IBMが取りまとめたデータ漏えいに伴うコスト調査の最新レポートによると、日本では、組織の内部関係者の不正行為に起因したセキュリティインシデントが増加しているという。日本IBMが開催した同レポートに関する説明会で、トピックとして紹介された。
2021年度の調査は16回目で、日本含む17カ国17業種の537件のデータ侵害のセキュリティインシデントを対象に、3500回のインタビューも加味してIBMが分析を行った。
それによると、世界の平均コストは前年比10%増の424万ドル、対応に要した平均日数は侵害の検知までが212日、抑止策の実施までが75日だった。日本(分析対象インシデント36件)の平均コストは5億1000万円、対応に要した平均日数は侵害の検知までが209日、抑止策の実施までが63日だった。
日本でのデータ侵害によるコストは増加傾向にある(日本IBM資料より)
データ漏えいにつながるセキュリティインシデントの最初の発生要因は、件数ベースでは認証情報の流出が約2割を占めた。年間約100件のインシデント対応を行っているというセキュリティー事業本部 X-Force日本責任者の徳田敏文氏は、「漏えいした認証情報を使って攻撃者がシステムに不正侵入し、内部を探索したり、ランサムウェアモジュールを設置したりするなどしてインシデントが発生することが多い」と解説した。
インシデントの発生につながる要因として、世界平均では漏えいした認証情報が多い(日本IBM資料より)
ランサムウェアが関係するデータ侵害のコストは462万ドルで、全体平均よりも高かった。特に近年は、攻撃者が機密データを暗号化するだけでなく、インターネットにも暴露すると組織を脅迫して身代金を要求する手法が増えている。徳田氏によれば、日本でもこの1年ほどで同様の被害対応が増え、警察などからの通知で企業や組織の機密データが暴露されているのに気づき、対応に乗り出すケースがあるという。
また徳田氏は、日本では特に内部不正からのデータ侵害が増えているとも指摘し、「静かに増加しつつある」と話した。例えば、自社の顧客情報を持ち出して競合企業に転職したり、別の組織などに売却したりするといったものになる。コストも最高額になっている。
日本では内部不正が原因となるケースが徐々に増えてきているという(日本IBM資料より)
近年は、クラウドの利用拡大などで組織のIT環境がますます複雑化しており、各種のログの収集や分析がますます難しくなっているという。このため、インシデントが発覚時の初期対応で調査の着手に時間や手間を要してしまい、対策を講じるまでの間に被害やコストが大きくなる傾向にある。内部不正などのコンプライアンス違反では、コストがより高くなることも分かった。
セキュリティー事業本部長の小川真毅氏は、セキュリティインシデントの発生とそのコストが企業や組織の事業運営に大きな影響を与えるとして、事業継続の観点でもやはりセキュリティ対策が必要だとし、クラウドを含むIT環境の変化に合わせて「ゼロトラストセキュリティ」と呼ばれる考え方を基にした新しいセキュリティ対策の仕組みを強化すべきとした。
ただ、時間と費用や手間がかかるため、現行の対策に人工知能(AI)技術を活用したり、各種対策機能を協調動作させたりすることで、セキュリティ対策業務の自動化や効率化を図りつつ、セキュリティ担当者が新しいゼロトラストセキュリティ型の対策整備に取り組める時間や余裕を捻出すべきだとアドバイスしている。
