中小企業のサイバーリスクまとめ
企業へのサイバー攻撃は急増している傾向です。
2014年から国内のネットワークに対して行われたサイバー攻撃は約3,279億件にもなっています(2019年度までの累計)
では、中小企業にとってサイバー攻撃に対する備えは必要なのでしょうか?
| 目 次 |
| 1.中小企業のサイバーリスクとは?
2.サイバー攻撃を受けた時に自社が負担する費用とは? 3.中小企業がサイバーリスクに備える方法 4.個人情報が漏洩した場合の罰則強化 |
1.中小企業のサイバーリスクとは?
仕事で使っているパソコンがウィルスに感染したことに気づかないまま使っていた社員が、取引先に仕事のメールをしたことで、取引先のパソコンやシステムをウィルス感染させてしまった。
これにより取引先の業務が停止し、多大な損害が発生し、多額の損害賠償を請求されるケースが増えています。
例えば、
- 従業員が会社のパソコンがウィルスに感染していることに気が付かず、取引先に数カ所に商品代金の請求書をメールで送り、取引先数社にコンピュータウィルスに感染したことで、取引先企業は業務が停止してしまい営業収益の損害が出た。被害が出た取引先からは、感染させた事で営業収益に損害が出たことの損害賠償をするよう請求されたケース。
- 通販事業のホームページの注文情報入力に対するセキュリティー不足が原因で、注文したお客さんの情報が漏洩しており、不正アクセスから決済情報を盗み取られ、口座のお金を抜き取られ被害を受けたとして、ホームページの運営責任を問われ賠償金の支払いをしなければならくなったケース。
- 業務用のパソコンにウィルスが感染し、気づかぬままウィルスメールを取引先に送付してしまった結果、取引先の工場のラインをストップさせた。工場のラインを止めたことによる損害賠償金を請求された。さらに謝罪広告にかかる費用、感染原因調査のため解析専門業者への依頼費用など、会社の費用負担は高額となったケース。
- 業務中にインターネットで調べ物をしていて不正サイトにアクセスしてしまい、パソコン内に保管していた顧客データがすべて漏洩た可能性があるため、専門解析業者に原因調査を依頼し調査の結果、個人情報が漏洩しており、顧客へのお見舞金やデータ復旧費用を負担したケース。
「うちは中小企業だから、サイバー攻撃は関係ない!」のでは・・・
サイバー攻撃の標的は、多くの場合が中小企業であることをご存じですか?
最近では中小企業やサプライチェーンの弱点を利用した攻撃リスクが高まっていて、
その要因としては、「中小企業やサプライチェーンのセキュリティ対策不足」があります。
サプライチェーン攻撃では、主に次の2つがあります
①マルウェアメールによる攻撃
感染したPCからあらゆる情報が盗まれます
②フィッシングメールによる攻撃
システムやサービスへのログイン情報が盗まれます
サプライチェーンの中でセキュリティ対策が不十分な企業は、サイバー攻撃者にとっては恰好の標的になります。
「うちは中小企業だから、サイバー攻撃で狙われる機密情報は無い!」のでは・・・
サイバー攻撃がサプライチェーンの中小企業をあえて攻撃する理由をご存じですか?
実はその目的は、サプライチェ―ンにおける”本命”である大手企業との窓口になっている中小企業の送受信されるメールを盗み見て”本命”である大手企業の担当者やシステムの連携状況などを把握して徐々に”本命”の大手企業へ近づき攻撃をしかけるためのステップなのです。
ターゲットになった中小企業はサイバー攻撃の被害者ですが、同時に自社のパソコンやシステムがサイバー攻撃のウィルス感染したことで取引先に被害を及ぼすことになり加害者となってしまいます。
被害にあった企業の声
当社が被害の対応に当たった企業からは、セキュリティ対策や体制整備の未実施を悔やむ声が多く聞かれます。
・聞いてはいたが、まさか自社が巻き込まれるとは思ってもいなかった
・誰が何をどこへどのように対応するかも決まっておらず混乱した
・業務影響が大きくシステム部門の問題ではないと身に染みた
・外部から通報を受ける前にせめて内部で先に気付きたかった
・謝罪対応からお客さまのセキュリティ意識の高さを痛感した
・自社の管理状況が十分でなく謝罪時の説明に窮した
・・・など
2.サイバー攻撃を受けた時に自社が負担する費用
サイバー攻撃を受けた場合、中小企業が負う費用、損害賠償金とは?
サイバー攻撃を受けた中小企業は自社の企業情報を盗まれた恐れがある場合、ログ解析を専門家に依頼することになりますが、その費用は数百万円になります。【1.対応費用】
その調査の結果、実際に個人情報や取引先の機密情報が漏洩していることが確認された場合、当然対応責任を問われ、情報漏洩による被害に対する損害賠償責任が発生します。
1.対応費用
1-1不正アクセス調査費用
| 費用項目 | 概算費用 | 必要な対応内容 |
| 初動対応費 | 約100万円 | その後の対応方針の策定含め、100万円からとなっている。 |
| ログ解析費 | 約300万円 | 約3か月分のログ解析。実際には調査対象となるログの分量で作業量が決まるため、変動幅が大きい。 |
| 検査費 | 約800万円 | 原因のみに範囲を限定した検査でも数百万規模になる事が多い。
詳細な検査は原因に絞った範囲を超える部分が多く技術的にも様々な観点で調査するため高額になりやすい。 |
| 管理費 | 約250万円 | 全体作業を確認する要因の費用。技術レベルの高いマネージャクラスになるため、基本的に15~20万円/日を目安とされる。 |
| 合計 | 約1450万円 |
その他に、
1-2.緊急対応費用としてお詫び金(プリペイドカード)
1-3.お詫び文章の送付費用
1-4.専用のコールセンター設置費用
1-5.弁護士費用
などが発生することが予測されます。
3.中小企業がサイバーリスクに備える方法
企業の経営者は会社の大小にかかわらず、サイバー攻撃や情報漏洩のリスクが日常の業務の中に存在している事を認識したうえで、情報セキュリティの責任者を選任し、社員が仕事で使用する情報通信機器の取扱いに関するルールを策定し、社内体制および情報セキュリティに対する社員の意識レベルを強化すること必要です。
そのうえで、不測の事態が発生した場合の対応費用や損害賠償金を担保する手段としてサイバー保険に加入しておくことが、万が一の事故発生時の資金のバックアップ手段として有効だといえます。
サイバー保険では、サイバー攻撃を受けた可能性がるときの調査・解析・コンサル費用などの対応費用として保険から5000万円まで、さらに取引先や顧客に損害が発生した場合の賠償責任を問われたときには5億円までの補償が保険で対応できるものもあります。
中小企業の約2割がサイバー攻撃の被害を経験している今の状況では、もはや他人事ではなくなりました。
4.個人情報が漏洩した場合の罰則強化
中小企業を狙ったサイバー攻撃が増加しています。
ひとたび攻撃を受けてしまうと、パソコン内に保管していた顧客データもすべて漏洩してしまいます。
2020年6月に成立した改正個人情報保護法では、個人情報を漏洩させた企業に対し、被害を受けた全員への通知を義務付ける方針です。2022年4月から施行が始まり、違反企業には最高で1億円の罰金が科されることになります。
サイバーリスク補償の相談は、労災保険・賠償保険の専門店【ほけん総研】へご相談ください。
下関・宇部・北九州・福岡・広島エリアで任意労災保険・賠償保険に関する相談は、地域に密着したサポートに対応可能な【ほけん総研】へ。数百社の相談実績から最良の改善策をご提案します。
賠償責任保険・任意労災保険の相談はインターネットから受け付けています。