11月13日、日本ヒューレット・パッカード(HP)は年次調査レポート「2014年サイバー犯罪コストの調査:日本」を発表した。第3回目となる本調査では、31の日本企業を対象にサイバー犯罪で被った年間コストを算出。その結果、2011年と比べて76%増の平均7億800万円になったことが判明した。
サイバー犯罪のコスト影響は平均7億800万円
サイバー攻撃数を見ると、ベンチマーク期間の4週間で日本企業が受けた数は196回で、2012年の31回、2013年の42回と比べて5倍近く増加した。攻撃の内訳は、最多が「ウイルスやワーム、トロイの木馬による攻撃」(100%)で、「マルウェアによる攻撃」(侵入先がネットワーク、97%)、「悪意のあるコード」(侵入先がシステム、58%)と続く。
調査対象の日本企業でもっとも多かったサイバー攻撃は、ウイルスやワーム、トロイの木馬の感染だった
攻撃被害別の対策コストでは、もっともコストが割かれたのは「情報の損失」(45%)で、以降は「ビジネスの中断」(30%)、「収益の損失」(18%)、「機器の損傷」(5%)の順番になった。特に情報の損失に割かれたコストは、2012年度の36%から9%増加しており、大規模な漏えい事件が多発する昨今の傾向と比例しているようにも見受けられる。
攻撃被害別に見た対策コスト
もっとも、情報の損失が増加しながらも、収益の損失には大きな変化が見られない点について、HPのマヒュー・シュリナー氏は2つ理由が考えられると分析した。
1つは、ここ数年で情報漏えい事件が激増し、日常茶飯事のように話題を耳にした結果、消費者は「漏えい疲れ」を起こし、以前ほどは気に留めなくなり、事業への影響がやや下がったこと。もう1つは、特に知的財産の情報漏えいでは、漏えい情報を使った製品開発から市場投入までは時間を要し、実際に影響が分かるのは先になることだ。
「もちろん、オンライン収益に依存する企業であれば、情報漏えいがそのまま収益に直結する。だが、これは特例であり、製造業やテクノロジー企業などでは影響が分かるまで数年かかることもある」(シュリナー氏)。
ヒューレット・パッカード カンパニー エンタープライズセキュリティ アジア太平洋地域及び欧州中東アフリカ地域 ソリューションコンサルティング ディレクター マヒュー・シュリナー氏
インテリジェンス導入で約1億5000万円の節約に
こうしたコストは、SIEMやIPS、次世代ファイアウォール、ビッグデータ分析などのセキュリティインテリジェンス製品を導入することで削減できる。たとえば、セキュリティインテリジェンス製品を導入していた調査対象企業14社は、未導入の企業と比べてサイバー犯罪コストが総じて低くなった。
「サイバー犯罪対策は、検知・復旧・調査・インシデント管理・封じ込め・事後対応の6つの活動で構成されるが、検知活動に費やしたコストで約1億円、調査では約5000万円の差が見られた」(シュリナー氏)。
サイバー犯罪対策の各活動にかかるコストを、セキュリティインテリジェンス製品導入済み企業と未導入企業とで比較
実際、セキュリティインテリジェンス製品の導入済み企業は未導入の企業に対して、年平均1憶4200万円の節約を実現している。
セキュリティインテリジェンス製品を導入した場合の節約コストは1億4200万円
HPでは、アプリケーション保護製品の「HP Application Defender」や「HP Fortify」、ログ管理製品「HP ArcSight Logger」など、過去およびリアルタイムの情報を可視化して適切な保護を実行するセキュリティインテリジェンス製品を提供している。
「たとえば、ArcSightのようなSIEM製品は、多様なセキュリティ製品のフィードを集約し、1つのコンソールからリアルタイム相関分析などを実施できる。バラバラに運用されるセキュリティ製品を1つずつ調査・分析するよりも脅威の特定と対応までの時間が短縮され、結果的にコスト低減につながる」(シュリナー氏)。
