データ漏えいのコスト算出

最近、データ漏えい事件が話題になっていますが、そのいくつかは社会に大きな衝撃を与えています。中でも注目すべきは、ホワイトハウスが報告した2度目のデータ漏えい事件であり、軍事および諜報部門の職員の情報が流出しました。この2度目の漏えい事件は、最初に発生した事件の調査で発覚し、政府職員の個人情報の流出が確認されました。これにより、連邦政府関連以外にも何百万人ものアメリカ人の情報が危険にさらされた可能性があります。そしてその多くは、すでにダークネットで売買されています。

データ漏えいのコストを計算する方法はあるのでしょうか。正確な金額は、誰にもわかりません。復旧にかかる工数やソフトウェア／ハードウェア／ベンダーのコストは計算できますが、数値化できない被害も存在します。

元防諜要員であるジョン・シンドラー（John Schindler）氏は、「特に米国人事局のデータ漏えいはこのまま放置できない」としています。というのは、連邦政府の各関連機関において、機密情報へのアクセス権限を持つ要員を対象に実施した身元調査のデータが含まれているからです。

「… 一方で、活動停止に追い込み、情報戦で優位に立つことも可能だ。たとえば、スパイ防止活動要員がある捜査官を追跡していることを知ったとしたら、どうだろう。攻撃者は、あらゆる手を尽くして破壊行為を行うことができる。虚偽の負債を追わせたり、銀行口座に不正資金を送金するといった行為が考えられる。これによって捜査官は、身元の保証を失うことになってしまう。」

シンドラー氏は被害の一部は修復できない可能性がある、としています。そして、元CIAディレクターであるマイケル・ハブデン（Michael Hayden）氏も、この意見に同意しています。

「… 情報を入手したハッカーは、レコードから詳細を抽出し、何も知らない職員にスパイとして接触し、さらに中堅の職員に近づいて、情報共有を持ちかける可能性がある。」

How do we calculate the cost of that?

このような被害のコストを計算する方法はあるのでしょうか。

公共部門にはデータ開示規制が適用されるので、公共部門のデータ漏えいは広く一般に報道されます。Verizonが発表した2015年度データ漏えい／侵害調査報告書（DBIR）では、データの「ノイズ」を除去することにより、データ漏えいの実状を業界別に比較できます。修正後のデータを見ても、やはり公共部門は最も標的になりやすい部門であることに変わりはありません。上位3位に情報サービスと金融サービスが入っています。

Ponemon Instituteは、『データ漏えいコストに関する調査報告書』において、データ漏えいのコストを算出しています。直近のレポートには次の内容が記載されています。

データ漏えいコストが過去最高を記録。漏えいしたレコード1件あたりのコストについては、対処にかかった直接コストの平均が74ドル、間接コスト（他社への顧客の乗り換えなど）が143ドルとなっています。これは、レコードあたり217ドルと、過去最高を記録しています。また、データ漏えいの平均的な規模は、2%の増加であるにも関わらず、データ漏えい後の乗り換え率は3%増加しています。

企業全体のデータ漏えいコストは平均で653万ドルとなり、2013年の540万ドルから増加しています。

検知とエスカレーションにかかるコストが過去最高を記録。検知とエスカレーションにかかるコストは、42万ドルから61万ドルへと増加しています。原因としては、フォレンジックや調査、評価／監査サービス、緊急対応チームの管理、ステークホルダと経営陣へのコミュニケーションなどへの投資が考えられます。

データ漏えい後のコスト増加。上記のポイントに一部関連していますが、ヘルプデスクの対応、インバウンド通信、特殊な調査と是正措置、訴訟費用などのコストが発生したことで、2014年の160万ドルから164ドルに増加しています。

これ以外にも、Ponemonの調査報告書とVerizon DBIRでは興味深いポイントが指摘されています。各レポートは以下のサイトでご覧ください。

• Ponemon – 米国のデータ漏えいコストに関する調査報告書
• Ponemon – データ漏えいコストに関する調査報告書：世界規模での分析
• Verizon – 2015年度データ漏えい／侵害調査報告書（DBIR）

どのような計算方法を使ったとしても、計算できないコストは数多く存在します。このようなコストは、おそらく「不明」としておくしかないでしょう。では、最近発生した米国政府を標的にしたデータ漏えい事件で、間接的な被害を受けた被害者はどのくらい存在するのでしょうか。Home Depotのようなデータ漏えいが発生した場合、企業は何人の新規顧客を失うのでしょうか。さらに、珍しいケースではありますが、スポーツ界で人気の高いセントルイス・カージナルスは、報復ハッキングでどのような被害を受けることになるでしょうか。

バラクーダネットワークスは、Data Protection Plusと総合脅威保護（Total Threat Protection）イニシアティブで包括的なセキュリティ保護を提供しています。ソリューションについて詳しくは、次のサイトでご覧ください。

※本内容はBarracuda Product Blog 2015年6月17日A closer look at the cost of a data breachを翻訳したものです

クリスティーン・バリー（Christine Barry）（バラクーダネットワークス、チーフブロガー）

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』7月6日付の記事の転載です。