サイバー攻撃被害に遭う確率

　サイバー攻撃の被害というと、決まって返ってくるのが「ウチみたいな規模は狙われない」、「ウチには狙われるような価値がある情報はない」、これらは本当でしょうか。

　サイバー攻撃者は、特定のターゲットを狙っているというよりも、攻撃を試行し、侵入できたところから優先的に攻撃を行っていることが専門家のリサーチでも判明しています。現に、令和6年のランサムウェア被害に遭った企業の規模は約63％が中小企業でした。このことからも侵入しやすい、つまりは防御が弱いところから攻撃されていることが分かります。

　では、サイバー攻撃の被害に遭う確率はどの程度でしょうか。自動車事故と比較してみると、日本では令和5年に約37万件の交通事故が起こっています（※1）。これは、1年間に、日本の人口の約300人に1人が事故に遭っていることになります。 一方、サイバー犯罪被害についてみると、日本の成人の5人に1人以上が被害に遭っているという調査結果があります（※2）。交通事故の約67倍の確率です。サイバー攻撃は、それほど身近なことになってきています。

参考：
2017年1月から2022年6月までのサイバー攻撃を受けた
全国の被害組織マップ（特定非営利活動法人日本ネット
ワークセキュリティ協会）
出典：
特定非営利活動法人 日本ネットワークセキュリティ協会
「インシデント損害額調査レポート 第2版 別紙 被害組織調査」
詳細：
https://www.jnsa.org/result/incidentdamage/202402.html

サイバー攻撃被害による経済的損失

　サイバー攻撃による被害は、大規模自然災害による被害と同等のビジネスインパクトがあります。1つの自然災害が発生すると1人当たりGDPが年率1％引き下げられると言われています（※3）。これを企業の財務に例えると、企業の利益率が1％減少する状況に相当します。一方、サイバー攻撃被害を受けた場合は、平均して売上高の約10％の損失だと言われています（※4）。売上高100億円、利益率10％の企業だとすると、サイバー攻撃がビジネスに与えるインパクトの大きさは、大規模自然災害の場合と同等であることが分かります。

　そのような多額の損害を与えるサイバー攻撃が全国各地で発生しています（図1）。大都市圏のみならず、地域を問わず狙われているため、もはや安全な地域などないのです。それゆえに能動的な対策を講じることが必要です。

サイバー攻撃の恐ろしい特徴

　大規模自然災害とサイバー攻撃の経済的損失は同等とお話ししましたが、サイバー攻撃が自然災害と大きく違う怖さは「みんなが同時に被害に遭わない」という点です。

　自然災害では、被害地域にいる方々が一斉に被害に遭います。ですが、サイバー攻撃は特定の人がピンポイントに被害に遭うため、被害に遭ったこと自体が周囲から評価される状況に陥りやすいのです。また、インターネットで繋がっている取引先、そのまた取引先まで含め、どこか1社でもセキュリティ体制が弱いところがあれば、繋がっている取引先のセキュリティレベルは一番弱いところに引き下げられてしまいます。情報セキュリティは、一番弱いところが全体のレベルになる、という特徴があります。なお、最初に攻撃を受けた1カ所は間違いなく被害者ですが、別組織への攻撃の踏み台として利用されてしまい、インターネットで繋がっている取引先へ被害が波及するため、被害者なのに意図せず攻撃者に加担することになってしまいます。しかも、それらの攻撃は目に見えません。

（※1）警察庁交通局「令和5年中の交通事故の発生状況」 、総務省「住民基本台帳に基づく人口、人口動態及び世帯数」（令和5年1月1日現在）より
（※2）ノートンサイバー犯罪調査レポート 2023より
（※3）独立行政法人経済産業研究所「自然災害・人的災害の経済的影響と共助メカニズムの有効性」より
（※4）米トレリックス社 日本企業のサイバー攻撃の被害に関する調査結果より
（※5）バックアップを行う際に、推奨されるガイドライン「3つのコピー」「2つの異なるメディア」「1つのオフサイト保管」のこと

サイバー攻撃の実害

　サイバー攻撃を受けてしまった場合、どのような被害があるのか整理しておきましょう。
【直接的な被害】
①機密情報、個人情報の盗み取り・漏えい、②インターネットバンク口座への不正アクセスによる金銭の不正窃取、③身代金要求・詐欺による金銭の不正窃取、④自社ホームページの破壊・改ざん、⑤自社ネットワークの異常など、業務システムの障害、⑥保存しているデータの破壊・改ざん、⑦使用している情報システムの破損、といった直接的な被害は思い浮かぶことでしょう。一方で、なかなか想像が行き届かない間接的な被害もあります。
【間接的な被害】
・ 被害内容や原因を究明・被害拡大を防ぐための対策費用の支出増大
・ 事故状況・被害拡大状況により顧客・取引先からの信用低下
・ 破損した物品やホームページ等の改修・再調達の費用
・ 情報漏えい時や損害賠償に関わる法的対応
・ 事後対応に伴う人件費の増大・労働環境の悪化
など、サイバー攻撃により、多くのものを失う可能性があります。

サイバー攻撃被害が発生したら

　サイバー攻撃被害などのセキュリティインシデントが発生し、収束するまでには、①初動対応と専門家による調査、②対外的な対応（行政、個人情報保護委員会、取引先など）③復旧及び再発防止、というフェーズに分けられます。

　①の初動対応、専門家による調査は、前述した通り、サイバー攻撃被害は目に見えないため、専門家による調査を実施しないと、何が起きているのか、被害はどこまで広がっているのか、自分では分かりません。事故原因の専門的な調査は「デジタルフォレンジック」というPCやスマートフォンなどの痕跡を明らかにする調査手法がとられ、PC1台あたり150万円から、サーバーに至っては1台あたり250万円以上の費用がかかります。

　②の対外的対応も、①で行うべき専門家の調査が行われていないと、被害に遭った原因、被害概要、影響範囲などが把握できなくなります。所属する業界団体や、個人情報保護委員会（※）への報告義務も果たせず、取引先との情報連携もできないことから信用低下など、サイバー攻撃に端を発し、二重三重の痛手を被るリスクが高くなります。

　③の復旧および再発防止のフェーズでは、社内情報システムの復旧や保存データ、ソフトウェア、ハードウェアの復旧と再発防止策の策定および実施を行います。これは、②の対外的な対応と同時並行で行わないとビジネスが停止したままとなります。 これら、①②③を行って、ようやく事態の収束となりますが、ここまでにかかる日数は、被害企業の約74％が1週間以上となり、約61％の企業は、500万円以上の費用を要しています。ビジネスを継続可能な状態に戻すためには、時間もお金もかかります。

※ 個人情報漏えいの恐れがある場合は個人情報保護委員会への報告が法律で義務付けられています。

日頃から全員で警戒する意識を

　サイバー攻撃の対策で最も重要なことは、侵入を防ぎ、データのバックアップをこまめに行うことです。

　個人としては、①強固なパスワードを設定する、②OSやソフトウェアを常に最新の状態に更新する、③不審なメールやサイトに注意する、この3点を守っているだけで防ぐことができたサイバー攻撃被害は多くあります。個人としての対策をすると同時に、組織的な対策も必要です。
【組織としての対策】
・ウイルス対策ソフトの導入
・メールセキュリティ製品の導入
・クラウドやネットワークの共有範囲を正しく設定
・有事に備え、被害原因を特定するためPCの操作ログを取得・蓄積
・こまめなデータバックアップ

　これらの予防策は、個人情報や機密情報を取り扱う上で必要な最低限の安全管理措置となります。予防していない企業で、例えばインターネットバンキングの口座から不正に金銭を盗まれた際に、銀行から補償されない可能性があります。その他にも、様々なリスクと責任を背負いこむことにも繋がるため、予防は必須です。

　事務所業務や顧問先支援を安定的に持続発展させるためには、盤石なIT環境の構築が絶対条件です。自然災害への対策と同様に、サイバーセキュリティは重要なリスクマネジメントの一つであるという理解を持って、対策を講じていただければと思います。MJSでは、上記のようなセキュリティのワンストップサービスを提供しております。ぜひ身近なMJSの支社・営業所にお問い合わせください。