[調査・レポート]
データ侵害1回あたりの損失は平均435万ドル、AI/自動化の有無で305万ドルの差─米IBM Security調査
2022年8月25日(木)日川 佳三(IT Leaders編集部)
日本IBMは2022年8月25日、セキュリティ調査レポート「2022年データ侵害のコストに関する調査レポート」の日本語版サマリーを公開した。米IBM Securityが世界規模でデータ侵害の経済的影響を調査した結果をまとめたもの。1回のデータ侵害インシデントでかかるコストは平均435万米ドル(約5億9800万円)で、18年前に調査を開始して以来、過去最高だった。コストの削減に効く要因としてはAIと自動化の影響が大きく、AIと自動化を全面的に導入している組織(315万ドル)と導入していない組織(620万ドル)のコスト差は305万ドルである。
米IBM Securityが発行した「2022年データ侵害のコストに関する調査レポート」は、世界規模でデータ侵害の経済的影響を調査した結果をまとめた年次のグローバル調査レポートである。今回の2022年版は、2021年3月から2022年3月の間に世界の550の組織が経験した実際のデータ侵害に対する詳細な分析に基づいている(関連記事:データ侵害で被る損失が過去最高額に、1回あたり平均で424万ドル─米IBM Security調査)。
図1:データ侵害時に発生するコスト(出典:日本IBM)拡大画像表示
データ侵害のインシデントで発生するコストは、1回の侵害あたり平均435万米ドル(約5億9800万円)だった(図1)。18年前に調査を開始して以来、過去最高だった。2021年の424万ドルからは2.6%増えており、2020年の386万ドルからは12.7%増えた。ここ数年、データ侵害で発生するコストは上昇傾向にある。日本においても、2022年は1件あたり5億6000万円で、過去最高だった。
コストをカテゴリ別に分類すると、「検知とエスカレーション」のコストが最も高かった(図2)。「障害後の対応」に要するコストや「通知」に要するコストも伸びた。一方で、「機会損失」のコストは減少した。日本IBMでは、この理由として「検知や対応のコストを増やしたことで、インシデントによる機会損失を抑えられるようになった」としている。
図2:カテゴリ別に見たコストのトレンド(出典:日本IBM)拡大画像表示
インシデントを検知するまでの日数と、封じ込めに要する日数も、減少に転じた(図3)。この理由についても同様で、検知や対応のコストを増やしたことが功を奏している。日本をグローバル平均と比べると、検知に要する日数は195日でグローバル平均(207日)よりも低いが、封じ込めに要する日数は75日でグローバル平均(70日)よりも多い。
図3:インシデントを検知するまでの日数と、封じ込めに要する日数(出典:日本IBM)拡大画像表示
ランサムウェアの被害が増加、身代金の支払い有無でコストに大差なし
データ侵害をタイプ別に見ると、ランサムウェアは2021年の7.8%から11%に増加(図4)。破壊的な攻撃(17%)やサプライチェーンを起点として発生した攻撃(19%)も目立つ。これら3つの外部要因を合わせると、インシデントの半数近くを占める。
図4:データ侵害をタイプ別に見た割合(出典:日本IBM)拡大画像表示
ランサムウェアにおけるコスト(454万ドル)と破壊的な攻撃におけるコスト(512万ドル)は、コストの全体平均(435万ドル)を上回っている(図5)。ランサムウェアの場合、身代金を払わない場合は破壊的な攻撃と同等のコスト(512万ドル)がかかるが、身代金を払った場合はコストが449万ドルへと減少する(身代金のコストは含まれない)。
図5:ランサムウェアと破壊的な攻撃によるコスト(出典:日本IBM)拡大画像表示
ランサムウェアに対して身代金を払った方がコストが低くなる点について日本IBMは、「身代金支払いの有無によるコストの差は小さなものであり、身代金を払わなくても破壊的な攻撃と同じコストで済むのだから、身代金は払わないほうがよいのではないか」との見解を示している。
サプライチェーンを起点として発生した攻撃については、全体平均と比べて、検知に要する日数が長期化している(図6)。全体平均の207日に対して、サプライチェーン攻撃では235日を要している。サプライチェーンが絡むことで、インシデントが発見しづらくなっている。
図6:サプライチェーン攻撃のコスト(出典:日本IBM)拡大画像表示
●Next:データ侵害のコストを減らす方法
会員登録(無料)が必要です
- 1
- 2
- 次へ >
