日本IBMは9月2日、「2025年データ侵害のコストに関する調査レポート」の日本語版を発表した。レポートにおけるAIセキュリティと漏洩、漏洩の財務的コスト、業務中断に関する主な調査結果の概要は以下のとおり。
■セキュリティ侵害とAI時代
◎AIガバナンス・ポリシー:データ侵害を受けた組織の63%は、AIガバナンス・ポリシーを保有していないか、またはポリシーの策定中だった。AIガバナンス・ポリシーを既に導入している組織のうち、非承認AIに関する定期的な監査を実施しているのはわずか34%だった。
◎シャドーAIのコスト:5つに1つの組織がシャドーAIによるデータ侵害を報告しており、AIの管理やシャドーAIの検出に関するポリシーを保有しているのはわずか37%だった。シャドーAIを高い割合で利用した組織は、シャドーAIを一部または全く利用していない組織に比べて、平均67万ドルの高いデータ侵害コストを負担。シャドーAIに関連するセキュリティ・インシデントでは、個人識別情報(65%)と知的財産(40%)の漏洩率が、世界平均(それぞれ53%と33%)を上回っている。
◎AIを活用したより高度な攻撃:調査対象のセキュリティ侵害の16%で、攻撃者がAIツールを使用しており、主にフィッシングやディープフェイクによるなりすまし攻撃に利用されていた。
■セキュリティ侵害の経済的コスト
◎データ侵害コスト:世界平均のデータ侵害コストは444万ドルに低下し、5年ぶりの減少、日本の平均コストは5億5000万円(365万ドル)に低下し、8年ぶりに減少した。一方、米国の平均侵害コストは記録的な1022万ドルに達した。
◎データ侵害のライフサイクル:世界のデータ侵害の平均ライフサイクル(漏洩の検出と封じ込めに要する平均時間、復旧サービスを含む)は241日に短縮され、前年比で17日減少した。これは、調査対象の組織が内部で漏洩を検出するケースが増加したため。内部で漏洩を検出した組織は、攻撃者によって開示された場合と比較して、侵害コストを90万ドル削減した。日本では、データ侵害の平均ライフサイクルは217日に短縮され、前年比で47日減少した。
◎医療業界への侵害:医療業界は、世界の調査対象の全業界中で最も高額な742万ドルの侵害を受けた。医療業界では2024年と比較して235万ドルのコスト削減が見られたが、依然として最も高額。医療業界への侵害は、特定と封じ込めに要する時間が最も長く、279日(世界平均の241日より5週間以上長い)となっている。日本では、エネルギー業界の侵害が最も高額な7億8400万円となった。
◎身代金支払いの疲労:昨年、組織が身代金要求に抵抗し、支払いを拒否する割合は前年比で増加(59%→63%)した。組織が身代金支払いを拒否する傾向が高まる中、身代金要求やランサムウェア攻撃の平均コストは依然として高額で、特に攻撃者が開示した場合(508万ドル)は特に高くなっている。
◎セキュリティ投資が停滞:侵害後にセキュリティ投資を計画する組織の数は大幅に減少しており、2025年は49%に対し、2024年は63%だった。侵害後にセキュリティ投資を計画する組織のうち、AI駆動型セキュリティ・ソリューションやサービスに焦点を当てると回答したのは半数未満だった。
■データ侵害の長期的な影響:業務中断
調査対象のほぼすべての組織が、データ侵害後に業務中断を経験した。このレベルの業務中断は復旧期間に深刻な影響を及ぼしている。復旧を報告した組織のほとんどは、復旧に平均で100日以上を要した。
しかし、データ侵害の影響は封じ込めを超えて継続している。前年比では減少したものの、約半数の組織がデータ侵害を理由に商品やサービスの価格を引き上げる計画であると報告し、約3分の1が15%以上の値上げを報告している。
関連リンク