IBM、「2023年データ侵害のコストに関する調査レポート」日本語版を公開
データ侵害を受けた企業の半数は、データ侵害のコストの高騰にもかかわらず、セキュリティーへの投資を控える傾向が明らかに
– AI/自動化によりデータ侵害のライフサイクルが108日短縮
– 法執行機関を関与させなかったランサムウェアの被害者にかかった追加コストは47万ドル
– 自社に対するデータ侵害を自ら発見したのはわずか3分の1の組織のみ
日本IBMは、「2023年データ侵害のコストに関する調査レポート(*1) ( https://www.ibm.com/jp-ja/security/data-breach )」の日本語版を公開した。調査では、データ侵害の世界平均コストが2023年には過去最高となる445万ドルになり、過去3年間で15%増加していることが明らかになった。同期間において、検知とエスカレーションにかかるコストが42%ほど増加し、侵害コストでの最も大きな部分を占めており、データ侵害に関する調査がより複雑化していることを示唆している。
本レポートによると、企業はデータ侵害についてのコストや被害の頻度の増加にどのように対処するかについて、意見が分かれている。調査対象組織の95%が、データ侵害を1回以上経験している一方で、データ侵害の被害にあった企業は、セキュリティーへの投資を増やす(51%)よりも、インシデントにかかったコストを消費者側に転嫁する(57%)傾向が強いことが明らかになった。
「2023年データ侵害のコストに関する調査レポート ( https://www.ibm.com/jp-ja/security/data-breach )」は、2022年3月から2023年3月の間に553の組織が経験した実際のデータ侵害の詳細な分析に基づいている。IBMセキュリティーが委託し、分析した本調査は、米調査会社Ponemon Instituteによって実施され、18年連続で発行されている。
本レポートの主な調査結果は以下の通り。
- AIが対応スピードを向上:AIと自動化は、調査対象組織のデータ侵害の特定および被害の封じ込めの迅速化に最も大きな影響を与えている。AIと自動化の両方を広範に使用している組織は、それらのテクノロジーを導入していない組織と比較して、データ侵害のライフサイクルが108日短くなった(それぞれ214日と322日)。
- 沈黙による追加コスト:法執行機関を関与させたランサムウェアの被害者は、関与させないことを選択した被害者と比較すると、侵害の平均コストを47万ドル抑えられている。このようなコスト削減の可能性があるにもかかわらず、ランサムウェア被害者の37%は、ランサムウェア攻撃に法執行機関を関与させていなかった。
- 検知のギャップ:調査対象となったデータ侵害のうち、組織内のセキュリティー・チームはわずか3分の1しか検知しておらず、27%は攻撃者により公表された。攻撃者によって明らかにされたデータ侵害のコストは、調査対象組織が自ら検知した侵害と比較すると、平均で100万ドル近く高くなっている。
IBM Worldwide Security Servicesのゼネラル・マネージャーであるクリス・マッカーディ(Chris McCurdy)は、次のように述べている。「サイバーセキュリティーでは、防御側と攻撃側どちら側にとっても、時間がコストに影響を与えます。本レポートが示すように、早期の発見と適切な対応によって、データ侵害の影響を大幅に軽減することができます。セキュリティー・チームは、攻撃者がどこで攻撃に成功しているかに焦点を当て、彼らが目標を達成する前に攻撃を阻止することに集中する必要があります。これらに対抗するためにも、AIや自動化など、防御側のスピードと効率を加速させる脅威の検知やセキュリティー対策に投資することが必要です」。
時間に関わるコスト
本レポートによると、セキュリティーAIと自動化を完全に導入している調査対象組織と導入していない組織を比較すると、導入している組織の方が侵害ライフサイクルが平均108日短縮しており、インシデントのコストも大幅に削減している。実際に、セキュリティーAIと自動化セキュリティーを広範に導入していた調査対象組織は、これらのテクノロジーを導入していない組織と比較すると、平均180万ドル近くもデータ侵害のコストを削減できており、本レポートで確認された最大のコスト削減となっている。
同時に、攻撃側はランサムウェア攻撃を完了するまでの平均時間を短縮している ( https://securityintelligence.com/posts/analysis-of-ransomware/ )。調査対象組織の40%近くが、セキュリティーAIと自動化を導入していないため、組織には検知や対応のスピードを高められる可能性がある。
ランサムウェアの「割引コード」
一部の調査対象組織は、ランサムウェア攻撃を受けた際に法執行機関が関わることは状況を複雑にするという認識があり、不安を感じている。今年初めて、本レポートにて、この問題について調査を行い、逆の結果を示す証拠が明らかになった。法執行機関を関与させなかった調査対象組織は、関与させた組織と比べると、平均33日長い侵害ライフサイクルを経験していた。また、法執行機関を関与させなかった調査対象のランサムウェアの被害者は、関与させた方よりもデータ侵害のコストが平均47万ドル高くなっている。
法執行機関がランサムウェア被害者と協力する努力を続けているにも関わらず、回答者の37%は機関に相談しないことを選択している。さらに、調査対象のランサムウェア被害者の約半数(47%)が身代金を支払っていることが報告されている。組織がランサムウェアに関連する誤解を捨てるべきであることは明らか。身代金を支払い、法執行機関の関与を避けることは、インシデントのコストを上げ、対応を遅らせる可能性がある。
セキュリティー・チームが自ら侵害を発見することはほとんどない
脅威の検知と対応には、一定の進展が見られている。IBM Security X-Force脅威インテリジェンス・インデックス2023 ( https://www.ibm.com/jp-ja/reports/threat-intelligence )によると、昨年、防御側はランサムウェア攻撃をより高い割合で防止することができている。しかし、攻撃者は防御側の隙をついて攻撃している。本レポートによると、調査対象となったデータ侵害のうち、3分の1のみが組織内のセキュリティー・チームやツールによって検知され、その他27%が攻撃者、40%は法執行機関など第三者が公表したことが明らかになった。
侵害を自社で発見した組織は、攻撃者に侵害を公表された組織よりも侵害コストが約100万ドル少なくなっている(それぞれ523万ドルと430万ドル)。また、攻撃者により公表されたデータ侵害は、組織内で発見されたデータ侵害と比較すると、ライフサイクルが80日近く長くなっている(それぞれ320日と241日)。早期発見はコストや時間を大幅に節約できるため、このような対策は長期的に考えると有効だと言える。
その他の調査結果は以下の通り。
- 複数の環境にまたがるデータ侵害:調査対象となったデータ侵害の約40%がパブリッククラウド、プライベートクラウド、オンプレミスを含む複数の環境にまたがってデータを消失しており、攻撃者は検知を避けながら複数の環境を侵害できたことが示されている。複数の環境に影響を及ぼしたデータ侵害は、コストの増加(平均475万ドル)につながっている。
- ヘルスケアの侵害のコストが増加し続ける:2023年のヘルスケア業界におけるデータ侵害の平均コストは約1,100万ドルに達し、2020年と比較して53%もの被害の増加となっている。IBM Security X-Force脅威インテリジェンス・インデックス2023 ( https://www.ibm.com/jp-ja/reports/threat-intelligence )によると、サイバー犯罪者は盗んだデータに被害者が直接アクセスできるようにし始めている。医療記録をもとに、脅威者は侵害を受けた組織にプレッシャーをかけ、身代金を要求している。実際、調査対象のすべての業界において、顧客の個人特定情報は最も広く侵害があり、最も高額な被害でもある。
- DevSecOpsの利点:すべての業界で、高度なDevSecOpsを導入している調査対象組織を、DevSecOpsをほとんどまたは全く導入していない組織と比較すると、世界的なデータ侵害の平均コストが170万ドル近く低いことがわかった。
- 重要なインフラストラクチャーの侵害コストが500万ドルを突破:調査対象となっている重要インフラ組織は、昨年と比較して侵害の平均コストが4.5%急増し、482万ドルから504万ドルに増加している。これは、世界的な平均より59万ドル高くなっている。
「2023年データ侵害のコストに関する調査レポート」の日本語版は、こちら ( https://www.ibm.com/jp-ja/reports/data-breach )から。
出典:詳細 PRTimes IBM、「2023年データ侵害のコストに関する調査レポート」日本語版を公開 – データ侵害を受けた企業の半数は、データ侵害のコストの高騰にもかかわらず、セキュリティーへの投資を控える傾向が明らかに
