日本IBMは2020年8月25日、情報漏洩が引き起こす企業への経済的影響(コスト)に関して調査した年次レポートを発表した。セキュリティ自動化ツールを導入している企業は、まったく導入していない企業に比べて、情報漏洩に起因するコストを6割削減できていることが分かった。
米IBMは、情報漏洩が引き起こす企業への経済的影響(コスト)を調査した(図1)。調査は、17の国・地域を対象に、2019年8月から2020年4月の間に発生した524件の情報漏洩事故について調べた。調査には、3200人以上が回答した。
図1:米IBMは、情報漏洩が引き起こす企業への経済的影響(コスト)を調査した年次レポートを出している(出典:日本IBM)拡大画像表示
情報漏洩によって発生するコストは、1回の漏洩あたり平均386万ドルだった。個人情報1件あたりの漏洩対策コストは150ドルだった。
セキュリティ自動化で情報漏洩に起因するコストを6割削減
コストに影響を与える要因としては、セキュリティの検知や対応を自動化するツールの導入状況や、新型コロナウイルス対策にともなうリモートワークの普及、などがある。
セキュリティの自動化を全面的に導入している企業は、まったく導入していない企業と比べて、情報漏洩に起因するコストを約6割削減できた。まったく導入していない企業(603万ドル)と全面的に導入している企業(245万ドル)では、358万ドルの差がある。
一方、リモートワークは、情報漏洩に起因するコストを引き上げる。76%の企業は、リモートワークによって、情報漏洩の検知と被害拡大防止にかかる時間が増えた。リモートワークによる情報漏洩コストの増分は、13万7000ドルになる。
機会損失によるコストが4割を占める
情報漏洩によって発生するコストの内訳は、大きいものから順に、機会損失が152万ドルで39.4%、検知とエスカレーションが111万ドルで28.8%、情報漏洩後の対応が99万ドルで25.6%、通知が24万ドルで6.2%、――である(図2)。
図2:情報漏洩によって発生するコストの内訳(出典:日本IBM)拡大画像表示
トップを占める機会損失に含まれる主なコストは、システムのダウンタイムによるビジネスの中断や減収、顧客喪失と新規顧客獲得のコスト、企業評価の低下と業務上の信用の失墜、――などである。
漏洩させた情報の種類は、上位から順に、顧客の個人情報(80%)、知的財産(32%)、匿名化データ(24%)、その他の企業データ(23%)、従業員の個人情報(21%)、――である。
漏洩させた情報1件あたりのコストは、顧客の個人情報(150ドル)から従業員の個人情報(141ドル)まで大差はない。
悪意のある攻撃が情報漏洩の原因の過半数を占める
情報漏洩の原因の内訳は、52%が悪意のある攻撃、25%がシステムの欠陥、23%が人的ミスだった。攻撃方法のトップ3は、流出した資格情報を利用した攻撃が19%、クラウドの構成ミスを利用した攻撃が19%、ソフトウェアの脆弱性を利用した攻撃が16%だった。
攻撃の目的は、金銭目的が53%でトップである。続いて、不明が21%、国家主体が13%、ハクティビストが13%、――となった。悪意のある攻撃の大半は、金銭目的が占めている。
●Next:情報を漏洩させた日本企業33社の特徴
会員登録(無料)が必要です
