日本IBMは、本日、「2023年データ侵害のコストに関する調査レポート^*1」の日本語版を公開しました。調査では、データ侵害の世界平均コストが2023年には過去最高となる445万ドルになり、過去3年間で15%増加していることが明らかになりました。同期間において、検知とエスカレーションにかかるコストが42%ほど増加し、侵害コストでの最も大きな部分を占めており、データ侵害に関する調査がより複雑化していることを示唆しています。

本レポートによると、企業はデータ侵害についてのコストや被害の頻度の増加にどのように対処するかについて、意見が分かれています。調査対象組織の95%が、データ侵害を1回以上経験している一方で、データ侵害の被害にあった企業は、セキュリティーへの投資を増やす（51%）よりも、インシデントにかかったコストを消費者側に転嫁する（57%）傾向が強いことが明らかになりました。

「2023年データ侵害のコストに関する調査レポート」は、2022年3月から2023年3月の間に553の組織が経験した実際のデータ侵害の詳細な分析に基づいています。IBMセキュリティーが委託し、分析した本調査は、米調査会社Ponemon Instituteによって実施され、18年連続で発行されています。

本レポートの主な調査結果は以下の通りです。

• AIが対応スピードを向上：AIと自動化は、調査対象組織のデータ侵害の特定および被害の封じ込めの迅速化に最も大きな影響を与えています。AIと自動化の両方を広範に使用している組織は、それらのテクノロジーを導入していない組織と比較して、データ侵害のライフサイクルが108日短くなりました（それぞれ214日と322日）。
• 沈黙による追加コスト：法執行機関を関与させたランサムウェアの被害者は、関与させないことを選択した被害者と比較すると、侵害の平均コストを47万ドル抑えられています。このようなコスト削減の可能性があるにもかかわらず、ランサムウェア被害者の37%は、ランサムウェア攻撃に法執行機関を関与させていませんでした。
• 検知のギャップ：調査対象となったデータ侵害のうち、組織内のセキュリティー・チームはわずか3分の1しか検知しておらず、27%は攻撃者により公表されました。攻撃者によって明らかにされたデータ侵害のコストは、調査対象組織が自ら検知した侵害と比較すると、平均で100万ドル近く高くなっています。

IBM Worldwide Security Servicesのゼネラル・マネージャーであるクリス・マッカーディ（Chris McCurdy）は、次のように述べています。「サイバーセキュリティーでは、防御側と攻撃側どちら側にとっても、時間がコストに影響を与えます。本レポートが示すように、早期の発見と適切な対応によって、データ侵害の影響を大幅に軽減することができます。セキュリティー・チームは、攻撃者がどこで攻撃に成功しているかに焦点を当て、彼らが目標を達成する前に攻撃を阻止することに集中する必要があります。これらに対抗するためにも、AIや自動化など、防御側のスピードと効率を加速させる脅威の検知やセキュリティー対策に投資することが必要です」

時間に関わるコスト

本レポートによると、セキュリティーAIと自動化を完全に導入している調査対象組織と導入していない組織を比較すると、導入している組織の方が侵害ライフサイクルが平均108日短縮しており、インシデントのコストも大幅に削減しています。実際に、セキュリティーAIと自動化セキュリティーを広範に導入していた調査対象組織は、これらのテクノロジーを導入していない組織と比較すると、平均180万ドル近くもデータ侵害のコストを削減できており、本レポートで確認された最大のコスト削減となっています。

同時に、攻撃側はランサムウェア攻撃を完了するまでの平均時間を短縮しています。調査対象組織の40%近くが、セキュリティーAIと自動化を導入していないため、組織には検知や対応のスピードを高められる可能性があります。

ランサムウェアの「割引コード」

一部の調査対象組織は、ランサムウェア攻撃を受けた際に法執行機関が関わることは状況を複雑にするという認識があり、不安を感じています。今年初めて、本レポートにて、この問題について調査を行い、逆の結果を示す証拠が明らかになりました。法執行機関を関与させなかった調査対象組織は、関与させた組織と比べると、平均33日長い侵害ライフサイクルを経験していました。また、法執行機関を関与させなかった調査対象のランサムウェアの被害者は、関与させた方よりもデータ侵害のコストが平均47万ドル高くなっています。

法執行機関がランサムウェア被害者と協力する努力を続けているにも関わらず、回答者の37％は機関に相談しないことを選択しています。さらに、調査対象のランサムウェア被害者の約半数（47％）が身代金を支払っていることが報告されています。組織がランサムウェアに関連する誤解を捨てるべきであることは明らかです。身代金を支払い、法執行機関の関与を避けることは、インシデントのコストを上げ、対応を遅らせる可能性があります。

セキュリティー・チームが自ら侵害を発見することはほとんどない

脅威の検知と対応には、一定の進展が見られています。IBM Security X-Force脅威インテリジェンス・インデックス2023によると、昨年、防御側はランサムウェア攻撃をより高い割合で防止することができています。しかし、攻撃者は防御側の隙をついて攻撃しています。本レポートによると、調査対象となったデータ侵害のうち、3分の1のみが組織内のセキュリティー・チームやツールによって検知され、その他27％が攻撃者、40％は法執行機関など第三者が公表したことが明らかになりました。

侵害を自社で発見した組織は、攻撃者に侵害を公表された組織よりも侵害コストが約100万ドル少なくなっています（それぞれ523万ドルと430万ドル）。また、攻撃者により公表されたデータ侵害は、組織内で発見されたデータ侵害と比較すると、ライフサイクルが80日近く長くなっています（それぞれ320日と241日）。早期発見はコストや時間を大幅に節約できるため、このような対策は長期的に考えると有効だと言えます。

その他の調査結果は以下の通りです。

• 複数の環境にまたがるデータ侵害：調査対象となったデータ侵害の約40%がパブリッククラウド、プライベートクラウド、オンプレミスを含む複数の環境にまたがってデータを消失しており、攻撃者は検知を避けながら複数の環境を侵害できたことが示されています。複数の環境に影響を及ぼしたデータ侵害は、コストの増加（平均475万ドル）につながっています。
• ヘルスケアの侵害のコストが増加し続ける：2023年のヘルスケア業界におけるデータ侵害の平均コストは約1,100万ドルに達し、2020年と比較して53％もの被害の増加となっています。IBM Security X-Force脅威インテリジェンス・インデックス2023によると、サイバー犯罪者は盗んだデータに被害者が直接アクセスできるようにし始めています。医療記録をもとに、脅威者は侵害を受けた組織にプレッシャーをかけ、身代金を要求しています。実際、調査対象のすべての業界において、顧客の個人特定情報は最も広く侵害があり、最も高額な被害でもあります。
• DevSecOpsの利点：すべての業界で、高度なDevSecOpsを導入している調査対象組織を、DevSecOpsをほとんどまたは全く導入していない組織と比較すると、世界的なデータ侵害の平均コストが170万ドル近く低いことがわかりました。
• 重要なインフラストラクチャーの侵害コストが500万ドルを突破：調査対象となっている重要インフラ組織は、昨年と比較して侵害の平均コストが4.5%急増し、482万ドルから504万ドルに増加しています。これは、世界的な平均より59万ドル高くなっています。

「2023年データ侵害のコストに関する調査レポート」の日本語版は、こちらからダウンロードいただけます。

IBM Securityについて

IBM Securityは、エンタープライズ・セキュリティー製品およびサービスを統合した最新のポートフォリオを提供しています。このポートフォリオは、世界的に有名なIBM Security X-Forceリサーチのサポートを受けており、企業が効果的にリスクを管理し、 新たに出現する脅威を防ぐことができるようにしています。IBMでは、世界最大規模のセキュリティー研究機関および研究開発を運営し、サービス提供を行っており、130か国以上で1日に1,500億件以上のセキュリティー・イベントを監視し、世界中で10,000件を超えるセキュリティーの特許を認可されています。詳しくは、www.ibm.com/jp-ja/security、Twitter（@IBMSecurity（英語））、またはIBMセキュリティー・インテリジェンス・ブログをご覧ください。  

*1: Cost of a Data Breach Report 2023は、IBMセキュリティーの委託により、米調査会社Ponemon Instituteが調査を実施

当報道資料は、2023年7月24日（現地時間）にIBM Corporationが発表したプレスリリースの抄訳の一部をもとにしています。原文は下記URLを参照ください。

https://newsroom.ibm.com/2023-07-24-IBM-Report-Half-of-Breached-Organizations-Unwilling-to-Increase-Security-Spend-Despite-Soaring-Breach-Costs

IBM、ibm.com、IBM Security、X-Forceは、米国やその他の国におけるInternational Business Machines Corporationの商標または登録商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、ibm.com/trademarkをご覧ください。