情報漏えいインシデントに関するIBMの年次調査の2019年度版報告書によれば、平均総コストは前年度比1.5%増の392万ドル、情報漏えいの発生から収束(被害の拡大が停止したと判断された時点)までの平均期間は同4.9%増の279日だった。同社では、「インシデント対応」「暗号化」「自動化技術」が、情報漏えいに伴う損害を減らす要素になると分析している。
この調査は14年目を数え、2019年版では日本を含む16カ国の17業種・507社を対象に、情報漏えいのコストやセキュリティ対策状況などを調べた。ここで言うコストは、「検知と報告」「漏えいした情報やデータの主体(個人や取引先など)および監督機関などへの通知」「対応作業などの実費/法的費用や罰金」「逸失収益(平時の事業で得られたであろう売上や利益など)」をもとに算出しているという。
情報漏えいインシデントにおけるコストの内訳(出典:日本IBM)
総コストに占める割合が最も高いのは「逸失収益」で、全体の36.2%(142万ドル)に上る。以下は「検知と報告」が31.1%(122万ドル)、「対応作業などの実費/法的費用や罰金」が27.3%(107万ドル)、「情報やデータの主体および監督機関などへの通知」が5.4%(21万ドル)となっている。こうしたことから、総コストを減らすポイントは「逸失収益」と「検知と報告」での抑止になるようだ。
総コストに影響する要素を分析したところ、CSIRTなどインシデント対応チームの設置によって36万ドル、インシデント対応計画の策定およびテストを実施していることで32万ドルのコスト削減効果があるという。インシデント対応チームの設置もしくはインシデント対応計画のある企業での平均コストは360万ドル前後で、両方を有する企業では351万ドル。いずれも持たない組織では474ドルに上り、その差は120万ドルに達するという。
この他に、暗号化の実施によって36万ドルのコスト削減効果があることも判明した。さらにセキュリティ対策の自動化技術(異種混在の対策機能を統合するオーケストレーションツールやデータの機械学習、人工知能による脅威分析など)も有用だとした。自動化技術を多く導入している企業でのコストは265万ドル、導入していない企業のコストは516万ドルで、2倍近い差がある。
セキュリティ自動化技術の導入の有無ではコスト差は2倍近くに達する(出典:日本IBM)
インシデント対応体制や自動化技術は、インシデントの発生段階における事態把握や緊急調査などの初動を円滑にする上で不可欠になる。暗号化は、データや情報の内容が第三者に参照されるのを防ぐ上で有効だ。これらは、インシデント初期の「検知と報告」におけるコストの増大化を抑止する。初期段階で実被害を抑止できれば、結果的に「逸失収益」コストの抑止にもつながっていく。
報告書について日本IBM セキュリティー事業本部 コンサルティング&システムインテグレーション理事 パートナーの小川真毅氏は、「情報漏えいインシデントの防止にこだわる企業は多いが、100%防止できない以上、実際の被害をできるだけ少なくさせる対応に取り組むべき」と解説する。
なお日本企業は、平均総コストが前年度比10.7%増の375万ドル(4億1100万円)で、16カ国中では7番目に多い。発生から収束までの平均期間は同9.5%増の311日で、16カ国中では3番目に長い。インシデント1回当たりの漏えい件数は2万445件で、16カ国中15位と少ない。しかし、インシデントの発生で顧客が離れた割合は4.3%に上り、16カ国中3番目に高い。自動化技術の導入率(全体的および部分的の合算)は49%で、16カ国中10位ながら、「われわれの肌感覚では日本企業の導入率はこの数字より低く、全く進んでいない印象」(小川氏)という。
ユニークなのは中東とドイツだ。平均総コストは、中東が597万ドルで16カ国中2位、ドイツが478万ドルで16カ中2位と、いずれも上位にある。自動化技術の導入率は、ドイツが70%で16カ国中トップ、中東も68%で16カ国3位となっている。しかし、インシデントの発生から収束までの平均期間は、ドイツが170日で16カ国中最短、中東は381日で最も長い。
16カ国のセキュリティ自動化技術の導入状況。トップはドイツ(出典:日本IBM)
16カ国におけるインシデント発生から収束までの平均期間。最長は中東、最短はドイツ(出典:日本IBM)