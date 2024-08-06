セキュリティー・リーダーは、絶えず多層防御について考え、セキュリティー・スタックと全体的なアーキテクチャーがレジリエンスと保護を提供しています。このパラダイムは今日も当てはまりますが、データ・ファーストのセキュリティーへの移行を考える時期に来ているかもしれません。これは、現在のユースケースに対応したデータ管理を意味し、データはライフサイクル全体、使用、廃棄を通じて保護が必要な中心的資産です。データ・セキュリティーのパラダイム・シフトは、2024年版「データ侵害のコストに関する調査」の証拠によって裏付けられています。
このレポートでは、世界中の604の組織と17の業種・業務における原因やコストへの影響、実際の侵害からの復旧に関する研究結果を紹介しています。この調査結果は、セキュリティー、プライバシー、ガバナンス、規制への影響など、データのパズルの解決に役立ついくつかの興味深い傾向を示しています。これらの側面はすべて、新しい生成AIイニシアチブを提供し、セキュリティーへの配慮を置き去りにして迅速に市場に投入しようとする慌ただしさから、すでにリスクが高まっていることを物語っています。憂慮すべきことに、生成AIセキュリティに関する最近のエグゼクティブ向けの調査により、新しいイニシアチブのうちコンポーネントを含むものはわずか24%に過ぎないことが明らかになりました。
今日、データは企業が依存する主要な資産になっています。しかし、データは輝かしいものですが、その重要性やデータ損失の潜在的な影響に見合うように、まだ十分に管理または保護されていません。データ、データ・ジャーニー、およびそのライフサイクルを取り巻く保護パラダイムが、データ侵害のコストにおける主な要因となっている方法をいくつか見てみましょう。
まず、今日のデータは大規模になっており、組織は古いオンプレミスやプライベートクラウドのインフラストラクチャーを超えなければなりません。ここに存在する要因は、データ量の拡張性だけでなく、時間の経過とともに増大する一方のトラフィックとワークロードの需要です。マルチクラウド環境を経由する中、データ侵害のコストに関する調査は、漏洩の40%が複数のクラウド環境にまたがって保存されたデータに関与していることを明らかにしています。侵害を受けたとき、パブリッククラウド環境では、平均侵害コストが517万米ドルと最も高くなりました。
なぜこんなことが起きているのでしょうか。マルチクラウドの分散型の性質は、データの視覚化と制御における複雑な要因です。そして、侵害が発生した場合、情報の収集、調査、および侵害を封じ込めるためのクラウド・プロバイダーのサポートの有効化に時間がかかるだけでした。また、クラウドはより多くのデータをホストし、規模が大きいということは一度に侵害されるデータが多いことを意味し、顧客や復旧コストへの影響を増大させる可能性があります。
データはこれまで以上に多くの場所に分散しており、今年の侵害の35％は、管理されていないデータ・ソース（別名「シャドー・データ」）に保存されたデータに関係しています。その結果、データが適切に分類されておらず、適切に保護されず、組織内で動きながらライフサイクルの観点から管理されていなかったのです。シャドー・データが関係する侵害の25%は、オンプレミスのみであったことを考慮すると、この状況は、データ・ガバナンスのギャップ、データ・プライバシーの問題、差し迫った規制の影響という形で管理されていないリスクを浮き彫りにしていると思われます。
シャドー・データが関与する侵害も、特定に26.2％、封じ込めに20.2％長くかかり、平均291日でした。シャドー・データが関与していた場合、必然的に侵害コストが増加し、平均527万米ドルに上りましたが、侵害がエコシステム内の他の企業に波及する効果や、契約上の問題の可能性、訴訟などは一部にあることを考慮すれば、これらは氷山の一角にすぎません。侵害を受けてから2～3年後もコストは増加し続けます。
データが効果的にインベントリー化およびカタログ化されていない場合、データは適切に分類されず、適切に保護されません。それは、本来「制限付き」または「機密」とタグ付けされるべきデータである可能性が高く、これがレポートの次の統計につながります。攻撃者は侵害の際にさらに多くの機密データにアクセスでき、IP盗難が26.5％増加しました。損失したIPのコストは昨年よりかなり高く、2023年版レポートの1記録あたり156米ドルから、2024年には173米ドルに上昇11％の増加となりました。
しかし、その直接的なコストについては、ひとまず脇に置いておきましょう。知的財産の窃盗がもたらす影響は、文字通り組織の競争優位性の喪失を意味します。戦略的知的財産から生み出されることが期待されていた市場シェアと収益がかなり失われる可能性があります。ほとんどの組織が、独自に収益化することを期待して革新的な生成AIアプリケーションの開発に積極的に取り組んでいることを考えれば、この統計に警戒しない株主がいるでしょうか。
不十分なデータ保護によって生じるコストの副作用は、ビジネス損失と評判の失墜であり、その額は平均147万ドルに上り、2024年の侵害の平均コスト増加の大部分を占めます。
現在、生成AIが新たなゴールド・ラッシュとして登場することで、組織内のさまざまな利害関係者が、未承認のデータ、モデル、AIの全般的な使用に関連する、管理の及ばないリスクに容易にさらす可能性があります。このような利用は、ITチームやセキュリティチームには見えないことがあり、その結果、重大なインシデントを引き起こす可能性があります。
もう1つのリスク要因は、複数のサード・パーティー・プロバイダーから提供された、AI実装に使用される予定のデータセットです。セキュリティー・チームが管理しなければ、これらの外部ソースはポイズニングや脆弱性などのリスクを増大させる可能性があります。しかし、より気付かれにくいリスクは、シャドー・モデルと、クラウド環境に出入りする大量の暗号化されていないデータ・ストリームです。
考察するシナリオの例：医療組織は生成AIを使用して胸部X線写真の異常を特定しているとします。彼らは画像をクラウドに送信して成果を受け取りますが、画像は暗号化されていない形式で移動および使用されます。攻撃者は画像にアクセスし、医療従事者に身代金の支払いを脅迫します。同じことが、平文や、より適切に保護する必要があるその他の保護されていないデータでも発生する可能性があります。影響を受けるデータ主体による訴訟が速やかに起こされても驚くべきことではありません。
今日のほとんどの組織は、データにアクセスできなくなると、生産性がほぼすべて失われます。従業員の生産性の最も単純なものからデータ駆動型企業の複雑さに至るまで、企業はデータをビジネスの副産物として考えていません。データは、持続的なイノベーションと持続可能なビジネスの成長のために、組織が文化、組織、テクノロジーを連携させるための主要な資産です。データは、その分類に応じた適切な範囲で管理・保護され、さらにそれを実現するために適切なテクノロジーを使用するのは当然のことです。
識別、分類、暗号化。保護されるデータが優れているほど、データ侵害が発生した場合に攻撃者の活用は小さくなります。これは、データ主体への影響が軽減され、規制上の罰金が科せられる可能性も低いことも意味します。暗号化して賢く実行しましょうすべてのデータが同等に作られているわけではありません。組織で画像やその他の種類のデータを使用している場合は、そのデータを安全に使用してそのメリットを享受できるように、そのデータを暗号化するためのより適切な方法について学ぶことができます。
組織が革新的であるほど、データを使用すればするほど、暗号化の重要性が高まります。また、保護されたデータが将来も保護されることを保証するために、ポスト量子暗号化と機密コンピューティングをユースケースに検討してください。
データは明らかに環境全体に広がっており、多くの場合晒されたままであるため、データ・セキュリティー・ポスチャー管理（DSPM）を通じてコントロールを取り戻すのが一つの方法です。DSPMとは、複数のクラウド環境やサービスの中に存在する機密データを特定し、セキュリティー脅威への脆弱性や規制違反のリスクを評価するサイバーセキュリティー・テクノロジーです。セキュリティー・チームは、データの保管、動き、処理に使用するデバイス、システム、アプリケーションを保護することではなく、DSPMを使用することで、データを直接守ることに集中できます。
生成AIソリューションにおけるデータの規模と使用シナリオを考慮して、組織はデータのライフサイクルと、あらゆる状態で大規模に保護する方法を再考する必要があります。トレーニング・データを盗難や不正操作から保護することで、安全性を確保することを検討してください。組織は、データ検出と分類を使用して、トレーニングやファイン・チューニングに使用された機密データを検知できます。また、暗号化、アクセス管理、コンプライアンス監視を通して、データ・セキュリティー・コントロールを実装することもできます。AIモデルへの体制管理を拡張して、機密性の高いAIトレーニングデータを保護し、未承認またはシャドーAIモデルの使用、悪意のあるドリフト、AIの悪用、データ漏洩を可視化します。
データの使用には、データ・プライバシー規制当局からの広範な要件がすでにかかっています。AI対応のソリューションやシナリオで使用されるデータに関しては、こうした要求はより複雑で微妙なものになっています。つまり、従来のデータ保護機能では不十分であり、強化された分類、保護、監視メカニズム、および監査と監視のための制御の改善が必要になる可能性があります。
今年で第19版となったデータ侵害のコストに関する調査は、IT部門、リスク管理部門、セキュリティー部門の各リーダーに、戦略的意思決定の指針となる定量化可能な証拠をタイムリーに提供します。また、チームがリスク・プロファイルやセキュリティーへの投資をより適切に管理するのに役立ちます。今年、この統計は、データ侵害に直面した604の組織と3,556人のサイバーセキュリティーおよびビジネス・リーダーが、エクスペリエンスから得た洞察を提供しています。実例を挙げながらリスクを軽減する方法について専門家が提言するレポートをダウンロードして、対応しましょう。