サイバー攻撃が経営へ与える影響とは
サイバー攻撃による被害を報道などで目にする機会が増えてきていると感じませんか。実際に、サイバー攻撃被害の公表件数は年々増加しています。サイバー攻撃による被害は、場合によっては企業の経営に大きな影響を与えるケースもあり、企業の存続にかかわる事態にもなり得ます。本コラムでは、サイバー攻撃が経営に与える影響について紹介します。
(参考:JNSA サイバー攻撃を受けるとお金がかかる~インシデント損害額調査レポートから考えるサイバー攻撃の被害額~)
目次
サイバー攻撃が経営へ与える影響の概要
経済産業省が所管する情報処理推進機構(IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン」では、情報セキュリティ対策を怠ることで企業が被る不利益として、「①金銭の損失」、「②顧客の喪失」、「③事業の停止」、「④従業員への影響」の4つを挙げています。
以下では、これらを参考にしてサイバー攻撃により企業が受ける主な影響のついてその概要を紹介します。
金銭の損失
金銭の損失としては、①インターネットバンキングを用いた不正送金やクレジットカードの不正利用などによる直接的な金銭の損失のほか、②ECサイトの停止などの事業中断により本来得られるはずだった利益の損失(機会損失)、③サイバー攻撃の影響範囲や原因の調査、サイバー攻撃被害からの復旧、その他の対外対応などにかかる事故対応費用、さらには④取引先等から預かった機密情報や個人情報の流出などで損害を与えてしまった場合の賠償費用などが挙げられます。
顧客の喪失
サイバー攻撃により重要な情報の流出などの事故を発生させてしまった企業は、その原因が何であれ、責任を問われ社会的評価が低下します。当然、事故原因に対して被害企業の落ち度が大きければ、それに応じて社会的評価も大きく低下することになります。
これにより、既存の取引先や顧客が同業他社に移ってしまい、事故の発覚直後は特に大きなダメージを受ける可能性があります。また、低下した社会的評価を回復するには時間がかかるため、サービスや事業そのものの存続が困難になる場合もあります。
事業の停止
サイバー攻撃によって、ECサイトなどの外部向けのシステムや工場の生産システム、会計・経理等の社内システムが停止すると、企業が提供する一部のサービスや事業全体の継続性に影響が発生し、企業の生産活動や営業機会が大きく損なわれます。
例えば、ECサイトが停止すれば、売上が減少し、顧客の信頼も失われます。また、工場の生産システムが攻撃を受けて停止すると、製品の供給が滞り、取引先との関係にも悪影響を及ぼします。会計・経理等の社内事務に関わるシステムが停止すると、決算発表に必要な事務処理の実施が滞ることで決算発表の延期が必要になる場合もあり、投資家や株主からの信頼が揺らぐことになります。
これらの影響は、企業の社会的な評価にも直結し、経営に長期的で深刻なダメージを与える可能性があります。
従業員への影響
サイバー攻撃による情報漏えいが発生すると、従業員の個人情報が流出し、プライバシーが侵害されるリスクがあります。このような状況では、従業員の士気が低下し、企業への信頼も失われることが考えられます。最悪の場合、従業員から訴訟を起こされることもあり、法的な問題に発展する可能性があります。さらに、企業の社会的評価の低下、イメージダウンを嫌って転職を考える従業員が増える可能性もあります。
(参考:IPA 中小企業の情報セキュリティ対策ガイドライン)
サイバー攻撃の被害額
サイバー攻撃の被害を受けた際の具体的な被害額はどの程度になるのでしょうか。ここでは、サイバー攻撃が経営へ与える影響のうち、金銭的な被害ついてピックアップし、公表されているいくつかのデータからご紹介します。
警察庁による公表データ
警察庁は半期ごとに「サイバー空間をめぐる脅威の情勢等」として、サイバー犯罪、サイバー攻撃等のサイバー空間の脅威について、事例や統計等のデータを公表しています。この中では、企業・団体等におけるランサムウェア被害の実態を把握するため、被害のあった企業・団体等にアンケート調査を行い、ランサムウェア被害に関連して要した調査・復旧費用について示しています。
令和5年(2023年)におけるデータによると、ランサムウェアによる被害を受けた企業の37%がランサムウェア被害に関連して1,000万円以上の調査・復旧費用を要したとのことでした。さらに高額な5,000万円以上を要した割合は、8%(2021年)、13%(2022年)、16%(2023年)と年々増加傾向にあります。
(出典:警察庁 令和5年におけるサイバー空間をめぐる脅威の情勢等について)
JNSAによる公表データ
日本ネットワークセキュリティ協会(JNSA)は、調査研究部会インシデント被害調査ワーキンググループの成果として、「インシデント損害額調査レポート」を公開しています。このレポートの中では、サイバー攻撃等を起因としたインシデントが発生した場合に、企業・団体等にどのような被害や不利益が発生するのか、また、実際に生じるコスト等の調査結果を報告しています。
2024年2月に公表された『インシデント損害額調査レポート 別紙「被害組織調査」』では、2017年1月から2022年6月までの5年半の間にサイバー攻撃に関する被害の公表または報道等がなされた日本国内の組織を対象としたアンケート調査を行っています。アンケートに回答した組織の結果によれば、ランサムウェアの被害組織の平均被害額が2,386万円、Emotetの被害組織の平均被害額が1,030万円でした。また、ウェブサイトからの情報漏えい被害について、個人情報のみが漏えいした被害における平均被害額が2,955万円だったのに対し、漏えいした情報にクレジットカード情報が含まれている被害における平均被害額は3,843万円でした。
同レポートの被害額の内訳としては、調査やシステム復旧等の各種事故対応費用(再発防止費用を含む)、システム停止等による機会損失による損害、損害賠償金などが含まれています。しかし、被害組織が機会損失等を含む損害額の全体は把握していない旨を回答していることもあり、その場合は回答された被害額に計上されていません。このため、実際に被害組織が被った金銭の損失の実態は、より大きな金額であることが推測されます。
(出典:JNSA インシデント損害額調査レポート 第2版)
サイバー攻撃のリスク軽減のためにやるべきこと
サイバーセキュリティに関するリスクに対応するため、経済産業省やIPAは企業向けのガイドラインを公開しています。「サイバーセキュリティ経営ガイドライン」は、経営者がリーダーシップを発揮してサイバーセキュリティ対策を推進するための指針を示しており、経営者が認識する必要のある「3原則」やCISO等の担当幹部に指示すべき「重要10項目」をまとめています。また、「中小企業の情報セキュリティ対策ガイドライン」では、個人事業主や小規模事業者を含む中小企業向けに具体的な対策方法も提供しています。
これらのガイドラインを参考に、自社の状況に応じた適切なサイバーセキュリティ対策を検討し、実施することが重要です。
「中小企業の情報セキュリティ対策ガイドライン」の第2部実践編「できるところから始める」の内容に関連したサービスとして、ALSOKでは「ALSOK ウイルス対策ソフト」を提供しています。また、一歩進んだサービスとして「ALSOK EDRサービス」も提供しています。どちらもリーズナブルな価格で1台から導入可能であり、無料トライアルもご利用できます。ぜひお問い合わせください。
ALSOKの関連商品
(参考:経済産業省 サイバーセキュリティ経営ガイドライン)
(参考:IPA 中小企業の情報セキュリティ対策ガイドライン)
まとめ
サイバー攻撃が経営へ与える影響は、金銭の損失をはじめ、顧客の喪失、事業の停止、従業員への影響など多岐にわたり、経営に長期的で深刻なダメージを与える可能性があります。具体的な被害額については、調査対象や被害額に含める内容等が異なることもあり、調査によってばらつきがありますが、決して小さな額とは言えません。
サイバー攻撃が経営へ与える影響を各種データや事例から正しく認識し、自社の状況に応じた適切なサイバーセキュリティ対策を実施することが重要です。これにより、企業の持続可能な成長と発展を支える基盤を整えることができるでしょう。