サイバー攻撃の対応費用を左右する“対応時間”
サービス停止や製造ラインの稼働中断といった事業継続に直接的な影響を与えるサイバー攻撃の顕在化により、組織はセキュリティに対する認識を変える必要が出てきました。問われているのは、自分たちのビジネスが攻撃キャンペーンの犠牲に「もし」ではなく「いつ」なるかということです。
IBMのレポート「Cost of a Data Breach Report 2023」(英語)によれば、情報漏えいの平均被害額は2022年の435万ドルから2.3%増加し、2023年は445万ドルになりました※1。多重脅迫型のランサムウェアやサプライチェーン攻撃の横行などで、サイバー攻撃が与える経済的影響/損失は深刻になっています。
攻撃が検出されない期間が長くなるほど、対応費用が高くなるというのが定説です。IBMによれば、データ侵害を特定し、それを抑えるまでの平均時間は277日でした。対応時間と費用の関係を見ると、封じ込めまでの時間が200日未満の場合、200日を超える場合に比べ平均で23%のコスト削減となっていました※2。つまり、攻撃を抑えるまでの時間を短縮することが、被害や対応にかかる費用を抑えるための鍵といえます。
対応時間削減に有効な4つのアプローチ
サイバー攻撃の検出から封じ込めにかかる時間を短縮し、対応費用を抑えるためには、次のアプロ―チが有効です。
AIと自動化の活用
2023年の時点でセキュリティオペレーションにおいて、AIや自動化を広く使用している組織は3分の1未満に留まります。一方で、セキュリティにおける、AIや自動化への投資の有効性が明らかになっています。IBMによれば、AIと自動化を積極的に使用しているセキュリティチームは、データ侵害の費用を約180万ドル節約し、また平均的な封じ込め時間を100日以上短縮したといいます※3。従来多くを人に依存していた検知、調査、対処の工程において、AIと自動化ソリューションを活用することは、効率と精度において大幅な改善を期待でき、対応時間を削減する有効な手段となります。
参考:生成AIについてCISOが知っておくべきこと
インシデント対応の体制の確立
インシデント対応の体制とプロセスを導入し、インシデント対応計画を定期的にテストすることも重要です。テスト済みのインシデント対応計画を有したインシデント対応チームを通じて、サイバー攻撃の準備と装備をしている組織は、対応レベルの低い組織に比べ、平均して対応費用を149万ドル節約しました※4。対応時間においては、インシデントを54日早く解決し、インシデント対応体制の有効性が示されました※5。
こうした体制をすべて自組織で用意できない場合は、調査や対処を依頼できる、信頼のおけるセキュリティ専門家、セキュリティインシデントの支援が可能な事業者のコンタクトを、平時から複数確保しておくことをおすすめします。サイバー攻撃や異常発生時に、対応時間を抑えるためには、事前の準備が不可欠です。
アタックサーフェスマネジメントの採用
アタックサーフェスマネジメント(ASM)の導入も効果的です。アタックサーフェス(攻撃対象領域)全体で脆弱性、脅威を検出、評価、そして対処する能力を持つ組織は、データ侵害を約100日も早く特定し、封じ込めたことが示されています※6。そして、強固なASMの実現には、XDRが不可欠です。サイバー攻撃・感染経路全体にわたるネットワークイベントの関係性を明らかにするXDRにより、攻撃面全体におけるリスクマネジメントが可能になります。
参考:アタックサーフェスリスクマネジメント(ASRM)を活用して企業のサイバーセキュリティを強化する方法
XDRによる監視と対応の統合
エンドポイントやネットワーク、クラウドなど、組織内で利用される様々なIT機器のセキュリティデータを統合し、分析を行うXDRは、検出精度の向上、そして対応時間の短縮に不可欠です。個々のIT器機から発出されていたアラートがXDRに集約され、精度の高いアラートとして提供されることで、人のスキルや経験値、リソースへの依存という課題も解消されます。
参考:MITREの攻撃テクニックのみに注目するなかれ~Detection&Responseが効果を発揮するには“攻撃シナリオ”ベースの検知こそ重要
サイバー攻撃による損失は金銭面だけでなく、システム障害による事業活動への影響による機会損失、またそれによる社会的信用の損失など、多岐にわたります。サイバー攻撃発生に備え、その対応時間に着目し、現在のセキュリティ体制が検知、対処の観点で有効なものか、ご紹介したアプローチを参考に点検することをおすすめします。
本記事は、2023年8月8日USで公開された記事Lower Data Breach Insurance Costs with These Tipsの抄訳です。
※1~6 Cost of a Data Breach Report 2023(IBM)