ベライゾン、初の「侵害インパクト調査」を発表

ベライゾン・ビジネスは、データ侵害が企業財務に与える影響に焦点を当てた初のBreach Impact Study(侵害インパクト調査)の結果を発表しました。このBISレポートはベライゾン・データ侵害調査報告書(DBIR)と同じ執筆チームによるもので、CyberAcuViewとの協力のもとで作成されました。レポートは約70,000件の米国サイバー保険請求(うち保険金が支払われた38,000件の請求を含む)の分析に基づいています。対象データは2019年1月から2025年10月までの期間にわたります。

多くのデータ侵害コスト報告書とは異なり、本レポートは偏りが生じやすい平均値ではなく、請求額の中央値に基づいています。2019年の財務的影響の中央値は約60,000ドルでしたが、2025年には110,000ドルへと80%上昇し、データ侵害のコスト増加は同期間のインフレ率(約23%)を大きく上回りました。支払われた請求のうち半数以上は83,000ドルを超え、10%は920,000ドル以上の影響を受けていました。最も極端な2.5%のケースでは、損失額が500万ドルを超えています。

このレポートによると、データ侵害のコストは2019年から2025年にかけてほぼ倍増しており、最大の損失要因は事業中断で、これに脅威アクターへの支払い、対応・復旧コストが続いています。

Image

経年の判明済み損失額。出典:Verizon 2026 Breach Impact Study。

ソフトウェアサプライチェーンおよびサードパーティ関連のインシデントでは、事業中断が全損失の50%を占めました。ソフトウェアサプライチェーンのインシデントやサードパーティ侵害はデータセット全体の約2%と比較的まれですが、いったん発生すると被害は壊滅的なものになり、コストは全体平均の2倍以上に達します。最も極端なケースでは、損失額が1億ドルを超えていました。

影響額の中央値は、中小企業(SMB)セグメントで約38,000ドル、中堅企業(ミッドマーケット)セグメントで96,000ドルに上昇し、大企業では238,000ドルとなりました。大企業の請求のうち上位2.5%は、1件あたり2,200万ドルを超えています。SMBセグメントでは侵害コストそのものは比較的低いものの、影響額と保険対象収益の比率は上位10%のケースで最大3%、最も極端なケースでは7%に達しました。保険に加入していなければ、これらのインシデントは極めて深刻な打撃になっていた可能性があります。中堅企業および大企業のセグメントでは、上位2.5%の極端なケースでもこの比率は2%を超えませんでした。

医療業界は、他業界と比較して外部賠償責任コストが相対的に高い結果となりました。データセットには8,640件を超える請求が含まれ、そのうち損失が記録されたものは5,100件でした。医療業界は総損失額の23%を占め、賠償責任損失の中央値は全体平均より57%高くなっています。対応・復旧コストが総損失の29%を占め、次いで事業中断(24%)、外部賠償責任(23%)が続きました。

Image

医療業界における侵害の経済的影響の分布。出典:Verizon 2026 Breach Impact Study

医療業界で保険請求のきっかけとなった最も一般的なインシデントの種類はランサムウェア攻撃(39%)で、総コストの60%を占め、コストの中央値は77,051ドルでした。ビジネスメール詐欺(BEC)は22%のケースに関与し、コストの10%を占め、コストの中央値は94,924ドルでした。

翻訳元: https://www.hipaajournal.com/verizon-2026-breach-impact-study/

ソース: hipaajournal.com