企業の対応はインシデントの発生を前提とした対策にシフト
「2023年データ侵害のコストに関する調査レポート」はIBMが18年間にわたって公表を続けている「データ侵害のコストに関する調査レポート(Cost of a Data Breach Report)」の最新版であり、2022年3⽉から2023年3⽉の1年間で16の国/地域、17業種にわたる553の組織が経験したデータ侵害について調査/分析している。企業の経営層にセキュリティ投資の判断材料を提供すべく、セキュリティインシデントがビジネスやコストに与える影響に焦点を当てている点が特徴である。
日本IBM 理事パートナー IBMコンサルティング事業本部 Cybersecurity Services
藏本 雄一氏
説明会の冒頭では、日本IBMでセキュリティサービスの事業責任者を務める藏本雄一氏(理事パートナー IBMコンサルティング事業本部 Cybersecurity Services)が、最近のセキュリティインシデントの傾向を次のように総括した。
「昨年までと同様に1件当たりの被害額は高額であり、セキュリティインシデントが発生したら大きな損害を覚悟しなければならない。また、侵害を受けたら1日や2日では終わらず、非常に長い期間、脅威にさらされる。そして、システムを動作不能にするような破壊的攻撃やランサムウェアによる攻撃が依然として高い割合を占めている」(藏本氏)
さらに、被害を受けた後に企業が検討しているセキュリティ投資領域の首位をインシデントレスポンス(IR)が占めていることから、藏本氏は「封じ込めなどのインシデント対応時間を短くすることに比重が置かれており、セキュリティインシデントの発生を前提とした対策に各組織の計画や方向性がシフトしている」と推測する。
データ侵害による損害額が最高の平均445万ドルに
日本IBM IBMコンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者
窪田豪史氏
藏本氏に続いては、IBMがグローバルで展開するセキュリティインシデント対応サービス「X-Forceインシデント・レスポンス」の日本責任者を務める窪田豪史氏(IBMコンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者)が、主な調査結果を紹介した。
まず各組織が被った総被害額(コスト)はグローバル平均で445万ドルとなり、昨年から10万ドル(2.3%)増えて過去最高を記録した。2020年(平均コスト386万ドル)からは15.3%の増加であり、3年間でコストは大きく上昇傾向にある。
コストの内訳を、データ管理主体や規制当局などに知らせる「通知」、関係各所との連絡など「侵害後の対応」、フォレンジック業務や調査、診断、危機管理などの「検知とエスカレーション」、システムのダウンタイムやビジネス損失を最小限に抑える「機会損失」の4つに分類して見たところ、「検知とエスカレーション」が158万ドルと昨年に続いて増加した。
その要因としては、データ侵害に関する調査の複雑さが増しており、より多くの工数がかかるようになったことが考えられる。機会損失のコストは130万ドルであり、昨年に続き減少して過去最低額となったが、「『検知とエスカレーション』に多くのコストをかけたことで全体のコストは上昇したものの、適切に検知/対応したことで機会損失のコストをある程度抑えられているのではないか」と久保田氏は推察する。
データ侵害のライフサイクル(侵害の「検知」と「封じ込め」に要した日数)は昨年と同じ277日だった。ただし、昨年とは内訳が若干異なり、「検知」は3日減って204日、「封じ込め」は3日増えて73日だった。「検知」は過去5年間で最短であり、「これも『検知とエスカレーション』にコストをかけて、より良い対応を行ったことが日数短縮に寄与しているのではないか」と久保田氏は話す。
