億単位の損害?｢大規模マルウェア感染｣の深刻度 システム1ヵ月停止で売り上げ何％減か想定を

一方で、緊急対応組織を組成し、情報を収集して事業継続・応急復旧の司令塔を機能させる部分は外部に委託できない点は十分留意すべきだろう。

ランサムウェア被害につきものの「データ復旧」に関しては、委託元の被害企業と外部事業者の間にトラブルが発生しやすいが、デジタル・フォレンジック研究会（IDF）が公開している「データ被害時のベンダー選定チェックシート Ver.1.0」を参考に委託先企業を選定するとよいだろう。

軽微なマルウェア感染被害でも約600万円の費用

最後に、事案対処には一時的に費用が発生する。筆者も作成に関与した日本ネットワークセキュリティ協会（JNSA）のインシデント被害調査ワーキンググループの調査成果物「インシデント損害額調査レポート2021年版」では、モデルケースごとにサイバーインシデント発生時の被害額を例示している。

数百万円から数億円まで幅はあるが、軽微なマルウェア感染被害でも600万円程度の費用は必要だとの算定だ。インシデントが起きるかどうかわからない中で、こうした費用を予算化するのは難しいが、サイバー保険に加入すれば対処費用の一部は保険金が下りる場合もあるうえ、保険料として予算化もしやすい。ただし当然のことながら、保険はサイバー攻撃に遭わないための対策にはならないことは忘れてはならない。

前田 典彦：FFRIセキュリティ 社長室長