日本企業では昨年比で10%もコストが増大、コストを引き上げる「6つの取り組み」も提言
情報漏洩の総コストは「平均4億円」、IBMが年次レポート発表
2020年08月28日 07時00分更新
日本IBMは2020年8月25日、情報漏えいによる企業への経済的影響などについての年次調査結果をまとめた「情報漏えいのコストに関するレポート」を発表した。情報漏えいインシデント1件あたりの総コスト(被害額)は平均4億円に上り、個人情報漏えいが全体の80%を占めることなどが明らかになっている。
同調査はIBMが15年以上継続して実施しているもので、今回は2019年8月から2020年4月の間に情報漏えいの被害を受けた524件のインシデントを対象に調査/インタビューを実施し、17カ国/17業種の3200人以上が調査に協力した。現実の情報漏えいインシデントに対する詳細な分析に基づき、ブランドエクイティや顧客、従業員の生産性の損失のほか、法律面および規制面、技術面での活動を含む、数百のコスト要因を考慮してまとめたという。
とくに今年のレポートでは、新型コロナウイルス感染拡大の影響によってリモートワークやクラウドを活用した新しい働き方を採用する企業が増加しており、それが情報漏えい 対策にどのような課題や影響を与えるのかについても考察がなされている。
年次調査「情報漏えいのコストに関するレポート」のサマリ。インシデント1件あたりの平均総コストは「386万ドル(約4億円)」。5000万件以上の情報漏えいになると平均「3.92億ドル(約400億円)」という被害額になる
日本IBM 執行役員 セキュリティー事業本部長の纐纈昌嗣氏、同 セキュリティー事業本部 コンサルティング&システムインテグレーション 理事/パートナーの小川真毅氏
情報漏えいインシデントの80%は個人情報に関係するもの
同調査によると、情報漏えいインシデントにかかるコストは1回の漏えいあたり平均386万ドル(約4億円)。そのうちビジネスの「機会損失」に関わるコストが152億ドル、39.4%を占めるという。
この機会損失には、(インシデント調査などのための)システムダウンタイムによるビジネスの中断や減収、顧客喪失と新規顧客獲得のためのコスト、企業評価の低下と業務上の信頼失墜などが含まれる。日本IBMの小川真毅氏は、「DXを推進するなかで、ITシステムへの依存度が高まり、システムのダウンタイムが及ぼすビジネスの影響が大きくなっている」と指摘する。
情報漏えい時の平均総コストの推移
また、調査対象となった情報漏洩インシデントの約半数(53%)が「金銭目的の攻撃」だったほか、インシデントの80%は、顧客個人を特定できる情報(PII:Personally Identifiable Information)に関係する情報漏えいだという。
「情報1件あたりのコストで見た場合でも、個人情報(PII)が最もコストが高く、情報1件あたり150ドルとなった。業種別では、医療分野における情報漏えいコストが最も高く、次いでエネルギー、金融、製薬となった。法的な規制により罰金を科せられるケースもあるため、規制要件が厳しい業種ほど情報漏えいコストが高くなる」(小川氏)
情報1件あたりの平均コスト、業種ごとのインシデントあたりの平均コスト
また、漏洩発生から検知と被害拡大防止までにかかる日数が、平均で280日(およそ9カ月)に達することも明らかになった。その内訳は、検知までが207日、収束までが73日。「手の込んだ攻撃が仕掛けられており、数年に渡って潜伏し、膨大な被害を受ける例が増えている」(日本IBMの纐纈昌嗣氏)という。
悪意のある情報漏えいの根本原因では、流出した資格情報(ID/パスワードなど)によるものが19%、クラウドの構成ミスが19%、サードパーティーソフトウェアの脆弱性が16%となっている。
「攻撃者は流出した情報や人為的ミス、システムの欠陥を巧妙に悪用して、攻撃を成功させている。対策が十分に取られている企業に対して、高度な技術によって、セキュリティを破っているわけではない」(纐纈氏)
情報漏えいコストを増大させる要因、減少させる要因
情報漏えいによるコスト増大の主な要因としては、「複雑なセキュリティシステム」「クラウド移行」「セキュリティスキルの不足」が、その逆にコスト削減要因としては「インシデント対応訓練の実施」「事業継続(BCP)マネジメント」「CSIRT体制の整備」が挙げられるという。
「DX推進やリモートワークの進展で、IT部門が一元的に業務システムを管理できず、セキュリティ対応が遅れるという状況が生まれている。また、セキュリティ人材の不足も多くの企業で課題だ」(小川氏)
情報漏えいコストを増加/減少させる主な要因のトップ3
こうしたコスト増大要因を解決するセキュリティオートメーション(セキュリティ自動化ソリューション)の導入によるコスト削減効果は、平均で358万ドルに達することも明らかになっている。小川氏は、「セキュリティオートメーションを全面的に導入している企業は、まったく導入していない企業と比べて、平均コストを約6割削減できている」と述べる。
「導入していない」企業の情報漏えいコストが年々増大している一方で、「全面的に導入済み」企業では横ばいまたは減少となっている
CISOやCSOに関する調査では、「これらの役職者がセキュリティポリシーやテクノロジーの意思決定者である」とする回答が27%であったにもかかわらず、「情報漏えいに対する最終的な責任を負うのはCISOやCSOである」という回答は46%にも上った。レポートでは「CISOは漏えいに対して責任を有するが、意思決定力は限定的である」と分析しているが、小川氏は「最終的な責任を負うとの回答が半分に達していないという点では、CISOおよびCSOの存在があるべき形になっていないとも言える」とコメントしている。
新型コロナとリモートワークの影響、狙われる「VPN」
新型コロナウイルス感染拡大の影響によって、全世界的にリモートワーク/在宅勤務が進展している。今回の調査対象企業では、54%が「リモートワークが必要になった」と回答している。
そして多くの場合、リモートワークの実施には追加のセキュリティ対策も必要となる。レポートでは、情報漏えい対策費用として平均で13万7000ドル(およそ1450万円)がかかったこともわかった。また、76%の企業は情報漏えい発生後の検知までにかかる時間がこれまでよりも延びると考えており、情報漏えいコストの増加を予想する回答も70%に達した。
「多くの企業はリモートワークの実施にあわせてVPNを強化しているが、今ではランサムウェアによる攻撃の主流は『VPN経由』となっている。今後の情報漏えい対策が重要になる」(纐纈氏)
纐纈氏によると、ランサムウェアはすでに「サイバー攻撃の標準的ツール」として使われるようになっており、企業が情報管理のコンプライアンス向上に向けた動きを強化していることを逆手に取って、盗み出した個人情報を使って“身代金”を要求する動きも広がっているという。数千万円規模の身代金を要求する事例もあった。
またVPNについては、日本の製造業を狙ってVPNの脆弱性を突く攻撃が増えており、纐纈氏は「VPNを導入したあとの対策も重要だ」と指摘した。VPN認証通過後のアクセス制御、AIなどを活用した“ふるまい検知”など、「しっかりとしたガバナンスの採択が必要」だと語る。
日本では漏えい総コストが10%近くも増加、漏えいコストを減らす「6つの取り組み」
日本企業のみを対象とした調査結果についても説明を行った。この調査は9年目となり、今回は33社が調査対象となっている。調査結果によると、情報漏えいの平均総コストは4億5000万円で、前年比9.5%の増加。情報1件あたりの漏えいコストも前年比4.5%増加し、1万6100円となった。
「グローバルでは漏えい総コストが前年比1.5%減だったのに対して、日本では10%近くも増加している。その絶対額も、米国、中東、カナダ、ドイツに次ぐ5番目だ。日々の活動を通じて、日本でも規模の大きいインシデントが増加しているという印象を持っている」(小川氏)
なお、情報漏えいの発生から検出までの時間は昨年の平均232日から218日に減少。検出から収束までの時間も平均79日から70日に減少しているが、小川氏は「まだグローバル平均に比べても日数が長い。さらに効率をあげる必要がある」と指摘する。
日本における情報漏えい平均総コストの推移。昨年比で10%近くも増大している
今回の調査結果から、IBMでは「情報漏えいの影響を最小化するアクション」として、次の6つの取り組みを挙げている。
●SOARを導入し、AI、アナリティクスなどを活用したセキュリティオートメーションを促進する
●ゼロトラストセキュリティモデルを採用し、不正アクセス防止を強化する
●クラウド環境とリモートワーカーを保護、監視する
●インシデント対応のための計画テストを行い、サイバーレジリエンスを高める
●セキュリティとIT環境を見直し、複雑さを最小限に抑える
●ガバナンスリスク管理と、コンプライアンスに投資する
「日本企業にとってSOARの導入は大切。(自動化により)助けてくれるツールを配備することで、セキュリティ人材不足も解決できる。日本企業に対するサイバー攻撃が増えるなかで、自動化により対処していくことが必要だ」(纐纈氏)
