Average data breach cost jumps to $4.88 million, collateral damage increased
2024/07/30 HelpNetSecurity — IBM が発表したのは、データ侵害のコストに関する年次レポート “Cost of a Data Breach Report” であり、データ侵害の世界平均コストが、2024年には $4.88M に達すると明示している。情報漏えいに対するコストは、2023年から 10%増加し、パンデミック以降で最大の上げ幅となった。情報漏えいが発生した組織の 70%が、それにより極めて深刻な混乱が引き起こされたと報告している。
情報漏えいによる付随的な被害は、激化の一途をたどっている。事業面での損失に加えて、情報漏えい後の顧客/第三者への対応コストが、前年比でのコストの急増における大きな要因となった。データ漏えいが企業に与える影響は、単なるコストの面だけではなく、漏えい後の処理の増加にも及んでいる。完全に復旧できた組織は、12% という低レベルにあるが、その大半において復旧には 100日以上が費やされている。
AI を活用した予防が功を奏す
前年と比較して、深刻な人員不足に直面した組織が 26%も増加している。セキュリティ要員の配置に問題がない組織と、あるいは、少なかった組織と比較して、その侵害コストは平均で $1.76M も増加している。
調査対象組織の 3社中2社が、SOC (security operation center) にセキュリティ AI と自動化を導入している。これらの技術が、防止ワークフロー全体で幅広く使用された場合には、それが達成されていない組織と比較して、侵害コストが平均で $2.2M も削減されたという。
侵害の 40%は、複数の環境にまたがって保存されたデータに関するものであり、そのプラットフォームには、パブリック/プライベートのクラウドおよび、オンプレミスが含まれる。これらの侵害のコストは平均で $5M 以上で、特定と封じ込めに要した時間は 283日であり、今回の調査における最長となった。
IBM Security の VP/Strategy and Product Design である Kevin Skapinetz は、「企業は、侵害/封じ込め/事後対応という、従来からの継続的なサイクルに陥っている。このサイクルには、セキュリティ防御を強化するための投資や、情報漏えい費用の消費者への転嫁も含まれるようになり、ビジネスを継続するための新たなコストとして、セキュリティの占める比率が増大している」と述べている。
彼は、「生成 AI が急速に企業に浸透し、攻撃対象が拡大するにつれて、こうしたレベルでの費用は直ぐに維持できなるだろう。つまりユーザー企業にとって必要となるのは、セキュリティ対策と対応戦略の見直しである。先手を打つために、企業は AI を活用した新たな防御策に投資し、生成 AI がもたらす新たなリスクと機会に対処するために必要な、スキルを身につけるべきだ」と付け加えている。
セキュリティ人材の不足が侵害のコストを増大させた
調査対象となった組織の半数以上が、昨年に深刻な人材不足に陥り、その結果として、侵害コストが大幅に増加していたという。人材不足が高レベルとなった組織の場合には、そのコストが $5.74M に達したのに対して、不足レベルが低い組織は $3.98M であった。セキュリティ・チームにとって新たなリスクとなることが予想される、生成 AI 技術の導入に企業がしのぎを削っているときに、このような事態が発生している。
実際に、IBM Institute for Business Value の調査によると、調査対象となったビジネス・リーダーの 51%が、予測不可能なリスクや新たなセキュリティ脆弱性の発生を懸念しており、47%が AIを標的とした新たな攻撃を懸念している。
さらに、セキュリティ予算の増額を計画していると回答した組織が、昨年の 51% から 今年は 63% に増加し、従業員研修が投資予定分野のトップに浮上した。また、多くの組織で計画されているものとしては、インシデント対応の計画とテスト/脅威の検出と対応テクノロジー (SIEM/SOAR/EDRなど)/ID とアクセス管理/データセキュリティ保護ツールへの投資などが挙げられる。
AI で時計をハッキングする
IBM のレポートによると、セキュリティ AI と自動化を導入している組織は 67%であり、前年から 10%近く急増している。セキュリティ AI と自動化を広範に採用している組織は、これらのテクノロジーを使用していない組織と比べて、平均で 98日も早くインシデントを検出し、封じ込めに成功している。
その一方で、データ侵害のライフサイクルの世界平均は 258日となり、前年の 277日から短縮され、7年ぶりの低水準を記録した。侵害のライフサイクルの短縮は、内部検知の増加にも要因がある。組織内 のセキュリティ・チームにより検知された侵害は、 前年の 33% から 42% へと増加した。この内部検知により、データ漏えいのライフサイクルは 61日も短縮された。それにより、攻撃者が侵害を開示した場合と比較して、漏えいコストは $1M 近く削減された。
知的財産の盗難に拍車をかけるデータ不安
2024 Cost of a Data Breach Report によると、情報漏えいの 40%は複数の環境にまたがって保存されたデータに関与しており、情報漏えいの 3分の1以上はシャドー・データ (管理されていないデータソースに保存されたデータ) に関与している。
こうしたデータの可視性のギャップが、知的財産 (IP:intellectual property) の盗難の急増につながった (27%)。これらの盗難レコードに関する費用は前年比で 11%近くも急増し、1レコードあたり $173 に達した。AI への取り組みにより、知的財産へのアクセスが、さらに容易になるという可能性が生じている。重要なデータが動的なものとなり、環境全体でアクティブになるにつれて、それを取り巻くセキュリティとアクセス制御を、組織として見直す必要性が浮上するだろう。
イニシャル攻撃ベクターとしては、盗まれた/侵害された認証情報が 16%であり、最も一般的なものとなった。これらの侵害においては、身元確認と封じ込めに長大な時間が費やされ、約10カ月にも及んでいる。
侵害コストは最も高いのはクリティカル・インフラ組織
ランサムウェア被害において、法執行機関の介入と非介入を比較すると、介入により侵害コストが平均で $1M 近く削減されている。また、法執行機関を介入させたランサムウェア被害者の大半 (63%) は、身代金の支払いも回避できている。
業界全体で最も高い侵害コストを被ったのは、ヘルスケア/金融サービス/産業/テクノロジー/エネルギー業界の各組織である。侵害の高コストが最も高いのは、14年連続でヘルスケア業界であり、その侵害コストは平均 $9.77 に達している。
今年、情報漏えいに対応するために、商品/サービスのコストを引き上げると回答する組織は 63%であり、昨年の 57% よりも若干増加した。
このような、侵害とコストに関する統計値ですが、あまりにも母数が小さな調査では、なんとなく極端な数字が出そうで信頼できませんが、IBM が年次で実施しているものであれば、それなりの納得感がありますね。このブログ内で関連する記事を探してみたら、2022/07/27 の「IBM 調査:データ侵害が生み出す1件あたりのコストが史上最高の $4.35 M に達する」が見つかりました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.