ブログご訪問ありがとうございます。

セキュリティ：セキュリティリスクの洗い出し

これまで本ブログで様々なサイバー攻撃の内容と対処策についてご紹介してきました。
しかし、普段仕事で利用しているパソコンやプライベートで利用するスマホで、このような脅威にさらされたことが無いという人がほとんどかもしれません。
我々ITに携わる事業者は情報漏洩は深刻な問題として理解し、また同僚や付き合いのあるベンダーからもサイバー攻撃被害にあわれた話をよく耳にします。
しかもその手口は年々数を増し、巧妙化しているのが現実のようです。

報道や、本サイトも含まれるネット脅威について書かれた記事が多くなった影響もあってか、ある調査結果によるとビジネスリスクのトップ3にサイバー攻撃がランクインされており、経営トップの方々の意識も深まりつつあるようですが、にも拘わらず「パソコンにセキュリティソフトを入れている」くらいの対応しかとられていないのが現実のようです。

サイバー攻撃で会社が被る被害は「個人情報の漏洩」と「事業継続の断念」です。
普段パソコンで事務処理を行うだけという会社で、セキュリティを意識するといっても、使われている情報がどの程度の機密情報なのかということが分からなければ意識もしようがありません。
セキュリティを意識する上で重要なのは、パソコンを利用した仕事で「個人情報の漏洩」と「事業継続の断念」が起こる可能性があるかどうかを考えていく必要があります。
攻撃に対してどのようなリスクがあるのかを知り対策を取ることが重要になるのです。

ではイメージとして「個人情報の漏洩」と「事業継続の断念」が起こった場合の損害を考えてみます。例は個人に向けたインターネットで商品を販売する事業です。登録数が1万人強あり、利益が月間400万円はある会社とします。

ある日普段更新作業を行う従業員のPCから標的型攻撃と呼ばれる手法でウィルスが感染し、サーバ上から全ての情報が抜き取られました。その情報には住所・名前はもちろん、クレジットカード情報まで存在し、いくつかのクレジットカードが利用されてしまいました。結果として被害のあった200人から訴訟を起こされ、1人10万円の損害賠償の支払いを命じられました。

この結果以下のような損害が発生します。


	

	

	
損害
	
内容
	
	

	

	

	
損害賠償金
	
損害を与えた人への損害賠償金。本ケースでは1人10万円。
	
	

	
裁判費用
	
損害賠償訴訟の際の係争費用。
	
	

	
事故対応費
	
事故発生時の対応費用。例えば謝罪広告や問い合わせに関わる事件費など。
	
	

	
相談費用
	
漏洩に関わる対応に使われた弁護士費用などの相談費用。
	
	

	
逸失利益
	
事故が無ければ本来得られたはずの利益。
	
	


■「個人情報の漏洩」で想定される被害
賠償額は200人×10万円で2,000万円に達し、これ以外に実被害の無かった他の9,800人の情報漏洩に対する謝罪金が一人500円（これは実際にあった大手教育関連会社やネットサービス会社を例に算出）支払ったと仮定すると、合計は490万円になります。
いわゆる賠償費用で2,500万円の損失となる計算です。
その他弁護士費用や係争費用などもろもろが損失となります。

■「事業継続の断念」で想定される被害
ネット状のリスクが改善されるまで、事業は停止します。
仮にその期間が2ヵ月とすると、400万円×2か月なので800万円。
利益が400万円規模の業務ですから、人件費40％として月160万円とすると、合計で1,120万程度の損失となります。

この両方を合わせると、一度の情報漏洩によって、実に3600万円強の損失が生まれてしまいました。

今回はネット事業者を例に挙げて想定しましたが、実際の被害は内容次第で大きく前後することが考えられます。しかもこの例はネット事業者の話だけではなく、ネットにつながる環境で仕事を行うその他事業者でも十分に考えられる話です。

リスクを理解する重要性
「標的型攻撃」と呼ばれるサイバー攻撃のその最終的な目的は機密情報の取得です。
機密情報漏洩は損失時に「請求がなされる」場合と「利益の損失」がある場合があります。
このような損失が、実は社員の一人一人のパソコンから端を発してしまう可能性があるということを理解し、対策を行うことがとても重要なのです。

このような視点でリスクを考えることは、何もサイバー攻撃に特化したものではありません。例えばローカルで処理されるパソコンが壊れた場合に「事業継続が不可能」な状況にならないか？もしなるようであればどのような復旧策がとれるか？といったことを想定しておくことも重要です。個人情報を保持している（または保持することが可能な）パソコンが社内にどれだけあるのか？また個人情報が抜き取られる可能性はあるのか？
こういった通常考えられるリスクから把握していくことで具体的な対策につながってくるのではないでしょうか。

社内のセキュリティリスクについては、われわれのようなIT従事者にご相談いただくのも一つだと思いますので、お悩みがあればお聞かせください。パソコン診断で思わぬセキュリティリスクが発覚するかもしれません。