IBMが最近発表した2023年版の「データ侵害のコストに関する調査」(日本語版)によると、データが侵害された場合に今年組織が負担した平均コストは445万ドルに達しています。これは驚異的な金額ですが、その内訳はどのようになっているでしょうか? また、単に「被害者にならないように対策を講ずる」という一般的な教訓の他に、何を学ぶべきなのでしょうか?
起点となった攻撃経路が平均コストにどのような影響を与えているのかを見ていきましょう。同レポートによると、フィッシングが起点になったデータ侵害のコストは平均で476万ドルと、さらに高額になっています。本レポートで調査されたケースの16%でフィッシングが初回攻撃経路となっており、攻撃の起点としても最多となっています。
出典:IBM
初回攻撃経路と、問題を修復するまでのコストにどのような関係があるのか、不思議に思われる方もいるかもしれません。IBMは、平均的な侵害を特定するまでに204日間、封じ込めるまでに73日間で合計277日を要することを明らかにしています。フィッシングが攻撃が含まれる場合は、特定するまでに217日間、封じ込めるまでに76日と、どちらの期間もさらに長くなっています。フィッシング攻撃の大半はクレデンシャル・ハーベスティング(認証情報の窃取)を主な目的としていることから、この原因の一部は、正規の認証情報が悪用されることだと考えられます。同レポートによると、窃取あるいは漏洩した認証情報が初回攻撃経路と考えられる場合、特定や封じ込めまでの期間はさらに長くなり、それぞれ240日と88日となっています。認証情報を窃取するために複数の攻撃が実行されており、その方法を正確には把握できていませんが、このレポートの情報をそのままお伝えしています。
しかし、フィッシングによってデータ侵害のコストが増加する理由は他にもあります。データ侵害のコストに影響を与える可能性のある27のセキュリティ対策と要因のうち、2位となったのはセキュリティ意識向上トレーニングでした。これらのトレーニングによって、データ侵害のコストは平均で23万2000ドル削減されています。これは、最も高い効果があり、平均24万9000ドルのコストを削減しているDevSecOpsアプローチの使用に次いで第2位となっています。このブログでも何度もお伝えしていますが、セキュリティ意識向上トレーニングはフィッシング攻撃を無力化する最も効果的な方法です。
データ侵害の平均コストは445万ドルでしたが、従業員トレーニングの影響を見ていくと、成熟したセキュリティ意識向上トレーニングを実施している組織ではデータ侵害の平均コストは368万ドルであったのに対し、トレーニングをほとんど実施していない組織の平均コストは518万ドルになっています。
IBMが公開したデータからも明らかになったように、フィッシング攻撃を受けた場合、データ侵害への対応コストは増大します。セキュリティ意識向上トレーニングを実施することで、攻撃を受けるリスクを大幅に軽減できるだけでなく、万が一、トレーニングを実施しているにもかかわらず攻撃が成功した場合でも、その影響も軽減することが可能になります。
原典:Stu Sjouwerman著 2023年8月23日発信 https://blog.knowbe4.com/phishing-tops-most-costly-data-breaches
