IBM、セキュリティーに関する調査レポートを公開
この1年間の情報漏えい被害額として、
従業員アカウントからの情報漏えいが最も高額に

分析の結果、顧客の個人データが漏えいの80%を占める

AIとオートメーションによりコストが大幅に削減

[米国マサチューセッツ州ケンブリッジ – 2020年7月29日(現地時間)発]IBM Securityは、世界規模で情報漏えいの経済的影響を調査した結果を発表しました。この調査では、情報漏えいインシデントにかかるコストは1回の漏えいあたり平均386万ドルとなり、その根本原因として最もコストが高額になるのが従業員アカウントからの漏えいであることが明らかになりました。情報漏えいを経験した世界中の500を超える組織を対象とした詳細な分析によると、情報漏えいインシデントの80%で、顧客の個人を特定できる情報(PII)の漏えいを引き起こしているとのことでした。漏えいの被害を受けたすべてのデータ・タイプのうち、顧客のPIIがやはり企業にとってコストのかかるものでした。

リモート作業やクラウドを活用した業務などの新しい業務形態を介して企業の機密データへのアクセスが増えているため、今回の調査では機密データの漏えいが発生した場合に組織が被る可能性のある経済的損失も明らかになっています。別のIBMの調査によると、業務形態のシフトに関連してリスク・モデルも変化しているにもかかわらず、パンデミックが原因で在宅勤務にシフトしている従業員の半数以上が顧客のPIIの取り扱い方法に関する新しいガイドラインを提供されていないとのことです。

IBM Securityの後援を受けPonemon Instituteが実施した「2020年情報漏えいのコストに関するレポート」は、この1年間に情報漏えいの被害を受けた組織の3,200人を超えるセキュリティー・プロフェッショナルへの綿密なインタビューを元に作成されました。 本年度のレポートから、主要な調査結果の一部を以下に紹介します。

  • 優れた技術が漏えいのコストを半分に削減:セキュリティー・オートメーション・テクノロジー(AI、アナリティクス、自動オーケストレーションを活用してセキュリティー・イベントを特定し、これに対応するテクノロジー)を全面的に導入した企業は、このツールを導入しなかった企業と比較して、情報漏えいのコストを半分未満に抑えることができました(前者のコストが平均245万ドルに対し、後者のコストは平均603万ドル)。
  • 認証情報の漏えいに高額なコストがかかる:データの盗難や漏えいで取得した認証情報を使用して攻撃者が企業ネットワークにアクセスするインシデントでは、企業が直面する情報漏えいのコストは1回の漏えいで477万ドルに達しました。これは世界平均と比較して100万ドル近く高い数字です。こうした企業への悪意のある侵害の中で2番目にコストのかかる根本原因(450万ドル)が、第三者による脆弱性の悪用でした。
  • メガ級の漏えい のコストが数百万ドルの急増:5,000万件以上のレコードの漏えいにかかるコストは、昨年の3億8,800万ドルから3億9,200万ドルに高騰しました。4,000~5,000万件のレコードの漏えいに対して、企業にかかるコストは平均3億6,400万ドルで、この額は2019年の調査と比較して1,900万ドル増加しています。
  • 最も損害が大きいのは国家による攻撃:調査対象となっている他の脅威アクターと比較して、国家による攻撃に起因すると考えられる情報漏えいのコストが最も高額でした。国家が後ろ盾となっている攻撃による情報漏えいのコストは平均で443万ドルであり、これは金銭目的のサイバー犯罪者や政治的ハッカーに対するコストを上回っています。

IBM X-Force脅威インテリジェンスのバイス・プレジデントを務めるウェンディ・ウィットモア(Wendi Whitmore)は、次のように述べています。「情報漏えいの影響を軽減する企業の能力について、オートメーション・テクノロジーに投資した企業に明確なメリットがあることがわかってきました。企業のデジタル・フットプリントが加速度的に拡大し、セキュリティー業界の人材不足が続く中、チームは、より多くのデバイス、システム、データの保護を強いられることになるでしょう。セキュリティー・オートメーションはこうした負担を減らし、漏えいへの対応をより迅速に、しかも費用対効果をはるかに高いものにします」

従業員の認証情報とクラウドの構成ミスは、攻撃者にとって格好のエントリー・ポイント

認証情報の盗難や漏えい、クラウドの構成ミスは、今回の調査対象企業が受けた悪意ある侵害の原因として最も多く、悪意あるインシデントの40%近くを占めていました。2019年には85億件を超えるレコードがアクセスできる状態となり、攻撃者がデータ侵害の5分の1に使用したのが、以前漏えいしたメールアドレスとパスワードでした。企業は、ユーザー認証の方法とユーザーに付与されるアクセスの範囲を再検討する、いわゆるゼロトラストのアプローチの採用を通じてセキュリティー戦略を再考する必要があります。

同様に、漏えいコストの最大の要因であるセキュリティーの複雑さに企業が取り組むことにより、クラウドの構成ミスが発生しやすくなり、セキュリティーの課題は増え続ける一方です。2020年度のレポートで明らかになったのは、攻撃者は約20%の確率でクラウドの構成ミスを利用してネットワークを侵害しており、漏えいのコストは50万ドル以上増加し、平均で441万ドルにのぼるということです。これは、レポートで調査した最初の感染経路の中で3番目に多いコストの要因となっています。

国家の支援による攻撃が最も深刻

2020年度のレポートによると、国家の支援による脅威アクターは、調査で挙がった悪意ある侵害のうち13%にすぎないものの最も有害であり、金銭目的の攻撃(53%)が必ずしも企業の経済的損失を押し上げているわけではないことが説明されています。国家による攻撃は非常に戦術的で、長く続き、ステルス性が高く、標的となるデータは価値の高いものであるため、被害はより広範囲にわたり、漏えいのコストは平均で443万ドルと高額です。

実際、世界の他の地域と比較して歴史的に国家の支援による攻撃の割合が高い地域である 、中東地域の調査回答企業の漏えいコストは平均で年間9%以上増加しており、中東地域の漏えいのコスト(平均652万ドル)は調査した17の地域で2番目に高額でした。また、国家による攻撃が最もターゲットとする産業の1つはエネルギー業界であり、漏えいのコストは前年比で14%増加し、平均で639万ドルにのぼります。

高機能なセキュリティー・テクノロジーが企業にとっての賢い選択

レポートでは、高機能なセキュリティー・テクノロジーを実装している企業と、遅れを取っている企業では、漏えいのコストの差が広がっていることが明らかになっており、セキュリティー・オートメーションを完全に採用している企業とまだ採用していない企業とでは、コスト削減額に358万ドルもの差が生じていることが報告されています。コストの差は、2018年には155万ドルであったものが今年度は200万ドルも増加しています。

また、セキュリティー・オートメーションを完全に採用している調査対象企業では、漏えいに対する反応時間も大幅に短縮されていることも報告されています。分析の結果、これは漏えいのコストを削減するもうひとつの重要な要因であることもわかっています。セキュリティー・オートメーションにはAI、機械学習、アナリティクスなどの形があり、これらをまだ採用していない企業よりも27%以上早く漏えいに反応することが可能となります。まだ採用していない企業の場合、漏えいを特定してから解決に至るまで、採用している企業と比較してさらに平均74日必要になるとのことです。

また、インシデント・レスポンス(IR)への備えも、情報漏えいの経済的影響に大きな影を落とし続けています。レポートによると、IRチームを設けずIR計画のテストも実施していない企業には平均529万ドルの漏えいコストが発生していますが、IRチームを持ち、机上での訓練やシミュレーションによるIR計画のテストを実施している企業の漏えいコストは200万ドルも低くなっています。サイバーセキュリティーにおいて備えと準備が大きなROIをもたらすことを再確認する結果となりました。

今年のレポートには、以下の調査結果が追加されました。

  • リモート・ワークのリスクにもコストが発生:ハイブリッド・ワーク・モデルでは環境への制御が疎かになるため、パンデミックの中でテレワークを採用した調査対象企業の70%で漏えいコストが高騰するだろうと、レポートでは予想しています。
  • CISOは漏えいに対して責任を有するが、意思決定力は限定的:調査回答企業のうち、CISO/CSOがセキュリティー・ポリシーやテクノロジーの意思決定者であると回答したのはわずか27%であったにもかかわらず、漏えいに対する最終的な責任を負うのはCISO/CSOであると回答した企業は46%にものぼりました。CISOを責任者に指名することで、漏えいにかかる平均的なコストに対して145,000ドルのコスト削減を想定していると、レポートでは説明されています。
  • サイバー保険をかけた会社の過半数が、サード・パーティーの料金に対して請求を使用:レポートによると、調査対象の組織で発生した漏えいにかけられていたサイバー保険のコストは、世界平均の386万ドルよりも平均で20万ドル近く低いとのことです。実際、サイバー保険を利用した調査対象の組織のうち、51%がサード・パーティーのコンサルティング料金と法的サービスをサイバー保険でカバーし、被害者への賠償金にサイバー保険を使った組織は36%でした。ランサムウェアや恐喝に対するコストをカバーするために保険を請求したのはわずか10%でした。
  • 地域別、業界別のインサイト:米国は平均で864万ドルと、情報漏えいのコストが引き続き世界一高額ですが、レポートでは、スカンジナビアの漏えいコストが前年比13%増と、増加幅としては最も大きくなりました。昨年に続き漏えいの平均コストが最も高額なのが医療業界です。そのコストは713万ドルで、2019年度の調査と比較して10%以上増加しています。

本調査について
情報漏えいのコストに関する年次レポートは、2019年8月から2020年4月の間に発生した実際の情報漏えいに対する詳細な分析に基づいており、ブランド・エクイティ、顧客、および従業員の生産性への損失に対する法律面、規制面、技術面の活動を含む数百のコスト要因を考慮して作成されています。

「2020年情報漏えいのコストに関するレポート」のコピーをダウンロードするには、https://www.ibm.com/account/reg/jp-ja/signup?formid=urx-46665にアクセスしてください。

IBM Securityについて IBM Securityは、エンタープライズ・セキュリティー製品とサービスを集結した最先端といわれるポートフォリオを提供します。世界的に有名なIBM® X-Forceの調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効率よく行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日700億件以上ものセキュリティー・イベントを監視しています。また、世界中で保有するセキュリティー関連の特許は10,000件を超えています。詳しくは、https://www.ibm.com/jp-ja/security、Twitter(@IBMSecurity(英語))、またはIBMセキュリティー・インテリジェンス・ブログをご覧ください。

当報道資料は、2020年7月29日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。https://newsroom.ibm.com/2020-07-29-IBM-Report-Compromised-Employee-Accounts-Led-to-Most-Expensive-Data-Breaches-Over-Past-Year(英語)

関連リンク
IBM Security https://www.ibm.com/jp-ja/security
セキュリティー・インテリジェンス・ブログ https://www.ibm.com/blogs/security/jp-ja/

以上

IBM、ibm.com、X-Forceは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては http://www.ibm.com/legal/copytrade.shtml(US)をご覧ください。