IBMは水曜日に発表した第20回データ侵害コストレポートで、米国企業のデータ侵害の平均コストが2025年に9%増加し、過去最高の1,022万ドルに達した一方、世界全体の平均コストは9%減少し444万ドルになったと述べました。
調査期間の短縮が世界的にコストを押し下げ、5年ぶりの減少となった一方で、IBMは米国においては規制違反による罰金や検知・エスカレーションコストの増加が、最終的な回復コストを押し上げていることを明らかにしました。
「この拡大する差は、なぜ米国の組織が世界で最も高い侵害コストに直面し続けているのかを説明しています。米国ではより多くの組織が高額な規制罰金の支払いを報告していることも、さらにその傾向を強めています」と、IBM X-Forceのグローバルパートナー兼責任者のトロイ・ベッテンコート氏はメールで述べています。
このレポートは、検知や封じ込めの時間が改善しているにもかかわらず、組織がデータ侵害後に不均等な負担を負っていることを強調しています。平均して、組織が侵害を特定し封じ込めるまでにかかった日数は、2月までの1年間で241日となり、過去9年間で最も短くなったとIBMは述べています。
「侵害期間が短いほど、混乱が少なく、封じ込めが早くなり、攻撃者が機密システムやデータにアクセスする機会も減ります。侵害の影響においては、まさに“時間はお金”です」とベッテンコート氏は述べています。「迅速な検知は、全体的な侵害コストを削減する最も効果的な方法の一つであることが証明されています。」
検知およびエスカレーションにかかる世界平均コストは約10%減少し147万ドルとなり、過去4年間でデータ侵害における最大のコスト要因であり続けています。他のコスト項目も減少しており、ビジネス損失は平均138万ドル、侵害後の対応コストは120万ドル、通知コストは約39万ドルとなっています。
コストが前年比24%減少したにもかかわらず、医療業界は14年連続で最も大きな影響を受けた業界となり、742万ドルとなりました。金融、産業、エネルギー、テクノロジー分野の組織が、世界的にデータ侵害によるコストが最も高い上位5業界を占めました。
ほとんどの業界で世界的にデータ侵害コストが前年比で減少した一方で、エンターテインメント、メディア、ホスピタリティ、教育、研究、小売、公共部門の組織は2025年にこの傾向に逆行しました。
データ侵害のうち、わずかに過半数(51%)が悪意のある活動やサイバー攻撃によるものでした。人的ミスが26%、IT障害が23%を占めたとIBMは報告期間中に述べています。
フィッシングはデータ侵害につながった攻撃のうち16%で初期アクセス経路となっており、今年のレポートで調査された攻撃の最も一般的な根本原因となりました。サプライチェーンの侵害が2番目に多く約15%、サービス拒否攻撃が約13%で続きました。
IBMが2024年3月から2025年2月までに世界中の600組織を分析したところ、データ侵害を経験した組織の約3分の2が、いまだにデータ侵害からの回復途中であると述べています。回復作業は通常100日を超えて続き、影響を受けた組織のおよそ4分の1が101日から125日以内に、さらに4分の1が126日から150日以内に回復しています。
また、組織は身代金要求への対応をより強く拒否する傾向を強めています。ランサムウェア攻撃を受けた組織のうち、身代金の支払いを拒否した割合は、2024年の59%から今年は63%に増加したとIBMは述べています。
このレポートは、IBMの依頼でポネモン・インスティテュートが実施したもので、人工知能に関連するセキュリティインシデントについても調査しています。AIモデルやアプリケーションが関与した侵害は13%の組織で報告されており、AI関連のセキュリティインシデントの31%が、攻撃者による機密データへのアクセスを伴う業務上の混乱につながったと報告されています。
IBMは、組織の約3分の2がAIガバナンスポリシーを持っておらず、この欠如がAIセキュリティを攻撃対象として浮上させる要因となっていると述べています。