日経ビジネス電子版 SPECIAL

サイバーイニシアチブ東京2019レビュー / CYBER INITIATIVE TOKYO 2019

CYBER INITIATIVE TOKYO 2019

日本IBM

講演タイトル

情報漏えい被害の最新調査から読み解く「差がでる」セキュリティー投資

数億円に上る情報漏洩コスト、
インシデント対応が重要に

纐纈昌嗣氏 日本IBM 執行役員 セキュリティー事業本部長
纐纈昌嗣
日本IBM 執行役員
セキュリティー事業本部長

「いったん情報漏洩の事故が起こると、平均で約4億円の総コストがかかる」。こう指摘するのは日本IBMの纐纈(こうけつ)氏。そのうち「ビジネス機会の損失」の項目のコスト比率が日本では4割弱を占め、影響は数年に及ぶという。米国調査会社による最新の調査リポートから浮かび上がってきた結果だ。

IBMは実は世界最大級のセキュリティ・サービス・プロバイダーでもある。この分野で世界に8000人規模の人員を抱え、自前のSOC(セキュリティ・オペレーション・センター)を持ち、1日に700億件以上のセキュリティインシデントを監視する。そうした中でセキュリティインシデントがもたらす影響についての知見を蓄積してきた。

纐纈氏は、「日本では特に、情報漏洩で顧客が離れていくため、そのコストが大きい。訴訟のコストもあり、コスト発生は1回きりではなく数年にも及ぶ」と説明する。では、そうしたコストはどのような対策で減らせるのか。

調査リポートでは、情報漏洩の総コストを減らす対策として、「インシデントレスポンス(IR)チームの組成」や「IRプランのテストの実行」、「暗号化」の効果が高いと分析した。IRチームの組成とIRプランテストの有無により、情報漏洩の平均総コストが約1億3000万円も変わってくるのだという。

「やみくもに全方位の対策をするよりも、インシデント対応への投資が、情報漏洩の総コストを直接的に下げるには効果が高い。脅威の検出と阻止から、インシデント対応へと目を向けるべき」と纐纈氏は語る。

 特に、AIなどを活用したインシデント対応の自動化が効果的という。今回の調査リポートでは、日本で導入が遅れ気味な自動化も含めて、インシデント対応の重要性が示されることとなった。