日本IBMは9月5日、「2024年データ侵害のコストに関する調査レポート」の日本語版を発表した。調査によると、2024年におけるデータ侵害の世界平均コストが488万ドル(9月5日時点の日本円換算で約7億円)に達したほか、データ侵害コストは前年比10ポイント増となり、パンデミック以降で最大の伸びになったという。また、データ侵害を受けた組織の70%が侵害により、重大な中断が生じたとのことだ。
調査レポートの概要
レポートは、2023年3月~2024年2月までの期間で世界604社が経験した実際のデータ侵害の詳細な分析にもとづいている。19年連続で発表し、米調査会社Ponemon Instituteが調査を行い、6000を超える組織のデータ侵害を調査したもの。
データ侵害による付随的な被害が激化しているため、事業の損失、侵害後の顧客や第三者への対応によるコストが前年比でコスト急増の原因となっている。データ侵害が企業に与える影響は、コストを押し上げるとともに、侵害の影響を長引かせており、完全に復旧ができた少数の組織(12%)の大半は、復旧に100日以上かかっているという。
今回の調査結果をふまえ、日本IBM 理事/パートナー コンサルティング事業本部 Cybersecurity Servicesの藏本雄一氏は「データ侵害による平均被害額は前年比43万ドル増の488万ドル、継続してデータ侵害される平均時間は同19日間短縮の258日となった。顕著だったのはAIと自動化による効果が見込めることが分かり、セキュリティ向けAI/自動検知の利用有無により、封じ込め期間の差は98日、被害額差は220万ドルになり、AIと自動化で効率化が図れる」と説明した。
世界の平均総コストが4年連続で過去最高を記録
続いて、日本IBM コンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者の窪田豪史氏が調査の詳細を説明した。
まず、2024年におけるデータ侵害の世界平均コストが488万ドルとなり、日本国内平均は前年比5ポイント増の6億3000万円とともに過去最高を記録し、業種別では製造業で対応コストが最も増加した。医療業におけるデータ侵害時の平均コストは前年比10.6%減の977万ドル(同約14億円)となったが、14年連続で業種別では1位となった。
コストのカテゴリー別では「機会損失」「検知とエスカレーション」「侵害後の対応」「通知」の4カテゴリーすべてが増加し、特に機会損失と侵害後の対応へのコストが平均総コストを押し上げた要因になったという。
また、検知・封じ込めに要する日数は前年比19日短縮の258日と、検知・封じ込めに要する日数ともに過去7年間では最も短くなった。初期攻撃ベクトル別の平均総コスト・頻度については、平均総コストが最も高いのは何からしらの不満を抱く現・元従業員などの悪意のあるインサイダー、頻度は昨年に引き続きフィッシングは高いが、窃取・侵害された認証情報に利用が最も高い結果になった。
窪田氏は「認証情報が悪用されることが多くなっており、注意すべき侵入経路になっている。これに限らず、全体的に正規ユーザーを騙った攻撃者、または正規ユーザー自身が引き起こした侵害でコストが高い傾向」と述べている。
検知・封じ込めに関しては、検知は正規の活動と攻撃者の活用を識別するため長期化するほか、未知のゼロデイ脆弱性を用いた攻撃では封じ込めまでの期間が長く、対策方法が限られているからだという。
データ侵害の対応日数が200日未満と200日以上のコスト差は、前年の102万ドルから139万ドルに拡大し、200日以上のコストは前年比10.3ポイント増加し、対応のスピードが鍵を握るようだ。
日本の平均コストと検知・封じ込めの状況
一方、日本の総平均コストは前年比5ポイント増と世界平均の増加率10%より緩やかだが、依然として増加傾向に歯止めがかかっていない。
コストのカテゴリー別では「検知とエスカレーション」のコストが過去7年で初めて減少傾向となり、1つの要因としてAIや自動化ツールの導入などによる対応の効率化が考えられるという。
検知・封じ込めに関しては、検知に要する日数は世界平均194日を下回る193日ではあるものの、封じ込めに要する日数は世界平均64日を上回る71日となり、封じ込めが課題となっている。
グローバルで約半数の組織でセキュリティ人材が不足
人材に関してはセキュリティスキルの不足が顕著になっており、侵害後に従業員教育を含むセキュリティ投資を計画した組織が増加。熟練したセキュリティ要員が不足していると回答した組織は前年比11%ポイント増の53%と半数を占め、スキル不足が深刻な組織は問題のない組織と比較して176万ドルのコスト高を引き起こし、セキュリティスキルの不足は侵害コストの増加に等しいと指摘している。
さらに、ランサムウェアを含む脅迫攻撃は対応コストの増大と検知・封じ込めの長期化につながり、「破壊的攻撃」「データ窃取」「ランサムウェア」の3種類の攻撃すべてで対応コスト、検知・封じ込めが全体の平均を上回る結果となった。
加えて、管理されていなデータソースに保存されたデータであるシャドーデータが関与する侵害ではコスト、封じ込めまでの期間ともに増加し、調査された侵害の35%でシャドーデータが含まれた。侵害に含まれたシャドーデータはクラウド環境だけでなく、オンプレミス環境にも存在しているとのことだ。
AIと自動化を広範に使用している組織と、そうでない組織の差は大きい
そして、冒頭でも藏本氏が言及していたAIと自動化に関する調査結果について話題が移った。セキュリティにAIと自動化ツールを広範囲に使用している組織は前年比3ポイント増の31%、限定的に使用している組織でも同3ポイント増の36%となり、広範に使用している組織とそうでない組織では、188万ドルのコスト差があり、これらの差は拡大しているという。
「予防」「検知」「調査」「対応」の4つの領域別に効果を測定したところ、予防への適用がコスト削減と対応期間の短縮に最も効果的であると判明した。予防へのコストを広範に使用している組織と、そうではない組織における予防へのコストは222万ドル差、対応期間は111日差もあることが分かった。
また、データ侵害を受けた組織が侵害後にセキュリティ投資の増額を計画した割合が前年比12ポイント増の63%と約3分の2を占める結果になり、投資対象では昨年から引き続き、IR計画の作成やテスト、脅威検知・対応製品、従業員教育の導入が上位になった。
このような調査結果について、同社では推奨事項として「データや資産の特定と管理」「AIと自動化の活用」「AIモデル自体の保護」「サイバー対応トレーニングのレベルアップ」の4つを挙げている。
説明会の最後に藏本氏は「この4つを意識して対応していくことがポイント。被害額の軽減や侵害期間を短縮するなど経営へのダメージを軽減するためには、AIと自動化は効果的だ。これによりコストを削減し、侵害期間を短縮してもらいたい。実際、AIと自動化を導入している企業は導入していない企業と比較し、98日間早く封じ込め、220万ドルのコストを軽減することを可能としている」と、念を押していた。