米IBM Securityは7月29日(現地時間)、世界規模で情報漏えいの経済的影響を調査した結果を発表した。調査では、情報漏えいインシデントにかかるコストは1回の漏えいあたり平均386万ドルとなり、根本原因として最もコストが高額になるのが従業員アカウントからの漏えいであることが明らかになったという。

個人データが情報漏えいインシデントの80%を占める

情報漏えいを経験した世界中の500を超える組織を対象とした詳細な分析によると、情報漏えいインシデントの80%で顧客の個人を特定できる情報(PII)の漏えいを引き起こしている。

リモート作業やクラウドを活用した業務などの新しい業務形態を介して、企業の機密データへのアクセスが増えているため、今回の調査では機密データの漏えいが発生した場合に組織が被る可能性のある経済的損失も明らかになっている。

別の同社の調査によると、業務形態のシフトに関連してリスクモデルも変化しているにもかかわらず、パンデミックが原因で在宅勤務にシフトしている従業員の半数以上が顧客のPIIの取り扱い方法に関する新しいガイドラインを提供されていないという。

IBM Securityの委託でPonemon Instituteが実施した「2020年情報漏えいのコストに関するレポート」は、この1年間に情報漏えいの被害を受けた組織の3200人を超えるセキュリティプロフェッショナルへのインタビューを元に作成されている。

調査結果によると、セキュリティオートメーションテクノロジー(AI、アナリティクス、自動オーケストレーションを活用してセキュリティイベントを特定し、これに対応するテクノロジー)を全面的に導入した企業は、導入しなかった企業と比較して、情報漏えいのコストを半分未満に抑えることができたという(前者のコストが平均245万ドルに対し、後者のコストは平均603万ドル)。

また、データの盗難や漏えいで取得した認証情報を使用して攻撃者が企業ネットワークにアクセスするインシデントでは、企業が直面する情報漏えいのコストは1回の漏えいで477万ドルに達し、世界平均と比較して100万ドル近く高い数字となっている。こうした企業への悪意のある侵害の中で2番目にコストのかかる根本原因(450万ドル)が、第三者による脆弱性の悪用となっている。

さらに、5000万件以上のレコードの漏えいにかかるコストは昨年の3億8800万ドルから3億9200万ドルに増加し、4000~5000万件のレコードの漏えいに対して、企業にかかるコストは平均3億6400万ドルとなり、2019年の調査と比較して1900万ドル増加している。

加えて、調査対象となっている他の脅威アクターと比較して、国家による攻撃に起因すると考えられる情報漏えいのコストが最も高額となり、国家が後ろ盾となっている攻撃による情報漏えいのコストは平均で443万ドルであり、これは金銭目的のサイバー犯罪者や政治的ハッカーに対するコストを上回っているという。

認証情報とクラウドの構成ミスは格好のエントリーポイント

認証情報の盗難や漏えい、クラウドの構成ミスは今回の調査対象企業が受けた悪意ある侵害の原因として最も多く、悪意あるインシデントの40%近くを占めていた。2019年には85億件を超えるレコードがアクセスできる状態となり、攻撃者がデータ侵害の5分の1に使用したものが以前漏えいしたメールアドレスとパスワードだった。

企業は、ユーザー認証の方法とユーザーに付与されるアクセスの範囲を再検討する、いわゆるゼロトラストのアプローチの採用を通じてセキュリティ戦略を再考する必要があると同時に、漏えいコストの最大の要因であるセキュリティの複雑さに企業が取り組むことでクラウドの構成ミスが発生しやすくなり、セキュリティの課題は増え続ける一方だと指摘している。

2020年度のレポートで明らかになったのは、攻撃者は約20%の確率でクラウドの構成ミスを利用してネットワークを侵害しており、漏えいのコストは50万ドル以上増加し、平均で441万ドルに達している。これは、レポートで調査した最初の感染経路の中で3番目に多いコストの要因となっている。

国家の支援による攻撃が最も深刻

また、国家の支援による脅威アクターは調査で挙がった悪意ある侵害のうち13%に過ぎないものの、最も有害であり、金銭目的の攻撃(53%)が必ずしも企業の経済的損失を押し上げているわけではないことが説明されている。国家による攻撃は非常に戦術的で、長く続き、ステルス性が高く、標的となるデータは価値の高いものであるため、被害はより広範囲にわたり、漏えいのコストは平均で443万ドルと高額となっている。

実際、世界の他の地域と比較して歴史的に国家の支援による攻撃の割合が高い地域である、中東地域の調査回答企業の漏えいコストは平均で年間9%以上増加しており、中東地域の漏えいのコスト(平均652万ドル)は調査した17の地域で2番目に高額となった。国家による攻撃が最もターゲットとする産業の1つはエネルギー業界であり、漏えいのコストは前年比で14%増加し、平均で639万ドルにのぼるという。

高機能なセキュリティテクノロジーが賢い選択

さらに、高機能なセキュリティテクノロジーを実装している企業と、遅れを取っている企業では漏えいのコストの差が広がっていることが明らかになっており、セキュリティーオートメーションを完全に採用している企業とまだ採用していない企業とでは、コスト削減額に358万ドルもの差が生じていることが報告されている。コストの差は、2018年には155万ドルであったものが今年度は200万ドルも増加している。

セキュリティオートメーションを完全に採用している調査対象企業では、漏えいに対する反応時間も短縮されていることも報告されており、分析の結果、漏えいのコストを削減するもう1つの重要な要因であることもわかっている。

セキュリティオートメーションにはAI、機械学習、アナリティクスなどがあり、これらをまだ採用していない企業よりも27%以上早く漏えいに反応することが可能となり、採用していない企業の場合は漏えいを特定してから解決に至るまで、採用している企業と比較して平均74日必要になるという。

また、インシデント・レスポンス(IR)への備えも、情報漏えいの経済的影響に影を落とし続けており、IRチームを設けずIR計画のテストも実施していない企業には平均529万ドルの漏えいコストが発生しているが、IRチームを持ち、机上での訓練やシミュレーションによるIR計画のテストを実施している企業の漏えいコストは200万ドルも低くなっている。