サイバー攻撃を受けてその莫大なコストにいやおうなく直面したときに初めてセキュリティの重要性を認識しても、後の祭りです。データ侵害のコストは驚くほど高額になることを認識して、事前に回避することが肝要です。
2021年の IBM データ漏洩レポートは、「顧客の PII は、最もコストのかかるタイプのデータであり、紛失または盗難レコードあたり 180 ドルのコストがかかりました。2021年の調査のレコードあたりの平均コストは、2020年の 146 ドルから増加して、161ドルでした。」と報告しています。PII は最も高価なだけではなく、最も頻繁に侵害され、盗まれたレコードの44%を占めました。
これらのレコードはファイルに含まれるのが通常で、機密ファイルには多数のレコード、数百から数千件ものレコードが含まれる場合もあります。つまり、1つの電子メールの添付ファイルが盗まれてしまうだけで驚愕的なコストが発生する可能性があるということです。
データ侵害コストは全体的に急増
IBM の 2021 データ漏洩レポートによると、昨年のコストは10%上昇し、過去7年間で最大の増加となりました。「データ漏洩コストは386万ドルから424万ドルに上昇し、調査開始以来最も高い平均総コストとなりました。セキュリティ体制が整っている組織はコストが大幅に低く、セキュリティ分野で遅れている組織ではコストが高いことがわかりました。」と IBM レポートは述べています。
コロナ禍のリモートワークが侵害コストを押し上げ
パンデミックは在宅勤務を急増させましたが、自宅からのファイル操作は多くの問題に結びつく可能性があります。確実に言えることは、侵害が発生すればコストは高くつくという点です。IBM は、「在宅勤務が起因した場合のデータ侵害のコストは、そうでなかった場合と比較して、平均約107万ドル高額でした。在宅勤務がデータ侵害の要因となった企業の割合は17.5%でした。さらに、従業員の50%以上が在宅勤務している組織は、50%以下の組織より、侵害の特定と封じ込めに58日間長くかかりました。」と報告しています。
侵害の発見と封じ込めにかかる時間
データ侵害が発生してからそれを特定し、封じ込めることができるまでに長い期間を必要とすることは大きな問題です。IBM のレポートは、「データ漏えいの特定と封じ込めにかかる日数が200日未満の場合、コストは平均361万ドルでしたが、200日以上かかったデータの漏えいにかかるコストは平均487万ドルでした。全体として、データ侵害を特定して封じ込めるのに平均287日かかることがわかりましたが、これは前回のレポートより7日長くなりました。287日かかるということは、1月1日に発生した違反は10月14日まで封じ込めることができないということを意味します。識別して封じ込めるのにかかる日数は、データ侵害の種類、攻撃ベクトル、セキュリティ AI と自動化の使用などの要因、さらにクラウドの最新化段階によって大きく異なります。」と、まとめています。
データ侵害のコスト削減にはゼロトラストが有効
ゼロトラストセキュリティは、侵害をブロックし、ブレークスルーの影響を軽減するのに効果的です。IBM によると、ゼロトラストが導入されていない組織の情報漏えいの平均コストは504万ドル、ゼロトラストが展開されている組織の平均コストは328万ドルということで、両者間で大きな違いがあります。ですが、ゼロトラストを採用している組織は調査対象中35%と、まだまだ少ないようです。ゼロトラストとは、ネットワークの領域が信頼できることが証明されるまでは、まったく何も信用せずにすべてのデータと資産を保護するのが最善の方法であるという考え方であり、これを実践することでデータ侵害を削減できるのは、明らかです。
データを保護する暗号化
ゼロトラストでは、転送中にデータを傍受されても解読できないよう、ファイルを暗号化することが重要なポイントになります。これだけでも、データ漏洩のコストを大幅に削減できます。「データ侵害のコストの増減に関与した25のコスト要因の分析では、高水準の暗号化の使用が、AI プラットフォームの使用と洗練された分析に続いて、コスト軽減要因の第3位でした。 高水準の暗号化(少なくとも、保管中、転送中の AES-256 暗号化)を使用している組織の平均侵害コストは362万ドルでしたが、そうでない組織の平均侵害コストは478万ドルでした。これは125万ドルまたは29.4%の差です。」と、IBM レポートで報告されています。
安全なマネージド・ファイル・トランスファーでデータを侵害から保護
データ侵害の高額なコストを避けるための唯一の方策は、データ侵害のリスクを最小限に抑えることです。それには、ファイル転送アクティビティの完全な可視性とコントロールを提供するマネージド・ファイル・トランスファー(Managed File Transfer、MFT)ソフトウェアを活用するのが最善です。MFT を使えば、中核となる業務プロセスの信頼性を保ち、機密性の高いデータを、パートナー、顧客、ユーザー、システム間で、安全に転送することができます。
MOVEit Transfer のファイル暗号化、セキュリティ、改ざん防止ログ、アクティビティ追跡、集中型アクセスコントロールは、オペレーションの要件を満たすために有効に活用できます。SLA、内部ガバナンス要件、および PCI、HIPAA、CCPA、GDPR などの規制に確実に準拠することが可能です。
MOVEit Automation では、ファイル転送リソースへのアクセスを自動化し、コントロールすることで、データ損失のリスクを軽減しながら、ワークロードとエラーを最小限に抑えることができます。
Doug Barney
Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.
