調査の結果から、情報セキュリティは戦略的な投資と見なされつつある事がわかりました。また、最も損失が大きいサイバーセキュリティ侵害は、サードパーティのサイバーセキュリティの失策から生じたものであることも明らかになりました。このことから、企業は自社の保護に投資するだけでなく、ビジネスパートナーのセキュリティ管理体制に注意を払う必要があります。
[本リリースは、2017年9月14日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
~ 一方で、セキュリティインシデント最大のコストは、サードパーティのサイバーセキュリティの失策に起因。自社への投資だけでなく、ビジネスパートナーのセキュリティ管理体制に注意を払う必要も ~
Kaspersky Labとグローバル調査会社のB2B Internationalは、世界30か国の企業に勤務する5,000人以上を対象に、情報セキュリティリスクに関する年次調査を実施しました。※1 調査の結果から、企業は情報セキュリティを戦略的な投資と見なすようになりつつあり、IT予算に占める情報セキュリティ費用の割合が増加しました。また、あらゆる規模の企業において、最も損失が大きいサイバーセキュリティ侵害は、サードパーティのサイバーセキュリティの失策から生じたものであることが明らかになりました。このことから、企業は自社の保護に投資するだけでなく、ビジネスパートナーのセキュリティ管理体制に注意を払う必要があります。
当調査の日本の詳細レポート「日本企業の情報セキュリティ予算の捉え方」は、Kaspersky Dailyブログ「Kaspersky IT Calculator:情報セキュリティ予算獲得の参考資料」からご覧いただけます。
■リスク低減に対する投資
今年の調査は、グローバル全体で情報セキュリティを重視する意識が高まっているという有望な結果となりました。
- IT予算のなかで情報セキュリティ予算が占める割合は、グローバル全体で大企業では4分の1に近い23%に達したことがわかりました。
- 一方でIT予算自体は縮小しています。たとえば、大企業の平均の情報セキュリティ予算は、絶対額で見ると減少しており、2016年の2,550万ドルに対し、2017年は1,370万ドルでした。
- セキュリティ侵害1件あたりの復旧平均コストは、中小企業では2016年は8万6,500ドル、2017年は8万7,800ドルでした。大企業では増加幅はさらに大きく、2016年の86万1,000ドルに対して2017年は99万2,000ドルでした。情報セキュリティ予算の割合が増加しつつも絶対額が減少している中、セキュリティ侵害からの復旧コストは増大しています。
■情報セキュリティインシデント時のコスト
情報セキュリティ予算が増額しても、それだけで問題を解決できるわけではありません。今回の調査から、グローバル全体では最大の損害は、サードパーティ企業が関わるインシデントと、サードパーティ企業でのサイバーセキュリティの失策が原因で生じることが判明しました。
- 例として、中小企業ではサードパーティによって提供されるインフラストラクチャでのインシデントのために最大14万ドルの損害が発生し、大企業ではデータを共有しているサプライヤーで発生したインシデントのために180万ドルの損害を被り、IaaSプロバイダーの保護レベルが不十分であったために160万ドルの損失が発生しました。
- 企業が自社のデータやインフラストラクチャへのアクセスを別の組織に許可した時点で、一方の脆弱性が双方に影響する可能性があります。この問題は重要度が高まっており、各国の政府が相次いで新たな法整備を進め、個人データの共有と保護に関する情報の提供を組織に義務づけています。
Kaspersky Labのエンタープライズビジネス部門の責任者、アレッシオ・アセチ(Alessio Aceti)は次のように述べています。「サードパーティが関わるサイバーセキュリティインシデントは、あらゆる規模の企業に損害をもたらし、企業が受ける金銭的な損害は2倍になる可能性もあります。その原因は、脅威の速い動きに企業や法律の変化が追い付かないという世界規模で広がる問題です。EU一般データ保護規則(GDPR)などの法律が施行されて、ポリシーを更新できていない企業が見つかれば、違反に対して支払われる罰金も増えることになるでしょう」
Kaspersky Labでは、業界の脅威の状況や推奨事項に基づき、企業の情報セキュリティ戦略の参考にしていただくために、「Kaspersky IT Security Calculator」を提供しています。これは情報セキュリティコストのガイドとして利用していただけるWebベースのツールで、自社と同じ地域、同じ市場セグメントにある他社の情報セキュリティの現状を視覚化するものです。
Kaspersky Dailyブログ「Kaspersky IT Calculator:情報セキュリティ予算獲得の参考資料」では、当調査の日本の詳細レポート「日本企業の情報セキュリティ予算の捉え方」および「Kaspersky IT Security Calculator」をご紹介しています。
※1 企業における情報セキュリティリスク調査(Corporate IT Security Risks survey)は、Kaspersky LabがB2B Internationalと共同で、2011年から実施している年次調査です。2017年は、30か国の小規模企業(従業員数1~49)、中小企業(同50~999)と大企業(同1,000以上)に勤務する5,274人を対象に調査を実施しました。日本の回答者は、中小企業と大企業に勤務する合計224名です。