第83話 【2023年度】セキュリティ被害のリスクを計算してみる

１. 企業が経験したセキュリティ・インシデント発生率

JIPDEC／ITR「企業IT利活用動向調査2023」から2022年１年間に企業に発生した「外部攻撃」を抽出する。

ただしこのデータからは、攻撃の詳細（手口・被害・防御策など）は読み取れないため、別の統計データを参考にする。
（このような計算手法はフェルミ推定と呼ばれる）

２. 外部攻撃の詳細

コンピュータウイルス・ 不正アクセスの届出事例の2022年度版（上半期・下半期）の341件の内容を分類する。

2022年度外部攻撃内訳１

事例を読み解くと、身代金と脆弱性はランサムウェア事象であるため、下記のようにまとめなおすことが出来る。

2022年度外部攻撃内訳２

３. 企業全般の外部攻撃の内訳

この内訳をJIPDECの統計データ「外部攻撃発生率：47.8%
」と掛け合わせることにより、企業全般の外部攻撃の内訳を割り出すことが出来る（フェルミ推定）。

2022年度外部攻撃内訳３

上記のデータでは、発生率が高いのはPC単体でのマルウェア感染であるが、攻撃を受けた時の被害はランサムウェアの方が大きい。このため上記３つの攻撃の被害額を算出する。

４. ランサムウェア被害額

警察庁が発表した2022年度ランサムウェアの被害データから１件あたりの被害額は、約2500万円と算出される。

５. PC感染とサーバ攻撃の被害額

JNSAが2021年に発表した「インシデント損害額調査レポート」では、インシデント被害額としてフォレンジック調査費用の相場の平均値は下記となる。

PC１台：210万円
サーバ１台：250万円

PCマルウェア感染被害や認証突破攻撃による被害はフォレンジック調査費用以外にも、損害賠償や利益被害などが考えられる。しかし2022年のエモテットの感染事例や認証突破事例ではそれらの損害の事例はなかった。おそらく大部分の企業は「初期化と再インストール」で対応したと考えられる。
ただし、感染や攻撃があった場合は、被害の実態や他端末やネットワークへの被害拡大を確認するためにフォレンジックは必要であると考えられる。

６. 確率期待値（発生率と被害額）

上記の計算から、各インシデントの期待値（被害額）を算出する。

発生率と被害額期待値

この結果から、インシデントの発生率はPC単体感染が高いが、被害額まで計算に入れると、ランサムウェアのリスクがもっとも高いことがわかる。
これはIPAの「情報セキュリティ10大脅威 2023」とも一致する。

７. まとめ

ゼロトラストFTAは、企業はリスクの高い脆弱性から対策をするべきと唱えているが、従来のように発生確率だけじゃなく、被害額まで算定したリスク判断（被害額期待値）で判断するべきである。