企業が情報セキュリティの予算を計上する場合、潜在的損失額の平均値(できればインシデントの種類別に)をはじめ、セキュリティに関連する事業上の平均支出額といった要素を考慮する必要がありますが、このような問題に関する正確なデータは公開されません。さまざまな企業の情報セキュリティに関する意思決定者を対象にKasperskyが毎年調査を実施しているのには、こうした背景があります。このたびは、2019年の調査結果をお知らせします。
財務上の影響
昨年の調査結果と比べ、企業の事業損失は増加しています。昨年、インシデントによる平均損失額は123万ドルでしたが、今年は141万ドルに達しました。その原因の一部は、企業が自社イメージに対する打撃の緩和を狙って、第三者の専門家や広報活動に費やす支出が増えていることにあります。
また、広報関連の支出が増えているのは、インシデントの公式発表を企業に求める法律が全体的に厳しくなっているからとも考えられます。これは特にデータ漏洩の場合に顕著です。現代では、既存および見込みの顧客やパートナーは間違いなくインシデントに気づき、自分たちのデータがサイバー犯罪者の手に渡るのではないかとの懸念を抱きます。この問題は大企業に限ったものではありません。回答によると、大企業の36%、中小企業の31%が、データ漏洩による広報の問題に突き当たっていました。
興味深いことに、中小企業は大企業とは逆の傾向を示していて、インシデントの平均コストは12万ドルから10万8,000ドルに減少しています。同様に補償金関連、ならびにソフトウェアとインフラ関連の支出も減っています。
サイバーインシデントの結果として企業が被った損失の詳細については、レポートとしてご覧いただけます(英語でのご提供となります)。本記事末尾のフォームよりお申し込みください。
インシデントの原因
調査の中で問題の根本的な原因として多く挙げられたのは、企業の規模にかかわらず、社員によるITリソースの誤用と、社内デバイスのマルウェア感染でした。当然ながら、これらの中には多種多様な事例が含まれます。たとえば、社員がメールに記載されたリンクをクリックしてマルウェアをインストールしてしまう、というよくある事例は、この両方に当てはまります。
中小企業および大企業が頻繁に直面するインシデントの詳細については、『IT security economics in 2019』レポートをご覧ください。レポートでは、専任のデータ保護責任者(DPO)や社内のサイバーインシデント対応センターの有無が損失に与える影響など、さまざまな興味深い情報をまとめています。
『IT security economics in 2019』レポートをご覧になるには、下のフォームに必要事項をご記入ください。レポートは英語でのご提供となります。