日本企業は「狙い目」か　インシデント対応コストが7年で2倍に――IBMが調査結果を発表：対応コストを6割削減した事例も

セキュリティ対応コストの世界平均が横ばいの中で日本のコスト上昇率が目立って高い。今後も増加が見込まれるが、セキュリティの自動化によって大きな削減も可能であるという。

　2020年8月25日、日本アイ・ビー・エム（以下、日本IBM)は「情報漏えい時に発生するコストに関する調査レポート2020」を発表した。世界的に企業を狙った国家絡みのサイバー攻撃が増加し、特に日本は対応コストの増大が著しいこと、情報漏えいの被害にあうデータの多くが顧客の個人情報にあり、テレワークの普及によって対応コストが増大する見通しであることを発表した。

調査結果概要（出典：日本IBM）

　同調査は、17の国と地域にある17業種を対象に、2019年8月から2020年4月にかけて発生した524件のセキュリティインシデントについて実施したもの。回答者数は3200人となる。

漏えい情報の80％は「顧客の個人情報」

　日本IBM執行役員でセキュリティー事業本部長を務める纐纈正次氏によれば、現在サイバー攻撃の標準的なツールとして利用されているのはランサムウェアである。フィッシングやシステムの脆弱（ぜいじゃく）性を突いた攻撃で組織のシステムに潜入し、データを暗号化して身代金を要求する。被害者が支払いに応じない場合は、データの完全な破壊や機密情報の流出などを示唆して脅迫する。

　纐纈氏は「かつてランサムウェアは個人を標的にしたものが多く、被害者が要求される身代金はそれほど高額ではなかった。しかし最近は企業を対象とし、数千万円もの金額を請求する攻撃が増加している。昨今の情報管理に関するコンプライアンスの高まりを受け、攻撃者もそれを狙って高額の要求をしてくる」と述べる。

　同氏によれば、昨今のサイバー攻撃で目立つのが、国家絡みの犯罪者集団による企業を狙った攻撃の増加だ。数年にわたって潜伏してから攻撃を成功させる例もあるという。一方で「アノニマスなどのハックティビストからの攻撃は減少傾向にある」（同氏）。

　調査によれば、サイバー攻撃によって情報が漏えいしたケースの80%に顧客の個人情報が関連していた。漏えいの52%は悪意のある攻撃によって発生しており、そのうち53%が金銭目的で実行されていた。

「機会損失」によるコストが大、CISOは「最終責任は負うが意思決定権はない」状況も

　企業のサイバー攻撃対策として支払うコストには、以下の4つがある。