日本IBMは9 月2日、「2025年データ侵害のコストに関する調査レポート」の日本語版を発表した。
同調査によると、AIのセキュリティとガバナンスがAIの導入に追いついていないことが明らかになった。AI関連の情報漏洩を経験した組織の総数は、調査対象の全体から見た割合は小さいものの、同調査で初めてAIのセキュリティ、ガバナンス、アクセス制御が調査されたことは、AIが既に容易かつ高価値な標的となっていることを示唆している。
・13%の組織がAIモデルやアプリケーションに関する侵害を報告した一方、8%の組織はこのように侵害されたかどうか把握していないと回答した。
・侵害された組織のうち、97%が適切なAIアクセス制御を実装していないと報告している。
・その結果、AI関連のセキュリティ・インシデントの60%がデータ侵害、31%が業務中断をもたらした。
企業のAI導入が急速に拡大する中、同調査では初めて、AIのセキュリティとガバナンスの状態、AIに関連するセキュリティ・インシデントで標的とされるデータの種類、AI駆動型攻撃に関連する漏洩コスト、シャドーAI(規制されていない、無許可のAI使用)の普及状況とリスク・プロファイルを調査した。
今年の調査結果は、組織がAIのセキュリティとガバナンスを考慮せず、AIの即時導入を優先していることを示している。ガバナンスが欠如したシステムは侵害されやすく、侵害された場合はコストも高くなる。
ただし、同調査では、セキュリティ・オペレーション全体でAIと自動化を広く活用している組織は、平均190万ドルの侵害コストを削減し、侵害ライフサイクルを平均80日短縮したことが明らかになった。
同調査は、米調査会社Ponemon Instituteが実施し、IBMが資金提供・分析したもので、2024年3月から2025年2月までの間に世界の600の組織が経験したデータ侵害に基づいている。同レポートにおけるAIセキュリティと漏洩、漏洩の財務的コスト、業務中断に関する主な調査結果は以下の通りである。
セキュリティ侵害とAI時代
AIガバナンス・ポリシー
データ侵害を受けた組織の63%は、AIガバナンス・ポリシーを保有していないか、またはポリシーの策定中でした。AIガバナンス・ポリシーを既に導入している組織のうち、非承認AIに関する定期的な監査を実施しているのはわずか34%であった。
シャドーAIのコスト
5つに1つの組織がシャドーAIによるデータ侵害を報告しており、AIの管理やシャドーAIの検出に関するポリシーを保有しているのはわずか37%であった。シャドーAIを高い割合で利用した組織は、シャドーAIを一部または全く利用していない組織に比べて、平均67万ドルの高いデータ侵害コストを負担している。
シャドーAIに関連するセキュリティ・インシデントでは、個人識別情報(65%)と知的財産(40%)の漏洩率が、世界平均(それぞれ53%と33%)を上回っている。
AIを活用したより高度な攻撃
調査対象のセキュリティ侵害の16%で、攻撃者がAIツールを使用しており、主にフィッシングやディープフェイクによるなりすまし攻撃に利用されていた。
セキュリティ侵害の経済的コスト
データ侵害コスト
世界平均のデータ侵害コストは444万ドルに低下し、5年ぶりの減少、日本の平均コストは5億5000万円(365万ドル)に低下し、8年ぶりの減少となった。一方、米国の平均侵害コストは記録的な1022万ドルに達した。
世界および日本のデータ侵害のライフサイクルが過去最低を記録
世界のデータ侵害の平均ライフサイクル(漏洩の検出と封じ込めに要する平均時間、復旧サービスを含む)は241日に短縮され、前年比で17日減少した。これは、調査対象の組織が内部で漏洩を検出するケースが増加したためである。内部で漏洩を検出した組織は、攻撃者によって開示された場合と比較して、侵害コストを90万ドル削減した。日本では、データ侵害の平均ライフサイクルは217日に短縮され、前年比で47日減少した。
世界では医療業界への侵害が最も高額
医療業界は、世界の調査対象の全業界中で最も高額な742万ドルの侵害を受けた。医療業界では2024年と比較して235万ドルのコスト削減が見られましたが、依然として最も高額である。医療業界への侵害は、特定と封じ込めに要する時間が最も長く、279日(世界平均の241日より5週間以上長い)となっている。日本では、エネルギー業界の侵害が最も高額な7億8400万円となった。
身代金支払いの疲労
昨年、組織が身代金要求に抵抗し、支払いを拒否する割合は前年比で増加(59%→63%)した。組織が身代金支払いを拒否する傾向が高まる中、身代金要求やランサムウェア攻撃の平均コストは依然として高額で、特に攻撃者が開示した場合(508万ドル)は特に高くなっている。
AIリスクの増加に伴いセキュリティ投資が停滞
侵害後にセキュリティ投資を計画する組織の数は大幅に減少しており、2025年は49%に対し、2024年は63%であった。侵害後にセキュリティ投資を計画する組織のうち、AI駆動型セキュリティ・ソリューションやサービスに焦点を当てると回答したのは半数未満であった。
データ侵害の長期的な影響:業務中断
同調査によると、調査対象のほぼすべての組織が、データ侵害後に業務中断を経験した。このレベルの業務中断は復旧期間に深刻な影響を及ぼしている。復旧を報告した組織のほとんどは、復旧に平均で100日以上を要した。
しかし、データ侵害の影響は封じ込めを超えて継続している。前年比では減少したものの、約半数の組織がデータ侵害を理由に商品やサービスの価格を引き上げる計画であると報告し、約3分の1が15%以上の値上げを報告している。
[i Magazine・IS magazine]
