サイバー攻撃を受けたら被害額は
もし自社がサイバー攻撃を受けたら、どれだけの被害が発生するか想像できますか?2024年6月、ある大手企業がランサムウェア(身代金要求型ウイルス)を含む大規模なサイバー攻撃を受け、約25万人分の個人情報が漏洩したと発表しました。
このサイバー攻撃による影響は、は売上で83億円、営業利益で47億円のマイナスとなったと最終的に決算で明らかにされました。
こうした情報漏えいによる損害賠償や、業務停止による売上減少は、企業の経営を揺るがす重大なリスクです。
もちろん、ここまでの規模には至らなくても、中小企業であっても1件のインシデントで数百万円~数千万円規模の損害が発生する可能性が十分にあります。
本記事では、JNSAの調査レポートをもとに、「中小企業がサイバー攻撃に遭った場合の被害額」「実際に発生するコストの種類」をわかりやすく解説していきます。 ※ 本記事は、追記・修正して2025年7月30日に再度公開しました。
サイバー被害の被害金額の実態とは
「実際どのくらいの被害が出ているのか」を明らかにするために、日本ネットワークセキュリティ協会(JNSA)は2024年にさまざまなサイバーインシデントを対象とした被害金額の調査レポートを公表しました。
その中で、主な被害の平均金額は次のように報告されています:
| 被害種別 | 平均被害金額 |
|---|---|
| ランサムウェア感染被害 | 2,386万円 |
| Emotet感染被害 | 1,030万円 |
| Webサイトからの情報漏えい(カード+個人情報) | 3,843万円 |
この調査結果は、回答数が少なめであること・人件費や逸失利益が含まれていないことなどを踏まえると、
「実際の損失はさらに大きい」と考えられています。
さらに詳細を見てみると、
- ランサムウェア対応に要した平均人月:27.7人月
- Emotet対応:2.9人月
- Web情報漏えい対応:13人月超
では、なぜこれほどの費用がかかるのでしょうか?
次に、インシデント発覚から収束までの「費用が発生する主なタイミング」を整理してみましょう。
サイバー攻撃で費用が発生する主なタイミングとは?
サイバー攻撃によって企業が被害を受けた場合、どの段階で、どのような費用が発生するのかを整理しておくことは非常に重要です。なぜなら、それによって「対策にどこまでコストをかけるべきか」の判断軸が持てるからです。
「事前対策にいくらかけるか」 vs 「被害を受けてからの支出」――そのバランスを考えるうえで、費用発生のタイミングと規模を知っておくことは非常に現実的なヒントになります。
以下では、インシデント発覚から収束までの一般的な流れと、発生するコストの概要を確認していきます。
① 初動対応
インシデントが発覚した際、最初に必要なのは被害の拡大を防ぐための初動対応です。ネットワークの切断やアクセス遮断など、緊急措置が求められます。
同時に、事故の原因や情報漏えいの有無、その被害範囲を調査する必要があります。
この段階では、フォレンジック(デジタル鑑識)調査など、高額な専門調査費用が発生する可能性があります。
② 復旧と報告
次に必要なのは、業務を正常に戻すための復旧対応と関係各所への報告です。社内向けにはデータやシステムの復旧、社外向けには監督官庁、警察、個人情報保護委員会への報告、取引先や顧客への報告・謝罪対応が必要です。
この段階では、データ復旧費用、弁護士への法律相談費用、謝罪広告やDM送付などの広報費用が発生します。
専門家のアドバイス、専門会社へのアウトソーシングも必要となるでしょう。
③ 収束と再発防止
最後に必要なのが、再発防止策の策定と体制整備です。必要に応じてPCやサーバ、セキュリティ機器の入れ替えやシステム再構築、人員配置の見直しなど、長期的なコストが発生する可能性があります。
また、この工程でも社内対応だけで完結するとは限らず、外部ベンダーや専門家の支援が必要になることも少なくありません。
以上が、インシデント発生から収束までに必要な対応の全体像です。
この流れを理解することで、次にご紹介する「具体的な費用項目」と「損害分類」の理解がより深まるはずです。
サイバー攻撃の各種損害の種類
サイバー攻撃を受けた際に発生する損害は、単に「データが消えた」「パソコンが壊れた」といった直接的な被害だけではありません。企業が被る損害は複数のカテゴリーに分かれており、それぞれ異なるコストや対応が求められます。
下記の表は、日本ネットワークセキュリティ協会(JNSA)の最新調査に基づき、インシデント対応時に発生し得る損害を6つに分類したものです。
| No. | 損害の種類 | 内容 |
|---|---|---|
| 1. | 費用損害(事故対応損害) | 被害発生から収束に向けた各種事故対応に関して、アウトソーシング先への支払を含め、自組織で直接費用を負担することにより被る損害(下記2~6に該当しないもの) |
| 2. | 賠償損害 | 情報漏えいなどにより、第三者から損害賠償請求がなされた場合の損害賠償金や弁護士報酬等を負担することにより被る損害 |
| 3. | 利益損害 | ネットワークの停止などにより、事業が中断した場合の利益喪失や、事業中断時における人件費などの固定費支出による損害 |
| 4. | 金銭損害 | ランサムウェア、ビジネスメール詐欺等による直接的な金銭(自組織の資金)の支払いによる損害 |
| 5. | 行政損害 | 個人情報保護法における罰金、GDPRにおいて課される課徴金などの損害 |
| 6. | 無形損害 | 風評被害、ブランドイメージの低下、株価下落など、無形資産等の価値の下落による損害、金銭の換算が困難な損害 |
このうち、最も多くの企業に影響しやすく、かつ初期に対応が必要なのが「1. 費用損害(事故対応損害)」です。
次章では、この費用損害について具体的に見ていきましょう。
サイバー事故の費用損害のコスト例
実は「1. 費用損害」だけでも、数百万円~数千万円、場合によっては億単位の損害が発生する可能性があります。これは、事故対応の初動から再発防止策まで、外部専門家の支援や広報活動、法律対応など多岐にわたるからです。
以下では、費用損害の主な内訳について、JNSAの実例をもとに紹介していきます。
1. 事故原因・被害範囲の調査費用
【コスト】300~400万円・復旧対応を進めるためにも、まずは原因や被害範囲等の調査が必要
・サイバー攻撃等の場合、フォレンジック調査が必要
・フォレンジック調査はプロの専門業者へ依頼が必要
※フォレンジック調査とは、PCやサーバを解析し事故原因や影響・被害範囲の特定などを行う調査です。
※フォレンジック調査費用は、被害にあった台数が増えるほど費用が増えます。一般的な調査費用はPC1台あたり100万円程度、サーバは300万円程度のため、例えばPC10台+サーバ1台がランサムウェアの被害にあった場合、(100万円×10台)+300万円=1300万円になります。
2. 法律相談費用
【コスト】数十万円~・リーガル面(個人情報保護法等)を踏まえた対応が必要
・法律事務所へ依頼するのが通例
3. 広告・宣伝活動費用
【コスト】DM印刷・発送は1通あたり130円~、新聞 全国紙240万円前後、地方紙50万円前後・お詫び文を作成し、ホームページへの掲載、お詫びのDM送付等が必要
・新聞出稿の検討も必要
4.コールセンター費用
【コスト】最大3オペレーター換算で、3ヶ月間で700~1,000万円・問い合わせ対応のため、電話受付体制の整備が必要
・コールセンター事業者への委託が一般的
5. システム復旧費用
【コスト】対応規模によってケースバイケース・システムの消失、改ざん等があった場合、データ復旧等が必要
・データ復旧は主としてバックアップされたデータの復旧
・システム構築したITベンダー等へアウトソーシング依頼が必要
6. 再発防止費用
【コスト】対応規模によってケースバイケース・今後の再発を防ぐため、その防止策の策定・実施が必要
前章で紹介したような高額な被害額は、決して一部の大企業に限った話ではありません。
実際にどの場面でどのようなコストが発生するのかを知ることで、被害の実態を正しく理解し、「では自社はどう備えるべきか」へつなげることができます。
まだまだある、サイバー事故にかかるコスト
ここで紹介したのは、あくまで「1. 費用損害」の一例にすぎません。前章の表にあったように、これ以外にも「営業損害」「賠償損害」「ブランド毀損」など、複数のリスクが連鎖的に発生する可能性があります。
そしてサイバー攻撃により顧客データの情報漏洩が起きてしまったら、顧客から訴訟の可能性があり、法律相談費用・訴訟費用・損害賠償費用等が必要となってきます。
余談ですが中小企業で恐ろしいのは、自社を踏み台として関連会社や親が貴社を狙うサプライチェーン攻撃です。
もし、PC等を乗っ取られてしまい、関連会社へアクセスされてしまったら、莫大な損害となることでしょう。
これらの被害金額の想定は、下記の記事でもご案内していますのでご確認ください。
サイバー保険はいらない?普及しない理由とは|企業の加入率や被害額も
サプライチェーン攻撃は下記をお読みください。
サプライチェーン攻撃とは?中小企業が狙われる理由・実例・対策まで徹底解説
被害想定はその企業の事業によって異なるため、もし自社の被害想定がしきれない場合には、遠慮なく弊社までご相談ください。
サイバー攻撃や情報漏洩を補償するサイバー保険
もし万が一、自社がサイバー攻撃に遭ってしまったら、ご紹介したように費用損害だけで数千万単位、場合によっては億単位の損害が発生する可能性があり、情報漏洩が発生してしまった場合には、刑事上の罰則のみならず、民事上でも法的責任(損害賠償責任)が発生し、賠償請求される可能性があることを、ご理解いただけましたでしょうか。この費用損害・損害賠償を、補償してくれるのが「サイバー保険」なのです。(場合によっては利益損害も補償可能)
でもサイバー保険は高いのでは?とお考えではないでしょうか。
保険料の割引方法
保険会社によっては、セキュリティ対策を行っている企業に保険料の割引を行っている場合があります。 中には最大60%の割引を行う保険会社もありますので、お気軽にご相談ください。サイバー保険の保険会社の選び方は?
サイバー保険は様々な損害保険会社からプランが出ており、どの保険会社のプランに加入してよいかわからないということがあると思います。以下にて選び方について解説します。
関連記事:
中小企業経営者必見|サイバー保険の選び方・補償範囲・費用まで完全ガイド
必ず相見積もりをする
サイバー保険に加入する際の重要なポイントは、自社の状況にあった保険会社のプランを選び、必ず相見積もりをするということです。実際にサイバー事故や情報漏洩が起きた際に、必要な補償が洩れてしまっていた場合は会社の事業存続に関わる可能性もあり得るので、補償の選択は慎重に行っていただきたいところです。
そのために必要なのが、取扱保険会社数と保険代理店の担当者スキルです。
見積は1社だけではなく、各保険会社で相見積もりをすることをおすすめいたします。
経験豊富な代理店と組むことでリスクに備える
次に保険代理店ですが、日本の損害保険は保険会社が直接お客様と接することはほとんどなく、一般的な損害保険の販売は保険代理店にゆだねられています。損害保険の代理店は、自動車保険を得意とする会社、旅行保険をメインとする会社もありますが、サイバー保険を得意とする保険代理店で複数の保険会社の見積もりをすることを強くおすすめいたします。
貴社の事業とリスクを把握できる経験豊富な保険代理店でプランを決めていただくことは、結果的に貴社を守ることになるとお考えください。
当サイトの運営会社ファーストプレイスは、サイバー保険に特化した損害保険の代理店です。
大手5社のサイバー保険を取り扱っており、すべて相見積もりが可能なためお気軽にご相談ください。
迅速かつ丁寧に、過不足のないサイバー保険のご提案をいたします。
まとめ
今回は、日本ネットワークセキュリティ協会(JNSA)の調査をもとに、サイバー攻撃によって発生する具体的な損害額やコスト構造について解説しました。特に中小企業にとっては、1回のサイバーインシデントが数百万〜数千万円単位の損害につながる可能性があり、事業継続に深刻な影響を与えかねません。
サイバー攻撃を完全に防ぐことは困難ですが、被害発生後の損害を最小限に抑える手段として、サイバー保険は非常に有効な選択肢です。
▶ サイバー保険 一括見積はこちら(無料)
当サイトを運営する「ファーストプレイス」では、
大手5社のサイバー保険の保険料を、無料で一括比較・見積りいただけます。
- 東京海上日動火災保険株式会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン株式会社
- あいおいニッセイ同和損害保険株式会社
- AIG損害保険株式会社
ECサイトやWebサービスを提供している企業様は、IT業務を提供する企業様向けの「IT業務用サイバー保険一括見積サイト」もご検討ください。
引用:「サイバー攻撃を受けるとお金がかかる~インシデント損害額調査レポートから考えるサイバー攻撃の被害額~」日本ネットワークセキュリティ協会(JNSA) 調査研究部会 インシデント被害調査WG
