データ流出時のコスト負担を1億円以上減らす“あの手段”とは？：セキュリティニュースフラッシュ

データ侵害に伴う企業のコスト負担に関するIBMの調査結果や、ソフトウェアやサプライチェーンに潜むリスクに関する調査結果など、セキュリティの主要なニュースを紹介する。

[梅本貴音，TechTargetジャパン]

　企業がサイバー攻撃からシステムを守るためには、社内のセキュリティリスクを把握し、適切な対策を講じることが重要だ。本稿は、データ侵害（データの流出や破壊のための不正行為）の発生時に企業が負担するコストに関するIBMの調査結果の他、ソフトウェアやサプライチェーンに潜むリスクに関する調査結果など、セキュリティに関する主要なニュースを3本紹介する。

IBMが調べて分かった「データ流出時のコスト負担」が少ない企業の特徴は？

　IBMが公開した調査レポート「2022年データ侵害のコストに関する調査レポート」によると、1回のデータ侵害により企業が負担するコストの平均は435万ドルで、同社の調査では過去最高だった。電力会社やガス会社といった重要インフラ企業の約80％は、自社のネットワーク内外にリスクが存在することを前提にする「ゼロトラスト」の考え方を採用していないと回答。ゼロトラスト非採用企業の負担コストは平均540万ドルと、採用企業の平均（423万ドル）と比べて117万ドル（約1億6900万円）高かった。IBMが調査会社Ponemon Instituteに委託して調査を実施。17個の国と地域における企業550社が、2021年3月〜2022年3月に受けたデータ侵害を調査対象にした。（発表：日本IBM＜2022年8月25日＞）

併せて読みたいお薦め記事

脆弱性関連の注目記事

• ドローンやAirTagを“脆弱性まみれ”にしないための「製造者責任」とは？
• サイバー犯罪者“大量生産”時代にシステムを守り切る「5つのポイント」とは？
• Oracleにセキュリティ専門家が失望　「危険な脆弱性を半年も放置した」
• macOS「マルウェアなのに無害だと判断してしまう」脆弱性とは何だったのか

OSSの脆弱性はどれくらい狙われているのか？　Synopsysが調査

　電子設計自動化（EDA）ソフトウェアベンダーSynopsysの調査では、99％の企業がクラウドサービスで稼働するアプリケーションを開発する上でOSS（オープンソースソフトウェア）を利用しているか、今後1年以内に利用すると回答。34％の企業は、過去1年間にOSSの既知の脆弱（ぜいじゃく）性を突く攻撃を受けた。OSSに潜む脆弱性を発見しやすくする「ソフトウェア部品表」（SBOM）の整備が、OSS利用時の課題だと答えたのは39％に上った。調査は企業のサイバーセキュリティ意思決定担当者とアプリケーション開発者350人を対象に、2022年5月〜6月に実施した。（発表：日本シノプシス＜2022年8月30日＞）

サプライチェーンリスク“放置状態”？　タニウムの調査結果から

　セキュリティソフトウェアベンダーのタニウムは2022年6月、国内企業のサイバーセキュリティ意思決定者659人を対象に、サプライチェーンリスクに関する市場調査を実施。9割以上の企業がサプライチェーンのリスクを認知していると回答したが、対策を実施している企業は29％だった。サプライチェーンをセキュリティやガバナンスの対象に含めている企業は8％、今後3年以内に対象に含める企業は12％にとどまった。セキュリティインシデントの被害額については、50％の企業が1000万円以上だと想定し、1億円以上だと想定する企業は14％に上った。タニウムはこの結果について、ランサムウェア被害による金銭的負担が企業にとって重荷となっている状況が垣間見えると指摘する。（発表：タニウム＜2022年8月24日＞）