カジノサイト

世界的なデータ侵害のコストは低下するが、AI リスク軽減の欠如が問題を引き起こす、IBM のレポートで判明

水曜日に発表された IBM の新しい調査結果によると、データ侵害の世界平均コストは、世界のほとんどの地域で 440 万ドルに低下しましたが、2025 年には米国で 1,020 万ドルに増加しました。

調査結果はIBMの年次報告書から得られたものですこれは、人工知能 (AI) と自動化を活用した侵害の迅速な特定と封じ込めにより、世界的なコストが 2024 年の 480 万ドルから削減されたと評価しています。

しかし、この価格下落には落とし穴が伴います。組織はAIソリューションを急速に導入しているが、それらのソリューションに対するガバナンスとセキュリティの取り組みが不足しているとレポートは評価した。 IBMは、600の組織の34,652人を超えるテクノロジー、セキュリティ、ビジネスのリーダーにインタビューしました。 63% が、組織には AI を管理したり、シャドウ AI (未承認の AI ツール) を検出したりするためのガバナンス ポリシーが欠けていると回答しました。さらに、リーダーの 87% は、自分の組織には AI リスクを軽減するためのガバナンス ポリシーやプロセスが導入されていないと回答しました。

「侵害を受けた組織の 3 分の 2 近くは、リスクを軽減するために AI モデルの定期的な監査を実施していませんでした」と報告書は述べています。 「そして、4 分の 3 以上が、AI モデルに対して敵対的テストを実行していないと報告しました。」

このリスク軽減の失敗は、将来に多大な影響を及ぼす可能性があります。すでに IBM は、企業の 86% がデータ侵害による業務中断を経験していると評価しています。

「AI の成長により、運用活動に関連する脆弱性の可能性がある新しい相互依存および相互接続システムが拡張および導入され、この状況はさらに複雑化しています。」と報告書は述べています。

潜在的に明るい点の 1 つは、組織が AI モデル回避攻撃 (攻撃者が入力データを操作して AI モデルを誤動作させようとする攻撃) のリスクを評価していることです。このような攻撃はまれですが、非常に大きな影響を与える可能性があります。  

「研究者らは、自動運転車や医療診断などの重要な用途において、これらの攻撃が経済的損失、風評被害、さらには生命を危険にさらす可能性があることを以前に示しています。」と報告書は説明しています。

5 つの組織のうち 4 つが AI モデル回避攻撃に関連するリスクを評価しており、50% が内部のリスク評価チームを使用して評価を行っています。  

コストの裏側

米国では、2025 年にデータ侵害のコストが過去最高に達しました。IBM は、この増加の原因は、同国における規制上の罰金の増加と、検出およびエスカレーションのコストの増加によるものであると考えています。

シャドウ AI、つまり不正な AI ツールの使用も影響している可能性があります。 IBM は、シャドウ AI セキュリティ インシデントにより、データ侵害の総コストが平均 20 万ドル増加すると評価しました。これは、おそらく、これらのインシデントは、承認された AI ソリューションに関連するインシデントよりも検出と封じ込めに時間がかかるためと考えられます。

IBM のデータ セキュリティ担当バイスプレジデントであるヴィシャール カマット氏は、シャドウ AI タイプの侵害を経験した組織は、暴露したデータの種類に応じて手数料や罰金を課せられる可能性があり、コストがさらに上昇する可能性があると述べています。

分析の結果、シャドウ AI に侵入する際、攻撃者は顧客の個人識別情報 (PII) をターゲットにすることに最も関心があり、次に知的財産をターゲットにしていることが明らかになりました。

侵害された個々の記録を考慮すると、顧客 PII も最も高価でした。報告書によると、記録あたり 166 ドル、次に従業員 PII が 1 記録あたり 161 ドルでした。

IBM は、AI 関連のデータ侵害をさらに詳しく調査し、AI モデルに関連したデータ侵害を報告した組織の 13% のうち、適切な AI アクセス制御を導入していたのはわずか 3% であることを発見しました。

AI セキュリティ インシデントの最も一般的な原因はサプライ チェーンの侵害 (30%) であり、これにはアプリ、API、プラグインが含まれます。

「認可された AI に関連するセキュリティ インシデントを経験した組織の約 3 分の 1 (31 パーセント) が運用上の混乱に見舞われ、攻撃者が機密データに不正にアクセスした」と報告書は述べています。 「組織の 29% がデータの整合性の喪失を報告しました。風評被害の影響 (17%) は、これらのインシデントの潜在的な長期的な影響を強調しています。」

さらに、AI セキュリティ インシデントのほとんどは、サービスとしてのソフトウェア (SaaS) として提供された AI に起因しており、主にサードパーティ ベンダー (29%) からのものでした。 IBM は、サードパーティ ベンダーの AI がオンプレミスに導入された場合、インシデントが減少することを発見しました (19%)。

「逆に言えば、コストが下がるのは、問題を解決したり、問題の真相に到達するまでの時間の関数であると思います。一部のインシデントに対処したり対応したりするのに AI を使用すると、はるかに速くなり、間違いなく侵害のコストが下がります。」とカマット氏は付け加えました。

セキュリティ チームが最も役立つと判断した AI ツールには、関連するテレメトリを理解し、インシデントが発生しているかどうかを検出するために必要な時間を要約して短縮するテクノロジーの機能が含まれているとカマト氏は説明します。

さらに、AI は、セキュリティ オペレーション センターのアナリストやスーパーバイザーによるワークフローを迅速化して、データ侵害を検出して対応できるよう、これまで手作業による介入が必要だった順次処理などの多くのタスクを自動化し、対応ハンドブックを作成した組織をサポートしています。

IBM は、今年のレポートの調査結果に基づいて、セキュリティ担当者向けに 5 つの推奨事項を作成しました。最も重要なことの 1 つは、AI のセキュリティと AI のガバナンスを結び付けて、リスク、複雑さ、コストを軽減することです。

「組織は、最高情報セキュリティ責任者、最高収益責任者、最高コンプライアンス責任者とそのチームが定期的に連携できるようにする必要がある」と報告書は述べている。 「統合されたセキュリティおよびガバナンスのソフトウェアとプロセスに投資して、これらの部門を超えた関係者を結び付けることで、組織がシャドウ AI を自動的に検出して管理できるようになります。」

特に企業が組織の活性化を保護するために、より多くの AI ソリューションとセキュリティ専門家の本能を導入しようとしている場合、このプロセス中のコミュニケーションが鍵となります、とカマト氏は言います。

「ビジネスに異なる方向性を与えるのではなく、彼らが同じ認識を保つことで、連携して連携してビジネスを可能にします。」とカマット氏は付け加えます。 「これは重要だと思います。私の考えでは、ビジネスを維持し、会社を安全に保ちながら、ビジネスを迅速に進めることが重要だからです。そして通常、セキュリティ チームとガバナンス チームがうまく連携していない場合、結果的に大幅な減速が生じます。」

その他の注目すべき調査結果

AI 以外では、IBM は悪意のあるインサイダー攻撃が平均侵害コストの最も高い原因である 490 万ドルを検出した。

「サードパーティベンダーとサプライチェーンの侵害が僅差で491万ドルで続いた」と報告書にはある。 「その他の高価な攻撃ベクトルには、脆弱性の悪用やフィッシングが含まれていました。」

ランサムウェアは依然として問題ですが、IBM は、組織の 63% が身代金を支払わないことを決定したのに対し、2024 年の拒否率は 59% であると評価しました。

組織は、ランサムウェア攻撃に遭遇したときに法執行機関に関与することにも消極的でした。攻撃対応の一環として当局に通報することを選択した組織は、2024 年の 52 パーセントと比較して、わずか 40 パーセントでした。

データ侵害が発生した後、ほとんどの組織 (51%) は、その後はセキュリティへの投資を増額しないと回答しました。 IBM は、組織が「どのセキュリティ イニシアチブが効果をもたらすかを評価するためのより規律あるアプローチ」を採用しているため、支出が減速する可能性があると考えています。

セキュリティ投資の増加を計画している 49% は、脅威の検出と対応テクノロジー (43%)、データ セキュリティと保護ツール (37%)、インシデント対応の計画とテスト (35%) の導入に最も関心を持っていました。インシデント発生後にセキュリティへの投資を計画している回答者の 45% は、AI 主導のソリューションを選択するとも回答しました。