＜ニュースハイライト＞

•サイバー犯罪による世界的な経済損失は合計1兆ドルを超え、2018年と比べ1.5倍に

•調査対象企業の3分の2が、2019年に何らかのサイバーインシデントを報告

•業務を中断した平均時間は世界では18時間、日本は19時間

•インシデント当たりの平均被害額は50万ドル超

•2019年における最長ダウンタイムで被った平均コストは、

世界平均は762,231ドル（約7,980万円*）、日本は1,205,714ドル（約1億2,600万円*）

•知的財産の窃取と金融犯罪がサイバー損失の少なくとも75％を占め、企業にとって最大の脅威に

•企業への損害には、ダウンタイム、風評被害、効率低下も含まれる

•セキュリティインシデントへの対策及び対応をカバーするプランを用意している企業のうち、

それが有効な対策であると回答した割合は、世界平均 32％、日本は17％

デバイスからクラウドまでを保護するサイバーセキュリティ企業である

米国マカフィー（McAfee Corp、本社：米国カリフォルニア州、Nasdaq：MCFE）は、

サイバー犯罪が世界経済に与える損害や水面下の影響について調査した

最新のグローバルレポート「The Hidden Costs of Cybercrime（サイバー犯罪の隠れたコスト）」を

発表しました。

このレポートは、米国の戦略国際問題研究所（CSIS）と共同で作成したもので、

サイバー犯罪が世界経済に1兆ドル（約104.6兆円）以上の経済損失を与えていると結論付けています。

この額は世界のGDPの1％超に相当し、世界的な損害額を約6,000億ドル（約62.7兆円）とした

2018年の調査の1.5倍超となっています。レポートは世界的な損害額に加え、

経済的損失とは別の被害についても調査し、対象企業の92％が金銭的損失では

測れない影響を感じていると回答しました。

マカフィーのシニアバイスプレジデント兼最高技術責任者である

スティーブ・グロブマン（Steve Grobman）は、次のように述べています。

「技術が進化し、新興技術が脅威の被害が及ぶ範囲を広げ、

リモートワークが常識となるにつれて、企業に対するサイバー攻撃の深刻度と頻度は

高まり続けています。企業や政府はサイバー犯罪の経済的または国家安全保障への

影響を認識していますが、計画外のダウンタイム、漏えいの調査費用、

生産性の低下はあまり認識されておりません。しかし、これらは多大な影響を与える損失です。

1兆ドルという世界経済への影響を考慮すると、サイバーリスクの包括的な影響や

サイバーインシデントに対応し、防御する効果的な計画についての理解を深める必要があります。」

＜サイバー犯罪の隠れたコスト＞

知的財産と金融資産の窃取は損害を与えますが、サイバー犯罪の最も見過ごされている

コストのいくつかは、会社のパフォーマンスに対する損傷から生じています。

調査によると、企業の92％が、サイバーインシデントによる経済的損失や

サイバーインシデント後に発生した労働時間の消失以外にもビジネスに悪影響が出ていると

感じていました。レポートはさらに、サイバー犯罪が企業に与えるおそれのある

隠れたコストと永続的な影響および損害について調査しました。

その結果は以下のとおりです。

•システムのダウンタイム － ダウンタイムは、回答した企業の約3分の2が経験しています。

2019年における各企業の最長ダウンタイムで被った平均コストは、762,231ドル、

日本では1,205,714ドル（約1億2,600万円*）でした。回答者の33％が、

システムのダウンタイムにつながるITセキュリティインシデントにより、

100,000ドルから500,000ドルの損失を被ったと述べています。

•効率の低下 － システムのダウンタイムの結果、企業は平均して

9時間/週の労働時間を無駄にし、効率が低下しました。

業務の平均中断時間は18時間、日本は平均19時間でした。

•インシデント レスポンス コスト－ レポートによると、ほとんどの企業が

インシデントの発見から修復に至るまでに平均19時間掛かっていました。

多くのセキュリティインシデントは社内で対応可能ですが、

大規模なインシデントの場合は、高額な費用が発生する外部コンサルトが必要となり、

それがコストの大部分を占めます。

•ブランドと風評被害 － ブランドのイメージを回復したり、

外部コンサルタントと協力して風評被害を軽減したり、

将来のインシデントを予防するために新しい従業員を雇ったりするコストも、

サイバー犯罪のコストの一部です。回答者の26％が、サイバー攻撃が原因で

発生したダウンタイムによってブランドが損なわれたことを認めています。

＜サイバーインシデントへの準備ができていない企業＞

調査と分析の結果、サイバーリスクに関する企業全体の理解の欠如を

本レポートでは指摘しています。企業や機関は高度なソーシャルエンジニアリングに対して

脆弱で、ユーザーがハッキングされると、問題を認識できないうちに拡散されてしまいます。

レポートによると、調査対象企業の56％が、サイバーインシデントの防御、

対応ともに行うプランはないと回答しています。実際に対応策を取っている951企業のうち、

それが有効な対策であると答えたのは32％（日本は17％）だけでした。

＜国別結果に基づく日本に対する見解＞

本調査の国別結果では、日本はダウンタイムが世界平均よりも1時間長く、

関連コストが世界で最も高い（1,205,714ドル）ことが明らかになりました。

これにより、セキュリティインシデントが発生した際の適正な対応策が施されている可能性が

低いことが伺われます。また、所属企業がセキュリティインシデントへの対策及び対応を

カバーするプランを用意しており、それらが有効な対策であるとの回答が17％に

とどまっていることからも、改善の余地があることを示唆しています。

一方で、2019年度中にダウンタイムを引き起こすなどのセキュリティインシデントを

経験しなかった企業が日本では40％と世界平均が26％、米国では18％に留まっていることと

比較すると、日本は犯罪者から攻撃対象とされる機会が世界と比べて比較的低い可能性が

考えられます。但し、世界的なイベント開催を控えていることから、

今後は日本もサイバー犯罪者の格好のターゲットにされることが予想されます。

レポートは、最後に、企業がサイバー犯罪に対処するための重要な方法を紹介しています。

これには、基本的なセキュリティ対策として統合型の実装、企業や政府による透明性の向上、

サイバーセキュリティ要件の標準化と調整、従業員へのサイバーセキュリティに対する

意識向上トレーニングの提供、予防および対応計画の作成が含まれます。

調査の詳細な分析とデータの図解は、

レポート「The Hidden Costs of Cybercrime（サイバー犯罪の隠れたコスト）」（英文）を

ダウンロードしてください。

調査方法：

マカフィーは、独立したテクノロジー市場調査専門企業であるVanson Bourneに、

このレポートの基礎となる調査を依頼しました。

調査は、2020年4月から6月までの間に実施され、1,500人の意思決定者にインタビューしました。

回答者の内訳は、米国（300）、カナダ（200）、英国（200）、フランス（200）、

ドイツ（200）、オーストラリア（200）、日本（200）。回答者は、1,000人以上の

従業員がいる企業で、建設と不動産を除くすべての業界を対象としました。

ただし、政府部門ではITの意思決定者のみをインタビューしています。

インタビューは、厳格な複数レベルのスクリーニングプロセスを通じてオンラインで実施され、

適切な候補者のみが参加できるようにしました。

さらに、CSISは、政府関係者へのインタビューと併せて、損失に関する公表資料の調査、

および、国際通貨基金（IMF）の所得データを基に国民所得水準による調整値の概算を利用し、

サイバー犯罪のコストを決定しました。

* 1米ドル=104.6円換算

■マカフィーについて

マカフィー(Nasdaq: MCFE)はデバイスからクラウドまでを保護するサイバーセキュリティ企業です。

業界、製品、組織、そして個人の垣根を越えて共に力を合わせることで実現する

より安全な世界を目指し、マカフィーは企業、そして個人向けのセキュリティ ソリューションを

提供しています。詳細は https://www.mcafee.com/ja-jp/ をご覧ください。

*McAfee、マカフィー、McAfeeのロゴは、米国およびその他の国における米国法人

McAfee, LLCまたはその関連会社の商標又は登録商標です。

*その他の会社名、製品名やブランドは、該当各社の商標又は登録商標です。