【日本IBM】Ponemon Instituteによる世界調査：データ漏えいに関わる2015年の平均コストが過去最高を記録 - グッドウェイ：金融・IT業界・フィンテック情報ポータルサイト（GoodWay Fintech）

2015/06/24	【日本IBM】Ponemon Instituteによる世界調査：データ漏えいに関わる2015年の平均コストが過去最高を記録	\| by:ウェブ管理者

[米国ミズーリ州トラバース - 2015年5月27日（現地時間）発]

Ponemon Instituteは本日、「データ漏えいコストに関する調査報告書:世界分析(Cost of Data Breach Study: Global Analysis)」を発表しました。当報告書はIBMがスポンサーとなっています。この11カ国350社へのベンチマーク調査報告書によると、データ漏えいの連結コストの平均額は380万ドルで、2013年から23%増加しています。

データ漏えいコストに関する調査報告書:世界分析(Cost of Data Breach Study: Global Analysis)（日本語, 1.22MB）

報告書によると、取り扱いに注意を要する機密情報が含まれる記録の紛失や盗難に対して発生した平均コストは、連結平均の145ドルから154ドルと6%増加しました。医療業界は、盗難記録1件あたりのコストが最も高く、企業の平均コストは363ドルに達しています。さらに、今年の報告書では、小売業の盗難記録1件あたりの平均コストは昨年の105ドルから165ドルと大きく増加しました。

Ponemon Instituteの創業者で会長のラリー・ポネモン(Larry Ponemon)博士は次のように述べています。「当社の実地調査に基づき、コストが上昇している理由を大きく3つに分けました。第1の要因は、サイバー攻撃の発生がより頻繁になってきており、それに伴いセキュリティー事故の解決に必要なコストが増加していることです。第2の要因は、漏えいの結果、失った顧客の売上損失の影響がコストに大きく影響していることです。第3の要因は、より多くの企業がより高いコストを法的措置や捜査活動、査定や危機管理チームにかけていることです。

データ漏えいコスト調査の手法について

最初のデータ漏えいコスト調査は米国で10年前に実施されました。その時以来、調査は11カ国に拡大しています。Ponemon Instituteのデータ漏えいコスト調査は、現場ベースの調査手法と活動基準コストのフレームワークを活用して企業で集められた数百の間接、直接のコストカテゴリーの実データに基づいています。この手法は、11カ国で過去10年にわたり、重要なデータ漏えいを経験した1,600社以上の解析により実証されています。

2015年版の報告書には、データ漏えいの財務結果に関する詳細な情報が含まれています。この報告書では、取り扱い注意対象のデータや保護/機密データが紛失あるいは盗まれ、データ漏えいが発生し危険にさらされたケースを調査しています。10カ月にわたり、Ponemon Instituteの研究員は以下に挙げる11カ国の350団体を代表するIT、コンプライアンスおよび情報セキュリティーの担当者1,500名以上にインタビューを実施しました。調査対象国: 米国、イギリス、ドイツ、オーストラリア、フランス、ブラジル、日本、イタリア、インド、アラブ地域(UAEおよびサウジアラビア)、カナダ(今回初めて調査)

主な調査結果

役員レベルの参画と保険加入がデータ漏えいのコストを低減できる

本調査により初めて、企業がデータ漏えいの被害に遭遇した際に、役員がより積極的な役割を担う必要ががあるという結果が出ました。役員の参画により1件あたりのコストは5.5ドル削減されます。保険による保護は、1件あたり4.4ドルのコスト削減になります。

データ漏えいコストにおいて事業継続マネジメントが重要な役割を担う

漏えいの修復に関わる事業継続マネジメントが、損傷した記録1件あたり平均7.1ドルのコストを削減することが調査により分かりました。

最もコストがかかる漏えいは引き続き米国とドイツで発生している

損傷した記録1件あたり、米国では217ドル、ドイツでは211ドルコストが発生しています。インドとブラジルが最も少なく、それぞれのコストは56ドルと78ドルです。

データ漏えいコストは業界で異なる

紛失または盗難された記録1件あたりのデータ漏えいの世界平均コストは154ドルです。しかし、医療業界がデータ漏えいに遭った場合、平均コストは363ドルに上り、教育業界では平均コストが300ドルになります。最も低いのは、運輸業界(121ドル)と公共部門(68ドル)です。

ハッカーと社内犯罪者が最もデータ漏えいを引き起こす

今年の調査では、漏えい全体の47%が意図的、あるいは犯罪的な攻撃により引き起こされています。こうした攻撃を解決するために必要な1件あたりの平均コストは170ドルです。一方、システム異常は1件あたり142ドル、人為的エラーまたは不注意によるコストは1件あたり137ドルです。米国とドイツは、意図的、犯罪的な攻撃の解決に最もコストをかけています(それぞれ230ドルと224ドル)。

通知に関するコストは低迷、営業損失に関連するコストは着実に増加

営業損失に関わるコストは、顧客への信用を挽回する活動を行う必要がある為、非常に増加します。平均コストは2013年の123万ドルから2015年は157万ドルに増加しています。一方、漏えいの事実を顧客に通知するコストは昨年の19万ドルから17万ドルに低下しました。
データ漏えいを検知し抑止する時間はコストに影響する

今回の調査で初めて、組織がデータ漏えい事故を検知し抑止する時間と売上損失の影響との関係が明らかになりました。人為的エラーによる漏えいの識別に平均158日要する一方、悪意ある攻撃の識別には平均256日かかります。先に述べたように、意図的、または犯罪的な攻撃は最もコストがかかるデータ漏えいです。

IBM Securityの戦略担当副社長のマーク・ヴァン・ザデルホフ(Marc van Zadelhoff)は次のように述べています。「巧妙化、連携化が進むサイバー犯罪は、データ漏えいの過去のコストに直接結びついています。業界は、これからも続く攻撃から自らを守るためにハッカーと同じレベルになる必要があります。高度な解析技術の活用、脅威についての知識の共有、業界全般にわたる連携によって、攻撃者と対等の立場で向き合い、ビジネスや社会にかかるコストを軽減することができます。」

データ漏えいの可能性を予測する

昨年に引き続き、調査は企業が24カ月以内に1回以上データ漏えいに遭遇する可能性を調査しました。この調査に参加した企業の経験から、可能性はどのくらいの記録が紛失または盗まれたか、そしてその企業はどの業界かという2つの要素に基づいています。ブラジルおよびフランスの企業は、最低でも1万件の記録が漏えいする可能性が高いという結果が出ました。全ての場合において、企業は10万件以上の大量のデータ漏えいよりも1万件以下の漏えいに遭遇する可能性が高くなっています。

原文はこちら
http://www-06.ibm.com/jp/press/2015/06/2401.html

18:02 | IT：一般

< 前の記事へ次の記事へ >一覧へ戻る