「サイバー攻撃被害に係る公表」に関する国内組織実態調査2023

―上場企業はインシデント検知後1週間以内に初報を公表―

1. はじめに

ビジネスへのサイバー脅威が高まる中、サイバー攻撃被害(以下「インシデント」)時に情報を公表することは、ビジネスへの影響や風評被害を軽減する上で非常に重要です。

今後、国内組織はサイバーインシデントや個人情報漏えいについて「対外公表の迅速化」や「内容の適切化」が一層求められていきます。セキュリティ責任者は風評被害などの影響を最小に留め、事業継続を図るために、平時からインシデント発生時における対外公表の準備をしておく必要があります。そのためには、どのタイミングで、どのような内容を公表すべきか、というインシデント公表事例の収集が不可欠ですが、自社だけでこれらを継続的に調査・分析することはリソースの観点上非常に難しいです。そこでPwCでは、独自に収集するインシデントデータベースをもとに国内組織のインシデント公表事例を分析しました。

本レポートでは、①国内外のインシデント発生時の報告に関する法規制動向、②2021年10月から2022年9月までに確認された主要な国内インシデント公表事例194件の分析結果(追跡調査含む)をもとに、国内の傾向および国内組織への推奨事項をまとめています。

本調査が、皆様が自組織のインシデント公表に係る施策を講じる上で参考になれば幸いです。

2. 「サイバー攻撃被害に係る公表」の7つの傾向

本調査は、2021年10月から2022年9月末までにCISO Cyber Concierge1にて掲載されたインシデントのうち、国内に所在する被害組織がインシデント公表を行った事例194件を調査対象として公表内容やタイミングなどを分析、さらに2022年10月から2023年3月末までの半年間に続報(第2報以降)の有無を追跡調査したものです。これらの調査結果として、以下7つの傾向が明らかになりました(図表1)。

【公表タイミングにおける傾向】

  • 初報の公表曜日は「月曜日」「火曜日」が最も高く2割超、上場企業では「火曜日」が最も多く3割
  • 「インシデント検知から初報までにかかる日数」国内中央値は「11日」

本調査の公表タイミングにおける傾向で特に注目したいのは、「初報の公表曜日」と「インシデント検知から初報までにかかる日数」です。

まず、インシデント初報の公表曜日をみると、「月曜日」および「火曜日」が最も多く全体の2割を超える傾向がみられました(図表2)。休日の公表事例もわずかに存在しますが、これらの公表事例の多くは消費者向けビジネス(B2C)を営む傾向にあり、インシデント検知当日または少なくとも2日以内に公表していました。

次に、「インシデント検知から初報までにかかる日数」をみると、国内中央値は「11日間」で、全体の約半数が1週間以内(1~7日以内)に公表していることが分かりました。さらに、上場有無で分析すると、上場企業のインシデント公表事例では初報までの中央値は「5.5日」、非上場企業のインシデント公表事例の中央値は「14.5日」と、上場会社は非上場企業と比較し中央値が9日も早かったことが分かりました(図表3)。

【公表内容の傾向】

  • 「対応状況」「今後の対応」記載の割合は、比較的少ない傾向

公表内容の傾向において注目したいのは、「対応状況」「今後の対応」記載の割合が比較的少ない傾向にあることです。

インシデント公表事例の記載内容を「攻撃・被害概要」「対応状況」「今後の対応」の3つのカテゴリに分けて分析すると、「攻撃・被害概要」関連項目は多くの事例で記載を確認できましたが、「対応状況」や「今後の対応」の関連項目記載は「攻撃・被害概要」よりも少ない傾向にあることが分かりました(図表4)。また、国内のインシデント公表事例の多くは、今年3月に発行された「サイバー攻撃被害に係る情報の共有・公表ガイダンス2」の記載項目に概ね則した形で記載されていることも分かりました。

その他、詳細情報は下よりレポート(PDF形式)をダウンロードしてください。

3. インシデント公表事例からみる国内組織への推奨事項

今回の調査において、インシデント公表事例における7つの傾向を示しました。この傾向から国内組織が検討すべき推奨事項を以下に記載します(図表5)。
セキュリティ責任者は、自組織におけるインシデント公表方針の見直しにあたってサイバー攻撃被害に係る情報の共有・公表ガイダンスや今回の調査における公表事例からみる推奨事項を参照し、事前に対外公表のひな形を作成して記載内容・公表フローについて広報部門やIR部門など専門部門と合意を得ておくことで、有事の際に組織にとって適切な情報開示に臨むことができるでしょう。

4. 調査概要

調査名

サイバー攻撃被害公表に関する国内組織の実態調査2023

調査対象

【本調査】

2021年10月1日2022年9月30日までにCISO Cyber Conciergeにて掲載されたインシデントのうち、国内組織が当該インシデントの公表を行ったインシデント公表事例194件

【追跡調査】

2022年10月1日~2023年3月31日までに公開された「インシデント公表事例194件」の続報(第2報以降)

調査期間

2021年10月~2023年3月末日

調査方法

机上調査

対象報告書の属性

今回調査対象となった国内インシデント公表事例の属性は以下のとおりです。

「『サイバー攻撃被害に係る公表』に関する国内組織実態調査2023」の全文は以下よりPDFをダウンロードしてご覧ください。

PwC「CISO Cyber Concierge」における「Cyber Incident」では、サイバー脅威インテリジェンスリサーチャーが主要と判断した国内外のインシデントを掲載しています。https://www.pwc.com/jp/ja/services/assurance/governance-risk-management-compliance/digital-trust-service-platform/ciso-cyber-concierge.html

サイバーセキュリティ協議会・サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会「サイバー攻撃被害に係る情報の共有・公表ガイダンス」(2023/3/8), https://www.nisc.go.jp/council/cs/kyogikai/guidancekentoukai.html

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

エレドン ビリゲ

マネージャー, PwCコンサルティング合同会社

Email

愛甲 日路親

マネージャー, PwCコンサルティング合同会社

Email