サイバーセキュリティインシデントの本当のコスト: 問題編

This post is also available in: English (英語)

「今セキュリティに投資すれば後々大きな節約になる」その理由

本稿は2部構成でお送りするブログ シリーズの第1回です。サイバーセキュリティ インシデントへの対応にかかるコストと、インシデントの予防にかかるコストを細かく比較していきます。サイバーセキュリティの価値と、賢いお金の使い方を学びましょう。

要旨: 米国では、また新たな組織がサイバー攻撃の被害を受けたというニュースが、毎日のように報道されています。近年の傾向として、こうした被害には、途方もない罰金や株価の下落、顧客からの信頼の失墜も付随するようになっています。ところが多くの経営者は、サイバーセキュリティ インシデントへのレスポンスや、インシデントからの復旧に関連するWebの「隠れコスト」を認識できていません。この記事では、パロアルトネットワークスのプリンシパル コンサルタントであるLeeAnne Pelzerが、現代のサイバーセキュリティ インシデントに潜むサイバーセキュリティ要素のコストの中から、見落とされがちなものをいくつか取り上げます。さらに、サイバーセキュリティに対する予防的な投資によって、組織が長い目で見て財政上のメリットを得る方法も解説します。

はじめに

サイバーセキュリティ インシデントは甚大な被害をもたらします。IBMとPonemon Instituteによる2020年のレポート「データ漏えいのコスト」によると、2019年8月から2020年4月にかけて米国で発生したサイバーセキュリティ侵害による総コストの平均は864万ドル(およそ9億5600万円)にのぼります。もはやサイバーセキュリティ インシデントは、万が一起こるかもしれないという現実離れした概念ではありません。サイバーセキュリティの専門家の間では、組織に対するサイバーセキュリティ侵害や攻撃は「起こるかどうか」ではなく「いつ起こるか」の問題であるとの認識で一致しています。一見すると「軽微な」サイバーセキュリティ インシデントであっても、財政上の壊滅的なダメージを与え、評判を著しく傷つけ、事業にとっての大きな障害となる可能性があるのです。

サイバー攻撃による多額の金銭的な損失は、巨大企業だけの問題(たとえば eBay、Anthem、Equifaxなどの事例)のようにも思えますが、それは大きな間違いです。というのも、中小企業はセキュリティにかける予算が少ない場合が多いため、格好の標的になりえることをサイバー犯罪者が気づいているからです。組織がセキュリティ ソリューションへの投資を惜しみ、リソース(資金、人員、技術など)が限られていれば、新参のハッカーであっても侵入に成功する見込みが十分にあります。客観的に見て小規模な企業であっても、セキュリティ侵害によって高額な出費を強いられることを、単純な計算から試算できます。まず複数のレポートを基に顧客のPII(個人を特定できる情報)が漏えいした場合のコストを調査すると、2019年時点で1件当たり約150ドル(およそ1万7000円)でした。つまり、1万件の顧客情報が漏えいしただけで、150万ドル(1億6600万円)以上の侵害コストが中小企業にのしかかることになります。また、漏えいした顧客情報を5万件とすれば、750万ドル(8億3000万円)近いコストが生じることになります。

サイバーセキュリティ インシデントの中には、必ずしも顧客のPII情報の流出を伴わないものも存在します。Unit 42が作成した2020年のインシデント レスポンス&データ漏えいレポートによると、2019年に最も多かった侵害手法はランサムウェアです。レポートでは、ランサムウェアがサイバー犯罪者を引き付ける理由を分かりやすく説明しています。すなわち、「もしあなたがサイバー犯罪者なら、ネットワークへの不正アクセスを収益につなげる方法としては、被害者のファイルを暗号化して身代金を要求するのが一番です。」要求される身代金は高額であり、増加傾向が続いています。Unit 42の報告によると、2018年から2019年にかけて、要求される身代金の額は約2倍になっており、2019年の平均で11万5,123ドル(1274万円)でした。たいした額ではないと感じましたか? Unit 42の報告によると、過去5年で確認された身代金の最高額は1,500万ドル(16億6000万円)に達します。また、Unit 42が関わった事案で、実際に支払われた身代金の最高額は500万ドル(5億5300万円)です。

ここまでの説明で提示した統計データは、氷山の一角にすぎません。サイバーセキュリティ インシデントのコストについては、収益に影響を与える要素が多数存在します。この記事では、セキュリティ侵害を直接経験しなければ想像することさえ難しい、見落とされがちなコストをピックアップして解説します。

コストに影響する要素

攻撃の経路や種類、およびサイバーセキュリティ インシデントによるおおまかな財政面の影響については、信頼できる大量のデータが一般公開されています。足りないのは、最終損益に影響するコスト要素をわかりやすく整理することです。

規制による制裁金

近年、CCPA (カリフォルニア州消費者プライバシー法)やGDPR (EU一般データ保護規則)といった命令への対応が、ほとんどの経営陣にとっての最大の関心事となっているのも無理はありません。GDPRの公式Webサイトにも、「GDPRの制裁金の目的は規制への不適合を、大企業と中小企業の双方にとって高額な出費を強いられる誤った行為だと認識させることにあります」と明確に記されています。言うまでもなく、セキュリティ侵害を受けた組織に影響する可能性がある規制上の要求事項やそれに伴う制裁金は多数存在しますが、わかりやすくするためGDPRとCCPAに違反した場合の財政的な影響に絞って解説していきます。

GDPRでは、重大な違反を明確に区別しています。比較的軽微な違反の場合、最大1,189万9,550ドル(1,000万ユーロ、およそ13億円)、または前会計年度における組織の全世界売上高の2%の、いずれか高い方の制裁金が課される可能性があります。より重大な違反の場合(プライバシー権や忘れられる権利に違反する行為)、最大2,379万9,100ドル(2,000万ユーロ、およそ26億円)、または前会計年度における組織の全世界売上高の4%の、いずれか高い方の制裁金が課される可能性があります。

CCPAの制裁金についても、GDPRと同じくらい恐ろしい内容です。企業が故意に違反したと認定されるたびに、最大7,500ドル(およそ83万円)の制裁金を課される可能性があります。たとえ故意ではなくても、最大2,500ドル(およそ28万円)の制裁金を課されます。ですが、企業の財政に対する最大の打撃となるのは、違反が累積する点です。たとえば、企業WebサイトでサードパーティのCookieを使用しているのに、そうしたCookieの利用を周知せず、オプトインの同意を取得するバナーを表示していなかった場合、一日に数千件以上の違反に問われるおそれがあります。

セキュリティ インシデントが発生すると、ただでさえ多額の被害が発生する上、制裁金によってコストが急速に膨れ上がります。GDPRやCCPAはその好例です。こうした規制はいずれもごく最近のもので、GDPRが2018年発効、CCPAが2020年発効です。今後、違反に対する多額の制裁金と法的な指令によって、サイバーセキュリティ要求が厳格化することはほぼ間違いありません。

評判の悪化

評判の悪化による被害は、人間の感覚に関わるものであるため、通常の金銭的価値で評価することは困難です。データ漏えいが発生すると、さまざまな理由から企業の評判が悪化します。たとえば、否定的な口コミ、SNS上でのブランドに対する攻撃、顧客からの信頼や愛着の失墜、競合他社への乗り換え、ビジネス上の損失などです。公開会社の場合、評判が悪化すればたいていはシェアの急落やSNS上での非難、そして顧客の信頼と信用を取り戻すための苦難の道のりが待っています。その際、クレジット監視などの無料サービスや、データ漏えい後のセキュリティの改善内容を報告するロードマップの公開といった手段がよく使われます。

データ漏えいによって企業の評判がどれほど傷つけられるかを示す一例が、2017年のEquifaxのインシデントです。データ漏えい後の最初の一週間で、Equifaxの時価総額は40億ドル(およそ4428億円)も低下しました。その上、この漏えいに直接関連するコストが、2017年末までに追加で4億3,900万ドル(およそ486億円)発生しています。Equifaxはデータ漏えいによるダメージから回復するため、1億4,700万人の顧客に無料のクレジット監視サービスを1年間提供することで、仲裁によってすべての紛争を解決するという要求の放棄を提案しました。さらに、Equifaxは裁判所の監督下でサイバーセキュリティ対策を強化するため、裁判所から10億ドル(1101億円)の支出を命じられています。

法的費用

大企業・中小企業の区別なく、サイバーセキュリティ インシデントに対するトリアージを行う際は、顧問弁護士を雇うことがベストプラクティスになっています。弁護士費用は案件ごとに異なりますが、1時間あたり1,000ドル近くになることも珍しくありません。法的費用はすぐに積みあがります。Home Depotの事例では、集団訴訟を行った弁護士に対する報酬・経費として、この小売業者に1,530万ドル(およそ17億円)の支払いが命じられました。組織が支払いに同意した時給がいくらであっても、弁護士費用によってサイバーセキュリティ インシデントに伴う追加コストが生じるのです。

運用ダウンタイム

サイバーセキュリティ インシデントの間に発生する運用ダウンタイムによって、財政的な負担が発生することは明らかです。とは言え、その影響の大きさは予想外かもしれません。Gartnerの調査によると、情報技術(IT)のダウンタイムによる平均コストは、1分あたり5,600ドル(およそ72万円)です。1時間あたりだと、33万6,000ドル(およそ3719万円)に相当します。ただし、これはあくまで平均値であり、ITに対する依存度や事業構造によって大きな差が出る可能性があります。Gartnerによる別の興味深い統計では、2021年の調査でインフラ&運用リーダーの65%は可用性と復旧のニーズに対する投資が不足しています。理由は、組織のニーズを判断する際に、自社のニーズに合わない汎用的な手法を用いてダウンタイムのコストを見積もっているためです。リソースの可用性と復旧が不十分な場合、侵害のライフサイクルが長期化し、追加コストが積み重なります。たとえば、200日未満で侵害を封じ込めることに成功した場合と、それ以上かかった場合では、平均約112万ドル(1億2400万円)のコスト差が生じます。

予防

サイバーセキュリティへの投資によってインシデントを予防する方法は、このブログ シリーズの第2部で解説します。

サイバー インシデントの予防・対策に関する支援が必要な場合は、infojapan@paloaltonetworks.comまでご相談ください。

リソース