サイバー攻撃の被害额から考えるセキュリティ
2024年11月7日、株式会社碍础顿翱碍础奥础はサイバー攻撃の影响による2025年3月期の特别损失を约23亿円に修正したことを公表しました。本稿ではサイバー攻撃による被害金额を轴にセキュリティに求められる戦略を考えます。
Save to Folio
公开日:2024年8月16日
更新日:2025年5月8日
サイバー攻撃による経済损失が国内でも度々発生
2024年8月14日、株式会社碍础顿翱碍础奥础はサイバー攻撃の影响により2025年3月期に36亿円の特别损失を计上する见通しだとしました。また2024年11月7日に特别损失の计上を约23亿円に修正したことをしました。
今年の2月にはサイバー攻撃による全世界での被害が年间147兆円であることがなど、世界全体でサイバー攻撃による被害が深刻化していることは明らかです。今回の碍础顿翱碍础奥础における事案は日本国内においても同様の大きな被害が起きうる可能性があることを示した事例の一つです。
特别损失とは公司においてもともと想定になかった临时的、偶発的に発生した损失が该当します。今回のサイバー攻撃以外にも例えば灾害やリコール対応などにより急遽発生した损失などの场合にも计上されます。今回のようなサイバー攻撃を起因とした特别损失が発生した事例は他にも国内で复数公表されています。
| 発表时期 | 组织 | 概要 | 特别损失 概算 |
営业利益 (発表时の予想含む) |
|---|---|---|---|---|
| 2021年9月 | 復旧に向けた调査及び対応に伴う関连费用 | 约7亿5千万円 | 约30亿円(21年9月期) |
|
| 2023年8月 | 固定资产除却损、システム障害対応费用 | 约2亿3千万円 | 约△1.8亿円(24年3月期) |
|
| 2024年6月 | ランサムウェア感染被害に対処したシステム復旧费用 | 约1千960万円 | 约4.3亿(24年4月期) |
|
| 2024年6月 | システム停止期间の売上と再発防止を含めた復旧费用 | 约10亿円 | 约314亿(24年2月期) |
|
| 2024年8月 | クリエーターへの补偿费用やサーバーなどの復旧费用 | 约23亿円 | 106亿(25年3月期) | |
| 2025年1月 | サイバー攻撃被害を受けた备品类の除却、対策强化、损害赔偿、システム共同开発计画の中止に伴う损失 | 991百万円 | △12百万(25年2月期) |
表:ランサムウェア攻撃の被害によって生じた特别损失を発表した国内の主な组织例
(公开情报を元にトレンドマイクロが整理)
それぞれの组织によってその規模は異なるものの、少なくとも営业利益の数%以上を占めるなど大きな被害が発生しています。
なお、概要の列にてそれぞれの组织が特别损失概算として記載した内容をまとめていますが、组织ごとに内容が異なることに注意が必要です。ランサムウェアの被害と言えば、业务停止による売り上げの停止や身代金の支払いなどについて想像が及びやすいですが、再発防止などを含めて検讨する场合、损失额はより大きくなります。
サイバー攻撃によって生じる被害は多岐にわたるため、いくつか分类して整理する场合、下记の3种类が例として挙げられます。
直接コスト
攻撃そのものによって引き起こされる主に金銭的なコストが复数存在します。不正送金や身代金支払いなど攻撃者への直接的な金銭の支払いが発生する可能性があります。またランサムウェアなどによって可用性が侵害される场合、业务停止期间中の本来あったはずの売上损失、サービス利用顾客に対する补偿金なども発生する可能性があります。
復旧コスト
攻撃を受けてからの调査?封じ込めなどの対応、システム復旧などに必要な、主には人的コストにあたる损害が想定されます。被害范囲の特定やデータやシステムの復旧に関わる人件费に加え、対外的な広报対応や社内における関连部门の対応时间にあたる人的コストが発生します。
再発防止コスト
被害を受けた后の今后の再発防止や被害低减に向けた様々な施策?活动?投资などの中长期的コスト。セキュリティソリューションの追加导入、今后のインシデント対応计画の策定などのコストがこれに含まれます。
いつサイバー攻撃被害が発生するかわからない現状において、组织のセキュリティリーダーはこうした企業経営に影響を及ぼしかねないコストが複数発生することを事前に想定?見積の上、サイバーリスク分析を行う必要があります。
(2024年10月28日追记)
2023年3月~2024年2月期に特别损失として10億円を計上したイズミですが、2024年10月15日ににおいて、纯利益が前年同期比22%减であることを発表しました。
ランサムウェア感染被害によって、商品提供が一部困难になったことや客足が远のいたことなどが原因として述べられており、サイバー攻撃被害が短期的なものにとどまらず、中长期的なレピュテーションの低下や客离れにつながるものであることが示された事例と言えます。
また10月23日にはカシオ计算机株式会社が10月5日に発覚したランサムウェア被害の影响で11月初旬に予定していた连结决済の発表を延期することをしています。ここから、サイバー攻撃による影响を算出すること自体にも大きなコストがかかることがわかります。
---------
(2025年5月8日追记)
2025年2月に滨笔础が公表した「」によれば、2023年度にサイバーインシデントの被害を受けたと回答した公司(苍=975)のうち、「特に无し」を除くと、约7割が「サイバーインシデントにより取引先に影响があった」と回答しています。影响があったと答えた公司のうち、「取引先にサービスの停止や遅延による影响が出た(36.1%)」、「个人顾客への赔偿や法人取引先への补偿负担の影响が出た(32.4%)」、「原因调査?復旧に関わる人件费等の経费负担があった(23.2%)」といった影响が出ています。
调査を行った滨笔础は、「サプライチェーン全体でのサイバーセキュリティの不备が、取引先にも深刻な影响を及ぼし、事业の継続性を胁かす実情を浮き彫り」にしている、としています。上记に挙げたサイバー攻撃による直接的な被害以外にも、中长期的に経営に悪影响がおよぶ危険性もあることを改めて认识ておくことが重要です。
---------
サイバー攻撃被害额から考えるセキュリティ予算
サイバー攻撃によって生じる再発防止コストは、インシデントを経験することで、组织に必要なセキュリティレベルと自社のセキュリティ状況にギャップがあることを自覚し、適切な対策を追加で講じるための費用です。
言い换えれば、サイバー攻撃被害の有无にかかわらず、セキュリティ状况のギャップを埋めるためにそもそも投资しておくべきコストと言えます。では、组织におけるセキュリティへの投資コストはどのように算出するべきでしょうか。
その际の判断轴の一つが総売上高の占めるセキュリティ予算の割合です。一般财団法人日本サイバーセキュリティ?イノベーション委员会(闯颁滨颁)は公司のセキュリティ投资额は连结売上高の「0.5%以上」を投资すべきとの。この基準に対し、トレンドマイクロの过去の调査では、0.5%以上投資している组织がわずか12%であることがわかっています。
自社のセキュリティ予算の妥当性に疑问を感じる担当者は、自社売り上げに占めるセキュリティ予算の割合の把握を行い、0.5%に届いているかを确认することも1つの判断基準となるかもしれません。
また、サイバー攻撃被害が発生した际の损失を想定し、そのリスクに応じた予算を配分することも1つの手段となります。トレンドマイクロがにおいて、ランサムウェア被害に遭った组织の被害金額は下図のような分布となりました。
回答の中には5%程度ですが、5億円以上の大きな被害が発生している组织も存在していました。自社におけるランサムウェア被害が発生した场合に、こうした大规模の被害が発生することを前提として事前に予算を组んでおく、といった戦略も有効と言えるでしょう。
ここで注目するべき部分は平均値と中央値の解釈です。上図よりサイバー被害额の「平均値」は约22忆ですが、13万件の事故のほとんどは、平均被害额に至っていないことが确认できます。一方で、発生确率は低いものの、平均値を大きく上回る壊灭的な被害があることも事実です。
これは「多発するが比較的軽微なリスク」と「万が一の壊滅的リスク」という二種類の性質の異なるサイバーリスクに组织がさらされていることを示しています。リスクの性质が异なるからには、それぞれのリスクごとに适切なリスクマネジメント戦略も异なります。
「多発するが比较的軽微なリスク」は具体的には毎日のように発生する単调な不正通信や、スパムメールなどを指しており、発生がある程度予想できる、シンプルで原因がわかりやすいリスクにあたります。これは事前にある程度予测が立つことから、「プロテクト戦略」が有効です。
「万が一の壊灭的リスク」は具体的には标的型サイバー攻撃や、本稿で取り上げたランサムウェア攻撃の被害などを指しており、いつ起こるかが谁にも分からない、复雑で、原因がわかりにくいリスクにあたります。このようなリスクは事前の排除が出来ないことから、被害の影响を最小限に留めることを目的とした「レスポンス戦略」を导入すべきです。
「プロテクト戦略」と「レスポンス戦略」を切り分けた上で、自社のリスクの见积と必要なセキュリティ対策への投资を行うことで、より适切な予算配分が可能となります。
サイバー攻撃は経営リスクの一つ
サイバー攻撃の被害企業は情報の管理責任等が問われるものの、基本的には被害者です。常に加害者はサイバー攻撃者であり、彼らは组织が対応すべきリスクの一つとなっています。
その理由として、どのような业界においても滨罢を駆使した业务効率化やサービス提供が行われるようになったことに関连して、サイバー攻撃による被害が以前にもまして谁にも无视できないものとなってきたことが挙げられます。
ここまで金銭面での被害を中心に取り扱ってきましたが、业界や取り扱う业务の内容によっては、滨罢システムの停止が人の生活や命に関わる场合もあります。これを踏まえると、サイバー攻撃は自然灾害などと同様経営リスクの一つとなっていることは明らかであり、全ての公司において事业継続性を揺るがす要因の一つとして対策を行っていくことが求められます。
参考记事:
?2024 Risk to Resilience World Tour Japan基調講演 開催レポート
?ランサムウェアに最も狙われやすい组织とは? ~調査に見るランサムウェア被害の実態~
Security GO新着记事
狈滨厂2指令:贰鲍で事业を展开する日本公司が知っておくべきこと
(2025年5月9日)
サイバー攻撃の被害额から考えるセキュリティ
(2025年5月8日)
ウイルスを使わないサイバー犯罪者の動向 ~Language Threat(言語ベースの脅威)~
(2025年5月7日)