見出し画像

数字から見る推奨されるセキュリティーアプローチ 「データ侵害のコストに関する調査2023」 日本語解説

Keita Fujiwara

皆様こんにちは。日本IBMの藤原です。
以前投稿した記事 "IBM最新セキュリティレポート「データ侵害のコストに関する調査2023」 日本語版が公開されました!" でご紹介していたレポートコラムは今回で最終回です

ご紹介するトピックス

  • データ侵害コストの削減・侵害ライフサイクルの削減のためにできること

↓↓元となるレポートのダウンロードはこちら↓↓
https://www.ibm.com/account/reg/jp-ja/signup?formid=urx-52258

データ侵害コストを削減・侵害ライフサイクルの短縮のためにできること ~$0.24M(米ドル)、100日以上の影響を与える推奨されるセキュリティーアプローチ~

4つのアプローチをご紹介したいと思います

ソフトウェアの開発と導入の段階でセキュリティーを構築し、定期的にテストをする

ソフト開発、導入の段階からセキュリティーを組み込むことで、迅速かつ安全性の高いソフトウェアを開発する手法であるDevSecOpsの採用はコスト削減要因で最も高い$0.24M(米ドル)の削減効果があるという結果が出ています。

”DX”の推進においても、事後的にセキュリティー対策を検討するのではなく、計画の初期段階から中核の要件としてセキュリティーを考慮することが安全かつ信頼性の高いシステムの開発につながります。

ハイブリッドクラウド全体でデータ保護のモダナイズをする

クラウドサービスの利用により情報はオンプレだけでなくクラウドにも同じように保存されるようになりました。
 
便利なSaaS型のアプリケーションは急速に導入が進んでいます。
その一方でクラウド上のデータに対する管理や保護の不足、データ侵害に対するリスクの高まりが課題視されています。
 
実際本レポートの調査によると、データ侵害の82%がクラウド環境に保存していたデータで、複数環境にまたがって保存していたデータは内39%となっているなど、クラウド上にあるデータは狙われやすい傾向が強いです。

コストや侵害ライフサイクルでも複数環境にまたがるデータは最も平均コストが高く、ライフサイクルが長いという結果になっています。

データ保管場所別のデータ侵害コスト

こういった課題に対しクラウド環境のデータの可視性、管理を行うことが優先事項となっています。

具体的な施策として高度な暗号化やデータセキュリティソリューションなどがあげられます。
データへのアクセス監視やポリシーの適用といった方法でデータを不正利用から保護することも重要となってきます。

セキュリティーAIとオートメーションを活用してスピードと精度を高める

以前の記事でAIと自動化が与える影響についてご紹介しましたが、これらソリューションは導入していない組織と比べてコストとライフサイクルの低減に役立ちます。
 
例えばSIEM※のようなログ収集及び相関分析により人の手では見つけることが困難な脅威の痕跡を自動的に検出します。

SOAR※ではその後のプロセスを一部自動化することで迅速に進めることができ、結果調査や対応にかかるアナリストの必要リソースを削減することにつながります。

最近はID管理系のソリューションへのAI活用でレピュテーション評価やリスク検出を行い、怪しい所を自動的に判断するような使われ方も増えてきており、AIやオートメーションをうまく使いこなすことが今後は必要となってきます。
 
※SIEM : Security Information and Event Managementの略称、ログの一元管理と分析を行い脅威検知を行うソリューション
※SOAR : Security Orchestration, Automation and Responseの略称、セキュリティー運用の自動化、効率化を行うソリューション

攻撃対象領域を把握し、インシデントレスポンス(IR)を実行することでレジリエンス強化

組織は常に攻撃にさらされていると理解して対策をすることで、万が一侵害を受けてしまった場合に迅速に対処ができるようになります。
 
どこが狙われやすいのか、攻撃者からみて狙いやすいと思われる脆弱性を継続的に診断するASM(アタックサーフェイスマネジメント)というソリューションが注目されています。
ASMの導入によりデータ侵害ライフサイクルは83日短縮できるという結果が出ており、特に脅威の特定までの部分で大きな効果を発揮します。

ASMソリューションを使用した場合のデータ侵害ライフサイクル

万が一侵害が起こってしまった場合に備えて対処を行うためのIR計画とチームの適切な運用もコスト削減効果が高いことがわかっています。
 
IR計画とチーム両方を備えている組織は導入していない組織と比べデータ侵害ライフサイクルが54日も短くなります。
また、データ侵害コストに与える要因としても第3位の削減効果である$0.23M(米ドル)となっています。

サイバー攻撃を受けてしまった場合のことを考えて対策をすることで、より高い効果が得られる可能性があります。

※ご紹介してきた手法については情報提供を目的とするもので、結果を保証するものではありません。

以上でCost of a Data Breach 2023日本語解説の投稿は一旦終了といたします。
ここまでお付き合いいただき誠にありがとうございました!
 
サイバーセキュリティーの分野は対策やソリューション導入の効果や実際受けてしまった被害規模が数字では見えづらく、投資しづらい、難しい分野という印象があります。
そういった意味でコストやライフサイクルを可視化することでより具体化され効果・影響がわかりやすくなります。
 
本レポートをぜひ活用いただき、セキュリティー対策を効率的に推し進めていただければ幸いです。
 
本レポートのコラムをnote記事にまとめていますのでよかったら確認してみてください!
https://note.com/keita_fujiwara/n/n6ac29d85f6fe

ここまでお読みいただき誠にありがとうございました。

日本アイ・ビー・エム株式会社
テクノロジー事業本部 デジタルセールス事業部 Platformデジタル営業部
藤原 圭汰
Email:Keita.Fujiwara@ibm.com
LinkedInでも情報発信しています。お気軽につながりお待ちしております。
https://www.linkedin.com/in/keitafujiwara-2535a1240

この記事が気に入ったらサポートをしてみませんか?