- データ侵害を受けた企業の60%がデータ侵害後に製品価格を値上げ

- 重要インフラの大半でゼロトラストの導入が進まず

- 人員が不十分な企業では、55万ドルの追加コストが発生

　日本IBMは、本日、「2022年データ侵害のコストに関する調査レポート（ https://www.ibm.com/jp-ja/security/data-breach）（*1）」の日本語版エグゼクティブ・サマリーを公開しました。調査では、データ侵害にかかるコストがこれまでになく高くなり、より大きな影響を与えていることが明らかになりました。調査対象の組織における1回のデータ侵害にかかる世界平均コストは435万ドルとなり、過去最高でした。データ侵害コストは過去2年間で13%近く増加しており、調査結果では、これらのデータ侵害インシデントが商品やサービスのコスト上昇にもつながっている可能性を示唆しています。実際、インフレやサプライチェーンの問題を背景に、世界的にすでに商品コストが上昇している時においても、調査対象組織の60%は、データ侵害を要因として製品またはサービスの価格を引き上げました。

　サイバー攻撃の永続性は、データ侵害が企業に与える長期的な影響にも光を当てています。本レポートでは、調査対象組織の83%がこれまでに1回以上のデータ侵害を経験していることが判明しています。また、時間の経過とともに生じる別の要因が、これらの組織におけるデータ侵害の後遺症であり、データ侵害コストの約50%がデータ侵害から1年以上経ってから発生していることから、この後遺症は長期にわたって影響を与えます。

　「2022年データ侵害のコストに関する調査レポート」は、IBMセキュリティーの委託により、米調査会社Ponemon Instituteが調査を実施したもので、2021年3月から2022年3月の間に世界の550の組織が経験した実際のデータ侵害に対する詳細な分析に基づいています。

　本レポートの主な調査結果は以下の通りです

・ 重要インフラにおけるゼロトラスト導入の遅れ:調査対象となった重要インフラ組織の約80%がゼロトラスト戦略を採用しておらず、平均侵害コストは540万ドルに上昇し、ゼロトラスト戦略を採用している組織と比較して117万ドル増加しています。重要インフラ組織の28%が、ランサムウェアまたは破壊的な攻撃によってデータ侵害を受けています。

・ 身代金の支払いは効果的ではない:調査では、ランサムウェアの被害組織が脅威アクターが要求する身代金を支払った場合、支払わないことを選択した場合と比較して、平均侵害コストはわずか61万ドルしか減少しませんでした（身代金のコストは含まず）。身代金の支払いに高額な費用がかかることを考慮すると、経済的損失はさらに大きくなる可能性があり、単に身代金を支払うだけでは効果的な対策とはならないことが示唆されます。

・ クラウドにおけるセキュリティーが未熟:調査対象組織の43%は、クラウド環境全体へのセキュリティー対策の適用が初期段階あるいは未着手であり、クラウド環境全体に成熟したセキュリティー対策を行っている調査対象組織と比較して、データ侵害コストは平均66万ドル以上高い結果となっています。

・ セキュリティーにおけるAIと自動化の活用で、数百万ドルのコスト削減を実現:セキュリティーにAIと自動化を完全に導入している調査対象組織は、これらの技術を導入していない調査対象組織と比較して、データ侵害コストは平均305万ドル少なく、この調査において最も大きなコスト削減が観察されました。

　IBM Security X-Forceのグローバル責任者であるチャールズ・ヘンダーソン（Charles Henderson）は、次のように述べています。「企業は、セキュリティーの防御から攻撃に転じ、攻撃者を打ち負かす必要があります。今こそ、敵対者の目的達成を阻止し、攻撃の影響を最小化するために動き出す時です。企業が検知と対応への投資ではなく、境界を完璧にしようとすればするほど、データ侵害が生活コストの上昇に拍車をかけることになります。本レポートは、適切な戦略と適切なテクノロジーを組み合わせることで、企業が攻撃を受けた際に大きな違いを生み出すことができることを示しています」

*1: Cost of a Data Breach Report 2022は、IBMセキュリティーの委託により、米調査会社Ponemon Instituteが調査を実施