Tripwireはこのほど、「2023 Cost of a Data Breach: Key Takeaways|Tripwire」において、IBMが2023年のデータ侵害のコストレポート「Cost of a data breach 2023 | IBM」を発表したとして、同レポートに関する考察を公開した。Tripwireによると、同レポートは、データ侵害の防止のために組織がどのようにしてセキュリティおよびリスク軽減の技術を導入しているのかに焦点を当てた新しい調査や発見が詰め込まれているという。
Tripwireが挙げている、同レポートの要点は次のとおり。
- データ侵害の平均総費用額は2023年に445万ドルと過去最高に達した。昨年の435万ドルから2.3%の増加となる
- 調査対象企業のうち51%がセキュリティ投資を増やすと回答した。データ侵害が増加しているにもかかわらず、49%もの企業が投資の増額に消極的とみられる。投資すべき分野としては、インシデント対応(IR)の計画とテスト、従業員のトレーニング、脅威の検出と対応ツールなどが挙げられた
- AIと自動化への投資は、データ侵害の特定と封じ込めにかかるコストと時間の削減につながる
- クラウド環境は頻繁に標的となり、しばしば攻撃者は複数の環境にアクセスする。侵害の39%が複数のインスタンスにまたがり、平均コストは475万ドルであった
- DevSecOpsとインシデント対応の計画とテストの採用はコスト削減につながる。DevSecOpsは平均168万ドル、インシデント対応の計画とテストは149万ドルを削減できる
- セキュリティの複雑性が低い、あるいはまったくない組織のデータ侵害コストは平均384万ドルであったのに対し、セキュリティの複雑性が高い組織では平均528万ドルと31.6%高くなる
Tripwireによると、2023年のデータ侵害コストの平均で最も高いのは米国の948万ドルで、中東地域の807万ドルがそれに続いた。次の図は上位10か国または地域と、データ侵害コストの平均金額を示している。
業種別では医療が最も高く平均1,093万ドルで、金融、製薬、エネルギ、製造、テクノロジーがそれに続く。IBMの脅威インテリジェンスによると、データ侵害コストの順位と標的とされた業界の順位は異なり、最も多く標的とされた業界は製造業であると報告されている。
IBM Securityは、データ侵害による財務および評判への影響を削減するために、次の対策を提案している。
- DevSecOpsアプローチを信じる。開発者は「設計で安全、デフォルトで安全」という考え方を堅持する必要がある
- ハイブリッドクラウドソリューションに最新のデータ保護が導入されていることを確認する。また、新しいクラウドサービスやアプリケーションを性急に導入すると機密データが適切に保護されない可能性があることを理解する
- 組織のセキュリティにAIと自動化を導入し、速度と効率を向上させる
- 攻撃対象領域を理解し、インシデント対応の計画とテストを採用する。組織の最も攻撃されやすい場所を把握し、それらに優先順位を付けることでデータの安全性確保につなげる。またインシデント対応の計画とテストはコスト削減要因となる
Tripwireはデータセキュリティについて万能のアプローチはないとして、2023年データ侵害のコストレポートを分析し、そこから学んだツールと実践方法を活用して組織に合った改善を行うことを推奨している。