サイバー攻撃の平均対応コストは435万ドル、しかしゼロトラスト導入で100万ドル削減可能――IBM調査：事前対応で被害コストを低減できる

IBM Securityはデータ侵害の経済的影響に関する年次調査レポートを発表した。データ侵害後の対応コストは過去最高となった。さらに侵害を受けた組織の約60％が侵害後に販売する商品やサービスの価格を引き上げていた。重要インフラの大部分でゼロトラストの導入が遅れていることも分かり、インシデントレスポンスチームがないことも合わせて対応コストを引き上げていた。

[＠IT]

　IBM Securityは2022年7月27日（米国時間）、データ侵害の経済的影響に関する世界規模の年次調査結果をまとめたレポート「Cost of a Data Breach Report 2022」を発表した。

　それによると、データ侵害インシデントの対応にかかるコストは、1回の侵害当たり平均435万ドルとなり、過去最高となった。コストは過去2年間で12.7％上昇している。今回の調査結果は、企業が提供する商品やサービスの価格上昇に、データ侵害がつながっている可能性を示唆している。

　この調査は調査会社Ponemon Instituteが独自に実施し、IBM Securityが後援、分析したもの。調査対象は、2021年3月〜2022年3月にデータ侵害を受けた550組織で、これらの侵害は17の国と地域、17の業種で発生した。

調査結果の概要（提供：IBM）

　同レポートではエグゼクティブサマリーとして、次のような結果を紹介している。

侵害後の対応に435万ドルかかる

　データ侵害にかかる平均総コストは、2021年調査の424万ドルから2.6％、2020年調査の386万ドルから12.7％上昇した。

8割の組織が2回以上侵害された

　調査対象組織の83％が2回以上のデータ侵害を経験している。

　今回が初めてのデータ侵害だったと回答した組織は、17％だった。調査対象組織の60％はデータ侵害が原因で、サービスや商品の価格を引き上げたと回答した。

重要インフラ組織は被害が約100万ドル大きい

　重要インフラ組織のデータ侵害にかかる平均総コストは482万ドルであり、他業種の平均総コストよりも約100万ドル多かった。この調査では、「重要インフラ組織」を、金融サービスや各種工業、テクノロジー、エネルギー、輸送、通信、医療、教育、公共の各業種に属する組織と定義している。28％が破壊的な攻撃やランサムウェア攻撃を経験し、17％がビジネスパートナーにおけるセキュリティ被害が原因で侵害に遭った。

被害額低減に最も役立つ手法は？

　IBMの今回の調査レポートで、被害額低減に役立つ技術や手法の他、被害額を増やしてしまう原因を細かく分析している。