精緻な損害推計が適切な対策を促す
JNSA 神山太朗さん・西浦真一さんに聞く
——Web・コンテンツ部門 優秀賞のご受賞、おめでとうございます。
神山
ありがとうございます。大変嬉しく思っています。 我々がこのレポートをつくったのは、企業、特に中小企業の経営者の皆さんにサイバー攻撃に備えることの重要性を知ってもらいたいという思いからでした。とはいえ、中小企業の社長本人が自ら好んでこのレポートを読むことはまずないでしょう。セキュリティ業界の関係者ならともかく、JNSAの名は一般にはほとんど知られていませんから。そこで、目先のターゲットはセキュリティベンダーやITベンダーとし、そうした専門ベンダーにこのレポートを活用してもらい、提案や営業を通して中小企業の経営者に訴求してもらう、という2段階でリーチする作戦を立てたのです。 ですから、サイバーセキュリティアワード2025の授賞式に参加させてもらい、他の受賞作品を見回した時、正直なところ「自分たちは場違いじゃないか?」と恐縮していました(笑)。ほとんどの作品が広く一般の方々に向けた普及啓発コンテンツなのに、我々のレポートは業界の専門家向けだからです。 ところが、授賞式で審査委員の皆さんの講評を聞き、懇親会で他の受賞者の皆さんと話すうちに、「サイバー攻撃による損害額を知る」ということが一部の専門家だけでなく一般の方々にとっても大きな関心事項であるという声を聞き、認識を新たにしました。サイバーセキュリティに対する関心の輪が自分の想定以上に広がっている。だとすれば、それはとても喜ばしいことであります。
西浦
非常に光栄です。 「インシデント損害調査レポート」は第1版を2021年8月に、第2版を2024年2月に公開しました。海外にも同様の調査レポートがあるのですが、対象が大企業中心だったり集計がとても大雑把だったりということが多い中、日本の中小企業に目線を合わせ、リアルな数字を要因別に示したという点でとてもユニークであると自負しています。 私自身はITベンダー(キヤノンITソリューションズ株式会社)でセキュリティエバンジェリストという役割を担いながらJNSAの活動に参画しているのですが、社内の販売促進チームなどから「お客様との商談で有益な情報になっている」というフィードバックをもらっています。今回の受賞を機に本レポートの存在を知り、「ぜひ活用したい」と連絡をくれた同僚もいます。とてもありがたいことだと思っています。 JNSAは2000年4月、ネットワークセキュリティに携わる組織(製品を提供しているベンダー、システムインテグレータ、インターネットプロバイダーなど)が結集し、ネットワークセキュリティの必要性を社会にアピールし諸問題を解決していく場として設立されました。2001年7月にはNPOに移行しています。非営利組織として中立的な立場での活動が、セキュリティ業界全体のレベルアップにつながっていることを実感できたことも大きな喜びです。
——どのような経緯で、プロジェクトチームが形成され、レポート化に至ったのですか?
神山
JNSA創設期に「セキュリティ被害調査ワーキンググループ」というチームが発足しました。焦点は、個人情報が漏洩した場合の賠償金額の査定です。JNSAで長く続いていた伝説的なワーキンググループだったのですが、セキュリティ被害が多様化・多面化して「個人情報漏洩の賠償金」だけで単純に括れなくなっていました。そんな中、新たなワーキンググループを立ち上げようという動きが自然発生的に出てきたのです。 私は、当時から損保会社(あいおいニッセイ同和損害保険株式会社)でサイバーセキュリティ保険の企画・開発・推進・審査といった業務を担当しているのですが、新しいワーキンググループのキックオフミーティングに出席して、「ぜひ参画したい、なんならリーダーをやらせてもらいます!」と、自ら買って出たのです。 損保会社の社員だからこその問題意識がありました。個人情報の漏洩事件が起こったとしても裁判に訴えられて損害賠償請求されるケースはほとんどありません。にもかかわらず、当時は「個人情報が漏れたら賠償額は一人当たり約5万円、1万人で約5億円の損害」というような荒っぽい数字がどこからか出回っていて・・・。もっと現実に即した数字が必要なのではないかと、ずっと思っていたのです。 僕はセキュリティ技術の専門家ではないので、その筋に詳しいサブリーダーが必要だということで西浦さんを引っ張り込みました(笑)。
西浦
私も同じ問題意識を抱いていました。企業向けにサイバーセキュリティ対策の必要性についてお話しする機会が多く、さまざまなレポートからデータを引用して説明していたのですが、そのデータは日本の企業、特に中小企業にとって現実的な数字なのか懐疑的でした。そんなところに新ワーキンググループ発足の案内があり、ぜひ参加したいと思っていたところに、金融業界とIT業界でリーダーとサブリーダーをやろうという誘いを神山さんから頂き、2019年12月の決起集会で立候補させてもらいました。
——決起集会ですか!ずいぶんと鼻息が荒いような(笑)
神山
熱い問題意識を持つメンバーが集まりましたからね(笑)。サイバーセキュリティ対策について企業に提案すると必ず返ってくるのは「どのくらいのコストがかかるのか?」という問いです。裏返せば、どのくらいの損害額、損失額になるかということ。ところが、それが曖昧で、かなり荒い試算になっていた。そういう状況を変えなければと思っていた人たちが自ら手を挙げたのです。 前身のワーキンググループは個人情報漏洩時の賠償金に焦点を絞っていましたが、新ワーキンググループではサイバーインシデントが起きた場合のコスト要因全体にスコープを広げることとしました。 サイバーインシデントで最もコストがかかるのは、事故原因を調べ、被害範囲を特定し、おわび状を送ったり、コールセンターを設置したりといった、各種の事故対応業務の部分です。さらに、会社の信用が低下し顧客離れが起これば売り上げ・利益が減る可能性もあります。ランサムウェアに感染したりメール詐欺に引っかかったりすれば金銭(身代金)の支払いを迫られる恐れもあります。ほかにも、例えばEU(欧州連合)のGDPR(一般データ保護規則)に違反すれば罰金や課徴金の支払いを求められます。こうした類型に関するイメージはあったので、網羅的にとらえていくことにしたのです。 海外ではかなり前から「大企業なら何億円の損失!」というような大雑把な数字を示したレポートが出されていたのですが、何にどのくらいのコストがかかるのか、その内訳までは分からないものばかりでした。日本の大企業にそのまま適用することはできないうえに、中小企業に至ってはほとんど参考にならない。日本企業に役立つ指標が求められていたのです。
——調査アプローチの方法論は?
神山
2021年8月に第一弾として公開した「インシデント損害額調査レポート 2021年版」では、インシデント発生時の対応およびそのコストを「費用損害(事故対応損害)」「賠償損害」「利益損害」「金銭損害」「行政損害」「無形損害」に分類し、それぞれについてどのくらいのコストがかかるのかについてインシデント対応サービスを提供している事業者を中心にヒアリングして集計しました。 2024年2月に公開した「インシデント損害額調査レポート 第2版」では、第1版の内容を全体的に更新するとともに、実際に被害を受けた企業や組織に対してアンケート調査とヒアリングを行い、より実態に即したデータを収集することを目指しました。
西浦
2017年1月1日から2022年6月30日までの5年半の間にサイバー攻撃の被害を受けた企業・組織をネット検索、ニュースサイト検索などでリサーチし、約1300法人をリストアップしました。その作業はひたすら手を動かす力業と言えるものでした(笑)。この約1300法人にアンケート調査への協力を依頼したのです。その中に「直接ヒアリングの可否」を聞く項目も入れておき、「可」と返していただいたところには別途インタビューさせていただきました。
——被害を受けた会社は、そのことについて話したがらないのでは?
神山
「決して話したくない人」と「あえて話したい人」の2パターンに分かれます。前者が多数ですが、後者のような方も少なからずいらっしゃいます。その動機は「世の中のためには、被害に関する情報を隠すのではなく共有するべきだ」という信念です。うちの会社ではこんなことが起きて、これだけの損失が発生してしまった。他の企業の経営者はそういう損害を被らないように気を付けてほしい――。そういう思いをもって警鐘を鳴らされている方というのは、想像以上にたくさんいらっしゃる。これは私自身にとっても大きな発見であり、私たちの活動を通してしっかりお手伝いをしなければと気を引き締めています。
西浦
個別インタビューでは、被害の詳細に始まり、後から振り返って意識が甘かったところ、担当者として辛かったこと、同じような立場の人たちに伝えたいメッセージなど、多岐にわたってお話いただきました。アンケートとインタビューの内容は 「インシデント損害額 調査レポート 別紙「被害組織調査」」 としてまとめてありますので、ぜひ参考にしていただければと思います。
——細かい点ですが、被害を受けた企業ではインシデントが売り上げや利益に与えた影響まできちんと切り分けているのでしょうか。
神山
そこまではできていない会社がほとんどです。アウトソーシング先に支払った費用などは見積書や領収書があるので明確なのですが、インシデントの結果として営業利益にどれだけの影響が出たのかを把握できているかと言えば、中小企業の場合ほとんどできていません。ブランド価値、顧客からの信用といった無形資産への損害も同様です。ですから、アンケートを集計した数字は、実際の損失額よりも小さく出ているということは言えると思います。
西浦
もう一つ、アンケートやインタビューを通して分かったことは、インシデント対応のためにかかった社内の作業量、工数はほとんどのケースにおいて算定されていないことです。つまり、人件費はインシデント損害額の推計値から抜け落ちているのが現状です。
——まだまだ、やれること、やるべきことは多いと感じられているようにお見受けしました。今後の展望は?
神山
アンケートの回答数やインタビューの実施数をもっと増やして、より広く深く実態に迫っていきたいですね。また、サイバー攻撃の手法が多様化していくことは間違いないので、その時々の時流に合ったレポートを出していきたいと思います。 「ぜひやりたいね」とワーキンググループの仲間と話しているのは「損失額推計ツール」の提供です。業種、企業規模などいくつかの個別情報をインプットすれば損失額推計がすぐに算出される仕組みです。我々のワーキンググループの調査研究から構築したモデリング理論と日本企業に関する統計データを組み合わせたシミュレーションまで持っていけたら面白いと思っています。
西浦
経済産業省と情報処理推進機構(IPA)が2023年3月に公表した 「サイバーセキュリティ経営ガイドライン Ver3.0」 では、その冒頭部分で損害額の試算を紹介し、企業経営者に対してセキュリティ対策の必要性を訴えています。我々のレポートも引用されています。サイバー攻撃による損害額の観点から広く対策・対応を促していくため、公的機関との協力・連携を深めていきたいと思います。
——活動の幅がますます広がりそうですね。あらためまして、今回の受賞、おめでとうございました。
他のインタビュー
-
Interview File No.10
サイバースペースの分断を回避するために
-
Interview File No.9
人の弱点を知ることからセキュリティ啓発は始まる
-
Interview File No.8
官民連携が生むセキュリティ啓発のベストプラクティス
「インシデント損害額調査レポート」およびその関連コンテンツ
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
サイバー攻撃を受けたことによって生じるコスト(損害額)に関する調査レポート。「無防備なままサイバー攻撃を受けるとお金がかかる」ということを、特に中小企業の経営層に適切に認識してもらうことを狙った。10名強のボランティアメンバーが業務時間外に作業をしてまとめた。
作品紹介サイト
作品紹介サイト
サイバーセキュリティアワード2025の表彰式が3月3日に開催され、大賞1件、部門別最優秀賞4件、部門別優秀賞9件の栄誉が称えられた( 表彰式レポートはこちら )。Web・コンテンツ部門 優秀賞を受賞した「「インシデント損害額調査レポート」およびその関連コンテンツ」は、NPO 日本ネットワークセキュリティ協会(JNSA)の調査研究部会 インシデント被害調査ワーキンググループによって取りまとめられた。 リーダーの神山太朗さんとサブリーダーの西浦真一さん にプロジェクトの狙いを聞いた。(聞き手はサイバーセキュリティアワード事務局、以下敬称略)