ニュース

データ侵害による平均被害額が過去最高を更新、日本は6億円に~IBM調査

  • 藤本 京子

2023年9月12日 06:15

 日本アイ・ビー・エム株式会社(以下、日本IBM)は11日、グローバルで実施した「2023年データ侵害のコストに関する調査」について説明会を開催した。調査によると、データ侵害が発生した場合の平均的な被害額は過去最高の445万ドルとなり、過去3年間で15%増加していることがわかった。日本での被害額も同様に過去最高を更新し、6億円に達したという。

データ侵害による被害

 同調査は、2022年3月から2023年3月にかけ、16の国と地域で553の組織が経験した実際のデータ侵害を分析したもの。調査は18年間継続して実施している。

 データ侵害時の被害額が過去最高となる中、「侵害後には51%の組織がセキュリティ投資の増額を計画している」と、日本IBM IBMコンサルティング事業本部 Cybersecurity Services X-Force インシデント・レスポンス日本責任者の窪田豪史氏は語る。投資を増額した対象としては、インシデント対応計画の策定とテスト(50%)、従業員教育(46%)、脅威検知・対応システムの導入(38%)などが上位を占めているという。

日本IBM IBMコンサルティング事業本部 Cybersecurity Services X-Force インシデント・レスポンス日本責任者 窪田豪史氏

 調査結果の中でも特に重要なのは、組織内のセキュリティシステムやセキュリティチーム、マネージドセキュリティサービスプロバイダー(MSSP)が侵害を検知した場合は、封じ込めまでの期間と被害額が少ない傾向にあることだ。具体的には、自組織にて侵害を検知したケースでは、攻撃者による公表で発覚した場合と比較して平均対応コストが約100万ドル低かったという。また、検知から封じ込めまでの期間も、自組織で検知した場合は攻撃者による公表で発覚した場合と比較して79日短いことがわかった。

 ただし、組織内のシステムやチームなどによってデータ侵害を検知した割合は33%にとどまっており、40%は法執行機関など第三者が通報したことで発覚し、27%は攻撃者による公表で発覚している。攻撃者による公表の典型例は、ランサムウェア感染におけるリークサイトでの公表だ。

 対応コストの平均値は、組織内で検知した場合が430万ドル、第三者による通報の場合が468万ドル、攻撃者による公表の場合が523万ドル。データ侵害の期間は、組織内で検知した場合が241日、第三者による通報の場合が273日、攻撃者による公表の場合が320日となっている。

データ侵害の検知理由別 平均総コスト
データ侵害の検知理由別 データ侵害のライフサイクル

 データ侵害の検知と封じ込めに要する日数が長期間にわたることはデータから明らかだが、「封じ込めまでの日数が200日未満の場合、それ以上の場合と比較して対応コストが102万ドル低いことから、対応スピードを迅速化することも被害額を抑えることにつながる」と窪田氏は指摘する。

対応スピードが求められる

 対応スピードを迅速化するための施策について窪田氏は、セキュリティAIと自動化、インシデント対応計画などを挙げる。事実、セキュリティAIと自動化を広範に使用している組織では、全く使用していない組織より108日間早く、176万ドル低いコストで対応できており、インシデント対応計画を作成し定期的にテストしている組織では、未実施の組織より54日間早く、149万ドル低いコストで対応できているという。また、攻撃対象領域管理(Attack Surface Management)を利用する組織では、未使用の組織よりも83日早く対応できているとした。

 ただし、セキュリティAIと自動化ツールを広範囲に使用している組織は28%にとどまっており、「39%の組織は全く使用しておらず、セキュリティ業務を手作業のみに頼っている」と窪田氏。それでも「限定的な使用にとどまる場合も、全く使っていないケースよりは対応コストや対応期間を抑えることができるため、セキュリティAIと自動化ツールの使用を推奨する」としている。

セキュリティAIと自動化の使用レベル別コスト

 国・地域別のデータ侵害時のコストを見ると、米国が世界トップで948万ドル。日本は5位で、米ドル換算ではコストが下がっているような数値が出ているが、日本円換算では増加しており、過去最高の6億円となった。

データ侵害時の国・地域別コスト

 日本におけるデータ侵害での検知から封じ込めまでの期間は、4年ぶりに増加し282日となった。その内訳は、検知に要する日数が203日で、封じ込めに要する日数が79日。検知に要する日数は世界平均の204日より1日短いが、封じ込めに要する日数が世界平均の73日を大幅に上回っており、「封じ込めに課題がある」と窪田氏は述べている。

データ侵害での検知から封じ込めまでの期間(日本)

 日本IBM 理事パートナー IBMコンサルティング事業本部 Cybersecurity Servicesの藏本雄一氏は、「セキュリティ対策の方向性は、インシデントが発生する前提での対策になってきている。対応までの日数を200日未満にすることで、平均コストが102万ドル抑えられることから、対応スピードを速めなくてはならない」とし、AIと自動化、インシデント対応計画の立案と定期的なテスト、攻撃対象領域管理の重要性を強調した。

日本IBM 理事パートナー IBMコンサルティング事業本部 Cybersecurity Services 藏本雄一氏