IPAが不正アクセスなどのセキュリティ被害額を調査

総額で1億円を超える事例も、機会損失で売り上げに大きな影響

 2006.11.30−情報処理推進機構(IPA)は、コンピューターウイルスや不正アクセス、情報漏えいにおける企業の被害状況を調査し、報告書をまとめた。具体的に被害額を明確にすることで、コンピューターユーザーに注意を促し、セキュリティに対する取り組みを前進させることを目的にしたもの。

 今回の調査では、ウイルス被害はアンケートによる調査(5,500社に対し1,206社から有効回答)、不正アクセス(SQLインジェクション)と情報漏えい(Winny)については実際に被害を受けた企業10社にヒアリング調査を行った。

 それによると、ウイルス被害額は中小企業(従業員300人未満)で平均430万円、大手・中堅企業(同300人以上)で平均1億3,000万円となった。これは、システムおよびデータの復旧に要した直接的コストに加え、システム停止による逸失売上額を考慮して割り出してたものだが、実際には復旧コストは小さく、ほとんどは逸失売上によるものだという。ウイルス被害によって電子商取引システムや重要システムが停止すると、売り上げへのダメージが大きいことがわかった。

 一方、さらに深刻なのが不正アクセスや情報漏えいによる被害。SQLインジェクションによる不正アクセスに見舞われたケースでは、復旧対策としてシステム再構築に4,800万−1億円、それにともなう人件費に180万−360万円、さらに問い合わせ窓口設置などの対外経費に数100万−5,000万円もかかり、対策費の総額で1億円を超える事例が複数認められた。また、被害を受けたサイトの再開までに3ヵ月ほどの時間を要し、売り上げへの影響は数億円から10数億円にも達したという。

 Winnyで情報漏えいを起こしたケースでは、漏洩したデータの分析に90万−180万円(人件費)、流出元となったパソコンの調査やネットワークでの拡散状況調査に500万−600万円(専門業者による調査費)、さらに顧客への謝罪対応や問い合わせ窓口の設置などで45万−1,600万円となり、総額で2,000万円を超える事例もあった。

 なお、報告書の全文は以下のURLから入手できる(http://www.ipa.go.jp/security/fy17/reports/virus-survey/index.html)。