テレワーク(在宅勤務)時のデータ侵害のコストは、そうでない時よりも100万ドル(1億円)以上高いとの調査データが出ていました。
www.theregister.com
このレポートは、世界中の500を超える組織からの「実際のデータ侵害」と呼ばれるものに基づいており、サイバーインシデントの平均コストは現在、過去最高の424万ドルであることがわかりました。
しかし、アナリストが在宅勤務を行っている組織を調べたところ、データ漏えいの平均総コストは平均を上回っており、500万ドルに過ぎないことがわかりました。
元ソース
・Cost of a Data Breach Report 2021 (IBM)
キタきつねの所感
薄々「そうではないかな」と思っていた事が、IBMの調査データに出ていました。
IBMが全世界500以上のインシデント事例を分析した結果、データ侵害インシデントの平均損害額が4.24百万ドル(約4.6億円)であるのに対し、テレワーク時での平均は100万ドル以上高い事が判明しました。
テレワーク等で企業の持つ情報資産が拡散し、境界が曖昧になる中、1人1人の従業員が(会社の規則に従って)しっかりセキュリティ対策をした上でテレワークを実施している”であろう”という性善説ベースの考え方がいかに危険かは、このインシデント被害額の”差”にはっきりと表れている気がします。
IBMの調査データでは、2020年~2021年は平均損害コストが10%以上増えているとも分析しており、この中にはテレワーク環境の脆弱性を突かれた(あるいは従業員のミスによる)損害額が含まれているものと思われます。
日本では幸い大きなインシデントがテレワーク分野であった事をあまり聞きませんが、サイバー攻撃被害の”先進国”である米国では、平均被害額が9百万ドル(約9.1億円)との結果も出ており、米国で確立された攻撃手法が、日本企業・組織にアレンジされて使われてくる事を想定し、対策検討する事が重要です。
コロナ禍で対策検討が不十分となったままテレワークに移行した事がこうした損害額増加につながっていると考えられ、その対策としてはクラウドセキュリティの強化や、ゼロトラストアプローチが有効だとしています。
日本の企業・組織でゼロトラスト対策の導入に関してはまだ消極的な所が多いかなという印象です。
しかし、コロナ禍の臨時対応をそのまま放置する事は、潜在的なリスクでしかなく、米国の対策が整って被害が減少した際には、日本が周回遅れになっている可能性も十分に考えられます。早め早めの検討が将来のリスク軽減に繋がるのではないでしょうか。
余談です。テレワーク環境が侵害を受ける理由の1つは、個人データの窃取にある様です。テレワーク全般という訳ではなく、他のサイトで安易に登録した使い回しのID(社用メールアドレス)やパスワード、クッキー情報等が侵害され、窃取された認証情報を使って、会社ネットワークに不正侵入される。こうした可能性についても十分に備えておく必要がありそうです。
そう考えると、新しい働き方における従業員教育(改訂)が鍵となるのかも知れません。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴