情報漏えいの被害額が過去最高を記録、コスト増のツケは消費者に

IBMが2022年7月27日に、ランサムウェアなどのデータ侵害が発生した場合に被害組織が負担することになる「データ侵害コスト」に関する調査結果を発表しました。これにより、データ侵害の平均コストが435万ドル(約5億8800万円)と過去最高となったことや、そうしたコストが商品価格に転嫁されている実態などが浮かび上がりました。

Cost of a Data Breach Report 2022 | IBM
https://www.ibm.com/security/data-breach

IBM Report: Consumers Pay the Price as Data Breach Costs Reach All-Time High
https://newsroom.ibm.com/2022-07-27-IBM-Report-Consumers-Pay-the-Price-as-Data-Breach-Costs-Reach-All-Time-High

IBMによると、2022年におけるデータ侵害の世界平均コストは435万ドルで、過去2年間で13％近く増加しているとのこと。また、調査対象となった組織の60％はデータ侵害を原因とした製品やサービス価格の引き上げを行っており、このことからデータ侵害が世界経済におけるインフレやコスト増に拍車をかけている可能性が示されました。

2021年3月～2022年3月の間に世界の550の組織が経験したデータ侵害を徹底的に分析した今回のレポートでは、対象組織の83％が2回以上のデータ侵害を経験していることや、データ侵害コストの50％近くが侵害が起きてから1年以上たってから発生していることが示されており、IBMは「データ侵害が組織に及ぼす後遺症は、発生から長期にわたって残り続け、時間の経過と共に増加します」と指摘しています。

データ侵害が問題になっているにもかかわらず、調査対象となった重要インフラ組織の約80％がゼロトラスト戦略を採用しておらず、そうした組織の侵害コストは平均540万ドル(約7億3100万円)と、採用している組織より117万ドル(1億5800万円)も高くなりました。このような組織が経験するデータ侵害の28％は、ランサムウェアや破壊的な攻撃によるものでした。

また、ランサムウェアに対しては身代金を支払うべきではないとされていますが、今回のレポートでは改めてそのことが浮き彫りになりました。調査によると、ランサムウェア被害者が身代金を支払うことを選択した場合、支払わないことを選択した場合と比較した侵害コストの減少は平均61万ドル(約8200万円)しかありませんでした。

この減少分には身代金そのものは含まれていないため、IBMは「ランサムウェア被害者が高額の身代金を要求されることを考えると、身代金を支払うだけでは効果的な戦略とは言えないことが示唆されます」と述べています。

なお、ランサムウェア攻撃で要求される身代金の額は年々増加しており、例えば2021年に大手PCメーカー・Acerがランサムウェア攻撃にあった際に支払った身代金は5000万ドル(当時のレートで約54億円)にもなりました。

Acerがランサムウェア被害に、身代金は史上最高額の50億円以上 - GIGAZINE

今回のレポートではこのほか、「対象組織の43％はクラウドセキュリティ対策が未熟で、十分なクラウドセキュリティを講じている組織に比べてデータ侵害コストが平均66万ドル(約8900万円)高かった」ことや、「セキュリティAIと自動化を導入している組織は、していない組織に比べてデータ侵害コストが平均305万ドル(約4億1200万円)も少なく、AIと自動化によりデータ侵害のコストを大きく圧縮できる」ことなどが示されています。

こうした点から、IBM Security X-Forceのグローバル責任者であるチャールズ・ヘンダーソン氏は、「企業はセキュリティ防御から攻勢に転じ、攻撃者を打ち負かす必要があります。今こそ敵対者の目的達成を阻止し、攻撃の影響を最小化するために動き出す時です。企業が検知と対応に投資せず、防御線の構築に躍起になればなるほど、データ侵害コストの上昇を助長することになります」と述べて、ランサムウェアなどの攻撃を念頭に置いた対応の積極化が求められているとの見方を示しました。