日本IBMは8月25日、「2022年データ侵害のコストに関する調査レポート」日本語版を公開した。データ侵害にかかるコストは過去2年間で13％近く増加し、商品やサービスのコスト増など大きな影響を与えていることが明らかになったという。世界で発生した550件のインシデントを調べたもの。

　調査レポートによると、データ侵害による平均被害額は435万ドルとなり、20年の386万ドル、21年の424万ドルを上回る過去最高となる。日本におけるデータ侵害時に発生する平均総コストも21年調査より10％増の5億6000万円と、こちらも過去最高額になる。攻撃の内訳は、ランサムウエアが11％、破壊的な攻撃が１７％、サプライチェーン攻撃が19％などとなる。

　とくに破壊的な攻撃による侵害コストが512万ドルと平均を上回っている。ランサムウエア攻撃による被害コストも、身代金を支払わない場合が512万ドル、支払った場合が449万ドルと、支払ったほうの被害額が少ない。ただし、身代金が入っていないので、実際はそれを大きく上回る数字になると思われる。攻撃を検知するまでの日数も、ランサムウエアが237日、破壊的な攻撃が233日と全体平均より約15％それぞれ多くかかっている。封じ込めに要する日数も平均の70日に対して、ランサムウエアが89日、破壊的な攻撃が91日にもなる。

　サプライチェーン攻撃による被害額は446万ドルと平均を若干上回る程度だが、検知までに要する日数が235日、封じ込めに要する日数が68日と、検知までの時間がかかっていることが分かった。リモートワークの影響もある。とくにリモートワークで働く従業員の割合が高い企業ほど、データ侵害のコストが高くなっている。リモートワーク率の20％未満が399万ドル、81％以上が510万ドルといった具合だ。

　被害コストを抑える取り組みもある。たとえば、セキュリティAIと自動化の全面導入で、305万ドルを削減する。検知までの日数も54日、封じ込め日数も20日、それぞれ短縮できるという。インシデント対応チームの編成と対応計画のテストの実施で、コスト低減を図れているという。ゼロトラストの導入有無も、コストに影響する。（田中克己）