[米国マサチューセッツ州ケンブリッジ - 2018年7月11日（現地時間）発]

IBM（NYSE：IBM）セキュリティーは本日（現地時間）、企業の純利益における情報漏えいの完全な財務的影響について調査したグローバル調査の結果を発表しました。この調査では、情報漏えいの目に見えないコスト（例：ビジネス機会の喪失、企業評価への悪影響、および従業員が復旧に費やす時間）の管理は容易でなく、大きな出費を要することが明らかになりました。例えば、「大規模な漏えい」（レコードの損失件数が100万件を超える漏えい）のコストの3分の1はビジネス機会の喪失によって生じるコストであることが明らかになりました。

IBMセキュリティーがスポンサーとなりポネモン・インスティテュートが実施した2018年度の「情報漏えいのコストに関する調査」1では、全世界の情報漏えいの平均コストが386万ドルであることが明らかになりました（2017年度のレポートと比べて6.4%上昇）。2この調査では、情報漏えいが発生した約500社を対象にした詳細なインタビューに基づいて、漏えいに関する数百ものコスト要因（技術的調査や復旧から、通知、法や規制に関する対応、ビジネス機会の喪失や悪評によって生じるコストに至るまで、さまざまなコスト要因）が分析されています。

本年度の調査では、初めて「大規模な漏えい」（レコードの損失件数が100万件から5,000万件までの漏えい）に関するコストも計算され、企業で大規模な漏えいが発生した場合、4,000万ドルから3億5,000万ドルのコストが発生するという見積りが出されました。

IBM X-Force Incident Response and Intelligence Services（IRIS）のグローバル・リードを務めるウェンディ・ウィットモア（Wendi Whitmore）は次のように述べています。「大々的に報道されるデータ漏えいについて、数百万ドル規模の損失が発生したと報じられることが多々ありますが、これらの数値は非常に可変的であり、定量化しやすい少数の特定のコストだけに焦点が当てられていることも少なくありません。実際は、悪評、客離れ、運用コストなど、目に見えない数多くのコストを考慮に入れる必要があります。どのようなコストが存在し、それらのコストをどのように削減するか把握することで、より戦略的にリソースを投資し、危機的状況における巨大な財務リスクを低減できます」

目に見えない数値 － 大規模な漏えいのコストの計算
大規模な漏えい（100万件を超えるレコードの漏えい）の件数はこの5年でほぼ倍増しています。2013年には9件しか発生していませんでしたが、2017年には16件に増加しています。3それまでは大規模な漏えいの件数が少なかったため、従来、「情報漏えいのコストに関する調査」では、レコードの損失件数が約2,500件から10万件までの情報漏えいを分析していました。

本年度のレポートでは、過去2年間に大規模な漏えいが発生した11社を対象にした分析に基づき、統計モデリングを用いて、レコードの漏えい件数が100万件から5,000万件までの漏えいのコストが見積もられています。重要な知見として、以下のようなものが挙げられます。

• レコードの漏えい件数が100万件の情報漏えいの平均コストは約4,000万ドルである
• レコード件数が5,000万件の場合、漏えいの推定総コストは3億5,000万ドルである 
• これらの漏えいの大半（11社中10社の漏えい）が（システム障害やヒューマン・エラーではなく）悪意のある攻撃や犯罪者の攻撃によるものだった
• 大規模な漏えいの検出および抑制にかかる平均日数は365日で、小規模な漏えいの検出および抑制にかかる平均日数（266日）よりも約100日長い

大規模な漏えいの場合、最も大きな割合を占めるコストはビジネス機会の喪失に関するコストでした。レコード件数が5,000万件の漏えいの場合、ビジネス機会の喪失に関するコストは推定で約1億1,800万ドルに上り、漏えいの総コストの約3分の1を占めていました。IBMは、大々的に注目された数件の大規模な漏えいの一般公表されているコストを分析しました。その結果、一般公表されているコストのほとんどが調査で明らかになった平均コストを下回っていることが判明しました。4これは、おそらく一般公表されているコストのほとんどが直接的なコスト（例：漏えいから復旧するためのテクノロジーやサービス、法や規制に関する費用、顧客に対する賠償金）しか考慮されていないためだと思われます。

データ漏えいの平均コストに影響を及ぼすもの
ポネモン・インスティテュートは、過去13年間にわたって、レコード件数が10万件未満のデータに関するコストについて調査してきましたが、漏えいのコストは調査を行うごとに着実に上昇し続けています。2014年度の調査ではデータ漏えいの平均コストは350万ドルでしたが、2018年度の調査ではデータ漏えいの平均コストが386万ドルに上昇しており、5年間で約10%の純増加を示しています。

この調査では、漏えいのコストを増減させる要因についても調査しており、データ漏えいの抑制に費やした日数や、対応を加速させるテクノロジーへの投資が漏えいのコストに多大な影響を及ぼしていることが明らかになっています。

• この調査において、データ漏えいの特定にかかる平均日数は197日であり、特定後のデータ漏えいの抑制にかかる平均日数は69日であった。
• 30日以内に漏えいを抑制した企業は、漏えいの抑制に30日よりも長くかかった企業と比べて100万ドルを超えるコストを節約できた（前者の平均コストは309万ドルであるのに対して、後者の平均コストは425万ドルであった）

レコードの紛失件数や盗難件数も漏えいのコストに影響を及ぼしており、レコードの紛失件数または盗難件数あたり平均で148ドルのコストが発生しています。この調査では、このコストを増減させるいくつかの要因について調査しました。

• インシデント対応チームの配備は最大のコスト削減要因であり、レコードの漏えい件数1件あたりのコストが14ドル減少した
• サイバーセキュリティーを目的としたAIプラットフォームの利用により、レコードの紛失件数または盗難件数1件あたりのコストが8ドル減少した
• 「通知を性急に」行った企業は、レコードの紛失件数または盗難件数1件あたりのコストが5ドル増加した

本年度の調査では、人工知能、機械学習、分析、およびオーケストレーションを用いて、手作業による漏えいの特定や抑制を補完したり、置き換えたりするセキュリティー自動化ツールの効果について初めて調査しました。その分析の結果、セキュリティー自動化テクノロジーを広範囲にわたって導入している組織は、漏えいの総コストを150万ドル以上節約できていることが明らかになりました（セキュリティー自動化テクノロジーを導入していない企業の漏えいの総コストは443万ドルですが、セキュリティー自動化テクノロジーを広範囲にわたって導入している企業の漏えいの総コストは288万ドルでした）。

地域や業界による違い
この調査ではさまざまな業界や地域における情報漏えいのコストの比較も行い、情報漏えいのコストが最も高いのが米国と中東、最も低いのがブラジルとインドであることが判明しています。

• 漏えいコストの平均額が最も高かったのが米国の企業で791万ドル、531万ドルの中東がそれに続きます。
• 漏えいコストの総額が最も低かったのがブラジルで124万ドル、177万ドルのインドがそれに続きます。

米国における情報漏えいのコストに影響を及ぼす主因の1つが、ビジネス機会喪失について報告されているコスト（420万ドル）で、これは全世界で発生している漏えいの平均総コストを上回り、その他の調査対象地域との比較では「ビジネス機会喪失のコスト」の2倍以上の金額にあたります。ビジネス機会喪失のコストに影響を及ぼす主因の1つが、情報漏えい後の顧客解約率です。実際、最近行われたIBM/Harrisの世論調査で、米国消費者の75%が顧客データの保護に信頼のおけない企業と取引を行わないと回答していることが判明しました。

情報漏えい関連のコストは8年連続で医療系企業が最高額を記録しており、記録の喪失や盗難は1件あたり408ドルの損失につながっています。これは、全業種平均（148ドル）のほぼ3倍にあたります。

ポネモン・インスティテュートの会長兼創設者のラリー・ポネモン（Larry Ponemon）博士は次のように述べています。「私たちの調査の最終目標は、適切なデータ保護の実施がもたらす価値と、情報漏えいの問題を解消するために企業が補償する対象に明確な違いをもたらす要因を実証することです。情報漏えいのコストは調査開始以来、上昇の一途をたどっていますが、新たなテクノロジーの活用やインシデント対応の適切なプランニングを通じたコスト節約という、コストの大幅削減につながる明るい兆しもあります」

完全版レポートのダウンロードとWebセミナーの登録
「2018年情報漏えいのコストに関する調査：グローバル概要」のダウンロードについては、https://www.ibm.com/security/data-breach/ (US)をご覧ください。

調査のポイントをまとめたデジタル・インフォグラフィックを見るには、https://costofadatabreach.mybluemix.net (英語)をご覧ください。

7月26日午前11時（東部時間）に開催される、IBM Securityとポネモン・インスティテュートによるWebセミナーについては、https://ibm.biz/BdYDvf (US)をご覧ください。

IBMセキュリティーについて
IBMセキュリティーは、エンタープライズ・セキュリティー製品とサービスを集結した最先端といわれるポートフォリオを提供します。世界的に有名なIBM® X-Forceの調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効率よく行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日350億件を超えるセキュリティー・イベントを監視しています。また、保有するセキュリティー関連の特許は全世界で8,000を超えています。詳しくは、http://www.ibm.com/security (US)、Twitter（@IBMSecurity）、またはIBMセキュリティー・インテリジェンスのブログ (US)をご覧ください。

当報道資料は、2018年7月11日（現地時間）にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
http://newsroom.ibm.com/2018-07-11-IBM-Study-Hidden-Costs-of-Data-Breaches-Increase-Expenses-for-Businesses (US)

12017年2月にデータ収集開始、2018年4月にインタビュー完了
2レコードの紛失件数または盗難件数が2,500件から10万件のデータ漏えいの平均コスト
3出典：Privacy Rights Clearinghouseのデータ漏えい年表に基づくIBMの分析
4Equifaxがデータ漏えいによって2億7,500万ドルものコストが発生したことが報じられた。また、Targetの 2016年度の財務レポートでは、2013年のデータ漏えいによって推定2億9,200万ドルもの損失が発生したことが明らかにされた。さらに、とある情報によれば、Ruby Corp（Ashley Madisonの親会社）も2015年の漏えいの鎮静化を図るために1,120万ドルものコストを支払っている。