JNSAのインシデント損害額調査レポート
JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)からインシデント発生時にかかるコスト調査のレポートが出ていました。
国内外のセキュリティベンダーを中心に、サイバー攻撃損害コストの調査データはいくつも出ていますが、関係者アンケート回答からの”雰囲気”集計した様にも思えるモノも多い気がします。
そんな中、このレポートはインシデントで実際に発生する可能性がある損害コストが、見落としがちな部分も含めて書かれているので、例えばサイバー保険加入の稟議資料(費用対効果)を作成する場合や、インシデントレスポンスプランを策定(改訂)する際に役立つのではないかと思います。
費用が想像しにくいフォレンジック調査費用も書かれており、業者によってばらつきはあるものの、といったイメージが付きやすいのではないでしょうか。
(個人情報漏えい対象者等への)おわび状の費用や、新聞掲載の費用などが掲載されています。事業内容やインシデントの規模によって費用が変わるものの、「最大リスク」を試算する上で、参考値となるかと思います。
サイバー保険やセキュリティ対策費用(あるいは情報システム部門の増員)の妥当性を検討する上で、こうした費用試算をしておく事は、経営陣への説明という意味でも有効かと思います。
JNSAが出したレポートという事でも客観性が出てくるかと思いますので、こうした業務に携わる方は、レポートを一読される事を強くお勧めします。
DarkWebの調査費用が意外と高いと感じましたが、DarkWeb接続に(やや)専門的な知識が必要で、調査すべき対象サイトの把握が難しい(どこに出てくるか分からない)点、そして継続調査や、サンプルデータの購入費用などを考えると仕方が無いのかも知れません。