c
2014 年情報漏えいのコストに関する調査:
グローバルな分析
IBM の依頼によるベンチマーク調査
実施:Ponemon Institute 社
2014 年 5 月
Ponemon Institute© 調査レポート
Ponemon Institute© 調査レポート Page 1 2014 年1情報漏えいのコストに関する調査:グローバルな分析 Ponemon Institute、2014 年 5 月 第1 部:はじめに IBM と Ponemon は、このたび第 9 回年次『情報漏えいのコストに関する調査:グローバルな分析』を 発表します。本調査では、参加企業における情報漏えいの平均総コストは 15%増加し、350 万ドルと なりました2。機密情報や社外秘情報が含まれる、紛失または盗難に遭ったレコード 1 件当たりに支払 われた平均コストは、本年の調査では2013 年の 136 ドルから 9%以上増加し、145 ドルとなりました。 本調査では、今後24 カ月間に企業で情報漏えいが 1 回以上発生する可能性に、初めて着目しました。 調査の参加企業の経験に基づき、紛失または盗難に遭ったレコードの件数と、企業の業種という 2 つ の要因から情報漏えいの確率を予測できると本調査では考えています。調査結果によると、10,000 件 以上のレコードの情報漏えいが生じる可能性が高いのはインドとブラジルの企業でした。一方、情報漏 えいが生じる可能性が最も低いのは、ドイツとオーストラリアの企業でした。いずれにおいても、企業は 100,000 件を超えるレコードの大規模な情報漏えいに遭う可能性よりも、10,000 件以下のレコードの 情報漏えいに遭う可能性の方が高くなっています。 本年の調査には、米国、英国、ドイツ、オーストラリア、フランス、ブラジル、日本、イタリア、インド、そし て初のアラブ地域(アラブ首長国連邦とサウジアラビア)から成る 10 カ国を代表する 314 の企業が参 加しました。参加企業はいずれも、被害レコード数が約2,415 件から 100,000 件強の情報漏えいを経 験しています3 。被害レコードとは、情報漏えいにおいて情報の紛失または盗難に遭った個人を特定す るレコードと定義しています。 調査結果から明らかなように、情報漏えいの 1 件当たりの平均コスト(10 カ国について集計し、米ドル に換算)は、国によって大きく異なります。これらのコストの差の多くは、企業が直面する攻撃や脅威の タイプ、さらにはデータ保護に関する各国の法規制に起因します。本年のグローバル調査では、情報 漏えいの 1 件当たりの平均コストは、136 ドルから 145 ドルへと増加しました。しかしながら、ドイツと 米国の企業では、それぞれ195 ドル、201 ドルと、平均してこれよりはるかに高いコストとなりました。 Ponemon Institute は、第 1 回「情報漏えいのコスト」に関する調査を 9 年前に米国で実施しました。 それ以来、英国、ドイツ、フランス、オーストラリア、インド、イタリア、日本、ブラジルと調査対象を広げ、 本年初めてアラブ首長国連邦とサウジアラビアを追加しました。この調査シリーズが始まってから現在 までに、このベンチマーク・プロセスに参加した企業や政府(公共部門)機関は1,279 を数えます。 前述のとおり、本年の調査では、16 業種、314 社の企業における、保護されていた個人データの紛失 または盗難後に発生したコストを調べています。注意すべき点は、この調査で明らかになったコストは 仮定のものではなく、実際の情報漏えいインシデントにより生じたコストであるということです。これらの 数値は、調査の対象企業の 1,690 人の個人に対して 10 カ月間にわたりインタビューを行った際に提 供された概算コストに基づいたものです。 最も顕著な国ごとの違いを以下に米ドルで示します。 最高/最低額の漏えい。情報漏えいのコストが最も高かったのは、ドイツと米国の企業でした(そ れぞれレコード1 件当たり 195 ドルと 201 ドル)。これらの国は、総コストも最も高い結果となりま した(米国が585 万ドル、ドイツが 474 万ドル)。情報漏えいのコストが最も低かったのは、ブラジ ルとインドでした(それぞれ70 ドルと 51 ドル)。企業の平均総コストは、ブラジルでは 161 万ドル、 インドでは137 万ドルでした。 1 本レポートでは初めて、フィールドワーク完了日ではなく発行年が振られています。本レポートで調査された情報漏えいインシ デントの大多数は、暦年2013 年に発生したものです。 2 現地通貨は米ドルに換算しています。 3 「漏えいしたレコード 1 件当たりのコスト」と「1 件当たりのコスト」は、本レポートでは同様の意味を持ちます。
情報漏えいの規模。レコード流出とレコード漏えいの件数が平均して最も多かったのは、米国とア ラブ地域の企業でした(それぞれ29,087 件と 28,690 件のレコード)。レコード漏えいの件数が平 均して最も少なかったのは、日本とイタリアの企業でした(それぞれ18,615 件と 19,034 件)。 情報漏えいの原因は国によって異なる。悪意のある攻撃または犯罪者による攻撃に遭う可能性 が最も高いのは、アラブ地域とドイツ、続いてフランスと日本の企業でした。システムの欠陥また はビジネス・プロセスの不具合が原因で情報漏えいに遭う可能性が最も高いのはインドの企業で、 人的ミスによって漏えいが生じる可能性が高いのは英国の企業でした。 最もコストの高い情報漏えいは、悪意のある攻撃または犯罪者による攻撃によるもの。総合的な 結果によると、最もコストの高い情報漏えいインシデントは、全10 カ国とも悪意のある攻撃または 犯罪者による攻撃によるものでした。情報漏えいインシデントが最も高額だったのは、米国とドイ ツの企業で、漏えいしたレコード 1 件当たりのコストはそれぞれ 246 ドルと 215 ドルでした。悪意 のある攻撃または犯罪者による攻撃による情報漏えいで、最もコストが低かったのはブラジルと インドで、それぞれ1 件当たり 77 ドルと 60 ドルでした。 情報漏えいのコスト引き下げ/引き上げ要因。強力なセキュリティー体制、インシデント対応プラ ン、CISO の任命により、レコード 1 件当たりのコストはそれぞれ 14.14 ドル、12.77 ドル、6.59 ド ル引き下げられました。コストを引き上げる要因となったのは、デバイスの紛失または盗難 (16.10 ドル増)、第三者が関与した漏えい(14.80 ドル増)、迅速な報告(10.45 ドル増)、コンサル タントへの依頼(2.10 ドル増)によるものでした。 事業継続性管理が情報漏えいのコストを引き下げ。本調査では初めて、事業継続性管理で情報 漏えいの是正措置に対応すると、漏えいレコード 1 件当たり平均 8.98 ドル、コストが引き下げら れることが明らかになりました。 情報漏えい後に顧客を最も多く失った国。情報漏えい後の顧客の異常解約率(流出率)が最も高 かったのは、フランスとイタリアでした。これに対して、異常解約率が最も低かったのはアラブ地域 とブラジルでした。 検出とエスカレーションへの支出が最大/最小だった国。情報漏えいの調査や評価などの検出 /エスカレーション活動に対する支出が平均して最も多かったのは、ドイツとフランスの企業でし た(それぞれ130 万ドルと 110 万ドル)。インドとアラブ地域の企業は、検出/エスカレーションに 対する支出が最も少なく、それぞれ320,763 ドルと 353,735 ドルでした。 報告への支出が最大/最小だった国。報告コストには、通常、連絡先データベースの作成で生じ る IT 業務、該当するすべての規制要件の照合、外部専門家の依頼や、情報漏えいの被害者に 確実に報告するためのそのほかの取り組みのコストが含まれます。この支出が平均して最大だっ たのは米国とドイツの企業でした(それぞれ 509,237 ドルと 317,635 ドル)。ブラジルとインドは、 報告コストが最小でした(それぞれ53,772 ドルと 19,841 ドル)。 自社が情報漏えいに遭う可能性。企業の機密情報や社外秘情報の潜在的リスクを理解するには、 企業が情報漏えいに遭う確率について理解することが役立つと考えました。このために、参加企 業のサンプルすべてを対象に、今後2 年間に重大な情報漏えいが発生する可能性について主観 的確率分布を外挿しました。その結果によると、10,000 件以上のレコードに影響が及ぶ重大な情 報漏えいの確率は、22%を超えています。全体を集計した結果に加え、情報漏えいの確率または 可能性は、国によって大きく異なることも明らかになりました。インドとブラジルは、推定発生率が 30%と最も高くなっている一方、ドイツの発生率は約 2%となっています。
Ponemon Institute© 調査レポート 3 情報漏えいのコストに関するFAQ 情報漏えいとはどのようなことですか。情報漏えいとは、個人の名前に加え、医療情報や金融資 産情報あるいはデビット・カードが、電子形式/紙形式を問わず、危険にさらされる事象のことと定 義されています。本調査では、情報漏えいの主な原因として、悪意のある攻撃や犯罪者による攻 撃、システムの欠陥、人的ミスの 3 つが特定されました。情報漏えいのコストは、原因や、情報漏 えい時に導入されていた防衛策によって異なります。 漏えいレコードとはどのようなものですか。Ponemon Institute は、レコードを情報漏えいにおいて 情報が紛失または盗難に遭った人(個人)を特定する情報として定義しています。たとえば、個人 の名前と、付随するクレジット・カード情報やそのほかの個人情報を含む小売企業のデータベース があります。あるいは、医療保険会社における契約者とその医師や支払情報に関するレコードで す。本年の調査では、これらのレコードが 1 件紛失または盗難に遭った場合に、企業に発生する 平均コストは145 ドルとなりました。 データの収集方法を教えてください。Ponemon Institute の調査員が、10 カ月間にわたり 1,690 件の聞き取り調査を行い、詳細な定性データを収集しました。2014 年の対象企業の募集は 2013 年1 月に開始し、聞き取り調査は 2014 年 3 月に完了しました。参加した 314 社の各社で、IT、コ ンプライアンス、情報セキュリティーの担当者と面談しました。いずれも、各社の情報漏えいとその 対応に要したコストについて詳しい方々です。プライバシー上の理由により、企業固有の情報は収 集していません。 情報漏えいのコストの計算方法を教えてください。情報漏えいの平均コストを計算するため、企業 が負担した直接経費と間接経費の両方の情報を収集しました。直接経費にはフォレンジック専門 家への依頼、ホットライン・サポートの外注、クレジット・カード利用の無料監視サービスの提供、製 品やサービスの将来的な割引などが含まれます。間接経費には内部調査や情報伝達のほか、顧 客解約率や顧客獲得率の低下などに起因する顧客流出から生じると推定される金額が含まれま す。 ベンチマーク調査とサーベイ調査の違いを教えてください。本調査では企業を分析の単位としてい ます。サーベイ調査では、分析の単位は個人です。今回の調査では 314 社の企業を募集しました。 情報漏えいの被害レコード数は、2,415 件から 102,000 件強に及びました。 情報漏えいの平均コストから何百万件というレコードの紛失または盗難が発生する大規模な情報 漏えいの財務的影響を計算することはできますか。本調査における情報漏えいの平均コストは、 壊滅的な情報漏えいや大規模な情報漏えいには適用されません。これらは、ほとんどの企業が経 験する典型的な情報漏えいではないためです。世界の企業を代表し、保護情報が紛失したり盗ま れたりした場合のコストの把握に役立つ調査結果を導くため、被害レコード数が約 100,000 件を 超える情報漏えいは除外されています。 毎年、同じ企業を追跡調査していますか。サンプル企業は毎年異なります。つまり、同じサンプル 企業を継続的に追跡しているわけではありません。整合性を保つため、業種、社員数、地理的な 営業範囲、情報漏えいの規模などの特性が類似した企業を募集しています。調査を開始した 2005 年から、世界各地の企業 1,279 社について情報漏えいを調査してきました。
第 2 部:主な調査結果 このセクションでは、今回の調査結果を詳しく説明します。各項目は次の順番で説明します。 情報漏えいコストの概要 情報漏えいの根本原因 情報漏えいコストに影響する要因 レコード漏えい件数の傾向と、顧客の流出や解約の傾向 情報漏えいコストの構成要因に見られる傾向 企業の情報漏えいが発生する確率 今回のレポートの対象国と、各国の凡例および通貨は次のとおりです。 表 1:国名と凡例 凡例 事例 通貨 オーストラリア AU 22 豪ドル ブラジル BZ 32 レアル フランス FR 27 ユーロ ドイツ DE 30 ユーロ インド IN 29 ルピー イタリア IT 23 ユーロ 日本 JP 26 円 アラブ首長国連邦とサウジアラビア AB 24 ディルハム/リヤル 英国 UK 40 ポンド 米国 US 61 ドル 情報漏えいコストの概要 レコード流出とレコード漏えいの件数。図 1 は、調査対象の 10 カ国の企業における情報漏えいの平 均発生件数を示したものです。図が示すように、レコードの紛失や盗難の平均数が最も大きいのは、 米国、アラブ地域、インドとなりました。 図 1:国別の情報漏えい平均発生件数 US AB IN DE UK BZ FR AU IT JP
Ponemon Institute© 調査レポート 5 情報漏えい 1 件当たりの平均コスト(2 年間の比較)。図 2 は、調査対象の 10 カ国における情報漏え い 1 件当たりの平均コストを米ドルで示したものです。図からわかるように、各国間には大きな違いが 見られます4。また、1 件当たりのコストのすべての国の平均は 145 ドルでしたが、アラブ地域を除く昨 年の平均コストは 136 ドルでした。1 件当たりのコストが最も高かったのは米国とドイツです(それぞれ 201 ドルおよび 195 ドル)。最も低かったのはインドとブラジルでした(それぞれ 51 ドルと 70 ドル)。 図 2:情報漏えいの 1 件当たりの平均コスト(2 年間の比較) 単位:米ドル 4 1 件当たりのコストは、情報漏えいの合計コストを情報漏えいの件数(レコードの紛失または盗難件数)で割ることによって求め られます。 US DE FR UK IT AU JP AB* BZ IN 1 件当たりのコスト(2013 年) 1 件当たりのコスト(2014 年) * 2013 年のデータなし
情報漏えいが企業に及ぼす平均コストは国ごとに異なる。図 3 は、本年度調査対象の 10 カ国におけ る情報漏えいの平均総コストです。図からわかるように、平均総コストが最も高かったのは米国の企業 (585 万ドル)で、次にドイツの企業(474 万ドル)となりました。非常に対照的なのはブラジルとインドの 企業です。それぞれ 161 万ドルおよび 137 万ドルと、最も低い平均コストを記録しました。 図 3:情報漏えいの平均総コスト(2 年間の比較) 単位:百万米ドル US DE FR UK AB* IT AU JP BZ IN 平均総コスト(2013 年) 平均総コスト(2014 年) * 2013 年のデータなし
Ponemon Institute© 調査レポート 7 情報漏えいコストが高くなる業種。図 4 は、すべての調査対象企業の 1 件当たりのコストを、業種別に 分類したものです。医療、教育、医薬品、金融サービスといった厳格な規制への準拠が求められる業 種では、1 件当たりの情報漏えいコストは全体平均の 145 ドルを大幅に上回っています。一方、公共 部門や小売といった業種の企業では、1 件当たりのコストが全体平均を下回っています。 図 4:1 件当たりの情報漏えいコスト(業種別) 対象:全企業(n=314) 医療 教育 医薬品 金融 通信 工業 消費財 プロフェッショナル・サービス エネルギー テクノロジー メディア サービス業 運輸 リサーチ 小売 公共部門 1 件当たりのコスト
情報漏えいの根本原因 国にかかわらず、情報漏えいの最も多い原因は悪意のある攻撃または犯罪者による攻撃である5。図 5 は、調査対象の 10 カ国のすべての企業における情報漏えいの主な根本原因をまとめたものです。 悪意のある攻撃または犯罪者による攻撃は漏えいインシデントの 42%を占めており、30%が社員また は契約社員の過失(人的ミス)、29%がIT プロセスとビジネス・プロセスの不具合を含むシステムの欠 陥とされています6 。 図 5:ベンチマーク対象企業における情報漏えいの根本原因の内訳 対象:全企業(n=314) 国にかかわらず、悪意のある攻撃のコストが最も高くなる。図 6 は、調査対象のすべての企業におけ る情報漏えいインシデントの 3 つの根本原因について、漏えい 1 件当たりのコストを比較したものです。 悪意のある攻撃または犯罪者による攻撃を原因とする情報漏えいの平均コストは、前年の 157 ドルか ら 159 ドルに上がっています。これはレコード漏えいの平均コスト 145 ドルはもちろん、システムの欠 陥と人的ミスが原因の場合の 1 件当たりの漏えいコスト(それぞれ 126 ドルおよび 117 ドル。前年は それぞれ 122 ドルと 117 ドル)を大きく上回る数字です。 図 6:情報漏えいの 1 件当たりのコスト(3 つの根本原因別) 対象:全調査企業(n=314) 単位:米ドル 5 内部関係者の過失とは、情報漏えいの事後調査を通して情報漏えいの原因と判断された個人の不注意のことです。悪意のあ る攻撃とは、ハッカーによる攻撃や、犯罪行為の認識がある内部関係者(社員、契約社員、そのほかの第三者)による攻撃のこ とです。 6 悪意のある攻撃または犯罪者による攻撃で最も多いのは、マルウェアへの感染、内部関係者の犯罪行為、フィッシング攻撃、 ソーシャル・エンジニアリング、SQL インジェクションなどです。 悪意のある攻撃または犯罪者による攻撃 システムの欠陥 人的ミス 悪意のある攻撃または犯罪者による攻撃 システムの欠陥 人的ミス
Ponemon Institute© 調査レポート 9 図 7 は、調査対象となった 10 カ国の企業における情報漏えいの根本原因を示したものです。アラブ地 域とドイツの企業では、悪意のある攻撃または犯罪者による攻撃が、発生した漏えいの 50%を占めて いました。これとは対照的に、インドとブラジルの企業では、攻撃を原因とする情報漏えいの割合が最 も小さくなりました。インドの企業で最も多かったのは、システムの欠陥またはビジネス・プロセスの不 具合を原因とする情報漏えいでした。 図 7:ベンチマーク対象企業における情報漏えいの根本原因の内訳 AB DE FR JP AU US UK IT BZ IN 悪意のある攻撃または犯罪者による攻撃 システムの欠陥 人的ミス
図 8 は、各国の企業における情報漏えい 1 件当たりのコストを、3 つの根本原因ごとにまとめたもので す。悪意のある攻撃または犯罪者による攻撃による情報漏えいのコストが、システムの欠陥または人 的ミスによる漏えいよりも高くなっている点では、すべての国が共通しています。一方、各国の企業ごと に大きく異なる点もあります。たとえば、悪意のある攻撃または犯罪者による攻撃で漏えいしたレコード 1 件当たりのコストは、米国では 246 ドルですが、インドはわずか 60 ドルとなっています。 図 8:情報漏えいの 1 件当たりのコスト(3 つの根本原因別) 単位:米ドル US DE FR UK IT AU JP AB BZ IN 悪意のある攻撃または犯罪者による攻撃 システムの欠陥 人的ミス
Ponemon Institute© 調査レポート 11 情報漏えいコストに影響する要因 単位:米ドル セキュリティー体制意識を高めることは、情報漏えいコストの削減に大きな効果があります。図 9 が示 すように、セキュリティー意識の向上、インシデント対応プラン、事業継続性管理、全社規模のセキュリ ティー対策を担当する役職CISO の設置によって、1 件当たりの情報漏えいコストは削減されます(減 額項目を参照)。一方、デバイスが紛失または盗まれた場合、インシデントの原因が第三者の場合、漏 えいの発覚直後に被害者や管轄当局にインシデントを報告した場合、問題解決をコンサルタントに依 頼した場合は、1 件当たりの情報漏えいコストが高くなります(増額項目を参照)。 たとえば、情報漏えいが発覚した時点でしっかりとしたセキュリティー体制が確立されていれば、漏えい レコード 1 件当たりの平均コストを 131.86 ドル(145 ドル−14.14 ドル)に減額できます。対照的に、情 報漏えいがデバイスの紛失または盗難によるものだった場合、漏えいレコード 1 件当たりのコストは 161.10 ドル(145 ドル+16.10 ドル)に引き上げられます。 図 9:情報漏えい 1 件当たりのコストに関する 8 種類の影響要因 デバイスの紛失または盗難 原因が第三者にある 問題発覚直後に報告した 問題解決をコンサルタントに依頼した CISO を任命済み BCM を策定済み インシデント対応プランを策定済み 強力なセキュリティー体制 対象:各国の全企業
レコード漏えい件数の傾向と、顧客の流出や解約の傾向 漏えいしたレコードの件数が多いほど、情報漏えいコストは高くなる。図 10 は、情報漏えいの総コスト と漏えいの件数の関連性を示したものです。314 社の調査対象企業で発生したコストを、漏えいインシ デントの件数が少ない順に並べています。回帰直線は、情報漏えいインシデントの件数と漏えい総コス トの明らかな比例関係を示しています。調査を実施した年のコストの範囲は、135,603~23,143,454 ド ルでした。 図 10:情報漏えいの総コスト(情報漏えいの件数順) 回帰=インターセプト+{漏えいの件数}×β(βは曲線) 単位:米ドル 解約が多いほど 1 件当たりの情報漏えいコストは高くなる。図 11 は、情報漏えいの 1 件当たりのコス トの分布を示したものです。314 社の調査対象企業で発生したコストを、異常解約率が低い順に並べ ています。上昇傾向を示す回帰直線は、異常解約率と 1 件当たりのコストの比例関係を示しています。 図 11:異常解約率(1 件当たりのコストの昇順) 回帰=インターセプト+{異常解約率}×β(βは曲線) 単位:米ドル 異常解約率(昇順) 情報漏えいの件数(昇順) 合計平均コスト 回帰直線 1 件当たりのコスト 回帰直線
Ponemon Institute© 調査レポート 13 解約が発生しやすい国がある。図 12 は、調査対象の 10 カ国における平均の異常解約率を示したも のです。2014 年の結果から、異常解約率には国ごとにばらつきがあることがわかります。フランスは 前年に引き続き最も高い異常解約率を示し、次いでイタリアとなっています。異常解約率が最も低いの はアラブ地域とブラジルです。 この結果は、解約率が高い国の企業が顧客維持対策に力を入れ、企業の評価とブランド価値を保持 することによって、情報漏えいコストを大幅に削減できる可能性を示しています。 図 12:異常解約率(国別、2 年間の比較) FR UK AB* JP BZ IN DE US IT AU 異常解約率(2013 年) 異常解約率(2014 年) * 2013 年のデータなし
解約が発生しやすい業種がある。図 13 は、2014 年の調査対象企業の異常解約率を示しています。 調査対象企業の数が少ないため、顧客の解約率に対する業種の影響を一般化することはできません が、医薬品、金融サービス、医療の企業は異常解約率が比較的高く、公共部門と小売の企業は異常 解約率が比較的低いことがわかります7 。 図 13:異常解約率(調査対象企業の業種別) 対象:全企業(n=314) 7 政府機関の顧客には一般的に代替となる選択肢がありません。このような場合、公共部門の企業は、そのほかの企業とは異 なる解約防止フレームワークを採用します。 医薬品 医療 テクノロジー 金融 消費財 サービス業 公共部門 異常解約率 運輸 工業 プロフェッショナル・サービス 通信 小売 メディア リサーチ 教育 エネルギー
Ponemon Institute© 調査レポート 15 情報漏えいコストの構成要因に見られる傾向 検出コストと報告コストが最も大きいのはドイツ。図 14 は、調査対象の 10 カ国における情報漏えいイ ンシデントの検出とエスカレーションに伴うコストを示したものです。通常、こうしたコストに該当するの は、フォレンジック/調査活動、評価/監査業務、危機対応チームの管理、経営陣や取締役会との連 絡などで発生するコストです。図に示したように、検出コストとエスカレーション・コストはドイツの企業が 最も高くなり、インドとアラブ地域が最も低くなりました。 図 14:検出とエスカレーションの平均コスト 単位:米ドル 情報漏えいの報告に関する米国の法律が、報告コストの上昇に影響を与えている。図 15 から、米国 の企業では、情報漏えいの被害者に報告するためのコストが非常に多くなっていることがわかります。 このコストが最も低いのはインドとブラジルです。通常、報告コストには、連絡先データベース作成で発 生するIT 業務、該当するすべての規制要件の照合、外部専門家の依頼、郵送コスト、宛先不明の郵 便や電子メールのための代理連絡先の設定、問い合わせ対応の設定などが含まれます。 図 15:平均報告コスト 単位:米ドル DE AU IN UK AB BZ JP IT FR US US UK FR BZ IT JP AB DE AU IN
情報漏えいの事後対応コストが最も大きいのは米国とドイツ。図 16 は、調査対象の 10 カ国における、 事後(情報漏えい発覚後の)対応業務に伴うコストの内訳を示したものです。通常、事後対応コストは、 ヘルプ・デスク業務、問い合わせ対応、特別な調査業務、是正措置、法務コスト、製品割引、個人情報 保護業務、規制当局の介入への対応などによって発生します。このコストが最も低いのはブラジルとイ ンドです。 図 16:情報漏えいの平均事後対応コスト 単位:米ドル 機会損失コストが最も大きいのは米国の企業。機会損失コストには、顧客の異常流出、顧客開拓業務 の負担増、顧客からの評価の低下、業務上の信用の失墜などが該当します。機会損失の最大平均コ ストは 330 万ドルとなり、最低はインドの 252,876 ドルでした。 図 17:機会損失の平均コスト 単位:米ドル US US FR IN UK BZ IT JP AB DE AU DE IN AB BZ JP IT UK FR AU
Ponemon Institute© 調査レポート 17 直接コストと間接コストの割合は国ごとに異なる。直接コストとは、フォレンジック・エキスパートの依頼、 法律事務所への報酬、被害者への個人情報保護業務の提供など、具体的な業務で直接発生する費 用のことです。間接コストは、情報漏えいの問題解決に投入された時間、労力、そのほかの企業リソー スを指します。間接コストは、情報漏えいの報告業務やインシデントの調査に自社の社員を担当させる ことで発生します。顧客の解約や業務上の信用の失墜も間接コストと見なされます。 図 18 は、調査対象の 10 カ国における 1 件の情報漏えいに占める直接コストと間接コストの割合を示 したものです。図からわかるように、間接コストの割合が最も大きいのは米国の企業で、直接コストは ブラジルとアラブ地域の企業が最も大きくなっています。 図 18:情報漏えいの 1 件当たりのコストに占める直接コストと間接コストの割合 US AU BZ DE AB JP IN IT UK FR 間接コスト/1 件 直接コスト/1 件
企業の情報漏えいが発生する確率 大規模な情報漏えいよりも小規模な情報漏えいの方が、はるかに発生しやすい。今回の調査では、今 後 24 カ月で 1 件以上の情報漏えいが発生する可能性を初めて分析しました。調査対象企業のこれま での実績に基づく分析ですが、これまでに紛失したレコードの件数と、企業が所属する業種という 2 つ の要因に基づいて、かなり確度の高い予測ができたと自負しています。 図 19 は、漏えいするレコードの最小件数を 10,000 から 100,000 の範囲に設定した場合の、漏えいイ ンシデント発生の主観確率を示したものです8。この図から情報漏えいが発生する確率は、漏えいする レコードの件数が多くなるほど低下することがわかります。少なくとも 10,000 件のレコードの情報漏え いが今後 24 カ月で発生する確率は約 22%と予測され、100,000 件のレコードの情報漏えいが発生す る確率は 1%以下と予測されました。 図 19:10,000~100,000 件の情報漏えいが発生する確率 8 予測確率は、調査対象企業の回答に基づき、点推定の手法を使用して算出しました。ここでは、コスト評価に関する聞き取り調 査にご協力いただいたCISO や CPO などの回答者から、レコードの紛失または盗難が発生する情報漏えいインシデントの発 生確率を、10,000 件から 100,000 件の範囲の 10 段階でご回答いただきました。この推定作業で使用した時間尺度は、次の 24 カ月の期間でした。確率分布の集計は、調査対象企業 314 社のそれぞれについて試算されています。 漏えいレコードの最小件数
Ponemon Institute© 調査レポート 19 企業の情報漏えいが発生する確率が高い国がある。図 20 は、調査対象の 10 カ国で今後少なくとも 10,000 件のレコードの情報漏えいが発生する確率をまとめたものです。調査対象企業の数が少ない ため国ごとの違いを一般化することはできませんが、重大な情報漏えいが発生する確率の予測が、国 ごとに大きく違うことがわかります。 インドとブラジルは発生確率が最も高く、ドイツとオーストラリアは確率が最も低くなりました。 図 20:10,000 件の情報漏えいが発生する確率(国別) IN BZ FR IT JP AB UK US AU DE 少なくとも10,000 件のレコード漏えいが発生する確率
第 3 部:調査結果からわかる世界のセキュリティー事情 2014 年版の「情報漏えいのコストに関する調査」では、情報漏えいの最も多い原因が、悪意のある攻 撃または犯罪者による攻撃であることがわかりました(インドを除く)。また、今回の調査では、セキュリ ティー・インシデントに関して何を最も懸念しているか、現在どのようなセキュリティー投資を実施してい るか、セキュリティー戦略の有無について、調査対象企業にご回答いただきました。 これらの聞き取り調査の結果、今後 12 カ月間のセキュリティー戦略を実現するための理想的な投資 額は、平均で 1,400 万ドルとなりました。しかし、今後 12 カ月で現実的に投入できる金額は、理想とす る額の半分の 700 万ドルにとどまっています。 図 21 は、調査対象の 10 カ国のすべての企業に対する分析結果を示したものです。図を見るとわかる ように、継続的プロービング(遠隔監視)と悪意のあるコードが企業のセキュリティーにとって最も脅威と されています。一方、不審な行動とサービス拒否攻撃の脅威が最も低くなりました。 図 21:セキュリティー・インシデントの種類(脅威の重大度順) 1=重大度最低、5=重大度最高 対象:全調査企業(n=314) 継続的プロービング 悪意のあるコード 不正アクセス サービス拒否攻撃 不審な行動
Ponemon Institute© 調査レポート 21 悪性コードと継続的不正アクセスが懸念される理由。図 22 から、IT セキュリティーにとってこれらの 2 つが最も懸念される理由がわかります。調査対象企業は、悪性コードと継続的不正アクセスが近年最 も増加している攻撃だと回答しています(それぞれ 49%と 47%)。不正アクセスは、増加率が最も少な いだけでなく(22%)、減少率も最大です(20%)。 図 22:近年確認されているセキュリティー脅威の変化 対象:全企業(n=314) 企業の課題は、脅威に対する戦略的アプローチを強化すること。図 23 のとおり、調査対象企業の多く が、オンライン・プレゼンス、情報資産、インフラストラクチャーを保護するための戦略を整備していませ ん。その中では、情報資産保護のための戦略が最も多く整備されています。前述のとおり、セキュリ ティー戦略やセキュリティー目標を実現するための予算が理想額を大幅に下回っていることが、こうし た状況を生み出しています。 図 23:現在実施されているセキュリティー戦略 対象:全企業(n=314) 悪意のあるコード 増加した 変わらない 継続的プロービング 不審な行動 サービス拒否攻撃 不正アクセス 減少した 情報資産保護のための セキュリティー戦略 実施中 オンライン・プレゼンス保護 のためのセキュリティー戦略 IT インフラストラクチャー保護 のためのセキュリティー戦略 未着手
3 分の 1 の企業が、リスク管理戦略の一環としてサイバー保険に加入している。図 24 が示すように、 調査対象企業の 32%が、攻撃や脅威に対するリスク管理の施策としてサイバー保険に加入していま す。また、加入企業の 54%は、保険の補償内容に満足していると回答しています。 図 24:情報漏えい対策を実施している、またはサイバー保険加入の方針を定めている企業 対象:全企業(n=314) 興味深いのは、サイバー保険への加入が、情報漏えいのリスク管理だけでなく、企業のセキュリティー 体制の向上にも重要な役割を果たしていることです。保険に加入することで企業のセキュリティー体制 が緩むと思われがちですが、調査は逆の結果を示しました。むしろセキュリティー対策をきめ細かく実 践している企業の多くは、保険にも加入しています。 実施中 未着手
Ponemon Institute© 調査レポート 23 第 4 部:情報漏えいコストの計算方法 情報漏えいコストの算出には、活動基準原価計算(ABC)と呼ばれるコスト計算方法を使用しました。こ の方法では、情報漏えいに伴う追加業務や追加項目を特定し、実際に投入されたコストをそれらに関 連付けます。今回のベンチマーク対象企業には、情報漏えいの問題解決で発生するすべての業務の 特定と、それらに伴うコストの概算を依頼しました。 情報漏えいを特定するための業務と、情報漏えい直後の対応としては、一般的に次の項目を実施する ことがわかりました。 調査とフォレンジックを実施して、情報漏えいの根本原因を判断する 情報漏えいの被害者を推定する インシデント対応チームを編成する コミュニケーション活動を開始し、広報部門を通して周知する 報告書そのほかの必要な情報開示文書を準備し、情報漏えいの被害者と管轄当局に報告する コール・センターの対応手順を作成し、専用のトレーニングを実施する 情報漏えいが確定した後は、一般的に次の項目を実施する、または次の項目が発生することがわかり ました。 監査業務とコンサルティング業務 情報保護のための法的業務 コンプライアンスのための法的業務 情報漏えいの被害者への無料または割引サービス 個人情報保護業務 解約数や流出数に応じた、対顧客の機会損失 顧客獲得やロイヤルティー醸成のためのコスト 上記の業務と項目のコスト範囲を各社に概算していただいた後、次に示す定義に従って、これらのコス トを直接コスト、間接コスト、機会損失コストに分類しました。 直接コスト - 特定の業務を実施する際に直接発生した費用 間接コスト - 情報漏えいの問題解決に投入された時間、労力、そのほかの企業リソースを金額 に換算した費用のうち、直接コストに分類されない費用 機会損失コスト - 情報漏えいを被害者に報告した(およびメディアに公開した)後に信頼が低下 した結果失われたビジネスの機会を金額に換算した費用 さらに、情報漏えいの検出、対応、被害拡大防止、是正措置といった取り組みのコスト要因となる、コ ア・プロセス関連業務も調査しました。これらの業務のコストは、第 2 部「主な調査結果」セクションで紹 介しています。次の 4 つのコスト・センターがあります。 検出または発見:(保存されている)個人情報の漏えいリスクがあること、または個人情報の漏え いが発生していることを合理的に検出するための業務です。 エスカレーション:保護されている情報が漏えいしたことを、定められた期限内に適切な担当者に 知らせるための業務です。 報告:個人情報の紛失または盗難を、文書、電話、電子メール、不特定多数への情報開示によっ て漏えいの対象者に通知する業務です。 事後対応:被害拡大を抑えるための追加質問や推奨事項の問い合わせ手段を、情報漏えいの被 害者に提供する業務です。クレジット・カードの監視や新規アカウント(新規クレジット・カード)の再 発行も事後対応に含まれます。
大部分の企業では、上記のプロセス関連の業務に加えて、情報漏えいインシデントに伴う機会損失コ ストが発生します。これは、既存顧客と見込み顧客による信用や信頼の低下が原因です。つまり、今回 実施した調査から、情報漏えいインシデントによるマイナスの宣伝効果が企業の評価に悪影響を与え、 異常流出率や異常解約率の増加、さらには新規顧客獲得率の低下が発生することがわかります。 こうした機会損失コストの試算では、調査対象企業ごとに設定した平均的な顧客の「生涯価値」に基づ くコスト評価方法が使用されます。 既存顧客の流出率:情報漏えいインシデントの発生に伴い顧客関係を終了させる可能性が高い 顧客の推定数です。顧客数の減少分は、情報漏えいインシデントを原因とする異常流出を示しま す。この数値は、ベンチマーク調査の聞き取り過程で経営陣が示した概算値に基づき、年率で表 されます9。 新規顧客獲得の減少率:情報漏えいインシデントの発生に伴い顧客関係の開始を忌避するター ゲット顧客の推定数です。この数値は年率で表されます。 社員レコードなど顧客以外のデータの紛失は顧客の解約や流出につながらないことが確認されていま す10。漏えいした情報に顧客データや利用者データ(支払取引に関する情報を含む)が含まれない場 合、ビジネスの機会損失に分類されるコストは低くなると考えることができます。 9 場合によっては、流出が部分的なものにとどまることがあります。この場合、情報漏えいの被害者は企業との顧客関係を継続 しますが、顧客としての活動量は以前に比べて低下します。この部分的な活動量の低下は、顧客関係の終了にコストが掛かり すぎたり、経済的な理由で顧客が関係を終了できないような、金融サービスや公共部門などの業種に多く発生します。 10 この調査では、市民情報、患者情報、学生情報を顧客データとしています。
Ponemon Institute© 調査レポート 25 第 5 部:調査対象企業の概要とベンチマーク手法 図 25 は、ベンチマーク対象の企業の内訳を、主な業種の分類別に示したものです。2014 年の調査で は 16 業種が対象となりました。最も企業数が多い業種は、銀行、保険、資産運用、支払処理などの金 融サービスです。 図 25:ベンチマーク対象企業の内訳(業種別) 対象:全企業(n=314) 図 26:調査対象の 10 カ国における企業数 金融 公共部門 小売 プロフェッショナル・サービス 消費財 工業 テクノロジー 運輸 エネルギー 通信 サービス業 メディア 医薬品 医療 リサーチ 教育 米国 英国 ブラジル ドイツ インド フランス 日本 アラブ地域 イタリア オーストラリア
データ収集では、実際の会計情報は対象とせず、調査回答者の知識と経験から導き出された推定額 を使う手法を採用しました。カテゴリーごとに、2 段階のコスト推定プロセスを実施しました。まず、ベン チマーク用の文書を使い、次のような数直線形式に可変のマークを設定して、コスト・カテゴリーごとに 直接コストの概算を記入するよう依頼します。 数直線の使用方法:情報漏えいのコスト・カテゴリーごとに設定された数直線を使用して、発生した現 金支出、人件費、そのほか諸経費の合計について、最も近いと思われる推定額を入力します。設定さ れた上限と下限の間に点を 1 つだけ付けてください。数直線の上限と下限は聞き取り中にいつでもリ セットできます。 [提示されたコスト・カテゴリー]の直接コストの推定額を記入してください。 下 限 | 上 限 カテゴリーごとに具体的な推定額を 1 つ記入してもらう代わりに、数直線に基づいて数値を取得するこ とで、情報の機密性が保たれ、回答率も高くなります。ベンチマーク文書の次の段階では、間接コスト と機会損失コストの推定値を入力するよう調査回答者に依頼しました。 ベンチマークでは、プロセスが煩雑にならないよう、情報漏えいのコスト評価に欠かせないと判断した 業務のコスト・センターだけを慎重に選び、対象項目に設定しました。経験豊富なエキスパートとの協 議を通して、必要なコスト関連業務を含む一連の項目が最終決定されました。ベンチマーク情報の収 集では、一貫性と包括性を保つため、各文書が繰り返し検証されました。 完全な情報機密を実現するため、ベンチマーク文書では企業が特定できるような情報を一切収集して いません。説明資料でも、回答と調査対象企業がひも付けられるような、追跡番号そのほかの情報を 一切追加していません。 個人情報の取り扱いを伴う幅広い業務運用に対応するよう、ベンチマーク文書に記載された情報漏え いのコスト項目の範囲は、一般的に知られているコスト・カテゴリーだけに限定されています。今回の調 査では、データ保護業務や個人情報のコンプライアンス業務を対象とせず、ビジネス・プロセス関連業 務だけに注目したことで、高品質な結果が得られたと確信しています。
Ponemon Institute© 調査レポート 27 第 6 部:制限事項 この調査では、前回の調査で問題なく実施できることが確認された、機密かつ独自のベンチマーク手 法が使用されています。同時に、このベンチマーク調査には回避できない制限事項があります。本調 査結果から結論を導き出す際は、次に示す制限事項について慎重に検討してください。 結果が非統計的:今回の調査の基になったのは、非統計的な代表サンプルです。具体的には、 過去 12 カ月間で顧客レコードまたは利用者レコードの紛失または盗難を伴う情報漏えいを経験 した、世界中の企業です。非科学的なサンプリング手法のため、統計的推論、許容誤差、信頼区 間をこれらのデータに適用することはできません。 無回答の存在:今回得られた結果のベースとなるのは、少数の代表サンプルによるベンチマーク です。このグローバル調査では、314 の企業がベンチマーク・プロセスを完了しました。ただし、無 回答のバイアスはテストされていません。このため、まったく異なる情報漏えいコストの傾向を非 回答企業が有している可能性が常に存在します。 サンプリング・フレームのバイアス:サンプリング・フレームは独自の判断で決定されているため、 今回のサンプリング・フレームが調査対象企業の母集団をどの程度反映しているかによって、結 果の品質は変化します。今回のサンプリング・フレームは、個人情報保護や情報セキュリティーの 取り組みが一定以上進んでいる企業に偏っていると判断しています。 企業固有の情報:ベンチマークの情報は機密情報であり社外秘です。このため、今回の文書では 企業を特定できるような情報は収集していません。また、企業と業種に関するカテゴリーで人口統 計情報を提供する際は、カテゴリー別の応答変数の使用を許可しています。 調査対象外の要因:聞き取り調査のスクリプトを簡潔かつ的を射たものにするために、主流のトレ ンドや企業の性格といった重要な可変要素は分析から除外されています。除外された可変要素 がベンチマーク結果に与え得る影響は特定できません。 推定に基づくコスト結果:ベンチマーク調査の品質を支えているのは、調査対象企業の回答者が 誰にも見られずに提供した回答の完全性です。ベンチマーク・プロセスに一定のチェック・アンド・ バランスを適用することも可能ですが、回答者が不正確または不誠実に回答している可能性は常 に存在します。また、実際のコスト・データではなくコスト推定の手法が採用されているため、何ら かの事情で偏った結果や不正確な結果が推定されている可能性もあります。
本調査レポートに関するご質問やご意見をお寄せいただく場合、または本書の追加コピーが必要な場 合(本レポートの引用や再利用の許諾申請を含む)は、手紙、電話、電子メールのいずれかでお問い 合わせください。
Ponemon Institute LLC Attn: Research Department
2308 US 31 North
Traverse City, Michigan 49686 USA 1.800.887.3118 research@ponemon.org www.ibm.com/services/costofbreach にて、各国版のレポートをすべて提供しています。
Ponemon Institute LLC
情報管理の信頼性向上に向けた取り組み Ponemon Institute は、独自の調査と教育を通して、企業と政府機関における信頼性に優れた情 報管理と個人情報管理の実践を推進しています。当社のミッションは、ユーザーと企業の機密情 報の管理と保護を左右するさまざまな重要課題に対して、豊富な経験を活かした高品質な調査を 実施することです。当社は、Council of American Survey Research Organizations (CASRO)の参加企業として、 データの機密保持、個人情報保護、倫理に関する厳格な基準を遵守して調査活動を遂行していま す。当社は、個人が特定できるようないかなる情報も収集しません(企業調査の場合は、企業が特 定できるようないかなる情報も収集しません)。また、調査対象者に無関係な質問や不適切な質問 をしないための厳格な品質基準を遵守しています。
