ランサムウェア被害者が法執行機関に頼って平均約100万ドル漏えいコスト削減、身代金を回避した組織は何％？ IBM調査：漏えいに伴うコスト増で消費者は値上げに苦しむ

IBMは、データ漏えいコストに関する調査レポートを発表した。データ漏えいの世界平均コストは488万ドルに到達し、漏えい後に多くの組織で混乱が生じたという。

[＠IT]

　IBMは2024年7月30日（米国時間）、データ漏えいコストに関する調査レポートを発表した。それによると、データ漏えいの世界平均コストは2024年、488万ドルに達したという。前年比増加率は、パンデミック以降最大の10％となった。データ漏えいがあった組織の70％で、漏えいによって重大、または非常に重大な混乱が生じたという。

　データ漏えいによる付随的な被害は増大の一途をたどっており、事業における損失、漏えい後の顧客やサードパーティーへの対応が前年比でのコスト急増を引き起こした。漏えいの影響はその後も続く。完全復旧できた組織はごく少数（12％）で、そのほとんどが復旧に100日以上かかっている。

　今回発表された調査レポートは、2023年3月から2024年2月の間に世界604の組織が経験したデータ漏えいの分析に基づいている。

　主な調査結果は以下の通り。

法執行機関が介入した場合、身代金の支払いが減少

　法執行機関を介入させることで、ランサムウェアの被害者は、介入しなかった場合と比較して、漏えいコストを平均で約100万ドル削減することができた。法執行機関を関与させたランサムウェア被害者の大半（63％）は、身代金の支払いを回避することもできた。

セキュリティチームの人員不足

　前年と比較して深刻な人員不足に直面する組織が増加した（26％増）。セキュリティスタッフに問題がほとんどない、または全くない組織と比較して、漏えいコストは平均176万ドル高かった。

AIを活用したセキュリティ対策が解決策になり得る

　調査対象組織の3社中2社が、セキュリティオペレーションセンター（SOC）全体でセキュリティにおけるAIと自動化を導入している。これらのテクノロジーを予防ワークフローで広範に使用した組織は、使用していない組織と比較して、漏えいコストが平均220万ドル低かった。これは、2024年レポートで明らかになったコスト削減効果のうち最も大きい。

データ可視性のギャップ

　漏えいの40％は、パブリッククラウド、プライベートクラウド、オンプレミスを含む複数の環境にわたって保存されたデータに関連していた。これらの漏えいコストは平均500万ドル以上で、特定と封じ込めに最も時間がかかった（283日）。

攻撃のきっかけは、認証情報の盗難あるいは漏えいが最多

　攻撃のきっかけとしては、認証情報の盗難あるいは漏えいが最多（16％）だった。また、これらの漏えいは、特定と封じ込めに最も時間がかかり、約10カ月だった。

重要インフラ組織での漏えいコストが最も高い

　医療、金融サービス、産業、技術、エネルギー業界の組織で最も高い漏えいコストがかかった。特に医療業界は14年連続で最も高いコストを記録しており、平均漏えいコストは977万ドルに達した。

データ漏えいのコストは消費者に転嫁される

　漏えいを受けた組織の63％が、2024年に商品やサービスの価格を引き上げると述べた。これは2023年の57％から微増しており、調査対象組織の大半がこの措置を取ると述べたのは3年連続となる。

---

　IBMセキュリティストラテジー＆プロダクトデザイン担当バイスプレジデントのケビン・スカピネッツ氏は次のように述べる。

　「企業は、漏えい、封じ込め、その影響への対応という終わりのないサイクルに巻き込まれている。このサイクルには、セキュリティ防御を強化するための投資や、漏えいに伴う費用の消費者への転嫁が含まれている。セキュリティは今やビジネスにおける新たなコスト要因となった。生成AIが急速にビジネスに浸透し、攻撃の対象が拡大する中で、これらの費用はやがて維持できなくなり、企業はセキュリティ対策と対応の戦略を見直す必要に迫られる。先を見越すためには、企業は新たなAI主導の防御に投資し、生成AIがもたらす新たなリスクと機会に対応するためのスキルを開発する必要がある」