情報漏えいの要因・コストを詳細に調査 ~IBMが「2020年情報漏えい時に発生するコストに関する調査」を公開

日本IBMは8月25日に「セキュリティに関する調査レポートを公開」と題するニュースリリースを発表しました。米IBMが7月29日に発表した「2020年情報漏えい時に発生するコストに関する調査」(The annual Cost of a Data Breach Report)」の日本語版の公開に合わせたリリースで、A4判・82ページに及ぶレポートが無償で閲覧・ダウンロードできます。

今回の2020年版調査は、過去1年間に情報漏えいの被害を受けた500以上の組織の3200人を超えるセキュリティ担当者へのインタビューを基に作成されたもので、日本からは33の組織が調査に協力しています。

次の図は、情報漏えいに伴って発生する平均総コストの変化です。2020年は2019年よりもわずかに減少していますが、2014年と対比すると10%増加しています。

情報漏えいに伴って発生する平均総コストの経年変化(単位:100万米ドル)

また、漏えいする情報の種別を見たのが次の図です。「顧客の個人情報」が80%を占め、「知的財産」(32%)、「匿名化された顧客データ」(24%)、「その他の企業データ」(23%)が続きます。

漏えいする情報の種別

情報漏えいの原因は、「悪意のある攻撃」(52%)、「システムの欠陥」(25%)、「人的ミス」(23%)という内訳です。システムの欠陥や人的ミスを突かれて悪意のある攻撃が発生するパターンが多いようです。

情報漏えいの原因

その「システムの欠陥」や「人的ミス」をさらに詳細に見たのが次の図です。「流出した資格情報」(注:「資格」とは認証情報)が「クラウドの構成ミス(設定ミス)」と並んで最多で(19%)、以下、「サードパーティ・ソフトウェアの脆弱性」(16%)、「フィッシング」(14%)などとなっています。

情報漏えいの原因(詳細)

次の図は、情報漏えいした企業の規模別の平均総コストです。横軸は従業員数、縦軸は平均総コストです。これを見ると、従業員2万5000人以上と500人未満の企業で減少し、その他の企業は増加していることがわかります。ただし、企業規模が大きくなるほど平均総コストも増えることも明らかです。

情報漏えいした場合の企業の規模別平均総コスト(単位:100万米ドル)

情報漏えいした場合、その検知と被害拡大防止に平均時間をまとめたのが次の図です。
横軸の単位は「日」で、「悪意のある攻撃」の場合、検知まで230日、被害拡大防止まで平均85日かかっており、合計すると311日で、ほぼ1年を要しています。また、「システムの欠陥」では、検知の日数が182日、被害拡大防止まで62日、「人的ミス」の場合は検知と被害拡大防止を合わせて239日かかっており、約8カ月を要しています。

情報漏えいした場合の検知と被害拡大防止までの平均日数(単位:日)

図表の最後は、自動対応機能を備えるセキュリティを導入した場合の、自動化のレベル別の検知日数と被害拡大防止に要した日数です。「全面的に導入済み」の場合は234日であるのに対して、未導入は308日と、2カ月以上の開きがあり、自動対応セキュリティの導入が効果を持つことが示されています。

自動化対応セキュリティを導入した場合の検知・被害拡大防止の日数(単位:日)

報告書にはこのほかにさまざまな切り口からの分析とデータが紹介されています。ぜひ、目を通されることをお勧めします。

「2020年情報漏えい時に発生するコストに関する調査」のダウンロード先はこちら

 iSecurity製品