Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > サイバーセキュリティー・リスク管理 > IBMの2023年データ侵害コストレポートにおける3つのコスト増幅要因とデータ侵害リスク
Blog Banner - 3 Cost Amplifiers and Data Breach Risk in IBM’s 2023 Cost of a Data Breach Report

IBMの2023年データ侵害コストレポートにおける3つのコスト増幅要因とデータ侵害リスク

by Patrick Spencer updated 1月 14, 2025 サイバーセキュリティー・リスク管理
Reading Time: < 1 minutes

IBMの2023年データ侵害コストレポートは、サイバーセキュリティ脅威の変化する状況と、世界中の組織に関連するコストについての重要な知見を提供しています。サイバーセキュリティとリスク管理の専門家がVerizonデータ侵害調査レポートを使用して脅威のトレンドを特定するのと同様に、Ponemon Instituteが実施したIBMのレポートは、データ侵害がもたらす財務的、ブランド的、コンプライアンスへの影響を示す指標となっています。これら二つのレポートは、リスクの姿勢を測定するための信頼できるテレメトリーを提供します。

データ侵害のコストと機密コンテンツ通信のプライバシーとコンプライアンスの測定

今年のIBMのレポートは、18年連続で発表され、攻撃ベクトルとコストの影響に関する重要な進展を紹介しています。このブログ投稿では、レポートからの主要なポイントをレビューし、要約することを目的としています。データ侵害の平均コスト、これらのコストに対するさまざまなセキュリティ慣行の影響、サイバー犯罪者や悪意のある国家が狙うデータの種類、ソフトウェアサプライチェーン攻撃の増加に焦点を当てます。最も注目すべき知見には以下が含まれます:

  • データ侵害のコストは過去最高の4.45百万米ドルに達しました。
  • 医療業界は13年連続でトップを維持し、データ侵害1件あたり平均10.93百万米ドルの損失を被りました。
  • 侵害の82%はクラウド(パブリック、プライベート、または複数の環境)に関与していました。
  • 滞留時間が長いほど、データ侵害のコストは高くなります:200日以上かかった侵害と200日未満で解決した侵害の平均コスト差は1.02百万米ドルです。
  • 組織の半数のみがセキュリティにもっと投資する意向があります。

同時に、私たちの年次機密コンテンツ通信プライバシーとコンプライアンスレポートを発表したばかりで、読者はIBMレポートに含まれる発見と並行して私たちの発見を評価することに興味を持つでしょう。詳細な分析は、IBMレポートの主要な発見を掘り下げ、その結論における類似点と相違点を確立することを目的としており、現在のサイバーセキュリティの状況を包括的に理解することを可能にします。

ソフトウェアサプライチェーン攻撃

IBMのレポートからの最も印象的な観察の一つは、データ侵害の原因としてのソフトウェアサプライチェーン攻撃の発生率です。これらの攻撃は、悪意のあるアクターがソフトウェアベンダーのネットワークに侵入し、顧客のデータやシステムを侵害するためにソフトウェアを操作することを含みます。以前は、脅威はしばしば企業のインフラストラクチャを直接狙う外部侵害と考えられていましたが、新しい攻撃の波はより陰湿です。

IBMのレポートは、過去1年間でデータ侵害の12%がソフトウェアサプライチェーンから発生したことを明らかにしています。これはサイバー攻撃手法の顕著な変化を示しており、組織がソフトウェアサプライチェーン全体でセキュリティ対策を再評価する必要性を強調しています。ソフトウェアサプライチェーン攻撃は、デジタルエコシステムの脆弱性が広範な被害を引き起こす可能性を示しています。

特に、マネージドファイル転送攻撃、例えばGoAnywhereやMOVEitに対するものは、この新しいタイプの脅威を例示しています。これらの攻撃は、多くの業界にわたって機密データを露出させ、数百または数千の企業に同時に影響を与える可能性があります。組織は、ソフトウェアベンダーのセキュリティ慣行を見直し、これらの新たな脅威から保護するために強化されたサイバーセキュリティ対策を実施することを検討することが重要です。

IBMの2023年データ侵害コストレポートを通じた機密コンテンツ通信のプライバシーとコンプライアンスリスク

ビジネスパートナー/第三者攻撃

ソフトウェアサプライチェーンに関する発見に基づき、IBMのレポートは、第三者のビジネスパートナーもまた重要なデータ侵害リスクであることを発見しました:15%の組織がデータ侵害の原因としてそれらを特定しました。ビジネスパートナーのサプライチェーンの妥協は、データ侵害1件あたり平均4.76百万米ドルのコストを伴い、データ侵害の平均コストより11.8%高いです。IBMによると、その理由の一つは長い滞留時間です:ビジネスパートナーのサプライチェーンの妥協を特定するのに平均233日、封じ込めるのに74日かかりました。これは平均データ侵害より37日、または12.8%長いです。

これは確かにKiteworksの調査で報告した内容と一致しています。驚くべきことに、84%が、組織の第三者通信のリスク管理に少なくともいくらかの改善が必要であると述べました。4人に1人以上が、重大な改善が必要であると述べ、一部は完全な「やり直し」が必要であるとさえ言っています。

三つのコスト増幅要因とデータ侵害リスク

IBMのレポートは、データ侵害の世界平均コストが4.45百万ドルに達し、過去3年間で15%増加したことを示しています。Ponemon Instituteは、この平均コストに対するさまざまなコスト増幅要因の影響も調査しました。最高位と最低位のコスト増幅要因を持つ組織間で比較が行われ、準備と対応の異なるレベルがもたらす財務的影響についての洞察が提供されました。IBMのレポートによると、最大のコスト増幅要因は、セキュリティシステムの複雑さ、セキュリティスキルの不足、規制への非準拠でした。この発見は、Kiteworksのレポートが示した結論と一致しており、サイバー攻撃が62%の組織に財務的損害をもたらしたことを明らかにしています。

1. セキュリティシステムの複雑さとデータ侵害リスク

IBMのレポートによれば、セキュリティシステムの複雑さが高い組織は、リスクが高いとされています。セキュリティシステムの複雑さが低い、またはない組織は、平均データ侵害コストが3.84百万米ドルでした。対照的に、セキュリティシステムの複雑さが高いと認める組織は、平均コストが5.28百万米ドルであり、31.6%の差があります。

Kiteworksのレポートの発見は、機密コンテンツを送信および共有するために使用される通信ツールに関しても同様の発見を明らかにしました。調査の回答者の半数は、6つ以上のチャネルでコンテンツを共有していると述べました。これらの異なる通信ツールを管理することは非常に複雑であり、多数の第三者と機密コンテンツが変更されるために悪化しています。90%は1,000以上の第三者と機密コンテンツを共有し、44%は2,500以上の第三者と共有しています。さらに、85%の組織は、機密コンテンツ通信を追跡、制御、保護するために4つ以上のシステムを使用しています。ここでの教訓は、IBMのレポートが示すように、機密コンテンツ通信の複雑さがリスクを高めるということです。

2. サイバーセキュリティスキルとデータ侵害リスク

IBMのレポートは、セキュリティスキルの不足が高いレベルと低いレベルの間で1.58百万米ドル(34.6%)の差があることを示しています。セキュリティスキルの不足が高いレベルは、平均データ侵害コストより910,000米ドル高い5.36百万米ドルの平均コストをもたらしました。レポートは、スキル開発に投資し、十分な人員を確保したセキュリティチームを持つことが、データ侵害のコストを大幅に削減できることを示唆しています。

これらの発見は、スキル開発に投資し、十分な人員を確保したセキュリティチームを持つ必要性を明確に示唆しており、Kiteworksのレポートによってさらに支持されています。Kiteworksのレポートは、組織がセキュリティとコンプライアンスのリスクを測定および管理するのに苦労していることを詳述しており、主に不十分なガバナンスとセキュリティが原因であり、これはおそらく熟練した人材の不足に関連している可能性があります。

3. 規制コンプライアンスとデータ侵害リスク

デジタル世界はコンプライアンスの時代にしっかりと根付いています。これは、サイバーセキュリティ、デジタル著作権管理、および規制コンプライアンスの再考を要求します。IBMのレポートによれば、規制への非準拠が高い組織は、データ侵害の平均コストが5.05百万米ドルであり、規制への準拠が低い組織の4.01百万米ドルと比較して23%の差があります。

Kiteworksのレポートに移行すると、機密コンテンツ通信に関するリスクはデータ侵害に限定されるだけでなく、コンプライアンスにも大きく関わっていることを考慮することが重要です。多くの人がコンプライアンスを政府の規制と関連付けていますが、実際には、複数の管轄区域で事業を展開するグローバル企業は、そのような規制の広範な配列に従っています。しかし、コンプライアンス要件を定義するのは法律や規制だけではありません。PCI DSSのような、支払いカード取引を処理するエンティティに対する業界固有の義務も関与しています。

これらのコンプライアンス要件がすべて整っているため、監査の準備はリスク管理またはITセキュリティチームのカレンダーの定期的な部分となります。これらの監査は、サイバーインシデントの後にも行われ、失敗した監査がもたらす可能性のあるビジネスリスクを強化します。調査データは、機密コンテンツ通信のコンプライアンスリスク管理の状態を垣間見せ、回答者の約4分の1が、コンプライアンスリスクの測定または管理において改善が必要ないと認識していることを示しています。

侵害の特定

侵害の特定に関しては、40%が無害な第三者または外部者によって特定され、33%が内部チームとツールによって検出されました。興味深いことに、27%の侵害は攻撃者によって開示され、しばしばランサムウェア攻撃の一部として行われました。

攻撃者によって開示された侵害は、平均コストが5.23百万米ドルであり、内部セキュリティチームまたはツールによって特定された侵害の平均コスト4.30百万米ドルより19.5%または930,000米ドルの差がありました。組織のセキュリティチームとツールによって特定された侵害は、攻撃者によって開示されたインシデントよりも約1百万米ドル安く、かなり安価でした。この情報は、侵害の早期検出と緩和のための強力な内部セキュリティ対策の重要性を強調しています。

データの種類と侵害コスト

侵害されたデータの種類に関しては、顧客と従業員の個人識別情報(PII)が最も高価であり、それぞれ平均183米ドルと181米ドルのコストがかかりました。対照的に、最も安価なレコードタイプは匿名化された顧客データであり、組織に138米ドルのコストがかかりました。

顧客PIIを含む侵害の割合は、2022年の47%から2023年の52%に増加し、侵害された従業員PIIも2021年の26%から2023年の40%に増加しました。これは、より価値のあるデータタイプを狙っていることを示唆しており、企業がサイバーセキュリティ対策を強化する必要性をさらに強調しています。

IBMのレポートによって指摘されたリスクは、Kiteworksのレポートの発見によって確認されています。参加者の半数以上が、PII、PHI、および法的文書をトップ3に挙げました。地域の違いは、異なる規制上の懸念を反映しています。たとえば、GDPRや類似の法律が普及しているヨーロッパやアジア太平洋地域では、PIIが優先されています。HIPAAが重要なコンプライアンス要件である北米では、PHIに対する懸念がより高いです。興味深いことに、中東では知的財産(IP)がはるかに大きなリスクと見なされ、60%がトップ3にランク付けしています。

業界固有の変動も観察されましたが、ほとんどは予想されるか理解可能なものでした。金融サービス、高等教育、医療セクターでは法的文書に対する懸念が高く、法律事務所、専門サービス、製薬/ライフサイエンス企業ではM&Aが優先されました。地方政府では財務文書がより重要視され、エネルギーおよびユーティリティ企業や連邦政府機関ではPHIがより重要視されました。対照的に、医療セクターではPHIに対する懸念が少なく、すでに堅牢な保護対策が整っていると考えられます。

二つのレポートからの主要なポイントの整合

IBMの2023年データ侵害コストレポートの発見は、企業がデータとネットワークを保護する上で直面する継続的な課題を浮き彫りにしています。ソフトウェアサプライチェーン攻撃、セキュリティスキルの不足、システムの複雑さなどの要因が、データ侵害のコストに大きく影響しています。サイバー脅威が進化し続ける中、企業はサイバーセキュリティインフラと実践に投資し、どのような侵害シナリオにも効果的に対応できるようにすることが重要です。

IBMのレポートの発見をKiteworksの2023年機密コンテンツ通信プライバシーとコンプライアンスレポートと併せて読むと、興味深い洞察と教訓が浮かび上がります。個人のPIIとPHIデータがターゲットとなっており、そのデータを送信および共有するために使用される通信システムの複雑さが増すにつれて、リスクも増加します。IBMのレポートによれば、規制コンプライアンスの遵守がリスクに対してポジティブな影響を与えています。データプライバシーとサイバーセキュリティの規制が増加し、その複雑さが増す中、組織はリスクを管理するための適切な技術ツールを確保する必要があります。

機密コンテンツ通信のセキュリティとコンプライアンスリスクの管理において支援を求める組織は、Kiteworksプライベートコンテンツネットワークのカスタムデモをスケジュールすることができます。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks