Internet Watch logo
記事検索
最新ニュース

SQLインジェクションの復旧コスト、1億円超える事例も〜IPAが報告書

Winny漏洩の対応コストは1社あたり100万円から2,800万円

 情報処理推進機構(IPA)は29日、企業でウイルス感染や不正アクセス、情報漏洩が発生した場合の被害額を推計した「企業における情報セキュリティ事象被害額調査」の報告書を発表した。SQLインジェクションによる不正アクセスでは復旧・対応コストのみで1社あたり5,000万円から1億円超、ファイル交換ソフト「Winny」による情報漏洩では同じく100万円から2,800万円に上ると推計している。


ウイルス感染の被害額、システム復旧コストよりも売上減が大きい

29日に行なわれた記者会見で、報告書について説明したIPAセキュリティセンター長の三角育生氏
 この調査は、企業における情報セキュリティ対策の必要性を確認できるよう実施したもの。「被害額を目安として示すことで、企業にセキュリティ対策を促していきたい」(IPAセキュリティセンター長の三角育生氏)という。

 まず、ウイルス被害については、5,500社に対してアンケートを送付し、1,206社から有効回答を得た結果をもとに、推計モデルに基づいて被害額を算出している。従業員が300人未満の中小企業で、1社あたり約430万円、300人以上の大手・中堅企業で約1億3,000万円と推計している。

 なお、このモデルでは、システムおよびデータの復旧コストに加えて、ECおよび重要システムの停止に伴う売上減も、ウイルス被害による直接的な一次的被害額として算出している。IPAによれば、ウイルスにより直接被害を受けるシステムやデータの復旧コストはそれほど大きくなく、ECや重要システムの停止に伴う売上減の方が大きいと指摘する。

 実際に復旧コストが発生した企業における1社あたりの平均は、中小企業で約17万2,000円、大手・中堅企業で15万3,000円だった。一方、売上減が発生した企業における平均は、中小企業で約413万6,000円、大手・中堅企業で1億2,949万7,000円となっている。なお、大手・中堅企業の売上減については、売上高が1,000億円を超える規模の企業が含まれているため平均値が引き上げられたという。

 ウイルス感染被害においては、これらの一次的被害額のほか、補償や損害賠償、謝罪広告、風評被害による利益減少などの二次的被害額も考えられるが、今回の調査では対象としていない。


SQLインジェクションでは、売上減が数十億円に及ぶケースも

 三角氏によれば、IPAで届出を受け付けているウイルス被害は昨年頃より改善の方向にある一方で、SQLインジェクションによる不正アクセスや、Winnyを介した情報の漏洩といった新しい被害が目立つようになり、その復旧コスト負担は企業にとって無視できないものになっていると指摘する。

 今回の調査では、SQLインジェクションとWinny漏洩が実際に発生した企業の事例をもとに被害額を算出した。具体的には、2005年に重大事件として報道された事例について、SQLインジェクションについて6社、Winny漏洩について4社に対してヒアリングを実施した。匿名を条件に調査したため社名などは公表していないが、中堅から大手の企業がヒアリングに協力したとしている。

 まず、SQLインジェクションでは、Webアプリケーションの改修や第三者によるセキュリティ監査などを含むシステム再構築関連費用が4,800万円から1億円、専門対策チームの設置など社内人件費が180万円から360万円、謝罪や問い合わせ窓口の設置などの対外経費が数百万円から5,000万円と推計している。これら復旧に関する費用だけで総額が1億円を超えるケースも複数あった。さらに、サービスを数カ月閉鎖したことによる売上減も、数億円から20〜30億円規模まであったという。

 Winny漏洩では、漏洩したデータの分析が90万円から180万円(社員が数十名で対応した場合の人件費)、流出元PCの特定やWinnyネットワーク上における情報の拡散状況の調査が500万円から600万円(専門業者による調査費用)、謝罪や問い合わせ窓口の設置など対外説明費用が45万円から1,600万円と推計している。これら復旧に関する人件費や外注費で総額2,000万円を超える事例や、対外説明については10名体制で約3カ月間対応した事例もあったという。

 なお、Winny漏洩は企業のシステム自体が停止するものではないため、短期的には売上には影響しないが、間接的には売上減少につながる可能性もある。ただし今回の調査では、因果関係を説明できないとして、復旧・対応に直接携わった人員のコストのみを被害額として算出した。

 報告書では被害額を示すだけでなく、被害企業のヒアリング結果をもとに、SQLインジェクションとWinny漏洩について、問題が発見されてから、被害状況の調査やシステムの復旧を行ない、対外説明や、社内のセキュリティ体制を強化するに至るまでの対応プロセスの実態もとりまとめた。三角氏は、実際に自社でこれらの問題が発生した際の参考にもなるとしている。



関連情報

URL
  ニュースリリース
  http://www.ipa.go.jp/security/fy17/reports/virus-survey/index.html
  「2005年 企業における情報セキュリティ事象被害額調査」報告書(PDF)
  http://www.ipa.go.jp/security/fy17/reports/virus-survey/documents/2005_model.pdf

関連記事
ラック、企業にSQLインジェクションへの対策を促すレポートを公表(2006/03/03)


( 永沢 茂 )
2006/11/29 16:09

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.