1. HOME
  2. ブログ
  3. 調査対象の組織における1回のデータ侵害にかかる世界平均コストは過去最高の435万ドルIBM、「2022年データ侵害のコストに関する調査レポート」日本語版を公開

調査対象の組織における1回のデータ侵害にかかる世界平均コストは過去最高の435万ドル
IBM、「2022年データ侵害のコストに関する調査レポート」日本語版を公開

-データ侵害を受けた企業の60%がデータ侵害後に製品価格を値上げ
-重要インフラの大半でゼロトラストの導入が進まず
-人員が不十分な企業では、55万ドルの追加コストが発生

日本IBMは、「2022年データ侵害のコストに関する調査レポート*1」の日本語版エグゼクティブ・サマリーを公開した。調査では、データ侵害にかかるコストがこれまでになく高くなり、より大きな影響を与えていることが明らかになった。調査対象の組織における1回のデータ侵害にかかる世界平均コストは435万ドルとなり、過去最高。データ侵害コストは過去2年間で13%近く増加しており、調査結果では、これらのデータ侵害インシデントが商品やサービスのコスト上昇にもつながっている可能性を示唆している。実際、インフレやサプライチェーンの問題を背景に、世界的にすでに商品コストが上昇している時においても、調査対象組織の60%は、データ侵害を要因として製品またはサービスの価格を引き上げている。

サイバー攻撃の永続性は、データ侵害が企業に与える長期的な影響にも光を当てている。本レポートでは、調査対象組織の83%がこれまでに1回以上のデータ侵害を経験していることが判明している。また、時間の経過とともに生じる別の要因が、これらの組織におけるデータ侵害の後遺症であり、データ侵害コストの約50%がデータ侵害から1年以上経ってから発生していることから、この後遺症は長期にわたって影響を与える。

「2022年データ侵害のコストに関する調査レポート」は、IBMセキュリティーの委託により、米調査会社Ponemon Instituteが調査を実施したもので、2021年3月から2022年3月の間に世界の550の組織が経験した実際のデータ侵害に対する詳細な分析に基づいている。

本レポートの主な調査結果は以下の通り。

・重要インフラにおけるゼロトラスト導入の遅れ:調査対象となった重要インフラ組織の約80%がゼロトラスト戦略を採用しておらず、平均侵害コストは540万ドルに上昇し、ゼロトラスト戦略を採用している組織と比較して117万ドル増加しています。重要インフラ組織の28%が、ランサムウェアまたは破壊的な攻撃によってデータ侵害を受けています。

・身代金の支払いは効果的ではない:調査では、ランサムウェアの被害組織が脅威アクターが要求する身代金を支払った場合、支払わないことを選択した場合と比較して、平均侵害コストはわずか61万ドルしか減少しませんでした(身代金のコストは含まず)。身代金の支払いに高額な費用がかかることを考慮すると、経済的損失はさらに大きくなる可能性があり、単に身代金を支払うだけでは効果的な対策とはならないことが示唆されます。

・クラウドにおけるセキュリティーが未熟:調査対象組織の43%は、クラウド環境全体へのセキュリティー対策の適用が初期段階あるいは未着手であり、クラウド環境全体に成熟したセキュリティー対策を行っている調査対象組織と比較して、データ侵害コストは平均66万ドル以上高い結果となっています。

・セキュリティーにおけるAIと自動化の活用で、数百万ドルのコスト削減を実現:セキュリティーにAIと自動化を完全に導入している調査対象組織は、これらの技術を導入していない調査対象組織と比較して、データ侵害コストは平均305万ドル少なく、この調査において最も大きなコスト削減が観察されました。

IBM Security X-Forceのグローバル責任者であるチャールズ・ヘンダーソン(Charles Henderson)は、次のように述べている。「企業は、セキュリティーの防御から攻撃に転じ、攻撃者を打ち負かす必要があります。今こそ、敵対者の目的達成を阻止し、攻撃の影響を最小化するために動き出す時です。企業が検知と対応への投資ではなく、境界を完璧にしようとすればするほど、データ侵害が生活コストの上昇に拍車をかけることになります。本レポートは、適切な戦略と適切なテクノロジーを組み合わせることで、企業が攻撃を受けた際に大きな違いを生み出すことができることを示しています」。

重要インフラ組織の過信

重要インフラを標的とした攻撃への懸念はこの1年間で世界的に高まっており、政府のサイバーセキュリティー機関の多くが破壊的な攻撃に対する警戒を呼びかけている。実際、調査結果によると、調査対象となった重要インフラ組織のデータ侵害のうち、ランサムウェアと破壊的な攻撃によるものが28%を占めており、脅威アクターが重要インフラ組織に依存するグローバルなサプライチェーンを破壊しようとしていることが浮き彫りになっている。これには、金融サービス、製造、運輸、医療などの企業が含まれる。

一連の注意喚起や、バイデン政権が国家のサイバーセキュリティー強化に向けて、ゼロトラスト・アプローチを採用することの重要性を軸としたサイバーセキュリティー行政命令を出してから1年が経過したにもかかわらず、調査対象の重要インフラ組織のうちゼロトラスト・セキュリティー・モデルを採用しているのはわずか21%であったことが調査から判明している。さらに、重要インフラ組織におけるデータ侵害の17%は、ビジネス・パートナーが最初に侵害されたことが原因であり、過信した環境がもたらすセキュリティー・リスクが浮き彫りになっている。

身代金支払い企業は、見合った対価を得ているわけではない

本レポートによると、脅威アクターが要求する身代金を支払った企業は、支払わないことを選択した企業に比べて、平均侵害コストが61万ドル少なくなった(支払った身代金額は含まず)。しかし、Sophosによると、身代金の平均支払額は81万2,000ドルに達しており、身代金の支払い額まで考慮した場合、総費用は身代金の支払いを選択した企業が高くなる可能性がある。また、修復や復旧作業に割り当てられるはずの資金を、将来的なランサムウェア攻撃に不注意に提供してしまうことにもなり、連邦法違反行為になる可能性がある。

ランサムウェアの阻止に向け、世界的に多大な取り組みを行っているにもかかわらず、ランサムウェアが根強く残っているのは、サイバー犯罪の産業化が原因。IBM Security X-Forceによると、調査対象となった企業のランサムウェア攻撃の期間は、2カ月以上からわずか4日未満となり、過去3年間で94%減少している。このように攻撃のライフサイクルが飛躍的に短くなると、サイバーセキュリティーのインシデント対応担当者は、攻撃を検知して阻止するための時間が非常に短くなるため、より影響の大きい攻撃を引き起こす可能性がある。「身代金要求までの時間」が数時間にまで短縮された今、企業は事前にインシデント対応(IR)のプレイブックを厳格にテストすることが不可欠。しかし、本レポートによると、インシデント対応計画を持つ調査対象組織の37%は、定期的なテストを行っていないことが判明した。

ハイブリッドクラウドの優位性

本レポートでは、調査対象の企業で最も普及しているインフラ(45%)として、ハイブリッドクラウド環境を紹介している。ハイブリッドクラウド・モデルを採用した企業のデータ侵害コストは平均380万ドルであり、パブリッククラウド・モデルのみを採用した企業(平均502万ドル)およびプライベートクラウド・モデルのみを採用した企業(平均424万ドル)と比較して、データ侵害コストは低い結果となった。実際、ハイブリッドクラウドを採用している企業は、調査対象の世界平均277日と比較して、平均15日早くデータ侵害を特定し、封じ込めることができている。

本レポートでは、調査対象となったデータ侵害の45%がクラウド上で発生しており、クラウド・セキュリティーの重要性を強調している。しかし、調査対象組織の43%は、クラウド環境の保護に向けたセキュリティー対策が初期段階または未着手と回答しており、データ侵害コストの上昇が懸念される*2。クラウド環境全体にセキュリティー対策を実施していない調査対象企業は、あらゆる領域に一貫したセキュリティー対策を実施している企業と比べて、データ侵害の特定と阻止に平均108日多く要している。

その他の調査結果は以下の通りです。

最もデータ侵害コストが高い原因はフィッシング:認証情報の漏えいが、データ侵害における最も一般的な原因(19%)。2番目はフィッシング(16%)で、フィッシングによるデータ侵害コストは平均491万ドルとなり、最もコストのかかる原因にもなっている。

ヘルスケアのデータ侵害コストが初めて1,000万ドル超に:12年連続で、ヘルスケア業界で最もコストのかかるデータ侵害インシデントが発生し、ヘルスケア業界のデータ侵害コストは平均約100万ドル増加し、過去最高となる1,010万ドルを記録した。

セキュリティー担当者の不足:調査対象組織の62%が、セキュリティーのニーズを満たすための十分な人員を配置していないと回答し、十分な人員を配置していると回答した組織と比べて、データ侵害コストが平均55万ドル高くなっている。

「2022年データ侵害のコストに関する調査レポート」のエグゼクティブ・サマリーは、こちらからダウンロードが可能だ。


*1: Cost of a Data Breach Report 2022は、IBMセキュリティーの委託により、米調査会社Ponemon Instituteが調査を実施

*2: 平均コストは453万ドル、これに対し、成熟したクラウド・セキュリティーを実践している調査対象企業の平均コストは387万ドル

当報道資料の原文はこちら

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!