大規模なデータ漏えいのコストが増加、平均412億円に

Charlie Osborne (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2020-07-30 13:20

 特に大規模なデータ漏えいに伴うコストの平均がこの1年で増加した。こうしたセキュリティ問題の影響を受けた企業は、平均で3億9200万ドル(約412億円)の支出が見込まれるという。

 今やデータ漏えいは日常茶飯事となり、企業を標的にしたサイバー攻撃によって、新しいサイバー保険業界が登場し、データの保護を怠った企業に対して規制当局による訴訟や集団訴訟が続々と起こされるとともに、欧州連合(EU)の一般データ保護規則(GDPR)など、セキュリティが甘いデータ管理者に多額の罰金を科すことを定めた新しい法律が制定された。

 だが、データ漏えいは次々と起こり続け、地下フォーラムでの販売を目的とした消費者データの窃盗や、ID盗難の危険性増大につながるケースもある。

 データ漏えいの事後処理のため、企業は、システムの復旧やアーキテクチャーのアップグレードに資金を支出したり、新たなサイバーセキュリティサービスやサイバーフォレンジックに投資したりする必要が生じるかもしれない。また、訴訟や規制当局による罰金に直面する可能性もある。顧客のPII(個人を特定できる情報)が絡んでいれば、コストは年々増加し続ける。

 IBMは米国時間7月29日、平均的な情報漏えいコストは386万ドル(約4億600万ドル)だとする年次レポート「Cost of a Data Breach Report」(情報漏えいコストに関するレポート)を発表した。2019年と比べると、この平均額は1.5%減少しているが、5000万件超のデータが漏えいした「大規模な」漏えいでは、復旧コストが平均3億9200万ドル(約412億円)で、2019年の3億8800万ドル(約408億円)から増加している。4000万~5000万件のデータが漏えいした場合の平均コストは3億6400万ドル(約382億円)。

 顧客のPII1件当たりの平均コストは175ドル(約1万8400円)だ。また、事件の80%は顧客PIIの流出につながっていた。

 調査では、2019年8月~2020年4月の間にデータ漏えいを経験した企業で働く3200人以上のセキュリティ専門家から話を聞いた。

 従業員や内部関係者のアカウントの乗っ取りは、先ごろTwitterで起こったハッキングからわかるように、現在はデータ漏えいで最もコストがかかる要因の1つで、そのようなデータ漏えいのコストは最大で477万ドル(約5億100万円)となる。

 アカウント認証情報の盗難とクラウドの設定不備によるデータ漏えいは、いずれも全体の19%を占めた。

 ゼロデイ脆弱性や企業向けソフトウェアの未修正のセキュリティ脆弱性など、サードパーティーの脆弱性の悪用も、データ漏えいコストが高くつく要因だ。こうした脆弱性が原因となってデータ漏えい被害を受けた企業は、平均約450万ドル(約4億7300万円)の支出が見込まれる。

 国家の支援を受けた攻撃は、他の原因に比べればかなり少なく、企業が報告したデータ漏えいの13%を占めるにとどまる。だが、国家の支援を受けたハッカーが事件に関わっている場合、引き起こされた被害の復旧コストは高くつくことが多く、平均では443万ドル(約4億6500万円)となっている。

 企業がサイバー保険をかけていた場合、損害額は平均で20万ドル(約2100万円)抑えられる。保険の支払金の大部分は、法的サービスやコンサルタントの料金に充てられるとみられる。

 IBM X-Force Threat Intelligenceのバイスプレジデントを務めるWendi Whitmore氏は次のように述べた。「企業がデジタルフットプリントを加速度的に拡大し、セキュリティ業界で有能な人材の不足が解消されない時代に、保護対象となるデバイスやシステム、データが増えて、セキュリティチームは悲鳴を上げている。企業がデータ漏えいの影響を緩和できるかどうかについては、自動化技術に投資してきた企業が明らかに有利だということがわかり始めている」

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]