データ漏えいに伴うコストの平均は今や400万ドル(約4億4000万円)を超えている。コロナ禍の影響もあり、過去最高を記録したという。
提供:IBM
IBM Securityが、年次レポート「Cost of a Data Breach Report」(情報漏えいコストに関するレポート)を公開している。2021年版のレポートでは、総コストが平均424万ドル(約4億6000万円)となっており、前年と比べて10%増加したと推計されている。
大手企業などから5000万〜6500万件のデータが流出するという、いわゆる「メガブリーチ」は高価な代償を伴うインシデントであり、平均コストは4億100万ドル(約440億円)に達している。
このレポートは、17地域で17の業界の500を超える組織から報告されたデータ侵害インシデントの分析と、Ponemon Instituteが実施した調査の結果をIBM Securityがまとめたものだ。IBMは、パンデミックやステイホームの指示、業務を迅速にリモート化する必要性によって、企業は「業務運用形態の劇的な変化」に直面し、セキュリティインシデントが発生した際のコストが上昇するとともに、インシデントを抑制することが難しくなったとしている。
多くの企業が在宅勤務を推奨し、企業はテクノロジーのアプローチを適応させる必要があった。IBMによると、コロナ禍でおよそ60%の企業はクラウドへの移行を進めた。しかし、このような急速なITの変化にセキュリティは追いついていないようだ。
リモートワークが一因となったデータ漏えいの平均コストは496万ドル(約5億4000万円)となっており、リモートワークが要因ではなかった場合の389万ドル(約4億2000万円)に比べて約100万ドル(約1億1000万円)以上多くなっている。
データ漏えいを経験した企業にとって、最も一般的な最初の攻撃ベクターは、流出した認証情報だ。これらの情報は、オンラインに投稿されたデータダンプ、販売されているデータ、あるいはブルートフォース攻撃などから取得される恐れがある。また、インシデントの半数近くで、名前や電子メールアドレスを含む、顧客のPII(個人を特定できる情報)が窃取されていた。
データ漏えいを検知し、封じ込めるまでにかかった平均日数は287日で、前年より7日長くなっている。侵入を検知するまでの平均期間は212日、問題に対処する時間は75日となっている。
業界別で見た場合、データ漏えいの平均コストが最も高かったのはヘルスケア業界で、923万ドル(約10億1000万円)だった。金融サービス業界の572万ドル(約6億2000万円)、製薬業界の504万ドル(約5億5000万円)がこれに続く。
IBMによると、人工知能(AI)アルゴリズムやアナリティクス、暗号化に基づいたセキュリティソリューションなどが、データ漏えいのコスト低減に役立っている。平均125万〜149万ドル(約1億4000万〜1億6000万円)の差を生み出しているという。
IBM SecurityのバイスプレジデントChris McCurdy氏は、「コロナ禍で、テクノロジーの急速なシフトが起こったことで、データ侵害のコスト上昇は企業にとって、さらなるコストとなっている」とし、「データ侵害のコストはこの1年で過去最高を記録する中、このレポートは、AI、自動化、ゼロトラストアプローチの導入などのモダンなセキュリティ戦略の影響について、プラスの兆候も示した。これらのインシデントのコストを今後さらに削減することに効果を生むかもしれない」と述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
