データ漏えいの平均コストは445万ドルで過去最高に IBMが調査結果を公開：セキュリティニュースアラート

IBMは2023年のデータ漏えい分析結果「Cost of a Data Breach Report 2023」を発表した。データ漏えいの平均コストは445万ドルで過去最高を記録した。

[後藤大地，有限会社オングス]

　IBMは2023年におけるデータ漏えいの被害額に関する調査「Cost of a Data Breach Report 2023」を発表した。同レポートはITやリスク管理、セキュリティのリーダーなどがセキュリティ投資、リスクプロファイル、戦略的意思決定プロセスをより良く管理するために必要なデータを提供することが目的だ。

　同レポートはIBMが毎年発行している。2023年版はPonemon Instituteが調査を、IBM Securityが分析を実施した。2022年3月から2023年3月までに発生したデータ漏えいの影響を受けた553の組織に関するデータが分析されている。

IBMは「Cost of a Data Breach Report 2023」を発表した（出典：IBMのWebサイト）

何をすればデータ漏えいに伴うコストを低らせるのか？

　レポートが報告している主な内容は以下の通りだ。

• データ漏えいの平均コストは445万ドルとなり過去最高を更新した。2022年における平均コストは435万ドルであり2.3％増加した。2020年における平均コストは386万ドルであり15.3％の増加を見せている
• 追加投資が必要とされる分野の上位はインシデント対応の計画とテスト、従業員研修、脅威の検出と対応技術が挙げられている
• セキュリティAI（人工知能）および自動化がコストを削減し、サイバーセキュリティ侵害の特定と封じ込めに要する時間を最小化するために重要な投資であることが明らかになった。こうした機能を幅広く採用した組織では情報漏えいの特定と封じ込めに要する時間が平均で108日間短縮された。セキュリティAIと自動化機能を使用しなかった組織と比較するとデータ侵害のコストが176万ドル低かった
• 自社のセキュリティチームを通じてデータ侵害を発見した企業は3分の1だった。サイバーセキュリティ侵害の67％は良性の第三者またはサイバー攻撃者自身によって報告されている。サイバー攻撃者が情報漏えいを報告する場合、内部検知と比較して対応／復旧コストが100万ドルほど増加した
• ランサムウェア攻撃時、法執行機関を関与させないことでコストが増加することが明らかになった。法執行機関を関与させなかった場合は支払いが9.6％増加し、サイバーセキュリティ侵害のライフサイクルが33日長くなった
• 医療業界が13年間連続で最も高額なデータ漏えいを報告し、その平均コストは1093ドルだった。医療業界に対するデータ漏えいのコストは大幅に増加する傾向が続いている
• サイバー攻撃者は頻繁にクラウド環境を標的としている。複数のクラウド環境にアクセスすることが多く、サイバーセキュリティ侵害の39％が複数のクラウド環境にまたがっていた
• DevSecOpsの導入率が高い組織は、これが低い組織や導入していない組織と比較して168万ドルを節約した。他のコスト削減要因と比較してDevSecOpsは最大のコスト削減効果を示した
• インシデント対応計画とテストのレベルが高い組織はレベルが低い組織と比べて149万ドルのコスト削減効果を示した
• セキュリティシステムの複雑性が「低い」または「全くない」と回答した組織は平均で384万ドルのデータ侵害コストが発生した
• セキュリティシステムの複雑性が高いと回答した組織の平均コストは528万ドルで31.6％増加した
• 情報漏えいを特定して封じ込めるまでの時間が200日未満の場合は393万ドルのコストがかかった。200日を超えている場合には495万ドルのコストがかかった

　IBMはサイバー攻撃の被害を防ぐために以下のアドバイスを挙げている。

• ソフトウェア開発と配備の各段階にセキュリティを組み込み定期的に試験を実施する
• ハイブリッドクラウド全体のデータ保護を近代化する
• セキュリティAIと自動化を活用してスピードと精度を高める
• 攻撃対象領域を把握しインシデント対応を実施することで回復力を強化する