おたくま経済新聞

深刻化するデータ侵害の混乱がコストを押し上げる
- 知的財産の盗難が急増、侵害の3分の1以上がシャドー・データに関与
- AIと自動化を広範に使用した組織は使用しなかった組織と比べて、侵害コストは188万ドル低い

日本IBMは、本日、「2024年データ侵害のコストに関する調査レポート」の日本語版を発表しました。本調査によると、データ侵害の世界平均コストが2024年には488万ドルに達したことが明らかになりました。データ侵害コストは前年比10％増加し、パンデミック以降で最大の伸びとなりました。また、データ侵害を受けた組織の70％が、侵害によって重大または非常に重大な中断が生じたと報告しています。

データ侵害による付随的な被害が激化しているため、事業の損失、侵害後の顧客や第三者への対応によるコストが前年比でコスト急増の原因となっています。データ侵害が企業に与える破壊的な影響は、コストを押し上げるだけでなく、侵害の影響を長引かせており、完全に復旧ができた少数の組織（12％）の大半は、復旧に100日以上かかっています。


本レポートは、2023年3月から2024年2月までの間に世界の604社が経験した実際のデータ侵害の詳細な分析に基づいています。米調査会社Ponemon Instituteが実施し、IBMが資金提供、分析、発行した本調査は、19年連続で発表され、6,000を超える組織のデータ侵害を調査し、業界のベンチマークとなっています。

2024年IBMレポートの主な調査結果は以下の通りです。
- セキュリティー・チームの人材不足：前年と比較して深刻な人材不足に直面する組織が増加し（26%増）、セキュリティー人材不足の問題が少ない、または全くない組織と比較して、平均176万ドルの侵害コストの増加が確認されました。
- AIを活用したセキュリティー対策が奏功：調査対象組織の3社に2社が、セキュリティー・オペレーション・センター（SOC）全体でセキュリティーのためのAIと自動化を導入しています。予防ワークフローにAIを幅広く使用した場合、予防ワークフローにAIを使用していない組織と比較して、侵害コストが平均220万ドル削減されました。
- データの可視性のギャップ：侵害の40％は、パブリッククラウド、プライベートクラウド、オンプレミスを含む複数の環境にわたって保存されたデータに関連していました。これらの侵害によるコストは平均500万ドル以上で、特定と封じ込めに最も長い日数を要しました（283日）。


IBMセキュリティー戦略・製品設計担当バイス・プレジデントのケビン・スカピネッツ（Kevin Skapinetz）は次のように述べています。「企業は、侵害、封じ込め、影響への対応という継続的なサイクルに陥っています。このサイクルには、セキュリティー防御強化のための投資や、侵害によって生じた費用を消費者に転嫁することも含まれるようになり、セキュリティーはビジネスにおける新たなコストになっています。生成AIが急速に企業に浸透し、攻撃対象が拡大するにつれて、こうした費用はすぐに維持できなくなり、企業はセキュリティー対策と対応戦略を見直す必要に迫られるでしょう。先手を打つために、企業は新たなAI主導の防御に投資し、生成AIがもたらす新たなリスクと機会に対処するために必要なスキルを身につけるべきです」

セキュリティー人材不足が侵害コストを押し上げた
調査対象の半数以上の組織で、昨年、深刻もしくは高レベルで人材不足が発生し、その結果、侵害コストが大幅に増加しました（人材不足が高レベルの場合は侵害コストが574万ドルであったのに対し、低レベルまたは問題がない場合は398万ドル）。このような事態は、企業が生成AI技術の導入を急いでいる中において発生しており、セキュリティー・チームにとって新たなリスクになると予想されています。実際、IBM Institute for Business Valueの調査によると、調査対象となったビジネス・リーダーの51％が予測不可能なリスクや新たなセキュリティー脆弱性の発生を懸念しており、47％がAIを標的とした新たな攻撃を懸念しています。

昨年に比べ、セキュリティー予算の増額を計画していると回答した組織が増加し（51％から63％へ増加）、従業員研修が投資予定分野のトップに浮上したことから、人材確保の課題は間もなく緩和される可能性があります。組織はまた、インシデント対応の計画とテスト、脅威の検出と対応テクノロジー（SIEM、SOAR、EDRなど）、アイデンティティーとアクセス管理、データ・セキュリティー保護ツールへの投資を計画しています。

AIによるハッキング
本レポートによると、セキュリティーのためのAIと自動化を導入している組織は67％で、前年から10％近く急増し、20％が何らかの形でAIセキュリティー・ツールを使用していると回答しました。セキュリティーのためのAIと自動化を広範に使用した組織は、使用していない組織よりも平均98日早くインシデントを検知し、封じ込めました。同時に、データ侵害のライフサイクルの世界平均は258日と7年ぶりの低水準を記録し、前年の277日から短縮されました。これらのテクノロジーは、脅威の削減と修復活動を改善することで、防御側に時間を取り戻すのに役立っている可能性があることが明らかになりました。

侵害ライフサイクルの短縮は、内部検知の増加にも起因しています。侵害の42%は、組織内のセキュリティー・チームまたはツールによって検知されました。内部検知により、データ侵害のライフサイクルは61日短縮され、攻撃者から開示された場合と比較して、侵害のコストを100万ドル近く削減することができました。

データの安全性が知的財産の盗難に拍車をかける
本レポートによると、データ侵害の40％が複数の環境にまたがって保存されたデータに関連しており、3分の1以上がシャドー・データ（管理されていないデータソースに保存されたデータ）に関与しています。

このようなデータの可視性のギャップが、知的財産（IP）の盗難の急増（27%増）につながりました。これらの盗難記録に関連する費用も前年から11%近く急増し、1記録あたり173ドルに達しました。AIへの取り組みにより、知的財産はさらにアクセスしやすくなる可能性があります。重要なデータがよりダイナミックになり、環境全体で活用されるようになるにつれて、企業はそれを取り巻くセキュリティーとアクセス制御を再評価する必要があります。

本レポートのその他の主な調査結果は以下の通りです。
- 盗まれた認証情報が最初の攻撃ベクトルのトップに：最初の攻撃ベクトルとして最も多かったのは、盗まれたまたは漏えいした認証情報で、16%でした。また、これらの侵害は、身元確認と封じ込めに最も長い時間を要し、約10カ月に及んでいます。
- 法執行機関が関与した場合、身代金の支払いが減少：法執行機関を関与させることで、関与しなかった場合と比較して、ランサムウェアの被害者は、侵害コストを平均で約100万ドル削減することができました。法執行機関を関与させたランサムウェア被害者の大半（63%）は、身代金の支払いを回避することもできました。
- 重要インフラ組織の侵害コストは最高：医療、金融サービス、製造業、テクノロジー、エネルギーの各分野で、侵害コストが最も高くなりました。医療業界は、14年連続で平均侵害コストが977万ドルに達し、業界全体で最も高額な侵害を受けました。
- 侵害コストは消費者に転嫁される：調査対象企業の63％が、データ侵害によって商品やサービスのコストを引き上げると回答しました。

「2024年データ侵害のコストに関する調査レポート」の日本語版は、こちらからダウンロードいただけます。

当報道資料は、2024年7月30日（現地時間）にIBM Corporationが発表したプレスリリースの抄訳をもとにしています。原文はこちらを参照ください。

IBM、ibm.com、IBM Securityは、米国やその他の国におけるInternational Business Machines Corporationの商標または登録商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、ibm.com/trademarkをご覧ください。