違いは100万ドル データ侵害、自社で見つけるか他者に指摘されるか：データ侵害コストは過去最高の445万ドルに

日本IBMは、「2023年データ侵害のコストに関する調査レポート」の日本語版を公開した。データ侵害の世界平均コストが過去3年間で15ポイント増加しており、2023年は過去最高の445万ドルになったことが分かった。

[＠IT]

　日本IBMは2023年9月11日、「2023年データ侵害のコストに関する調査レポート」の日本語版を公開した。これは、2022年3月〜2023年3月の間に発生したデータ侵害の事例を分析したもの。それによると、データ侵害の世界平均コストが過去3年間で15ポイント増加しており、2023年は過去最高の445万ドルになったことが分かった。

プレスリリース

　レポートでは「AIと自動化」「ランサムウェアに対する法執行機関」「自社での脅威検知」などのトピックについて分析している。

AIと自動化

　侵害されたデータの特定と被害の拡大防止に“AI（人工知能）と自動化”が大きな影響を与えているという。セキュリティとしてAIと自動化を完全に導入している組織と導入していない組織を比べると、導入している組織の方が「侵害ライフサイクル」（インシデントが発生してから解決するまでの時間）が平均108日短縮していた。また、対応にかかるコストも大幅に削減しており、AIと自動化を導入している組織はそうでない組織と比べると平均して約180万ドルデータ侵害のコストを削減できていた。

ランサムウェアに対する法執行機関

　世界的に被害が続出しているランサムウェアだが、レポートによると攻撃を受けた際に「法執行機関を関与させるかどうか」で被害額（または復旧にかかるコスト）を抑えられるケースがあるという。

　法執行機関を関与させた企業はそうでない企業と比べて、平均コストを47万ドル抑えられていることが分かった。だが、一部の組織は、ランサムウェア攻撃を受けた際に法執行機関が関わることは状況を複雑にすると認識しており、ランサムウェア被害者の37％は、ランサムウェア攻撃に法執行機関を関与させていなかった。IBMは「組織はランサムウェアに関連する誤解を捨てるべきだ。身代金を支払い、法執行機関の関与を避けることは、インシデントにかかるコストを上げ、対応を遅らせる恐れがある」と指摘している。

自社での脅威検知

　レポートによると、組織内のセキュリティチームやツールによってデータ侵害を検知した割合はわずか3分の1で、27％は攻撃者、40％は法執行機関など第三者が公表したことで検知（攻撃を認識）していたことが分かった。侵害を自社で発見した組織の平均侵害コストは430万ドル。これは攻撃者に侵害を公表された組織と比べて約100万ドル少なかった。侵害ライフサイクルも自社で発見した組織の方が約80日短かった。IBMは「脅威を自社で早期に発見することはコストや時間を大幅に節約できる。このような対策は長期的に考えると有効だ」としている。

　IBM Worldwide Security Servicesのゼネラル・マネージャーを務めるクリス・マッカーディ氏は、「サイバーセキュリティでは、防御側と攻撃側のどちらにとっても、時間がコストに影響を与える。レポートが示すように、早期の発見と適切な対応によって、データ侵害の影響を大幅に軽減できる。セキュリティチームは、攻撃者がどこで攻撃に成功しているかに焦点を当て、彼らが目標を達成する前に攻撃を阻止することに集中する必要がある。これらに対抗するためにも、AIや自動化など、防御側のスピードと効率を加速させる脅威の検知やセキュリティ対策に投資することが必要だ」と述べている。