SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZine Press

【日本IBM報告】日本のセキュリティ被害額平均が過去最高を更新──製造業の海外拠点もターゲットに

日本IBM「2023年データ侵害のコストに関する調査レポート」

 日本IBMは2023年9月11日、企業の情報セキュリティインシデントに関する調査レポート「2023年データ侵害のコストに関する調査レポート」についての説明会を開催した。同社のセキュリティエキスパートが解説に立った同説明会では、日本におけるデータ侵害の被害額が円換算で過去最高を更新し、製造業の海外拠点を狙った攻撃が広がっていることなどが報告された。

企業の対応はインシデントの発生を前提とした対策にシフト

 「2023年データ侵害のコストに関する調査レポート」はIBMが18年間にわたって公表を続けている「データ侵害のコストに関する調査レポート(Cost of a Data Breach Report)」の最新版であり、2022年3⽉から2023年3⽉の1年間で16の国/地域、17業種にわたる553の組織が経験したデータ侵害について調査/分析している。企業の経営層にセキュリティ投資の判断材料を提供すべく、セキュリティインシデントがビジネスやコストに与える影響に焦点を当てている点が特徴である。

日本IBM 理事パートナー IBMコンサルティング事業本部 Cybersecurity Services 藏本 雄一氏

日本IBM 理事パートナー IBMコンサルティング事業本部 Cybersecurity Services

藏本 雄一氏

 説明会の冒頭では、日本IBMでセキュリティサービスの事業責任者を務める藏本雄一氏(理事パートナー IBMコンサルティング事業本部 Cybersecurity Services)が、最近のセキュリティインシデントの傾向を次のように総括した。

 「昨年までと同様に1件当たりの被害額は高額であり、セキュリティインシデントが発生したら大きな損害を覚悟しなければならない。また、侵害を受けたら1日や2日では終わらず、非常に長い期間、脅威にさらされる。そして、システムを動作不能にするような破壊的攻撃やランサムウェアによる攻撃が依然として高い割合を占めている」(藏本氏)

 さらに、被害を受けた後に企業が検討しているセキュリティ投資領域の首位をインシデントレスポンス(IR)が占めていることから、藏本氏は「封じ込めなどのインシデント対応時間を短くすることに比重が置かれており、セキュリティインシデントの発生を前提とした対策に各組織の計画や方向性がシフトしている」と推測する。

データ侵害による損害額が最高の平均445万ドルに

日本IBM IBMコンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者 窪田豪史氏

日本IBM IBMコンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者

窪田豪史氏

 藏本氏に続いては、IBMがグローバルで展開するセキュリティインシデント対応サービス「X-Forceインシデント・レスポンス」の日本責任者を務める窪田豪史氏(IBMコンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者)が、主な調査結果を紹介した。

 まず各組織が被った総被害額(コスト)はグローバル平均で445万ドルとなり、昨年から10万ドル(2.3%)増えて過去最高を記録した。2020年(平均コスト386万ドル)からは15.3%の増加であり、3年間でコストは大きく上昇傾向にある。

 [画像クリックで拡大]

 コストの内訳を、データ管理主体や規制当局などに知らせる「通知」、関係各所との連絡など「侵害後の対応」、フォレンジック業務や調査、診断、危機管理などの「検知とエスカレーション」、システムのダウンタイムやビジネス損失を最小限に抑える「機会損失」の4つに分類して見たところ、「検知とエスカレーション」が158万ドルと昨年に続いて増加した。

<p> 03</p>
 [画像クリックで拡大]

 その要因としては、データ侵害に関する調査の複雑さが増しており、より多くの工数がかかるようになったことが考えられる。機会損失のコストは130万ドルであり、昨年に続き減少して過去最低額となったが、「『検知とエスカレーション』に多くのコストをかけたことで全体のコストは上昇したものの、適切に検知/対応したことで機会損失のコストをある程度抑えられているのではないか」と久保田氏は推察する。

 データ侵害のライフサイクル(侵害の「検知」と「封じ込め」に要した日数)は昨年と同じ277日だった。ただし、昨年とは内訳が若干異なり、「検知」は3日減って204日、「封じ込め」は3日増えて73日だった。「検知」は過去5年間で最短であり、「これも『検知とエスカレーション』にコストをかけて、より良い対応を行ったことが日数短縮に寄与しているのではないか」と久保田氏は話す。

 [画像クリックで拡大]

次のページ
最も損害額が大きい攻撃は「悪意あるインサイダー」、高頻度は「フィッシング」

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

名須川 竜太(ナスカワ リュウタ)

編集者・ライター
編集プロダクションを経て、1997年にIDGジャパン入社。Java開発専門誌「月刊JavaWorld」の編集長を務めた後、2005年に「ITアーキテクト」を創刊。システム開発の上流工程やアーキテクチャ設計を担う技術者への情報提供に努める。2009年に「CIO Magazine」編集長に就...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18471 2023/09/28 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング