IBM 調査：データ侵害が生み出す１件あたりのコストが史上最高の $4.35 M に達する

The global average cost of a data breach reaches an all-time high of $4.35 million

2022/07/27 HelpNetSecurity — IBM Security がリリースした 2022 Cost of a Data Breach Report より、これまで以上にコストが高く、影響が大きいデータ侵害が発生し、調査対象組織におけるデータ侵害の平均コストは、過去最高の $4.35 million であることが判明した。

データ侵害のコストは、過去２年間においても 13％ 近く増加しており、それらのインシデントが商品／サービスのコスト上昇にも影響していることを、この調査結果は示唆している。実際のところ、調査対象組織の 60% は、侵害が原因で製品やサービスの価格を引き上げていることになる。つまり、インフレやサプライチェーンの問題を背景に、世界的に商品の価格が高騰しているときに、それらの侵害が発生している。

サイバー攻撃の永続性は、データ侵害が企業に与える [呪われた影響] も浮き彫りにしている。IBM のレポートでは、調査対象組織の 83% が、これまでに２回以上のデータ侵害を経験していることが判明している。また、情報漏えいのコストの 50% 近くが、漏えいから１年以上が経過してから発生している。つまり、漏えいが組織に及ぼす後遺症が、発生後の長期にわたって残ることも、時間の経過とともにコストが増加する要因となっている。

2022 Cost of a Data Breach Report は、2021年3月〜2022年3月に世界の 550の組織が経験した、現実のデータ侵害の詳細な分析に基づいている。IBM Security がスポンサーとなり、Ponemon Institute により調査／分析が実施された。

2022年 データ侵害のコスト レポート：主な調査結果

ー 重要インフラはゼロトラストで遅れをとる

調査対象となった重要インフラ組織の、約 80% がゼロトラスト戦略を採用していない。その平均侵害コストは $5.4 million に上昇し、採用している組織と比較して $1.17 million も増加している。これらの組織で発生した侵害の 28% は、ランサムウェア攻撃と破壊的攻撃となっている。

ー 身代金の支払いは無駄

この調査では、ランサムウェアの被害者が脅威アクターに対して、身代金の支払いを選択した場合と、支払いを選択しなかった場合とを比較し、平均侵害コストが僅か $610,000 しか減少しなかったことも明らかにしている (身代金のコストは含まず)。身代金の支払いにかかる高額な費用を考慮すると、被害額はさらに増加する可能性があり、身代金を支払うだけでは、効果的な戦略になり得ないことが示唆されている。

ー クラウドにおけるセキュリティの未熟さ

調査対象組織の 43% は、クラウド環境全体へのセキュリティ対策の適用が、初期段階にある／開始していないとう状況にある。クラウド環境全体への、セキュリティが成熟している調査対象組織に比べ、平均で $660,000 以上の高い侵害コストを観測している。

ー セキュリティ AI と自動化が数百万ドルのコスト削減につながる

セキュリティ AI と自動化を完全に導入している参加組織は、この技術を導入していない調査対象組織と比較して、侵害コストが平均で $3.05 million 減少しており、この調査で観察された最大のコスト削減要因となっている。

ー フィッシングが最もコストのかかる情報漏えいの原因に

これまでと同様に、情報漏えいは最も一般的な原因 (19%) として君臨しているが、フィッシングは２番目 (16%) であり、最もコストのかかる原因となっている。回答した組織の情報漏えいコストは、平均で $4.91 million となっている。

ー セキュリティ担当者の不足

調査対象組織の 62% が、セキュリティのニーズを満たすだけの、十分な人員を配置していないと回答している、十分な人員を配置していると回答した組織に比べて、平均して $550,000 もの侵害コスト増となっている。

ー 医療機関への侵入コストが初めて二桁に到達

ヘルスケアの組織は 12年連続で、最もコストのかかる情報漏えいを経験している。ヘルスケアにおける情報漏えいの平均コストは約 $1 million 増加し、過去最高の $10.1 million に達した。

「企業は、セキュリティの防御を強化し、攻撃者を打ち負かす必要があります。今こそ、敵対者の目的達成を阻止し、攻撃の影響を最小化することが必要なのです。

IBM Security X-Force の Global Head である Charles Henderson は、「企業にとって必要なことは、セキュリティの防御を強化し、攻撃者を打ち負かすことだ。今こそ、敵対者の目的達成を阻止し、攻撃の影響を最小化することが必須である。企業が検知と対応に投資せずに、境界を完璧に保とうとすればするほど、コストの増加に対して、侵害が拍車をかけることになる。このレポートは、適切な戦略と適切なテクノロジーを組み合わせることで、企業が攻撃を受けたときに、大きな違いが生じることを示している」と述べている。

重要インフラ組織への過度の信頼

重要インフラが標的とされることの懸念は、この１年で世界的に高まっているようであり、多くの政府系サイバー・セキュリティ機関が、破壊的な攻撃に対する警戒を促している。実際のところ、IBM のレポートによると、調査対象となった重要インフラ組織への侵害のうち、ランサムウェアと破壊的な攻撃が 28% を占めている。これらの組織が依存するグローバルなサプライチェーンが、脅威アクターにより破壊されたことが浮き彫りになっている。そこには、金融サービス／製造業／運輸／医療などの企業が含まれる。

この１年にわたりバイデン政権は、国家のサイバー・セキュリティを強化するために、ゼロトラスト・アプローチを採用することの重要性を中心に置く、サイバー・セキュリティ大統領令を発表して注意を呼びかけてきた。この報告書によると、調査対象の重要インフラ組織のうち、ゼロトラスト・セキュリティモデルを採用している組織は僅か 21% に過ぎない。

さらに、重要インフラ組織における侵害の 17% は、ビジネスパートナーが最初に侵害されていることに原因があり、過信した環境がもたらすセキュリティ・リスクが浮き彫りになっている。

身代金を支払う企業は “お得 “ではない

2022 Cost of a Data Breach Reportによると、脅威アクターに身代金を支払った企業は、支払わなかった企業に比べて、平均侵害コストが $610,000 ほど少なかった (支払った身代金額は含まず)。しかし、Sophos によると、身代金の平均支払額は 2021年には $812,000 に達している。身代金の支払いを選択した企業は、総費用が増加する可能性があり、修復と復旧の作業に割り当てられるはずの資金が、将来のランサムウェア攻撃のために提供される可能性も生じる。

ランサムウェアを阻止するための、世界的な取り組みにもかかわらず、ランサムウェアが根強く存在するのは、このサイバー犯罪が産業化されているためである。IBM Security X-Force によると、調査対象となった企業が経験したランサムウェア攻撃の期間は、過去３年間で 94% 減少しており、２カ月以上から４日弱に短縮されている。

このように、攻撃のライフサイクルが飛躍的に短くなると、サイバー・セキュリティのインシデント対応担当者にとっても、攻撃を検知してから阻止するまで時間が非常に短くなる。したがって、より影響力の大きい攻撃が引き起こされる可能性がある。身代金の要求までの時間が数時間にまで短縮されたことで、事前にインシデント対応策の厳密なテストを行うことが、企業にとって不可欠となっている。しかし、この報告書によると、インシデント対応計画を持つ調査対象組織の 37% が、定期的なテストを行っていないと述べている。

ハイブリッド・クラウドの優位性

このレポートでは、調査対象の組織で最も普及しているインフラとして (45%)、ハイブリッド・クラウド環境も紹介されている。ハイブリッド・クラウド・モデルを採用した企業は、平均 $3.8 million の情報漏えいコストを記録した。パブリック・クラウドのみは $5.02 million であり、プライベート・クラウドのみは $4.24 million であり、ハイブリッド・クラウドは、情報漏えいコストを低く抑えていることが判明した。実際のところ、ハイブリッド・クラウドを採用している企業は、世界平均の 277日よりも 15日ほどデータ侵害を特定し、封じ込めることができている。

このレポートでは、調査対象における侵害の 45% が、クラウド上で発生したことが強調されており、クラウド・セキュリティの重要性が浮き彫りになっている。しかし、報告組織の 43% は、クラウド環境を保護するためのセキュリティ対策に関しては、初期段階にある、または、開始していないと回答しており、侵害コストの上昇を懸念している。

クラウド環境全体に対して、セキュリティ対策を実施していない企業は、すべての領域で一貫してセキュリティ対策を実施している企業と比べて、データ侵害の特定と封じ込めに平均で 108日ほど多く費やしたことが明らかになった。

さまざまな数字が並んでいますが、その１つ１つが意味深いものだと思います。IBM の Cost of a Data Breach 2022 Report に感謝ですね。このような情報が、一定以上の精度で収集／分析されると、防御側を構成するユーザー企業もベンダーも、次に考えるべきことが見えてくると思います。とにかく、変わり身の早い脅威アクターたちを相手にするのですかた、こうしたレポートが頻繁に提供される状況が好ましいのは、言うまでもありません。ダウンロードにはメアドなどの入力が必要ですが、2022 Cost of a Data Breach Report はお勧めのレポートです。