損害保険ジャパン日本興亜、SOMPOリスケアマネジメント、トレンドマイクロの3社は2018年8月28日、セキュリティインシデントの対応コストの実態を把握するため、企業のセキュリティに関する意思決定者1745人を対象に「セキュリティインシデントに関する被害コスト調査」を実施した。調査の結果、766人(43.9%)が2017年の1年間に被害額の発生する何かしらのセキュリティインシデントを経験していた。
セキュリティインシデントの対応コストを、「対外的コスト」と「対内的コスト」に分類すると、社外からの通報によってインシデントが発覚した場合、コールセンターの開設などの対外的コストが全体の59.0%を占めた。一方、社内からの通報で発覚した場合、対応コスト全体に占める対外的コストの割合は44.7%にとどまっており、14.3ポイントの大幅な開きがあった。
図1:インシデント別被害コスト内訳(N=766)(出典:損害保険ジャパン日本興亜、SOMPOリスケアマネジメント、トレンドマイクロ)拡大画像表示
対外的コストの中で、全体のコストに占める割合が最も大きく開いたのは、「謝罪文作成・送付費用」である。社外からの通報の場合には9.4%、社内からの通報の場合には5.0%と、約2倍近い開きがあった。
社外からの通報で発覚するセキュリティインシデントは、個人情報漏洩などの深刻かつ顧客や取引先への直接的な影響が高いものと考えられる。このことから、企業の説明責任やブランド・信頼の回復などの企業存続に向けたコストがかさむものと推測できる。
セキュリティインシデントを、「サイバー攻撃」と「内部犯行」に分類し、それぞれにかかったコストを調べたところ、サイバー攻撃の場合は、内部犯行に比べて「営業継続費用」が9.1ポイント高く、「システム復旧費用」が3.9ポイント高くなった。サイバー攻撃の場合、システムの調達や復旧に関連した費用割合が大きくなる傾向がある。
一方で内部犯行の場合、サイバー攻撃に比べて「お詫び品・金券調達・送付費用」が4.3ポイント高く、「データ復旧費用」が2.2ポイント高くなった。情報漏洩や情報消失に関連した対応コストの割合が膨らむ傾向にある。
組織のセキュリティ対策を25項目、5段階の対策レベルで調査したところ、最も対策が進んでいる「対策レベル5」に属する企業は、全体のわずか16.0%に留まった。一方、対策が進んでいない「対策レベル2」と「対策レベル1」に属する企業は全体の56.7%であり、過半数を占める企業がサイバー攻撃や内部犯行といったリスクを低減させる対策が不十分であることが分かった。
今回の調査から、セキュリティ対策が最も進んでいる「対策レベル5」に属する組織においても、セキュリティインシデントの平均対応コストは約1億7600万円になることが明らかになった。
