목차
1.일본 중소기업 보안의식 조사
2.요약
Appendix 2024년 주목의 제품・서비스
- 일본 중소기업 보안의식 조사
정보 보안 제품 및 서비스의 도입 상황에 대해 “바이러스 백신 소프트웨어 서비스 도입”이 가장 많으며, 56.1%를 차지했습니다. 그 다음으로는 “방화벽 (22.2%) “이 뒤를 이었습니다.
한편으로 “특별히 도입하고 있는 것은 없다”가 20.5%, “어느 제품・서비스를 도입하고 있는지 모른다”가 16.9%이었으며, 도입하고 있는 않은 기업 또는 도입상황을 경영자・임원이 도입상황을 파악하고 있지 않은 기업이 업계 37.4%를 차지한 것으로 보여졌습니다.
정보 보안 대책의 필요성을 느꼈던 계기에 대해 “대책의 필요성을 느낀 적이 없다”라는 대답이 49.0%로 가장 많았습니다.
2022년도 조사에서는 “대책의 필요성을 느낀 적이 없다”는 응답이 20.9%이었으며, 정보 보안 대책의 필요성에 대한 인식이 크게 악화 된 것으로 보입니다.
정보 보안 피해를 입을 가능성의 인식에 대하여 직원 규모별로 보면, 직원의 규모가 작은 만큼 피해를 입을 가능성의 인식이 낮은 경향이 있습니다.
정보 보안 피해를 당하지 않는다고 느끼는 이유에 대해 들은 바에 의하면, “기업 규모가 작고, 타겟이 되지 않는다고 생각하기 때문에”가 가장 많았으며 58.5%를 차지했습니다. 이어서 “중요 정보를 보유하지 않기 때문에 (28.4%)”가 뒤를 이었습니다.
정보 보안 피해를 한 번이라도 당한 경험이 있는지에 대한 질문에서 “피해를 당한 적이 없다”라는 응답이 가장 많았으며, 87.9%로 나타났습니다.
2021년도 조사에서는 “피해를 당한 적이 없다”는 응답이 84.3%로, 정보 보안 피해의 유무 및 인지에 대한 큰 변화는 확인할 수 없었습니다.
그러나 정보 보안 대책의 실시 상황을 감안하면, 응답 기업에서 사이버 공격을 인식하지 못하고 피해의 인지가 진행되지 않았을 가능성도 부정할 수 없었습니다.
정보 보안 대책을 위한 연간 투자액은 50만엔 미만이 30.9%, 원래 투자하지 않은 기업은 13.0%로 특히 중소기업에서는 투자하지 않았거나 50만엔 미만의 투자한 기업이 약 50%을 차지했습니다.
인시던트 발생시 손해액
일본 네트워크 보안 협회 (JNSA) 조사 보고서에서는, 중소기업에 있어서의 인시던트 발생 시 손해 참고액을 알려주고 있습니다.
・사고 원인 ・피해 범위 조사 비용:300~400만엔
・컨설팅 비용:10~100만엔
・법률 상담 비용:30~100만엔
・광고 및 홍보 활동 비용:1만명에게 DM보내면 약 130만엔, 지방 종이에 신문 광고를 출고 한 경우 약 50만엔
・콜센터 비용:3개월의 대응으로 700~1,000만엔
・위로금・위문품 구입 비용:1만명에게 선불 카드를 보내면 650만엔
・인터넷 논란 방지 비용: 대응 내용에 따라 크게 다르지만 300~900만엔 사례도 있음
・다크웹 조사 비용: 조사 내용에 따라 크게 다르지만 200~300만엔 이상의 사례도 있음
・카드 정보 모니터링 비용:1개월당 100~500만엔
・시스템 복구 비용:대응 규모 등에 따라 크게 다르지만 수백 ~ 수천만엔의 사례도 있음
・재발 방지 비용:대응 규모 등에 따라 크게 다르지만 수백 ~ 수천만엔의 사례도 있음
・초과 인건비:대응규모 등에 따라 크게 다르지만 많은 종업원 등이 대응에 쫓기는 경우가 있음
기타에 위탁처로부터 맡긴 정보가 유출된 경우의 손해 배상금이나 변호사 고용 비용 등의 ‘배상 손해’, 매출 감소 등의 ‘이익 손해’, 랜섬웨어에 의한 몸값 등의 ‘금전 손해’, 개인정보 보호법상의 벌금으로 최대 1억엔이 정해진 ‘행정 손해’, 고객분리나 주가 하락 등 환산 불가능한 손실인 ‘무형 손해’등이 있고, 손해의 합계는 중소기업으로 수천만엔 단위, 경우에 따라서는 수억엔 단위의 손실도 있어, 경영에 큰 영향이 있다고 합니다.
2.요약
이번에는 중소기업 보안의식 조사 결과에 대해 알려 드렸습니다.
약 56%의 기업이 바이러스 백신 소프트웨어 서비스를 도입하고 있지만, 49% 정도의 기업이 필요성을 느끼지 못한 결과인 것으로 확인 할 수 있었습니다.
2021년도에도 비슷한 조사를 실시하고 있지만 결과는 그리 변하지 않았으며, 보안 대책의 필요성에 따라서 의식이 후퇴하고 있음을 알 수 있었습니다.
또한 2024년도가 되어 랜섬웨어 공격이나 부정 액세스, 정보 유출 등이 완화되지 않았으며, 중소기업이라도 인시던트 발생시에는 다액의 손해액이 발생하고 있다는 것을 알았습니다.
일부 중소기업은 “중소기업이기 때문에 괜찮다.“, ”우리는 피해를 입지 않았다.”라고 말하며 피해가 발생할 때까지 대책을 할 필요성이 없다고 생각하지만, 여전히 보안 조치의 중요성을 이해할 수 있도록 보안 제품의 계몽 활동을 실시해야 할 필요성이 있다고 생각합니다.
Appendix 2024년 주목의 제품・서비스
미츠비시 전기, 메일이나 채팅 등의 글을 AI로 감사하여 정보유출 및 부정리스크를 검출
미츠비시 전기는, 기밀 정보 유지 부문이 송수신하는 메일의 감시나, 정보의 반출·누설로 이어질 우려가 있는 커뮤니케이션을 탐지하는 것을 목적으로, FRONTEO의 특화형 AI인 “KIBIT”에 의한 텍스트 해석 · 감사 도구 “KIBIT Eye”를 도입했습니다.
KIBIT Eye는 이메일, 채팅, 텍스트화 된 음성 데이터 등 AI로 분석하고 위험을 추출하고 스코어링합니다. 키워드 검색만으로는 구별이 되지 않는, 인간이 의도하는 미묘한 뉘앙스의 차이를 검지하는 것입니다.
AI로 판정함으로써, 판단 기준의 속인적인 바이어스를 배제하고, 획일적이고 포괄적으로 감사하는 역할을 합니다. 또한, 데이터의 스코어링에 의해 기밀 정보의 누설 위험이 높은 데이터를 우선적으로 추출할 수 있습니다.
NRI 시큐어 테크놀로지스, 금융청 사이버 보안 지침 준수 위험 평가 서비스를 제공
NRI 시큐어 테크놀로지스는 금융 분야의 사이버 보안 지침을 활용한 리스크 평가 서비스의 제공을 개시했습니다.
이 서비스는 금융청이 2024년 10월 4일에 제정 및 공개한 금융청사이버 보안 지침을 바탕으로 금융 기관의 보안 대책 상황을 평가하고 대책의 로드맵 작성 및 실행을 지원하는 서비스입니다.
세부적인 가이드라인 이해와 효율적인 보안 대책을 원하는 금융기관의 요구에 대응하는 서비스입니다.
(서비스의 주요 지원내용)
- 금융청 사이버 보안 지침에 따라 NRI 시큐어 테크놀로지스가 개발한 평가 시트를 이용하여 기업의 사이버 보안 대책을 평가합니다. 개선점을 씻어내어 실시해야 할 대책안을 제시하고 있습니다.
- 필요적절한 조치를 보장하기 위해, 보안조치를 정리하고 우선 순위를 고려한 로드맵을 수립합니다.
- 수립한 로드맵을 따라 운영 프로세스를 고려하면서 사이버 보안 조치의 실행을 지원합니다.