[調査・レポート]

2023年9月11日(月)日川 佳三（IT Leaders編集部）

リスト

　日本IBMは、グローバル調査レポート「2023年データ侵害のコストに関する調査レポート（Cost of a Data Breach Report 2023）」の日本語版を公開した。2022年3月から2023年3月にかけて553の組織が経験した実際のデータ侵害について調査・分析している。レポートは18年連続で発行しており、米IBMセキュリティが調査会社の米ポネモン研究所（Ponemon Institute）に委託して実施した。

　調査から、データ侵害の世界平均コストが2023年に過去最高となる445万ドル（約6億4500万円）になり、過去3年間で15%増加していることが分かった。検知とエスカレーションにかかるコストが約42%増加し、侵害コストの最も大きな部分を占めている。「データ侵害に関する調査が複雑化していることを示している」（日本IBM）という。

　データ侵害についてのコストや被害の頻度の増加にどのように対処するかについて、企業ごとに意見が分かれている。調査対象組織の95%は、データ侵害を1回以上経験している。一方、データ侵害の被害にあった企業は、セキュリティへの投資を増やす（51%）よりも、インシデントにかかったコストを消費者側に転嫁する（57%）傾向が強いことが判明した。

法執行機関に相談することで対処コストを削減

　ランサムウェアの被害を受けた際に、法執行機関に相談しなかった被害企業は、相談した被害企業と比べて、データ侵害に対処コストが平均47万ドル（約6800万円）高く、データ侵害のライフサイクルは平均33日長かった。一方、コスト削減の可能性があるにもかかわらず、ランサムウェア被害企業の37%は、法執行機関に相談しなかった。また、ランサムウェア被害企業の約半数（47%）は身代金を支払っている。

　調査対象となったデータ侵害のうち、組織内のセキュリティチームが検知したものは3分の1しかなく、27%は攻撃者が、40%は法執行機関など第三者が公表した。攻撃者が公表したデータ侵害のコストは、調査対象組織がみずから検知した侵害と比べ平均で100万ドル（約1億4600万円）近く高い（523万ドルと430万ドル）。また、攻撃者が公表したデータ侵害は、組織内で発見したデータ侵害と比べると、ライフサイクルが80日近く長い（320日と241日）。

　「AIと自動化が、データ侵害の特定と被害の封じ込めの迅速化に最も大きな影響を与えていることが分かった」（同社）。AIと自動化の両方を広範に用いている組織は、これらの技術を導入していない組織と比べて、平均180万ドル近くデータ侵害のコストを削減できており、データ侵害のライフサイクルは108日短かった（214日と322日）。

4割は複数環境にまたがってデータを消失

　データ侵害の約40%は、パブリッククラウド、プライベートクラウド、オンプレミスを含む複数の環境にまたがってデータを消失している。このことは、攻撃者は、検知を避けながら複数の環境を侵害できたことを示している。複数の環境に影響を及ぼしたデータ侵害は、コストの増加（平均475万ドル）につながっているとIBMは分析している。

　2023年のヘルスケア業界におけるデータ侵害の平均コストは約1100万ドルに達し、2020年と比べて53%増加している。「医療記録をもとに身代金を要求している。顧客の個人特定情報は調査対象の全業界において最も広く侵害があり、最も高額な被害である」（同社）。

　また、DevSecOpsを導入している組織は、導入していない組織と比べて、データ侵害の平均コストが170万ドル（約2億5000万円）近く低かった。