[調査・レポート]

2021年8月25日(水)日川 佳三（IT Leaders編集部）

リスト

　「2021年データ侵害のコストに関する調査レポート」は、米IBM Securityが世界規模でデータ侵害の経済的影響を調査した結果をまとめた年次のグローバル調査レポートである。

　同レポートは、2020年5月から2021年3月の間に発生した実際のデータ侵害に対する詳細な分析に基づいている。IBM Securityが、ブランドエクイティ、顧客、従業員の生産性への損失に対する法律面、規制面、技術面の活動を含む数百のコスト要因を考慮して作成している。

　データ侵害のインシデント発生で、その対処にかかるコストは、1回の侵害あたり平均で424万米ドル（約4億6500万円）に達した。17年前に調査を開始してから最高額を記録した。前年比で10%増加している（図1）。

　日本の平均コストは世界平均を上回り、469万ドル（約5億1480万円）となった。なお、日本の前年度は419万ドルだった（図2）。

図1：データ侵害1回あたりの平均コストの推移（出典：日本IBM）
拡大画像表示

図2：国または地域別のデータ侵害にかかる平均総コスト（単位：100万ドル、出典：日本IBM）
拡大画像表示

パンデミックがコスト増の主要因

　IBM Securityは、データ侵害のコストが急増した要因として、パンデミックによる業務オペレーションの急激な変化を挙げる。2020年のパンデミックでは、多くの企業が従業員のリモートワークを奨励または義務化し、60%の組織がクラウドベースの業務に移行した。こうした変化にセキュリティが追い付いていないという。

　データ侵害のコストが増加した要因の1つに、リモートワークを挙げている。リモートワークが要因の場合の平均コストが496万ドルに対して、リモートワークが要因でない場合の平均コストは389万ドルである（図3）。

図3：リモートワークがデータ侵害コストに与える影響（出典：日本IBM）
拡大画像表示

　業務オペレーションが大きく変わった業界として、特に医療業界のデータ侵害コストが急上昇し、1件あたり923万ドル（前年比200万ドル増）に達した。次いで金融（572万ドル）、医薬品（504万ドル）だった。小売、メディア、接客業、公共部門においても、全体的なコストは低いものの、2020年に比べてコストが大幅に増加している。

　また、業務オペレーションを変えるべくデジタルトランスフォーメーション（DX）を実施しなかったと回答した組織のデータ侵害コストは、平均よりも75万ドル高くなっている（平均比16.6％増）。

ID/パスワードの漏洩がデータ侵害の最多要因

　最も多かったデータ侵害の原因は、漏洩したユーザー認証情報であり、データ侵害の20%を占めている（図4）。IBM Securityは、認証情報の漏洩はデータ侵害の主要な要因であると同時に結果でもあり、企業にとっては複合的なリスクであると指摘する。

図4：データ侵害の最多要因はユーザー認証情報の流出（出典：日本IBM）
拡大画像表示

　調査対象者の82%は、複数のアカウントでパスワードを使い回していると回答した。データ侵害の被害にあった調査対象企業の約半数（44%）は、顧客の個人情報（氏名、電子メール、パスワードなど）を流出させている。

　顧客の個人を特定できる情報（PII）の喪失コストは、他のデータタイプと比べて高額である。全体の1レコードあたりの平均コストが161ドルであるのに対し、PIIの1レコードあたりのコストは180ドルだった。また、漏洩した認証情報を原因とするデータ侵害は検知に最も時間がかかったことが判明した。特定までに平均250日を要している（平均的な侵害の場合は212日）。

●Next：データ侵害コストを抑えるためのアプローチは？