日本におけるコストは「1レコードあたり平均1万5400円」、最大のインパクト要因は「ビジネス機会喪失」
情報漏洩後の総コストはさらに高く、日本IBMが年次調査結果を説明
2019年08月05日 07時00分更新
日本IBMは2019年8月2日、「2019年版 情報漏えいのコストに関するレポート(2019 Cost of a Data Breach Report)」に関する記者説明会を開催した。情報漏洩が発生した後にかかる平均総コストや、収束までにかかる日数は昨年よりもさらに増加している一方で、社内でのインシデントレスポンスチーム(IRチーム、CSIRT)組成やセキュリティ自動化技術の導入により、コストを低減できる可能性もあることがわかっている。
説明会には日本IBM セキュリティー事業本部 コンサルティング&システムインテグレーション 理事/パートナーの小川真毅氏、同事業本部 X-Force & Service Intelligence 部長の徳田敏文氏が出席し、日本企業における調査結果とグローバルとの比較も含めた調査結果のポイントを説明した。
「2019年版 情報漏えいのコストに関するレポート(2019 Cost of a Data Breach Report)」の調査結果サマリ
日本IBM セキュリティー事業本部 コンサルティング&システムインテグレーション 理事/パートナーの小川真毅氏
日本IBM セキュリティー事業本部 X-Force & Service Intelligence 部長の徳田敏文氏
情報漏洩コスト/収束日数はいずれも増加、影響要因は「ビジネス機会喪失」が最大
同レポートはIBMが後援し、Ponemon Instituteがこれまで14年間にわたり発行しているもの。過去1年間に情報漏洩の被害にあった企業を対象に詳細なインタビュー調査を実施し、情報漏洩後に発生するコストを中心にまとめている。今回は16の国/地域で507社を対象とした調査が行われた(日本は33社)。調査対象となった情報漏洩ケースの、1件あたりの平均レコード数(漏洩データ件数)は2万5575件。
調査対象となった情報漏洩の平均規模(漏洩データ件数、国/地域別)。なお日本の平均レコード数は2万445件
同レポートにおけるコストは、情報漏洩が発生したあとの「4つの活動(Activity)」にかかるものの合計額と定義されている。「発見と報告(詳細調査費用も含む)」「漏洩データの主体(個人情報が漏洩した登録会員など)や当局に対する通知」「対策費用全般(法的費用/罰金、再発防止対策費も含む)」「ビジネス機会喪失(既存顧客離脱、新規顧客の忌避などによる想定額)」の4つだ。
まず情報漏洩1件あたりの総コストは平均で392万ドル(およそ4億3000万円)となった。これは昨年の調査結果と比較して1.5%の増加である。また情報漏洩から数速までの平均期間は279日となり、これも昨年比で4.9%延びている。産業別に見ると、1レコード(情報1件)あたりで最も平均コストが高い産業はヘルスケアだった。この理由について小川氏は、「業界としてレギュレーションが厳しいほか、機微情報も多く扱うため」だと説明する。
産業別の平均総コスト。ヘルスケア(645万ドル)、金融(586万ドル)、エネルギー(560万ドル)と続く
国/地域別で1件あたりの平均総コストを見ると、米国(819万ドル)、中東(597万ドル)、ドイツ(478万ドル)がトップ3だった。日本は7位(375万ドル)に入っている。米国、中東は1回あたりの漏洩件数が大きい一方、ドイツなど欧州諸国は個人情報保護に対する意識が高く、それがコストを押し上げる要因になっているという。小川氏は、日本も個人情報保護に対する意識の高まりから、同様の傾向が見られると説明する。
前述した「4つの活動」別で平均総コスト392万ドルの内訳を見ると、「ビジネス機会喪失」が最も大きく平均36.2%(142万ドル)、以下「発見と報告」31.1%(122万ドル)、「対策費用全般」27.3%(107万ドル)、「漏洩データの主体や当局に対する通知」5.4%(21万ドル)となっている。なお、総コストは情報漏洩が発生した最初の1年間だけでなく、約3分の1のコストは2年目移行に発生することもわかっている。
情報漏洩コストへのインパクトとしては「ビジネス機会喪失」が最も大きい。既存顧客の離脱と新規顧客の忌避を招くためだ
情報漏洩の要因としては「悪意のある攻撃」がおよそ半分(51%)を占めるが、設定漏れやバグといった「システムの不具合」(25%)、操作ミスなどの「ヒューマンエラー」(24%)も少なくない。ちなみに同調査では、従業員による内部犯行(データの不正持ち出しなど)も「悪意のある攻撃」に含まれているが、徳田氏はIBMの顧客企業でも近年、そうした内部犯行が検知されるケースが再び増える傾向があり気がかりだと語った。
日本のみの調査結果を見ても、おおむねグローバルと同じような動向と言える。日本における情報漏洩1件あたりの平均総コストは375万ドル(4億1100万円)で昨年比10.74%の増加。1レコードあたりに換算すると1万5400円/レコードと、こちらも昨年比で4.18%増加している。
なお情報漏洩から収束までの日数は311日と、グローバル平均(279日)よりも日数がかかっており、昨年比でも9.5%延びている。小川氏は、日本では漏洩後の対応に関する規制当局や顧客の要求レベルがグローバル平均よりも高いため、収束までの日数が長引く傾向があると説明した。同じ理由から、顧客離反率も高めとなっている。
日本のみの調査結果とグローバル平均との比較。日本のほうが顧客流出がより多く起きることもわかっている
日本のみの、1レコードあたりの産業別情報漏洩コスト。全産業平均は1万5400円
IRチーム組成と訓練、暗号化や自動化技術の導入がコスト低減につながる
同レポートでは、情報漏洩にかかるコストを低減させるための効果的な手段として、企業内でのIRチーム(インシデントレスポンスチーム、CSIRT)の組成や訓練の実施、暗号化技術の広範な利用、自動化技術の導入を挙げている。
情報漏洩の平均総コストに減少/増大の影響を与える要素
まずコストの減少要素となる技術については、「IRチームの組成」「データ暗号化の広範な利用」が最も効果が高く、いずれも36万ドルの削減要素と推計。次に「IR計画の広範な訓練」が続き、こちらは32万ドルの削減要素となっている。反対に増大要素のほうは、事後の改善対策や罰金などに大きなコストがかかる「サードパーティ(サプライチェーンなど)からの漏洩」「コンプライアンス違反」「クラウド移行の拡大」が上位3つとなっている。
なお「IRチームの組成」と「IR計画の広範な訓練」については、その両方をしていない企業における平均総コストと比較して、平均で120万ドルの差が見られたという。
もうひとつ、近年ではSOAR(Security Orchestration Automation and Response)のようなセキュリティ運用と対応を自動化する技術/製品にも注目が集まっているが、これが情報漏洩の総コストを低減させる可能性があるという。
具体的には、セキュリティ自動化技術を「まったく導入していない」企業(グローバル平均で48%を占める)の平均総コストは516万ドルである一方で、「部分的に導入している」企業(36%)は386万ドル、「全面的に導入している」企業(16%)は265万ドルと、コストにおよそ50%もの差が出ている。
ちなみに小川氏は、セキュリティ自動化技術の導入率については「この数字よりも、実態はもっと進んでいないという感覚」を持っていると述べた。自動化によって情報漏洩が検知されたあとの対応や回復(レジリエンシー)を迅速なものにすることで、かかるコストの低減も期待できるため、自動化の必要性は今後さらに注目されることになるだろう。
セキュリティ自動化技術を「完全に導入している」企業の情報漏洩コストは、「まったく導入していない」企業の約半分という調査結果が出ている
小川氏は、さまざまなIT投資の中でセキュリティ分野はどうしても「コスト」と見られがちだが、特に企業のマネジメント層には、このレポートを通じて「投資効果」があることを理解していただきたいと語った。
「ひとつは事前のセキュリティ投資により、情報漏洩コストを削減できるということ。もうひとつは、投資家などのステークホルダーに対し、情報漏洩が起きた場合でも即座に対応できる体制が整っていることを説明できるという意味での投資でもある。緊急時の体制がどうなっているかを問われた際に、経営者がすぐに答えられる、企業としての信頼性が高まる、そういう意味でも投資価値がある」(小川氏)
なお今回の調査レポート英語版はオンラインで公開されているが、日本IBMでは今年9月に日本語版も発行する予定としている。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
