梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

一次被害・二次被害、そして・・・

 サイバー攻撃の脅威は世界中で高まっていて、被害が増えていることも確かだ。しかし実際にどのくらいの「被害」があったのか?その被害額についての情報は多くない。ある業界団体の調査では、ケース毎の平均被害額がレポートされていた。

 

・Webサイトからのカード情報漏洩 38M¥

・同個人情報(のみ)の漏洩 30M¥

ランサムウェア感染 24M¥

・Emotet感染 10M¥

・その他 5M¥

 

 中小企業であっても、2,000万円を越える被害を受けるのだと警告している。注記として「機会損失等の被害は把握できておらず、実際の被害額はさらに多くなる」とあるのだが、確かに直接被害額以上に損失を被っているのは理解できる。

 

    

 

 つまり、被害のうち一次被害は何とか算定できても、二次被害はよく分からないというのが実態ということ。例えば、あるキャッシュレスペイメントを始めたところ、セキュリティが甘くて3,800万円ほどのなりすまし被害が起きたことがある。結局当該サービスは3ヵ月で閉鎖されるのだが、ユーザーへの通知や問い合わせ対応でコールセンターを設けるなどして40億円以上かかってしまったという。後者については、サイバー保険の対象外であってサービス企業は痛手を負った。

 

 冒頭のレポートは、中小企業経営者にもサイバーリスクを認識してもらうためのものだが、ある有識者は「わずか2,000万円か、セキュリティ費用はその何倍もかけているぞ」と企業経営者に思わせてしまうこともあり得るという。その後、複数の識者の間で、

 

・一次被害額だけでは、矮小化された印象を与える

・しかし、二次被害額を算定するのはとても難しい

・それ以上に企業ブランドの棄損も大きいが、これはもっと算定できない

 

 との議論になった。経営者に刺さるのは、やはり数字(金額)なのだが、三次被害ともいえる「企業ブランドの棄損」は、リアルな数字にはならない。カンのいい経営者なら、この被害を肌感覚で受け止め対策に注力するだろう。結局経営者の能力次第となるのだが、サイバーセキュリティ研究者としてはせめて二次被害、できれば三次被害の算出方法を考えなくてはなるまい。