IBM Securityはデータ侵害の年間コストレポートを発表し、データ侵害の世界平均コストが2023年には445万ドルに達すると予想しており、これはレポート史上最高額であり、過去3年間で15%増加しているとのことです。
検出とエスカレーションのコストは同期間で 42% 急増し、侵害コストの最も高い部分を占めており、より複雑な侵害調査への移行を示しています。
2023 年の IBM のレポートによると、データ侵害のコストと頻度の増加にどのように対処するかについて企業の意見が分かれています。この調査では、調査対象となった組織の 95% が複数の侵害を経験している一方、侵害を受けた組織は、セキュリティへの投資を増やす (51%) よりも、インシデントのコストを消費者 (57%) に転嫁する可能性が高いことがわかりました。
2023 年のデータ侵害のコスト レポートは、2022 年 3 月から 2023 年 3 月の間に世界中の 553 の組織が経験した実際のデータ侵害の詳細な分析に基づいています。
この研究は、IBM Security が後援し、分析したもので、Ponemon Institute によって実施され、18 年間継続的に発表されています。
2023 年の IBM レポートからの主な調査結果は次のとおりです。
AI による速度の加速: AI と自動化は、研究組織による侵害の特定と封じ込めの速度に大きな影響を与えます。人工知能と自動化を広範に利用した組織は、調査対象のこれらのテクノロジーを導入しなかった組織と比較して、データ侵害のライフサイクルが 108 日短縮されました (それぞれ 214 日対 322 日)。
沈黙のコスト:法執行機関を関与させたランサムウェア被害者は、法執行機関を関与させなかったランサムウェア被害者と比較して、侵害コストを平均 47 万ドル節約しました。これらの潜在的な節約にもかかわらず、調査対象となったランサムウェア被害者のランサムウェア攻撃の 37% には法執行機関が関与していませんでした。
検出ギャップ:調査された脆弱性のうち、組織のセキュリティ チームによって検出されたのは 3 分の 1 のみであったのに対し、攻撃者によって公開された脆弱性は 27 パーセントでした。攻撃者によって明らかにされたデータ侵害の費用は、研究組織が自ら侵害を発見した場合よりも平均で 100 万ドル近く高くなります。
防御者にとっても攻撃者にとっても、時間はサイバーセキュリティにおける新たな通貨です。レポートが示しているように、早期発見と迅速な対応により、侵害の影響を大幅に軽減できます。
セキュリティ チームは、攻撃者が最も成功する場所に焦点を当て、目標を達成する前に敵を阻止することに重点を置く必要があります。このバランスを変えるには、人工知能や自動化など、防御側の速度と効率を高めるための脅威の検出と対応方法に投資することが重要です。
毎秒支払わなければならない
2023 年のレポートによると、セキュリティ AI と自動化を完全に導入した研究組織は、これらのテクノロジーを導入しなかった組織と比較して、データ侵害のライフサイクルが平均 108 日短縮され、インシデント コストが大幅に削減されました。
実際、セキュリティ AI と自動化を広く導入した調査組織では、これらのテクノロジーを導入しなかった組織と比較して、データ侵害コストが平均 180 万ドル近く削減されており、これがレポートで特定されている最大のコスト削減効果となっています。
同時に、攻撃者はランサムウェア攻撃を完了するまでの平均時間も短縮しました。調査対象の組織の 40% 近くがまだセキュリティ AI と自動化を導入していないため、組織には検出と対応速度を向上させる大きなチャンスがまだあります。
ランサムウェア「割引コード」
一部の研究グループは、ランサムウェア攻撃中に法執行機関と連携することは状況を複雑にするだけだと考え、依然として懸念を抱いています。今年、IBMのレポートで初めてこの疑問が詳しく調査され、反対の証拠が見つかりました。
法執行機関が関与していない参加組織のデータ侵害ライフサイクルは、法執行機関に関与している組織よりも平均して 33 日長く、この沈黙には代償が伴います。調査によると、法執行機関を取らなかったランサムウェアの被害者は、法執行機関を取った被害者よりも侵害コストが平均 47 万ドル多くかかっています。
法執行機関はランサムウェア被害者に協力する継続的な取り組みを行っているにもかかわらず、回答者の 37% は依然として被害者を被害者に連れて行かないことを選択しています。さらに、ランサムウェア被害者のほぼ半数 (47%) が身代金を支払ったと報告されています。組織がランサムウェアに関するこうした誤解を捨てるべきであることは明らかです。身代金を支払ったり法執行機関を回避したりすると、事件のコストが増大し、対応が遅れるだけになる可能性があります。
セキュリティ チームが独自に脆弱性を発見することはほとんどありません
脅威の検出と対応はある程度の進歩を遂げました。IBM の 2023 年脅威インテリジェンス インデックスによると、昨年は防御者がランサムウェア攻撃を阻止する割合が高くなっています。しかし、敵は依然として防御の穴を突破する方法を模索しています。
報告書によると、調査対象の侵害のうち、組織独自のセキュリティ チームまたはツールによって検出されたのはわずか 3 分の 1 であり、そのような侵害の 27 パーセントは攻撃者によって公開され、40 パーセントは法執行機関などの中立的な第三者によって公開されたことが判明しました。
脆弱性を発見し、対応した組織が経験した侵害のコストは、攻撃者が明らかにしたコストよりも 100 万ドル近く少なかった (523 万ドル対 430 万ドル)。
また、攻撃者によって公開された脆弱性は、内部で発見した攻撃者よりも 80 日近く長く生存していました (320 日対 241 日)。早期発見によりコストと時間を大幅に節約でき、これらの戦略への投資が長期的には報われる可能性があることを示唆しています。
2023 年の IBM レポートのその他の調査結果は次のとおりです。
環境間でのデータ侵害:調査されたデータ侵害の 40% 近くで、パブリック クラウド、プライベート クラウド、オンプレミスを含む複数の環境でデータ損失が発生しており、攻撃者が検出を回避しながら複数の環境を侵害できることが示されています。この調査では、複数の環境に影響を与えるデータ侵害により、侵害コストも増加する (平均 475 万ドル) ことが判明しました。
医療情報漏洩のコストは高騰し続けています。 調査対象となっている医療情報漏洩の平均コストは、2023 年には 1,100 万ドル近くに達すると予想されており、これは 2020 年から 53% の価格上昇となります。2023 年の X-Force 脅威インテリジェンス レポートによると。攻撃者は医療記録を利用して、標的となった組織に身代金を支払うよう圧力を強めています。実際、調査したすべての業界において、個人を特定できる顧客情報が最も侵害されやすい種類の記録であり、最もコストがかかるものでした。
DevSecOps の利点:あらゆる業界で高レベルの DevSecOps を導入している組織を対象とした調査では、データ侵害の世界平均コストが、DevSecOps アプローチが低い、またはまったく導入していない組織よりも 170 万ドル近く低いことがわかりました。
重要インフラストラクチャ侵害のコストは 500 万ドルを超える:昨年と比較すると、調査対象となった重要インフラ組織の侵害の平均コストは 482 万ドルから 504 万ドルへと 4.5% 増加し、世界平均より 59 万ドル増加しました。