数億円!? サイバー攻撃を受けたら｢損害額｣は一体いくらになる？ ランサムウェア感染が発覚してからの“リアルな経過”とは

「事故対応にかかる費用の損害だけではなく、利益の損害、賠償の損害も見逃せません。利益損害についていえば、インシデント対応でシステムが停止している間は、小売りであれば商品を販売できず、工場であれば生産停止になり、売り上げが減少します。

その金額はざっくり1日あたりの売り上げ×停止した日数となりますが、信用を失い、取引を停止される可能性もあります。賠償損害についていえば前述した委託先企業でインシデントが起きたような場合、委託元企業から損害賠償を請求されるケースがあります。

つまり、インシデントによる損害には主に事故対応の費用と売り上げの損失、損害賠償の3つがあります。私たちが見てきたさまざまな事案に基づくと、それぞれの企業や事案ごとにブレは生じますが、金額としては数千万円単位の損害が発生する可能性があり、数億円単位に膨れ上がってもおかしくはありません」（神山氏）

中小企業でもこれほどの損害が発生し経営に大きなダメージを与える可能性を考えれば、セキュリティ対策は経営者がリードすべき経営課題であるのは間違いない。

しかしIPA（情報処理推進機構）の『2024年度中小企業等実態調査結果』によれば、約7割の企業で組織的なセキュリティ体制が整備されておらず、約6割が過去3期で情報セキュリティ対策投資を行っていないのが現実である。

なぜセキュリティ対策が必要か、ピンとこない場合は『インシデント損害額調査レポート 第2版』を参考に、被害にあった場合の具体的な損害額をイメージしてみるとよいだろう。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、宮内 健さんの最新記事をメールでお知らせします。