米IBMのセキュリティ部門は、2018年度の「情報漏えいのコストに関する調査」の結果を発表した。
これによると、情報漏えいにおける“目に見えない”コスト(ビジネス機会の喪失、企業評価への悪影響、および従業員が復旧に費やす時間)の管理は容易でなく、大きな出費を要することが明らかになった。例えば、「大規模な漏えい」(レコードの損失件数が100万件を超える漏えい)のコストの3分の1はビジネス機会の喪失によって生じるものであるという。
調査結果を分析したところ、レコード件数が5000万件の漏えいの場合、ビジネス機会の喪失に関するコストは推定で約1億1800万ドルに上り、漏えいの総コストの約3分の1を占めるという。
この調査は、情報漏えいが発生した約500社を対象にした詳細なインタビューをベースにしている。2017年2月にデータ収集を開始し、2018年4月にインタビューを完了。調査は、同社がスポンサーとなりPonemon Instituteが実施した。IBMのセキュリティ部門は、エンタープライズ向けセキュリティ製品とサービスを集結したポートフォリオを提供する。
今回の調査では、初めて「大規模な漏えい」(レコードの損失件数が100万件から5000万件までの漏えい)に関するコストも計算され、企業で大規模な漏えいが発生した場合、4000万ドルから3億5000万ドルのコストが発生するという見積りが出された。
大規模な漏えい(100万件を超えるレコードの漏えい)の件数は、この5年でほぼ倍増しており、2013年には9件しか発生していなかったが、2017年には16件に増加している。
今回の調査では、過去2年間に大規模な漏えいが発生した11社を対象にした分析に基づき、統計モデリングを用いて、レコードの漏えい件数が100万件から5000万件までの漏えいのコストを見積もった。
その結果、レコードの漏えい件数が100万件の情報漏えいの平均コストは約4000万ドルで、レコード件数が5000万件の場合、漏えいの推定総コストは3億5000万ドルになることが分かった。また、これらの漏えいの大半(11社中10社の漏えい)が(システム障害やヒューマンエラーではなく)悪意のある攻撃や犯罪者の攻撃によるものだった。
さらに、大規模な漏えいの検出および抑制にかかる平均日数は365日で、小規模な漏えいの検出および抑制にかかる平均日数(266日)よりも約100日長いことも判明した。
漏えいしたレコード件数が10万件未満のコストについては、2014年度の調査では平均コストが350万ドルだったが、2018年度の調査では386万ドルに上昇している。
また、この場合のデータ漏えいの特定に要する平均日数は197日で、特定後のデータ漏えいの抑制にかかる平均日数は69日だった。さらに30日以内に漏えいを抑制した企業は、漏えいの抑制に30日よりも長くかかった企業と比べて100万ドルを超えるコストを節約できている。
今回の調査では、人工知能、機械学習、分析およびオーケストレーションによるセキュリティ自動化ツールの効果について初めて調査した。
その分析の結果、セキュリティ自動化テクノロジを広範囲にわたって導入している組織は、漏えいの総コストを150万ドル以上節約できていることが明らかになったという。
国別では、漏えいコストの平均額が最も高かったのが米国の企業で791万ドルだった。また、業種別では、8年連続で医療系企業が情報漏えい関連のコストの最高額を記録しており、記録の喪失や盗難は1件あたり408ドルの損失につながっているという。これは、全業種平均(148ドル)のほぼ3倍にあたる。
