情報漏洩対処の平均コスト400万ドル - CSIRT活用で40万ドル抑制

情報漏洩時に発生した平均コストが400万ドルに上っているとの調査結果を米IBMが取りまとめた。インシデント対応チーム（CSIRT）を活用することで、平均40万ドルのコスト削減効果を見込めるという。

同社の依頼のもと、Ponemon Instituteが情報漏洩による企業への財務的影響についてグローバル調査を実施したもの。400社へインタビューを実施、結果をまとめた。インシデント対処における企業の直接的、間接的なコスト双方が含まれる。

2016年に実施した調査では、対象企業において情報漏洩時に発生した平均コストは400万ドル。漏洩したレコード1件あたりの損失額は158ドルで、医療業界では1件あたり355ドルだった。漏洩の検出に要した時間は平均201日、被害拡大防止に要した時間は平均70日だった。

同調査では、こうした情報漏洩発生時のコストの抑制に唯一効果ある対策としてCSIRTの活用を挙げている。平均で40万ドル、記録1件あたり16ドルのコスト削減効果が見られたという。フォレンジックや連絡、法的費用、規制遵守などの対応が、情報漏洩対応コストの59％を占める。

また情報漏洩の検知と被害拡大防止に時間がかかるほど、解決に要するコストが増加。100日未満で検出された情報漏洩事案では、平均コストが323万ドルだったのに対し、100日以上経過したケースでは438万ドルで、100万ドル以上の差が開いたとしている。

事業継続管理プロセスを事前に用意していた企業は、用意していなかった企業より情報漏洩の検出は52日早く、被害拡大防止は36日早かったという。

（Security NEXT - 2016/06/23 ）ツイート