TOKYO - 24 7 2019:
2019年7月24日

[米国マサチューセッツ州ケンブリッジ - 2019年7月23日（現地時間）発]IBM（NYSE：IBM） IBM セキュリティーは本日、情報漏えいが組織に及ぼす経済的影響について調査した年次調査の結果を発表しました。そのレポートによると、1回の情報漏えいに伴うコストは過去5年間で12%上昇し¹、現在では平均392万ドルに達しています。このように費用が上昇しているのは、漏えいの経済的影響が複数年にわたることや、規制が強化されていること、犯罪者の攻撃を解決するためのプロセスが複雑になっていることなどの表れです²。

情報漏えいの経済的影響は、特に中小企業にとって深刻となる場合があります。今回の調査において、従業員500名未満の企業は平均250万ドル以上の損失を被っていました。小規模の企業にこれほどの額の損失があった場合、事業の継続が困難となる可能性もあります。小規模の企業では、年間収益が5,000万ドル以下ということが一般的であるためです。

また本年度のレポートでは、情報漏えいの長期にわたる経済的影響についても初めて調べ、情報漏えいの影響は何年も続くという結果を得ています。情報漏えいに伴うコストは１年以内に平均全体の67%、２年目に22%、それ以降に11%発生していました。医療や金融サービス、エネルギー、製薬のような規制の厳しい業界では2～3年目に被る長期的なコストがより大きくなっていました。

IBM X-Force Incident Response and Intelligence Servicesのグローバル・リードを務めるウェンディ・ウィットモア（Wendi Whitmore）は次のように述べています。「サイバー犯罪者にとって、サイバー犯罪は大金の獲得を意味します。これを裏返して言えば、残念ながら企業にとっては著しい損失になるということです。組織は過去3年間だけでも117億件を超える情報の流出・窃取に直面しています。そのため企業は、情報漏えいが最終損益に及ぼす可能性のある経済的影響について全般的に認識し、そうしたコストの削減方法に注力する必要があります」

IBMセキュリティーの後援を受けPonemon Instituteが毎年発行している「情報漏えいのコストに関するレポート」は、過去1年間に情報漏えいの被害にあった企業500社以上を対象にした詳細なインタビューに基づいています³。この分析では、法律、規制上の対応や技術面での対応、さらにはブランド資産と顧客、従業員の生産性の損失など、さまざまなコスト要因を考慮に入れています。本年度のレポートから、主要な調査結果の一部を以下に紹介します。

• 悪意のある漏えい – 最も一般的で、最もコスト高：調査対象となった情報漏えいの50%以上は、悪意のあるサイバー攻撃に起因するものであり、企業にとってのコストは偶発的な漏えいと比べて平均100万ドル多くなっていました。
• 「メガ級の漏えい」はメガ級の損失につながる：稀なケースではありますが、100万件以上のレコード漏えいがあれば、企業は4,200万ドルの損失を受けることになると推定されます。5,000万件のレコードの漏えいがあった場合、企業の損失は3億8,800万ドル⁴に達すると予想されます。
• 備えあれば憂いなし：インシデント対応チームを結成し、インシデント対応計画のテストも大々的に行っていた企業は、どちらの対策も取っていなかった企業と比べ、情報漏えいのコストが平均123万ドル少なくなりました。
• 米国の漏えいコストは2倍：米国での1回の漏えいに伴うコストは平均819万ドルであり、世界平均の2倍以上に達しました。
• 医療業界での漏えいコストは最大クラス： 1回の漏えいに伴うコストは医療系企業のものが9年連続で最大であり、平均およそ650万ドルです（これは調査対象となった他の業界と比べ、60%以上高くなります）。

悪意のある漏えいによる脅威が増大、偶発的な漏えいはいまだに多く発生
今回の調査では、悪意のあるサイバー攻撃から発生する情報漏えいが最も一般的な漏えいの根本原因であるだけでなく、最も大きな出費を要するものであることも明らかになりました。

悪意のある情報漏えいにより調査対象企業では平均445万ドルのコストが発生しています。これはシステム障害やヒューマン・エラーなどの偶発的な原因による漏えいより100万ドル以上多い金額です。これらの漏えいの脅威は増大しています。なぜならば、同レポートで情報漏えいの根本原因として挙げられた悪意のある攻撃や犯罪行為の割合が、過去6年間の調査で42%から51%に上昇（21%増）しているからです。

また、ヒューマン・エラーとシステム障害による不注意な漏えいは、いまだに同レポートにおける情報漏えいの原因の半数近く（49%）を占め、それによって企業が被る出費はそれぞれ350万ドル、324万ドルとなっています。ヒューマン・エラーと機械エラーによるこれらの漏えいは、改善の機会でもあり、これは職員に対するセキュリティー意識向上トレーニングや技術への投資、および偶発的な漏えいを早期に特定するためのテスト・サービスを通じて対処することが可能です。特に懸念される領域の1つがクラウド・サーバーの設定ミスで、IBM X-Force脅威インテリジェンス・インデックスによると、これが原因となって危険にさらされたレコードは2018年で9億9,000万件に上り、同年に喪失した全レコードの43%を占めています。⁵

最大のコスト削減要因はやはり漏えい対応
過去14年間、Ponemon Instituteでは漏えいによるコストの増減要因を調べており、企業が漏えいに対応する速さと効率性が、全体的なコストに多大な影響を与えることが判明しています。

本年度のレポートでは、漏えいの平均的なライフサイクルは279日で、企業は漏えいの発生後にまずその特定に206日間、加えてその拡大を抑制するために73日をかけていることが明らかになりました。しかしながら、今回の調査対象企業のうち200日未満で漏えいを検知して拡大を抑制することができていた会社では、漏えいの総コストにおいて120万ドル少ない支出となりました。

インシデント対応に重点を置くことで、企業が対応に要する時間を短縮することが可能ですが、今回の調査によって、それらの対策が総コストと直接の相関関係にあることも判明しました。インシデント対応チームの配備と、インシデント対応計画の広範囲に及ぶ試験の実施が、調査した3大コスト削減要因のうちの2大要因でした。これらの対策をいずれも講じていた企業では、いずれの対策も講じていなかった企業より、情報漏えいにかかる総コストが平均で123万ドル少なくなっています（474万ドルに対して351万ドル）。

今回の調査では、企業にとっての漏えいのコストに影響を与えるその他の要因として次のようなものがありました。

• 情報漏えいのコスト：情報漏えいにより企業には、レコードの喪失件数または盗難件数1件あたりおよそ150ドルのコストが発生します。
• セキュリティー自動化テクノロジーを完全導入している企業は、導入していない企業（平均516万ドル）に比べて漏えいのコストがおよそ半分（平均265万ドル）になりました。
• 暗号化の広範囲にわたる使用もまた上位のコスト削減要因の1つで、漏えいの総コストを36万ドル削減できます。
• 第三者が原因である漏えい（パートナーやサプライヤーなど）によって企業に発生するコストは、平均より37万ドル高く、企業が取引企業の安全性を入念に調べ、共通のセキュリティー基準を採用するとともに、第三者によるアクセスを十分に監視する必要があることが浮き彫りになっています。

地域や業界の傾向
この調査ではさまざまな業界や地域における情報漏えいのコストの比較も行い、米国における情報漏えいのコストは819万ドルと非常に高く、調査対象となった全世界の企業の平均の2倍を超えることが明らかになりました。米国における情報漏えいのコストは、2006年の調査では354万ドルで、この14年間で130%増加しました。

また、報告されたレコードの平均漏えい件数が最も多かったのは中東の企業や組織で、漏えいしたレコードは１インシデントあたり4万近くに上っています（全世界の平均はおよそ25,500件）。

情報漏えい関連のコストは9年連続で医療系企業が最高額を記録しており、医療業界における漏えいの平均コストはおよそ650万ドルと、全業界の平均より60%以上高くなっています。

完全版レポートのダウンロードとWebセミナーの登録
「2019年情報漏えいのコストに関するレポート」（英語）の完全版については、こちらをご覧ください。

レポートの主要な調査結果を紹介したインフォグラフィックをご覧いただけます：インフォグラフィック – 「2019年情報漏えいのコスト」（PDF,229KB,英語）

こちらから登録（英語）することで、IBM SecurityとPonemon Instituteが2019年7月30日（火）に開催するWebセミナーにご参加いただけます。

IBMセキュリティーについて
IBMセキュリティーは、エンタープライズ・セキュリティー製品とサービスを集結した最先端といわれるポートフォリオを提供します。世界的に有名なIBM® X-Forceの調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効率よく行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日700億件以上ものセキュリティー・イベントを監視しています。また、保有するセキュリティー関連の特許は全世界で10,000を超えています。詳しくは、www.ibm.com/security (US)、Twitter (@IBMSecurity（英語）) またはIBMセキュリティー・インテリジェンスのブログ(US)をご覧ください。

1 2014年と2019年の「情報漏えいのコストに関するレポート」で、1回の情報漏えいの世界平均
コストを比較。

2 「情報漏えいのコストに関するレポート」に基づくIBMによる分析。

3 レポートの制約と採用した方法論については、完全版のレポートを参照。

4 「メガ級の漏えい」のコスト計算は、14社の解析に基づいている。その際にはモンテカルロ
解析法を適用し、より大きな統計的有意性のある結果をシミュレートした。

5 2019年IBM X-Force脅威インテリジェンス・インデックス