社員3人が1台ずつパソコンを利用

 インターネット上の通販サイトで健康食品を販売するY社では、現在、3人の社員がそれぞれWindows XPパソコンを利用して、サイトの運営や注文の処理などの日常業務をこなしています。
 月商は200万円前後で、通販サイトとしては中堅的な位置付けとなります。通販サイト自体はレンタルサーバーで稼働させていますが、顧客情報や在庫の管理、伝票印刷、売上分析などは、Windows XPパソコンにインストールした通販サイト用の専用ソフトウェアで処理しています。
●Y社で利用しているパソコン

社員のスキルがあれば低コストで移行できる

 Y社の「移行のコスト」を試算してみましょう。3台のパソコンを買い換えますが、通販サイト用の専用ソフトウェアは月額料金を支払って利用する形態で、アップデートに特別な料金はかかりません。また、伝票の印刷用に使っていたプリンターは最新のWindowsに対応できるため、周辺機器の購入も特に必要ないことがわかりました。
 ただし、新しい環境で、通販サイトから在庫や売上などのデータを問題なく取り込めるか検証するために、事前にまる1日ほどの動作検証作業を見込んでいます。
 買い換え後のパソコンで使う最新のWindowsは、各社員が自宅のパソコンで利用していたため、特にトレーニングの必要はないことがわかりました。このため「目に見えないコスト」はあまり大きくなく。パソコンの購入費用に移行時の作業分を加えた22万円前後で済むことがわかりました。
●Y社の「移行のコスト」試算

パソコン3台のマルウェア感染が発覚!

 次は「移行しないコスト」を考えます。小規模な企業や個人事業では、パソコンの入れ換えになかなかコストをかける決断ができません。決断できず、トラブルが発生したときのシナリオを見てみましょう。直接的な被害は小さめながら、顧客への対応が後手に回ることで、大きな損失につながってしまいます。
 ある朝、Windows XPの脆弱性を突くマルウェアによる、大規模な情報漏えいが発生したとのニュースが流れました。検出と駆除用のソフトウェアがあるとのことなので、Y社でも、念のためパソコンを確認してみることにします。
 パソコンの動作はいつもどおりで変わらないうえ、データもすべて無事に保存されているので、被害はなさそうに思えました。しかし、実際に確認してみると、3台のパソコンすべてが感染していることがわかり、とりあえずインターネットから切断しました。

パソコンは復旧したものの、情報漏えいの疑いが

 通販サイトはレンタルサーバー上で稼働しており、直接の影響は避けられました。手作業で業務を続けながら、パソコンのマルウェアを駆除し、少し残業が発生しましたが、すぐに復旧できました。
 しかし、セキュリティソフトメーカーの発表によると、今回のマルウェアは、パソコンのファイルを外部に勝手に送信するとのこと。しばらくの間はなにごともありませんでしたが、ある日、複数の会員から「迷惑メールが多く届くようになった。情報漏えいしているのではないか?」との問い合わせが届きました。ほかの通販サイトでも漏えいが明らかになり、どうやら先のマルウェアによる被害ではないか、という疑いが強まります。

トラブルを公表し、謝罪と対応に追われる

 Y社では、技術力や予算が十分でないため、実際にセキュリティ被害に遭ったかどうかを詳細に調査することができません。しかし、状況を考えると、漏えいはほぼ間違いないことがわかってきました。幸い、Y社ではクレジットカード情報を自社で管理していなかったため、不正利用の被害は避けることができましたが、情報漏えいの噂から通販サイトの売上が徐々に低下し、顧客の退会も目立つようになってきました。
 このままなにも対処しないでいては、顧客の信頼を失うと判断し、Y社では情報漏えいの疑いがあることを公表。同時に、パソコンにメールアドレスが保存されていた約7,000人の顧客に謝罪のメールを、住所まで保存していた約1,500人の顧客には謝罪の手紙と500円分の商品券を送付することにしました。送付費用込みで、80万円を超える経済的損失です。

対策が遅れ、深刻な影響に悩まされることに

 謝罪だけでなく、再発防止策を取らなくてはいけません。急きょ3台すべてのパソコンを最新のWindows搭載機に入れ換えます。運よく、パソコンはすぐに入手でき、業務に利用しているソフトウェアも無料でアップグレードできました。
 しかし、情報漏えいによる社会的損失は深刻です。これまで200万円ほどあった月商は100万円前後にまで低下し、会員数も半減してしまいました。今後は、広告費などを増やしてサイトを立て直すか、現在のブランドを捨て、新たにサイトを作り直すかを検討することになりそうです。
●Y社の「移行しないコスト」試算

小さな会社は情報漏えいで簡単に傾く

 このシナリオのポイントは、情報漏えいを謝罪するときに発生した経済的損失、および信用の失墜による深刻な社会的損失です。通販サイトが停止に陥ることはなく、直接的な損失はありませんでしたが、結果的には信用を失い、多額の費用を伴う謝罪を行なって、事業の継続性も危ぶまれる事態になってしまいました。
 マルウェアは年々巧妙化しており、見た目ですぐにわかるような被害がなくても、ひっそりと情報を漏えいさせることが考えられます。このようなケースでは、対処が遅れて被害が拡大する傾向があり、それによって損失も拡大してしまうことが少なくありません。
 Y社の場合、緊急移行に必要となるコストはあまり大きくならず、不幸中の幸いだと言えます。しかし、情報漏えい被害の発見や、対処の難しさが理解できる例だと言えるでしょう。

[ヒント]被害額の平均は中小企業で約430万円、 大手中堅企業で1億 3,000万円

IPA(独立行政法人情報処理推進機構)が2006年に実施したアンケートによると、マルウェアの影響で社内のITシステムが停止した場合、1社あたりの平均被害額は、中小企業で約430万円、大手・中堅企業で約1 億3,000 万円となりました。被害の復旧コストはそれほど大きくはないものの、システム停止による売上減が報告されています。マルウェアによる被害は、事業の規模、そしてシステムへの依存度の大きさに比例して大きくなる傾向にあります。
▼IPAの調査報告
http://www.ipa.go.jp/security/fy17/reports/virus-survey/

「XPサポート終了」カテゴリーページに戻る。