データ侵害への対処コストは高騰 今こそ知りたい正しい“セキュリティ投資のススメ”:Cybersecurity Dive
データ侵害の修復費用を顧客に負担させても将来のデータ侵害を防ぐことはできず、コスト増加の原因となる問題に対処することもできない。では正しいセキュリティ投資とはどのようなものか。ポイントを紹介する。
この記事は会員限定です。会員登録すると全てご覧いただけます。
IBMが2024年の夏に発表したデータ侵害のコストに関する調査によると(注1)、あらゆるものと同様にデータ侵害のコストも上昇しており、過去1年間で10%増加したという。
企業が侵害されれば、回り回って顧客が損をする
現在、事業の中断と修復に関連するものとして、企業は平均488万ドルのコストを見込んでいる。調査対象となった組織の3分の2近くは、これらのコストを顧客に転嫁しており、データ侵害の代償を最終的に負担するのは顧客となっている。
IBMは報告書で次のように述べた。
「インフレを原因とする価格への圧力に直面している競争の激しい市場において、これらのコストを顧客に負担させると問題を引き起こす可能性がある」
データ侵害の修復費用を顧客に負担させることは、将来のデータ侵害を防ぐことやコスト増加の原因に対処することにはならない。組織は次の潜在的なサイバーインシデントを見据え、データ侵害を防止するための投資方法を再考すべきである。
なぜデータ侵害のコストは高騰しているのか?
データ侵害のコストが高騰している理由の一つは、復旧にかかる時間である。IBMの調査によると、復旧には数カ月を要する。この調査の回答者の4分の3は「復旧に100日以上かかる」と回答しており、3分の1は「150日以上かかる」と回答している。
サイバーセキュリティ事業を営むNetenrichのCISO(最高情報セキュリティ責任者)であるクリス・モラレス氏は、電子メールで「データ侵害からの復旧は容易ではなく、長期にわたるプロセスが必要だ。サイバー攻撃は非常に高度なパズルのようであり、複数の攻撃手段や高度な戦術が使用されている。サイバーインシデントの複雑さが迅速な回復を困難にしている」と説明した。
しかし多くの組織は、サイバー攻撃の検出力と対応力に不足を抱えている。
モラレス氏は「侵害が数週間、あるいは数カ月も検出されないことは珍しくなく、それが回復作業の開始を遅らせる」と述べた。
さらに、組織は複雑な規制に対処しなければならない。コンプライアンスの要件は回復プロセスを一層複雑にする。
「技術的な問題を修復するだけではない。法律上の義務および規制上の義務を確実に満たすために、組織は貴重な時間と労力を費やさなければならない」(モラレス氏)
データ侵害が起きなければ、企業はセキュリティに投資しない
ほとんどの組織は先進的な脅威検出や定期的なセキュリティ監査、従業員トレーニングなどの積極的なセキュリティ対策の重要性を理解している。しかし、実際にこれらの分野に投資しても、データ侵害が発生するまで十分に対処できていない場合が多い。
モラレス氏は「侵害の発生後に事後的な支出が急増するケースが多く見られる」と述べた。
組織は脆弱(ぜいじゃく)性を直ちに修正し、新しい技術を導入するが、全体像を見失う場合もある。技術的な解決策に過度に依存し、人的資源やプロセスへの投資が不十分になる傾向があるのだ。
IBMの調査結果もこれを裏付けており、データ侵害に関連するコスト増加の主な要因として、セキュリティスキルの不足とセキュリティシステムの複雑さに対する理解の不足が挙げられている。
一方、ML(機械学習)を含むAIに対する投資や、サイバーセキュリティに関する意識を向上させる従業員向けのトレーニングへの支援により、データ侵害に関連するコストを削減できると示されている。
多くの場合、データ侵害がセキュリティプログラムへの大規模な投資のきっかけとなる。IBMの調査によると、約3分の2の組織はデータ侵害後にセキュリティ投資を増加させていることが分かった。
マネージドサービスプロバイダーのOntinueでセキュリティオペレーションを担当するクレイグ・ジョーンズ氏(バイスプレジデント)によると、これらのデータ侵害後の投資は通常、さまざまなセキュリティを強化するために実行されるという。その中には、インシデントおよび対応システムの導入、より厳格なアクセス制御の実施、そして高度な脅威インテリジェンスソリューションの導入が含まれる。
「さらに従業員教育の重要性が高まっており、スタッフが潜在的な脅威を認識し、適切に対応できるようにすることが求められている」(ジョーンズ氏)
これらの投資の多くはインシデントの発生後に実施されるが、次の侵害が発生した際のコストを抑えるための防御策となる。
セキュリティ投資でよくある見落としポイント
これらの投資にもかかわらず、多くの組織は真に包括的なセキュリティ体制の追求を見落としている。「多くの組織は個々の技術的な解決策に焦点を当て過ぎており、全体像を見失っている」(モラレス氏)
継続的な監視や積極的な脅威ハンティング、統合されたセキュリティアーキテクチャなどの要素にはしばしば十分な資金が投入されず、無視されることもある。また、組織が最新かつ最高のツールに投資したとしても、セキュリティチームがそれを効果的に使えなければ意味はない。
「これらのギャップを埋めるために、企業は包括的なリスク評価を優先し、セキュリティ意識の文化を育み、全てのセキュリティ対策が全体のビジネス目標に合致していることを確認すべきである」(ジョーンズ氏)
つまり事後対応の姿勢から積極的な姿勢への転換が求められているのだ。「セキュリティ対策の遅れを巻き返すのではなく、先を見越して行動する必要がある。決して容易な話ではないが、今日の脅威環境を考慮すると必要なことだ」(モラレス氏)
(注1)Cost of a Data Breach Report 2024(IBM)
関連記事
サポート切れが迫るのはWin10だけじゃない? 注意しておきたいもう一つのリミット
ついにWindows 10のサポート終了まで1年を切りました。さまざまな事情があるかとは思いますが、セキュリティ的にもOSのアップグレードは必須でしょう。これに加えてもう一つ、無視できない“サポート終了”の期限が迫っているようです。
イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。
企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
ITmediaはアイティメディア株式会社の登録商標です。