2022年におけるデータ侵害のコストと機密コンテンツ通信
IBMとPonemon Instituteが発表した最新の年次「データ侵害コストレポート」によると、2022年にデータ侵害の平均コストが増加し、平均4.35百万ドルに達しました(2021年の4.24百万ドルから2.6%増加)。調査対象の組織の8割以上が、これまでに複数回の侵害を受けたことを認めています。しかし、これはあくまで平均コストであり、深刻な侵害から生じた数百万ドルの損失、ブランドの損害、さらには規制コンプライアンス違反に関する法的闘争を含む恐ろしい話も数多く存在します。もちろん、サプライチェーンへの攻撃は過去2年間でますます頻繁になり、データ侵害の潜在的なコストをさらに悪化させています。
データ侵害とは何ですか?
データ侵害とは、機密情報への不正アクセスまたは開示を指します。データ侵害は、機密性の高いコンテンツ通信が傍受されたり、データコンプライアンスが守られなかったり、データプライバシーが十分に保護されていない場合に発生することがあります。最も一般的なデータ侵害のタイプの一つは、メール通信を介して発生します。これは、中間者攻撃、フィッシング、アイデンティティ盗難、ビジネスメール詐欺、またはマルウェアを通じて第三者の攻撃者によって容易に傍受される可能性があります。
データ侵害は、意図的または偶発的なインサイダー脅威によっても発生することがあります。データの不適切な廃棄や機器の紛失または盗難も他の原因です。データ侵害の種類は、侵害されたデータとその取得方法によって異なります。機密性の高いコンテンツ通信には、クレジットカード番号、社会保障番号、銀行口座の詳細、その他の個人識別情報(PII)などの情報が含まれます。攻撃の頻度と成功した侵害に対応して、さまざまな政府および業界団体がデータプライバシー法および規制を制定しています。これらのデータプライバシー法および規制の例には、医療保険の相互運用性と説明責任に関する法律(HIPAA)、一般データ保護規則(GDPR)、2018年データ保護法、およびカリフォルニア州消費者プライバシー法(CCPA)が含まれます。
個人にとって、データプライバシーは自分の個人データへのアクセス権を誰が持ち、何をすることができるかを決定する権利です。組織は、顧客、従業員、パートナーのプライベートデータが保護されていることを示す不変の監査ログを示すために、適切な制御と追跡を確保する必要があります。データプライバシーは、製薬会社の臨床研究データ、製造業者のスケジュールと生産計画、テクノロジー企業のソフトウェアコードと市場戦略計画、小売業者のサプライチェーンの詳細と物流の詳細など、組織がビジネスを運営するために使用する情報にも及びます。
組織は、機密性の高いコンテンツ通信を暗号化し、許可された当事者のみがアクセス、送信、共有、修正できるようにすることで保護する必要があります。メール、ファイル共有、ウェブフォーム、マネージドファイル転送、およびアプリケーションプログラミングインターフェース(API)を介して送信される機密性の高いコンテンツは、転送中および保存中の両方で保護される必要があります。たとえば、転送中のプライベート情報を含むメールは、送信時に暗号化され、保存時にもそのままの状態である必要があります。さらに、紛失または盗難された機器に機密性の高いコンテンツ通信が含まれている場合、組織はこれらのデバイスが他の場所で再利用される前にリモートで消去されることを確保し、他のソースからのプライベート情報の漏洩を防ぐ必要があります。
データ侵害のコストとは何ですか?
データ侵害のコストと頻度が増加しているため、機密性の高いコンテンツ通信を保護するための計画を立てることがこれまで以上に重要です。IBMとPonemon Instituteのレポートによると、顧客または従業員の記録などの重要な情報が、損失または盗難のリスクが最も高く、すべてのセキュリティインシデントの89%がそれに関与しています。さらに、報告されたインシデントの60%は、少なくとも一部の重要な情報の損失または盗難を引き起こしました。同時に、データ侵害を受けた組織の60%が侵害により価格を引き上げたことが明らかになりました。これは通常の状況下でも問題ですが、すでに急騰しているインフレーションとサプライチェーンの問題を考慮すると、さらに問題です。
これらの統計は十分に警戒すべきものですが、ダウンタイム、運用の中断、コンプライアンスの問題に関連するコストは含まれていません。機密性の高いコンテンツ通信に対しては、エンドツーエンドの暗号化、強化されたアプライアンス、多要素認証などを含む多層防御アプローチを備えた統合プラットフォームが非常に重要です。メール、ファイル共有、SFTP、SMTP、MFT、ウェブフォーム、APIを1つのプラットフォームから管理することで、各通信チャネルに標準ポリシーを導入し、強制することができ、各サイロにビジュアルを作成する必要がなくなります。これは、IT、セキュリティ、コンプライアンスのスタッフを採用し維持するのにすでに手一杯の組織にとって難しいことです。
データ侵害はどのくらい一般的ですか?
データ侵害はますます一般的になっています。昨年だけで60億件の記録が侵害され、企業が顧客に関するデータを収集し続ける中、この数は時間とともに着実に増加すると予想されています。組織は、サイバーセキュリティ対策を検討する際にこれらの数字を考慮に入れるべきです。適切に行われない場合、潜在的なデータ侵害が以前よりもはるかに多くの費用をかける可能性があるためです。データ侵害は、収益の減少や訴訟など、多くの問題を引き起こす可能性があります。データ侵害が定期的に発生し続け、減少の兆しが見られない中、組織ができる最善のことは、システムの脆弱性がどこにあるかを分析するために一歩下がって自分たちを守ることです。
データ侵害の背後にいるのは誰ですか?
サイバー犯罪者による機密情報の盗難の試みや、悪意のある国家による機密情報の取得の試みが絶えず行われているため、組織がデータを安全に保つことは、変化し続けるデジタル環境でますます困難になっています。データ侵害を回避するために、組織が取ることができる予防策は数多くあります。サイバー犯罪者、または悪意のある行為者は、さまざまなリスクレベルで活動しています。中にはランサムウェアを作成し、被害者から金銭を要求する者もいれば、収集した個人データをブラックマーケットで販売したり、収集した情報を被害者に返すために身代金を要求する者もいます。悪意のある国家も、民間企業や政府機関から機密情報を盗むことで非難されています。
データ侵害がデータプライバシーとコンプライアンスに与える影響
データ侵害は組織にコンプライアンスの課題をもたらしますが、その複雑さは近年、政府および産業の規制機関が悪意のあるサイバー犯罪者や悪意のある国家からプライベートデータを保護するために新しいコンプライアンス規制を導入するにつれて増しています。その結果、組織がデータを保護し、関連するすべての規制に準拠していることを確認することがこれまで以上に重要になっています。サイバーセキュリティリスク管理アプローチは重要な出発点です。機密性の高いコンテンツ通信に対して、組織は脅威を特定、制御、軽減、バランスを取るための適切な実践を持っている必要があります。包括的なサイバーセキュリティリスク管理モデルには、プライベート情報にアクセスできる人、変更できる人、変更が行われたときに通知される人、送信または共有できる人を制御することが含まれている必要があります。これらのデータプライバシーポリシーは中央で実施および管理され、組織がHIPAA、GDPR、CCPA、2018年データ保護法などの規制に準拠していることを示すことができるようにする必要があります。
データ侵害のコストが業界セグメントや地域によって異なる理由
データ侵害は、さまざまな業界セグメントにわたって組織に数百万ドルのコストをかける可能性があります。IBMとPonemon Instituteによると、業界によって、紛失または盗難された記録1件あたりの平均コストは、148ドル(医療)から258ドル(製造)までの範囲です。
医療の侵害コストは12年連続で他のすべての業界を上回り、2022年には1件あたり1,000万ドルに増加しました。これは2020年比で41.6%の増加です。次に金融サービス企業が1件あたり597万ドル、製薬が501万ドル、テクノロジーが497万ドル、エネルギーが472万ドルと続きます。
医療と金融サービスが最も厳しく規制されている2つの業界であることは、コストの高さに関連している可能性があります。つまり、可視性の向上と罰金やペナルティの増加が侵害コストの増加に繋がっています。特に第三者との機密性の高いコンテンツ通信において、医療と金融機関は、第三者コンテンツ通信リスクに対して十分に準備ができていないと考えており、金融企業の半数と医療組織の45.5%が十分に保護されていると考えています。
データ侵害コストに関しては、米国が9.44百万ドルで国別リストのトップに立ち、中東が7.46百万ドル、カナダが5.64百万ドル、英国が5.05百万ドル、ドイツが4.85百万ドルと続きます。ブラジルは2022年に驚くべき増加を経験し、前年の1.08百万ドルから1.38百万ドルに27.8%増加しました。
上記のニュースにもかかわらず、企業が潜在的なサイバー攻撃に備え、リスクエクスポージャーを大幅に削減する方法があります。これは、改善されたサイバーセキュリティ対策を通じて積極的に、また迅速なインシデント検出と対応時間を通じて受動的に行うことができます。機密性の高いコンテンツ通信の保護には、セキュリティ情報イベント管理(SIEM)やセキュリティオーケストレーション、自動化、対応(SOAR)システムなどの積極的なインシデント検出と対応ソリューションにツールを統合する必要があります。データ侵害がブランドに与える影響は、特定の業界セグメントにおいてより大きな影響を与える可能性があります。たとえば、小売業者は、データ侵害が顧客の忠誠心と信頼にどのように影響するか、企業の評判、長期的な財務パフォーマンス、株価などの他の要因を予測する必要があります。業界に関係なく、データ侵害に迅速に対応する能力は、企業が迅速に回復するか、修復不可能な損害を受けるかを決定するのに役立ちます。
なぜプライベートコンテンツネットワークが機密データ保護の鍵なのか
データ侵害のコストが上昇し続ける中、機密性の高いコンテンツ通信を保護するためにプライベートコンテンツネットワークを導入することがこれまで以上に重要です。プライベートコンテンツネットワークは、中央集権的なガバナンス、コンプライアンス、セキュリティを提供することで、非構造化データ侵害の可能性を軽減します。これにより、データが安全であること、コンプライアンス規制に違反していないことを確信できます。データ侵害の修復コストは増加し続けており、機密性の高いコンテンツ通信に関連する非構造化データ侵害を軽減することがますます重要になっています。
Kiteworksプラットフォームは、顧客がプライベートコンテンツネットワークを作成し、PII、財務記録、重要な知的財産、プライベートな法的情報などの機密データを統合、制御、追跡、保護できるようにします。Kiteworksは、組織がすべてのデジタルコンテンツ通信を管理する独自のセキュリティおよびコンプライアンスポリシーを確立し、強制することを可能にします。これにより、プライベートコンテンツ通信に関連する監査ログをコンプライアンス規制のために生成し、FedRAMP認定や情報セキュリティ登録評価者プログラム(IRAP)などの業界標準を満たすソリューションを求める顧客に対して規制コンプライアンスを示すことも可能にします。
Kiteworks対応のプライベートコンテンツネットワークがどのようにして組織のデータ侵害リスクを軽減するのに役立つかを知るために、カスタムデモを今すぐスケジュールしてください。