データ侵害の平均被害額、490万ドルに急増=身代金支払額も記録更新、7500万ドルに
IBMとZscalerがそれぞれサイバーセキュリティに関するレポートを発表した。そこからうかがえるのは、データ侵害とランサムウェア攻撃による財務への影響が増大しているという厳しい状況だ。IBMの調査では、データ侵害への対応にかかるコストが2024年は世界平均で490万ドルに達したこと、Zscalerのレポートでは、ランサムウェア攻撃に対する身代金の支払額が2023年は総額10億ドルを超え、あるケースでは1件の身代金としては過去最高の7,500万ドルが支払われたことが明らかになっている。
IBMの年次レポート「データ侵害のコストに関する調査レポート」によると、データ侵害のコストは世界平均で前年比10%増加。パンデミック以降では最大の上昇幅となった。侵害された企業等の70%で「大きな」または「非常に大きな」混乱が発生したという。
コストが急増しているのは、事業機会の損失(運用停止や顧客の喪失)と、侵害を受けた後の対応(運用停止やカスタマーサービスの人員確保、規制当局による罰金など)によるものだ。両者の平均コストを合わせた額は、過去6年間で最高の280万ドルに達している。
最も被害額が大きい攻撃ベクトルは悪意のある内部関係者による攻撃で、侵害あたりの平均被害額は500万ドル近くに上る。そのほかにも、ビジネスメールの侵害、フィッシング、ソーシャルエンジニアリング、認証情報の侵害で多額の損失が発生している。
「企業は、侵害を受けては封じ込め、副次的な影響に対応するという、絶え間ないサイクルに巻き込まれています」。IBM Securityのストラテジー&プロダクト・マネジメント担当バイスプレジデント、Kevin Skapinetz(ケビン・スカピネッツ)氏が述べている。「その中で、セキュリティ防御の強化に投資をしたり、侵害コストを消費者に転嫁したりすることも多くなっており、セキュリティが事業に伴う新たなコストになっています」
同レポートでは、17業種、16の国と地域で発生した侵害を分析している。侵害されたレコードの件数は、2,100件から113,000件と多岐にわたっている。
コストへの影響―AIと人材不足
IBMのレポートでは、深刻な人員不足に悩む企業が前年より26%増加したほか、侵害を受けた企業の半数以上が大きなスキルギャップに直面していることもわかった。この問題を抱えている企業では、セキュリティスタッフがそれほど不足していない、あるいは足りている企業と比較すると、データ侵害への対応コストが平均で176万ドル高くつく結果となっている。
一方で、生産性と効率を高めるために、5社に1社が何らかの形で生成AIセキュリティツールを使用していると答えている。
AIを活用したセキュリティ戦略は、侵害が財務に与える影響を軽減するのに有望だということもわかった。レポートによると、回答企業の3分の2が――前年より10%増えている――SOC(Security Operation Center)の業務全体にAIと自動化を導入している。
幅広い業務(攻撃対象領域の管理、レッドチーミング、ポスチャ管理など)にこうした技術を使用した結果、AIをまったく使用していない場合と比較して、侵害への対応コストを平均で220万ドル削減できているという。2024年の調査結果の中でも最大の削減だとIBMは指摘する。
「生成AIが急速に企業に浸透し、攻撃対象領域が拡大するなか、(セキュリティ)コストは遠からず持続不可能なものとなり、企業はセキュリティ対策と対応戦略の見直しを迫られることになるでしょう。先手を打つには、AIを活用した新たな防御策に投資するとともに、生成AIがもたらす新たなリスク、新たな機会に対応できるスキルを開発することです」とSkapinetz氏は述べている。
ランサムウェア攻撃の被害額が増大
Zscalerの「2024年版ThreatLabzランサムウェアレポート」では、ランサムウェア攻撃が前年から18%も増加したこと、ランサムウェア集団「Dark Angels」に対し、7,500万ドルという前代未聞の身代金が支払われたことがわかった。1社が支払った金額としては過去最高だ。この1回の支払いで、公表されている支払額の最高額は2倍近くに増加した。
調査は2023年4月から2024年4月までのランサムウェアによる脅威状況を分析したもので、この期間の攻撃には長時間のシステム停止や大幅なデータ損失を引き起こし、復旧に多額のコストを要したものも多い。2023年の身代金支払総額は10億ドルを超えたという。
脅迫型ランサムウェア攻撃も急増の一途をたどっている。データ漏洩サイトに掲載されている被害企業の数は、前年のレポートの数字から58%近く増えている。最も標的にされた業界は製造業で、653件の攻撃があった。他の業界と比較して倍以上の数だ。
「ランサムウェア対策は、2024年もCISOにとって最優先事項の1つになっています」。ZscalerのCSO(最高セキュリティ責任者)、Deepen Desai(ディープン・デサイ)氏が述べている。「RaaS(Ransomware as a Service)の利用が増えているほか、レガシーシステムへのゼロデイ攻撃が多数発生し、フィッシング攻撃が増加し、AIを利用した攻撃が台頭していることもあり、身代金の支払額は記録的なものとなりました」
Data breach average costs soar to $4.9M as one ransom payout hit record $75M
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
人工知能(AI) Jack Vaughan2024.11.29
生成AIが引き起こすデータエンジニアリングの変化
生成AIプロジェクトに取り組むデータエンジニアが直面…
-
人工知能(AI) Dan Meyer2024.11.28
米Broadcom、新製品「VeloRAIN」を発表=「VeloCloud SD-WAN」にAIを追加
Broadcomが進めている、VMwareのエッジ製…
-
IT Dan Meyer2024.10.30
米通信大手はエンタープライズ市場の競争に挑むのか=各社の取り組み
通信事業者から見たエンタープライズ分野のTAM(獲得…
-
セキュリティ Dan Meyer2024.10.23
SIEM市場が激変=CrowdStrikeはAI支援で備え
SIEM(シーム・Security Informat…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
IT Dan Meyer
Broadcomは「脅迫者」=米AT&Tが酷評
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点