セキュリティインシデントの損害費用をシミュレートする
2021年8月21日、NPO日本ネットワークセキュリティ協会(JNSA)から”インシデント損害額調査レポート”が公開されました。
https://www.jnsa.org/result/incidentdamage/2021.html
このレポートにはセキュリティインシデントが発生した時に必要となるあらゆる費用が調査されています。
その内容はマルウェア感染PCの調査や弁護士費用から新聞社への謝罪記事掲載費用までとかなり幅広く網羅されています。
セキュリティ専属でなければ、インシデント対応費用はなかなか触れる機会が無く想像もつかないことが多いです。
そこで今回はセキュリティインシデントを想定して、JNSAのレポートを参考にしながら損害費用をシミュレートしてみます。
想定する架空の企業
- 従業員100名、年間売り上げ50億円の販売代理店(BtoB、国内のみ)
- 東京と大阪に拠点がある
- 拠点間はVPNでつながっている
- 社内ネットワークに接続する管理対象PCは80台
- ID管理、ファイルサーバー、販売管理サーバーが東京にある
発生したセキュリティインシデント
東京で勤務している社員から”受信したメールのURLをクリックしたらPCが暗号化されてしまった”と連絡がありました。
社内SEが確認したところ、その社員が使っているPCがランサムウェアに感染したときに表示される画面と酷似していることが分かりました。
事態発覚後、即座にランサムウェアが感染したPCのLANケーブルを抜いて社内ネットワークから隔離しました。
この状態から各種対応をする場合の費用を検討してみます。
初動対応
セキュリティインシデントが発生すると、何よりもまず初動対応が必要になります。
初動対応の目的は主に
- これ以上の被害拡大を防ぐ
- 今後の検討材料のために原因や被害範囲を調査する
ということがあります。
インシデントが発生すると被害拡大防止に意識が行きがちですが、常に判断材料を集めることも忘れないようにします。
初動対応代行・支援
初動対応は被害拡大を阻止するために行います。今回のケースでは既に感染PCのネットワーク遮断に成功していますが、気になるのはこのPC以外が感染していないかどうかです。
昨今のランサムウェアは横展開することも珍しくありません。
費用をかけずに横展開阻止するならば、サーバー系ネットワークと拠点間ネットワークを切断した方がよいですが、当然業務に影響が出ます。
インシデント対応のプロフェッショナルに初動対応支援を依頼すると150万円・20万円・80万円・6万円/時間とばらつきがありますが、少なくとも10万円程度の金額には収まらないことは確実と考えましょう。
このような依頼を行うかどうかは、
- 自社の社内SEでどこまで対応できてどれぐらい業務損失が出るのか
- 他社に依頼するとどこまで対応できてどれぐらい業務損失を回避できるか
を比較することになります。
フォレンジック費用
フォレンジックとはマルウェア感染した、またはした疑いのあるPCを詳細に調査・分析することです。
初動対応は対応知識のあまりない社内SEでもなんとか対応できることはあります。
しかしフォレンジックは専門知識を持たない社内SEが行うにはややレベルが高いです。
特に今回のランサムウェアのように横展開の可能性があるタイプは検疫を見逃すと再発・再蔓延しかねないのでフォレンジックをプロに依頼した方がよいでしょう。
こちらも外注先によってばらつきはありますが、おおよそクライアントPCであれば100万~150万円程度、サーバーであれば150万~200万円程度です。
今回の会社の場合、横展開を警戒するなら感染PC・感染PCと同一ネットワークの別PC・ファイルサーバー・大阪のPCの4台ぐらいは最低限、フォレンジックした方がよいでしょう。
もちろん、確実に潰していくには全台(80台)も考えられますが、それだけで8000万円の費用は発生しますので売上高50億円の企業には少し厳しいかもしれません(このあたりは経営層に判断してもらいましょう)。
対外対応
対外対応の種類としては下記があります。
- コンサルティング費用(PR費用)
- 法律相談費用
- 広告・宣伝活動費用
- コールセンター費用
- 見舞金・見舞品購入費用
- ダークウェブ調査費用
当然、全ての対応を実施する必要はありません。今回はBtoBの中小企業ということで、取引相手も限られています。
この点を踏まえ、今回のケースでは広告・宣伝活動、コールセンター、見舞金・見舞品購入は実施しないこととします。
コンサルティング費用(PR費用)
対外対応や告知について専門家の意見や助言を依頼するための費用です。
外部への情報公開は慎重に判断し、場合によっては行わないという判断になることもあります。
今回のランサムウェア感染では対象は自社内ネットワークに限定されているように見えますが、フォレンジック調査の結果として社外にメール送信やアドレス帳を抜き出されている可能性が浮上した場合は対外対応が必要です。
ただし、事業規模や取引相手が限定されていれば一般的には自社ホームページでの情報公開や営業から個別の連絡で完結するでしょう。
コンサルティング依頼する場合は数十万円の費用が発生します。
法律相談費用
ランサムウェアの感染が仮に自社感染PCを踏み台に取引先へ広がってしまった場合など、外部からなんらかの申し立てが行われる可能性があると法対応が必要になります。
顧問弁護士がすでに在籍していればそちらに相談することになるでしょうし、そうでなければセキュリティインシデントの対応に詳しい法律事務所に相談することになります。
国外含めた対応が必要な場合は数百万円になるようですが、今回のケースでは国内限定ということで数十万円ぐらいが予想されます。
ダークウェブ調査費用
国内BtoBの中小企業でダークウェブ調査をすることはあまりないかもしれません。
それでも重要情報に不審なアクセスがあり、なおかつ外部へのデータアップロードの痕跡があった場合に調査を依頼することもあります。
ところが調査にはかなりの高度な専門技術が必要なことから、一部の大手セキュリティベンダーしか調査サービスを提供していないようです。
お値段も破格の数百~数千万円ですので、今回の事業規模の会社が依頼することは無いでしょう。
復旧および再発防止
初動対応を終え、継続調査の段階になると復旧作業にかかります。
今回のシミュレーションでは”ランサムウェアに感染したPCをどうやって復旧するか”ということになります。
また、インシデント発生の原因を検討し、再発防止策の構築を行います。
システム復旧費用
今回の復旧対象システムはランサムウェアに感染したクライアントPCです。
当然ながら、まずはバックアップが取得されているかどうか確認します。
注意点として、ランサムウェアに感染したタイミングとインシデントが発覚したタイミングは異なります。
順番としてランサムウェアに感染し、その後にデータ暗号化が行われインシデントが発覚します。
つまり、バックアップから復旧するときは確実にランサムウェアに感染する前のバックアップデータを復旧するようにしましょう。
無事なバックアップデータが存在する場合は社内SEの作業だけで完結することが多いです。
しかしながらバックアップデータが存在しない場合は暗号化されたデータの復号化を試みることになります。
社内SEができる範囲として『No More Ransom』プロジェクトが利用できます。
これは有志にて運営されているサイトで既に判明している多数のランサムウェアの復号ツールが無料で公開されています。
もし、今回のインシデントで感染したランサムウェアが無料ツールで復号できれば発生費用はゼロです。
外部のベンダーにデータ復旧を依頼するとなると数万~数十万ですが、ランサムウェアに特化したより専門的な復旧依頼をする場合はさらに高額となる(フォレンジック調査と同レベルの100万円程度)でしょう。
再発防止費用
再発防止策にもいろいろありますが、いくつか今回のシミュレーションに有効な手段を取り上げて費用を評価してみましょう。
メールフィルタリング・アンチウィルス(EPP)・検知ソフト(EDR)
いわゆるセキュリティソフトの導入です。
メールフィルタリングやアンチウィルスソフトは世の中にたくさんの製品やサービスが提供されていますが、平均すると1ライセンス年間数百~数千円と安価です。
今回の企業の事業規模でも十分導入可能な費用レベルです。
一方、EDRは少し高めで年間数万~数十万円かかることが多いです。
また、EDRは再発防止というよりは再発時の影響範囲縮小が主目的になりますので、導入の費用対効果についてはしっかり組織で検討が必要です。
セキュリティ教育費用
今回は社員が不審なメールのURLをクリックしてしまったことが感染のトリガーになりました。
これを防止するために社員教育を行うという人に対する施策です。
教育するための資料はIPAをはじめとして公開資料がありますので、これを活用すれば資料の費用は発生しません。
教育を外部の研修や講師に依頼する場合は1ライセンス数百~数千円程度が発生します。
従業員100名全員に教育する場合は数十万円となるでしょう。
また、社内SE向けに専門的な教育を依頼する場合は人数が少なくとも数万円以上になることが多いようです。
まとめ
今回のランサムウェア感染対応費用のシミュレーション結果はおおよそ下記のようになりました。
- 初動対応依頼:50万円
- フォレンジック費用:クライアントPC3台×100万円+サーバー1台×150万円=450万円
- コンサルティング費用:20万円
- 法律相談費用:20万円
- メールフィルタリング・アンチウィルスソフト導入:2千円/年×クライアントPC80台=16万円/年
- セキュリティ教育(外部研修):100名×3千円=30万円
合計:570万円+16万円/年
当然、一般的な情報から推測したもので数値には大きな振れ幅があります。
また、費用の発生という観点ですが社内の人間の時間や移動費・準備費といった間接費用は省略していますので、これらの存在は決して忘れないようにしてください。
しかし公開資料からこのように具体的な数値に落とし込めただけでも有用な資料だなと感じました。
是非、社内SEのみなさんもセキュリティインシデントの対応費用を検討するときは参考にしてください。