ニュース

データ侵害の国内平均被害額が過去最高の6億3000万円に――、IBM調査

 日本IBM株式会社は5日、「2024年データ侵害のコストに関する調査レポート」日本語版を公開し、その説明会を開催した。調査によると、データ侵害を受けた組織の平均被害額はグローバルで488万ドル、日本で6億3000万円に達し、世界平均、国内平均ともに過去最高を記録したという。

データ侵害による被害
データ侵害の平均総コストは4年連続過去最高を記録

 被害額の上昇傾向は2021年以降続いている。上昇幅についても、「昨年は前年比2.3%増だったが、今年は10%増で上昇幅が大きかった」と、日本IBM コンサルティング事業本部 Cybersecurity Services X-Force インシデント・レスポンス日本責任者の窪田豪史氏は指摘する。

日本IBM コンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者 窪田豪史氏

 国・地域別のコストは、昨年同様米国が936万ドルで最も高かった。日本は8位で、為替の影響によって米ドル換算ではコストが減少したものの、日本円では前年比5%増の6億3000万円で、依然増加傾向が続いている。

 データ侵害が発生した後、インシデントを検知して封じ込めるまでにかかった日数は平均258日で、昨年より19日短縮された。内訳は、検知に要する日数が194日、封じ込めに要する日数が64日と、いずれの日数も過去7年間では最短で、「全体的には対応能力が向上している」と窪田氏はいう。

データ侵害のライフサイクル

 日本における検知から封じ込めまでの期間も、世界平均と同様過去7年間で最短の264日だった。その内訳は、検知に要する日数が193日と、世界平均を1日下回っているが、封じ込めに要する時間が71日で、世界平均の64日を大きく上回っており、封じ込めに課題があることが浮き彫りになった。

 初期攻撃のベクトル別に平均総コストを比較すると、最もコストが高かったのは悪意のあるインサイダーによるもので、平均499万ドルだった。この結果について窪田氏は、「昨年から2年連続で最大のコストがかかっており、金額も昨年比で約10万ドル増加した。悪意のあるインサイダーは、内部関係者のため正規のアクセス権限を持っており、発見までの期間も長期化しがちでコストも大きくなる」としている。

 一方、頻度が最も高かった初期攻撃ベクトルは、窃取・侵害された認証情報で、全体の16%を占めた。窃取・侵害された認証情報によるデータ侵害は、正規の認証情報を用いた攻撃のため、検知と封じ込めにかかる時間が最も長く、平均292日にもおよんでいる。

 データ侵害時の業界別コストについては、特に医療業界における平均コストが昨年に引き続き最も高く、977万ドルだった。一方、上昇幅では製造業が昨年より83万ドル上昇して545万ドルと、最も大きくコストが増加した。

AIや自動化で侵害コストの削減が可能

 調査では、セキュリティのためのAIと自動化を利用することで、侵害コストに大きな差が出ることも明らかになった。日本IBM 理事 パートナー コンサルティング事業本部 Cybersecurity Servicesの藏本雄一氏は、「セキュリティAIや自動検知を利用している企業としていない企業とでは、封じ込め期間で98日間、被害額では220万ドルの差が出ている」とし、「AIや自動化によって侵害コストを削減することが可能だ」と述べている。

日本IBM 理事 パートナー コンサルティング事業本部 Cybersecurity Services 藏本雄一氏

 窪田氏によると、「予防、検知、調査、対応という4領域すべてでAIや自動化の効果が見られたが、中でも予防領域に適用した際の効果が最も高かった」としている。

 さらに窪田氏は、「侵害を受けてから対応が完了するまでの期間が200日未満だった場合、それ以上かかった場合と比較して139万ドルの差があった」とし、対応スピードがコストに直結している点を強調した。

データ侵害の対応日数によるコスト比較

 侵害発生後には、セキュリティ投資の増額を計画している組織が63%にのぼった。その投資対象としては、インシデントレスポンス対応計画の策定とテスト、脅威検知・対応システムの導入、従業員教育が上位に挙げられた。

データ侵害後のセキュリティ投資状況

 教育については、「熟練したセキュリティ要因が不足していると回答した組織が53%にのぼり、昨年の42%から11ポイント上昇した。スキルが十分だという組織とそうでない組織とでは、侵害コストに176万ドルの差が出ている」と窪田氏は述べ、「従業員教育が侵害コスト面からも重要なポイントになっている」とした。

 最後に藏本氏は、データ侵害に対応する際の推奨策として、「データや資産を特定し、適切に管理すること。AIと自動化を活用すること。AIモデルそのものを保護すること。サイバー対応トレーニングのレベルアップをすること」を挙げた。