ニュースリリース

IBMとPonemon Instituteによる調査:2017年、世界のデータ漏えいコストが10%減少

欧州では減少も米国でのコストは引き続き増加、規制の違いが漏えいコストに大きく影響か
2017年06月23日

[米国マサチューセッツ州ケンブリッジ – 2017年6月20日(現地時間)発]

IBMセキュリティー(NYSE: IBM)は本日(現地時間)、データ漏えいが今日の企業に及ぼす影響を分析したグローバル調査結果を発表しました。IBMセキュリティーがPonemon Instituteに依頼して実施された本調査では、世界中でデータ漏えい時に発生した平均コストは362万ドル1に上り、2016年から10%減となりました。これは、グローバル調査を開始してから初めてのコストの減少でした。調査によると、データの損失または盗難のレコード1件あたりの企業のデータ漏えいコストは平均141ドルでした。

IBMセキュリティー(US)は、本レポートで調査した11カ国と2つの地域を分析し、欧州の規制要件への対応とデータ漏えいのコスト全体との間に密接な相関があることを特定しました。欧州諸国では、昨年の調査と比べてデータ漏えいの総コストが26%減少しました。欧州の企業は、より一元的に規制された環境で業務を行っていますが、米国の企業には固有の要件が課されていて、50州のうち48州に独自のデータ漏えいに関する法律があります。数多くの規制要件に対応し、数百万人に上ることもある消費者に報告することは、非常にコストがかかり、資源集約的な作業になりえます。

2017年データ漏えいコスト調査:グローバル分析(US)によると、「法令順守違反」と「通知するために急ぐこと」が米国での漏えいコスト増加理由のトップ5に入っていました。これらの要因を比較すると、欧州と比べた場合、米国の規制が定める行動によって、企業は、レコードあたりコストが余計にかかっている可能性が示唆されます。例えば、米国の企業は欧州の企業と比べて、法令順守違反によるコストが48%高く、性急な通知によるコストが50%高くなっています。また、米国の企業は、漏えい通知コストが平均69万ドルを超えていると報告しました。この金額は、本レポートで調査したその他の国の金額の2倍以上です。 

IBM® X-Force Incident Response & Intelligence Services(IRIS)のグローバル・リードであるウェンディ・ウィットモア(Wendi Whitmore)は次のように述べています。「欧州のGDPRのような新しい規制要件は、データ漏えいへの対応をより適切に管理したいと考えている企業に課題と機会をもたらします。発生したこと、攻撃者のアクセス先、アクセスを阻止して遮断する方法を素早く特定することがかつてないほどに重要になっています。このことを念頭に置き、企業がインシデントに見舞われたときに素早く効果的に対応できるように、包括的なインシデント対応計画を整備することが不可欠です」

データ漏えいコストは全地域で減少しているわけではない

2017年のグローバル調査では、データ漏えいコスト全体は、昨年の400万ドルから10%減少して362万ドルでした。しかし、多くの地域でデータ漏えいコストが増加しました。例えば、米国のデータ漏えいコストは735万ドルで、昨年と比べて5%増加しました。2017年にコストが増加したのは米国だけではありません。

  • 欧州以外の国ではコスト増加:中東、日本、南アフリカ、インドの企業は、4年間の平均コストと比べて2017年にはコスト増になりました。
  • 欧州諸国ではコストが最も顕著に減少:ドイツ、フランス、イタリア、英国は、4年間の平均コストと比べて大幅なコスト減になりました。オーストラリア、カナダ、ブラジルも4年間の平均コストと比べてコスト減になりました。

2017年のレポートでは、米国の企業は他の地域と比べると、データ漏えいコストが最も高くなりました。

  • 中東は、データ漏えいの平均コストが前年よりも10%増加し、2番目に高い494万ドルでした。
  • カナダは、3番目に高い431万ドルでした。
  • ブラジルは、全体で最も低い152万ドルでした。

時は金なり:データ漏えいの阻止

調査では、インシデント対応(IR)チームを整備することによってデータ漏えいコストが大幅に低減されることが3年連続で判明し、データの損失または盗難のレコード1件あたり19ドル以上節約されていました。素早く漏えいを特定して阻止できるかは、IRチームの活用と正式なインシデント対応計画があるかどうかにかかっています。IRチームは、データ漏えいを阻止して損失の拡大を軽減するという複雑な舵取りを支援できます。

本調査によると、データ漏えいインシデントを企業がいかに早く阻止できるかが結果としてかかるコストに直接影響します。データ漏えいコストは、データ漏えいの阻止に30日以上かかった企業と比べて、30日以内に阻止できた企業では平均して100万ドル近くなりました。2018年5月にGDPRが施行されると、対応のスピードがますます重要になります。GDPRでは、欧州で事業活動を行う企業は、データ漏えいを72時間以内に報告する必要があり、これを怠ると全世界年間売上高の最大4%の罰金を科されるリスクがあるからです。

この大きなコスト節約を考えると、調査によって、漏えいを特定して対応する時間に関して企業が改善できる余地があるということが明らかになりました。平均すると、企業は漏えいの特定に6カ月以上かかり、漏えい発見後に阻止するまでさらに66日以上かかっていました。

2017年データ漏えいコスト・レポートのその他の主要な調査結果

  • 業界別では医療業界の漏えいコストが最大:医療業界が7年連続でデータ漏えいコストが最も高い業界になりました。医療業界のデータ漏えいコストは、1レコードあたり380ドルで、全業界のグローバル平均(1レコードあたり141ドル)の2.5倍以上でした。
  • 上位の漏えいコスト増加要因:データ漏えいにおけるサードパーティーの関与が、データ漏えいコストが増加した最上位の寄与要因で、1レコードあたり17ドルの増加でした。企業は、給与支払から、クラウド・プロバイダー、CRMに至るまでサードパーティー・プロバイダーのセキュリティー体制を評価し、従業員および顧客データのセキュリティーを保証する必要があります。
  • 上位の漏えいコスト低減要因:インシデント対応、暗号化、および教育がデータ漏えいコスト低減に最も効果があった要因であることが示されました。インシデント対応チームの整備がデータの損失または盗難のレコード1件あたり19ドルの低減をもたらし、暗号の広範な使用(1レコードあたり16ドルの低減)、従業員のトレーニング(1レコードあたり12.50ドルの低減)と続きました。
  • レジリエンシー・オーケストレーションのプラスの影響:事業継続プログラムはデータ漏えいコストを大幅に低減します。1日あたりのデータ漏えいの全平均コストは、今年の調査では5,064ドルと見積もられています。手作業で運用されている災害復旧プロセスを使用している企業は、1日あたりの平均コストが6,101ドルと見積もられていました。一方、レジリエンシー・オーケストレーションを備えている自動災害復旧プロセスを導入している企業は、1日あたりの平均コストが4,041ドルとはるかに低い金額でした。これは正味の差異が39%(または1日あたりのコスト節約が1,969ドル)であることを表しています。

データ漏えいコストを明らかに
年間データ漏えいコストの調査では、1回のデータ漏えいインシデントに関して企業が支払う直接的コストと間接的コストの両方を調査しています。11カ国と2地域の410社に対して行った詳細なインタビューを基に、この調査では、漏えい対応の活動にかかるコストだけではなく、企業の評判に関する損害やビジネス機会損失コストも考慮しています。

ラリー・ポネモン(Larry Ponemon)博士は次のように述べています。「データ漏えいおよび関連する影響は、今日の企業にとって依然として不都合な現実です。毎年組織はデータ漏えい後に巨額のコスト負担に直面しています。本レポートはデータ漏えいコストに影響する要因を示しており、また、自社の全般的なセキュリティー戦略の一環として、この戦略の策定およびテクノロジーとサービスへの継続的投資の決定を行う際にこれらの要因を検討する必要があることも示しています」 

レポートの完全版のダウンロードとWebinarへの登録
「2017年データ漏えいコスト調査:グローバル分析」をダウンロードするには、https://www.ibm.com/security/data-breach/(US)をご覧ください。

国別(米国、英国、ドイツ、オーストラリア、フランス、ブラジル、日本、イタリア、インド、アラブ地域(UAEとサウジアラビア)、カナダ、南アフリカ、東南アジア地域(シンガポール、インドネシア、フィリピン、マレーシア)のレポートも利用できます。東南アジア地域は今回初です。

2017年レポートの調査結果を詳しく確認するには、IBMセキュリティー・データ漏えいカルキュレーター(英語)にアクセスしてください。これは、レポートのデータを操作し、地域や業界にわたるデータ漏えいコストを視覚化し、さまざまな要因が漏えいコストにどのように影響しているかを理解することを可能にする対話式ツールです。

2017年6月26日午前11:00(東部夏時間)に開催されるIBMセキュリティーおよびPonemon InstituteのWebinar「今日のセキュリティー漏えいの理解:Ponemon Instituteの2017年データ漏えいコスト調査」(“Understanding Today’s Security Breaches: Ponemon Institute’s 2017 Cost of Data Breach Study”)への出席を登録するには、https://ibm.co/2ssR8qz(英語)にアクセスしてください。

IBMセキュリティーについて
IBMセキュリティーは、エンタープライズ・セキュリティー製品とサービスを集結した最先端といわれるポートフォリオを提供します。世界的に有名なIBM X-Forceの調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効率よく行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日350億件を超えるセキュリティー・イベントを監視しています。また、保有するセキュリティー関連の特許は3,000を超えています。詳しくは、http://www.ibm.com/security(US)、Twitter(@ibmsecurity)またはIBMセキュリティー・インテリジェンスのブログ(英語)をご覧ください。

1各国の通貨は、グローバル調査のために米ドルに換算しました。

当報道資料は、2017年6月20日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
https://www.ibm.com/press/us/en/pressrelease/52643.wss(US)

Release Categories