データ漏洩は企業に大きな経済的損失をもたらします。IBMの最新レポートは、実際にどの程度の損失が発生しているかを明らかにしています。
photoschmidt – shutterstock.com
IBMの最新「Cost of a Data Breach」レポートによると、ドイツにおけるデータ漏洩1件あたりのコストは387万ユーロ(約403万ドル)に減少しました。前年は490万ユーロ(約531万ドル)でした。世界的にも平均値は1件あたり444万ドルとなり、9%減少しました。データ侵害のコストが減少に転じたのは過去5年で初めてです。IBMとPonemon Instituteによるこの調査結果は、世界中の600件のデータ侵害を分析したものです。
このコスト減少は、データ侵害がより迅速に特定・封じ込められるようになったことが要因とされています。
主な調査結果の概要:
- データ侵害が発見され、封じ込められるまでの平均期間(サービス復旧を含む)は241日となり、2024年のレポートと比べて17日短縮されました。
- フィッシング攻撃が16%で最も多く報告されたデータ侵害の原因でした。サプライチェーンの侵害が2番目に多い攻撃経路(15%)となり、漏洩した認証情報を上回りました。
元FBI職員で現在NeXasure.aiのナショナルセキュリティストラテジストであるEric O’Neill氏は、CSOに対し、データ侵害のコストについては精度の高い推計以上のものを出すのは難しいと説明しています。
「データ侵害の規模、訴訟、対策、業務中断、評判の損失、規制による罰則など、変数が多すぎて正確な計算はできません」とO’Neill氏は述べています。「IBMの数字はトレンドを把握するのに有用ですが、あくまで推計値であり、正確な測定値ではありません。」
地域別コスト
中東地域(サウジアラビアとアラブ首長国連邦を含む)は、調査対象16カ国・地域中2位となる729万ドルでした。
カナダ(484万ドル)とイギリス(414万ドル)は最も影響を受けた国トップ10にとどまり、ASEAN諸国(367万ドル)、オーストラリア(255万ドル)、インド(251万ドル)はトップ15に入っています。
業界別のデータ侵害
医療業界は742万ドルで、依然として1件あたりのコストが最も高い業界となっています。前年の977万ドルからは減少しています。
攻撃者は依然として患者の個人情報(PII)を高く評価し、標的にしています。これらの情報は、なりすましや保険金詐欺、その他の金融犯罪に利用されるためです。医療業界での侵害は、発見から封じ込めまで平均279日と、世界平均より5週間以上長くかかっています。
業界別の世界平均コストは以下の通りです:
| 業界 | 2025年 | 2024年 | 変化率 |
| 医療 | 742万ドル | 977万ドル | -24% |
| 金融 | 556万ドル | 608万ドル | -8.6% |
| 製造 | 500万ドル | 556万ドル | -10% |
| エネルギー | 483万ドル | 529万ドル | -8.7% |
| テクノロジー | 479万ドル | 545万ドル | -12% |
| 製薬 | 461万ドル | 510万ドル | -9.7% |
| プロフェッショナルサービス | 456万ドル | 508万ドル | -10% |
| エンターテインメント | 443万ドル | 409万ドル | +8.3% |
| メディア | 422万ドル | 394万ドル | +7.1% |
| ホスピタリティ | 403万ドル | 382万ドル | +5.5% |
高額な評判損失
評判の損失は多くの面で計測が難しく、依然としてデータ侵害後の最大のコスト要因の一つであると、Forresterのシニアアナリスト、Allie Mellen氏は述べています。「最終的に、顧客の信頼は非常に壊れやすく、再構築は極めて困難です。」
USTのチーフコマーシャルオフィサー、Bob Dutile氏も同意しています。「データ侵害のコストは、通常、市場における競争環境の変化として現れます。企業はブランドの価格プレミアムが得られなくなり、顧客獲得コストが上昇し、市場シェアを失うことになります。上場企業の場合、コスト影響の短期的な評価は株価に反映されます。」
データ侵害への対応やコミュニケーションの仕方が、評判に大きな影響を与えることがあると、ForresterのMellen氏は指摘します。「特に透明性や共感を持って対応することで、消費者や顧客の信頼を維持することができます。逆に、隠蔽やごまかしを試みると、データ侵害そのもの以上に信頼を損なうことになります。」
業務停止によるコストは数百万ドルに及ぶことも
ITセキュリティインシデントによる業務停止は、その規模や停止期間、企業のテクノロジー依存度によって多大なコストをもたらします。調査対象企業のほぼすべてが業務中断を経験し、その平均期間は100日でした。
「多くの場合、セキュリティ侵害によって企業が完全にオフラインになることはありませんが、そうなることもあります。重要なシステムが多く停止するほど、コストは高くなります」とCoalfireのField CISO、Jason Hicks氏は説明します。
製造業はこの点で比較的測定がしやすく、製造ラインが停止した場合の1分あたりのコストを算出しやすいとセキュリティ専門家は述べています。「大規模な製造企業では、1日あたり数百万ドルの損失になることもあります。他の業界では算出が難しいですが、各業界ごとに現実的な値を出すモデルは存在します。」
規制と訴訟がコストを押し上げる
ますます厳格化するデータ保護法により、違反企業には高額な罰金や和解金、その他法的コストが科されるリスクがあります。
IBMレポートによると、企業の3分の1が規制違反により罰金を支払うことになりました。米国企業は最も高額な罰金を支払っており、これが違反コスト全体を押し上げています。
「規制業界は、脆弱性対応の直接的なコストだけでなく、監督機関による追加罰則や訴訟による長期的な影響にも苦しんでいます」とGuidehouseのNick Stark氏は述べています。「データ侵害1件あたりのコストでは、医療や金融などの規制業界が通常1位と2位を占めており、違反時の罰金も高額です。」
「調査や決定にはしばしば数年かかり、最終的に被害企業が関係者と金銭的な和解に至ることもあります。」法的コストは、Stark氏によれば、データ侵害時の企業にとって最大の支出項目の一つです。「企業は自社内に十分な法務・データ保護の専門知識を持っていないことが多く、規制対応のために外部コンサルタントを雇う必要があります。」
サイバー保険の役割
サイバー保険は、企業がデータ侵害による経済的リスクを軽減する手段の一つです。サイバー保険料の急騰は最近は安定傾向にありますが、保険に加入していてもデータ侵害後に追加コストが発生する場合があります。Guidehouseの専門家によれば、保険料の増加が大きなコスト要因となるでしょう。
「一部の企業では、セキュリティ侵害後に保険料が約200%上昇したと報告されています」とStark氏は述べています。
また、保険会社は補償範囲の制限を強化しており、保険に加入していても特定のコストについては企業が自己負担する必要がある場合があります。
実際、Mellen氏は、保険が企業にサイバー攻撃後の完全な経済的回復をもたらすという考えは誤りだと指摘します。「現実には、サイバー攻撃に関連するすべてのコストが補償されるわけではありません。私たちの経験では、現在一部の保険会社はランサムウェアすら補償対象外としています。」
「もう一つ考慮すべき点は、サイバー保険会社は通常、弁護士やフォレンジック企業などの認定サービスプロバイダーリストを持っていることです」とHicks氏は補足します。
希望するプロバイダーがこのリストにない場合、企業は乗り換えを余儀なくされます。「これは高額[FM5]になる可能性があり、企業は既存のサービスプロバイダーを利用して割引を受けていることが多いためです」とHicks氏は述べています。
昨年は、身代金を支払わない企業が前年(59%)より増え、63%となりました。しかし、ランサムウェア事件1件あたりの平均コストは引き続き508万ドルと推定されています。
また、ランサムウェア被害企業が当局に攻撃を報告する割合も減少し、今年は40%が報告したのに対し、前年は53%でした。[FM6]
人材不足がコストを押し上げる
サイバーセキュリティ分野の人材不足は、業界に長年課題をもたらしています。今年のレポートでは、48%の企業が高度なセキュリティ知識の人材不足を抱えており、前年の53%からは減少しています。
IBMの最新レポートによると、セキュリティ知識の不足はデータ侵害コストを増大させる最大の要因の一つです。そのため、データ侵害による追加平均コストは157万ドルとなっています。
セキュリティ人材の不足がデータ侵害コスト増加につながる場合、企業はデータ侵害の不適切な対応が従業員に与える影響にも注意を払うべきだとMellen氏は警告しています。
レポートによれば、ソフトウェア開発にDevSecOpsアプローチを導入することが、AIや機械学習の活用よりもデータ侵害コスト削減に最も効果的な要因でした。SIEM(セキュリティ情報・イベント管理)プラットフォームの活用による脅威検知・対応も、重要な要素のトップ3に入りました。
企業の5社に1社(20%)が、未承認のAIツール利用[FM7]に関連するセキュリティインシデントによって侵害を受けたと回答しています。レポートによると、隠れたAIの存在は、サプライチェーンのセキュリティ侵害やセキュリティシステムの複雑さと並び、データ侵害コスト増加の主な要因となりつつあります。
AIと自動化
人材不足を背景に、CISOはAIや自動化を活用してこのギャップを埋めようとしています。
IBMの最新レポートによると、セキュリティにAIや自動化ツールを導入している企業では、1件あたりの平均コスト削減額が222万ドルとなり、2023年の176万ドルから増加しています。
AIは膨大なデータをリアルタイムで解析し、疑わしい行動を検知して即座に封じ込め措置を取ることも可能です。これは多くの場合、人間のアナリストが対応する前に実現できます。
「これが、数時間以内に対応できるか、数日かかるかの違いとなり、コスト削減につながります」とCraig Watt氏(Quorum Cyberの脅威インテリジェンスアナリスト)は述べています。「ただし、AIでもセキュリティ侵害を完全に防ぐことはできません。」
Watt氏はさらに、「自動化は時間を稼ぐことはできますが、広範な経済的影響を防ぐものではありません」と付け加えています。
SOCRadarのCISOであるEnsar Seker氏も、セキュリティAIと自動化がデータ侵害時の対応時間を効果的に短縮できることに同意しています。
AI関連のセキュリティ侵害
企業のAIインフラに関するセキュリティインシデントは、現時点ではまだ限定的です。平均して13%の企業が、自社のAIモデルやアプリケーションに関連するセキュリティ侵害を報告しています。しかし、AI関連のインシデントを経験した企業のほぼすべて(97%)は、適切なAIアクセス管理がなされていませんでした。
これらのセキュリティインシデントの多くは、アプリ、API、プラグインの侵害によるAIサプライチェーンで発生しています。これらのインシデントは時にドミノ効果をもたらし、より広範なデータ侵害(60%)や業務中断(31%)につながっています。
データ侵害コスト管理の鍵は備え
データ侵害後にセキュリティ投資を増やすと回答した企業は、世界的に大きく減少しています(2025年は49%、2024年は63%)。そのうち半数未満がAI主導のセキュリティソリューションやサービスに注力する予定です。
具体的なコストにかかわらず、専門家は、備えがデータ侵害による経済的影響を軽減する鍵であることに一致しています。
「インシデントへの迅速な対応は、侵害コスト削減の明確な要因であり続けています」とUSTのDutile氏は述べています。「最悪の損失は、長期間発見されず、対応が遅れたり非効率的だった場合に発生します。」
現代のサイバーセキュリティには、いずれデータ侵害が発生することを前提とした考え方が求められると、ForresterのMellen氏は付け加えます。
「このような状況下では、企業はどのように対応するかを事前に決め、レジリエンスを高め、より迅速かつ効果的に対応できる体制を整える必要があります。」これはセキュリティ部門だけでなく、マーケティングや営業部門を含む全社的な取り組みが必要です。「企業は、顧客に対して問題をできるだけ迅速かつ効果的に解決する意思があることを示すべきです」とForresterの専門家は述べています。(jm)
ニュースレターを購読する
編集部から直接あなたの受信箱へ
下にメールアドレスを入力して開始してください。
翻訳元: https://www.csoonline.com/article/4045341/das-kostet-ein-data-breach-2025.html