編集部からのお知らせ
SNS分析のトレンドまとめ
注目「Googleのクラウド事業を読み解く」
調査

最も「高く付く」のは、ゼロデイ脆弱性侵害や標的型攻撃 --Kaspersky

NO BUDGET

2016-10-08 07:00

 Kaspersky Labは9月20日、B2B Internationalと共同で実施した調査のレポートを発表した。この調査では、世界25カ国の4000社を超える企業を対象とし、情報セキュリティ予算、インフラの複雑さ、セキュリティ脅威とセキュリティソリューションに対する姿勢、データ侵害による実際のコスト、セキュリティインシデントの経験について調べたもの。レポートでは特に、自社を保護するために企業がかけるコスト、サイバーセキュリティインシデントからの復旧にかかるコストなど、サイバーセキュリティの経済的側面に焦点を当てている。

 主な調査結果は以下の通り。

  • 情報セキュリティ予算は今後3年間で平均14%の増加が予想されている
  •  いずれの規模の企業も、情報セキュリティの投資利益率(ROI)を組織上層部に対して実証することは難しいとしながらも、後悔するよりは大事を取った方がよいとの理由から、ROIにかかわらず情報セキュリティの改善に投資を継続する意向を示す傾向にある。


    ※カスペルスキー提供

     またその予算を金額で見ると、零細企業の3分の2(66%)で情報セキュリティの年間支出が1000ドル未満であるのに対し、大企業の68%は100万ドル超を支出している。


    ※カスペルスキー提供

    情報セキュリティ予算の割合(企業規模別)※カスペルスキー提供
  • セキュリティへの投資を行う主な理由は企業規模を問わず「ITインフラの複雑性」
  •  特に大企業は、情報セキュリティの支出を増大させる一番の理由として、ITインフラのさらなる複雑化を挙げている(48%)。中小企業の42%も同様である一方、零細企業については、インフラの複雑化を予算増加の主要因としたのは4分の1(24%)に留まり、新規事業活動または事業拡大を一番の理由に挙げている(35%)。

  • セキュリティインシデント1件あたりの平均復旧コストは中小企業で8万6500ドル、大企業では86万1000ドル
  •  過去1年だけを見ても、企業の3分の1超が、ウイルスおよびマルウェアの影響による生産性の損失(38%)と、社員によるITリソースの不適切な使用(36%)を経験。5社に1社(21%)は、標的型攻撃によるデータの損失または流出を経験している。


    過去1年間に経験したセキュリティ関連トラブルのタイプ:経験ありと回答した企業の割合・トラブルタイプ別(全企業合算)※カスペルスキー提供

     企業が経験した全インシデントのうち、ほぼ半数(43%)が何らかのデータ侵害、データ損失、またはデータ流出に至っていた。具体的な数字を挙げると、1回のデータ侵害および攻撃が及ぼす経済的影響の平均額は、中小企業で8万6500ドル、大企業では86万1000ドルにのぼると見積もられている。中小企業と大企業のどちらにおいても、ITスタッフの配備や配置替えが最大の追加コストになっている。

     なお、セキュリティ侵害の影響はITリソースの追加雇用に留まらないのが常であることから、調査ではセキュリティ侵害の全体的な影響をより正確に見積もるため、復旧コストをいくつかのカテゴリに分けて質問している。結果は下図の通り。


    データ侵害による財政上の平均的影響(中小企業)※カスペルスキー提供

    データ侵害による財政上の平均的影響(大企業)※カスペルスキー提供
  • 最も「高く付く」タイプの攻撃はゼロデイ脆弱性および標的型攻撃を利用したセキュリティ侵害
  •  また、企業財政への影響を攻撃のタイプ別にみると、これまで知られていない「ゼロデイ」脆弱性の影響によるコストは、件数としては少ないながらも、中小企業で14万9000ドル、大企業で200万ドルと見積もられている。標的型攻撃の場合は中小企業で14万3000ドル、大企業で170万ドルとなった。

     なお、中小企業はモバイル機器によるエクスプロイトを問題として挙げ、大企業は政治的な意図をもったハッカーの行為による影響の強さを報告している。

  • 情報セキュリティ部門による迅速な行動がコストを抑制
  •  データ侵害に気付かない期間が長いほど、経済面でも、データ完全性の面でも、ビジネスに及ぶ影響は増大する。中小企業では自社ビジネスへのコストを、データ侵害に直ちに気付いた場合でも2万8000ドル、1週間以上気付かれないままであった場合には10万5000ドルと見積もっている。大企業は、検知システムを配備してある場合でも経済的損害の見積額は39万3000ドルに上り、1週間以上気付かれないままであった場合には100万ドルを超えると見積もっている。


    復旧コストvs.セキュリティ侵害の発見に要した時間(中小企業)※カスペルスキー提供

    復旧コストvs.セキュリティ侵害の発見に要した時間(大企業)※カスペルスキー提供

     以上のような結果から、Kaspersky Labでは、サイバー攻撃が不可避なものである一方、経済的(および風評的)影響を低減するにあたって利用可能な予算とリソースをいかに使うかが、今後数年にわたり企業の必須要件となってゆくであろうと指摘している。結果として損失が発生するとはいえ、重要な点は損失を最小限に留めることにあるのだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]