データ侵害のコストとは？

現代のビジネスにおいて、業界や規模を問わず、データ侵害による金銭的影響は非常に大きいです。IBMの最新データ侵害コストレポートによると、2024年3月から2025年2月までの間に、世界全体でのデータ侵害の平均コストは9%減少し、444万ドルとなりました。これは過去5年間で初めての減少です。

IBMによれば、この減少は、組織自身のセキュリティおよびサービスチームによる迅速な侵害の特定と封じ込め、さらにAIや自動化の助けによるものです。

2025年版レポートはPonemon Instituteが実施し、IBMがスポンサーとなって、世界中の600の組織が経験したデータ侵害を分析したものです。

侵害の特定と封じ込め（サービスの復旧を含む）までの平均時間は241日となり、2024年版レポートから17日短縮されました。

医療分野での侵害は、調査対象となったすべての業界の中で最も高額で、平均742万ドルでした。これは2024年と比べて235万ドルのコスト削減を達成したにもかかわらず、依然として最も高額です。

フィッシング攻撃（16%）がデータ侵害の最も一般的な根本原因として報告されました。サプライチェーンの侵害が急増し、2番目に多い攻撃経路（15%）となり、認証情報の漏洩を上回りました。

エリック・オニール氏（元FBI防諜捜査官、現NeXasure.ai国家安全保障ストラテジスト）はCSOに対し、侵害コストについては推測以上のことは難しいため、IBMのレポートは業界動向を示す有用な指標として見るべきだと語っています。

「変数―侵害の範囲、訴訟、修復、業務の中断、評判の損失、規制上の罰則―が多すぎて予測不可能なため、正確な計算はできません」とオニール氏は述べています。「IBMの数字はトレンドを把握するのに価値がありますが、あくまで概算であり、正確な測定値ではありません。」

CSOが取材した複数の専門家は、サイバーセキュリティ人材不足、サプライチェーンの脆弱性、そして脅威の増大が、侵害コストを高騰させ、管理を難しくしている主な3要因だと指摘しています。

地域別コスト

世界的な減少傾向にもかかわらず、米国企業は全体の傾向に逆行し、2025年には推定コストが1022万ドルに上昇、2024年の推定値から9%増加しました。

この上昇は、規制上の罰則の増加や検出コストの上昇が一因であると、IBMがスポンサーとなった調査は述べています。

サウジアラビアとアラブ首長国連邦を対象とした中東は、調査対象16カ国・地域中2位で、729万ドルでした。

カナダ（484万ドル）と英国（414万ドル）は依然として被害が大きい上位10カ国に含まれ、ASEAN（東南アジア諸国連合、367万ドル）、オーストラリア（255万ドル）、インド（251万ドル）が上位15カ国に入っています。

業界別の侵害

医療業界は依然として1件あたりの侵害コストが最も高く、昨年の977万ドルから減少したものの742万ドルとなっています。

攻撃者は依然として、医療業界の患者個人識別情報（PII）を高く評価し、標的としています。これらは、なりすましや保険金詐欺、その他の金融犯罪に利用可能です。医療分野での侵害は特定と封じ込めまでに最も長い時間（279日）を要し、世界平均より5週間以上長くなっています。

業界別の平均侵害コスト

業界	2025年	2024年	変化
医療	$7.42M	$9.77M	-24%
金融	$5.56M	$6.08M	-8.6%
工業	$5.00M	$5.56M	-10%
エネルギー	$4.83M	$5.29M	-8.7%
テクノロジー	$4.79M	$5.45M	-12%
製薬	$4.61M	$5.10M	-9.7%
プロフェッショナルサービス	$4.56M	$5.08M	-10%
エンターテインメント	$4.43M	$4.09M	+8.3%
メディア	$4.22M	$3.94M	+7.1%
ホスピタリティ	$4.03M	$3.82M	+5.5%

評判損失は依然として大きなコスト

多くの面で定量化が難しいものの、評判損失は侵害後の最も重大なコストの一つです。「結局のところ、顧客の信頼は壊すのはとても簡単で、築くのは非常に難しい」と、Forresterのシニアアナリストアリー・メレン氏はCSOに語っています。

ボブ・デュタイル氏（UST最高商業責任者）も同意します。「データ侵害のコストは、通常、市場における競争力の変化として現れます。企業はブランドの価格プレミアムが維持できなくなり、顧客獲得コストが高騰し、市場シェアを失います。上場企業の場合、短期的なコスト影響は株価の動きに反映されます。」

デュタイル氏によれば、米国の中規模企業が25万件未満の記録で軽度の侵害を受けた場合、800万ドルから1000万ドルが良い計画値とされています。そのうち約3分の1が評判損失によるビジネス損失です。

企業がどのように侵害に対応し、情報を伝えるかが、その評判への影響に大きく関わると、Forresterのメレン氏は指摘します。「消費者や顧客との信頼を維持する方法を理解することが本当に重要です」と彼女は付け加えます。「特に透明性を高め、共感を持って対応することで、侵害後の顧客の受け止め方が大きく変わります。問題を隠そうとしたり、もみ消そうとしたりすれば、侵害そのものよりもはるかに信頼を損なうことになります。」

深刻な業務停止は数百万ドルの損失に

業務停止は、ダウンタイムのレベルや範囲、企業の技術依存度によって、侵害を受けた組織にとって非常に高額なコストとなる可能性があります。

調査対象となったほぼすべての組織が業務の中断を経験し、セキュリティインシデントからの回復に平均100日を要しました。

ジェイソン・ヒックス氏（CoalfireフィールドCISO）はCSOにこう語ります。「多くの場合、侵害によって企業が完全にオフラインになることはありませんが、そうなることもあります。停止されるシステムが重要であればあるほど、コストも大きくなります。」

製造業はこの点で最も良い指標を持っており、組立ラインが停止した場合の1分あたりのコストを比較的簡単に測定できます、とヒックス氏は言います。「大規模な製造企業では、これが1日で数百万ドルに達することもあります。他の業界ではより曖昧ですが、各業界に適用できる合理的なモデルも存在します。」

規制と訴訟がデータ侵害コストを増加させる

ますます厳格化するデータ保護・プライバシー法や訴訟により、多くの企業が侵害やコンプライアンス違反後に巨額の罰金や和解金、法的費用を支払うケースが増えています。

IBMがスポンサーとなったレポートによれば、3分の1の組織が侵害により規制当局から罰金を科されました。米国の組織は最も高額な罰金を支払っており、これが全体の侵害コストを押し上げる要因となっています。

「規制業界は、脆弱性への対応・封じ込め・修復の即時コストだけでなく、規制当局からの追加罰則や法的和解による長期的な影響も受けます」とニック氏は述べます。医療や金融サービスなどの高度に規制された業界は、他よりもコンプライアンス違反の罰金が多いため、1件あたりの侵害コストで上位を占める傾向があります。

「調査や裁定には、被害組織が被害者と金銭的な和解に至るまで何年もかかることがよくあります。」法的費用は、データ侵害で組織が直面する最大の支出の一つだとニック氏は述べます。「組織は社内に法務やプライバシーの専門知識を持っていることは稀であり、コンプライアンスを確保するためには外部の弁護士を雇って報告を主導してもらう必要があります。」

サイバー保険の役割

サイバー保険は、企業が侵害リスクのコストを軽減する一つの方法です。サイバー保険料の急激な上昇は最近は安定傾向にありますが、保険に加入している組織でも、侵害後に追加費用を支払うことが予想されます。確実に発生するコストとして、保険料の値上げが挙げられると、Guidehouseのニック氏は述べます。

「一部の組織では、侵害後に保険料が約200%上昇したと報告されています」と彼は付け加えます。

保険会社は補償範囲の制限も強化しており、ポリシーがあっても、企業が侵害関連の特定のコストを自己負担しなければならない場合があります。

実際、Forresterのメレン氏は、保険によってサイバー攻撃から完全に金銭的回復ができるという考えは誤りだと述べています。「現実には、どのようなサイバー攻撃であっても、すべてのコストが補償されるわけではありませんし、最近は一部の保険会社がランサムウェアを補償対象から外しているケースも見られます」と彼女は付け加えます。

もう一つ考慮すべき点は、サイバー保険会社は通常、弁護士やフォレンジック会社など、承認済みサービスプロバイダーのリストを持っているということです、とヒックス氏は述べます。

「もし自社が希望するプロバイダーがそのリストに載っていない場合、追加で承認を得るか、場合によってはプロバイダーを変更しなければならないこともあります。これはコスト増につながる可能性があり、企業は既存のサービスプロバイダーとの取引量に基づく最大割引を活用していることが多いためです」とヒックス氏は述べます。

被害者はランサムウェアの支払いを拒否

昨年は、身代金を支払わない組織が前年（59%）より増え、63%となりました。しかし、ランサムウェアインシデントの平均コストは依然として508万ドルと推定されています。

ランサムウェアの被害者がこれらの犯罪攻撃を法執行機関に報告した割合は減少し、今年は40%、昨年は53%でした。

[関連記事：「支払うべきか否か：CISOが語るランサムウェアのジレンマ」]

セキュリティ人員不足は侵害コスト増加につながる

サイバーセキュリティ人材不足は長年業界の課題となっています。今年のレポートでは、48%の組織が高いレベルのセキュリティ人材不足を抱えており、昨年の53%から減少しました。

IBMの最新レポートによると、セキュリティ人材不足はデータ侵害コスト増加の最大要因の一つであり、人材不足によるデータ侵害の追加コストは平均157万ドルとされています。

セキュリティ人員が不足していると侵害コストが増大するため、組織はメレン氏の「データ侵害対応が不十分だと従業員に与える影響」に関する警告に注意を払うべきです。

「もし従業員が、侵害時に組織が自分や顧客を守ることができない、あるいは侵害を従業員のせいにするような雰囲気だと感じた場合、他の職を探し始める可能性が高くなります。これは従業員にとって敵対的な環境を生み出すからです」と彼女は述べます。「組織は責任を受け入れ、従業員と顧客の両方を守る必要があることを認識することが非常に重要です。」

ソフトウェア開発にDevSecOpsアプローチを採用することが、AIや機械学習の活用よりもコスト削減に最も効果的だったとレポートは指摘しています。脅威の検知と対応のためのセキュリティ情報・イベント管理（SIEM）プラットフォームの運用も、コスト削減の上位3要因に挙げられています。

5社に1社（20%）が、シャドウAIや非公認AIツールの利用に関連するセキュリティインシデントによる侵害を経験したと回答。シャドウAIは、サプライチェーン侵害やセキュリティシステムの複雑性と並び、侵害コスト増大の主要因となりつつあるとレポートは指摘しています。

セキュリティAIと自動化

人員やスキル不足に直面し、CISOはギャップを埋めるためにAIや自動化の活用を強化しています。

IBMの最新レポートによると、セキュリティAIや自動化ツールを活用している組織の1件あたりの侵害コスト削減額は222万ドルで、2023年の176万ドルから増加しています。

英国では、AIや自動化をセキュリティ運用全体で活用している組織は、データ侵害コストが年間311万ポンドに低下し、これらの技術を活用していない組織の平均378万ポンドより大幅に低くなっています。英国でAI技術をセキュリティ運用に広範囲に活用している組織は3分の1未満で、昨年よりやや増加しています。

英国では、セキュリティAIと自動化を広範囲に活用している組織は、データ侵害の特定（MTTI）と封じ込め（MTTC）までの平均日数がそれぞれ148日と42日で、これらの技術を使っていない組織（168日と64日）より42日短縮されました。

AIは膨大なデータをリアルタイムで分析し、不審な行動を検知し、場合によっては即座に封じ込め措置を取ることもできます―多くの場合、人間のアナリストが対応する前に実行されます。

「これは、対応が数日単位から数時間単位になる違いであり、コスト削減につながります」とクレイグ・ワット氏（Quorum Cyber脅威インテリジェンスアナリスト）は述べます。「しかし、AIでも侵害を完全に防ぐことはできません。」

ワット氏はさらに、「自動化は時間を稼ぐことはできますが、広範な金銭的影響を抑えるにはまだ至っていません」と付け加えます。

エンサル・セカー氏（SOCRadar CISO）も、セキュリティAIと自動化は、手動対応を待たずに迅速な検知・封じ込め・修復を可能にすることで、侵害対応時間の短縮に効果的だと認めています。

「AI駆動の脅威検知と自動対応ワークフローを統合した組織は、インシデントのライフサイクルを劇的に短縮でき、これが侵害コストに直接影響します」とセカー氏は述べます。

ただし、これらの恩恵は一様ではありません。「成熟したプロセスや適切なデータパイプラインがない企業は、AIがもたらす本来の効果を十分に享受できません」とセカー氏は警告します。「成熟したプロセスや適切なデータパイプラインがない企業は、AIの恩恵を十分に受けられないことが多いのです。」

組織のAIインフラに関連するセキュリティインシデントは、現時点では限定的です。平均して13%の組織がAIモデルやアプリケーションに関連する侵害を報告しています。しかし、AI関連のセキュリティインシデントを経験した組織のほぼ全て（97%）が、適切なAIアクセス制御を欠いていました。

これらのセキュリティインシデントの多くは、AIサプライチェーン、アプリ、API、プラグインの侵害によって発生しました。これらのインシデントは時に連鎖的な影響を及ぼし、（60%のケースで）より広範なデータ漏洩や（31%のケースで）業務の中断につながりました。

備えがデータ侵害コスト管理の鍵

侵害後にセキュリティ投資を計画していると答えた世界の組織の割合は大幅に減少し、2025年は49%、2024年は63%でした。侵害後に投資を計画している組織のうち、AI駆動のセキュリティソリューションやサービスに注力するのは半数未満です。

具体的なコストがどうであれ、専門家は、備えが侵害による金銭的影響を軽減する鍵だと一致しています。

「迅速なインシデント対応は、侵害コストを下げる明確な要因であり続けています」とUSTのデュタイル氏は述べます。「最悪なのは、長期間検知されない、または対応が遅い・不十分な場合です。」

現代のサイバーセキュリティには、最終的にはデータ侵害が発生することを前提とした「事後対応型」の考え方が必要だと、Forresterのメレン氏は付け加えます。

「そうした状況下で、どのように対応し、より良く・迅速に回復するためのレジリエンスを構築するかを考える必要があります。これはセキュリティ部門だけの問題ではなく、組織全体で取り組むべきです。マーケティングや営業が何をするのかなど、ビジネスとして顧客を大切にし、できるだけ早く・効果的に対応する姿勢を示すことが重要です」と彼女は述べています。