調査

最も「高く付く」のは、ゼロデイ脆弱性侵害や標的型攻撃 --Kaspersky

NO BUDGET 2016年10月08日 07時00分

  • このエントリーをはてなブックマークに追加

 Kaspersky Labは9月20日、B2B Internationalと共同で実施した調査のレポートを発表した。この調査では、世界25カ国の4000社を超える企業を対象とし、情報セキュリティ予算、インフラの複雑さ、セキュリティ脅威とセキュリティソリューションに対する姿勢、データ侵害による実際のコスト、セキュリティインシデントの経験について調べたもの。レポートでは特に、自社を保護するために企業がかけるコスト、サイバーセキュリティインシデントからの復旧にかかるコストなど、サイバーセキュリティの経済的側面に焦点を当てている。

 主な調査結果は以下の通り。

  • 情報セキュリティ予算は今後3年間で平均14%の増加が予想されている
  •  いずれの規模の企業も、情報セキュリティの投資利益率(ROI)を組織上層部に対して実証することは難しいとしながらも、後悔するよりは大事を取った方がよいとの理由から、ROIにかかわらず情報セキュリティの改善に投資を継続する意向を示す傾向にある。


    ※カスペルスキー提供

     またその予算を金額で見ると、零細企業の3分の2(66%)で情報セキュリティの年間支出が1000ドル未満であるのに対し、大企業の68%は100万ドル超を支出している。


    ※カスペルスキー提供

    情報セキュリティ予算の割合(企業規模別)※カスペルスキー提供
  • セキュリティへの投資を行う主な理由は企業規模を問わず「ITインフラの複雑性」
  •  特に大企業は、情報セキュリティの支出を増大させる一番の理由として、ITインフラのさらなる複雑化を挙げている(48%)。中小企業の42%も同様である一方、零細企業については、インフラの複雑化を予算増加の主要因としたのは4分の1(24%)に留まり、新規事業活動または事業拡大を一番の理由に挙げている(35%)。

  • セキュリティインシデント1件あたりの平均復旧コストは中小企業で8万6500ドル、大企業では86万1000ドル
  •  過去1年だけを見ても、企業の3分の1超が、ウイルスおよびマルウェアの影響による生産性の損失(38%)と、社員によるITリソースの不適切な使用(36%)を経験。5社に1社(21%)は、標的型攻撃によるデータの損失または流出を経験している。


    過去1年間に経験したセキュリティ関連トラブルのタイプ:経験ありと回答した企業の割合・トラブルタイプ別(全企業合算)※カスペルスキー提供

     企業が経験した全インシデントのうち、ほぼ半数(43%)が何らかのデータ侵害、データ損失、またはデータ流出に至っていた。具体的な数字を挙げると、1回のデータ侵害および攻撃が及ぼす経済的影響の平均額は、中小企業で8万6500ドル、大企業では86万1000ドルにのぼると見積もられている。中小企業と大企業のどちらにおいても、ITスタッフの配備や配置替えが最大の追加コストになっている。

     なお、セキュリティ侵害の影響はITリソースの追加雇用に留まらないのが常であることから、調査ではセキュリティ侵害の全体的な影響をより正確に見積もるため、復旧コストをいくつかのカテゴリに分けて質問している。結果は下図の通り。


    データ侵害による財政上の平均的影響(中小企業)※カスペルスキー提供

    データ侵害による財政上の平均的影響(大企業)※カスペルスキー提供
  • 最も「高く付く」タイプの攻撃はゼロデイ脆弱性および標的型攻撃を利用したセキュリティ侵害
  •  また、企業財政への影響を攻撃のタイプ別にみると、これまで知られていない「ゼロデイ」脆弱性の影響によるコストは、件数としては少ないながらも、中小企業で14万9000ドル、大企業で200万ドルと見積もられている。標的型攻撃の場合は中小企業で14万3000ドル、大企業で170万ドルとなった。

     なお、中小企業はモバイル機器によるエクスプロイトを問題として挙げ、大企業は政治的な意図をもったハッカーの行為による影響の強さを報告している。

  • 情報セキュリティ部門による迅速な行動がコストを抑制
  •  データ侵害に気付かない期間が長いほど、経済面でも、データ完全性の面でも、ビジネスに及ぶ影響は増大する。中小企業では自社ビジネスへのコストを、データ侵害に直ちに気付いた場合でも2万8000ドル、1週間以上気付かれないままであった場合には10万5000ドルと見積もっている。大企業は、検知システムを配備してある場合でも経済的損害の見積額は39万3000ドルに上り、1週間以上気付かれないままであった場合には100万ドルを超えると見積もっている。


    復旧コストvs.セキュリティ侵害の発見に要した時間(中小企業)※カスペルスキー提供

    復旧コストvs.セキュリティ侵害の発見に要した時間(大企業)※カスペルスキー提供

     以上のような結果から、Kaspersky Labでは、サイバー攻撃が不可避なものである一方、経済的(および風評的)影響を低減するにあたって利用可能な予算とリソースをいかに使うかが、今後数年にわたり企業の必須要件となってゆくであろうと指摘している。結果として損失が発生するとはいえ、重要な点は損失を最小限に留めることにあるのだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]