日本IBMは9月11日、オンラインで「2023年データ侵害のコストに関する調査レポート」の日本語版を公開し、調査は16の国・地域、17業種、553社を対象に実施した。
AIと自動化はデータ侵害によるライフサイクルを短縮する
日本IBM 理事パートナー IBMコンサルティング事業本部 Cybersecurity Servicesの藏本雄一氏は「引き続き、セキュリティインシデントに見られる傾向としては、大規模な被害額、長期間の侵害、ランサムウェアや破壊的な攻撃の割合が高くなっている。データ侵害による平均被害額は昨年から10万ドル増で過去最高の445万ドルとなり、継続して侵害される平均期間は昨年から変化はなく、依然として長期間の侵害を許し、侵害後にセキュリティ投資額の増額を計画している組織の割合は51%となり、追加対象として特にインシデントレスポンスが多かった。一方で、AIと自動化は被害額削減と時間短縮に効果的ではあるものの、インシデントが発生する前提での対策として打つ必要がある」との認識を示した。
同氏が指摘するように、データ侵害の世界平均コストが2023年には過去最高となる445万ドルになり、過去3年間で15%増加していることが明らかになった。同期間において、検知とエスカレーションにかかるコストが42%ほど増加し、侵害コストでの最も大きな部分を占め、データ侵害に関する調査の複雑化を示唆しているという。
詳細については、日本IBM IBMコンサルティング事業本部 Cybersecurity Services X-Forceインシデント・レスポンス日本責任者の窪田豪史氏が説明した。
レポートによると、企業はデータ侵害についてのコストや被害の頻度の増加にどのように対処するかについて、意見が分かれており、調査対象組織の95%がデータ侵害を1回以上経験している。その半面、データ侵害の被害企業はセキュリティへの投資を増やす(51%)よりも、インシデントに対するコストを消費者側に転嫁する(57%)傾向が強いことが明らかになったという。
AIと自動化は、調査対象組織のデータ侵害の特定および被害の封じ込めの迅速化に影響を与えており、AIと自動化の両方を広範に使用している組織は、これらのテクノロジーを導入していない組織と比較して、データ侵害のライフサイクルが108日短くなった(それぞれ214日と322日)。
セキュリティAIと自動化セキュリティを広範に導入していた調査対象組織は、これらのテクノロジーを導入していない組織と比較すると、平均180万ドル近くもデータ侵害のコストを削減できており、レポートで確認された最大のコスト削減となっている。ただ、AIと自動化を広範に使用している組織は28%となっており、広範に使用していない組織とのコスト差は176万ドルに達している。
同時に、攻撃側はランサムウェア攻撃を完了するまでの平均時間を短縮しており、調査対象組織の40%近くがセキュリティAIと自動化を導入していないため、組織には検知や対応のスピードを高められる可能性があるとのことだ。
ランサムウェアに対する誤解を捨てるべき
また、法執行機関を関与させたランサムウェアの被害者は、関与させないことを選択した被害者と比較すると、侵害の平均コストを47万ドル抑えられており、このようなコスト削減の可能性があるにもかかわらず、ランサムウェア被害者の37%はランサムウェア攻撃に法執行機関を関与させていなかったという。
一部の調査対象組織は、ランサムウェア攻撃を受けた際に法執行機関が関わることは状況を複雑にするという認識があり、不安を感じている。年初に同レポートにおいて、これらの問題について調査を行い、逆の結果を示す証拠が明らかになった。
法執行機関を関与させなかった調査対象組織は、関与させた組織と比べると、平均33日長い侵害ライフサイクルを経験していたほか、法執行機関を関与させなかった調査対象のランサムウェアの被害者は、関与させた方よりもデータ侵害のコストが平均47万ドル高くなっている。
法執行機関がランサムウェア被害者と協力する努力を続けているにも関わらず、回答者の37%は機関に相談しないことを選択していことに加え、調査対象のランサムウェア被害者の約半数(47%)が身代金を支払っていることが報告されている。
組織がランサムウェアに関連する誤解を捨てるべきであることは明らかであり、身代金を支払い、法執行機関の関与を避けることは、インシデントのコストを上げ、対応を遅らせる可能性があるという。
脅威の検知と対応には一定の進展が見られ、IBM Security X-Force脅威インテリジェンス・インデックス2023によると、昨年に防御側はランサムウェア攻撃をより高い割合で防止することができているが、攻撃者は防御側の隙をついて攻撃していると指摘。同レポートによると、調査対象となったデータ侵害のうち、3分の1のみが組織内のセキュリティチームやツールによって検知され、そのほか27%が攻撃者、40%は法執行機関など第三者が公表したことが明らかになった。
侵害を自社で発見した組織は、攻撃者に侵害を公表された組織よりも侵害コストが約100万ドル少なくなっている(それぞれ523万ドルと430万ドル)ほか、攻撃者により公表されたデータ侵害は、組織内で発見されたデータ侵害と比較すると、ライフサイクルが80日近く長くなっている(それぞれ320日と241日)。早期発見はコストや時間を節約できるため、このような対策は長期的に考えると有効とのことだ。
さらに、データ侵害の約40%がパブリッククラウド、プライベートクラウド、オンプレミスを含む複数の環境にまたがってデータを消失しており、攻撃者は検知を避けながら複数の環境を侵害できたことが示されており、複数の環境に影響を及ぼしたデータ侵害はコストの増加(平均475万ドル)につながっている。
2023年のヘルスケア業界におけるデータ侵害の平均コストは約1100万ドルに達し、2020年比53%増となっている。直近では盗んだデータに被害者が直接アクセスできるようにしはじめており、医療記録をもとに脅威者は侵害を受けた組織にプレッシャーをかけ、身代金を要求している。実際、調査対象のすべての業界において、顧客の個人特定情報は最も広く侵害があり、最も高額な被害でもあったという。
また、すべての業界で高度なDevSecOpsを導入している調査対象組織を、DevSecOpsをほとんど、またはまったく導入していない組織と比較すると、世界的なデータ侵害の平均コストが170万ドル近く低いことが判明した。そのほか、調査対象となっている重要インフラ組織は昨年と比較して侵害の平均コストが4.5%増の482万ドルから504万ドルに増加し、世界的な平均より59万ドル高くなっている。
一方、日本におけるデータ侵害時に発生する平均総コストは6億円と過去最高を更新し、「検知とエスカレーション」のコストが昨年に引き続き増加し、最も高い割合を占めている。窪田氏は「検知から封じ込めまでの期間が4年ぶりに増加しており、世界平均は73日だが日本は79日を要しており、封じ込めに課題を抱えている」との認識を示している。
データ侵害に対するIBMの提言
こうしたデータ侵害に対して、IBMでは「ソフトウェア、ハードウェア開発のあらゆる檀家にセキュリティを組み込み、定期的にテストする」「複数のクラウド環境にまたがるデータ保護を実施する」「セキュリティAIと自動化を活用し対応スピードと制度を高める」「インシデントレスポンス計画のテストを実施し、攻撃対象領域を把握することで回復力を強化する」の4点を推奨事項として挙げている。
また、同社が明示するセキュリティ対策の方向性としては、インシデントが発生する前提での対策が肝要だ。対応までの日数を200日未満にすることで102万ドルのコストが浮くことになり、対応スピードを速める必要があるとのことだ。
最後に藏本氏は「対応スピードを速めるための施策として、AIと自動化は108日、インシデント対応計画の立案と定期的なテストで54日、攻撃対象領域の管理で33日それぞれ短縮できる」と述べていた。