はじめに
デジタルトランスフォーメーションがかつてないスピードで産業を変革する時代において、強固なサイバーセキュリティ対策の重要性は言うまでもありません。Kiteworksのコーポレートマーケティング&リサーチ担当VPとして、さまざまな業界における進化するサイバーセキュリティの状況を分析した包括的な「2024年リスクスコアレポート」をご紹介できることを嬉しく思います。
はじめに
読者の皆様へ
デジタルトランスフォーメーションがかつてないスピードで産業を変革する時代において、強固なサイバーセキュリティ対策の重要性は言うまでもありません。Kiteworksのコーポレートマーケティング&リサーチ担当VPとして、さまざまな業界における進化するサイバーセキュリティの状況を分析した包括的な「2024年リスクスコアレポート」をご紹介できることを嬉しく思います。
本レポートは、世界中の組織がますます巧妙化するサイバー脅威に直面しているこの重要なタイミングで発行されます。近年発生したデータ侵害は、件数だけでなく規模や影響も拡大しています。医療、金融、教育、小売など、どの業界もこうしたデジタル脆弱性から無縁ではありません。私たちの分析では、業界全体でリスクスコアが一貫して上昇傾向にあることが明らかになっており、サイバーセキュリティ戦略の強化が急務であることを示しています。
本レポートの特徴は、革新的なリスクスコア手法にあります。サイバーセキュリティリスクを標準化し、定量的に評価することで、意思決定者が自社のセキュリティ体制を業界の他社と比較し、経時的な進捗を把握できる強力な指標を提供します。このアプローチにより、サイバー脅威への対策における戦略的な計画立案やリソース配分がより的確に行えるようになります。
本レポートでは、各業界の詳細な分析、データ侵害の傾向とその影響、新たなサイバーセキュリティ課題への知見を掲載しています。また、リスクスコア手法の将来的な活用例として、予測モデルや規制コンプライアンスへの応用についても考察しています。本レポートが現在のサイバーセキュリティの状況への理解を深めるだけでなく、すべての業界でより強靭なデジタルエコシステム構築に向けた積極的な取り組みのきっかけとなることを願っています。
敬具
Patrick Spencer
Patrick Spencer, Ph.D.
コーポレートマーケティング&リサーチ担当VP
Kiteworks
主なポイント
業界別リスクスコア(2024年上半期~2018年)
| 業界 | 2024年上半期 | 2023年 | 2022年 | 2021年 | 2020年 | 2019年 | 2018年 |
|---|---|---|---|---|---|---|---|
| 全体 | 7.3 | 7.3 | 6.0 | 6.2 | 5.4 | 5.3 | 5.1 |
| 教育 | 3.2 | 7.2 | 5.0 | 5.1 | 4.8 | 5.4 | 4.6 |
| 金融サービス | 5.9 | 8.5 | 6.2 | 4.6 | 6.0 | 6.4 | 5.8 |
| 政府 | 6.7 | 7.9 | 4.0 | 6.3 | 5.5 | 4.8 | 4.4 |
| ヘルスケア | 5.4 | 8.2 | 5.4 | 5.0 | 6.8 | 5.9 | 5.3 |
| ホスピタリティ | 10.0 | 7.4 | 5.2 | 5.8 | 5.1 | 4.9 | 4.5 |
| 製造 | 8.6 | 5.8 | 4.9 | 3.8 | 4.3 | 4.6 | 5.0 |
| プロフェッショナルサービス | 3.5 | 6.0 | 4.5 | 6.4 | 5.2 | 5.8 | 5.4 |
| 小売 | 9.1 | 6.3 | 3.6 | 7.2 | 5.7 | 5.3 | 4.9 |
| テクノロジー | 3.8 | 7.4 | 5.7 | 5.3 | 4.9 | 5.2 | 4.7 |
| 運輸 | 3.0 | 6.7 | 5.8 | 5.5 | 5.3 | 5.6 | 4.8 |
| 公益 | 4.7 | 7.0 | 4.3 | 4.8 | 4.0 | 5.6 | 5.1 |
表1:2024年上半期~2018年リスクスコア。
1. 全体リスクスコアの上昇:全業界の平均リスクスコアは2022年の6.0から2023年には7.3へと21.7%上昇しました。この大幅な増加は、業界を問わずサイバーセキュリティの課題が深刻化していることを反映しています。
2. 金融サービス業界が最もリスクが高い:2023年、金融サービス業界のリスクスコアは8.5と全業界で最も高く、2022年の6.2から大きく上昇しており、分析対象の中で最も深刻なサイバーセキュリティ脅威に直面していることを示しています。
3. 政府部門の急激な上昇:政府部門は5年間で最も劇的なリスクスコアの上昇を経験し、2022年の4.0から2023年には7.9へと97.5%増加し、この分野でサイバーリスクが急速に高まっていることが浮き彫りになっています。
4. ホスピタリティ業界の直近の脆弱性:ホスピタリティ業界は短期間で最も顕著な悪化傾向を示し、2023年上半期の4.3から2024年上半期には10.0へと、わずか1年で132.6%も急増しました。
5. テクノロジー業界の改善:デジタル分野で重要な役割を担うテクノロジー業界ですが、2023年上半期の7.6から2024年上半期には3.8へとリスクスコアが大きく低下しており、この業界でサイバーセキュリティ対策が強化されていることが示唆されます。
6. 製造業の新たなリスク:製造業のリスクスコアは2023年上半期の3.9から2024年上半期には8.6へと2倍以上に増加し、従来は標的とされにくかったこの業界でもサイバーセキュリティ課題が急速に拡大していることが示されています。
データ侵害の脅威が拡大
データ侵害は、あらゆる業界の組織にとって重大な脅威として浮上しており、デジタルトランスフォーメーションと相互接続が進む時代において、その深刻さはさらに増しています。課題の一つは、サイバーセキュリティの状況が絶えず変化し、攻撃者がデジタルインフラの脆弱性を突くためにますます巧妙な手法を用いていることです。本レポートでは、データ侵害の現状、その広範な影響、そしてこの脅威に対抗するために高度なリスク評価ツールが急務であることを明らかにします。
現在のデータ侵害状況の概要
- 最近の大規模データ侵害:2023年末以降、データ侵害は組織と個人の双方にとってさらに深刻な問題へと拡大しており、米国だけでも3,205件ものデータ漏洩が報告され、3億5,300万人以上が影響を受けました。1 T-Mobileは繰り返し標的となり、顧客と従業員の機密データが複数回にわたり流出しました。サイバー犯罪者の主要な標的であるヘルスケア業界では、数百万件の患者記録が流出し、機密情報保護の課題が一層深刻化しています。
同時に、ランサムウェアやサプライチェーン攻撃の増加は止まらず、脆弱性が侵入口として悪用される頻度は前年の約3倍に達しました。ソフトウェアサプライチェーンに関連するリスクは2023年に新たな高みに達し、ロシアのサイバー犯罪グループClopによるMOVEitマネージドファイル転送攻撃では2,600以上の組織と8,900万件以上のデータ記録が侵害されました。2 さらに、意識の高まりにもかかわらず、人的ミスは依然として根強い脆弱性であり、全体の74%の侵害がソーシャルエンジニアリング攻撃や意図しないミスなど、悪意のない人的行為に起因していることから、より強固なセキュリティ対策と教育の必要性が浮き彫りになっています。3
- データ侵害の発生頻度と影響に関する世界統計:データ侵害の頻度と規模は、極めて深刻なレベルに達しています。最新のIdentity Theft Resource Center(ITRC)「グローバルデータ侵害レポート」によれば、2023年には3,205件のデータ侵害が公表され、前年から15%増加しました。4 さらに深刻なのは、流出した記録の件数で、推定220億件と2022年比で30%増加しています。侵害の特定から封じ込めまでにかかる平均期間も287日に延びており、サイバー攻撃の複雑化が進んでいることを示しています。
データ侵害の経済的影響
データ侵害による財務的影響は非常に大きく多面的であり、直接的・間接的なコストの両方が含まれます。
- 直接コスト(例:金銭的損失、法的費用): データ侵害による即時の財務的影響は深刻です。過去1年でデータ侵害の平均コストは488万ドルに達し、10%増加しました。5 この金額には、侵害の検知・対応、法的費用、規制による罰金、顧客への通知費用などが含まれます。特にランサムウェア関連の侵害が増加しており、今年上半期のランサムウェア要求額は平均520万ドルに達し6、Sophosによればランサムウェアの支払い額は200万ドルと500%増加しています。7
- 間接コスト(例:評判の損失、顧客信頼の喪失): 数値化できる損失を超えて、データ侵害は組織の評判や顧客関係に長期的なダメージを与えます。最近の調査では、消費者の65%がデータ侵害後に企業への信頼を失い、85%がセキュリティ対策に不安があればその企業と取引しないと回答しています。8 データ侵害は法的な影響も長期化します。Kiteworksの「2024年 機密コンテンツ通信プライバシー・コンプライアンスレポート」では、10社中6社が毎年200万ドル超を内部・外部のデータ損失インシデントに伴う法的費用に費やしており、45%は300万ドル超を支出しています。9 これらを総合的に考慮すると、ブランド価値や顧客ロイヤルティへの長期的な影響は、即時の金銭的損失をはるかに上回ることがあります。
強固なリスク評価の必要性
このように進化し激化する脅威に直面し、従来型のリスク評価手法ではもはや十分ではありません。組織は、データ侵害への脆弱性を正確に把握し、サイバーセキュリティ投資の優先順位を決めるために、より高度でデータドリブンなツールを必要としています。
強固なリスク評価ツールは、以下の点で不可欠です:
- 組織全体のデジタルエコシステムにおける脆弱性の特定
- 侵害発生時の財務的・評判的な潜在的影響の定量化
- 業界の同業他社やベストプラクティスとのセキュリティ体制のベンチマーク
- サイバーセキュリティ対策へのリソース配分に関する戦略的意思決定の支援
- 規制当局、ステークホルダー、顧客へのデューデリジェンスの証明
本レポートではさらに、リスク評価の新たなアプローチとして「データ侵害リスクスコア・インデックス」を紹介します。この標準化された指標は、組織にとってデータ侵害リスクを包括的かつ実践的に可視化し、より効果的な侵害防止・軽減戦略の策定を可能にすることを目指しています。
標準化されたリスクスコアの必要性
組織がデータ侵害という常に存在する脅威に直面する中、リスクを正確に評価・比較する能力は極めて重要です。しかし、現状のリスク評価の枠組みには一貫性や限界があり、包括的なサイバーセキュリティ戦略の策定を妨げています。本セクションでは、現行のリスク評価手法の課題を整理し、標準化されたデータ侵害リスクスコアの必要性を提起します。
業界・時系列でのリスク比較の課題
異なる業界間でデータ侵害リスクを評価する上での主な障壁の一つは、統一された報告基準の欠如です。この課題は、世界で200を超えるデータプライバシー規制が存在し、それぞれ独自の要件や仕様を持っていることにより、さらに複雑化しています。10 これらの規制は、適用範囲、執行メカニズム、個人に付与される権利などが異なります。
業界や地域ごとに、報告義務が発生する侵害の定義、報告のタイミング、開示すべき内容も異なります。例えば、以下のような違いがあります:
- 米国のヘルスケア業界では、HIPAAにより500人以上に影響を与える侵害は60日以内の報告が義務付けられています。
- EUのGDPRでは、影響人数にかかわらず特定の侵害を72時間以内に報告する必要があります。
- 多くの業界では具体的な報告要件がなく、開示が一貫せず遅れることも少なくありません。
米国だけでも、20州が包括的なデータプライバシー法を制定しており、今後も同様の法案が検討されています。これらの法律は、適用範囲や基準、消費者の権利(例:削除権、訂正権)、データ処理のオプトイン・オプトアウト要件、執行メカニズムや罰則など、さまざまな点で異なります。例えば、カリフォルニア州のCCPA/CPRAは個人情報の販売に対するオプトアウト権を消費者に付与していますが、バージニア州のCDPAでは機微なデータ処理にオプトイン同意が必要です。
リスクスコアアルゴリズムの開発
標準化されたリスクスコアの作成には、網羅性と実用性のバランスを取った慎重なアルゴリズム設計が必要です。本セクションでは、リスクスコアアルゴリズムの開発プロセスについて、その目的、構成要素、手法、解釈ガイドラインを詳しく説明します。
スコアの目的
リスクスコアは、主に3つの目的で設計されています。
- 包括的なリスク評価:リスクスコアは、サイバーセキュリティの脆弱性とその潜在的な影響の複数の側面を取り入れることで、組織のデータ侵害リスクを全体的に把握することを目的としています。単なる技術的な評価を超え、データ侵害が現実世界にもたらす影響を反映する要素も含まれます。
- 業界・時系列を超えた比較性:リスクスコアの重要な目標の一つは、異なる業界間やさまざまな時期において有意義な比較を可能にすることです。この比較性はベンチマークやトレンド分析に不可欠であり、組織が自社のリスクレベルをより広いサイバーセキュリティの状況の中で位置付けることを可能にします。
- リスク低減のための実践的な知見:単に数値を提供するだけでなく、リスクスコアは実践的な知見を提供するよう設計されています。スコアを構成要素ごとに分解することで、組織は脆弱な領域を特定し、リスク低減の取り組みに優先順位を付けて効果的に対策を講じることができます。
リスクスコアの構成要素
リスクスコアは、データ侵害リスクの異なる側面を反映する4つの主要な構成要素で構成されています。
- 侵害件数:この要素はデータ侵害インシデントの発生頻度を示します。侵害件数が多いほど、組織のセキュリティ対策に脆弱性があることを示唆します。
- 被害者数:この要素はデータ侵害の規模を反映します。影響を受けた個人が多いほど、より深刻な侵害であり、影響範囲も大きくなります。
- 1件あたりの被害者比率:この比率は、侵害の平均的な深刻度を示します。比率が高いほど、1回の侵害で多くの個人が影響を受ける傾向があることを意味します。
- データ侵害による損失額:この要素は、データ侵害による財務的な影響(直接的・間接的コストを含む)を取り入れています。潜在的な侵害に関連する経済的リスクを定量化するのに役立ちます。
リスクスコアインデックスの手法
リスクスコアは、一貫性と比較可能性を確保するための体系的な手法で算出されます。
- データの正規化手法:組織や業界ごとの規模の違いを考慮するため、各構成要素にパーセンタイルベースの正規化を採用しています。この手法では、各値をデータセット内で順位付けし、その順位を0から1のパーセンタイルに変換することで、異なる規模間でも公平な比較を可能にします。
- 構成要素の重み付け:各構成要素には、全体のリスクへの寄与度に基づいて特定の重みが割り当てられています。
- 侵害件数:30%
- 被害者数:30%
- 1件あたりの被害者比率:20%
- データ侵害による損失額:20%
これらの重みは、サイバーセキュリティの専門家へのヒアリングや過去の侵害データの分析を通じて決定されました。
- 算出プロセス:リスクスコアは以下の手順で算出されます。
各構成要素の前年比変化を算出します。
これらの変化にパーセンタイルベースの正規化を適用します。
各正規化値に割り当てられた重みを乗算します。
重み付けされた値を合計します。
合計値に10を乗算し、最終スコアを1~10の範囲にスケーリングします。
リスクスコアの解釈
- スコア範囲と意味
リスクスコアは1から10までの範囲で、高いスコアほどリスクが大きいことを示します:
これらのカテゴリーは相対的なものであることに注意が必要です。「低リスク」のスコアであっても、今日のサイバーセキュリティ環境では継続的な警戒が求められます。
- 比較分析ガイドライン
リスクスコアを解釈する際は:- 同業界内でスコアを比較し、同業他社とのベンチマークに活用します。
- スコアの経時的な推移を分析し、組織のリスクプロファイルの傾向を特定します。
- スコアを構成する個別要素を確認し、具体的な脆弱性領域を特定します。
- 他のリスク評価ツールや業界特有の要素と併せてスコアを考慮します。
- スコアをより詳細なリスク分析やリスク低減計画の出発点として活用します。
リスクスコアを構成する4つのデータ要素
本セクションでは、2024年上半期、2023年、2022年、および2023年~2018年のITRCデータに当社のリスクスコアアルゴリズムを適用した結果を示します。最新データを分析することで、現在のサイバーセキュリティ動向やさまざまな業界における新たな傾向について知見を提供することを目的としています。
注:すべての業界データ侵害件数および被害者数の合計は、全体のデータ侵害件数および被害者数とは一致しません。これは、いくつかの過小評価されている業界分野や「不明」および「その他」が除外されているためです。
データ侵害件数:2024年上半期~2022年上半期および2023年~2018年
| 業界 | 2024年上半期 侵害件数 | 2023年上半期 侵害件数 | 2022年上半期 侵害件数 |
|---|---|---|---|
| 合計 | 1,571 | 1,382 | 817 |
| 教育 | 76 | 80 | 41 |
| 金融サービス | 407 | 243 | 128 |
| 政府 | 74 | 50 | 33 |
| ヘルスケア | 236 | 377 | 160 |
| ホスピタリティ | 33 | 23 | 11 |
| 製造 | 151 | 112 | 115 |
| プロフェッショナルサービス | 178 | 137 | 94 |
| 小売 | 46 | 57 | 30 |
| テクノロジー | 66 | 87 | 31 |
| 運輸 | 54 | 36 | 19 |
| 公益事業 | 34 | 22 | n/a |
表2:2024年上半期、2023年、2022年のデータ侵害件数。
| 業界 | 2023年 | 2022年 | 2021年 | 2020年 | 2019年 | 2018年 |
|---|---|---|---|---|---|---|
| 全体 | 2,734 | 1,376 | 1,628 | 1,440 | 1,250 | 1,090 |
| 教育 | 173 | 99 | 150 | 125 | 100 | 90 |
| 金融サービス | 744 | 269 | 210 | 185 | 150 | 120 |
| 政府 | 105 | 72 | 95 | 90 | 85 | 80 |
| ヘルスケア | 809 | 343 | 350 | 290 | 250 | 220 |
| ホスピタリティ | 67 | 34 | 35 | 30 | 25 | 20 |
| 製造 | 259 | 249 | 220 | 205 | 190 | 180 |
| プロフェッショナルサービス | 308 | 223 | 315 | 290 | 250 | 200 |
| 小売 | 167 | 87 | 130 | 125 | 110 | 100 |
| テクノロジー | 71 | 0 | 60 | 55 | 50 | 45 |
| 公益事業 | 53 | 0 | 60 | 45 | 40 | 35 |
表3:2023年~2018年のデータ侵害件数。
データ侵害件数:2024年上半期 – 2022年・2023年上半期、および2018年~2023年
| 業種 | 2024年上半期 被害者数 | 2023年上半期 被害者数 | 2022年上半期 被害者数 |
|---|---|---|---|
| 合計 | 1,077,048,249 | 179,799,326 | 57,723,887 |
| 教育 | 722,460 | 1,656,813 | 405,493 |
| 金融サービス | 28,414,934 | 41,494,053 | 22,486,993 |
| 政府 | 9,376,758 | 11,079,145 | 810,529 |
| 医療 | 26,885,828 | 25,025,229 | 13,127,906 |
| ホスピタリティ | 564,245,892 | 428,360 | 77,761 |
| 製造 | 50,428,176 | 1,380,637 | 490,535 |
| プロフェッショナルサービス | 1,265,261 | 12,957,365 | 3,346,048 |
| 小売 | 384,019,001 | 6,142,588 | 325,530 |
| テクノロジー | 8,096,887 | 30,965,930 | 15,807,269 |
| 運輸 | 1,680,013 | 11,157,924 | 845,823 |
| 公益 | 1,566,546 | 37,377,449 | n/a |
表4:2024年上半期、2023年、2022年の被害者数。
| 業種 | 2023年 | 2022年 | 2021年 | 2020年 | 2019年 | 2018年 |
|---|---|---|---|---|---|---|
| 合計 | 237,519,000 | 407,000,000 | 209,480,000 | 186,940,000 | 165,390,000 | 146,350,000 |
| 教育 | 4,000,000 | 2,000,000 | 3,000,000 | 2,500,000 | 2,000,000 | 1,500,000 |
| 金融サービス | 61,000,000 | 27,000,000 | 50,000,000 | 45,000,000 | 40,000,000 | 35,000,000 |
| 政府 | 10,000,000 | 1,000,000 | 8,000,000 | 7,000,000 | 6,000,000 | 5,000,000 |
| 医療 | 56,000,000 | 28,000,000 | 48,000,000 | 42,000,000 | 38,000,000 | 36,000,000 |
| ホスピタリティ | 3,000,000 | 1,500,000 | 2,500,000 | 2,000,000 | 1,500,000 | 1,000,000 |
| 製造 | 5,000,000 | 24,000,000 | 15,000,000 | 13,000,000 | 11,000,000 | 9,000,000 |
| プロフェッショナルサービス | 30,000,000 | 6,000,000 | 20,000,000 | 18,000,000 | 15,000,000 | 12,000,000 |
| 小売 | 65,000,000 | 249,000,000 | 60,000,000 | 55,000,000 | 50,000,000 | 45,000,000 |
| テクノロジー | 222,000 | n/a | 200,000 | 180,000 | 150,000 | 130,000 |
| 公益 | 297,000 | n/a | 280,000 | 260,000 | 240,000 | 220,000 |
表5:2018年~2023年のデータ被害者数。
| 業種 | 2023年 vs. 2022年 | 2022年 vs. 2021年 | 2021年 vs. 2020年 | 2020年 vs. 2019年 | 2019年 vs. 2018年 |
|---|---|---|---|---|---|
| 全体 | -71.35% | 48.53% | 10.76% | 11.53% | 11.51% |
| 教育 | 50.00% | -50.00% | 16.67% | 20.00% | 25.00% |
| 金融サービス | 55.74% | -85.19% | 10.00% | 11.11% | 12.50% |
| 政府 | 90.00% | -700.00% | 12.50% | 14.29% | 16.67% |
| 医療 | 50.00% | -71.43% | 12.50% | 9.52% | 5.26% |
| ホスピタリティ | 50.00% | -66.67% | 20.00% | 25.00% | 33.33% |
| 製造 | -380.00% | 37.50% | 13.33% | 15.38% | 18.18% |
| プロフェッショナルサービス | 80.00% | -233.33% | 10.00% | 16.67% | 20.00% |
| 小売 | -283.08% | 75.90% | 8.33% | 9.09% | 10.00% |
| テクノロジー | n/a | n/a | 10.00% | 16.67% | 13.33% |
| 公益 | n/a | n/a | 7.14% | 7.69% | 8.33% |
表6:2018年~2023年のデータ被害者数の増減。
データ侵害1件あたりの被害者数:2024年上半期 – 2022年上半期および2023年 – 2018年
| 業界 | 2024年上半期 1件あたり被害者数 | 2023年上半期 1件あたり被害者数 | 2022年上半期 1件あたり被害者数 |
|---|---|---|---|
| 合計 | 760,091 | 142,698 | 87,196 |
| 教育 | 9,506 | 201,710 | 9,890 |
| 金融サービス | 69,816 | 170,757 | 175,680 |
| 政府 | 126,713 | 221,583 | 24,561 |
| ヘルスケア | 113,923 | 66,380 | 82,049 |
| ホスピタリティ | 17,098,360 | 18,624 | 7,069 |
| 製造 | 333,961 | 12,327 | 4,266 |
| プロフェッショナルサービス | 7,108 | 94,579 | 35,596 |
| 小売 | 8,348,239 | 107,765 | 10,851 |
| テクノロジー | 122,680 | 355,930 | 509,912 |
| 運輸 | 31,111 | 309,942 | 44,517 |
| 公益 | 46,075 | 1,698,975 | n/a |
表7:2024年上半期、2023年、2022年のデータ侵害1件あたりの被害者数。
| 業界 | 2023年 | 2022年 | 2021年 | 2020年 | 2019年 | 2018年 |
|---|---|---|---|---|---|---|
| 全体 | 86,876 | 295,785 | 128,673 | 129,819 | 132,312 | 134,266 |
| 教育 | 23,121 | 20,202 | 20,000 | 20,000 | 20,000 | 16,667 |
| 金融サービス | 81,989 | 100,372 | 238,095 | 243,243 | 266,667 | 291,667 |
| 政府 | 95,238 | 13,889 | 84,211 | 77,778 | 70,588 | 62,500 |
| ヘルスケア | 69,221 | 81,633 | 137,143 | 144,828 | 152,000 | 163,636 |
| ホスピタリティ | 44,776 | 44,118 | 71,429 | 66,667 | 60,000 | 50,000 |
| 製造 | 19,305 | 96,386 | 68,182 | 63,415 | 57,895 | 50,000 |
| プロフェッショナルサービス | 97,403 | 26,906 | 63,492 | 62,069 | 60,000 | 60,000 |
| 小売 | 389,222 | 2,862,069 | 461,538 | 440,000 | 454,545 | 450,000 |
| テクノロジー | 3,127 | n/a | 3,333 | 3,273 | 3,000 | 2,889 |
| 公益 | 5,604 | n/a | 4,667 | 5,778 | 6,000 | 6,286 |
表8:2018年~2023年のデータ侵害1件あたりの被害者数。
データ侵害の平均コスト
以下のデータは、IBMの年次「データ侵害コストレポート」に基づいており、アルゴリズムの4つのデータ要素のうち4番目の構成要素です。
| 業界 | 2024年 | 2023年 | 2022年 | 2021年 | 2020年 | 2019年 | 2018年 |
|---|---|---|---|---|---|---|---|
| 合計 | $4,880,000 | $4,450,000 | $4,350,000 | $4,240,000 | $3,860,000 | $3,920,000 | $3,860,000 |
| 教育 | $3,480,000 | $2,960,000 | $3,280,000 | $3,270,000 | $2,010,000 | $1,840,000 | $1,160,000 |
| 金融サービス | $5,560,000 | $4,730,000 | $4,470,000 | $4,240,000 | $4,990,000 | $5,200,000 | $1,520,000 |
| 政府 | $4,880,000 | $4,450,000 | $4,350,000 | $4,240,000 | $3,860,000 | $3,920,000 | $3,860,000 |
| ヘルスケア | $6,080,000 | $5,900,000 | $5,970,000 | $5,720,000 | $5,850,000 | $5,860,000 | $2,060,000 |
| ホスピタリティ | $3,500,000 | $3,650,000 | $3,860,000 | $3,790,000 | $3,900,000 | $4,770,000 | $1,660,000 |
| 製造 | $5,450,000 | $4,660,000 | $4,970,000 | $4,880,000 | $5,040,000 | $5,050,000 | $1,700,000 |
| 製薬 | $5,080,000 | $4,470,000 | $4,700,000 | $4,650,000 | $4,230,000 | $4,620,000 | $1,810,000 |
| プロフェッショナルサービス | $4,430,000 | $4,180,000 | $3,590,000 | $3,750,000 | $3,580,000 | $3,770,000 | $1,280,000 |
| 小売 | $2,550,000 | $2,600,000 | $2,070,000 | $1,930,000 | $1,080,000 | $1,290,000 | $750,000 |
| テクノロジー | $5,290,000 | $4,780,000 | $4,720,000 | $4,650,000 | $6,390,000 | $5,600,000 | $1,670,000 |
| 運輸 | $3,820,000 | $3,630,000 | $2,940,000 | $2,030,000 | $1,720,000 | $1,990,000 | $1,200,000 |
| 公益 | $5,100,000 | $4,820,000 | $5,010,000 | $5,040,000 | $5,060,000 | $5,200,000 | $1,740,000 |
表9:2018年~2024年 業界別データ侵害の平均コスト。
業界別リスクスコア算出結果
リスクスコア:2024年上半期、2023年上半期、2022年上半期
セクションIIIで説明した手法を用いて、各業界ごとに2つの比較期間(2024年対2023年、2023年対2022年)のリスクスコアを算出しました。
| 業界 | 2024年上半期リスクスコア | 2023年上半期リスクスコア | 2022年上半期リスクスコア |
|---|---|---|---|
| 合計 | 7.3 | 6.6 | 6.2 |
| 教育 | 3.2 | 7.1 | 5.3 |
| 金融サービス | 5.9 | 6.8 | 7.4 |
| 政府 | 6.7 | 8.2 | 4.1 |
| 医療 | 5.4 | 6.4 | 6.7 |
| ホスピタリティ | 10.0 | 4.3 | 3.5 |
| 製造 | 8.6 | 3.9 | 3.7 |
| プロフェッショナルサービス | 3.5 | 6.9 | 5.6 |
| 小売 | 9.1 | 6.1 | 3.8 |
| テクノロジー | 3.8 | 7.6 | 8.3 |
| 運輸 | 3.0 | 7.3 | 5.9 |
| 公益 | 4.7 | n/a | n/a |
表10:2024年上半期、2023年上半期、2022年上半期のリスクスコア。
リスクスコア:2023年~2018年
さらに、確立した手法に基づき、2018年から2023年までの各業界のリスクスコアも算出しました。
| 業界 | 2023年 | 2022年 | 2021年 | 2020年 | 2019年 | 2018年 |
|---|---|---|---|---|---|---|
| 全体 | 7.3 | 6.0 | 6.2 | 5.4 | 5.3 | 5.1 |
| 教育 | 7.2 | 5.0 | 5.1 | 4.8 | 5.4 | 4.6 |
| 金融サービス | 8.5 | 6.2 | 4.6 | 6.0 | 6.4 | 5.8 |
| 政府 | 7.9 | 4.0 | 6.3 | 5.5 | 4.8 | 4.4 |
| 医療 | 8.2 | 5.4 | 5.0 | 6.8 | 5.9 | 5.3 |
| ホスピタリティ | 7.4 | 5.2 | 5.8 | 5.1 | 4.9 | 4.5 |
| 製造 | 5.8 | 4.9 | 3.8 | 4.3 | 4.6 | 5.0 |
| プロフェッショナルサービス | 6.0 | 4.5 | 6.4 | 5.2 | 5.8 | 5.4 |
| 小売 | 6.3 | 3.6 | 7.2 | 5.7 | 5.3 | 4.9 |
| テクノロジー | 7.4 | 5.7 | 5.3 | 4.9 | 5.2 | 4.7 |
| 運輸 | 6.7 | 5.8 | 5.5 | 5.3 | 5.6 | 4.8 |
| 公益 | 7.0 | 4.3 | 4.8 | 4.0 | 5.6 | 5.1 |
表11:2018年~2023年 業界別リスクスコア。
データの知見とトレンド
リスクスコアと集計データ
データ侵害の総件数は観測期間を通じて一貫して増加傾向にあり、全業種でサイバーセキュリティインシデントが急増していることを示しています。2022年上半期から2023年上半期にかけて侵害件数は69.16%増加し、さらに2023年上半期から2024年上半期には13.68%の増加となりました。これにより、2022年上半期から2024年上半期までの全体増加率は92.29%に達しています。さらに注目すべきは、これらの侵害による被害者数の指数関数的な増加です。被害者数は2022年上半期から2023年上半期にかけて194.50%増加し、2023年上半期から2024年上半期には490.76%急増し、2022年上半期から2024年上半期までの累計で1639.75%という驚異的な増加となっています。1件あたりの被害者数もこの傾向を強調しており、2022年上半期から2023年上半期で74.10%増加、2023年上半期から2024年上半期で419.69%急増し、2022年上半期から2024年上半期までの全体で804.76%の増加となりました。
これらの数値は、サイバー攻撃の頻度が増しているだけでなく、1件あたりの規模や影響も拡大し、1インシデントあたりの被害者数が劇的に増加しているという憂慮すべき状況を浮き彫りにしています。業界別および6年間の時系列でリスクスコアを分析すると、興味深い知見が得られます。2023年の全体リスクスコアは7.2となり、2022年の5.9から18%増加しました。この急増は、サイバー攻撃の複雑化だけでなく、財務的損失や評判の毀損、規制当局による監視など、より広範な業務への影響も反映しています。IBMの「データ侵害コストレポート」のデータもこの傾向を裏付けており、データ侵害の世界平均コストが10%増加し、現在は488万ドルに達しています。11この傾向は、全業界でサイバーセキュリティ対策と備えを強化し、データ侵害によるリスクと損害の拡大を抑制する必要性が急務であることを示しています。
業界別リスクスコアと分析
教育
教育分野は過去6年間でリスクスコアが大幅に上昇しており、デジタルツールやリモート学習技術の普及に伴いサイバー攻撃への曝露が拡大していることを反映しています。2018年の教育分野のリスクスコアは4.2と比較的低い水準でしたが、その後毎年着実に上昇し、2022年には4.9、2023年には7.1へと急増し、1年で44.9%の増加となりました。
この一貫した上昇傾向は、オンラインプラットフォーム、サードパーティアプリケーション、クラウドサービスへの依存度が高まったことで、教育機関の攻撃対象領域が拡大したことを示しています。2023年のデータ侵害件数は2022年比で42.77%増加しており、教育機関がますます標的となっていることが分かります。この攻撃増加の背景には、教育分野のサイバーセキュリティ予算の制約やサードパーティアプリへの依存拡大が挙げられます。
これらの侵害による影響も大きく拡大しています。2022年には約200万人が教育分野のデータ侵害で被害を受けましたが、2023年にはこの数が倍増し400万人を超え、攻撃規模の拡大が浮き彫りになっています。財務面でも深刻で、高等教育機関の49%が2023年にデータ侵害訴訟費用として500万ドル超を支払ったと報告しています。さらに、教育分野のデータ侵害平均コストはわずかに減少したものの、2023年でも348万ドルと依然高水準です。
注目すべきは、2024年上半期の最新データでリスクスコアが3.2と急減し、2023年上半期の7.1や2022年上半期の5.3と比べて大きく低下している点です。この最近の減少は、影響の大きい侵害が減少したか、セキュリティ対策が向上した可能性を示唆しています。ただし、過去数年の1件あたり被害者数の変動が示すように、教育分野のサイバーセキュリティ情勢は依然として不安定であり、この改善を慎重に評価する必要があります。
直近の改善傾向にもかかわらず、教育機関は依然としてサイバー犯罪者にとって魅力的な標的です。システム内に大量の個人情報を保有し、デジタル化が進むことで、今後もセキュリティ強化の継続とさらなる改善が不可欠です。リスク軽減のためには、データガバナンスの強化、利用するコミュニケーションツールの削減、教職員や学生への包括的なサイバーセキュリティ研修への投資が重要です。
金融サービス
金融サービス分野は、過去6年間でリスクスコアが緩やかに、しかし着実に上昇しており、サイバー犯罪者にとって最重要ターゲットであることを反映しています。2018年のリスクスコアは5.5で、2020年には6.0、2022年には6.1と上昇し、2023年には8.4へと急増しました。この一貫した上昇は、デジタル金融サービスへの依存拡大と、高価値資産を狙う高度なサイバー攻撃への脆弱性の高まりを示しています。
業界内のデータ侵害件数は2022年から2023年にかけて63.84%増加し、2023年には744件が報告されました。これらの侵害による影響も大きく、被害者数は2022年の2700万人から2023年には6100万人へと急増しています。この大幅な増加は、サイバー攻撃の巧妙化と、サードパーティベンダーへの依存による脆弱性の拡大を浮き彫りにしています。
金融サービス分野のデータ侵害平均コストは2023年に556万ドルに上昇し、金融データ保護の重要性とリスクの高さを示しています。こうした懸念すべき傾向にもかかわらず、直近の半期データでは改善も見られます。リスクスコアは2022年上半期に7.4、2023年上半期に6.8、2024年上半期に5.9とやや低下傾向です。ただし、金融サービス分野は業務の性質上、依然として大きな金銭的損失リスクにさらされています。
これらのリスクを軽減するため、金融機関は引き続き堅牢なセキュリティインフラへの投資、ベンダーリスク管理の強化、グローバルなデータ保護規制への準拠を徹底する必要があります。最近の改善傾向は、サイバーセキュリティ対策への注力が成果を上げつつあることを示唆していますが、依然としてサイバー犯罪者の標的であることから、継続的な警戒が不可欠です。
政府
政府分野は全業界の中でもリスクスコアの上昇が特に顕著です。2019年のリスクスコアは4.0でしたが、2023年には7.8へと急増し、この期間で95%の増加となりました。この急増は、国家主導のサイバー攻撃や政治的動機によるインシデントの増加、特に国家安全保障システムやレガシーインフラを標的とした攻撃の増加が主な要因です。
データ侵害件数の増加も同様に深刻で、2022年から2023年にかけて31.43%増加し、2023年には105件が報告されました。これらの侵害による影響は甚大で、被害者数は2022年の100万人から2023年には1000万人へと10倍に増加し、政府機関への攻撃の規模と巧妙化が進んでいることを示しています。
半期データではリスクスコアの大きな変動が見られます。2022年上半期の4.1から2023年上半期には8.2へ急増し、2024年上半期には6.7へと低下しています。これらの変動は、政府組織が直面するサイバー脅威の不安定さと、安定的なセキュリティ対策維持の難しさを浮き彫りにしています。
政府分野のデータ侵害平均コストは2023年に488万ドルとなり、これらのインシデントによる財務的影響の大きさを示しています。政府機関は、レガシーシステムやインフラへの依存、広範なサードパーティネットワークの存在により、サイバー犯罪者の主要な標的となっています。これらの脅威に対抗するため、政府はレガシーシステムの近代化、ゼロトラストフレームワークの導入、官民連携の強化を優先し、将来の攻撃に備えた防御体制を強化する必要があります。
ホスピタリティ
ホスピタリティ分野は、近年特にリスクスコアの変動が激しい業界の一つです。2018年から2023年にかけてリスクスコアは4.5から7.4へと着実に上昇し、64.4%の増加となりましたが、特に直近2年間の変化が顕著です。2022年上半期の3.5から2023年上半期の4.3、そして2024年上半期には10.0へと急増し、わずか2年で185%の増加となりました。
この傾向はデータ侵害件数にも表れており、2018年の20件から2023年には67件へと235%増加しています。被害者数も同様に、同期間で100万人から300万人へと増加しました。興味深いのは、1件あたりの被害者数は5万~7万人で比較的安定しており、攻撃頻度は増加しているものの、1件あたりの規模は比例して拡大していないことを示唆しています。
リスクスコアとインシデント数の大幅な増加は、予約や決済システムにおける顧客データへの依存度の高まりが主な要因と考えられます。特に2024年上半期の急増は、消費者行動の変化に対応したデジタルサービスやリモート運用の急速な導入が影響している可能性があります。これらの進展は顧客体験を向上させた一方で、サイバー犯罪者にとっての攻撃対象領域も拡大しました。
このような状況を踏まえ、ホスピタリティ業界はこれまで以上にサイバーセキュリティを最優先課題とし、特に顧客情報や決済システムのデータ保護強化に注力する必要があります。業界が今後もイノベーションとデジタル化を進める中で、サイバーセキュリティ対策もそれに合わせて強化し続けることが求められます。2022年から2024年にかけてのリスクスコアの急上昇は、脅威拡大への警鐘であり、サイバーセキュリティ実践の抜本的な強化が急務であることを示しています。
製造
製造分野は近年、サイバーセキュリティリスクスコアが大幅に上昇しています。2018~2022年の具体的なデータはありませんが、2022年上半期の3.7から2023年上半期の3.9、2024年上半期には8.6へと急増し、わずか2年で132%の増加となっています。これは、製造業界の脅威情勢が急速に変化していることを示しています。
リスクスコアの急増は、侵害件数や1件あたり被害者数の増加と連動しており、業界がより深刻かつ頻発するサイバー攻撃に直面していることを示唆しています。この傾向は、スマートファクトリーやコネクテッドサプライチェーンなどのデジタル製造技術の普及により、サイバー攻撃の対象領域が拡大したことが主な要因です。
製造分野での侵害は、生産ラインの停止、サプライチェーンの混乱、知的財産の流出など、広範な影響を及ぼす可能性があります。これらの影響は直接的な財務損失にとどまらず、製品品質や納期、場合によっては公共の安全にも波及する恐れがあります。
リスクスコアの大幅な上昇は、製造業務における堅牢なサイバーセキュリティ対策の導入がいかに重要かを強調しています。業界がIoTデバイス、AI、クラウドコンピューティングなどのインダストリー4.0技術を積極的に導入する中で、サイバーセキュリティへのアプローチも進化させる必要があります。製造業者は、複雑化するITインフラの保護、強力なアクセス制御の実施、サイバーセキュリティプロトコルの定期的な評価と更新に注力し、巧妙化する脅威から自社を守る必要があります。
プロフェッショナルサービス
プロフェッショナルサービス分野は、近年サイバーセキュリティリスクの変動が顕著です。2018~2022年の具体的なデータはありませんが、直近の半期ごとのリスクスコアは大きく変動しています。2022年上半期の5.6から2023年上半期の6.9へ上昇し、2024年上半期には3.5へと大幅に低下しました。
この最近のリスクスコア低下は、より優れたインシデント検知や対応体制の導入によって、業界がサイバーセキュリティリスク管理で大きな進展を遂げた可能性を示唆しています。ただし、2023年上半期の1件あたり被害者数は依然として高く、侵害件数は減少したものの、その影響は依然として大きいことが分かります。
2024年上半期の改善は、データ保護対策やセキュリティプロトコルの強化による侵害影響の低減に業界が注力した結果と考えられます。この前向きな傾向は歓迎されるものの、プロフェッショナルサービス分野は機密性の高いクライアントデータを扱う業務特性から、引き続き攻撃者にとって魅力的な標的であることに変わりありません。
リスクスコアの改善が見られる一方で、プロフェッショナルサービス企業は引き続きデータ保護を最優先課題とし、特に複数クライアントの機密情報を管理する役割を踏まえ、サイバーセキュリティ対策の維持・強化に努める必要があります。堅牢な暗号化、定期的なセキュリティ監査、包括的な従業員研修プログラムの実施など、脅威情勢の変化に対応した継続的な投資が、今後も前向きな傾向を維持するために不可欠です。
小売
小売分野は過去6年間でサイバーセキュリティリスクスコアの大きな変動が見られます。リスクスコアは2021年に6.0でピークを迎えた後、2022年には3.5に低下し、2023年には6.2に再び上昇しました。この変動は、Eコマースの拡大や決済システムの脆弱性への対応など、業界のサイバーセキュリティへの取り組みの変化を反映しています。
直近の半期データでは、リスクスコアが2022年上半期の3.8から2023年上半期の6.1、2024年上半期には9.1へと急上昇しており、2年間で139%の増加となっています。これは、特にEコマースやデジタル取引の拡大に伴い、小売業界に対する脅威が増大していることを示しています。
小売分野のデータ侵害件数も一貫して増加しており、2022年から2023年にかけて47.90%増加し、2023年には167件(2022年は87件)が報告されています。過去5年間では2021年に130件でピークを迎えた後、2022年に減少し、2023年に再び増加しています。
興味深いのは、侵害件数が増加した一方で、被害者数は2022年の2億4900万人から2023年には6500万人へと大幅に減少している点です。これは、攻撃頻度は増加しているものの、漏えい件数の規模が限定的になっている可能性があり、封じ込め対策の向上が影響していると考えられます。
小売分野のデータ侵害平均コストは2023年に255万ドルとなり、これらのインシデントに伴う財務負担の大きさを示しています。小売業は大量の金融取引を扱い、サードパーティベンダーへの依存度が高いため、特に脆弱です。リスク軽減のためには、決済セキュリティの強化、サプライチェーンの保護、顧客データを扱うサードパーティツールへの依存削減を最優先課題とする必要があります。
テクノロジー
テクノロジー分野は、2018年から2023年までの6年間でリスクスコアが比較的安定して上昇しています。2018年の5.3から2023年には7.3へと37.7%増加し、クラウドサービスへの依存、知的財産の窃取リスク、重要インフラ侵害の可能性など、継続的なサイバーリスクへの曝露を反映しています。
直近の半期データでは、リスクスコアが2022年上半期の8.3から2023年上半期の7.6、2024年上半期には3.8へと急減しており、特に業界がグローバルインフラの中核を担い、技術革新の最前線にあることを考えると注目すべき傾向です。
テクノロジー分野のデータ侵害件数は近年比較的安定しており、2023年は71件、2022年は70件、2021年は60件、2020年は55件と推移しています。被害者数は他業種と比べて少なく、2023年は22万2000人でしたが、知的財産や機密情報など、扱うデータの性質から、少数の侵害でも影響は非常に大きいと言えます。
テクノロジー分野のデータ侵害平均コストは2023年に529万ドルとなり、知的財産や重要インフラが関与するケースが多いことから高額となっています。リスクスコアの最近の改善にもかかわらず、大量の機密データを管理し、高度なサイバー攻撃の主要標的であることから、業界は依然として大きな課題に直面しています。
これらのリスクを軽減するため、テクノロジー企業はクラウドセキュリティの強化、暗号化プロトコルの強化、知的財産保護のための堅牢なアクセス制御の実装を最優先すべきです。サイバーセキュリティ分野でのイノベーション能力が、今後もリスクスコア改善傾向を維持する上で重要となります。
公益事業
公益事業分野は、過去5年間でサイバーセキュリティリスクスコアが緩やかに、かつ一貫して上昇しています。リスクスコアは2019年の4.0から2023年には6.9へと72.5%増加し、特に電力網や水道システムなど重要インフラを標的としたサイバー攻撃への脆弱性が高まっていることを示しています。
2022年上半期および2023年上半期の半期データはありませんが、2024年上半期には公益事業分野が大きな懸念領域として浮上しています。この期間には34件のデータ侵害が報告され、156万6546人が被害を受けました。1件あたりの被害者数が4万6075人と特に高く、この分野で侵害が発生した場合、多数の人々に影響が及ぶ傾向があることが分かります。公益事業分野のデータ侵害件数は他業種と比べて比較的少なく、2023年は53件、2021年と2020年はいずれも60件でしたが、被害者数は2020年の26万人、2021年の28万人、2023年の29万7000人と増加傾向にあります。
公益事業分野のデータ侵害による財務的影響も大きく、2023年の平均コストは510万ドルで、2022年の482万ドルからやや増加しました。この高コストは、公益サービスの重要性と、大規模な侵害時の社会的混乱の可能性を反映しています。
公益事業分野は、レガシーインフラの保護や、業務に不可欠な外部ベンダーに関連するリスク管理に大きな課題を抱えています。多くの公益事業者が依然として旧式システムを使用しており、サイバー犯罪者や国家主導の攻撃者による高度な攻撃に対して脆弱です。
これらのリスク増大に対応するため、公益事業者はインフラの近代化、強力なサイバーセキュリティプロトコルの導入、政府機関との連携強化に注力する必要があります。運用技術(OT)システムのセキュリティ強化、インシデント対応能力の向上、サプライチェーンセキュリティの強化が、進化するサイバー脅威からこの重要分野を守るために不可欠です。
全体的な知見と主なポイント
業界全体で続くサイバーリスクの増大
2018年から2023年にかけて、すべての業界でリスクスコアが着実に上昇し、サイバー脅威の複雑化とその広範な影響が浮き彫りになりました。業界全体の平均リスクスコアは2022年の5.9から2023年には7.2へと上昇し、18%の増加となりました。この成長は攻撃の頻度が増しただけでなく、侵害の深刻度や業務への影響も大幅に拡大していることを示しており、財務的損失や評判の毀損、規制当局による監視強化などが含まれます。
2019年から2020年にかけては、全業界でインシデント件数が特に急増し、急速なリモートワークへの移行やデジタルトランスフォーメーションの加速が、業界全体のサイバー脅威への脆弱性を高めたことが明らかになりました。この傾向はその後も続き、各業界でリスクスコアの顕著な上昇が見られました:
- 教育: リスクスコアは2022年の4.9から2023年には7.1へと44.9%増加し、デジタル学習プラットフォームやオンラインリソースへの依存度の高まりが反映されています。
- 金融サービス: リスクスコアは2022年の6.1から2023年には8.4へと37.7%増加し、高価値な金融資産や機密性の高い顧客データが継続的に標的となっていることを示しています。
- ヘルスケア: 2018年の5.0から2023年の8.1へとリスクスコアが上昇し、5年間で62%増加。デジタルヘルスシステムの脆弱性の高まりと、医療データのサイバー犯罪者にとっての価値の高さが浮き彫りになっています。
- 政府: 最も急激な増加の一つで、政府部門のリスクスコアは2019年の4.0から2023年の7.8へと95%増加。国家による脅威の激化や、レガシーシステムのセキュリティ確保の課題が反映されています。
サイバーリスクの継続的な増加は、データ侵害の規模と影響の拡大にも表れています。たとえば、データ侵害件数の合計は一貫して増加傾向にあり、2022年上半期から2024年上半期にかけて92.29%増加しました。さらに注目すべきは、これらの侵害による被害者数が同期間で1639.75%という驚異的な増加を記録している点です。
サイバーリスクの増大は、サイバー脅威の進化にも起因しています。攻撃者はAIや機械学習などの先端技術を駆使し、従来型のセキュリティ対策を回避するようになっています。さらに、IoTデバイスやクラウドサービス、リモートワーク環境の普及によって攻撃対象領域が拡大し、サイバー犯罪者が迅速に悪用できる新たな脆弱性が生まれています。
業界がデジタル化と相互接続を進める中、サイバーリスクの増加傾向は今後も続くと考えられます。これにより、全業界の組織がサイバーセキュリティ対策を強化するだけでなく、急速に変化する脅威環境に適応できるリスクベースのプロアクティブなセキュリティアプローチを採用する必要性が急務となっています。
データ侵害と被害者数の変動:その背景を読み解く
過去6年間、データ侵害件数と被害者数の関係は業界ごとに大きく変動してきました。いくつかの業界でこの傾向が顕著に見られます:
- 小売: 2023年にはデータ侵害件数が167件と、2022年の87件から増加しましたが、被害者数は2億4900万人から6500万人へと大幅に減少しました。この変動は、2023年に侵害の封じ込めが強化されたか、攻撃規模が小さくなったことを示唆しています。なお、この傾向は一貫しておらず、2020年には侵害件数が少ないにもかかわらず被害者数が6000万人に達しており、侵害の規模や影響が年ごとに異なることが分かります。
- テクノロジー: データ侵害件数は年ごとに比較的安定しており、2023年は71件、2020年は55件でした。しかし、被害者数は2023年の22万2000人から2021年の28万人まで大きく変動しており、少数の侵害でも大量の機密データが流出しうることを示しています。
- ヘルスケア: この業界ではデータ侵害件数と被害者数の比率に大きな乖離が見られます。2021年には350件のデータ侵害で4800万人が被害を受け、2023年には809件の侵害で5600万人が被害に遭いました。これは、攻撃がより大規模な組織や価値の高い患者情報を狙う形で集中化してきていることを示唆しています。
こうした比率の変動は、単なる件数だけでなく、侵害の規模や流出したデータの機密性を理解する重要性を示しています。特定の業界では侵害件数が少ない年もありますが、発生した侵害はより巧妙化し、より深刻な影響を及ぼす傾向にあります。
サードパーティベンダーによるリスクの増大:業界横断的な課題
2018年から2023年にかけて、各業界はサードパーティベンダーへの依存度を高めており、攻撃対象領域が大幅に拡大しています。この依存により、機密データのやり取りの追跡や保護が難しくなり、より複雑かつ広範な侵害が発生しています。主な調査結果は以下の通りです:
- 金融サービスおよびテクノロジー: 金融機関の66%、テクノロジー企業の65%が、1,000社以上の外部ベンダーと機密性の高いコンテンツをやり取りしていると報告しています。これは前年以前からリスクが継続的に増加していることを示しています。
- 政府: 約30%の政府機関が5,000以上のサードパーティとデータをやり取りしており、他業界と比べて著しく高い割合です。この大規模な外部データ交換ネットワークは、特に国家による攻撃の標的となりやすいレガシーシステムの近代化に苦慮する政府組織にとって大きなリスクとなっています。
- 全体的な傾向: サードパーティベンダーが原因となる侵害の割合は2018年から2023年にかけて着実に増加しています。Verizonによると、昨年はサードパーティに起因するデータ侵害の割合が68%増加し、全データ侵害の15%を占めました。
この傾向は、全業界でベンダー管理の強化や、より堅牢なサードパーティリスク管理戦略の必要性が高まっていることを浮き彫りにしています。
推奨事項とまとめ
サイバーセキュリティの状況が進化する中、リスクスコア手法はさまざまな分野で変革的な可能性をもたらします。本セクションでは、この標準化されたリスク評価アプローチを活用した今後の有望な活用例を紹介し、より安全でコンプライアンスに優れ、インテリジェントなサイバーエコシステムのビジョンを提示します。
- 予測的リスクモデリングとAI強化型脅威インテリジェンス
リスクスコア評価を通じて蓄積された過去データは、予測モデリングにおいて大きな可能性を秘めています。高度な時系列モデルの開発やAI・機械学習技術の統合により、将来のリスクスコアを予測し、新たな脅威をこれまでにない精度で特定することが可能になります。このアプローチは、動的な早期警戒システムの構築につながり、組織がリスクが顕在化する前にサイバーセキュリティリスクへ能動的に対応できるようになります。
AIがグローバルな脅威インテリジェンスフィードを継続的に分析し、組織固有のリスクスコアと相関させてリアルタイムで実用的な知見を生み出すシステムを想像してください。このようなシステムは、潜在的な攻撃シナリオをシミュレーションし、その影響をリスクスコアで評価し、個別最適化された緩和策を提案することで、真に応答性が高く先を見据えたリスク評価フレームワークを提供します。
- 規制コンプライアンスとレポーティングの革新
リスクスコアは、サイバーセキュリティリスクの開示におけるユニバーサルな指標となり、業界横断でリスクを伝達するための標準化された言語を生み出す可能性を秘めています。この標準化により、リアルタイムのリスクスコア監視を活用した、より効率的かつ効果的な規制監督と、プロアクティブなサイバーセキュリティガバナンスが実現します。
規制当局が業界全体のリスクスコアをリアルタイムで監視できる集中型ダッシュボードを想像してください。このシステムは、リスク閾値を超えた組織を自動的にフラグし、ターゲットを絞った監査を開始し、新たな傾向に基づいた政策介入を提案することも可能です。組織にとっては、リスクスコアデータに基づく自動レポーティングツールによる規制報告書の作成など、コンプライアンスプロセスの効率化が期待できます。
- 戦略的計画とリソース配分
リスクスコア手法は、戦略的なサイバーセキュリティ意思決定のための定量的な根拠を提供します。組織は、リスクスコアへの影響を組み込んだ高度なセキュリティ投資のROIモデルを構築することが可能です。このアプローチにより、データに基づく予算配分が実現し、リスク低減効果の高い分野にリソースを集中できます。
リスクスコアの構成要素の変動に応じてサイバーセキュリティ予算をリアルタイムで調整する動的な予算配分ツールを想像してください。このようなツールは、さまざまなセキュリティ施策間でリソース配分を最適化し、即時的な脅威対応と長期的なリスク低減戦略のバランスを取ることができます。
- ベンチマーク、パフォーマンス向上、協調防御
業界別のリスクスコアベンチマークを確立することで、組織は自社のセキュリティ体制を相対的に把握できます。このアプローチは継続的な改善文化を促進し、優良企業のベストプラクティスに基づくガイドライン策定を可能にします。
組織が匿名でリスクスコアデータやリスク低減成功事例を共有できる業界横断型のコラボレーションプラットフォームを想像してください。このエコシステムは、AIによる分析で業界全体の傾向を特定し、協調防御戦略を提案することで、サイバーセキュリティ実践の集団的な向上を促進します。
- サイバー保険とM&Aプロセスの変革
サイバー保険分野では、リスクスコアによりより正確かつ動的なリスク評価・価格設定モデルが実現します。保険会社は、組織の現在のリスクスコアに応じて保険料をリアルタイムで調整するパーソナライズされた利用ベースの保険商品を提供できるようになります。
また、M&Aにおいては、リスクスコアがサイバーセキュリティリスク評価の標準手法となり得ます。AIを活用して統合後のリスクスコアを予測するデューデリジェンスプロセスを想像してください。これにより、サイバーリスクを考慮したより適切な意思決定や公正な評価が可能になります。
- サードパーティリスク管理とセキュアなコミュニケーションの強化
組織が複雑なベンダー・パートナーネットワークにますます依存する中、リスクスコア手法はサードパーティリスク管理を革新します。すべてのベンダーのリスクスコアを継続的に監視し、パートナーのリスクレベル変化時にアクセス権限や追加セキュリティ対策を自動調整するサプライチェーン管理システムを想像してください。
機密性の高いコミュニケーションにおいては、参加者のリスクスコアやコンテンツの機密度に応じてセキュリティプロトコルを動的に調整するインテリジェントなシステムを想像してください。これにより、特に医療や金融など高リスク業界で、より安全かつ効率的な情報共有が実現します。
- 複雑な規制環境のナビゲーション
データプライバシーやセキュリティ規制が拡大する中、リスクスコアはコンプライアンスの確保・証明のための重要なツールとなり得ます。複数の法域にまたがる規制要件にリスクスコアの構成要素をマッピングし、組織のグローバルなコンプライアンス状況をリアルタイムで可視化する動的なコンプライアンスダッシュボードを想像してください。
このシステムは、現在のリスクスコアに基づく潜在的な罰金額の自動算出や、コンプライアンスギャップへの個別最適化された対応策の提案、さらには新たな規制が組織のリスクプロファイルに与える影響の予測も可能です。
- AI時代のセキュアなコラボレーション
生成AIや大規模言語モデルの台頭は、データセキュリティに新たな課題をもたらしており、進化したリスクスコア手法がこれに対応できます。ドキュメントの内容や送信先、AIとの潜在的な相互作用に基づき自動的にリスクスコアを割り当てるインテリジェントなファイル共有プラットフォームを想像してください。このシステムは、動的なアクセス制御や暗号化レベルを適用し、AIによる意図しないデータ取り込みから機密コンテンツを保護しつつ、生産的なコラボレーションも実現します。
さらに、AI固有のリスクスコア構成要素により、AIシステムが機密情報を処理する際の特有のリスクを評価・緩和できます。これにより、潜在的なデータ漏洩リスクを詳細に可視化し、緩和策を提案するAI監査ツールの開発が進み、組織はデータセキュリティを損なうことなくAIの活用が可能となります。
これらリスクスコア手法の将来活用を取り入れることで、組織はより能動的かつインテリジェントで協調的なサイバーセキュリティ体制へと進化し、デジタル社会の変化する課題に柔軟に対応できるようになります。
結論
サイバーセキュリティの状況はかつてないスピードで進化しており、データ侵害はあらゆる業界でますます頻繁かつ巧妙化し、甚大な被害をもたらしています。革新的なリスクスコア手法を活用した本分析では、このダイナミックな脅威環境に関する重要な知見が明らかになりました。
- 業界全体でサイバーリスクが一貫して上昇傾向にあり、平均リスクスコアは2022年から2023年にかけて18%上昇。
- データ侵害件数と被害者数の関係に大きな変動が見られ、サイバー攻撃の複雑化が浮き彫りに。
- サードパーティベンダーへの依存度の高まりに起因する脆弱性の増大。中には5,000社以上の外部組織と機密データをやり取りする業界も存在。
リスクスコア手法は、サイバー脅威に対する集団的防御の強力なツールです。サイバーセキュリティリスクを標準化・定量化して測定することで、業界や時系列を超えた有意義な比較を可能にし、より的確な意思決定やリソース配分を促進します。
デジタルフロンティアを進む中で、リスクスコアの活用領域—予測モデリングから規制コンプライアンス、AI強化型セキュリティまで—は、より安全な未来への道筋を示します。しかし、この可能性を実現するには、すべての関係者による協調的な取り組みが不可欠です。業界リーダーはその導入を推進し、政策立案者は規制枠組みへの統合を検討し、サイバーセキュリティ専門家はその精度と有用性を継続的に高めていく必要があります。
デジタルレジリエンスが最重要となる時代において、リスクスコア手法は単なる指標ではなく、行動への呼びかけです。このアプローチを受け入れることで、私たちはより安全で透明性が高く、レジリエントなデジタルエコシステムを共に構築できます。課題は大きいものの、リスクスコアがもたらす知見を武器に、これまで以上に明確な備えで明日のサイバー脅威に立ち向かうことができます。
付録
追加リスクスコア表
| 業種 | 2024年上半期 vs. 2023年上半期 | 2023年上半期 vs. 2022年上半期 | 2024年上半期 vs. 2022年上半期 |
|---|---|---|---|
| 合計 | 13.68% | 69.16% | 92.29% |
| 教育 | -5.00% | 95.12% | 85.37% |
| 金融サービス | 67.49% | 89.84% | 217.97% |
| 政府 | 48.00% | 51.52% | 124.24% |
| ヘルスケア | -37.40% | 135.63% | 47.50% |
| ホスピタリティ | 43.48% | 109.09% | 200.00% |
| 製造 | 34.82% | -2.61% | 31.30% |
| プロフェッショナルサービス | 29.93% | 45.74% | 89.36% |
| 小売 | -19.30% | 90.00% | 53.33% |
| テクノロジー | -24.14% | 180.65% | 112.90% |
| 運輸 | 50.00% | 89.47% | 184.21% |
| 公益 | 33.00% | n/a | n/a |
表12:2024年上半期、2023年、2022年のデータ侵害件数の増減率。
| 業種 | 2023年 vs. 2022年 | 2022年 vs. 2021年 | 2021年 vs. 2020年 | 2020年 vs. 2019年 | 2019年 vs. 2018年 |
|---|---|---|---|---|---|
| 全体 | 49.67% | -18.31% | 11.55% | 13.19% | 12.80% |
| 教育 | 42.77% | -51.52% | 16.67% | 20.00% | 10.00% |
| 金融サービス | 63.84% | 21.93% | 11.90% | 18.92% | 20.00% |
| 政府 | 31.43% | -31.94% | 5.26% | 5.56% | 5.88% |
| ヘルスケア | 57.60% | -2.04% | 17.14% | 13.79% | 12.00% |
| ホスピタリティ | 49.25% | -2.94% | 14.29% | 16.67% | 20.00% |
| 製造 | 3.86% | 11.65% | 6.82% | 7.32% | 5.26% |
| プロフェッショナルサービス | 27.60% | -41.26% | 7.94% | 13.79% | 20.00% |
| 小売 | 47.90% | -49.43% | 3.85% | 12.00% | 9.09% |
| テクノロジー | n/a | n/a | 8.33% | 9.09% | 10.00% |
| 公益 | n/a | n/a | 25.00% | 11.11% | 12.50% |
表13:2018年~2023年データ侵害件数の増減率。
| 業種 | 2024年上半期 vs. 2023年上半期 | 2023年上半期 vs. 2022年上半期 | 2024年上半期 vs. 2022年上半期 |
|---|---|---|---|
| 合計 | 490.76% | 194.50% | 1,639.75% |
| 教育 | -56.39% | 308.59% | 78.17% |
| 金融サービス | -31.52% | 84.52% | 26.36% |
| 政府 | -15.37% | 1,266.90% | 1,056.87% |
| ヘルスケア | 7.43% | 90.63% | 104.80% |
| ホスピタリティ | 131,622.36% | 450.87% | 725,515.53% |
| 製造 | 3,552.53% | 181.46% | 10,180.24% |
| プロフェッショナルサービス | -90.24% | 287.24% | -62.19% |
| 小売 | 6,151.75% | 1,786.95% | 117,867.32% |
| テクノロジー | -73.85% | 95.90% | -48.78% |
| 運輸 | -84.94% | 1,219.18% | 98.62% |
| 公益 | -22.86% | n/a | n/a |
表14:2024年上半期、2023年、2022年の被害者数増減率。
| 業種 | 2024年上半期 vs. 2023年上半期 | 2023年上半期 vs. 2022年上半期 | 2024年上半期 vs. 2022年上半期 |
|---|---|---|---|
| 合計 | 419.69% | 74.10% | 804.76% |
| 教育 | -54.10% | 109.40% | -3.88% |
| 金融サービス | -59.11% | -2.80% | -60.26% |
| 政府 | -42.81% | 802.16% | 415.90% |
| ヘルスケア | 71.62% | -19.10% | 38.85% |
| ホスピタリティ | 91,706.49% | 163.46% | 241,771.84% |
| 製造 | 2,609.16% | 188.99% | 7,729.32% |
| プロフェッショナルサービス | -92.48% | 165.70% | -80.03% |
| 小売 | 7,646.73% | 893.13% | 76,935.21% |
| テクノロジー | -65.53% | -30.20% | -75.94% |
| 運輸 | -89.96% | 596.23% | -30.11% |
| 公益 | -35.87% | n/a | n/a |
表15:2024年上半期、2023年、2022年の1件あたり被害者数増減率。
| 業種 | 2023年 vs. 2022年 | 2022年 vs. 2021年 | 2021年 vs. 2020年 | 2020年 vs. 2019年 | 2019年 vs. 2018年 |
|---|---|---|---|---|---|
| 全体 | -240.47% | 56.50% | -0.89% | -1.92% | -1.48% |
| 教育 | 12.62% | 1.00% | 0.00% | 0.00% | 16.67% |
| 金融サービス | -22.42% | -137.21% | -2.16% | -9.63% | -9.37% |
| 政府 | 85.42% | -506.31% | 7.64% | 9.24% | 11.46% |
| ヘルスケア | -17.93% | -68.00% | -5.60% | -4.95% | -7.66% |
| ホスピタリティ | 1.48% | -61.90% | 6.67% | 10.00% | 16.67% |
| 製造 | -399.28% | 29.26% | 6.99% | 8.70% | 13.64% |
| プロフェッショナルサービス | 72.38% | -135.98% | 2.24% | 3.33% | 0.00% |
| 小売 | -635.33% | 83.87% | 4.67% | 3.31% | 1.00% |
| テクノロジー | n/a | n/a | 1.80% | 8.34% | 3.70% |
| 公益 | n/a | n/a | -23.81% | -3.84% | -4.77% |
表16:2018年~2023年の1件あたり被害者数増減率。
| 業種 | 2024年 vs. 2023年 | 2023年 vs. 2022年 | 2022年 vs. 2021年 | 2021年 vs. 2020年 | 2020年 vs. 2019年 | 2019年 vs. 2018年 |
|---|---|---|---|---|---|---|
| 全体 | 8.81% | 2.25% | 2.53% | 8.96% | -1.55% | 1.53% |
| 教育 | -4.29% | -5.75% | 1.81% | -2.90% | -22.31% | 65.20% |
| 金融サービス | 2.96% | -1.19% | 4.19% | -2.27% | -0.17% | 64.85% |
| 政府 | -1.96% | 20.38% | 6.76% | 44.04% | -19.44% | 41.86% |
| ヘルスケア | -11.87% | 7.59% | 8.61% | 22.75% | 9.54% | 36.74% |
| ホスピタリティ | 4.97% | 19.01% | 30.95% | 15.27% | -15.70% | 39.70% |
| 製造 | 14.93% | 5.50% | 5.15% | -17.69% | -4.21% | 70.77% |
| 製薬 | 5.49% | -3.94% | -0.60% | -0.40% | -2.77% | 66.54% |
| プロフェッショナルサービス | 12.01% | -5.15% | 1.06% | 9.03% | -9.22% | 60.82% |
| 小売 | 14.94% | -10.81% | 0.30% | 38.53% | 8.46% | 36.96% |
| テクノロジー | 14.50% | -6.65% | 1.81% | -3.28% | -0.20% | 66.34% |
| 運輸 | 5.64% | 14.11% | -4.46% | 4.53% | -5.31% | 66.05% |
| 公益 | 9.64% | 1.26% | 1.48% | -37.42% | 12.36% | 70.18% |
表17:2018年~2024年データ侵害による損失額の増減率。
| 業種 | 2024年上半期 vs. 2022年上半期 | 2024年上半期 vs. 2023年上半期 | 2024年上半期 vs. 2022年上半期 |
|---|---|---|---|
| 合計 | 17.74% | 10.61% | 6.45% |
| 教育 | -39.62% | -54.93% | 33.96% |
| 金融サービス | -20.27% | -13.24% | -8.11% |
| 政府 | 63.41% | -18.29% | 100.00% |
| ヘルスケア | -19.40% | -15.63% | -4.48% |
| ホスピタリティ | 185.71% | 132.56% | 22.86% |
| 製造 | 132.43% | 120.51% | 5.41% |
| プロフェッショナルサービス | -37.50% | -49.28% | 23.21% |
| 小売 | 139.47% | 49.18% | 60.53% |
| テクノロジー | -54.22% | -50.00% | -8.43% |
| 運輸 | -49.15% | -58.90% | 23.73% |
| 公益 | n/a | n/a | n/a |
表18:2024年上半期、2023年上半期、2022年上半期のリスクスコア増減率。
| 業種 | 2023年 vs. 2022年 | 2022年 vs. 2021年 | 2021年 vs. 2020年 | 2020年 vs. 2019年 | 2019年 vs. 2018年 |
|---|---|---|---|---|---|
| 全体 | +21.67% | -3.23% | +14.81% | +1.89% | +3.92% |
| 教育 | +44.00% | -1.96% | +6.25% | -11.11% | +17.39% |
| 金融サービス | +37.10% | +34.78% | -23.33% | -6.25% | +10.34% |
| 政府 | +97.50% | -36.51% | +14.55% | +14.58% | +9.09% |
| ヘルスケア | +51.85% | +8.00% | -26.47% | +15.25% | +11.32% |
| ホスピタリティ | +42.31% | -10.34% | +13.73% | +4.08% | +8.89% |
| 製造 | +18.37% | +28.95% | 11.63% | -6.52% | -8.00% |
| プロフェッショナルサービス | +33.33% | -29.69% | +23.08% | -10.34% | +7.41% |
| 小売 | +75.00% | -50.00% | +26.32% | +7.55% | +8.16% |
| テクノロジー | +29.82% | +7.55% | +8.16% | -5.77% | +10.64% |
| 運輸 | +15.52% | +5.45% | +3.77% | -5.36% | +16.67% |
| 公益 | +62.79% | -10.42% | +20.00% | -28.57% | +9.80% |
表19:2018年~2023年 業界別リスクスコア増減率。
法的免責事項:
本調査レポートには、アルゴリズム解析および人工知能(AI)技術を用いて導き出された知見が含まれています。以下の点にご留意ください:
実験的性質:本調査で使用したAIおよびアルゴリズム手法は実験的なものです。正確性の確保に努めておりますが、これらの技術の完全な信頼性や有効性を保証するものではありません。
専門的助言ではありません:本レポートで提示された知見は、専門的、法的、財務的、またはその他の専門家による助言を構成するものではありません。重要な意思決定を行う際は、本レポートの結果のみに依拠しないでください。
誤りの可能性:最善を尽くしておりますが、使用したAIやアルゴリズムには誤りやバイアス、不正確さが含まれる場合があります。結果の解釈には注意を払い、重要な場合は独自に検証してください。
AIの限界:使用したAIシステムには本質的な限界があり、個別のケースに関連するすべての変数や特有の状況を考慮できない場合があります。
人による監督:AIやアルゴリズムを活用していますが、人間の研究者が結果を確認・解釈しています。ただし、これによって誤りやバイアスが完全に排除されていることを保証するものではありません。
責任の否認:本レポートに記載された情報の利用または誤用によって生じたいかなる損失、損害、結果についても、当社は一切の責任を負いません。
継続的な進化:AIおよびアルゴリズム技術は急速に進化しています。本調査で使用した手法は、今後改良や変更が加えられる可能性があります。
本調査レポートへのアクセスおよび利用により、これらの利用条件を読み、理解し、同意したものとみなされます。
参考文献
- Ani Petrosyan, “2005年から2023年における米国のデータ漏洩件数および影響を受けた個人の年間数“, Statista, 2024年9月9日閲覧。
- Bert Kundress,”MOVEitハック被害者リスト“, KonBriefing, 2023年12月20日。
- “2024年データ侵害調査レポート”, Verizon, 2024年5月。
- “2023年データ侵害レポート”, Identity Theft Resource Center, 2024年1月。
- “2024年データ侵害コストレポート”, IBMおよびPonemon Institute, 2024年7月。
- James Coker, “ランサムウェア攻撃による要求額、2024年に驚異の520万ドルに到達“, Infosecurity Magazine, 2024年7月2日。
- “MFAの失敗がランサムウェア損失を500%増加させている理由“, The Hacker News, 2024年7月2日。
- “消費者の66%がデータ侵害後に企業を信頼しない“, Security Magazine, 2024年7月5日。
- “2024年 機密コンテンツ通信 プライバシー・コンプライアンスレポート”, Kiteworks, 2024年6月。
- Luke Fischer, “世界のプライバシー法および関連DPAの特定“, IAPP, 2024年3月19日。
- “2024年データ侵害コストレポート”, IBMおよびPonemon Institute, 2024年7月。