インシデント・レスポンス

情報漏えい後に実行できる、コスト軽減に役立つ 5つのこと

2019-12-16

カテゴリー CISO | X-Force | インシデント・レスポンス

記事をシェアする:

情報漏えいを未然に防ぐことは、組織にとってますます複雑な問題となっています。さらに、情報漏えいの平均コストは上がり続け、Ponemon Institute社がIBM Securityの依頼により実施した最新の「情報漏えいのコストに関するレポート」によると、2019年には調査対象組織で平均392万ドル (約4.2億円) に達しています。保護対策がサイバーセキュリティーの根幹であるにもかかわらず、漏えいの確率も上昇しています。このことが、漏えいが起きるという、不可避に思えることへの対応計画を立てるセキュリティー・チームにプレッシャーを与えています。

こうした傾向について組織が抱える明らかな不安をよそに、「情報漏えいのコストに関するレポート」での心強い調査結果の 1つが、情報漏えいコスト軽減におけるインシデント対応の効果(英語)です。サイバー・インシデント発生後に何をするかによって、本当にコストの点で違いを生むのです。

 

情報漏えいのコストの要因

「情報漏えいのコストに関するレポート」では、2018年と2019年の12カ月以上にわたり、500社を超える組織での情報漏えいのコストに影響を与えた数百の要因について調べました。これには、検知と通知のコストから、規制の違反金、訴訟費用、ビジネスの損失機会まで含まれます。この調査の良いところは、これらの各要因が、良くも悪くもどのようにコストに影響するかを理解できる点です。

私たちがIBM X-Force Incident Response and Intelligence Servicesチームで話しているのは、サイバー・インシデントへの迅速な対応と、影響を最小限に留める能力が、災難を封じ込めることができるか、広範囲に及ぶ大惨事になってしまうかの違いを生むということです。つまり、「時は金なり」です。データがそれを裏付けているようです。

2019年のレポートで調査された情報漏えいのコストの主な要因の 1つが、漏えいの検知と阻止にかかる時間です。これは情報漏えいライフサイクルと呼ばれるものです。2019年の調査における平均的な情報漏えいライフサイクルは279日でしたが、今回の調査対象組織のうち、200日未満で漏えいを阻止した組織でかかったコストは、漏えいの阻止に200日超かかった組織よりも平均で約120万ドル少なく(334万ドル対456万ドル)、37%の違いがありました。

このコストの違いの一因となった調査対象の要因には、漏えいの種類がありました。最もコストのかかる漏えいは悪意のある攻撃者(外部犯罪者でも、悪意のある内部関係者でも)が引き起こしたものであり、悪意を持つ攻撃者が引き起こした漏えいの場合、特定と阻止にはるかに長い時間がかかりました(全体の平均279日に対して、平均314日)。これは、漏えいの特定と阻止にかかる時間が長くなればなるほど、攻撃者がシステム内で動き回って損害を引き起こす時間が増え、漏えいの調査と損害の処理により多くのコストがかかるためだと考えられます。

これは、2017年に数十億ドルの損害を与えた NotPetya(英語)の流行や、もっと最近では LockerGoga の攻撃など、ワイパー・ランサムウェアを含む破壊的攻撃の場合に特に当てはまります。破壊的攻撃に関する最新のIBM Security X-Forceレポートで、こうした攻撃を受けたIBM Security X-Forceクライアントにかかったコストに注目したところ、大規模多国籍企業では平均2億3900万ドルのコストであり、平均的な情報漏えいコストの61倍でした。

 

インシデント対応チームと計画のテスト

2019年の調査で調べられた26の要因の中で、情報漏えいの総コストを軽減するために最も影響のある方法の 2つは、インシデント(英語)対応に関わるものです。インシデント対応チームを結成することが、最も有効なコスト軽減要因であり、情報漏えいの平均総コストを360,000ドル削減しました(全体の平均392万ドルに対し、修正平均コスト356万ドル)。次がインシデント対応計画を広範囲に渡って検証することであり、平均総コストを320,000ドル削減しました(修正費用360万ドル)。

何よりも印象的なのは、調査対象組織のうち、インシデント対応チームを持ち、なおかつインシデント対応計画を検証済みであった組織の平均総コストは351万ドルであったのに対し、インシデント対応チームを持たず、インシデント対応計画を検証しなかった組織の平均総コストは474万ドルであったことが、この調査によって判明したことです。

これは123万ドルのコスト節減であり、35%もの削減を意味します。この調査結果から得られるのは、インシデント対応チームの組織化(英語)とインシデント対応計画の策定が大きな差に繋がるということです。漏えいへの対応と防御にあたる時間を短縮し、漏えいの総コストを削減するには、チームに深く根付くまで、何度も繰り返し実践を行い続ける必要があります。

 

インシデント対応を改善し、財務上の影響を最小限に抑えるための手順

予防が常に可能なわけではありません。そのため、サイバー・インシデントの副次的な影響を最小限に抑えるには、準備と計画が不可欠です。私は、企業の対応時間を短縮し、情報漏えいによる財務上および評判の損害を最小限におさえるため、次の 5つの方法を提案します。

  1. インシデント対応チームの組織化と計画の検証
    インシデント対応の有効性は、計画の策定、計画の検証、効果的でない対策の発見、計画の適切な調整によって決まります。しかし計画は、それを実行する人次第です。どんなに難しい状況でも対応できるよう、チーム全員でリーダーシップ、コミュニケーション、意思決定のスキルを磨くことが必要です。机上演習は役に立ちますが、サイバー・レンジなどのシミュレーション環境を使用することで、感情的および身体的な反応能力をより鍛えることができるでしょう。
  2. 漏えいを迅速に検知および阻止する能力を向上する技術への投資
    オーケストレーションの自動化を支援できる、企業向けの検知と対応ツールを含め、テクノロジーを駆使してできる限り対応を自動化してください。「情報漏えいのコストに関するレポート」では、セキュリティーの自動化により、調査対象組織の情報漏えいのコストを50%も削減できることが分かりました。セキュリティーの自動化が完全に導入されている組織の2019年の情報漏えい平均コストが265万ドルであるのに対し、セキュリティー自動化が導入されていない組織の平均コストは516万ドルでした。
  3. 脅威インテリジェンスを活用したリスクの把握とセキュリティーの最適化
    2019年「情報漏えいのコストに関するレポート」で、調査対象組織の漏えいの51%は、悪意のある攻撃または犯罪攻撃によるものでした。脅威インテリジェンスは、攻撃者のさまざまな動機、能力、意図について洞察を提供し、組織がリスクを把握してより効率的なセキュリティー投資を行うことを助けます。
  4. システムとデータのバックアップと事業継続性計画 (BCP) の策定
    ビジネスの機会損失は、2019年の情報漏えいレポートで調査された 4つの主要なコスト・カテゴリーのうち最大のカテゴリーであり、検知とエスカレーション、通知、事後対応に伴う費用(訴訟費用など)よりも高コストでした。システムのシャットダウンや復旧コストのかかる破壊的攻撃によるデータまたはシステムの消去によって漏えいコストを増大させたい人はいません。組織は、バックアップをオフラインで、1次システムからアクセスできない場所に保管し、攻撃者がそれを侵害できないようにするべきです。
  5. 他がすべて失敗したら、専門家に連絡
    組織のインシデント対応チームが準備不足であったり、どうしていいか分からない場合は、破壊的攻撃などの複雑なサイバー・インシデントの処理を専門に扱うインシデント対応サービス・プロバイダーの採用を検討してください。インシデント対応リーダーは、攻撃の阻止だけではなく、ビジネスが再び稼働できるように、修復と復旧も支援します。対応が失敗する時のコストを考えれば、本当に必要な時に支援を乞うことは恥ずかしいことではありません。

【関連情報】

2019年「情報漏えいのコストに関するレポート」

IBM X-Force Incident Response and Intelligence Services

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者紹介】

Wendi WhitmoreWendi Whitmore

Wendi Whitmoreは、インシデント対応、事前対応と戦略的な情報セキュリティー・サービス、インテリジェンスと情報漏えい調査において15年の多様な経験を持つテクニカル・リーダーです。IBMでは、グローバルX-Forceインシデント対応、事前対応サービス、脅威インテリジェンスの活動を含むIBM Security X-Forceの創設に貢献しました。Wendiは、人々、インフラストラクチャー、データ、テクノロジーを活用し、世界中のお客様で、ターゲットとなる脅威に対する検知と防御の手腕を発揮しています。IBMに入社する前はCrowdStrike Services社のバイス・プレジデントとして働いていました。CrowdStrike社では、同社が提供するすべての専門サービス・オファリングとエンゲージメントを担当していました。Wendiのチームは、テクノロジー、防衛産業基盤、エネルギー、重要インフラの分野のFortune 500の企業や、米国連邦政府の重大なセキュリティー侵害に対応しました。この任務では、P&L、営業と事業開発、求人採用の取り組みの管理についても担当していました。

この記事は次の記事の抄訳です。

5 Things You Can Do After a Data Breach to Help Mitigate Cost (英語)


前の記事

「CODE BLUE 2019」参加レポート

次の記事

TrickBot (トリックボット)、年末年始を目前に日本への感染活動を拡大
More インシデント・レスポンス stories

X-Force

2022-03-02

IBM Security X-Forceリサーチ・アドバイザリー:ウクライナに対する新しい破壊的なマルウェアサイバー攻撃

本ブログはIBM Security X-Forceのアン・ジョブマン、クレア・ザボエワ、リチャード・エマーソンによって書かれました。 2022 年 2 月 23 日に、オープンソースのインテリジェンス・ソースは、ウクライ […]

さらに読む

X-Force

2021-10-14

X-Force Cloud Security Landscape Reportをリリース

2021年9月15日にIBM Security X-Forceはクラウド環境を標的とした脅威統計に関しての調査結果レポートを発表しました。 (レポートの詳細はこちら)→ X-Force Report: No Shorta […]

さらに読む

CISO

2021-07-02

Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.1 構想のポイント

多くの企業が、サイバー脅威への対応としてセキュリティー監視や有事対応の態勢を整備しています。昨今は特に、1) 脅威を如何に予防するか(Cyber Hygiene)、2)脅威に如何に集団防衛で立ち向かうか(Collecti […]

さらに読む