2013年版のレポートによれば、最もコストの高いデータ漏えいインシデントは悪意がある、あるいは犯罪的な攻撃であり、「悪意のある、あるいは犯罪的な攻撃の対象に最もなりやすいのはドイツ企業であり、それにオーストラリアと日本が続く」とある。
同社は、7つの要素が企業のデータ漏えいのコストに影響を与えていることを発見した。
データ漏えいの1人当たりコストに影響する7要素
被害を少しでも少なくするには
このコストは憂慮すべきもののように思えるし、実際にそうだ。しかし、誰もが標的になる可能性がある中、起こりえる漏えいによる被害を防ぐために一定の手順を踏むことで、コストと評判の両方に対するダメージを低く抑えることができる。
単純にインシデント対応計画を作っておくだけで、コストはレコード1件あたり42ドル下がるという。
米国と英国の企業の場合、最高情報セキュリティ責任者(CSIO)を置くことで、データ漏えいのコストが減少している。同調査では、「この要素は、インドとブラジルでは同じ程度の効果はなかった」としている。
それに加え、米国では、インシデントのトリアージ、封じ込め、対応のためのコンサルタントを雇った企業は、コストを「漏えいした、あるいは露出したレコード1件あたり平均13ドル」下げることができている。
Ponemonによれば、セキュリティに対して厳格な姿勢を取っている場合、米国の企業はコストを34ドル減少させる可能性がある。セキュリティに対する厳格な姿勢とは、少なくともこのベンチマーク調査では、 セキュリティ効果スコア(SES)が平均以上の企業のことを指す。
データ漏えいが第三者の過失に起因する場合、米国ではコストがレコード1件当たり43ドル増加することが分かった。またデータ漏えいに、紛失、盗難、またはセキュリティ侵害を受けたハードウェア(例えばノートPC、スマートフォンなどのデバイス)が関係している場合、コストはレコード1件当たり10ドル上昇する。
熟練したハッカーは、この分析を読んでも、そこに書かれていることは当然のことばかりだと思うだろう。しかし、動きの遅い組織や、セキュリティの問題が報じられたアプリ「Yo」を提供するような(残念なことに)無頓着に利益を求める会社には、データ漏えいは核爆発のように感じられるはずだ。今回のレポートなどから得られるはずの必要最低限のアドバイスも、そういう組織には届かない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。