2021年に安全な企業を運営するのに役立つ50のデータ侵害統計

サイバー犯罪は、大規模な組織を運営している場合でも、個人情報を非公開にすることに関心がある場合でも、すべての人に影響を及ぼします。 TechJuryがまとめたこれらの最新のデータ侵害統計が示すように、盗まれたレコードや侵害されたレコードの問題はますます深刻になっています。

攻撃者はより精通しており、侵害の平均コストは上昇しています。 また、IoTやクラウドコンピューティングなどの「変革的」テクノロジーの使用が増えると、企業はデータ侵害に対してより脆弱になっているように思われることもわかりました。

気になるデータ漏えい統計

• 2019年上半期だけで合計41億件のレコードが侵害されました。
• データ漏えいから回復するまでの平均時間は70日にもなる可能性があります。
• 世界中のデータ侵害を特定するための平均平均時間は197日です。
• 世界中の組織の76％が、過去1年間にフィッシング攻撃を経験しました。
• 75％の企業は、データ侵害がビジネスプロセスに重大な混乱を引き起こしたと述べています。
• 情報セキュリティへのグローバルな支出は、2019年に1,240億ドルを超えると予測されました。
• 2018年上半期に侵害された全記録の56％以上を、合計6件のソーシャルメディア侵害が占めました。
• 6.4Bの偽の電子メールが毎日世界中に送信されています。

続行する前に、そもそもオンラインデータ侵害とは何ですか？ オンラインデータ侵害とは、システムの所有者の知らないうちに、機密情報、専有情報、または機密情報がシステムから取得されるインシデントを指します。

もちろん、これらの統計は、私たちの仕事をはるかに便利で生産的にする高度なシステムを使用することを怖がらせたり、落胆させたりすることを意図したものではありません。 問題の規模、主要な脆弱性、および一連の予防策と修正策についての健全なアイデアが、データ侵害のリスクや影響を最小限に抑えるのに役立つことを願っています。 実際、デジタルの脅威に直面しても、サイバーレジリエンスと企業のコア目的と整合性を維持する能力が向上するはずです。

データ漏えい統計2021

データ漏えいは重大な犯罪です。 最初は気付かないかもしれませんが、何百万もの費用がかかる可能性があります。

1.データ漏えい事件あたりの世界平均コストは2019年に392万ドルに上昇しました。

（出典：セキュリティインテリジェンス）

これは、2018年上半期に約30億ドル以上の損失に相当します。繰り返しになりますが、データ漏えいの数は前年同期に比べてわずかに減少しましたが、インシデントあたりの平均コストは2018年と比較して1.5％増加しています。 。これは、企業がサイバー犯罪者に支払っている実際のコストであり、ほぼ毎年上昇しています。

2. 2019年上半期には、3,800件の違反により、世界中で41億件のデータレコードが侵害されました。

（出典：フォーブス）

では、 1日に何回のハッキングが発生するのでしょうか。 これは2019年の最初の6か月で平均20以上であり、毎日2250万を超える驚異的なレコードが盗まれています。

3.回答者の60％は、履歴のある時点でデータ侵害に直面したと述べています。 30％は、過去1年だけで少なくとも1つを経験しています。

（出典：タレス）

ハッキングされた人の数に気付くと、問題の範囲が明らかになります。 世界中の組織を対象とした包括的な調査では、5人中3人が、ある時点でこの問題を経験したと述べています。 それらの半分は昨年以内にそうしました。 問題は、対応する数字が65％と36％である米国の深刻さです。

4. 2018年5月から2019年1月の間に、ヨーロッパで41,502件のデータ侵害が報告されました。

（出典：欧州データ保護委員会）

しかし、事件のこの噴出には銀色の裏地があります。 一般データ保護規則（GDPR）が2018年5月25日に発効して以来、ヨーロッパではデータ侵害の自主的な報告が著しく改善されています。 GDPR以前は、データ侵害の報告を義務付けられていたのは、テレコムや銀行などの少数のセクターのみでした。 GDPRは、データ保護法に基づく権利に対する一般の人々の意識を高めるのにも役立ちました。

5.情報​​セキュリティへの世界的な支出は、2019年に1,240億ドルを超えると予測されています。

（出典：Gartner）

サイバーセキュリティの費用はいくらですか？ たくさんあるようです。 情報セキュリティ製品およびサービスへの世界的な支出は、2017年から12.4％増加し、2018年には1,140億ドルを超えると推定されています。持続的なスキル不足と、欧州連合（EU）のGDPRなどの規制の変更により、セキュリティサービス市場の継続的な成長が促進されています。 。 セキュリティ支出の上位3つの要因は次のとおりです。（1）セキュリティリスク。 （2）ビジネスニーズ; （3）業界の変化。 プライバシーの懸念も組織にとって重要な要素になりつつあります。

6.失われたビジネスコストは、データ侵害の総コストの最大の要素です。

（出典：IBM-Ponemon Institute）

データ漏えいの4つの高レベルコンポーネントのうち、検出とエスカレーション。 通知; 事後応答; 失われたビジネスコスト—データ侵害の統計によると、企業は約37.5％を失われたビジネスコストに起因しています。 これには、データ漏えいイベントの結果としての顧客の異常な損失を最小限に抑えようとする活動や、データ漏えいの開示後に新規顧客を獲得するためのコストが含まれます。 また、事業の混乱や収益の損失に関連する費用も含まれます。

7. 75％の企業が、データ侵害がビジネスプロセスに重大な混乱を引き起こしたと述べています。

（出典：IBM-Ponemon Institute）

データ漏えいは、調査対象の企業の少なくとも4分の3のビジネスプロセスに重大な混乱を引き起こすほど深刻です。 混乱によって被った費用のすべてがきちんと金額に換算できるわけではありません。

8. 65％の企業が、データ漏えいが評判に重大な悪影響を及ぼしたと述べています。

（出典：IBM-Ponemon Institute）

データ漏えいの傾向は、これらの事件が企業の評判、ブランド、または市場イメージにも悪影響を及ぼしていることを示しています。 急速に移動するグローバルニュースと非常に洗練された顧客の時代では、評判管理は通常の状況では難しい質問です。 ほとんどの企業は、データ漏えいのために評判を落とす余裕がありません。 2018年初頭にケンブリッジアナリティカのスキャンダルが公告された後、株価が大幅に下落したFacebookに質問してください。

9.世界中のデータ侵害を特定するための平均平均時間は197日です。

（出典：IBM-Ponemon Institute）

これは、違反の影響に対処するために部分的または完全に忙しい会社のプロセスの197日です。 場合によっては、特に企業が自動化や暗号化などの基本的なツールを採用していない場合、インシデント対応に1年以上かかることがあります。

10.識別して封じ込める平均時間が最も長いのは、エンターテインメント業界です。

（出典：IBM-Ponemon Institute）

識別して封じ込める時間は、業界によって異なります。 エンターテインメント、ヘルスケア、およびメディアは、データ侵害の統計に従って平均して応答するのに最も時間がかかりますが、研究、エネルギー、および金融サービスは最も短くなります。

11.地理的には、特定するための最も高い平均時間は中東で発生します。 最も低いのはドイツです。

（出典：IBM-Ponemon Institute）

同様に、インシデントの平均応答時間も地理的な場所によって異なります。 中東、ブラジル、トルコの企業は、データ侵害を特定して封じ込めるのに最も時間がかかるようですが、米国、カナダ、英国、南アフリカ、ドイツが最も速いです。 中東の平均時間はドイツの平均時間のほぼ2倍です。

12.データ侵害から回復するまでの平均時間は、70日にもなる可能性があります。

（出典：IBM-Ponemon Institute）

組織がデータ侵害を特定して封じ込めると、回復プロセスにも時間がかかります。 セキュリティ違反の統計によると、組織内に専門のディザスタリカバリ機能またはチームを配置すると、平均リカバリ時間をほぼ半分に短縮できます。

13.今後24か月間の重要なデータ侵害の可能性は、2018年度には32.3％に上昇しました。

（出典：IBM-Ponemon Institute）

過去5年間で、最低10,000件のレコードが関係するデータ侵害の可能性が一貫して高まっています。 2018年度の32.3％は、2017年度の31.6％からわずかに増加しています。 興味深いことに、組織が一度受けたデータ漏えいが大きければ大きいほど、今後24か月以内に別の漏えいが発生する可能性は低くなります。

14.世界中のITプロフェッショナルの65％が、攻撃の深刻さが増していると述べています。

（出典：IBM-Ponemon Institute）

このような多くの調査や研究に共通するテーマは、サイバー犯罪者が最新のツールを使用して組織のセキュリティシステムを標的にしているため、攻撃に対抗することが日ごとに困難になっていることです。 同じ調査の専門家の57％は、インシデントを解決する時間が増えたとも述べています。 さらに、ビッグデータの使用が増えると、ビッグデータのセキュリティ侵害の可能性も高まります。

15.合計6つのソーシャルメディア侵害が、2018年上半期に侵害された全記録の56％以上を占めました。

（出典：ジェムアルト侵害レベル指数）

ただし、すべてのデータ侵害が同じように深刻なわけではありません。 最近の最大のもののいくつかは、Cambridge Analytica-Facebook事件を含む、ソーシャルメディアプラットフォームをターゲットにしています。 結局のところ、ソーシャルメディアサイトは、何百万もの顧客に関する情報を収集するための最も簡単なリソースです。

後で説明するように、ITプロフェッショナルは、この個人ユーザー情報がサイバー犯罪者にとって最大の関心事であると感じています。 2018年上半期だけで合計45億件のレコードが侵害されました。

16. 2018年に最も注目に値する侵害されたソーシャルメディアプラットフォームはFacebookでした。

（出典：個人情報盗難リソースセンター）

Facebookは、ソーシャルメディアのハッキング統計に関しては誰もが認めるリーダーです。 Cambridge Analyticaのデータの誤用を含む複数のインシデントの中で、コーディングの脆弱性によって引き起こされた1つの重大な違反により、ハッカーは5,000万のアカウントのトークンにアクセスし、ユーザーのプロファイル内のすべての情報を表示できました。 Google+が2回侵害され、5,300万人のユーザーに影響を与えました。 Quora（1億人のユーザーへの影響）とMyFitnessPal（1億5000万人のユーザーへの影響）は、2018年に侵害された他の有名なプラットフォームでした。

17.ホスピタリティ企業のマリオットインターナショナルは、2018年に公開された記録の数が最も多く、世界中で3億8300万人に影響を与えました。

（出典：個人情報盗難リソースセンター）

キャセイパシフィックとデルタの旅行、ハドソンベイ（500万人の買い物客の支払いカード情報が公開）とチェグ、小売店のオンライン教科書サイト（4000万人のユーザーのプロフィールの詳細が公開）、UnityPoint Health（140万人の患者の健康保険情報が公開） ）ヘルスケアでは、最近のデータ侵害のリストに他の注目すべきエントリがいくつかありました。

18. 2018年上半期のデータ漏えいの27％はヘルスケアであり、他のどのセクターよりも高かった。

（出典：ジェムアルト侵害レベル指数）

ほとんどのセクターで、前半と比較してインシデントの数が増加しました。例外は、政府、専門サービス、小売、テクノロジーでした。 小売業とテクノロジーの両方で、より少ないイベントで違反したレコードの数が増加しました。 ソーシャルメディアは、FacebookとTwitterでの注目を集める顧客データ漏えいが原因で侵害されたレコードの数（76％）でトップにランクされており、それぞれ22億と3億3600万を占めています。

19.米国は攻撃の最も人気のある標的であり、データ侵害の57％以上、盗まれたすべてのレコードの97％を占めています。

（出典：ジェムアルト侵害レベル指数）

セキュリティ違反の統計によると、米国ではインシデントの数が2017年下半期と比較して17％減少しています。通知可能なデータ侵害法の施行により、オーストラリアでのインシデントの数は18から308に劇的に増加しました。予想された。 ヨーロッパではインシデントが36％減少しましたが、侵害されたレコードの数は28％増加しており、攻撃の深刻さが増していることを示しています。 英国は、この地域で最も侵害された国であり続けています。 アジアでは、通知された攻撃の数が最も多かったのはインドでした（11）。

20. 2017年のデータ漏えいの58％は、中小企業によるものでした。

（出典：Verizon、Privacy Rights Clearinghouse）

サイバー犯罪者がFacebookやマリオットのような大企業のみを標的にしていると思った場合、中小企業のデータ侵害統計はあなたを驚かせるでしょう。 中小企業は大企業と同じくらいリスクにさらされています。 実際、中小企業がサイバーセキュリティを強化するために利用できるリソースを持っている可能性が低いことを考えると、多くの攻撃者は、単一の大きなターゲットよりも複数の小さなターゲットからお金を稼ぐことを好むかもしれません。 擁護団体であるPrivacyRights Clearinghouseによると、2005年以降に追跡した違反の90％以上が、外出中の10万人未満の顧客に影響を及ぼしています。

21.データ侵害とインシデント対応に関する情報を政府や業界の同業者と共有している組織は53％にすぎません。

（出典：IBM-Ponemon Institute）

これは、独立した当事者によるサイバー攻撃の追跡にもかかわらず、報告されないままになる多くのインシデントが存在する可能性があることを意味します。

データを共有している組織は、ピアや業界グループ間のコラボレーションを促進するだけでなく、共有は組織のセキュリティ体制の改善にも直接関係していると述べています。 また、インシデント対応計画の有効性と、データ侵害の検出と防止のコストの削減にも関係しています。

組織がそうすることを妨げる主な要因には、認識された利益がないこと、反競争的な懸念、および機密情報の公開のリスクが含まれます。

データ侵害はどのように発生しますか？

データ漏えいが実際にどのように発生するのか疑問に思ったことはありませんか？ それはあなたが思っていることではありません。

22. 22％の組織が、フィッシングを最大のサイバー脅威と見なしています。

（出典：Ernst＆Young）

マルウェアは20％で2番目に接近し、次にサイバー攻撃による混乱（13％）、金銭の盗難（12％）、IPの盗難（8％）が続きます。 インサイダーの脅威と国が後援する攻撃についてはかなり多くの議論がありましたが、内部攻撃への恐れはリストの8番目に表示されます。 スパイはリストの一番下にランクされています。

23.6.4Bの偽の電子メールが毎日世界中に送信されています。

（出典：Dark Reading、Cofense）

2018年上半期には、毎日送信される約64億通のメールが偽物でした。 電子メールセキュリティ会社Valimailのインターネットセキュリティ統計によると、米国は偽の電子メールの最大の発信元であり、2018年の第2四半期に約1億2000万件の偽のメッセージを送信しています。Cofenseによると、すべてのサイバー攻撃の91％はフィッシングから始まります。 Eメール。

24.世界中の組織の76％が、過去1年間にフィッシング攻撃を経験しました。

（出典：Check Point、Panda Security）

企業のITセキュリティ責任者の81％が、このチャネルを介した攻撃のケース数の増加を検出しています。 フィッシング攻撃の最も一般的な形態の1つは、サイバー攻撃者が金儲けのためにクライアントまたはサプライヤになりすますBEC（Business Email Compromise）詐欺です。 BEC詐欺メールの約60％にリンクが含まれていないため、サイバーセキュリティシステムがそれらを検出するのが困難になっています。

25.グローバル調査の850の組織の100％が、少なくとも1回のマルウェア攻撃を経験しました。

（出典：チェック・ポイント）

データ盗難の統計によると、2016年下半期から2017年上半期までの組織あたりのモバイルマルウェア攻撃の平均数は54でした。エンタープライズモビリティ管理ソリューションが導入されていたとしても、調査対象のサンプルの組織の75％は少なくとも1つのジェイルブレイクされたiOSデバイスを持っていましたまたは、企業ネットワークに接続されたルート化されたAndroidデバイス。 ジェイルブレイクされたデバイスの平均数は、1社あたり35でした。 これは明らかに懸念される結果です。ジェイルブレイクにより、iOSおよびAndroidオペレーティングシステムによって提供される組み込みのセキュリティが取り除かれ、企業全体が簡単な攻撃に対して脆弱になります。

26. 2018年には、世界中の組織の40％がクリプトマイナーの影響を受けました。

（出典：チェック・ポイント）

ランサムウェアとは異なり、クリプトマイニングはサイバー犯罪者に、検出されることなく組織のサーバーに数か月間留まる可能性のある、はるかにステルスなスタイルの攻撃を提供します。 この期間中、その作者は受動的な収入の安定した流れを獲得します。 Check Point Researchはまた、組織の20％以上が毎週クリプトジャッキングマルウェアの影響を受けていることを発見しました。

27.マルウェアインシデントの45％近くがランサムウェアに関係しており、2015年の10％未満から増加しています。

（出典：ベライゾン）

ランサムウェアは、最近のサイバー侵害の統計が示すように、恐ろしいペースで人気を集めている、低リスクで高利益の犯罪です。 サイバー犯罪者も大胆に成長しており、ランサムウェアを標的とする個人用デバイスのシェアが低下し、より多くの身代金を要求される可能性のあるエンタープライズサーバーのシェアが上昇しています。 ランサムウェアからの保護を維持する簡単な方法は、コンピューターにウイルス対策ソフトウェアをインストールすることです。

28. 2018年上半期のデータ侵害の56％は、悪意のある部外者が原因でした。

（出典：ジェムアルト侵害レベル指数）

これは2017年下半期から7％の減少でした。侵害されたレコードの数に関しては、シェアは73％と高くなっています。 偶発的な損失は、この半分を失ったレコードの8億7900万（26％）以上を占めました。これは、インシデントの3分の1以上を表すデータ侵害の2番目に多い原因です。 悪意のあるインサイダー攻撃に関連する記録とインシデントの数は、2017年の同時期と比較してこの半分で60％減少しました。

29. 2018年上半期に盗まれたすべての記録の83％は、個人情報の盗難に関係していました。

（出典：ジェムアルト侵害レベル指数）

個人情報の盗難は、少なくとも2013年以降、引き続き主要なタイプのデータ侵害です。個人情報の盗難の数は2017年上半期に26％減少しましたが、これらのインシデントを通じて盗まれたレコードの数は757％増加しました。全記録の83％が盗まれました。 データ漏えいの統計は、重大度のエスカレーションに不穏な傾向があることを示しています。 全体的なインシデント数は2017年上半期と2018年上半期で減少していますが（2017年上半期で171件、2018年上半期で123件）、違反したレコードの数は2017年上半期と2018年上半期でそれぞれ増加しました（270万件と3億5900万件）。

30.組織の28％は、顧客情報または顧客パスワードがサイバー犯罪者にとって最も価値のある情報であると述べています。

（出典：Ernst＆Young）

12％はそれが企業の財務情報であると述べ、別の12％は彼らの戦略的計画がサイバー犯罪者が探しているトップの情報であると述べています。 脅威の認識に関してわずかに低いランクにある他のカテゴリは、R＆D情報、M＆A情報、および知的財産です。

31.災害復旧プロセスが自動化されている場合、データ侵害の平均コストは50％以上削減される可能性があります。

（出典：IBM-Ponemon Institute）

自動化とは、コンポーネントレベルで単一のアクションを実行するスクリプトを作成することにより、一連の手動のディザスタリカバリ手順を体系化することを意味します。 サイバーセキュリティの統計によると、データ漏えいの平均コストの差は、回復力のオーケストレーションを提供する自動ディザスタリカバリプロセスを導入していない企業と導入している企業の間で最大50％になる可能性があります。

32. 40％の企業が手動のディザスタリカバリプロセスを導入しています。

（出典：IBM-Ponemon Institute）

ただし、Ponemon Instituteが調査した世界のさまざまな地域の企業のサンプルでは、​​40％もの企業が完全に手動のデータ回復プロセスを引き続き使用していることがわかりました。 これは前年度からの明確な改善ですが、関連する潜在的な節約を考えると、組織が驚くほどうまくいかない指標のままです。

33.強力なインシデント対応チームの存在は、データ侵害のコストに最もプラスの影響を及ぼします。 サードパーティの関与が最も否定的です。

（出典：IBM-Ponemon Institute）

データ漏えいのコストを増加または減少させる可能性のある22の要因のうち、インシデント対応チームを持つことが最も有益であり、1人当たりのデータ漏えいコストを14ドル削減できる可能性があります。 同様に重要なのは、サードパーティの関与（13.4ドル）、大規模なクラウド移行（11.9ドル）、コンプライアンスの失敗（11.9ドル）、モバイルプラットフォームとIoTデバイスの大規模な使用など、1人あたりのコストを増加させる可能性のある要因です。

34.産業組織の55％は、サプライヤー、パートナー、サービスプロバイダーなどのサードパーティが産業用制御ネットワークにアクセスすることを許可しています。

（出典：カスペルスキー）

サードパーティのデータ侵害のリスクは広く受け入れられていますが、産業組織の半数以上が部外者に重要なシステムへのアクセスを許可しています。 このようなサードパーティのアクセスを許可する組織は、そのようなアクセスを許可しない組織と比較して、セキュリティ違反が発生する可能性が63％高いことに注意することが重要です。

35. 2018年上半期に盗まれた、失われた、または侵害されたデータレコードの1％のみが暗号化によって保護されました。

（出典：ジェムアルト侵害レベル指数）

暗号化の広範な使用は、盗まれた情報を役に立たなくする可能性があるため、データ侵害のコストを削減する最大の要因の1つです。 これは、サイバー犯罪者が2018年上半期に手に入れることができたほとんどすべてのデータには当てはまりませんでした。この数字は2017年上半期にはすでに2.5％と低いレベルでしたが、これによりさらに1パーセント低下します。 -半分はさらに懸念します。

36. 2019 Thales Global Data Threat Reportによると、回答企業の97％がデジタル変換テクノロジーに関する機密データを使用しています。

（出典：タレス）

これらのテクノロジーには、クラウドコンピューティング、ビッグデータ、IoT、コンテナー、またはモバイル環境が含まれ、これらはすべて、データに対する新しい攻撃対象領域と新しいリスクを生み出します。 アイデアは、企業がこれらのテクノロジーを使用することを思いとどまらせることではなく、企業が作成する脆弱性の種類を認識し、自社と顧客のデータを保護するための適切な措置を講じることを保証することです。

37.これらの環境で暗号化を使用しているのは回答者の30％のみです。

（出典：タレス）

上で説明したように、暗号化はデータ侵害を防ぐことはできないかもしれませんが、盗まれたデータが悪用されることはありません。 タレスの調査では、データの盗難を容易にする新しいテクノロジーを使用しているにもかかわらず、世界中の非常に多くの企業がデータ暗号化の価値にまだ目覚めていないこともわかりました。 企業だけがこの1つのツールを選択した場合、データ侵害の数の影響は無害になる可能性があります。

38. 2018年に2,848人のITプロフェッショナルを対象にした世界規模の調査では、77％の組織が、組織全体に一貫して適用される正式なサイバーセキュリティインシデント対応計画を持っていないことが明らかになりました。

（出典：IBM-Ponemon Institute）

AIと機械学習への投資の欠如は、サイバーレジリエンスに対する最大の障壁としてランク付けされ、この分野への投資は、今後12か月間で最も優先度の低いものとしてランク付けされました。 サイバーセキュリティに専念するスキルが不十分な人員がいることは2番目に大きな障壁であり、理想的な人員レベルを持っているのはわずか29％でした。

39.情報セキュリティ機能が現在ニーズを満たしていると答えている組織は10分の1未満です。

（出典：Ernst＆Young）

そして、多くの人が重要な改善がまだ進行中でないことを心配しています。 データセキュリティ統計は、中小企業が遅れをとっている可能性が高いことを示しています。 大規模な組織の78％は、情報セキュリティ機能が少なくとも部分的にニーズを満たしていると述べていますが、小規模な組織では65％にすぎません。 これは、ゲームを盛り上げ続ける積極的なサイバー犯罪者とはまったく対照的です。

40.回答者の44％が、データセキュリティの実装に対する最大の障壁として複雑さを評価しました。

（出典：タレス）

これは、スタッフ、予算、組織の賛同などの他の理由を上回っています。 多くの組織はマルチクラウド環境で作業しているため、各環境で機密データを保護する際に直面する問題が大幅に悪化し、多くの場合、環境での実装ごとに独自のデータセキュリティアプローチが必要になる場合があります。

41.組織の87％は、必要なレベルのサイバーセキュリティと回復力を提供するのに十分な予算を持っていません。

（出典：Ernst＆Young）

これは、データ侵害の統計から、組織がサイバーセキュリティにより多くを費やし、防御の改善にリソースを増やし、設計によるセキュリティを組み込むために一生懸命取り組んでいることが示されているにもかかわらずです。 保護にはパッチがあり、高度な機能を優先している組織は比較的少なく、サイバーセキュリティはサイロ化されたままであることがよくあります。

42.組織の39％のみが、取締役会または経営幹部チームがサイバーリスクと予防策を完全に評価するための情報セキュリティを包括的に理解していると主張しています。

（出典：Ernst＆Young）

多くの組織がデジタルトランスフォーメーションを積極的に追求しているため、サイバーセキュリティが取り残されないようにすることが不可欠です。 ありがたいことに、約31％の追加組織には、知識が限られた管理チームがあり、25％には、理解を深めるために前向きな措置を講じているチームがあります。 この部門でも、データ漏えいの統計によると、大規模な組織のスコアは小規模な組織よりもわずかに高くなっています。 興味深いことに、組織の60％は、情報セキュリティの直接の責任者は取締役会のメンバーではないと述べています。

43.セキュリティポリシーの設定に積極的に参加しているのは、企業の取締役会の39％のみです。

（出典：PwC）

2018年に世界中の企業を対象に行った別の調査によると、セキュリティに関するすべての話し合いが取締役会レベルの問題になる必要があるにもかかわらず、多くの取締役会は依然として組織のセキュリティ戦略に比較的関与していないようです。 セキュリティ予算の設定に関与しているのは45％のみで、44％が全体的なセキュリティ戦略を策定し、31％が現在のセキュリティとプライバシーのリスクを確認しています。

44. 34％の組織が、不注意または無意識の従業員を最大の脆弱性と見なしています。

（出典：Ernst＆Young）

データ漏えいの統計によると、古いセキュリティ制御は組織の26％によって最大の脆弱性にランク付けされています。 実際、53％の組織には、脅威の検出、脆弱性の識別、侵害の検出、データ保護、侵害への対応、IDおよびアクセス管理などの重要なサイバーセキュリティの側面に関するプログラムがないか、廃止されています。 サードパーティに関しても脆弱性が増加します。

45.組織の63％は、違反が認識された害を引き起こさない場合、セキュリティへの支出を増やしません。

（出典：Ernst＆Young）

組織は、非常に悪い影響を引き起こす何らかの違反や事件に見舞われない限り、サイバーセキュリティ慣行を強化したり、より多くのお金を費やしたりする可能性は低いと認めています。 そのような行動が引き起こす明らかな危険信号とは別に、多くの場合、実際に危害が加えられたとしても、それが表面化するまでに長い時間がかかるという事実もあります。

どうすればデータ侵害を防ぐことができますか？

データ漏えいを防ぐために組織ができることはいくつかあります。 一般的な解決策を見てみましょう。

46.世界中の組織の61％が、サイバーレジリエンスを向上させる最大の理由として熟練した人材の採用を挙げています。

（出典：IBM-Ponemon Institute）

組織の70％以上が、2017年から2018年の期間にサイバーレジリエンスが向上したと述べています。 この主な理由には、採用の改善、情報ガバナンスの実践の改善、アプリケーションとデータアセットの可視性、人工知能や機械学習などのサイバー自動化ツールなどの新しいテクノロジーの実装が含まれます。

47.クラウドコンピューティングは、2019年の52％の組織にとってサイバーセキュリティ投資の優先分野でした。

（出典：Ernst＆Young）

クラウドコンピューティングでは、組織の57％がセキュリティ支出も増加するでしょう。 サイバーセキュリティ統計によると、トップ5の他の分野には、サイバーセキュリティ分析、モバイルコンピューティング、IoT、ロボットプロセス自動化が含まれます。

48.準備と敏捷性は、高レベルのサイバーレジリエンスを達成するための最も重要な要素です。

（出典：IBM-Ponemon Institute）

高レベルのサイバーレジリエンスを実現するのに役立つ7つの主要な要素から選択するように求められたため、世界中のITプロフェッショナルは、特に計画された冗長性をはるかに超える準備と敏捷性を最優先しました。 サイバー脅威の予測不可能で常に存在する性質に対抗する最善の方法は、常に準備することです。

49. ITプロフェッショナルの70％は、ID管理と認証を効果的なセキュリティテクノロジーと考えています。

（出典：IBM-Ponemon Institute）

人とプロセスに加えて、データ侵害の統計は、サイバーレジリエンスを達成するために適切なテクノロジーが不可欠であることを示しています。 サイバーレジリエンスを実現するための7つの最も効果的なテクノロジーは、ID管理と認証、ウイルス対策/マルウェア対策、侵入検知と防止システム、インシデント対応プラットフォーム、ネットワークトラフィック監視、保存データの暗号化、セキュリティ情報とイベント管理です。 。 これら7つのうち、ほとんどのITプロフェッショナルは、ID管理と認証に同意しており、これが最高のセキュリティテクノロジになっています。

50. ITプロフェッショナルの88％は、ミッションクリティカルなアプリケーションへの不正アクセスを削減することが、組織が実装する必要のあるサイバーセキュリティ活動のトップであることに同意しています。

（出典：IBM-Ponemon Institute）

次のサイバー攻撃がどのように展開するかを予測することは不可能ですが、ITプロフェッショナルは、関連するリスクを最小限に抑えるために講じることができる特定の予防策があることに同意しています。 これらの対策は、サイバー犯罪者が最終的にデータを盗むために悪用するセキュリティアーマーの問題を軽減します。 データ漏えいの統計によると、主要な対策には、ミッションクリティカルなアプリケーションや機密データへの不正アクセスの削減が含まれます。 その他の重要な対策は、データを保持するデバイス（IoTを含む）の盗難を制限し、効率的なバックアップとディザスタリカバリ操作を可能にし、安全でないインターネットサイトやWebベースのアプリへのエンドユーザーアクセスを削減することです。