1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. ウイルス感染による企業被害額は1億円超も!?

ウイルス感染による企業被害額は1億円超も!?

情報処理推進機構(IPA)によると、2005年のウイルス感染による企業の平均的な被害額は、中小企業が1社あたり430万円、大手・中堅企業で1億3000万円とする調査結果を発表しました。

ウイルス感染被害額、大手・中堅企業では1億3000万円に--IPA調査(CNET Japan)

これらの金額は、企業へのアンケート結果と、IPAが独自に作成したウイルス被害額算出モデルをもとに推計した。システム・データ復旧コストと、システム停止による逸失売り上げを合算するもので、顧客への補償や謝罪広告、訴訟費用、風評被害による売り上げ減少などの「二次的(間接的)被害」は除く。

記事によると、ウイルス感染に遭った企業は、従業員数300人未満の中小企業で110社、300人以上の大手・中堅企業で95社とのこと。

被害に遭った企業のうち、「復旧に要したコスト」(=システム復旧やデータ復旧)と「逸失売上」(=EC停止や重要システム停止)を加えた「一時的(直接的)被害」の平均額が上記の通りだということです。

また、興味深い記述としては、不正アクセス(SQLインジェクション)による被害額についてです。

「SQLインジェクション」とは、SQLを使って構築されたデータベースに対し、サイトのURLなどにSQLで書いた命令文を挿入するなどして不正にデータベースにアクセスする攻撃手口です。データベースが不正利用されると、データが書き換えられたり、機密情報が漏えいしたりする危険性があります。

IPAがSQLインジェクションの被害に遭った企業のうち数社に対して行ったヒアリング調査によると、

 ・システム改修やセキュリティ対策費=約4,800万円〜1億円
 ・社内対策チーム人件費=180万円〜360万円
 ・対外的な説明・保証費用=数百万円〜5000万円

ということで、直接的な被害額として総額で1億円を超える場合があるとのことです。

上記の「システム改修やセキュリティ対策費」として計上される支出項目は、以下の対策などが挙げられます。

 ・ サーバの再構築作業(OS の再インストール、各種設定等)
 ・ Web アプリケーションの改修作業
 ・ 第三者によるセキュリティ検査(ぜい弱性検査)
 ・ セキュリティ対策システム機器(ファイアウオールやIDS 等)の導入


被害はこれにとどまらず、例えば(被害に遭ったのが)ECサイトであった場合、当該サイトが閉鎖されて売上機会が失われる(逸失売上)も考慮しなければなりません。

なにより、企業にとってはブランドイメージの失墜という問題が一番深刻です。お金では償えない被害という点に鑑みても、企業にとってセキュアなネットワーク環境の構築に対する投資は、最も大事な経営課題の一つであると言えるでしょう。

<参考>
「企業における情報セキュリティ事象被害額調査」及び「国内におけるコンピュータウイルス被害状況調査」[2005年](IPA)

関連キーワード:

IPA

SQLインジェクション

Winny

ウイルス

ファイル交換ソフト

不正アクセス

情報処理推進機構