IBM、「2025年データ侵害のコストに関する調査レポート」日本語版を公開

- 組織の13％がAIモデルまたはアプリケーションの侵害を報告、そのうち97％は適切なAIアクセス制御が欠如
- 米国のセキュリティー侵害コストは1022万ドルに増加したが、世界の平均コストは444万ドル、日本の平均コストは5億5000万円（365万ドル）に減少
- 侵害を受けた組織のうち、セキュリティーへの投資を計画している組織は49％のみ

日本IBMは、本日、「2025年データ侵害のコストに関する調査レポート」の日本語版を発表しました。本調査によると、AIのセキュリティーとガバナンスがAIの導入に追いついていないことが明らかになりました。AI関連の情報漏洩を経験した組織の総数は、調査対象の全体から見た割合は小さいものの、本調査で初めてAIのセキュリティー、ガバナンス、アクセス制御が調査されたことは、AIが既に容易かつ高価値な標的となっていることを示唆しています。
- 13％の組織がAIモデルやアプリケーションに関する侵害を報告した一方、8％の組織はこのように侵害されたかどうか把握していないと回答しました。
- 侵害された組織のうち、97％が適切なAIアクセス制御を実装していないと報告しています。
- その結果、AI関連のセキュリティー・インシデントの60％がデータ侵害、31％が業務中断をもたらしました。

企業のAI導入が急速に拡大する中、今年の調査では初めて、AIのセキュリティーとガバナンスの状態、AIに関連するセキュリティー・インシデントで標的とされるデータの種類、AI駆動型攻撃に関連する漏洩コスト、シャドーAI（規制されていない、無許可のAI使用）の普及状況とリスク・プロファイルを調査しました。今年の調査結果は、組織がAIのセキュリティーとガバナンスを考慮せず、AIの即時導入を優先していることを示しています。ガバナンスが欠如したシステムは侵害されやすく、侵害された場合はコストも高くなります。

IBMセキュリティー＆ランタイム製品担当バイス・プレジデントのスジャ・ヴィスウェサン（Suja Viswesan）は次のように述べています。「調査結果は、AIの採用と監督の間には既にギャップが存在し、脅威アクターがこれを利用し始めていることを示しています。本調査は、AIシステムの基本的なアクセス制御の欠如を明らかにし、機密性の高いデータが露出され、モデルが操作に対して脆弱な状態にあることを示しています。AIがビジネス・オペレーションに深く組み込まれるにつれ、AIセキュリティーは基盤的な要素として扱われる必要があります。行動を起こさないと、単に金銭的なコストだけでなく、信頼、透明性、そしてコントロールの喪失を招きます」

ただし、本調査では、セキュリティー・オペレーション全体でAIと自動化を広く活用している組織は、平均190万ドルの侵害コストを削減し、侵害ライフサイクルを平均80日短縮したことが明らかになりました。

本調査は、米調査会社Ponemon Instituteが実施し、IBMが資金提供、分析したもので、2024年3月から2025年2月までの間に世界の600の組織が経験したデータ侵害に基づいています。本レポートにおけるAIセキュリティーと漏洩、漏洩の財務的コスト、業務中断に関する主な調査結果は以下の通りです。

セキュリティー侵害とAI時代
- AIガバナンス・ポリシー：データ侵害を受けた組織の63％は、AIガバナンス・ポリシーを保有していないか、またはポリシーの策定中でした。AIガバナンス・ポリシーを既に導入している組織のうち、非承認AIに関する定期的な監査を実施しているのはわずか34％でした。
- シャドーAIのコスト：5つに１つの組織がシャドーAIによるデータ侵害を報告しており、AIの管理やシャドーAIの検出に関するポリシーを保有しているのはわずか37％でした。シャドーAIを高い割合で利用した組織は、シャドーAIを一部または全く利用していない組織に比べて、平均67万ドルの高いデータ侵害コストを負担しています。シャドーAIに関連するセキュリティー・インシデントでは、個人識別情報（65％）と知的財産（40％）の漏洩率が、世界平均（それぞれ53％と33％）を上回っています。
- AIを活用したより高度な攻撃：調査対象のセキュリティー侵害の16％で、攻撃者がAIツールを使用しており、主にフィッシングやディープフェイクによるなりすまし攻撃に利用されていました。

セキュリティー侵害の経済的コスト
- データ侵害コスト：世界平均のデータ侵害コストは444万ドルに低下し、5年ぶりの減少、日本の平均コストは5億5000万円（365万ドル）に低下し、8年ぶりの減少となりました。一方、米国の平均侵害コストは記録的な1022万ドルに達しました。
- 世界および日本のデータ侵害のライフサイクルが過去最低を記録：世界のデータ侵害の平均ライフサイクル（漏洩の検出と封じ込めに要する平均時間、復旧サービスを含む）は241日に短縮され、前年比で17日減少しました。これは、調査対象の組織が内部で漏洩を検出するケースが増加したためです。内部で漏洩を検出した組織は、攻撃者によって開示された場合と比較して、侵害コストを90万ドル削減しました。日本では、データ侵害の平均ライフサイクルは217日に短縮され、前年比で47日減少しました。
- 世界では医療業界への侵害が最も高額：医療業界は、世界の調査対象の全業界中で最も高額な742万ドルの侵害を受けました。医療業界では2024年と比較して235万ドルのコスト削減が見られましたが、依然として最も高額です。医療業界への侵害は、特定と封じ込めに要する時間が最も長く、279日（世界平均の241日より5週間以上長い）となっています。日本では、エネルギー業界の侵害が最も高額な7億8400万円となりました。
- 身代金支払いの疲労：昨年、組織が身代金要求に抵抗し、支払いを拒否する割合は前年比で増加（59%→63%）しました。組織が身代金支払いを拒否する傾向が高まる中、身代金要求やランサムウェア攻撃の平均コストは依然として高額で、特に攻撃者が開示した場合（508万ドル）は特に高くなっています。
- AIリスクの増加に伴いセキュリティー投資が停滞：侵害後にセキュリティー投資を計画する組織の数は大幅に減少しており、2025年は49％に対し、2024年は63％でした。侵害後にセキュリティー投資を計画する組織のうち、AI駆動型セキュリティー・ソリューションやサービスに焦点を当てると回答したのは半数未満でした。

データ侵害の長期的な影響：業務中断
本調査によると、調査対象のほぼすべての組織が、データ侵害後に業務中断を経験しました。このレベルの業務中断は復旧期間に深刻な影響を及ぼしています。復旧を報告した組織のほとんどは、復旧に平均で100日以上を要しました。

しかし、データ侵害の影響は封じ込めを超えて継続しています。前年比では減少したものの、約半数の組織がデータ侵害を理由に商品やサービスの価格を引き上げる計画であると報告し、約3分の1が15％以上の値上げを報告しています。

データ侵害のコストに関する調査レポートについて
データ侵害のコストに関する調査レポートは、過去20年間で約6,500件のデータ侵害を調査してきました。初回の2005年の調査レポート以来、データ侵害の性質は劇的に変化してきました。当時、リスクは主に物理的なものでした。現在、脅威は圧倒的にデジタル化し、標的型が増え、データ侵害は幅広い悪意のある活動によって引き起こされています。

過去の調査結果には、以下の内容が含まれます。
- 2005年: データ侵害の約半数（45％）は、ノートパソコンやUSBメモリーなどの紛失または盗難されたコンピューター機器が原因であり、ハッキングされた電子システムが原因の漏洩はわずか10％でした。
- 2015年: クラウドの誤設定による漏洩は、当時まだ分類された脅威として認識されていませんでしたが、現在では主要な標的となっています。
- 2020年：ランサムウェアが急増し、2021年にはデータ侵害の平均コストが462万ドルに達し、今年（攻撃者が漏洩を公表した場合）は平均508万ドルに達しました。
- 2025年：今年初めて調査に組み込まれたAIは、急速に高価値な標的として浮上しています。

「2025年データ侵害のコストに関する調査レポート」の日本語版は、こちらからダウンロードいただけます。

当報道資料は、2025年7月30日（現地時間）にIBM Corporationが発表したプレスリリースの抄訳をもとにしています。原文はこちらを参照ください。

IBM、ibm.comは、米国やその他の国におけるInternational Business Machines Corporationの商標または登録商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、ibm.com/trademarkをご覧ください。

企業プレスリリース詳細へ
PR TIMESトップへ