情報漏えい時に発生するコストの三大要因とその軽減策

記事をシェアする:

データ侵害、情報漏えい発生時のコストは、過去6年間の平均で微増しています。Ponemon Institute が調査を実施し、IBM Security が発表した「情報漏えい時に発生するコストに関する調査：Cost of a Data Breach Report 2020」(PDF, 7.6MB)によると、そのコストは2014年から10%上昇し、386万ドルとなっています。

この調査では、特に3つの分野が組織にとって最も大きなコストインパクトを持つことが示されています。セキュリティー自動化、十分に訓練されたインシデント対応能力、クラウド環境の安全性など、情報漏えい発生時のコストを軽減するために組織が講じることができるステップをご覧ください。

数字の裏側に見えること

具体的には、この調査で最も準備ができていない組織と最も準備ができている組織、つまりプロアクティブで対応力のあるセキュリティー対策のベストプラクティスを持っている組織とそうでない組織のコストの差は、過去数年間で拡大傾向を示しています。

この調査は、最近の世界的な情報漏えい事案524件に基づいており、2019年からは、情報漏えい発生時の平均コストはわずかに低下していることがわかりました。この統計には、重要な関連性が隠されています。高度なセキュリティー・プログラムを導入していた組織は、情報漏えい発生時の平均コストが大幅に低下していたのです。一方、そのようなプログラムを導入していない企業は、平均コストがはるかに高く苦戦していました。

言い換えると、サイバーセキュリティーへの投資によるコスト軽減額が増加しているということです。

ここでは、2020年の情報漏えい発生時のコストに最も影響を与える3つの要因を紹介します。

セキュリティー自動化・インシデント対応業務

第一に、今年の報告書の数字は、データ侵害から保護するために効果的で効率的なセキュリティー管理を行うことが、攻撃によるコストを低下させるという説得力のある証拠を示しています。

レポートでは、セキュリティー自動化が情報漏えい発生時の平均コストに大きな影響を与えることが示されています。本調査では、セキュリティー自動化とは、ITスタッフが通常行っていることを補強したり、代替したりするセキュリティー技術を可能にすることを意味します。人工知能、機械学習、アナリティクス、自動化されたオーケストレーションを使用するSIEMツールなど、あらゆるセキュリティー・ソリューションが含まれます。

レポートの結果によると、セキュリティー自動化技術を導入していない企業は、これらの技術を完全に導入している企業よりも、情報漏えい発生時の平均的なコストがはるかに高く、情報漏えいを特定して食い止めるまでの時間もより多くかかりました。セキュリティー自動化を完全に導入した組織の平均総コストは245万ドルであったのに対し、セキュリティー自動化を導入していない組織の平均は603万ドルであり、その差は358万ドルでした。

インシデント対応計画の適用（IR）もまた最もコスト軽減に寄与しています。しっかりと訓練をして対応計画の検証も行っているインシデント対応チームは、平均200万ドルのコスト軽減に貢献しています。

その利点は年々増加しています。2019年には、IRチームの有無によるコスト軽減の123万ドルでした。2020年の調査での200万ドルという差は、2019年と比較して63%も上昇しています。

これらの調査結果にもかかわらず、多くの組織では、まだセキュリティー自動化が完全に導入されていません。この調査では、セキュリティー自動化を完全に導入している組織は、わずか5分の1にすぎませんでした。しかし、企業がセキュリティー自動化への投資を行っている企業が増えてきています。セキュリティー自動化を完全に導入している組織の数は、2019年の16％から2020年には21％に増加しています。

セキュリティー自動化を導入していない組織の割合は、2019年の48％から2020年には41％に減少しました。また、2020年の調査では、セキュリティー自動化を部分的に導入していると回答した組織の割合は38％でした。これは、2019年調査のセキュリティー自動化を部分的に導入した36％から増加しています。

大多数の組織では、まだセキュリティー自動化を組織内に導入するための対策を講じることができます。インシデント対応時間を短縮し、情報漏えい発生時のコストを軽減できるかもしれません。

データ侵害に直面しても「時は金なり」

情報漏えい発生時に、どうして低コストと高コストの差が拡大しているのでしょうか？時間が大きな要因です。情報漏えい発生時のコストは、漏えいを特定して封じ込めるまでにかかる時間（情報漏えいのライフサイクル）と相関しています。2020年には、ライフサイクルが平均200日未満の漏えいが発生した場合、組織のコストは321万ドルに過ぎません。しかし、ライフサイクルが200日を超えると、平均コストは30%上昇して433万ドルとなります。

情報漏えいの期間が長いほどコストが高くなるのであれば、特定のスピードを上げることがコストの軽減につながると考えられます。セキュリティー自動化は、情報漏えい発生時の平均的なコストの大幅な低下と関連性がありましたが、漏えいの検出と封じ込めのスピードも速まりました。セキュリティー自動化が行われていない組織では、漏えいの発見と封じ込めに2ヶ月以上の時間がかかっていました。（234日であったのに対し、308日かかっています）

一方で、漏えい発生時のコストは長期にわたって発生します。顧客を失ったり、規制・法的な罰金などによる損失は、情報漏えい発生時のコストを長期化させる可能性があります。漏えいコストのうち、平均して初年度に発生するのはわずか61%にすぎません。したがって、組織は、情報漏えいの発生後数ヶ月ではなく、何年にもわたって漏えい事案に対する支払いを行う準備をしておく必要があります。

これは、金融やヘルスケアなどの業界で規制の厳しい組織では大きく変わります。2020年の調査では、規制の高い組織では、初年度に44%のコストが発生し、2年以上経過した後に21%のコストが発生していました。規制の少ない業界では、漏えい時のコストの77%が初年度に発生しています。これらのグループでは、漏えい後2年以上経過した後に発生したコストはわずか8%に過ぎませんでした。

クラウドベースの専門知識が利益を生む

今年のレポートのもう一つの傾向として、組織はクラウドのセキュリティーを十分に意識する必要があることが示されています。クラウドの設定ミスは情報漏えいの発生源として最も多く、悪意のある攻撃による侵害の19%を占めていました。さらに、クラウド移行中にデータ侵害を受けた組織では、平均413万ドル、つまり情報漏えい発生時のコストが平均で26万7,000ドル高くなっていました。

クラウド環境は、組織に無数のセキュリティー上のメリットを提供し、セキュリティー・システムの複雑さを軽減することができます。これにより、インシデントへの対応時間が短縮される可能性があります。クラウドへの移行は多くの組織にとって絶対的なメリットですが、この調査は、企業がクラウド移行を正しく行う必要があることも示しています。マネージド・セキュリティー・サービスを利用することは、データ漏えいの平均コストを軽減できる要因の1つでした。

調査レポートの詳細

「情報漏えい時に発生するコストに関する調査」(PDF, 7.6MB)は、情報漏えいによるコストを最小限に抑えるために、セキュリティー対策費用を効率的にどこに割り当てるかを決定するのに役立ちます。ぜひご覧ください。

---

【関連情報】
IBM X-Force Incident Response and Intelligence Servicesの概要はこちらから
X-Force 脅威インテリジェンス・インデックス 2020 公開
IBM Security Summit Japan 2020 のお申し込みはこちらから

【メールでのお問い合わせ】
https://www.ibm.com/account/reg/jp-ja/signup?formid=MAIL-security

Charles DeBeck

Charles DeBeck は、IBM Security X-Force（Incident Response and Intelligence Services）のサイバー脅威インテリジェンスの首席戦略アナリストです。コンピューター・セキュリティー、政治学、法律の学位を取得しており、米国国家安全保障局（NSA）、Deloitte & Touche LLP、IBMでの勤務歴があります。IBMでは、破壊的なマルウェア攻撃、攻撃者によるラテラル・ムーブメント技術、そしてハードウェアの脆弱性に関する発表を行っています。また、Dark Webの研究、サービスとしてのマルウェア（malware-as-a-service）、未知のマルウェア脅威など、さまざまなトピックについて講演を行っています。これまで、米国防総省のシステムに影響を与える非常に高度なマルウェア攻撃について、大統領官邸の職員およびその他の軍関係者やNSAの責任者にブリーフィングを行ってきました。現在は、脅威インテリジェンスを使用して、重要な情報を利害関係者に効果的に伝達しながら、戦術、運用および戦略レベルで組織の防御力を強化することに焦点を当てて活動しています。

この記事は次の記事の抄訳です。
3 Biggest Factors in Data Breach Costs and How To Reduce Them (英語)