【事例で解説】億単位の損失も?中小企業が実際に受けたサイバー攻撃と知っておくべき対策法 | 経営ノウハウ&トレンド | 弥報Online

経営者のための
「いちばん身近なビジネス情報メディア」

  • 経営ノウハウ&トレンド

【事例で解説】億単位の損失も?中小企業が実際に受けたサイバー攻撃と知っておくべき対策法

2024.08.27

著者:弥報編集部

監修者:東京海上日動

「うちは中小企業だから、サイバー攻撃は関係ない」と思っていませんか?実は近年、企業規模を問わずサイバー攻撃の発生件数は増え続けています。また、中小企業を介して大手企業がサイバー攻撃を受けるケースも発生しています。

では、取り返しのつかないことになる前に、どのような対策を取ればよいのでしょうか。弥生では、製品をご利用中のお客さまに「サイバー保険」や、セキュリティソリューションである「キーパーセキュリティ」の優待販売をご用意しています。顧客データの情報漏えい、ウイルス感染時のデータ復旧費用などを幅広くカバーし、万が一のリスクに備える対策の一つとしておすすめです。

今回は中小企業が受けたサイバー攻撃の事例や対策方法、さらに「サイバー保険」の詳細やメリットなどについて、東京海上日動火災保険株式会社の栗山直也さん、信岡有紀さんにお話を伺いました。


弥報Onlineでは他にも「セキュリティ」をテーマにした記事を発信しています。
セキュリティの記事を読む

個人情報漏えい・紛失事故が過去最多!中小企業も他人事ではない

サイバー事故の発生件数はどのように推移していますか?

信岡さん(以下、敬称略):東京商工リサーチの調査によると「個人情報漏えい・紛失事故」の発生件数は近年急速に増え、上場企業だけを見ても2023年のサイバー事故発生件数は過去最多を更新しています。この集計結果は、各企業が自主的に公表したものだけですが、漏えい・紛失した可能性のある個人情報は、調査を開始した2012年からの累計で1億6千万人分を超えています。膨大な数ですね。

中小企業についても、サイバー攻撃のリスクはあるのでしょうか?

栗山さん(以下、敬称略):「事業規模も小さいし、被害に遭う可能性は低いからサイバー攻撃の被害にはあわないだろう」と考えている中小企業ほど危険です。

サイバー攻撃では、まず脆弱な中小企業のセキュリティを突破し、メールなどを経由して大企業のシステム内部に侵入するような「踏み台攻撃」も発生しています。「自社には狙われるようなデータはない」と安易に考えず、中小企業であってもセキュリティ対策を行うことが求められています。

具体的にはどのようなサイバー事故が起こっているのでしょうか?

信岡:実際に起こったサイバー事故としては、パソコンがウイルスに感染し、サーバー上のファイルが暗号化されて、身代金を要求された例などがあります。また、自社ECサイトに不正アクセスがあり、調べてみたところ、第三者がクレジットの不正利用を試みていた痕跡が見つかった例などもあげられますね。

(出典)
中小企業の情報セキュリティ対策ガイドライン第3.1版|独立行政法人情報処理推進機構

これらのケースの被害総額は公表されていません。しかし、実際に同じようなインシデント(システムの障害や不具合のこと)が発生したと想定して計算すると、被害総額は数百万円から数億円単位となることが予測されます。

サイバー攻撃や人的ミス……サイバー事故や情報漏えいの原因を知ろう

サイバー事故に関して、具体的にはどのような原因があるのでしょうか?

信岡:サイバー事故の原因としては、ウイルス感染・不正アクセスなどの外的要因が最も多く、その次に内的要因である人的ミスによる情報漏えいがあげられます。

サイバー攻撃に関しては、ターゲットを特定せずに迷惑メールやコンピュータウイルスなどを無差別に送りつけるものが代表的ですが、組織や個人にターゲットを絞る「標的型攻撃」と呼ばれるものもあります。

特に中小企業で起こる可能性が高いのは、スパイウェアやワームをパソコンに侵入・感染させ、破壊活動や情報漏えいをさせる「マルウェア」による被害です。マルウェアの1種として、「トロイの木馬」などの名前を耳にしたことがある方もいるかもしれません。

マルウェアに感染してしまうと、勝手にメールが送信されたり、意図しない送⾦が発生したり、閲覧の権限を変えられてしまったりといった被害が発生します。不審なメールに添付されていたファイルや、URLリンクをクリックするだけで感染してしまうので注意が必要です。

先ほど言われていた「踏み台攻撃」もマルウェアなのでしょうか?

栗山:はい、その通りです。中小企業のパソコンやサーバーなどをマルウェアに感染させて乗っ取り、ターゲットとなる大企業にサイバー攻撃や迷惑メールを仕掛けるケースがあります。結果的に、知らぬ間にさまざまなサイバー攻撃に加担してしまうことになるので怖いですよね。「踏み台」にされた中小企業自身が攻撃者だと疑われる懸念があることに加えて、セキュリティの脆弱性に対策を講じなかった責任を問われることもあり得ますし、社会的な信用失墜にもつながりかねません。

もう1つの原因である「人的ミス」に関しては、具体的にどのようなケースが多いのか教えてください。

栗山:中小企業でよく起こる人的ミスは、メールの誤送信やパソコンの紛失などです。こちらに関しても、セキュリティ意識の低さなどから起こってしまうケースが見受けられますね。ヒューマンエラーをどのように抑制するかという観点も、セキュリティ対策には必要でしょう。

被害総額は億単位?セキュリティ対策は経営者の意識改革から

例えばサイバー攻撃を受け、情報漏えいや取引先への被害が発生してしまった場合、会社が受ける被害や損害はどのようなものが想定されるのでしょうか?

信岡:大きく分けると、初動から終息、再発防止策までに発生する「費用損害」、弁護士費用や賠償金などの「賠償損害」、利益損失などの「利益損害」、身代金支払いや誤送金などの「金銭損害」、法令違反等による罰金・制裁金などの「行政損害」、ブランドイメージの毀損などの「無形損害」の6つの損害が想定されます。なかでも費用損害と賠償損害に関しては巨額になる事例も多く、企業規模に問わず被害総額が跳ね上がることもありますね。

そんなに損害の種類があるのですね。実際に考えられる額はどれくらいになりますか?

信岡:こちらは実際の被害額ではなく、あくまで想定となりますが、例えば従業員5名の製造業で従業員がメールに添付されていたファイルを開いてしまい、パソコンがウイルスに感染したとしましょう。社内経由で生産ラインのパソコンも感染すると、生産停止となり営業機会の損失につながります。比較的軽微な感染だとしても、パソコン・サーバーのフォレンジック調査(原因の分析や被害範囲を調査する作業)などの費用損害は約400万円、弁護士相談費用は約150万円、営業停止に伴う利益損害は約300万円、合計約850万円の被害総額と想定されるでしょう。

また小売業の場合、自社ECサイトのクレジットカード入力フォームが改ざんされており、2,000万件を超えるクレジットカードの不正利用が発生し、被害者は10,000人にのぼったとします。想定される被害額は、フォレンジック調査費用・コールセンター費用・お詫びや見舞対応費用などの費用損害が約3,000万円、ECサイト停止期間の売上損失額が約3,000万円、クレジットカード会社からの損害賠償請求額が約3,600万円となるでしょう。合計被害総額は約1億円に上ることとなり、経営にも大きな影響を及ぼしかねません。

栗山:被害総額はケースバイケースです。この手のサイバー攻撃は、言うまでもなくハッカーなどの攻撃者が悪いわけですが、攻撃された側が「ウイルス対策ソフトを入れていない、または有効期限が切れている」などの事実が発覚すると、企業としてのセキュリティ責任を果たしていなかったとして、賠償責任に問われる可能性も高くなってしまいます。

(出典)
インシデント損害額調査レポート 第2版|特定非営利活動法人日本ネットワークセキュリティ協会

どのようにしてセキュリティ対策を行えばよいのでしょうか?

信岡:まずは経営者が、サイバー事故が発生すると巨額な損失を被りかねないことを知り、セキュリティ意識を高め、会社として情報セキュリティ対応方針を定め、その方針を従業員に周知徹底することが重要です。

栗山:自社だけでなく、ビジネスパートナーなどのサプライチェーン全体に対して、サイバーセキュリティ対策の目配りも必要です。また、インシデント発生時も円滑かつ適切なコミュニケーションがとれるように、社内外の関係者との協力体制も整えておくとよいと思います。

信岡:IPA(独立行政法人情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」では、中小企業が情報セキュリティを確保するための、経営者の役割について説明されており、7項目の取組が紹介されています。外部の情報セキュリティサービスを活用することも推奨されています。また、サイバー保険への加入も対策の一つとなります。大切なのは、後回しにせずにできることから始める姿勢です。ぜひ参考にしてみてください。

(出典)
中小企業の情報セキュリティ対策ガイドライン第3.1版|独立行政法人情報処理推進機構

実際に、中小企業のセキュリティ対策は進んでいるのでしょうか?

信岡:2023年に一般社団法人 日本損害保険協会が実施した「中小企業におけるリスク意識・対策実態調査」では、サイバー保険の加入率や認知率はともに過去3年間で増加傾向が見られたそうです。サイバー保険加入のきっかけは「年々リスクが複雑化していると思うから」という理由が多いようでした。

栗山:確かに少しずつサイバーリスクに対する意識は高まっています。しかし実際には、リソースの少ない中小企業が大企業と同じようなセキュリティを備えることは難しく、万が一のインシデント発生時にも、それに対応するノウハウを有していないことが多いのも事実です。

一方で経済産業省は、企業のセキュリティ対策レベルを5段階で格付けする制度を2025年度にも始める政策案を、2024年4月に公表しました。格付けによって、取引先企業のセキュリティ対策レベルを確認できるといった効果も期待されています。この政策案が実現すれば、サイバーリスクに対する社会的な意識レベルの底上げにもつながるのではないかと考えています。

(参考)
中小企業におけるリスク意識・対策実態調査2023|一般社団法人 日本損害保険協会
新たなサイバーセキュリティ政策の方向性|経済産業省

弥生の「サイバー保険」で、もしものときの備えを!

弥生のお客さま向け「サイバー保険有料プラン」とはどのようなものでしょうか?

栗山:「サイバー保険」(正式名称「サイバーリスク保険」)制度は、弥生の「あんしん保守サポート」または「弥生オンライン※」をご契約中のお客さまで、ベーシック/トータルプラン加入者と弥生PAP会員が任意で加入できる団体保険制度です。中小企業・個人事業主さまのサイバー事故に対する不安や負担を軽減し、安心して本業に集中できる環境を提供したいとの思いから、弥生のお客さま向けに立ち上げました。サイバー事故を起こした際の賠償金が、最大5億円まで補償されることに加え、ウイルス感染時の原因調査費用なども補償対象となります。

※「やよいの白色申告 オンライン」「やよいの青色申告 オンライン」「弥生会計 オンライン」のベーシック/トータルプラン加入者に限ります。

〈サイバーリスク保険の補償概要〉

信岡:サイバー事故の被害を最小限に留めるためには適切な初動対応が肝要ですので、これらの初動対応費用が保険で補償されることは、重要なポイントと考えています。

企業がサイバー攻撃を受けた際の一般的な対応フローに基づき、補償内容を見てみましょう。サイバー事故発生から収束までの間、外部調査依頼費用や復旧費用、再発防止費用なども補償されます。

〈サイバーセキュリティ事故対応費用に関する補償〉

栗山:また、お忙しい中小企業の経営者の皆さまのことを考慮し、手続きはオンラインで完結するようにしました。煩わしい資料の提出や確認作業なども発生せず、業種や売上高をご申告いただくことでお申し込みいただけます。

サポートサービスも充実。日ごろからセキュリティ意識を高めよう

実際にサイバー事故が起こっているのか、自身で判断しきれないときはどうすればよいのでしょうか?

信岡:サイバー保険有料プランには、万が一の際の補償以外にも、日ごろから加入者の皆さまをサポートする「サイバーリスク総合支援サービス」が無料でセットされます。その中には、さまざまなサイバーリスクに関するトラブルやインシデントについて相談できる専用ダイヤル「緊急時ホットラインサービス」も含まれています。

24時間365日、サイバー事故に詳しい担当者が対応しますので、ささいなことでもぜひ電話で相談してみてください。実際にサイバー保険にご加入いただいた弥生ユーザーの皆さまからは、相談窓口が明確になり、安心して事業に専念できるようになったというお声も頂いています。

栗山:意外と多いのが、パソコンの動作がおかしいという相談で「パソコンの不具合なのか、ウイルスに感染しているのかわからない」といったケースです。繰り返しにはなりますが、サイバー事故は初動が大変重要です。「多分大丈夫だろう」と、放置してしまうと被害がどんどん広がってしまいます。そうなる前に、何かおかしいと気付いた時点で「緊急時ホットラインサービス」に相談していただければと思います。

ささいな違和感に気付けるよう、セキュリティ意識を高く持っておく必要がありますね。

栗山:その通りです。そもそもサイバー事故を発生させないことが大切ですよね。私たちはもしものときだけでなく、日ごろからユーザーに寄り添い、セキュリティ意識の向上に貢献したいと考えています。そのための取り組みとして、さまざまなサイバーリスクに特化した情報コンテンツサイト「Tokio Cyber Port」を運営しています。サイバーリスクの最新動向の発信や、従業員教育のためのツールなどを提供していますので、ぜひ活用いただければと思います。

(※本文ここまで)

サイバー保険(有料プラン)のご案内

中小企業・個人事業主がサイバー事故の脅威に備えるための保険です。顧客データの情報漏えいからウイルス感染時のデータ復旧費用まで、幅広くカバーします。
サイバー保険 Webページ

※「サイバー保険」の正式な商品名は「サイバーリスク保険」です。

【取扱代理店】キューアンドエー株式会社

■主な補償内容

  • 損害賠償費用、争訟費用(最大5億円まで)
  • サイバー攻撃対応費用、原因・被害範囲調査費用、弁護士相談費用、再発防止費用 など(5千万円まで)
  • 緊急時ホットラインサービス
  • ベンチマークレポートサービス

※5億円プランの場合。ご加入のプランによって補償内容は異なります

■対象ユーザー

  • あんしん保守サポート加入者
  • 「やよいの白色申告 オンライン」「やよいの青色申告 オンライン」「弥生会計 オンライン」のベーシック/トータルプラン加入者
  • 弥生PAP会員

■保険料

月々の保険料 5,412円~

※1億円プラン、製造業で年間売上500万円以下の場合。実際の支払いは年払いとなります。

「キーパーセキュリティ」のご案内

弥生では、中小企業のサイバー対策をサポートするためセキュリティソリューション「キーパーセキュリティ」も優待販売しています。弥生がパートナーシップ契約を結ぶKeeper Security APAC株式会社が提供するパスワード管理ソフト「Keeper for Business」と、ダークウェブモニタリングツール「BreachWatch®」が最大42%オフでご利用いただけます。詳細につきましては下記よりご確認ください。
Keeperパスワード管理ソリューション Webサイト


弥報Onlineでは他にも「セキュリティ」をテーマにした記事を発信しています。
セキュリティの記事を読む

この記事の著者

弥報編集部

弥生ユーザーを応援する「いちばん身近なビジネス情報メディア」

この記事の監修者

東京海上日動

東京海上日動は、1879年の創業以来、「お客様と社会の“いつも”を支え、“いざ”をお守りする」というパーパスのもと、保険を通じてお客様に安心と安全をお届けしてきました。今後も、多様化するニーズに応えるために、従来の保険領域に留まらず、保険以外の新たなソリューションも提供していくことで、お役に立てる領域を広げ、「いついかなるときも、いちばんそばに。」いる存在となり、持続的な成長を目指してまいります。

「弥生会計 オンライン」ご利用ガイド

「弥生会計 オンライン」をお使いのお客さま向けのご案内です。基本的な操作方法から、便利な応用機能、知っておくと役立つ情報まで、ご導入いただいてすぐの方にぴったりな情報を一つにまとめています。ぜひ一度ご覧ください。

「やよいの青色申告 オンライン」でおトクに確定申告!

現在「やよいの白色申告 オンライン」をお使いのお客さまは「やよいの青色申告 オンライン」に無償でアップグレードいただけます。節税効果はもちろん、インボイス制度にもしっかり対応!白色申告の作業とほとんど手間が変わらずに青色申告をすることができます。初年度は無償でご利用いただけます!

資金調達ナビ

新しいチャレンジや安定した経営を続けていくために、資金調達は欠かせません。

「資金調達手段を探す」「資金調達を学ぶ」「創業計画をつくる」「専門家に相談」の4つのサービス・コンテンツで資金調達を成功に導く情報サイトです。

弥報Onlineでは「読者の声」を募集しています!

弥報Online編集部では、皆さまにより役立つ情報をお届けしたいという想いから「読者の声」を募集しております。

「こんな記事が読みたい!」「もっと役立つ情報がほしい!」など、ご意見・ご感想をお聞かせください。

皆さまからのご意見・ご感想は今後、弥報Onlineの改善や記事作りの参考にさせていただきますので、ご協力をよろしくお願いいたします。

■「弥報Online」読者アンケート ページ

弥生のYouTubeで会計や経営、起業が学べる!

弥生の公式YouTubeチャンネルでは、スモールビジネスに携わる方たちに役立つコンテンツを配信中です。

■弥生【公式】ch チャンネル登録はこちら

■個人事業主ch チャンネル登録はこちら

【無料】お役立ち資料がダウンロードできます

弥生では、スモールビジネス事業者の皆さまに役立つ資料を各種ご用意しております。

経理や確定申告、給与、請求業務の基礎が学べる資料や、インボイス制度や電子帳簿保存法など法令対応集、ビジネスを成功させる起業マニュアル、弥生製品がよくわかる資料など、お役立ち資料が無料でダウンロードいただけます。ぜひご活用ください!

弥報Onlineからのお知らせ

TOPへ戻る