IBMの調査によって、組織が受けるデータ侵害の被害は過去最悪となったことが分かった。そもそも、データ侵害では被害額を算出することも困難だ。どのように算出すればいいのか。
IBMは2024年にデータ侵害のコスト関するレポート「Cost of a Data Breach Report 2024」を公開した。2023年3月から2024年2月の間にデータ侵害を受けた、16の国や地域にまたがる、604組織に所属する3556人にインタビューした結果をまとめたものだ。同レポートによると、データ侵害によって組織が被った損害額の平均は、前年調査比10%増加し、過去最高の488万ドルに達したという。しかし実際のところ、「データ侵害コスト」とも呼ばれる、データ侵害による経済的な損失には何が含まれるのだろうか。直接的なものと、間接的なものに分けて紹介する。
データ侵害によって起きる経済的な損失は、直接的なものと間接的なものに大別できる。
通常、損益計算書において「特別損失」の欄に計上される。以下のようなものだ。
可視化の難しいコストだ。以下のようなものが含まれる。
データ侵害のコストについて、従業員の人数や被害を受けたデータベースのレコード(行)数、データの種類などを入力することで見積もりをしてくれるWebサイトも存在する。だが、これらのWebサイトは基本的に危機意識を高めるための教育用で、正確な算定が目的ではないことに注意が必要だ。
絶対に安全と言えるデータ保護対策は存在しないが、何もしなければ侵害を受ける可能性は高まる一方だ。コストを抑えつつ実行できる効率的なセキュリティ対策は次の通りだ。
セキュリティ戦略には、運用、コンプライアンス、レポーティングの目標を含める。明確かつ簡潔な目標を設定すべきだ。セキュリティ戦略の策定に役立つ、利用可能なセキュリティフレームワークを採用してもよい。
保有するIT資産をリスト化し、セキュリティ戦略目標と関連付けて分析する。シンプルなスプレッドシートでも可能だが、規模の大きい組織なら、自動化ツールが必要だ。
まず、自社のIT資産が業務に不可欠なのかどうかを確認する。次に、セキュリティの脅威によって各資産に生じるリスクを分析する。想定すべきシナリオの例は以下のようなものだ。
シナリオごとに業務にどのような影響が及ぶかを分析する。資産ごとのリスクを正確に評価し、定量化することで、どのリスクに優先的に対処すべきかが分かる。
IT資産ごとのリスクを明確化した上で、どう対処すべきかについて明確なガイドラインを作成する。データ漏えいのリスクをどの程度許容できるかを明示する。一般的に、「リスクアペタイト」(リスク選好)と「リスクトレランス」(リスク許容度)という2つの指標を使用する。両者の違いを具体例と共に挙げる。
こうしたタイプの指標を使って、ビジネス目標とリスクを明確に結び付ける。米国立標準技術研究所(NIST)の「Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight」を活用してもいいだろう。企業の各階層でセキュリティ戦略を効果的に伝達し、浸透させる方法が載せられている。
行動計画を作成し、管理者が実施を監督する。行動計画は定期的に報告する。以下のようなガイドラインを利用できる。
損失リスクを定量化し、リスク管理策を講じるのが鍵だ。実施した管理策の有効性を定期的に測定し、経営陣が理解できる仕方で報告する。
(翻訳・編集協力:編集プロダクション雨輝)
米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...