Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

JNSAのインシデント損害額調査レポート

つぶやいてみた。

JNSA特定非営利活動法人日本ネットワークセキュリティ協会)からインシデント発生時にかかるコスト調査のレポートが出ていました。
scan.netsecurity.ne.jp

特定非営利活動法人日本ネットワークセキュリティ協会JNSA)は8月18日、「インシデント損害額調査レポート」2021年版を公表した。

 同レポートは、インシデントにより直接的または間接的に発生しうる費用項目を洗い出し、それぞれの費用項目について対応を請け負う企業や組織に対しアンケートやインタビュー調査、またはインターネット上の公開データを調査し集計したもの。

 

元ソース(JNSA

インシデント損害額調査レポート 2021年版

 

キタきつねの所感

2021年版とあるのですが、今回が初リリースではないでしょうか?私はこうした形での去年版レポートを見た記憶がありません。

※ScanNetSecurity記事タイトルに「セキュリティ事故が起こるといくらお金がかかるのか、JNSA画期的資料公表」と書かれているのではこの為でないかと推測します。

 

国内外のセキュリティベンダーを中心に、サイバー攻撃損害コストの調査データはいくつも出ていますが、関係者アンケート回答からの”雰囲気”集計した様にも思えるモノも多い気がします。

 

このレポートはインシデントで実際に発生する可能性がある損害コストが、見落としがちな部分も含めて書かれているので、例えばサイバー保険加入の稟議資料(費用対効果)を作成する場合や、インシデントレスポンスプランを策定(改訂)する際に役立つのではないかと思います。

 

費用が想像しにくいフォレンジック調査費用も書かれており、業者によってばらつきはあるものの、(1回300万円~)といったイメージが付きやすいのではないでしょうか。

・インシデントレスポンス事業者への調査費用(初動対応及び調査)
A社:初動対応150万円
  フォレンジック調査PC150万円/台、サーバ200万円/台
B社:初動対応:20万円
  フォレンジック調査PC120万円/台、サーバ150万円/台
C社:初動対応:80万円
  フォレンジック調査PC100万円/台、サーバ150万円/台
D社:6万円/時間(数十時間程度は必要)
E社:PC220万円/台
F社:最低300万円~

(ScanNetSecurity記事より引用)

 

(個人情報漏えい対象者等への)おわび状の費用や、コールセンターの費用などが掲載されています。事業内容やインシデントの規模によって費用が変わるものの、「最大リスク」を試算する上で、参考値となるかと思います。

・DM印刷、発送
 ハガキ1,000通の印刷・発送の場合は下記の通り。部数と納品までの日数によって料金が変動する。封書の場合は1通あたり100~200円程度。

A社:75,990円
B社:87,010円
C社:84,700円
平均:80,000円

・新聞広告
 新聞広告掲載料は全国紙で240万円前後、地方紙で50万円前後。

・コールセンター事業者へのコールセンター費用
A社:初期費用500万円
  初月1,000万円(2ヶ月目以降は縮小)、オペレータ10席程度
B社:初期費用550万円
  初月1,500万円(2ヶ月目以降は縮小)、オペレータ10席程度
C社:初期費用100万円
  初月300万円(2ヶ月目以降は縮小)、オペレータ3席程度

(ScanNetSecurity記事より引用)

 

サイバー保険セキュリティ対策費用(あるいは情報システム部門の増員)の妥当性を検討する上で、こうした費用試算をしておく事は、経営陣への説明という意味でも有効かと思います。

JNSAが出したレポートという事でも客観性が出てくるかと思いますので、こうした業務に携わる方は、レポートを一読される事を強くお勧めします。

 

余談です。DarkWebの調査費用意外と高いと感じましたが、DarkWeb接続に(やや)専門的な知識が必要で、調査すべき対象サイトの把握が難しい(どこに出てくるか分からない)点、そして継続調査や、サンプルデータの購入費用などを考えると仕方が無いのかも知れません。

・ダークウェブ調査会社への調査費用
スポット検索調査(3ヶ月):500~1,000万円
年間調査:1,500~4,000万円
認証情報の情報流出調査:1,000~5,000万円

(ScanNetSecurity記事より引用)

 

もう1点、私の専門でもあるカード情報保護の観点で気になったのが、レポートの後半のECサイトの侵害事例(※1万人規模の漏えい)です。

損害額試算データが掲載されていたのですが、機会損失まで含め、1億円弱(9,490万円)と出ていました。こうした損害額はサイト規模や損失規模によって増減する訳ですが、小規模のカード情報漏えいの疑いであってもカードブランド(加盟店契約)上のルールで、フォレンジック調査を実施する必要があり、ソレナリの費用がかかります。

国内でのカード情報漏えい事件の多くは、APT攻撃ではなく、ソフトウェアの脆弱性(パッチ当て不備)が原因だと考えられます。ECサイト事業者の経営陣は、こうしたレポートを参考に、インシデントを発生させる前に必要なセキュリティ対策にもう経営資源(ヒト・モノ・金)を投入する方が「安くつく」事に、早く気づくべきだと思います。 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 家計の出費に困っている夫婦のイラスト

 

更新履歴

  • 2021年8月22日 AM