サイバー攻撃の平均対応コストは435万ドル、しかしゼロトラスト導入で100万ドル削減可能――IBM調査：事前対応で被害コストを低減できる

IBM Securityはデータ侵害の経済的影響に関する年次調査レポートを発表した。データ侵害後の対応コストは過去最高となった。さらに侵害を受けた組織の約60％が侵害後に販売する商品やサービスの価格を引き上げていた。重要インフラの大部分でゼロトラストの導入が遅れていることも分かり、インシデントレスポンスチームがないことも合わせて対応コストを引き上げていた。

[＠IT]

　IBM Securityは2022年7月27日（米国時間）、データ侵害の経済的影響に関する世界規模の年次調査結果をまとめたレポート「Cost of a Data Breach Report 2022」を発表した。

　それによると、データ侵害インシデントの対応にかかるコストは、1回の侵害当たり平均435万ドルとなり、過去最高となった。コストは過去2年間で12.7％上昇している。今回の調査結果は、企業が提供する商品やサービスの価格上昇に、データ侵害がつながっている可能性を示唆している。

　この調査は調査会社Ponemon Instituteが独自に実施し、IBM Securityが後援、分析したもの。調査対象は、2021年3月〜2022年3月にデータ侵害を受けた550組織で、これらの侵害は17の国と地域、17の業種で発生した。

調査結果の概要（提供：IBM）

　同レポートではエグゼクティブサマリーとして、次のような結果を紹介している。

侵害後の対応に435万ドルかかる

　データ侵害にかかる平均総コストは、2021年調査の424万ドルから2.6％、2020年調査の386万ドルから12.7％上昇した。

8割の組織が2回以上侵害された

　調査対象組織の83％が2回以上のデータ侵害を経験している。

　今回が初めてのデータ侵害だったと回答した組織は、17％だった。調査対象組織の60％はデータ侵害が原因で、サービスや商品の価格を引き上げたと回答した。

重要インフラ組織は被害が約100万ドル大きい

　重要インフラ組織のデータ侵害にかかる平均総コストは482万ドルであり、他業種の平均総コストよりも約100万ドル多かった。この調査では、「重要インフラ組織」を、金融サービスや各種工業、テクノロジー、エネルギー、輸送、通信、医療、教育、公共の各業種に属する組織と定義している。28％が破壊的な攻撃やランサムウェア攻撃を経験し、17％がビジネスパートナーにおけるセキュリティ被害が原因で侵害に遭った。

被害額低減に最も役立つ手法は？

　IBMの今回の調査レポートで、被害額低減に役立つ技術や手法の他、被害額を増やしてしまう原因を細かく分析している。

　被害額低減に最も役立った技術は、「セキュリティAI」と「自動化」だ。これを実装していない組織では侵害にかかった対応コストは平均620万ドルだった。これに対し、完全に実装している企業では約半分の315万ドルに抑えることができた。

セキュリティAIやDevSecOps、インシデントレスポンスチームの配置が最も対応コスト低減に役立っている（単位100万ドル）（提供：IBM）

　完全に実装している組織は、実装していない組織と比べて、侵害の特定と封じ込めに要した平均日数も74日短かった（249日対323日）。完全または一部実装している組織の割合は70％となり、2020年の59％から11ポイント上昇した。

認証情報に起因する侵害が最も多い

　認証情報の盗難や漏えいに起因する侵害の割合は19％だった。2021年の20％よりも1ポイント下がったものの、2年連続でデータ侵害の原因として最大となった。この種の侵害は、ライフサイクルが最も長く、特定に243日、封じ込めに84日かかった。データ侵害の原因として2番目に多くの割合を占めたのはフィッシングだった。

侵害原因ごとの割合（横軸）と対応コスト（縦軸）　原因では認証情報が最大であり、ビジネスメール詐欺とフィッシングの対応コストが最も高い（単位100万ドル）（提供：IBM）

ランサムウェア攻撃が11％を占める

　ランサムウェア攻撃に伴う平均コストは454万ドルだった。これには身代金コストは含まれていない。

　ランサムウェアによるデータ侵害は侵害全体の11％を占めた（2021年は7.8％）。ランサムウェア攻撃に伴う平均コストは、2021年の462万ドルからわずかに下がった。

ゼロトラストは侵害コストを100万ドル引き下げる

　ゼロトラストアーキテクチャを導入している組織は、導入していない組織と比べて、データ侵害にかかる平均コストが100万ドル以上少なかった。

　それにもかかわらず、重要インフラ組織に限ると、ゼロトラストを導入していない組織の割合は79％に上る。

テレワークはデータ侵害に弱い

　テレワークがデータ侵害の要因となった場合の対応コストは、そうでなかった場合と比べて平均100万ドル近く高かった（499万ドル対402万ドル）。

クラウドで45％のデータ侵害が発生

　ハイブリッドクラウド環境で発生した侵害の平均コストは380万ドルで、プライベートクラウドでの侵害（424万ドル）、パブリッククラウドでの侵害（502万ドル）よりも低かった。

　ハイブリッドクラウドを採用している組織は、パブリッククラウドモデルやプライベートクラウドモデルのみを採用している組織よりも、データ侵害の特定と封じ込めに要する日数が短かった。

インシデントレスポンスチームは侵害コスト引き下げに役立つ

　インシデントレスポンスチームがあり、対応計画を定期的にテストしている組織は、データ侵害の平均コストが326万ドルであり、他の組織の592万ドルよりも266万ドル少なかった。

　4分の3近くの組織がインシデントレスポンス計画を策定していると回答し、そのうちの63％が定期的に計画をテストしていると回答した。

XDR技術は侵害ライフサイクル低減に役立つ

　拡張検知応答（XDR）技術を導入している組織では、侵害のライフサイクルが29日間短かった。

　XDR技術を導入している組織は44％で、これらの組織では、侵害の特定と封じ込めに要する期間が275日だったことに、XDRを導入していない組織では304日かかった。

医療セクターは侵害コストが最大

　医療セクターにおけるデータ侵害の平均コストは、過去最高の1010万ドルとなり（2021年は923万ドル）、12年連続で全セクターの中で最大だった。

　続いて金融セクターが597万ドルで2番目に高く、医薬品が501万ドル、テクノロジーが497万ドル、エネルギーが472万ドルだった。

医療セクターが最大の被害を受けた（単位100万ドル）（提供：IBM）

米国の組織が最大の被害者

　米国におけるデータ侵害の平均コストは944万ドルで、どの国よりも高い。

　データ侵害の平均コストが高い上位5つの国、地域は、米国（944万ドル）、中東（746万ドル）、カナダ（564万ドル）、英国（505万ドル）、ドイツ（485万ドル）だった。米国の首位は12年連続だった。