企業における情報セキュリティの経済的影響:エグゼクティブサマリー

Kaspersky LabはB2B International社と共同で、世界25か国の4,000社を超える企業を対象に情報セキュリティに関する調査を実施し、サイバーセキュリティの経済的側面に焦点を当てたレポートをまとめました。

ksb-predictions-2016-featured

概要

2016年、Kaspersky LabはB2B International社と共同で、世界25か国の4,000社を超える企業を対象に、情報セキュリティ予算、インフラの複雑さ、セキュリティ脅威とセキュリティソリューションに対する姿勢、データ侵害による実際のコスト、セキュリティインシデントの経験について調査を実施しました。本レポートは、自社を保護するために企業がかけるコスト、サイバーセキュリティインシデントからの復旧にかかるコストなど、サイバーセキュリティの経済的側面に焦点を当てた内容となっています。

本記事は、レポートのエグゼクティブサマリーです。完全版のレポート、および日本地域に関するレポートを無料でご提供いたします。

 

主な調査結果

・今後3年間で、情報セキュリティ予算は平均で14%の増加が予想されています。

・セキュリティへの投資を行う主な理由として、企業規模を問わずITインフラの複雑性が挙げられています(大企業の48%、中小企業の42%)。

・セキュリティに関する年間平均支出額には幅があり、零細企業では1,000ドル以下の割合が高く、大企業では1,000,000ドルを超える割合が高い結果となっています。

1-klr_it_sec_eco_1

情報セキュリティ予算の割合 – 企業規模別

・セキュリティインシデント1件あたりの平均復旧コストは、中小企業の場合86,500ドル、大企業の場合861,000ドルと見積もられています。

・最も「高く付く」タイプの攻撃は、ゼロデイ脆弱性および標的型攻撃を利用したセキュリティ侵害です。中小企業はモバイル機器によるエクスプロイトを問題として挙げ、大企業は政治的な意図をもったハッカーの行為による影響の強さを報告しています。

 

セキュリティ支出の要因

テクノロジーへの依存度が高まり、テクノロジーが複雑化し続ける中、情報セキュリティが企業にとって主な優先事項となりつつあることは否定できません。実際に大企業は、情報セキュリティの支出を増大させる一番の理由として、ITインフラのさらなる複雑化を挙げています(48%)。中小企業の42%も同様である一方、零細企業については、インフラの複雑化を予算増加の主要因としたのは4分の1(24%)に留まり、新規事業活動または事業拡大を一番の理由に挙げています(35%)。

いずれの規模の企業も、情報セキュリティの投資利益率(ROI)を組織上層部に対して実証することは難しいとしながらも、後悔するよりは大事を取った方がよいとの理由から、ROIにかかわらず情報セキュリティの改善に投資を継続する意向を示す傾向にあります。

2-klr_it_sec_eco_2-1024x325

3-klr_it_sec_eco_3-1024x165

金額的に見ると、零細企業の3分の2(66%)で情報セキュリティの年間支出が1,000ドル未満であるのに対し、大企業の68%は100万ドル超を支出しています。

 

インシデント経験

過去1年だけを見ても、企業の3分の1超が、ウイルスおよびマルウェアの影響による生産性の損失(38%)と、社員によるITリソースの不適切な使用(36%)を経験しています。5社に1社(21%)は、標的型攻撃によるデータの損失または流出を経験しています。

4-klr_it_sec_eco_4-1024x144

過去1年間に経験したセキュリティ関連トラブルのタイプ: 経験ありと回答した企業の割合 – トラブルタイプ別(全企業合算)

企業が経験した全インシデントのうち、ほぼ半数(43%)が何らかのデータ侵害、データ損失、またはデータ流出に至っています。具体的な数字を挙げると、1回のデータ侵害および攻撃が及ぼす経済的影響の平均額は、中小企業で86,500ドル、大企業では861,000ドルにのぼると見積もられています。中小企業と大企業のどちらにおいても、ITスタッフの配備や配置替えが最大の追加コストになっています。

 

データ侵害による財政上の平均的影響

セキュリティ侵害の全体的な影響をより正確に見積もるため、調査では、復旧コストをいくつかのカテゴリに分けて質問を行いました。セキュリティ侵害の影響は、ITリソースの追加雇用に留まらないのが常です。中小企業および大企業の主な支出は、次のとおりです。

中小企業

5-klr_it_sec_eco_5

大企業

6-klr_it_sec_eco_6

しかし、これはさまざまな攻撃によるコストを単に平均したものであり、より高いコストを示す攻撃タイプもあります。これまで知られていない「ゼロデイ」脆弱性の影響によるコストは、件数としては少ないながらも、中小企業で149,000ドル、大企業で2,000,000ドルと見積もられています。標的型攻撃の場合は、中小企業で143,000ドル、大企業で1,700,000ドルとなっています。

 

情報セキュリティ部門による迅速な行動がコストを抑制

いずれの場合でも、経済的影響は時間が経つほどに増大しています。データ損失だけでなくビジネスに対する経済的コストを最小限に抑えるには、データ侵害の速やかな検知が鍵となります。データ侵害に気付かない期間が長いほど、経済面でも、データ完全性の面でも、ビジネスに及ぶ影響が増大します。中小企業は、自社ビジネスへのコストを、データ侵害に直ちに気付いた場合でも28,000ドル、1週間以上気付かれないままであった場合には105,000ドルと見積もっています。大企業は、検知システムを配備してある場合でも経済的損害の見積額は393,000ドルに上り、1週間以上気付かれないままであった場合には1,000,000ドルを超えると見積もっています。

7-klr_it_sec_eco_7

復旧コストvs.セキュリティ侵害の発見に要した時間 – 中小企業

8-klr_it_sec_eco_8

復旧コストvs.セキュリティ侵害の発見に要した時間 – 大企業

企業はネットワークの脆弱性を意識し、これら脆弱性が悪用されるであろうと予期している状況であり、このままでは企業に対するサイバー攻撃はさらに蔓延し効果を上げるばかりです。しかし、情報セキュリティ予算の増加は今後数年にわたって緩やかな上昇にとどまり、経済的影響はさらに厳しいものとなると予想されます。

 

結論

サイバー攻撃は不可避なものである一方、経済的(および風評的)影響を低減するにあたって利用可能な予算とリソースをいかに使うかが、今後数年にわたり企業の必須要件となってゆくでしょう。結果として損失が発生するとはいえ、重要なのは損失を最小限に留めることです。これはKasersky Labの目指すところでもあります。セキュリティ侵害を経験した当社の顧客は、同経験のある競合の顧客に比して、経済的影響の度合いが中小企業の場合30%、大企業の場合で18%ほど低い結果となっています。

Kaspersky Labの中小企業向けソリューションについては、当社Webサイトをご覧ください。

経済的影響を抑制するには、検知テクノロジーだけに頼るのではなく、情報セキュリティに対して総合的なアプローチを取ることが重要です。ハードウェアとソフトウェアだけではすべての情報セキュリティインシデントを解決できないと考える企業が45%にのぼるのは、心強いことです。しかし、そうであっても、全体的な保護を提供する適切なリソースによって支えられているとは限りません。ワークステーション向けセキュリティソフトウェアだけで効果を上げられると考える企業は、現在でも73%に上ります。

単なる予防に留まらないKaspersky Labの大企業向けのソリューションについては、当社Webサイトをご覧ください。

検知力を向上させ、影響を最小限に留めるための力となるのは、予防テクノロジーに加え、企業が直面しつつあるリスクをよく知るスタッフです。しかし、セキュリティ予算を投じる先に目をやると、外部からの支援を受けることを渋る傾向が企業側に見られます。脅威に関するより深い洞察と情報が検知力向上の一番の方策であるとしたのは、企業全体の18%に過ぎませんでした。

カスペルスキー セキュリティ インテリジェンス サービスについては、当社Webサイトをご覧ください。

こうした感覚は避けがたいものである一方で、洞察および情報なしには、サイバー脅威の検知力を向上させることはできません。予防だけでなく、復旧や影響緩和にも目を向けて取り組むことで、リスクを回避し、サイバー攻撃に由来する避けがたき経済的影響を低減することが可能となるのです。

日本地域に関するデータをまとめたレポート(日本語)をご希望の方は、お手数ながら、こちらのフォームにご登録の上、お申し込みください。ダウンロード用のリンクを、メールにてお知らせいたします。

ヒント