TOPセキュリティ > サイバー攻撃にかかるコストは(上)

セキュリティ

サイバー攻撃にかかるコストは(上)

2019/12/02

Dan Swinhoe CSO

 ネットワークや社内資産をサイバー攻撃の脅威から守るために、企業各社は多額の費用を投じている。ロシアKaspersky Labのレポートによると、大企業のセキュリティ予算は年間で900万ドルほどに上る。加えて、データ流出の被害にあったら、100万ドル単位のコストが追加で必要となる場合もある。一方、サイバー攻撃を仕掛ける側はどうかというと、比較的簡単に使える出来合いのツールやサービスが低価格で出回っており、参入障壁は驚くほど低い。

攻撃は防御より安上がり

Credit: Alexis / Insspirito / Garik Barseghyan

 攻撃側と防御側の損得勘定で見ると、防御側はかなり分が悪い。攻撃側は、手に入れたデータを二束三文で売っても構わないが、被害を受けた企業や、流出データを不正に使用された当事者には、それをはるかに上回るコストがかかる。

 英Top10VPNの「Dark Web Market Price Index」によると、Amazon、Uber、Spotify、Gmail、PayPal、Twitter、GrubHub、match.comなど、米国の主要サイトのアカウント情報をダークウェブで一通り購入するとしたら、ユーザー1人の各種アカウント情報を合計1000ドル程度で手に入れることができる。サービスの種類別で見ると、オンラインショッピングのアカウントや、PayPalのようなファイナンス関連のアカウントを除けば、どれもレコード1件あたり100ドル未満である。

 また、米Armor Defenseがまとめた「Black Market Report」によると、PII(個人を識別可能な情報)であっても、レコード1件あたり200ドル足らずで手に入る。VisaやMasterCardのクレジットカード情報は、1件あたり10ドル程度だ。残高が1万5000ドル程度までの口座のオンラインアカウント情報も、わずか1000ドルである。また、古いログイン情報となると、無料で公開されているケースも少なくない。これと好対照なのが、データ流出を起こした企業にのしかかる多額のコストだ。米IBMのレポート「Cost of a Data Breach」によれば、レコード1件あたり平均233ドルの費用がかかる。規制が厳しい業界となると、さらに大きく跳ね上がる場合もある。

↑ページ先頭へ