＜2021年度 企業の情報セキュリティリスク調査-1＞大規模企業で最もコストのかかるデータ侵害は、データ共有をしているサードパーティのインシデント

[本リリースは、2021年10月6日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyは、世界31カ国の企業に勤務するITビジネスの意思決定者4303人を対象に、情報セキュリティリスクに関する2021年度の年次調査を実施^※1しました。調査の結果から、データを共有しているサプライヤーを通じて間接的に被るサイバーセキュリティインシデントが、ビジネスに与える影響の深刻度を増していることが明らかになりました。このようなインシデントが大規模企業^※1に与える平均的な財務的影響^※2は、2021年度の調査ではグローバルで136万ドル（日本は192万ドル）に達し、最もコストのかかるインシデントとなりました。同インシデントは、2020年度の調査では13位でした。

グローバル企業が利用するサービスの提供企業を通じて被害を受ける攻撃が、明らかに増加傾向にあります。ビジネスデータは通常、サービスプロバイダー、パートナー、サプライヤー、グループ企業など、複数のサードパーティに分散しています。そのため、企業は自社のITインフラストラクチャに影響を与えるサイバーセキュリティリスクだけでなく、社外からのリスクも考慮する必要があります。

今回の調査では、大規模企業に勤務する回答者の32%（日本は19%）がデータを共有しているサプライヤーへの攻撃の影響を受けたと回答しました。この数字は2020年の33%（同30%）から大きくは変わっていません。一方で、このインシデントの平均的な財務的影響の順位は、2020年度は142万ドルで13位（日本は339万ドルで10位）でしたが、今回は136万ドルで1位（日本は192万ドルで13位）となり、グローバルでは最もコストのかかるインシデントになりました。

そのほか上位は、企業が所有するデバイスの紛失が134万ドル（日本は266万ドル）、暗号資産マイニングが131万ドル（同211万ドル）、従業員による不適切なITリソースの使用が131万ドル（同186万ドル）などで、2020年度からの順位の変化は、新型コロナウイルスが企業のサイバーセキュリティの状況に何かしらの影響を与えたと考えられます。

大規模企業がデータ侵害を受けた場合の一回あたりの財務的影響は、2020年度は109万ドル（日本は200万ドル）でしたが、2021年度は15%減少の92万7千ドル（同97万8千ドル）で、2017年度の99万2千ドル（同130万ドル）よりもさらに低くなっています。
平均的な財務的影響のコストが低下した背景として考えられるのは、企業がこれまでに投資してきたセキュリティの予防と軽減策が適切に機能したということです。また、データ侵害の報告を見送ったと回答した大規模企業に勤務する回答者が、2020年は28%（日本は27%）でしたが、2021年は34%（同39%）に上っていました。財務的に脆弱（ぜいじゃく）な企業は、サイバー犯罪の調査に時間と費用をかけられない、もしくは、情報漏えいが公になった場合の風評被害を受けるリスクから、報告に消極的だった可能性も考えられます。

Kaspersky法人ビジネス担当エグゼクティブ・バイスプレジデント、エフゲニヤ・ナウモアは次のように述べています。「サイバー攻撃の深刻さは、サプライヤーと共有するデータが侵害されるリスクを考慮する必要性を浮き彫りにしています。パンデミックによって脅威の状況は変化しており、企業はサプライヤーの業務の種類やアクセスの複雑さ（機密データやインフラストラクチャを扱っているかどうか）に基づいてサプライヤーを格付けし、適切なセキュリティ要件を付する必要があります。また、信頼できるサードパーティにのみデータを共有し、自社の既存のセキュリティ要件をサプライヤーにも拡大するべきです。機密性の高いデータや情報を転送する場合は、サプライヤーがそのような情報を扱えることを確認するために、全ての書類やSOC2認証などを求めることも必要でしょう。非常にセンシティブなケースでは、契約前にサプライヤーのコンプライアンス監査を実施することをお勧めします」

・調査の詳細レポート「IT Security Economics 2021: Managing the trend of growing IT complexity」（英語）は、こちらから登録後にダウンロードしていただけます。

・企業のITセキュリティのコストに関する情報は「Kaspersky IT Security Calculator」で参照いただけます。地域や業種、従業員数、ITセキュリティ予算を提示することにより、自社と同等の企業がITセキュリティに費やしている平均的予算、導入しているセキュリティ手段、遭遇している主なサイバー脅威、インシデントによる損失額を確認することができるオンラインのツールです。そのほか、セキュリティ侵害を受けないための対策もご覧いただけます。グラフ化されたデータは画像またはPDFとしてダウンロード可能で、資料として利用いただくことができます。また、自社のセキュリティシステムを構築する際の推奨事項も併せて提示します。

※1　企業における情報セキュリティリスク調査（Corporate IT Security Risks Survey：ITSRS）は、Kasperskyが2011年から実施しているITビジネスの意思決定者を対象とした年次調査です。2021年度は、5月から6月にかけて従業員50人以上の企業に勤務する従業員を対象に、31カ国で合計4,303人に調査を実施しました。本調査では、従業員数別に中規模企業（50～999人）、大規模企業（1,000人以上）と表記しています。日本の回答者は、中規模企業（32%）と大規模企業（68%）に勤務する合計395人です。
※2　計算の対象項目は次のとおりです：信用格付けの下落/保険料の上昇、ソフトウェア/インフラの改善、従業員の追加賃金、ビジネス機会の損失、トレーニング実施、ブランドイメージ回復のための追加PR、外部専門家の支援、スタッフの新規追加、補償、規制上の罰金。詳細は「IT Security Economics 2021: Managing the trend of growing IT complexity」でご覧いただけます。