コンテンツにスキップするには Enter キーを押してください

データ侵害コスト、5年ぶりに減少

投稿日 2025年7月30日

IBMのCost of a Data Breach Report 2025によると、2025年における世界のデータ侵害の平均コストは9%減少し444万ドルとなり、5年ぶりに減少が観測されました。

この減少は、AIや自動化ツールによって強化された組織の検知および封じ込め能力の向上によるものとされています。

調査によると、検知およびエスカレーションにかかる平均コストは147万ドルに減少し、2024年と比べてほぼ10%の減少となりました。

組織が侵害を特定し封じ込めるまでに要した平均期間は241日となり、過去9年で最も短く、2021年以降の減少傾向が続いています。

2024年7月30日に発表された調査によると、セキュリティ運用全体でAIと自動化を広範囲に活用している組織は、平均190万ドルのコスト削減と、侵害ライフサイクルを平均80日短縮できたとされています。

「世界的に見て、調査期間の短縮が検知およびエスカレーションコストを押し下げています。これには評価や監査、危機管理、経営層や取締役会への報告などが含まれます」とレポートは述べています。

Average global cost of a data breach, 2018-2025 in USD. Source: IBM
2018~2025年のデータ侵害による世界平均コスト(米ドル)。出典:IBM

世界的な傾向とは対照的に、米国での平均侵害コストは1,020万ドルに達し、過去1年で9%増加しました。

この増加は、主に規制違反による罰金の増加や、同地域での検知およびエスカレーションコストの上昇によるものだと研究者は述べています。

最も平均侵害コストが高かった業界は医療業界で、742万ドルでした。これは2024年の平均コスト977万ドルから大幅な減少となっています。

この平均コストは、次に高い金融業界(556万ドル)を大きく上回っています。

医療業界の侵害は、特定および封じ込めまでに最も長い279日を要しました。これは世界平均より5週間以上長い結果です。

攻撃者は顧客の個人情報に注目

IBMのレポートによると、顧客の個人識別情報(PII)が最も盗まれたり侵害されたデータタイプで、全侵害の53%で発生しました。

PIIには、納税者番号、メールアドレス、自宅住所などが含まれ、これらはなりすましやクレジットカード詐欺に利用される可能性があります。

従業員のPIIは37%の事案で盗まれたり侵害され、これに知的財産(33%)、非PIIの匿名化された顧客データ(28%)が続きました。

その他の企業データも34%のケースで侵害されました。

侵害された知的財産データは、被害組織にとって1件あたり178ドルと最も高額なコストとなりました。

全侵害の約3分の1(30%)は、パブリッククラウド、プライベートクラウド、オンプレミスなど複数の環境に分散して保存されたデータが関与していました。

オンプレミスのみに保存されたデータが関与する侵害は、前年の20%から28%へと大幅に増加しました。

複数環境に保存されたデータが関与する侵害は、単一環境の場合と比べて特定および封じ込めに大幅に時間がかかり、平均276日でした。

オンプレミスでの侵害は、解決までの期間が最も短く217日でした。

フィッシングは、攻撃者がシステムにアクセスするために最も多く使った初期手段で、全体の16%を占めました。

これにベンダーやサプライチェーンの侵害(15%)、サービス拒否(12.5%)、認証情報の侵害(10%)が続きました。

サードパーティベンダーやサプライチェーンの侵害による侵害は、平均267日と最も解決に時間がかかりました。

これに悪意のある内部関係者によるものが続き、平均260日でした。

AIアプリケーションが関与する侵害が増加

IBMは、13%の組織がAIモデルまたはアプリケーションに関連するセキュリティインシデントによる侵害を報告したと明らかにしました。

AI関連のセキュリティインシデントの大半(60%)はデータの侵害につながり、31%は業務の中断を引き起こしました。

こうした侵害を経験した組織のうち、97%がAIへの適切なアクセス制御がなかったと認めています。

AIツールに関するセキュリティインシデントの最も一般的な原因はサプライチェーンの侵害で、全体の30%を占めました。これにはアプリ、API、プラグインの侵害が含まれます。

サプライチェーンの侵害に続くのは、モデルのインバージョン(24%)、モデルの回避(21%)でした。プロンプトインジェクションとデータポイズニングによるインシデントは、それぞれ17%、15%でした。

IBMのセキュリティ&ランタイムプロダクト担当バイスプレジデント、Suja Viswesan氏は次のようにコメントしています。「データは、AIの導入と管理の間にすでにギャップが存在し、脅威アクターがそれを悪用し始めていることを示しています。」

さらに彼女は続けます。「レポートは、AIシステムに対する基本的なアクセス制御の欠如を明らかにしており、非常に機密性の高いデータが露出し、モデルが操作されやすくなっています。AIがビジネス運用全体に深く組み込まれるにつれ、AIセキュリティは基盤として扱うべきです。行動しないことのコストは、単なる金銭的損失にとどまらず、信頼・透明性・コントロールの喪失につながります。」

翻訳元: https://www.infosecurity-magazine.com/news/data-breach-costs-fall/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です