IBM、2021年データ侵害のコストに関するセキュリティー調査レポートを公開
- 調査対象企業のデータ侵害インシデント1件あたりのコストは平均424万ドルに達し、調査開始以来最高を記録
- AI、ハイブリッドクラウド、ゼロトラスト・アプローチの採用がデータ侵害時に発生するコストを低減

2021年8月25日

[米国マサチューセッツ州ケンブリッジ – 2021年7月28日(現地時間)発] IBM® Securityは、世界規模でデータ侵害の経済的影響を調査した結果を発表しました。調査では、データ侵害インシデントにかかるコストは1回の侵害あたり平均424万ドルとなり、17年前に調査を開始してから最高額を記録したことが明らかになりました。データ侵害を経験した世界中の500を超える組織を対象とした詳細な分析によると、パンデミックによる業務オペレーションの急激な変化により、セキュリティー・インシデントの抑制が困難かつコストが増大する結果となり、コストは前年比で10%増加しました。

昨年のパンデミック期間では、多くの企業で従業員のリモートワークを奨励または義務化し、60%の組織がクラウド・ベースの業務に移行するなど、企業は環境の変化に技術的アプローチを迅速に適応させることが求められました※1。今回の調査結果では、このような急速な環境の変化にセキュリティーが追い付いておらず、データ侵害に対する企業の対応能力の妨げになっている可能性があります。

  • リモートワークの影響:パンデミック期間にリモートワークへの移行が急速に進んだことが、データ侵害コストの上昇につながっていると考えられます。データ侵害の要因の1つとしてリモートワークがあげられる場合と、そうでなかった場合との発生コストを比較すると、平均100万ドル以上の差がありました(496万ドル 対 389万ドル)2
  • 医療業界のデータ侵害コストが急上昇:パンデミックによって業務オペレーションに大きな変化が生じた業界(医療、小売り、接客業、消費者向け製造業・流通業)では、データ侵害コストが前年比で大きく増加しました。中でも、医療業界のデータ侵害コストは圧倒的に高額であり、1件あたり923万ドル(前年比200万ドル増)でした。
  • 漏えいした認証情報が次の情報漏えいにつながる:今回の調査で最も多くみられた侵害の原因は、盗まれたユーザー認証情報が利用されたことでした。同時に、データ侵害の結果として流出した情報の中で最も多かったのは顧客の個人情報(氏名、電子メール、パスワードなど)で、侵害された情報の44%にこのような種類のデータが含まれていました。これらの要素が重なると、ユーザー名/パスワードの漏えいが将来の情報漏えいにつながっていくというスパイラル効果が発生してしまう可能性があります。
  • 新のアプローチでコストを抑制:AIやセキュリティー・アナリティクス、暗号化の導入は、データ侵害コストの軽減要因のトップ3であり、これらのツールを活用していない企業と比較すると125万ドルから149万ドルのコスト削減を実現しています。また、クラウド・ベースのデータ侵害について調査したところ、ハイブリッドクラウドを実践している企業の侵害コストは361万ドルとなり、主にパブリッククラウドを利用している企業(480万ドル)、または主にプライベートクラウドを利用している企業(455万ドル)に比べてコストが低い結果となりました。

IBM Securityのバイス・プレジデント 兼 ゼネラル・マネージャーを務めるクリス・マッカーディ(Chris McCurdy)は次のように述べています。「パンデミック期の急速な技術のシフトを受けてデータ侵害コストはさらに上昇し、企業の新しい追加負担要素となっています。今回のレポートでは、データ侵害コストが過去最高を記録した一方で、AI、自動化、ゼロトラスト・アプローチの採用といった最新のセキュリティー戦略の影響に対して前向きな兆候も示されており、これらは将来的にデータ侵害コストの削減に寄与する可能性があります」

データ侵害に対するリモートワークおよびクラウド移行の影響
パンデミック期は、社会全体がデジタルを活用したコミュニケーションに重きを置くようになり、企業はリモートワークやクラウドを活用してオンライン化した環境に対応できるようシフトを進めました。レポートではこれらの要因がデータ侵害対応に大きな影響を与えていたことが判明しました。調査対象の約20%の企業はリモートワークがデータ侵害の要因になったと回答し、リモートワークを要因とするデータ侵害によって企業は最終的に496万ドル(平均的なデータ侵害と比較して約15%高い)の損害を被ることになりました。

今回の調査では、クラウドの移行プロジェクト中にデータ侵害の被害にあった企業は、平均よりも18.8%高いコストを費やすことになりました。しかし、レポートでは、クラウドを活用したモダナイゼーション戦略が進んでいる企業(「成熟」段階)は、クラウドの導入初期の状態にある企業と比較すると、インシデントの検出および対応を平均77日も早く行うことができたことが明らかになっています。さらにクラウド・ベースのデータ侵害について調査した結果、ハイブリッドクラウドを実践している企業のデータ侵害コストは361万ドルとなり、主にパブリッククラウドを利用している企業(480万ドル)、または主にプライベートクラウドを利用している企業(455万ドル)に比べてデータ侵害コストが低い結果となりました。

拡大する漏えいした認証情報のリスク
今回のレポートでは、消費者のデータ(認証情報などを含む)が漏えいし、それがさらなる攻撃に悪用されるという問題が深刻化していることも明らかになりました。調査対象者の82%が複数のアカウントでパスワードを使いまわしていると回答しており、認証情報の漏えいはデータ侵害の主要な要因であると同時に結果でもあり、企業にとっては複合的なリスクとなっています。

  • 個人データの流出:データ侵害の被害にあった調査対象企業の約半数(44%)が、氏名、電子メール、パスワード、場合によっては医療データなどを含む顧客の個人情報を流出する結果となり、今回のレポートで最も多いタイプのデータ侵害となっている。
  • PIIの流出が最も高額:顧客の個人を特定できる情報(PII)の喪失コストは、他のデータ・タイプと比較しても最も高額でした(全体の1レコードあたりの平均コストが161ドルであるのに対し、紛失または盗難にあった1レコードあたりのコストは180ドル)。
  • 最も一般的な攻撃手法:攻撃者が最も一般的な突破口として使用したのが漏えいしたユーザー認証情報であり、データ侵害の20%を占めています。
  • 検知と抑止にかかる時間が長期間化:漏えいした認証情報を原因とするデータ侵害は検知に最も時間がかかり、特定するまでに平均250日を要しました(平均的な侵害の場合は212日)。

モダナイズされているビジネスほど、データ侵害コストが減少
パンデミック期における特定のITシフトがデータ侵害コストを増加させた一方で、同期間に業務オペレーションをモダナイズするためのデジタル・トランスフォーメーション(DX)を実施しなかったと回答した組織のデータ侵害コストは、平均よりも75万ドル高くなったことが分かりました(平均比16.6%増)。

調査対象企業の中で、ゼロトラスト・セキュリティー・アプローチを採用している企業は、データ侵害の対応力に優れていることが分かりました。このアプローチでは、ユーザーのアイデンティティーやネットワーク自体がすでに侵害されている可能性があることを前提とし、代わりにAIやアナリティクスを利用して、ユーザー、データ、リソース間の接続を継続的に検証します。成熟したゼロトラスト戦略を遂行する組織のデータ侵害コストは平均328万ドルで、このアプローチを一切導入していない組織に比べて176万ドルも低くなりました。

今回のレポートでは、前年に比べてより多くの企業がセキュリティーの自動化を導入し、大幅なコスト削減につながっていることが分かりました。調査対象企業の約65%が、自社のセキュリティー環境に自動化を部分的または全面的に導入していると回答しましたが、2年前は52%でした。また、自動化を全面的に導入している企業の侵害コストは平均290万ドルであったのに対し、自動化を導入していない企業ではその倍以上の671万ドルに達しました。

また、インシデント対応チームやインシデント対応計画への投資は、調査対象企業のデータ侵害コストの削減につながりました。インシデント対応チームを設置し、インシデント対応計画のテストも行った企業では、データ侵害コストの平均が325万ドルであったのに対し、どちらも設置していなかった企業の平均コストは571万ドルとなりました(差は54.9%)。

その他の主な調査結果

  • 対応時間:データ侵害を検知し、封じ込めるまでの平均期間は287日(検知に212日、封じ込めに75日)となり、前年よりも1週間長期化する結果となりました。
  • 大規模侵害:5,000万から6,500万件のレコードが流出するという大規模なデータ侵害の平均コストは4億100万ドルとなりました3。これは今回のレポートで調査された大半の侵害事例(1000件から10万件の記録)と比較して、コストは100倍近く高額です。
  • 業界別:医療業界でのデータ侵害コストが最も高額(923万ドル)となり、次いで金融(572万ドル)、医薬品(504万ドル)となりました。全体的なコストは低いものの、小売、メディア、接客業、公共部門では、前年に比べてコストが大幅に増加しました。
  • 国・地域別:1件あたりのデータ侵害コストが最も高額な国は米国(905万ドル)で、次いで、中東(693万ドル)、カナダ(540万ドル)となりました。

データ侵害のコストに関する年次レポートは、2020年5月から2021年3月の間に発生した実際のデータ侵害に対する詳細な分析に基づいており、ブランド・エクイティ、顧客、および従業員の生産性への損失に対する法律面、規制面、技術面の活動を含む数百のコスト要因を考慮して作成されています。

「2021年データ侵害のコストに関する調査レポート」をダウンロードするには、こちら (PDF, 9.7MB)にアクセスしてください。

IBM Securityについて IBM Securityは、エンタープライズ・セキュリティー製品とサービスを集結した最先端といわれるポートフォリオを提供します。世界的に有名なIBM X-Forceの調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効率よく行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日700億件以上ものセキュリティー・イベントを監視しています。また、世界中で保有するセキュリティー関連の特許は10,000件を超えています。詳しくは、https://www.ibm.com/jp-ja/security、Twitter(@IBMSecurity(英語))、またはIBMセキュリティー・インテリジェンス・ブログをご覧ください。

当報道資料は、2021年7月28日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
https://newsroom.ibm.com/2021-07-28-IBM-Report-Cost-of-a-Data-Breach-Hits-Record-High-During-Pandemic (英語)

※1 IBM Institute for Business Value: COVID-19 and the future of business 
※2 リモートワークが要因の場合の平均コストは496万ドルに対し、リモートワークが要因でない場合の平均コストは389万ドル
※3 「2021年データ侵害のコストに関する調査レポート」では、100万件以上の記録の損失あるいは盗難を伴う特定のサンプルの個別分析に基づき、大規模侵害のコストを検証。大規模侵害のサンプルは、1000件から10万件までのデータ侵害を調査している本レポートの平均値の算出には含まれていません。

以上

IBM、ibm.com、IBM Security、X-Forceは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。 現時点での IBM の商標リストについては、https://www.ibm.com/legal/copytrade.shtml(US)をご覧ください。