ニュース
データ漏えいの平均コストは445万ドルで過去最高に IBMが調査結果を公開:セキュリティニュースアラート
IBMは2023年のデータ漏えい分析結果「Cost of a Data Breach Report 2023」を発表した。データ漏えいの平均コストは445万ドルで過去最高を記録した。
IBMは2023年におけるデータ漏えいの被害額に関する調査「Cost of a Data Breach Report 2023」を発表した。同レポートはITやリスク管理、セキュリティのリーダーなどがセキュリティ投資、リスクプロファイル、戦略的意思決定プロセスをより良く管理するために必要なデータを提供することが目的だ。
同レポートはIBMが毎年発行している。2023年版はPonemon Instituteが調査を、IBM Securityが分析を実施した。2022年3月から2023年3月までに発生したデータ漏えいの影響を受けた553の組織に関するデータが分析されている。
何をすればデータ漏えいに伴うコストを低らせるのか?
レポートが報告している主な内容は以下の通りだ。
- データ漏えいの平均コストは445万ドルとなり過去最高を更新した。2022年における平均コストは435万ドルであり2.3%増加した。2020年における平均コストは386万ドルであり15.3%の増加を見せている
- 追加投資が必要とされる分野の上位はインシデント対応の計画とテスト、従業員研修、脅威の検出と対応技術が挙げられている
- セキュリティAI(人工知能)および自動化がコストを削減し、サイバーセキュリティ侵害の特定と封じ込めに要する時間を最小化するために重要な投資であることが明らかになった。こうした機能を幅広く採用した組織では情報漏えいの特定と封じ込めに要する時間が平均で108日間短縮された。セキュリティAIと自動化機能を使用しなかった組織と比較するとデータ侵害のコストが176万ドル低かった
- 自社のセキュリティチームを通じてデータ侵害を発見した企業は3分の1だった。サイバーセキュリティ侵害の67%は良性の第三者またはサイバー攻撃者自身によって報告されている。サイバー攻撃者が情報漏えいを報告する場合、内部検知と比較して対応/復旧コストが100万ドルほど増加した
- ランサムウェア攻撃時、法執行機関を関与させないことでコストが増加することが明らかになった。法執行機関を関与させなかった場合は支払いが9.6%増加し、サイバーセキュリティ侵害のライフサイクルが33日長くなった
- 医療業界が13年間連続で最も高額なデータ漏えいを報告し、その平均コストは1093ドルだった。医療業界に対するデータ漏えいのコストは大幅に増加する傾向が続いている
- サイバー攻撃者は頻繁にクラウド環境を標的としている。複数のクラウド環境にアクセスすることが多く、サイバーセキュリティ侵害の39%が複数のクラウド環境にまたがっていた
- DevSecOpsの導入率が高い組織は、これが低い組織や導入していない組織と比較して168万ドルを節約した。他のコスト削減要因と比較してDevSecOpsは最大のコスト削減効果を示した
- インシデント対応計画とテストのレベルが高い組織はレベルが低い組織と比べて149万ドルのコスト削減効果を示した
- セキュリティシステムの複雑性が「低い」または「全くない」と回答した組織は平均で384万ドルのデータ侵害コストが発生した
- セキュリティシステムの複雑性が高いと回答した組織の平均コストは528万ドルで31.6%増加した
- 情報漏えいを特定して封じ込めるまでの時間が200日未満の場合は393万ドルのコストがかかった。200日を超えている場合には495万ドルのコストがかかった
IBMはサイバー攻撃の被害を防ぐために以下のアドバイスを挙げている。
- ソフトウェア開発と配備の各段階にセキュリティを組み込み定期的に試験を実施する
- ハイブリッドクラウド全体のデータ保護を近代化する
- セキュリティAIと自動化を活用してスピードと精度を高める
- 攻撃対象領域を把握しインシデント対応を実施することで回復力を強化する
関連記事
- Chrome拡張機能に潜む問題を研究者らが指摘 Webサイトのパスワード窃取が可能に
研究者らがChromeの拡張機能にセキュリティリスクが存在すると指摘した。脆弱性を悪用すればWebサイトから平文パスワードを窃取できる可能性がある。 - スマホ買い替えシーズン到来 筆者がオススメする「絶対あった方がいい機能」
新型iPhoneをはじめスマートフォンの新製品が発表される時期が間もなく訪れます。今回は筆者が、スマートフォンに必須だと思う機能を紹介します。買い替えを検討している方は参考にしてください。 - 「セキュリティ理解ゼロ」の経営層から予算を引き出すには? エンドポイント対策の現在地
企業規模の大小を問わずサイバー攻撃の標的となる可能性が増す一方で、経営層のセキュリティ対策への理解が十分とはいえない企業が多いのが実態だ。予算を確保するために「セキュリティ理解ゼロ」の経営層をいかに説得すべきか。現在押さえるべきエンドポイント対策と併せて、サイバーディフェンス研究所の名和利男氏の提言を紹介する。 - クラウド侵害の半数以上は弱いパスワードのせい Google Cloud調査で判明
Google Cloudの調査によると、クラウドで発生した侵害の5件に3件以上が、アクセス管理の不備、特に脆弱なパスワードなどを原因としていたという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.