日本HPは、HPの支援を受けて、米Ponemon Instituteが実施した「2012 Cost of Cyber Crime Study(2012年サイバー攻撃への対策コスト調査)」のうち、日本の29社に実施した「2012年度サイバー犯罪コスト調査(日本版)」について、プレス向けの説明会を開催した。

この調査は、HPエンタープライズセキュリティ協賛のもと、サイバー攻撃が企業に与える経済的影響を詳細に把握する目的で、日本では2012年度に初めて実施。ベンチマーク調査は、さまざまな業種から代表サンプルとして抽出した29社を対象に実施された。

最初のサイバー犯罪コスト調査は、2010年に米国で実施。2012年度は調査範囲が拡大され、日本に加えて、英国、ドイツ、オーストラリアの企業が対象となっている。ワールドワイドの結果は、米HPが10月9日(現地時間)に公表している。

日本で実際に調査されたのは、シート数(席数)が1,003~80,290の29社で、12の業種が含まれている。調査手法としては、個々のケーススタディごとに、4週間にわたりベンチマーク調査および活動基準原価計算(ABC)を実施。推定コストの算出には、直接コストおよび間接コストの両区分について標準化されたツールを使用したという。

それによると、サイバー犯罪は企業にとって非常にコストがかかり、29社の年間平均コストは4億200万円で、1社あたりの最低額は53万円、最高額は1,830万円となっているという。

サイバー犯罪コスト(出典:Ponemon Institute)

サイバー犯罪コストは、企業規模が大きくなると年間コストも大きくなる傾向があり、一方、1人あたりのコストは小規模企業のほうが大規模企業よりも大幅に高いという(小規模企業は5万6,400円であるのに対し、大規模企業は1万5,000円)。

本調査の協力企業は1週間あたり31件の攻撃を受けており、1週間および1企業あたりでは1.1件超の攻撃を受けているという。

コストのかかるサイバー犯罪は、内部の不正インサイダー、DoS攻撃、Webベース攻撃で、1社あたりの年間サイバー犯罪コストの55%超を占めている。

攻撃タイプ別の年間サイバー犯罪コストの割合(%)(出典:Ponemon Institute)

Ponemon Instituteは、こうした攻撃を防止するには、SIEM、侵入防止システム、アプリケーションのセキュリティテスト、ガバナンス/リスク管理およびコンプライアンス(GRC)ソリューションなどの実現技術が必要だとしている。

また、サイバー攻撃は迅速に解決しなければ高コストにつながり、攻撃の封じ込めにかかった時間と企業のコストの間には正の相関関係があるという。サイバー攻撃の平均解決時間は17日で、協力企業の平均コストはこの17日間で4億280万円となっている。一方、不正インサイダー攻撃の平均封じ込め時間は28日超となっている。情報資産の盗難と業務の中断が、最大の外部コストを発生させているという。

平均解決日数(出典:Ponemon Institute)

年間ベースでは、情報損失と業務の中断が、それぞれ外部コスト全体の36%を占め、収益損失と機器の損傷に伴うコストが、外部コストの24%を占めている。最もコストのかかる内部活動は検出と復旧で、年間ベースでは、検出と復旧を併せたコストが内部活動コスト全体の45%を占めており、直接労務費と生産性の損失がこのコストの大半を占めているという。

外部コストの割合(%)(出典:Ponemon Institute)

セキュリティインテリジェンスシステムの導入の有無によって、かかるコストは異なり、サイバー犯罪コストは、セキュリティインテリジェンスシステム(SIEMなど)を使用することで削減されるという。

調査結果では、セキュリティインテリジェンス技術を使用している企業の方が、サイバー攻撃の検出と封じ込めをより効率的に行っていることが判明しており、その結果、こうした企業はセキュリティインテリジェンス技術を導入していない企業と比べて、401万4,000円コストが低くなっているという。

適切なセキュリティガバナンスの導入による企業のいわゆる「コスト削減」額は、平均で319万4,000円超と推定されるという。

日本HP HPソフトウェア事業統括 エンタープライズ・セキュリティ・プロダクツ統括本部 セキュリティソリューション コンサルタント 村田敏一氏

日本HP HPソフトウェア事業統括 エンタープライズ・セキュリティ・プロダクツ統括本部 セキュリティソリューション コンサルタント 村田敏一氏は、「なるべく早く解決すると損害金額を低く抑えられる。事前検知、確認できることが重要だ。また、サイバー攻撃が起きることを前提に監視や対策を講じておく必要がある」と述べた。

同氏は、企業はセキュリティ脅威への対応に苦慮しており、その背景として、「攻撃性質の変化」、「ITの改革」、「規制強化」があるとした。

「攻撃の性質」については、攻撃の目的が以前は名声を得ることだったが、最近は富、市場への反抗に変わりつつあり、「ITの改革」ではVirtualDesktop、タブレット、スマートフォンといった提供形態、利用方法の変化があるとした。そして、「規制強化」では、政府や業種ごとの規制がより厳しくなっている点があるという。

同氏はこれらに対して、「被攻撃面の強化」、「リスク管理と対応力の改善」、「情報資産の予防的保護」の3つの分野のソリューションが重要だとした。

具体的には、「被攻撃面の強化」では、企業アプリケーションとシステムの脆弱性を特定し、それを排除し、低減すること、「リスク管理と対応力の改善」では、情報をインテリジェンスへ転換し、既知、未知の脅威の早期発見を防御を実現すること、「情報資産の予防的保護」では、企業全体にわたり重要なデータを特定し、予防的保護を行うことだという。

そして同氏は、これらに対しては、HPが提供する「HP Arcsight」、「HP Fortyfy」、「HP TippingPoint」が有効だとした。これらの製品は、2009~2010年にHPが買収した企業が提供するソリューション。2009年には米3Comを買収することでTippingPointを、2010年にはArcSightとFortify Softwareを傘下におさめてきた。

HP ArcSightはネットワーク上に存在するネットワーク機器、サーバ、アプリケーション等からリアルタイムでログを収集、分析し、保管・レポート機能を提供するログ管理・監視ソリューション。さまざまなログを集めてそれぞれの相関関係を解決し、脅威とリスクを可視化する。通常は、IPアドレスで管理するが、HP ArcSightではIPアドレスを人にひも付けて管理できる(人によって検索可)。ログは他社製品も含め300機種以上に対応するという。

「HP ArcSight」

「HP Fortyfy」は、アプリケーションのリスクを発見、排除するソリューション。ソースコードを解析して脆弱性、品質に関わる問題点を発見・可視化する。脆弱性発見パターンを使い、ソースコードを検査するため、開発段階からセキュリティの生産性を向上できるほか、Webを擬似攻撃し、脆弱性を発見するツールも持つ。

「HP Fortyfy」

「HP TippingPoint」は、HPが次世代の不正侵入防御製品(IPS)と位置づける製品で、Webアプリケーションの脆弱性のリアルタイムでの識別、修正版の開発完了までのバーチャルパッチの提供などの機能がある。

「HP TippingPoint」

同社では、この3製品を組み合わせ、エンタープライズセキュリティに対する統一アプローチの基礎基盤として提供する。