サイバー攻撃の脅威は世界中で高まっていて、被害が増えていることも確かだ。しかし実際にどのくらいの「被害」があったのか?その被害額についての情報は多くない。ある業界団体の調査では、ケース毎の平均被害額がレポートされていた。
・Webサイトからのカード情報漏洩 38M¥
・同個人情報(のみ)の漏洩 30M¥
・ランサムウェア感染 24M¥
・Emotet感染 10M¥
・その他 5M¥
中小企業であっても、2,000万円を越える被害を受けるのだと警告している。注記として「機会損失等の被害は把握できておらず、実際の被害額はさらに多くなる」とあるのだが、確かに直接被害額以上に損失を被っているのは理解できる。
つまり、被害のうち一次被害は何とか算定できても、二次被害はよく分からないというのが実態ということ。例えば、あるキャッシュレスペイメントを始めたところ、セキュリティが甘くて3,800万円ほどのなりすまし被害が起きたことがある。結局当該サービスは3ヵ月で閉鎖されるのだが、ユーザーへの通知や問い合わせ対応でコールセンターを設けるなどして40億円以上かかってしまったという。後者については、サイバー保険の対象外であってサービス企業は痛手を負った。
冒頭のレポートは、中小企業経営者にもサイバーリスクを認識してもらうためのものだが、ある有識者は「わずか2,000万円か、セキュリティ費用はその何倍もかけているぞ」と企業経営者に思わせてしまうこともあり得るという。その後、複数の識者の間で、
・一次被害額だけでは、矮小化された印象を与える
・しかし、二次被害額を算定するのはとても難しい
・それ以上に企業ブランドの棄損も大きいが、これはもっと算定できない
との議論になった。経営者に刺さるのは、やはり数字(金額)なのだが、三次被害ともいえる「企業ブランドの棄損」は、リアルな数字にはならない。カンのいい経営者なら、この被害を肌感覚で受け止め対策に注力するだろう。結局経営者の能力次第となるのだが、サイバーセキュリティ研究者としてはせめて二次被害、できれば三次被害の算出方法を考えなくてはなるまい。