個人情報やカード明細などが漏洩する「データ侵害」が発生したら、企業や組織はどれだけのコストがかかるのかご存じだろうか?
日本の企業が1回の「データ侵害」に使ったコストは、なんと平均で約5億1千万円だという調査結果を日本IBMが発表した。
「データ侵害」にかかるコストの世界平均は去年まで400万ドル以下で推移していたが、今年は前年比で10%も増加し、過去最高の約4億6800万円(424万ドル)を記録。
日本の平均コストはそれより1割以上高いのだ。
新型コロナでコストが増大
同社は、2020年5月から2021年3月にかけてデータ侵害が発生した世界17の国と地域の537組織を調査したレポートを公開した。
それによるとコストが増加の一因にはリモートワークの影響があるという。
去年の新型コロナウィルス感染拡大の影響で、世界中で多くの企業がリモートワークを推進し、60%の組織がクラウド・ベースの業務に移行したと分析。
その結果、これまで会社や工場などに集中していたエンドポイント(パソコンなどの端末)が、リモートワークによって従業員の家庭などへ拡大拡散したためデータ保護が難しくなり、さらに「データ侵害」を発見するのに非常に時間がかかるためコストが高くなったと分析している。
リポートでも、リモートワークで働く従業員が全体の60%を超えると、顕著にコストが上がるという結果がでている。
日本は「厳しい世間の目」でコスト増
「データ侵害」のコストが世界一高いのはアメリカの905万ドルで、次に中東の693万ドル、カナダの540万ドル、ドイツの489万ドルと続き、日本は第5位に入っている。
日本のコストの高さについて、同社は世間から向けられる厳しい目が一因だと指摘する。
日本で「データ侵害」起きた場合は、メディアや消費者から非常に厳しい目で見られることで、機会損失や顧客離れ・賠償などの損害が発生するというのだ。
また日本では、組織や技術的なリソースが不足しているため、「データ侵害」を見つけるのに時間がかかり、収束のコストもかかりやすい傾向があるとしている。
では「データ侵害」に備えるためには、どうしたらいいのか?
レポートでは、最高情報セキュリティ責任者(CISO)がなすべきことに次の3つを挙げている。
・サイバーレジリエンスの強化
・ゼロトラストアーキテクチャの導入
・オーケストレーションと自動化
この項目だけでは、筆者と同じく意味が分からない人もいるだろう。また「データ侵害」のコストが増える傾向は今後も続くのか?
分からないことをまとめて日本IBMの担当者に聞いてみた。
「サイバー攻撃は起きるもの」として普段から対策
――サイバーレジリエンスの強化とは?
サイバー攻撃にあった場合に被害を最小にとどめ、早急な復旧や対策が行われるような仕組みと体制を強化する。攻撃に遭ってしまってから慌てるのではなく、「サイバー関連の侵害は起きるもの」として普段から対策を取っておく、体制を構築し日頃から訓練などを実施しておくということです。
――ゼロトラストアーキテクチャの導入とは?
ネットワークやサーバー、システムにアクセスする場合は必ず認証を受けたユーザーのみがアクセスを許可される仕組みを徹底。インターネットにつながっていないから、重要な情報などないから、クローズドネット(閉じたネットワーク)だからなど言ってアクセス制御を疎かにしないということです。
――オーケストレーションと自動化とは?
セキュリティ保護に関する個別のシステムや仕組みを並べるだけでなく連携させることが重要で、通知などによって検知による警報などが管理者に届きやすくし次の行動が容易になるようにします。
――データ侵害のコストの増加の傾向は今後も続く?
セキュリティ対策に関係する施策の導入が進むにつれてコスト低減の期待はあるものの、リークサイトの暗躍などでデータ侵害に関する攻撃者のモチベーションは増加傾向にあります。
特に日本では今後も増加傾向に進むのではないかと懸念されます。
また、デジタル変革のスピードにセキュリティインフラや体制の整備が追いついていない現状では、インシデント(事案)の発生および複雑化、大規模化のリスクが払拭できておらず、当面は増加傾向続くと言えるのではないかと推測できます。
コロナ禍でリモートワークが進む中で、IT業界の「データ侵害」も災害対策と同じように、普段からの備えが大切なようだ。
