この記事は、IBMのDistinguished Engineerである「Cost of a Data Breach Report 2025」の内容を基に、データ主導のセキュリティ戦略の重要性を深掘りするものです。
目次
Part 1: はじめに - セキュリティ投資の新たな視点
Chapter 1: 「コストがかかる」という神話を超えて
「セキュリティにそれほど多くの費用はかけられない」という言葉は、多くの組織で聞かれるかもしれません。しかし、視点を変え、「セキュリティに投資しないリスクを許容できるのか?」と問い直す時期に来ている可能性があります。データ侵害がもたらす影響は、単なる金銭的損失($$$)に留まりません。
- ダウンタイム ⏰: ビジネス機会の損失
- レピュテーションの低下 ⭐⭐⭐⭐⭐: 顧客信用の失墜
- 信頼の喪失 🔗: 長期的なブランド価値の毀損
これらの多くは予防可能であり、その判断は直感ではなく、具体的なデータに基づいて行われるべきです。
Chapter 2: データ主導の意思決定の力
幸いなことに、その判断を導くための情報は存在します。IBMが発行する**『Cost of a Data Breach Report 2025』は、そのための羅針盤となり得ます。このレポートは、実際にデータ侵害を経験した600の組織と、その組織のリーダー約3,500人**へのインタビューに基づいており、理論ではなく実践的な知見を提供します。
この記事では、同レポートの主要な発見と、そこから得られる教訓を解説していきます。
Part 2: IBM 2025年レポートの主要な洞察
このパートでは、レポートで明らかにされたデータ侵害の現状と、特にAIがサイバーセキュリティに与える二面的な影響について掘り下げます。
Chapter 1: データ侵害の全体像
Section 1: 世界と米国の平均コスト比較 🌏 vs 🇺🇸
2025年のレポートによると、データ侵害一件あたりの世界的な平均コストは**$4.44M**となり、前年比で9%の減少が見られました。これは世界的な取り組みがある程度の成果を上げていることを示唆しています。
しかし、米国に目を向けると状況は異なります。平均コストは9%増加し、$10.22Mに達しました。この増加の背景には、規制関連の罰金や検知・対応にかかる費用の増大が要因として考えられます。
Section 2: 侵害ライフサイクルの動向 ⏰
侵害を特定するまでの平均時間(MTTI)と、封じ込めるまでの平均時間(MTTC)を合計した侵害ライフサイクルは、241日でした。これは数年前の257日から改善していますが、依然として攻撃者が8ヶ月近くもネットワーク内に潜伏できることを意味しており、決して楽観視できる数字ではありません。
Chapter 2: AIがもたらす光と影 🤖
今年のレポートでは、AIがデータ侵害に与える影響が新たな焦点として取り上げられています。
Section 1: 攻撃者AIの脅威
侵害の16%は、攻撃者側がAIを利用したものでした。その内訳を見ると、37%がフィッシング、35%がディープフェイクに関連しており、AIがソーシャルエンジニアリング攻撃の質と量を向上させている実態が浮かび上がります。
ある調査では、熟練した専門家がフィッシングメールを作成するのに16時間を要したのに対し、AIチャットボットはわずか5分で同等レベルのメールを生成できたと報告されています。
Section 2: 防御側AIの有効性
一方で、防御側がAIを包括的に活用している組織では、顕著な効果が見られました。
- コスト削減: AIを活用していない組織に比べ、平均で**$1.9M**のコストを削減。
- 時間短縮: 侵害ライフサイクルを80日短縮。
AIは脅威であると同時に、強力な防御ツールにもなり得ることをデータが示しています。
Section 3: シャドーAIという新たなリスク
13%の組織がAIに関連するデータ侵害を経験し、そのうち60%がデータ漏洩、31%が業務停止につながりました。さらに懸念すべきは、20%の組織が、IT部門の許可なく導入された**「シャドーAI」**の存在を認識していたことです。これは新たなセキュリティの死角となり得ます。
Chapter 3: 主な攻撃ベクトル 🏹
- 最も高コストなベクトル: 内部情報を知るインサイダー脅威や、サプライチェーンを狙うサードパーティリスクが、最も大きな金銭的損害につながる傾向があります。
-
最も頻繁なベクトル: 全侵害の
16%を占めたのはフィッシングであり、依然として主要な侵入経路となっています。
Part 3: レポートに基づく実践的推奨事項
レポートの洞察を踏まえ、組織が取るべき具体的なアクションプランを以下に示します。
Chapter 1: IDおよびアクセス管理 (IAM) の強化 🔑
攻撃者はハッキングするよりもログインすることを好みます。この原則に基づき、IAMの強化が不可欠です。
- 非人間ID (NHI) とシークレット管理: アプリケーションやサービスアカウントなどの非人間IDが使用するパスワード、APIキー、暗号鍵といった「シークレット」の管理を自動化し、強化することが重要です。
- パスキーへの移行: パスワードに代わる、より強力でフィッシング耐性のある認証技術であるパスキーの導入を検討すべきです。
Chapter 2: AIとデータセキュリティの統合 🛡️
AIはデータに依存するため、AIセキュリティはデータセキュリティと表裏一体です。
- シャドーITの発見: 組織内のシャドーAIや、管理外の機密データを特定・可視化するツールが必要です。
-
包括的なデータ保護:
- アクセス制御: 最小権限の原則をデータに適用します。
- 暗号化: 保存データと通信中のデータの両方を暗号化します。
- 監視: データの利用状況を常に監視し、異常を検知します。
- AIモデルと利用の保護: AIモデル自体の脆弱性対策や、プロンプトインジェクションのような新たな攻撃手法からの保護が求められます。
Chapter 3: ガバナンスとセキュリティの融合
AIの導入において、セキュリティとガバナンスは密接に連携する必要があります。レポートでは63%もの組織がAIに関するガバナンスポリシーを持っていないことが明らかになりました。
効果的なAI活用のためには、両者が重複する領域、すなわち「信頼できるAI」の実現を目指し、明確なポリシーを策定・実行することが不可欠です。
Part 4: まとめ
IBMの『Cost of a Data Breach Report 2025』は、サイバーセキュリティがもはや単なる技術的な問題ではなく、経営レベルで取り組むべき戦略的な課題であることを明確に示しています。
- データ侵害のコストは依然として高額であり、特にAIを悪用した攻撃は新たな脅威となっています。
- 一方で、AIや最新の認証技術(パスキーなど)を防御に活用することで、リスクとコストを大幅に削減できる可能性も示唆されています。
- IAMの強化、データ中心のセキュリティアプローチ、そしてガバナンスとの連携が、今後のセキュリティ戦略の柱となるでしょう。
このレポートのデータを活用し、自社の環境に合わせた具体的な対策を講じることが、将来のビジネスを守るための賢明な投資となります。