2023年にオーストラリアの組織がデータ侵害のリスクをこれまで以上に意識しているのには、十分な理由があります。近年、上級ITプロフェッショナルや多くの一般のオーストラリア人は、大手地元通信プロバイダーのOptusや大手健康保険会社Medibankへの衝撃的なハッキングなど、注目を集めた事件を数多く目撃しています。
企業もコストへの意識を高めています。IBMの「データ漏洩コストレポート2023」によると、オーストラリアにおけるデータ漏洩の平均コストは5年間で32%増加し、403万豪ドル(257万米ドル)に達しています。この増加を牽引しているのは金融サービスセクターで、平均漏洩コストは556万豪ドル(355万米ドル)となっています。続いてテクノロジーセクターと教育セクターがそれぞれ506万豪ドル(323万米ドル)、461万豪ドル(294万米ドル)となっています。
データ侵害インシデントのリスクが高まる中、IT リーダーは、DevSecOps の実装、AI と自動化の活用、インシデント対応の計画とテストの優先順位付け、データ侵害の検出の効率化、最悪の事態に備えて適切なサイバーセキュリティ保険の加入などにより、データ侵害のコストを最小限に抑えることができます。
ジャンプ先:
- 2023 年のオーストラリアのデータ侵害の状況はどうなるでしょうか?
- オーストラリアではデータ漏洩のコストはどのくらい上昇しているのでしょうか?
- データ侵害によりどのようなコストが発生すると予想されますか?
- オーストラリア企業はどのようにしてデータ漏洩のコストを最小限に抑えることができるでしょうか?
- データ漏洩コスト削減への積極的なアプローチ
2023 年のオーストラリアのデータ侵害の状況はどうなるでしょうか?
近年、オーストラリアでは大規模なデータ侵害がニュースの見出しを飾っている。
2022年9月、オーストラリアの通信事業者オプタスがハッキングを受け、サイバー犯罪者によって980万人の個人情報(身分証明書を含む)が盗まれました。この事件は、オーストラリアがサイバー犯罪の脅威に目覚めたきっかけとなったと多くの人が主張しています。国民の大部分に影響を与えたこの事件により、オプタスは集団訴訟の対象となり、市場調査会社ロイ・モーガンはオプタスをオーストラリアで最も信頼されていないブランドと評価しました。
同年、地元の大手医療保険会社メディバンクへの攻撃が、同様に注目を集めました。この攻撃により、ハッカーはメディバンクの既存および過去の顧客970万人分の個人情報をダークウェブ上に流出させました。最近の情報漏洩としては、2023年3月に金融サービス会社ラティテュード・ファイナンシャルが攻撃を受け、オーストラリア史上最大のデータ漏洩が発生し、過去および現在の顧客1400万人分の個人情報が流出しました。
参照: データ侵害が医療業界にどのような影響を与えているかについて詳しくご覧ください。
オーストラリア情報コミッショナー事務局が2023年9月に発表したオーストラリアのデータ漏洩通知制度に関する報告書によると、2023年1月から6月にかけて409件のデータ漏洩通知があったことが明らかになりました。この期間にはオーストラリア最大のデータ漏洩が発生し、月間データ漏洩件数も最多となった3月の100件の通知があったにもかかわらず、前6か月比で16%減少しました。漏洩の大部分(70%)は悪意のある攻撃または犯罪行為によるものでした。人為的ミスによる通知は107件で、そのうち46%はメールが誤った宛先に送信されたことが原因でした。
国家データ漏洩対策はオーストラリアで活動する外国の組織を対象としていないため、オーストラリアの顧客に対する漏洩の実際の影響ははるかに大きくなる可能性があります。
オーストラリアではデータ漏洩のコストはどのくらい上昇しているのでしょうか?
オーストラリアでは、データ漏洩コストが過去5年間で32%増加し、403万豪ドル(257万米ドル)に達しました。Ponemon Instituteが実施したIBMの2023年調査レポートによると、検知およびエスカレーションコストは168万豪ドル(107万米ドル)に達しており、これはオーストラリア国内の漏洩コストの中で最も高い割合を占めており、より複雑な漏洩調査への移行が示唆されています。
侵害されたデータは、複数の環境にまたがって保存されていることが最も多く(32%)、次いでプライベートクラウド(28%)、オンプレミス(21%)でした。最も多かった2つの攻撃タイプは、フィッシング詐欺(22%以上)と、盗難または侵害された認証情報(17%以上)でした。
Optus、Medibank、Latitude Financialのような大規模データ漏洩は比較的まれですが、平均的なデータ漏洩コストよりもはるかに高額です。IBMのレポートによると、世界全体で100万件から1,000万件のレコードが漏洩した場合のコストは約3,600万米ドル、1,000万件から2,000万件のレコードが漏洩した場合のコストは最大1億6,600万米ドルに達する可能性があります。
オーストラリアは、データ漏洩コストのランキングで世界13位に位置しています。IBMの調査によると、データ漏洩の世界平均コストは過去最高の445万米ドルに達しました。この平均コストは2020年の386万米ドルから15.3%増加しており、米国の平均データ漏洩コストは948万米ドルと最も高く、次いで中東(807万米ドル)、カナダ(513万米ドル)となっています。データ漏洩に関連するレコード1件あたりの平均コストは、2020年の146米ドルから現在は165米ドルに上昇しています。
データ侵害によりどのようなコストが発生すると予想されますか?
データ侵害に伴う即時および長期的な総コストを見積もることは困難です。IBMは、実際のデータ侵害に関する広範な調査に基づき、データ侵害ライフサイクルの一般的な4つの段階に沿ってコストを分類する活動基準原価計算(ABC)アプローチを採用しています。これらの段階には、検知とエスカレーション、通知、侵害後の対応、そしてビジネス損失が含まれます。
- 検出とエスカレーション:これらのコストには、調査活動、評価および監査サービス、危機管理、経営陣や取締役会へのコミュニケーションが含まれます。
- 通知活動:規制要件の決定、規制当局とのコミュニケーション、専門家の関与、コミュニケーションがこのフェーズでのコストです。
- 侵害後の対応:ヘルプデスク、信用監視および個人情報保護サービス、新規アカウントまたはクレジットカードの発行、訴訟費用、製品割引および罰金。
- 失われたビジネス:これらのコストには、顧客の喪失を最小限に抑える試み、新規顧客獲得コスト、継続的な評判の失墜、信用の低下などが含まれます。
2022年のオプタスとメディバンクのデータ侵害事件を受けて、オーストラリアは新たなプライバシー法改正を導入しました。この改正により、将来的にデータ侵害のコストが上昇する可能性があります。顧客データの適切な管理を怠った組織を対象としたこのプライバシー法改正(執行およびその他の措置)法案は、深刻なプライバシー侵害または反復的なプライバシー侵害に対する罰金の上限を222万豪ドルから5,000万豪ドルに引き上げました。
オーストラリア企業はどのようにしてデータ漏洩のコストを最小限に抑えることができるでしょうか?
IT リーダーとビジネス リーダーが行う決定、およびデータとセキュリティに関して展開する戦略は、データ侵害が発生した場合に支払うコストに大きな影響を与える可能性があります (図 A )。
図A
組織内に適切なサイバーセキュリティスキルを保有すること、あるいは外部パートナーから専門知識を得ることは、データ漏洩コストの削減にも役立ちます。IBMのレポートでは、組織内に潜む、漏洩コストを削減する可能性のあるいくつかの要因が特定されています。一方で、これらの要因を未実施のままにしておくと、漏洩コストが増加する可能性があります。
DevSecOpsの導入を加速
DevSecOpsの導入率が高い組織は、世界中で発生したデータ侵害の際に最も大きなコスト削減効果を発揮しました。DevSecOpsはソフトウェア開発プロセスの一環としてセキュリティテストを重視しているため、DevSecOpsの導入率が高い組織は、導入率が低い組織や全く導入していない組織と比較して、168万米ドルのコスト削減を実現しました。
侵害ライフサイクルの短縮を目指す
コストを最小限に抑えたい組織は、侵害ライフサイクルを短くすることを目指すべきです。インシデントの解決にかかる時間は、財務への影響に大きく影響するからです。特定と封じ込めに要した時間が200日未満の侵害は組織に393万ドルの損害を与えましたが、200日を超える侵害は495万ドルの損害を与えました。この差は23%です。
参照: 転送中のデータを保護することでデータ漏洩を回避する方法。
セキュリティAIと自動化を導入
AIと自動化は、侵害の特定と封じ込めのスピードに最も大きな影響を与えました。IBMの調査によると、サイバー脅威への対策としてセキュリティAIと自動化を活用していないオーストラリアの組織は、これらのテクノロジーを広範囲に導入している組織と比較して、侵害によるコストが平均214万豪ドルも高かったことがわかりました。
インシデント対応計画の優先順位付け
コスト削減は、IR計画とテストのレベルが高い組織で達成されました。IR計画とテストのレベルが高い組織は、低い組織と比較して149万米ドルの節約を達成しました。IBMのレポートでは、IR計画とテストはデータ侵害のコストを抑制する上で非常に効果的な戦術であることが示されました。
警察を呼ぶ
特に、ランサムウェアインシデントにおいて法執行機関の介入を除外すると、データ侵害による最終的なコストが増大する可能性があります。IBMの調査結果によると、回答者の63%がランサムウェアインシデントに法執行機関を介入させたと回答しましたが、介入しなかった37%は、介入した金額が9.6%増加し、侵害ライフサイクルが33日間長くなりました。
サイバー保険への投資を検討する
サイバー保険は、サイバーセキュリティの成熟度や準備態勢の代替にはなりませんが、フォレンジック調査、データ復旧、顧客への通知と是正、そして政府規制当局による罰金の補償など、データ侵害インシデント発生時の費用を直接的にカバーするのに役立ちます。しかしながら、オーストラリア保険協会によると、2022年時点で大規模企業のうち、単独のサイバー保険に加入していたのはわずか35~70%でした。
データ漏洩コスト削減への積極的なアプローチ
IBMの「2023年データ漏洩コストレポート」で興味深い発見がありました。世界中でデータ漏洩を経験した組織のうち、その結果としてサイバーセキュリティへの投資を増やす予定があると回答したのはわずか51%でした。実際、データ漏洩のコストは最終的に組織の顧客に転嫁される可能性が高いでしょう。回答者の57%が、データ漏洩がその後のビジネスサービスの価格上昇につながったと回答しています。
オーストラリアのITリーダーにとって、ブランドや評判への影響を含め、データ侵害によるコストを最小限に抑える最も明白な方法は、侵害の発生を未然に防ぐことです。成熟したサイバーセキュリティ体制を備えた組織は、攻撃を未然に防ぐ、あるいは早期に発見できる可能性が最も高いことは間違いありません。しかし、成熟した組織であっても油断はできません。IBMが調査した攻撃のうち、組織内のチームやツールによって特定されたのはわずか3分の1に過ぎませんでした。
