(出所)Ponemon Institute / 2018 Cost of Data Breach Study

かつて本連載で、米国のPonemon InstituteがIBMからの支援を受けて、情報漏えいによる経済的損失に関してまとめた調査報告書を紹介させていただいた(注1)。この調査は過去13年にわたって継続的に行われており、先日2018年版が発表されたので、本稿ではこれを紹介させていただきたいと思う。

この調査の目的は前回と同様、情報漏えい事案への対応における事業継続マネジメント(BCM)の経済的価値を示すことである。本稿のトップに載せた図は、情報漏えい事案を想定した対応計画づくりや実際の対応にBCM担当チームが関与している割合を、調査対象の各国ごとに示したもので、青い線が今回の調査におけるデータ、赤い線が過去5年間の平均である(国名の右側に「*」がついているものはデータが5年分揃っていないことを示す)。ドイツ、日本、カナダの3カ国が中段のグループから抜きん出てトップ3を形成していて興味深い。

また図1は情報漏えい事案が発生してから事案の発生が検知されるまでの日数と、漏えいを食い止めるための対処をするためにかかった日数とを、業種ごとに分けて示したものである。「MTTI」と「MTTC」との意味は注2を、また業種の略号については注3をそれぞれ参照されたい。前回の報告書を紹介した記事と見比べていただくと、全体的に日数が長くなっていることがわかるが、その理由や背景などについては本報告書の中では特に言及されていない。

図1.業種ごとの MTTI および MTTC (出所)Ponemon Institute / 2018 Cost of Data Breach Study


なお図2は前回の報告書にはなかったグラフであるが、過去24カ月間のデータをもとに情報漏えい事案の規模(漏えい件数)(横軸:Number of breached records)と、そのような事案が発生する確率(縦軸:Probability)との関係を図示したものである。あくまでも本報告書における調査対象から算出した数字であるから、このデータそのものを一般的に当てはめることはできないであろうが、事案の規模が大きくなればなるほど発生確率が小さくなっていく状況がきれいに現れていて興味深い。

図2.情報漏えい事案1件あたりの漏えい件数と事案発生確率との関係(出所)Ponemon Institute / 2018 Cost of Data Breach Study

本報告書では他にも、情報漏えいによる損失額の内訳や、百万件以上のデータが漏えいするような事案(本報告書ではmega breachと呼んでいる)に関する分析など、前回の報告書にはなかった興味深いデータが含まれている。情報漏えいリスクに問題意識をお持ちの皆様にぜひご一読をお勧めしたい。

■ 報告書本文の入手先(PDF33ページ/約2.9MB)
https://www.ibm.com/security/data-breach

注1)連載第22回「BCMは情報漏えいによる損失の軽減に寄与するのか? - 2017 Cost of Data Breach Study」http://www.risktaisaku.com/articles/-/3352

注2)MTTI:Mean Time To Idendify(情報漏えいが発生したことを検出するまでにかかった時間の平均)
MTTC:Mean Time To Contain(情報漏えいを食い止めるまでにかかった時間の平均)
なお図1の下にある表では全体的にMTTIの欄に数字が正しくないように見える。筆者の推測だが2桁の数字は百の位が何らかの理由で消えてしまったもの、4桁の数字は3桁目と4桁目との間に小数点が入るのではないかと思われる。

注3)業種の略号の意味は次のとおりである; financial services (FS), services (SV), industrial manufacturing (IM), technology (TC), retail (RT), public sector (PS), consumer (CN), transportation (TP), communications (CM), energy (EU), pharmaceuticals (PH), hospitality (HP), healthcare (HC), media (MD), education (ED), entertainment (ET) and research (RS).

(了)