IBMは2023年07月24日に、情報漏えい被害企業の半数は、情報漏えいコストの高騰にもかかわらずセキュリティ支出を増やそうとしなかったと報告した。

AI/自動化により情報漏えいのライフサイクルを108日短縮、法執行を避けたランサムウェア被害者の追加コストはUS$47万、情報漏えいを自ら発見した組織は3分の1のみであったと報告した。

マサチューセッツ州ケンブリッジからPRNewswireは2023年07月24日に、IBM Security(IBM)セキュリティ)は 、データ侵害の世界平均コストが2023年にUS$445万に達し、同レポートとしては過去最高となり、過去3年間で15%増加したことを示す年次データ侵害コスト・レポート(Cost of a Data Breach Report)1を発表した。

検出とエスカレーションのコストは、この同じ期間に42%急増し、侵害コストの最も高い部分を占め、より複雑な侵害調査へのシフトを示している。

2023年IBMの報告書によると、企業は増加するデータ侵害のコストと頻度にどのように対処するかで意見が分かれている。

調査によると、調査対象企業の95%が1回以上の情報漏えいを経験しているが、情報漏えいを受けた企業は、セキュリティ投資を増やす(51%)よりも、インシデントコストを消費者に転嫁する(57%)傾向が強い。

2023 Cost of a Data Breach Reportは、2022年03月から2023年03月までの間に世界の553組織が実際に経験したデータ侵害の詳細な分析に基づいている。

IBMセキュリティがスポンサーとなり分析したこの調査は、Ponemon Instituteが実施したもので、18年連続で発表されている。2023年IBMレポートの主な調査結果は以下の通り:

AIがスピードアップ---AIと自動化は、調査対象組織における侵害の特定と封じ込めのスピードに最も大きな影響を与えた。

AIと自動化の両方を広範に使用している組織では、これらのテクノロジーを導入していない調査対象組織(214日対322日)と比較して、データ侵害のライフサイクルが108日短くなった。

沈黙のコスト---法執行機関を関与させた調査のランサムウェア被害者は、法執行機関を関与させないことを選択した被害者と比較して、侵害の平均コストを47万ドル節約した。

このような節約の可能性があるにもかかわらず、調査対象のランサムウェア被害者の37%は、ランサムウェア攻撃に法執行機関を関与させなかった。

つまり、世間体を意識し、隠蔽していた。

検出のギャップ---調査された侵害のうち、組織内のセキュリティチームによって検出されたのはわずか3分の1であり、攻撃者によって開示されたのは27%でであった。攻撃者によって開示されたデータ侵害のコストは、自ら侵害を発見した調査対象組織と比較して、平均でUS$100万近く高くなっている。
「サイバーセキュリティにおいて、防御側にとっても攻撃側にとっても、時間は新たな通貨である。この報告書が示すように、早期発見と迅速な対応によって、情報漏えいの影響を大幅に軽減することができる。

「セキュリティ・チームは、敵がどこで最も成功しているかに焦点を当て、敵が目標を達成する前に阻止することに全力を注ぐ必要がある。

AIや自動化など、防御者のスピードと効率を加速させる脅威の検知と対応アプローチへの投資は、このバランスを変えるために極めて重要である。

毎秒単位のコスト
2023年版のレポートによると、セキュリティAIと自動化を全面的に導入した調査対象組織は、これらのテクノロジーを導入していない組織と比較して、情報漏えいのライフサイクルが平均108日短縮され、インシデント・コストも大幅に削減された。実際、セキュリティAIと自動化を広範に導入した調査対象組織では、これらのテクノロジーを導入しなかった組織と比較して、データ侵害のコストが平均でUS$180万近く削減された。

同時に、敵はランサムウェア攻撃を完了するまでの平均時間を短縮している。
また、調査対象組織の40%近くがまだセキュリティAIと自動化を導入していないことから、組織には検出と対応の速度を向上させる大きな機会が残されている。

ランサムウェアの「割引コード」
調査対象組織の中には、ランサムウェア攻撃時に法執行機関に関与することは状況を複雑にするだけであるという認識から、依然として懸念を抱いているところもある。

今年初めて、IBMの報告書はこの問題を詳しく調査し、反対の証拠を発見した。法執行機関を関与させなかった参加組織は、法執行機関を関与させた組織よりも平均33日長い侵害ライフサイクルを経験しており、その沈黙には代償が伴った。

法執行機関を関与させなかったランサムウェアの被害者は、関与させた被害者よりも平均US$47万高い侵害コストを支払っている。

法執行機関がランサムウェア被害者と協力する努力を続けているにもかかわらず、回答者の37%は法執行機関を介入させなかった。さらに、調査対象となったランサムウェア被害者の約半数(47%)が身代金を支払ったと報告されている。組織がランサムウェアに関するこうした誤解を捨てるべきであることは明らかだ。身代金を支払い、法の執行を避けることは、インシデントのコストを押し上げ、対応を遅らせるだけかもしれない。

これは、昔から指摘されていることである。

セキュリティ・チームが自ら侵害を発見することはほとんどない
脅威の検知と対応は、ある程度進歩している。IBMの2023年脅威インテリジェンス・インデックスによると、セキュリティ担当者は、次のような割合で侵入を阻止することができた。

https://newsroom.ibm.com/2023-07-24-IBM-Report-Half-of-Breached-Organizations-Unwilling-to-Increase-Security-Spend-Despite-Soaring-Breach-Costs
https://newsroom.ibm.com/2023-07-24-IBM-Report-Half-of-Breached-Organizations-Unwilling-to-Increase-Security-Spend-Despite-Soaring-Breach-Costs#assets_20295_127983-117
https://www.ibm.com/reports/data-breach
https://www.ibm.com/reports/threat-intelligence
https://www.ibm.com/account/reg/signup
https://securityintelligence.com/posts/analysis-of-ransomware/
https://www.ibm.com/reports/threat-intelligence
https://ibm.biz/book-a-consult
https://www.ibm.com/reports/data-breach-action-guide
https://www.ibm.com/topics/zero-trust