米国のセキュリティ侵害コストは1022万ドルに増加も、日本平均は365万ドルに減少──IBM調査

　日本IBMは、「2025年データ侵害のコストに関する調査レポート」の日本語版を発表した。

セキュリティ侵害とAI時代

• AIガバナンスポリシー：データ侵害を受けた組織の63％は、AIガバナンスポリシーを保有していないか、またはポリシーの策定中だったという。AIガバナンスポリシーを既に導入している組織のうち、非承認AIに関する定期的な監査を実施しているのは34％だとした
• シャドーAIのコスト：5つに1つの組織がシャドーAIによるデータ侵害を報告しており、AIの管理やシャドーAIの検出に関するポリシーを保有しているのは37％。シャドーAIを高い割合で利用した組織は、シャドーAIを一部またはまったく利用していない組織に比べて、平均67万ドルの高いデータ侵害コストを負担している。シャドーAIに関連するセキュリティインシデントでは、個人識別情報（65％）と知的財産（40％）の漏えい率が、世界平均（それぞれ53％と33％）を上回るという
• AIを活用したより高度な攻撃：調査対象のセキュリティ侵害の16％で、攻撃者がAIツールを使用しており、主にフィッシングやディープフェイクによるなりすまし攻撃に利用されていたという

セキュリティ侵害の経済的コスト

• データ侵害コスト：世界平均のデータ侵害コストは444万ドルに低下し、5年ぶりの減少、日本の平均コストは5億5000万円（365万ドル）に低下し、8年ぶりの減少となっている。一方、米国の平均侵害コストは記録的な1022万ドルに達したという
• 世界および日本のデータ侵害のライフサイクルが過去最低を記録：世界のデータ侵害の平均ライフサイクル（漏えいの検出と封じ込めに要する平均時間、復旧サービスを含む）は241日に短縮され、前年比で17日減少。これは、調査対象の組織が内部で漏えいを検出するケースが増加したためだとしている。内部で漏えいを検出した組織は、攻撃者によって開示された場合と比較して、侵害コストを90万ドル削減。日本では、データ侵害の平均ライフサイクルは217日に短縮され、前年比で47日減少したという
• 世界では医療業界への侵害が最も高額：医療業界は、世界の調査対象の全業界のうち最も高額な742万ドルの侵害を受けたとしている。医療業界では2024年と比較して235万ドルのコスト削減が見られたが、依然として最も高額だという。医療業界への侵害は、特定と封じ込めに要する時間が最も長く、279日（世界平均の241日より5週間以上長い）となっている。日本では、エネルギー業界の侵害が最も高額な7億8400万円となった
• 身代金支払いの疲労：昨年、組織が身代金要求に抵抗し、支払いを拒否する割合は前年比で4％増加し、63％となった。組織が身代金支払いを拒否する傾向が高まる中、身代金要求やランサムウェア攻撃の平均コストは依然として高額で、特に攻撃者が開示した場合（508万ドル）は特に高くなっている
• AIリスクの増加にともないセキュリティ投資が停滞：侵害後にセキュリティ投資を計画する組織の数は大幅に減少しており、2025年は49％に対し、2024年は63％となった。侵害後にセキュリティ投資を計画する組織のうち、AI駆動型セキュリティソリューションやサービスに焦点を当てると回答したのは半数未満だったとしている

データ侵害の長期的な影響：業務中断

　同調査によると、調査対象のほぼすべての組織が、データ侵害後に業務中断を経験したという。復旧を報告した組織のほとんどは、復旧に平均で100日以上を要したとしている。

　しかし、データ侵害の影響は封じ込めを超えて継続しているという。前年比では減少したものの、約半数の組織がデータ侵害を理由に商品やサービスの価格を引き上げる計画であると報告し、約3分の1が15％以上の値上げを報告しているとのことだ。

【関連記事】
・CyCraft Japan、アクトとパートナーシップを締結　日本企業のサイバーインシデント対応を支援
・85％のCFOは今期の財務目標達成に懸念示す、昨今の経済情勢が及ぼす影響を深刻視──Coupa調査
・OTセキュリティの統括責任者が経営幹部に移行　2022年から大きく増加──フォーティネット調査