2023年7月11日
[連載]中小企業の情報セキュリティ対策ガイドライン解説 第1回 「情報セキュリティ対策を怠ると何が起こるのか」
はじめに
これから不定期で、「中小企業の情報セキュリティ対策ガイドライン解説」と題した連載を行なってきます。
「中小企業の情報セキュリティ対策ガイドライン」ですが、これは独立行政法人 情報処理推進機構が提供している、中小企業向けの情報セキュリティ対策について取りまとめた資料です。以下のリンクから、資料は自由にダウンロードできます。
この資料は大変よくできていてとってもおすすめなのですが、予備知識がない方が読みこなすにはちょっと大変かもしれません。
そこで、本連載では、このガイドラインをもとに、より詳しい解説を行なっていこうと考えています。
ガイドラインの解説を通じて、中小企業の経営者や、担当者の方の抱く様々な疑問、たとえば
「セキュリティ対策ってそもそも必要なの?」
「セキュリティ対策ってお金がかかるんでしょ?」
「セキュリティ対策は必要なのもわかるけど、どうしたらいいのかわからない」
といった疑問にお答えしていきたいと思います。
なお、本連載はガイドラインの解説としていますが、単体で読んでも十分理解できるように配慮していきます。ガイドラインも併せて読んでいただいても良いですし、本連載だけを読んでいただくのでも構いません。
独立行政法人 情報処理推進機構について
さて、もしかしたら本記事をお読みの方には、情報処理推進機構をご存知でない方もいらっしゃるかと思いますので、簡単に説明しておきます。
情報処理推進機構は経済産業省所管の独立行政法人です。
国民が安心できるデジタル社会を実現するため、サイバーセキュリティの確保、デジタル人材の育成、デジタル基盤の提供と、3つの分野を軸として、さまざまな事業を行なっています。一般によく知られているものとしては、国家試験である情報処理技術者試験を行なっています。
本連載で扱う「中小企業の情報セキュリティ対策ガイドライン」に限らず、企業で活用できる様々な情報を提供していますので、ぜひ活用していきましょう。
なお、情報処理推進機構はその英語名のInformation-technology Promotion Agencyの頭文字をとって、通称IPAと呼称されています。
本記事でも今後は情報処理推進機構のことはIPAと記述していきます。
第1部 経営者編 「情報セキュリティ対策を怠ることで企業が被る不利益」
ここからはいよいよ解説の本番です。
ガイドラインの第1部 経営者編 「情報セキュリティ対策を怠ることで企業が被る不利益」に書かれている内容について、解説していきます。
経営者編となっていますが、みなさん知っておいた方が良いと思いますので、経営者でない方もぜひ目を通してください。
まず、情報セキュリティ対策を行わなかったらどんなことが起こってしまうのかを見ていきます。
本記事では最近の事件から具体的な例を挙げていきます。
また、可能な限り統計データも参照しながら解説していきます。客観的データから、現実的な脅威を少しでも実感していただきたいと思います。
(1)金銭の損失
直接的な損失
情報セキュリティインシデントによる金銭的被害は増加傾向にあります。IPAの「情報セキュリティ10大脅威 2024」[1]によると、組織における脅威の第1位は「ランサムウェアによる被害」で、9年連続9回目に輝いて(?)います。
いきなり専門用語ですが、ランサムウェアとは、Ransom(身代金)とSoftwareを掛け合わせた造語で、様々な方法で脅迫を行い、金銭を要求するウイルスの一種です。データやシステムを人質にし、「身代金」を要求してくることからこのように呼ばれています。
具体的には、データを暗号化して読み取れなくして復元して欲しければ金を支払えとか、重要な機密データを盗み出し、その情報を公開されたくなければ金を支払えといった要求をしてきます。
具体例:株式会社KADOKAWA
KADOKAWAグループデータセンター内のファイルサーバーなどがランサムウェアを含む大規模なサイバー攻撃を受け、サービスが停止。25万件余りの個人情報が流出[2]。サービス停止中の売り上げ減により、売上⾼で84億円、営業利益で64億円の減少影響を見込んでいます。[3]
JNSAの調査[4]によると、ランサムウェアによる平均被害額は2,386万円、暗号化されたデータを復旧できた組織は50%しかないそうです。
また、警察庁の調査では、ランサムウェアの被害を受けたのは中小企業が最も多くなっています。
業種では製造業、卸売・小売業、サービス業が多い傾向です。
(以下は令和6年上半期の資料のグラフです)
間接的な損失
実際の被害額は直接的な損失だけではありません。
被害に対応するため、以下のような追加コストが発生します。[4]
- フォレンジック調査:300〜400万円
- 法律相談費用:数十万〜
- DM印刷・発送:1通あたり封書130円
- 新聞お詫び広告:全国紙240万円前後、地方紙50万円前後
- コールセンター設置:700〜1000万円
- システム復旧費用:規模によりケースバイケース
- 再発防止費用:規模によりケースバイケース
これらはあくまで一例です。被害内容によってはさらに多くの費用が必要となる場合もあります。
具体例:株式会社KADOKAWA
6⽉8⽇に発覚した当社グループのデータセンター内サーバーへの⼤規模サイバー攻撃の影響により、出版・IP創 出セグメントにおいて国内紙書籍事業の⽣産⾼・出荷部数が減少したことや、Webサービスセグメントにおいてニ コニコファミリーのサービス全般が停⽌したことなどの影響が⽣じました。その結果、2025年3⽉期通期連結業績において出版・IP創出セグメントとWebサービスセグメントを中⼼に売上⾼で84億円の減少影響、営業利益で64億 円の減少影響が発⽣する⾒通しです。
カドカワグループ 2025年3月期通期業績見通しおよび第1四半期決算に関するお知らせ: https://group.kadokawa.co.jp/information/media-download/1332/8dd990c3e531706d/
……
また、 ニコニコサービスのクリエイター補償費⽤や調査・復旧費⽤などの特別損失36億円を計上する⾒込みであることから、その影響も含めて親会社株主に帰属する当期純利益を▲37億円修正いたします。
(2)顧客の喪失
情報漏えい事故を起こした企業は取引先からの信用を失い、その回復には多くの時間を要しています。これらはなかなか定量的に測るのが難しいですが、上場企業の場合、株価の低迷としてある程度数字に出てきていることがわかっています。
JCICの調査[7]によると、情報流出等の適時開示を行った企業47社において、適時開示後50日後には株価が平均6.3%下落していたそうです。
上場企業でなくとも、信用を失うことによって長期にわたる影響が発生する可能性があるのは想像に難くありません。最悪の場合、倒産の危機に陥ることも考えられるでしょう。
(3)事業の停止
前出の警察庁の資料では復旧に要する期間、費用について以下のようになっています。
一応1週間未満が一番多くなってはいますが、中には2ヶ月以上かかっているものもあります。
復旧に時間がかかる場合、その間事業が停止したり、停滞するリスクがあります。
具体例: 株式会社エムケイシステム
社会保険労務士向けクラウドサービス等を提供する株式会社エムケイシステムは、2023年6月5日、ランサムウェアの被害により同社の複数サービスが停止。バックアップからの全面的な復旧には時間がかかるとして、新バージョンへの移行を実施し、6月30日より順次サービスを再開した。同サービスにおいて、同社と契約している社労士が長期にわたりサービスの利用やデータの閲覧ができなくなることで、社労士に業務を委託していた組織の社会保険手続きや給与計算等に影響を及ぼす可能性があったとのことです。[8]
(4)従業員への影響
内部不正のリスク
情報セキュリティ対策を十分に行なっていない職場環境では、従業員による内部不正が発生しやすくなります。
情報セキュリティというと外部からの攻撃にばかり気を取られてしまいがちですが、前出の「情報セキュリティ10大脅威」[1]でも、3位に挙げられているほど実際には発生することが多い問題です。
具体例:NTTビジネスソリューションズ
2023 年10月、NTTビジネスソリューションズは、同社に勤務していた元派遣社員が顧客情報の不正な持ち出しを行っていたことを公表した。同派遣社員は2013年7月から2023年1月の間に、自身が運用に関わっていたコールセンターのシステムに、管理者アカウントを悪用して不正アクセスし、少なくとも69組織の顧客情報928万件をUSBメモリーにコピーして持ち出していた。持ち出した顧客情報を名簿業者に販売し、1,000 万円以上を対価として受け取っていたとみられ、逮捕された。[8]
IPA 情報セキュリティ白書2024: https://www.ipa.go.jp/publish/wp-security/index.html
職場環境の悪化
情報セキュリティ対策の不備は、以下のような負の連鎖を生む可能性があります。
- 事故発生時の対応の混乱
- 責任追及による職場の人間関係の悪化
- 従業員の働く意欲の低下
たとえば、情報漏洩事故の対応には多大な労力がかかる一方、正当に評価されないといったことも起こりがちです。通常の業務に加え事故対応で疲弊しているところに上司や周りから批判を浴びることによって、離職に繋がってしまうこともあります。
以上のように、情報セキュリティ対策の不備は、金銭的な損失だけでなく、顧客との関係、事業継続、そして従業員のモチベーションにまで広く影響を及ぼすことがわかります。
次回は、これらの問題を防ぐために経営者が負うべき法的責任について、具体的な判例や事例を交えながら解説していきます。
参考文献
[1] 情報セキュリティ10大脅威 2024: https://www.ipa.go.jp/security/10threats/10threats2024.html
[2] 株式会社KADOKAWA ランサムウェア攻撃による情報漏洩に関するお知らせ: https://www.kadokawa.co.jp/topics/12088/
[3] カドカワグループ 2025年3月期通期業績見通しおよび第1四半期決算に関するお知らせ: https://group.kadokawa.co.jp/information/media-download/1332/8dd990c3e531706d/
[4] JNSA サイバー攻撃を受けるとお金がかかる~インシデント損害額調査レポートから考えるサイバー攻撃の被害額~: https://www.jnsa.org/result/incidentdamage/202407.html
[5] JCIC 社内のセキュリティリソースは「0.5%以上」を確保せよ: https://www.j-cic.com/pdf/report/Security-Resources-Report.pdf
[6] 警察庁 サイバー空間をめぐる脅威の情勢等: https://www.npa.go.jp/publications/statistics/cybersecurity/
[7] JCIC 社内のセキュリティリソースは「0.5%以上」を確保せよ: https://www.j-cic.com/pdf/report/Security-Resources-Report.pdf
[8] IPA 情報セキュリティ白書2024: https://www.ipa.go.jp/publish/wp-security/index.html