データ侵害の世界平均コストは過去最高の445万ドルに–日本IBM調査

今回は「データ侵害の世界平均コストは過去最高の445万ドルに–日本IBM調査」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　日本IBMは9月11日、「2023年データ侵害のコストに関する調査レポート」の日本語版を公開した。同レポートは、2022年3月～2023年3月の間に553の組織が経験した実際のデータ侵害の詳細な分析に基づくもので、18年連続で発行されている。

　理事／パートナー コンサルティング事業本部 Cybersecurity Servicesの藏本雄一氏はまず大きな傾向として、「大規模な被害額」「長期間の侵害」「ランサムウェアや破壊的な攻撃の高い割合」が引き続き見られるとした。その上で、データ侵害の被害規模について「1回のデータ侵害による平均被害額は445万ドル」（前年から10万ドル増）、「継続してデータ侵害される平均期間は277日」（前年と同水準）と紹介。さらにデータ侵害後にセキュリティ投資の増額を計画している組織の割合が51％に達し、追加対象としてインシデントレスポンス（IR）が多かったことと、人工知能（AI）と自動化の活用が被害額の削減や回復時間の短縮に有効だと指摘した。

　続いて、コンサルティング事業本部 Cybersecurity Services X-Force インシデント・レスポンス日本責任者の窪田豪史氏が詳細を説明した。

　データ侵害時に発生するコストの世界平均は前述の通り445万ドルだったが、業種別で見た場合の最多は医療業界で1093万ドルと2倍以上の金額だったという。医療業界は13年連続で業種別の1位。医療業界でコストが高くなる理由について、同氏は「もともと規制などが多い業界であり、侵害発覚後に規制対応などを行うためのコストも高くなる傾向がある」ことを指摘した。

　逆にコスト削減要因としては、開発組織における「DevSecOpsの導入」（168万ドルの削減）、「IRチームの立ち上げ／対応計画の定期的なテスト」（149万ドルの削減）、「セキュリティAIと自動化の全面的な導入」（176万ドルの削減、対応日数108日短縮）などで効果が見られたという。

　また、データ侵害に気付いたきっかけが「組織内のセキュリティシステム、セキュリティチーム、または契約のマネージドセキュリティサービスプロバイダーがデータ侵害を検知」したのは33％だが、この場合の対応コストは約100万ドル低く、対応期間は79日短い。侵害後の対応日数が長引くことで対応のための人件費がかさみ、それが全体のコストを押し上げるという構図になっているため、侵害を迅速に検知できて短期間に対応を終えることができればコストも低く抑えられると期待できる。AIや自動化の活用がコスト抑制に効果があるとされるのも、こうした文脈から自然に理解できる。

　こうした分析を踏まえ、窪田氏は推奨事項として「ソフトウェア／ハードウェア開発のあらゆる段階にセキュリティを組み込み、定期的にテストする」「複数のクラウド環境にわたるデータ保護を実施する」「セキュリティAIと自動化を活用し、対応スピードと精度を高める」「IR計画のテストを実施し、攻撃対象領域を把握することで、回復力を強化する」という4点を挙げた。

　なお、調査結果の分析から、200日を基準に対応までの日数を分けると、200日未満の場合は200日以上の場合に比べてコストが平均102万ドル軽減されるため、対応スピードを早めることが重要だという。対応スピードを速めるための施策としては、「AIと自動化」が108日、「インシデント対応計画の立案と定期的なテスト」が54日、「攻撃対象領域管理（Attack Surface Management：ASM）」が33日、それぞれ短縮可能とされているので、これらの施策に取り組むことを優先すべきだろう。