世界で増加しているデータ侵害、対策費用とリスクを抑えるには

産業・社会インフラへのサイバー攻撃懸念が高まっている。世界各国のサイバーセキュリティー機関が破壊的な攻撃に対する警戒を呼びかけている。実際、調査の結果、重要インフラ組織のデータ侵害のうち、ランサムウェアと破壊的攻撃によるものが28%を占めていた――

脅威アクターが重要インフラ組織依存型のグローバルサプライチェーンを破壊しようとしている。それには金融サービス、製造、運輸、医療等の企業が含まれるという。日本IBMは8月25日、「2022年データ侵害のコストに関する調査レポート」の日本語版エグゼクティブ・サマリーを公開した。同レポート(米国Ponemonが受託調査)は、21年3月~22年3月に世界550の組織が経験したデータ侵害に対する詳細な分析に基づいている。

調査対象となった重要インフラ組織の約80%がゼロトラスト戦略を採用しておらず、平均侵害コストは540万ドルに上昇し、ゼロトラスト戦略を採用している組織と比較して117万ドル増加している。「重要インフラにおけるゼロトラスト導入の遅れ」が明白だ。また、ランサムウェア被害組織が脅威アクターに身代金を支払った場合、支払わない選択をした場合との比較で、平均侵害コストは61万ドルしか減少しなかった(身代金コスト含まず)。

「身代金の支払いは効果的ではない」。そして、「クラウドにおけるセキュリティーが未熟」だという。調査対象組織の43%はクラウド環境全体へのセキュリティー対策が初期段階あるいは未着手であり、同環境全体に成熟したセキュリティー対策を行っている組織よりもデータ侵害コストは平均66万ドル以上高い。

「セキュリティーにおけるAIと自動化の活用で、数百万ドルのコスト削減を実現」できる。それらを完全に導入している組織は、未導入組織と比較して、データ侵害コストは平均305万ドル少なく、今回の調査で最も大きなコスト削減が観察されたという。