最もコストがかかるのは「データ共有先から間接的に被るインシデント」 カスペルスキーの情報セキュリティリスク調査：「データを共有しているサプライヤー」が攻撃される

カスペルスキーは2021年度版の「企業における情報セキュリティリスク調査」の結果を発表した。それによると、データを共有しているサプライヤーを通じて間接的に被るサイバーセキュリティインシデントが「最もコストのかかるインシデント」になった。

[＠IT]

　カスペルスキーは2021年11月18日、「企業における情報セキュリティリスク調査」（Corporate IT Security Risks Survey：ITSRS）の結果を発表した。それによると、データを共有しているサプライヤーを通じて間接的に被るサイバーセキュリティインシデントが全世界で136万ドル（日本は192万ドル）に達し、最もコストのかかるインシデントになった。

「データ侵害」による影響金額（提供：カスペルスキー）

　同調査は、従業員50人以上の企業に勤務するITビジネスの意思決定者を対象として、カスペルスキーが毎年実施しているもの。2021年は31カ国の合計4303人を対象に実施し、そのうち日本の回答者は395人だった。

狙われるサプライヤー

　「データを共有しているサプライヤーが攻撃され、その影響を受けた」と回答した割合は、大企業（従業員数が1000人以上）で32％（日本は19％）だった。カスペルスキーによると、この数値は2020年の調査結果（30％）から大きく変わっていないものの、「インシデントによる平均的な財務的影響は大きくなった」という。

　「2020年は142万ドルで13位（日本は339万ドルで10位）だったのに対して、2021年は136万ドルで1位（日本は192万ドルで13位）となり、『データを共有しているサプライヤーが攻撃されたことによるインシデント』が最もコストのかかるインシデントになった」（カスペルスキー）

　その他、上位となったのは「企業が所有する機器の紛失」（134万ドル、日本は266万ドル）、「暗号資産マイニング」（131万ドル、日本は211万ドル）、「従業員による不適切なITリソースの使用」（131万ドル、日本は186万ドル）と続いた。

「データ侵害の財務的影響」は2020年から減少

　大企業がデータ侵害を受けたときの1回当たりの財務的影響は、2020年に比べて15ポイント減って92万7000ドル（日本は2020年の200万ドルに対して97万8000ドル）となっている。平均的な財務的影響のコストが低下した理由としてカスペルスキーは「企業がこれまでに投資してきたセキュリティの予防と軽減策が適切に機能している」と分析する。

　一方で、「データ侵害の報告を見送った」と回答した大企業の割合は34％（日本は39％）だった。2020年の調査では28％（日本は27％）となっており、やや増加した。「財務的に脆弱（ぜいじゃく）な企業はサイバー犯罪の調査に時間と費用をかけられないか、または情報漏えいが公になった場合の風評被害を受けるリスクを考えて報告に消極的だった」とカスペルスキーは推測している。