スパムメールなどを指しており、発生がある程度予想できる、シンプルで原因がわかりやすいリスクにあたります。これは事前にある程度予測が立つことから、「プロテクト戦略」が有効です。
「万が一の壊滅的リスク」は具体的には標的型サイバー攻撃や、本稿で取り上げたランサムウェア攻撃の被害などを指しており、いつ起こるかが誰にも分からない、複雑で、原因がわかりにくいリスクにあたります。このようなリスクは事前の排除が出来ないことから、被害の影響を最小限に留めることを目的とした「レスポンス戦略」を導入すべきです。
「プロテクト戦略」と「レスポンス戦略」を切り分けた上で、自社のリスクの見積と必要なセキュリティ対策への投資を行うことで、より適切な予算配分が可能となります。
サイバー攻撃は経営リスクの一つ
サイバー攻撃の被害企業は情報の管理責任等が問われるものの、基本的には被害者です。常に加害者はサイバー攻撃者であり、彼らは組織が対応すべきリスクの一つとなっています。
その理由として、どのような業界においてもITを駆使した業務効率化やサービス提供が行われるようになったことに関連して、サイバー攻撃による被害が以前にもまして誰にも無視できないものとなってきたことが挙げられます。
ここまで金銭面での被害を中心に取り扱ってきましたが、業界や取り扱う業務の内容によっては、ITシステムの停止が人の生活や命に関わる場合もあります。これを踏まえると、サイバー攻撃は自然災害などと同様経営リスクの一つとなっていることは明らかであり、全ての企業において事業継続性を揺るがす要因の一つとして対策を行っていくことが求められます。
参考記事:
・2024 Risk to Resilience World Tour Japan基調講演 開催レポート
・ランサムウェアに最も狙われやすい組織とは? ~調査に見るランサムウェア被害の実態~
Security GO新着記事
EDRを入れればセキュリティ対策は安心?セキュリティ神話がもたらす危険性
(2024年12月11日)
世界のサイバーリスク動向を”データ”で読み解く~世界サイバーリスクレポート2024年版より~
(2024年12月9日)
事例から考えるサービスサプライチェーンリスクによる影響とその対策
(2024年12月6日)