セキュリティ専門組織のSANSでは、米医療保険会社WellPointの事件について、170万ドルの罰金は非常に大金のように感じられるものの、情報を漏えいされた60万人への対応費用は、2,000万ドル（約19億円）以上になるであろう、と評しています。その上で、本事件はわずかなセキュリティ対策で防止できたものではないと思われるものの、未然に防ぐための対策コストは、事故が発生した場合の被害総額の20％にも満たないのではないか、と締めています。

　そこで今回は、情報漏えい事件を起こさないために、未然防止に取り組むことによる利点と、具体的な取り組み方法について、ご紹介します。

セキュリティの未然防止に取り組むことはお得なのか？

　システム開発時に作りこまれてしまった脆弱性を、運用開始後に発見・修正することは、非常に大きなコストがかかってしまうとされています。IBMのKevin Soo Hooらによると、上流工程である設計段階に、セキュリティのことを意識した対策を行っていた場合に比べ、運用後にセキュリティ対策を実施しなければならなくなった場合には、60倍から100倍ものコストがかかると報告されています（図1）。


　実際に、筆者がセキュリティコンサルタントとして、さまざまな業界のシステムに対するセキュリティ診断と、その対策コンサルテーションを行っている経験からも、このセキュリティ対策コストの割合は現実的であると感じます。

　前節に挙げた事件のように、実際に情報漏えいの事件が発生してしまった場合、原因となった問題の修正コストが必要になることに加え、事件への対策のための弁護費用やセキュリティ専門家などのコスト、ユーザーへの補償がかかります。企業の信用失墜による機会損失なども含めた間接的な被害も考えると、さらに莫大なコストがかかります。

　国外の大きな事件を目にしてしまうと、自身とは関係のないできごとのように思えてしまいますが、実際に国内でもこのように数多くの情報漏えい事件が起きています。

　NPO日本ネットワーク・セキュリティ協会(JNSA)の調査によると、2012年上半期における国内の情報漏えい事故による一件当たりの平均漏えい人数は1349名であり、一件当たりの平均損害賠償額は3,787万円で、一人当たりの平均損害賠償額は5万7,710円とのことです（表1）。

表1：2012年上半期 個人情報漏えいインシデント 概要データ
漏えい人数	123万9626人
インシデント件数	954件
想定損害賠償総額	347億9,865万円
一件当たりの平均漏えい人数	1349人
一件当たり平均損害賠償額	3,787万円
一人当たり平均損害賠償額	5万7,710円
（出典：2012年 情報セキュリティインシデントに関する調査報告書【上半期 速報版】、2013年04月30日 ）

　実際にこうした情報漏えいインシデントを起こす前に、システム開発のより上流工程からセキュリティ対策を行うことで、前述のようにコスト対効果を高めることが可能です。

　情報漏えいのリスクを排除するため、私たちはどのような未然防止対策をしていくことが可能なのでしょうか。次ページに具体的な取り組み方法をご紹介します。

【次ページ】情報漏えい事件を未然に防止するために