SQLインジェクションの復旧コスト、1億円超える事例も～IPAが報告書

記事検索

最新ニュース

■

レゴ、小学生向けプログラミング教材「WeDo 2.0」発売

■

マクロウイルスを知らない世代の社員が狙われる？　「Office文書を開いて感染」攻撃が再び増加

■

新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ

■

Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

■

インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供

■

筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売

■

大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成

■

「インターネット白書2016」発売、20周年記念の特別版

■

NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売

■

Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB／秒以上で高速転送

■

公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開

■

Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始

■

BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ

■

ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1％

■

LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更

■

LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に

■

Microsoft、Officeと他社クラウドストレージとの連携を強化

■

Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利

■

ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始

■

Google「Chrome 48」iOS版ではクラッシュ率70％低下、JavaScript実行速度も大幅改善

SQLインジェクションの復旧コスト、1億円超える事例も～IPAが報告書

Winny漏洩の対応コストは1社あたり100万円から2,800万円

　情報処理推進機構（IPA）は29日、企業でウイルス感染や不正アクセス、情報漏洩が発生した場合の被害額を推計した「企業における情報セキュリティ事象被害額調査」の報告書を発表した。SQLインジェクションによる不正アクセスでは復旧・対応コストのみで1社あたり5,000万円から1億円超、ファイル交換ソフト「Winny」による情報漏洩では同じく100万円から2,800万円に上ると推計している。

● ウイルス感染の被害額、システム復旧コストよりも売上減が大きい

29日に行なわれた記者会見で、報告書について説明したIPAセキュリティセンター長の三角育生氏

　この調査は、企業における情報セキュリティ対策の必要性を確認できるよう実施したもの。「被害額を目安として示すことで、企業にセキュリティ対策を促していきたい」（IPAセキュリティセンター長の三角育生氏）という。

　まず、ウイルス被害については、5,500社に対してアンケートを送付し、1,206社から有効回答を得た結果をもとに、推計モデルに基づいて被害額を算出している。従業員が300人未満の中小企業で、1社あたり約430万円、300人以上の大手・中堅企業で約1億3,000万円と推計している。

　なお、このモデルでは、システムおよびデータの復旧コストに加えて、ECおよび重要システムの停止に伴う売上減も、ウイルス被害による直接的な一次的被害額として算出している。IPAによれば、ウイルスにより直接被害を受けるシステムやデータの復旧コストはそれほど大きくなく、ECや重要システムの停止に伴う売上減の方が大きいと指摘する。

　実際に復旧コストが発生した企業における1社あたりの平均は、中小企業で約17万2,000円、大手・中堅企業で15万3,000円だった。一方、売上減が発生した企業における平均は、中小企業で約413万6,000円、大手・中堅企業で1億2,949万7,000円となっている。なお、大手・中堅企業の売上減については、売上高が1,000億円を超える規模の企業が含まれているため平均値が引き上げられたという。

　ウイルス感染被害においては、これらの一次的被害額のほか、補償や損害賠償、謝罪広告、風評被害による利益減少などの二次的被害額も考えられるが、今回の調査では対象としていない。

● SQLインジェクションでは、売上減が数十億円に及ぶケースも

　三角氏によれば、IPAで届出を受け付けているウイルス被害は昨年頃より改善の方向にある一方で、SQLインジェクションによる不正アクセスや、Winnyを介した情報の漏洩といった新しい被害が目立つようになり、その復旧コスト負担は企業にとって無視できないものになっていると指摘する。

　今回の調査では、SQLインジェクションとWinny漏洩が実際に発生した企業の事例をもとに被害額を算出した。具体的には、2005年に重大事件として報道された事例について、SQLインジェクションについて6社、Winny漏洩について4社に対してヒアリングを実施した。匿名を条件に調査したため社名などは公表していないが、中堅から大手の企業がヒアリングに協力したとしている。

　まず、SQLインジェクションでは、Webアプリケーションの改修や第三者によるセキュリティ監査などを含むシステム再構築関連費用が4,800万円から1億円、専門対策チームの設置など社内人件費が180万円から360万円、謝罪や問い合わせ窓口の設置などの対外経費が数百万円から5,000万円と推計している。これら復旧に関する費用だけで総額が1億円を超えるケースも複数あった。さらに、サービスを数カ月閉鎖したことによる売上減も、数億円から20～30億円規模まであったという。

　Winny漏洩では、漏洩したデータの分析が90万円から180万円（社員が数十名で対応した場合の人件費）、流出元PCの特定やWinnyネットワーク上における情報の拡散状況の調査が500万円から600万円（専門業者による調査費用）、謝罪や問い合わせ窓口の設置など対外説明費用が45万円から1,600万円と推計している。これら復旧に関する人件費や外注費で総額2,000万円を超える事例や、対外説明については10名体制で約3カ月間対応した事例もあったという。

　なお、Winny漏洩は企業のシステム自体が停止するものではないため、短期的には売上には影響しないが、間接的には売上減少につながる可能性もある。ただし今回の調査では、因果関係を説明できないとして、復旧・対応に直接携わった人員のコストのみを被害額として算出した。

　報告書では被害額を示すだけでなく、被害企業のヒアリング結果をもとに、SQLインジェクションとWinny漏洩について、問題が発見されてから、被害状況の調査やシステムの復旧を行ない、対外説明や、社内のセキュリティ体制を強化するに至るまでの対応プロセスの実態もとりまとめた。三角氏は、実際に自社でこれらの問題が発生した際の参考にもなるとしている。

関連情報

■URL
　ニュースリリース
　 http://www.ipa.go.jp/security/fy17/reports/virus-survey/index.html
　「2005年企業における情報セキュリティ事象被害額調査」報告書（PDF）
　 http://www.ipa.go.jp/security/fy17/reports/virus-survey/documents/2005_model.pdf

■関連記事
・ラック、企業にSQLインジェクションへの対策を促すレポートを公表（2006/03/03）

（永沢茂）
2006/11/29 16:09

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.