特に大規模なデータ漏えいに伴うコストの平均がこの1年で増加した。こうしたセキュリティ問題の影響を受けた企業は、平均で3億9200万ドル(約412億円)の支出が見込まれるという。
今やデータ漏えいは日常茶飯事となり、企業を標的にしたサイバー攻撃によって、新しいサイバー保険業界が登場し、データの保護を怠った企業に対して規制当局による訴訟や集団訴訟が続々と起こされるとともに、欧州連合(EU)の一般データ保護規則(GDPR)など、セキュリティが甘いデータ管理者に多額の罰金を科すことを定めた新しい法律が制定された。
だが、データ漏えいは次々と起こり続け、地下フォーラムでの販売を目的とした消費者データの窃盗や、ID盗難の危険性増大につながるケースもある。
データ漏えいの事後処理のため、企業は、システムの復旧やアーキテクチャーのアップグレードに資金を支出したり、新たなサイバーセキュリティサービスやサイバーフォレンジックに投資したりする必要が生じるかもしれない。また、訴訟や規制当局による罰金に直面する可能性もある。顧客のPII(個人を特定できる情報)が絡んでいれば、コストは年々増加し続ける。
IBMは米国時間7月29日、平均的な情報漏えいコストは386万ドル(約4億600万ドル)だとする年次レポート「Cost of a Data Breach Report」(情報漏えいコストに関するレポート)を発表した。2019年と比べると、この平均額は1.5%減少しているが、5000万件超のデータが漏えいした「大規模な」漏えいでは、復旧コストが平均3億9200万ドル(約412億円)で、2019年の3億8800万ドル(約408億円)から増加している。4000万~5000万件のデータが漏えいした場合の平均コストは3億6400万ドル(約382億円)。
顧客のPII1件当たりの平均コストは175ドル(約1万8400円)だ。また、事件の80%は顧客PIIの流出につながっていた。
調査では、2019年8月~2020年4月の間にデータ漏えいを経験した企業で働く3200人以上のセキュリティ専門家から話を聞いた。
従業員や内部関係者のアカウントの乗っ取りは、先ごろTwitterで起こったハッキングからわかるように、現在はデータ漏えいで最もコストがかかる要因の1つで、そのようなデータ漏えいのコストは最大で477万ドル(約5億100万円)となる。
アカウント認証情報の盗難とクラウドの設定不備によるデータ漏えいは、いずれも全体の19%を占めた。
ゼロデイ脆弱性や企業向けソフトウェアの未修正のセキュリティ脆弱性など、サードパーティーの脆弱性の悪用も、データ漏えいコストが高くつく要因だ。こうした脆弱性が原因となってデータ漏えい被害を受けた企業は、平均約450万ドル(約4億7300万円)の支出が見込まれる。
国家の支援を受けた攻撃は、他の原因に比べればかなり少なく、企業が報告したデータ漏えいの13%を占めるにとどまる。だが、国家の支援を受けたハッカーが事件に関わっている場合、引き起こされた被害の復旧コストは高くつくことが多く、平均では443万ドル(約4億6500万円)となっている。
企業がサイバー保険をかけていた場合、損害額は平均で20万ドル(約2100万円)抑えられる。保険の支払金の大部分は、法的サービスやコンサルタントの料金に充てられるとみられる。
IBM X-Force Threat Intelligenceのバイスプレジデントを務めるWendi Whitmore氏は次のように述べた。「企業がデジタルフットプリントを加速度的に拡大し、セキュリティ業界で有能な人材の不足が解消されない時代に、保護対象となるデバイスやシステム、データが増えて、セキュリティチームは悲鳴を上げている。企業がデータ漏えいの影響を緩和できるかどうかについては、自動化技術に投資してきた企業が明らかに有利だということがわかり始めている」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。