米国IBMは6月15日、同社がPonemon Instituteに依頼して実施した、情報漏えいが企業の最終損益に与える財務的影響を分析したグローバル調査の結果を発表した。それによると、調査対象企業で情報漏えい時に発生した平均コストは400万ドルに上り、2013年に比べ29%増加したという。日本IBMが6月17日、抄訳で伝えた。
セキュリティインシデントは数と巧妙さの両面で深刻化が続いており、またインシデントにより企業が被るコストも増加傾向が続いている。
この調査によると、情報漏えいコストの抑制と関係する唯一最大の因子は「インシデント対応チームを活用すること」であり、平均40万ドル(記録1件あたり16ドル)近いコスト削減効果が見られたという。インシデント対応チームは、侵害されたことに気付いた時点で企業がとるべき対策に精通する専門家であり、漏えい対応プロセスの促進と合理化を図る。また、セキュリティの運用と対応ライフサイクルにおいて、インシデントの解決から、業界の主な懸念事項の解消、規制の遵守まで、あらゆる側面に対応する。さらに、インシデント対応テクノロジによって、このプロセスを自動化し、効率を一層高め、対応時間を短縮できるという。
一方、適切な計画が用意されていないと、漏えいへの対応プロセスがきわめて複雑になり、時間がかかってしまう。調査では、情報漏えいの検出と被害拡大防止に時間がかかるほど、解決にかかるコストが増大することも分かった。100日未満で検出された漏えいによって企業に発生した平均コストが323万ドルだったのに対し、100日以上経過してから見つかった漏えいのコストは438万ドルと、平均で100万ドル以上増えている。
また本調査では、漏えいの検出時間が平均201日、被害拡大防止時間が平均70日と見積もられ、事業継続管理(BCM)プロセスを事前に用意していた企業は、BCMを用意していなかった企業よりも漏えいの検出と被害拡大防止にかかった時間が短かった(漏えいの検出は52日、被害拡大防止は36日早かった)という。
