IBMは本日、年次データ漏洩コスト(CODB)レポートを発表し、ますます高度で破壊的なサイバー脅威の状況の中で、データ漏洩コストの増加に関する世界的および地域的な傾向を明らかにしました。 2025年のレポートは、自動化と人工知能(AI)の役割が拡大していることを探求し、違反コストの軽減において、初めてAIのセキュリティとガバナンスの現状を調査しました。
レポートによると、ブラジルにおけるデータ侵害の平均コストは7,19百万レアルに達し、2024年には6,75百万レアルとなり、6.5%の増加を示しています。これは、非常に複雑な課題に直面しているサイバーセキュリティチームにとって追加の圧力となっています。 医療、金融、サービスなどのセクターが最も影響を受けたリストのトップを占め、それぞれ平均コストは1,143万レアル、892万レアル、851万レアルでした。
国内では、広範囲にわたる安全なAIと自動化を採用している組織は平均コストが648万レアルであるのに対し、限定的な導入を行っている組織は676万レアルのコストを示しました。 これらの技術をまだ導入していない企業の平均コストは8,780,000レアルに上昇し、サイバーセキュリティ強化におけるAIの利点を浮き彫りにしています。
コストを増加させる要因を評価するだけでなく、2025年のデータ侵害コスト報告書は、データ侵害の財務的影響を軽減できる要素も分析しました。 最も効果的な取り組みの中には、脅威インテリジェンスの導入(平均で65万5,110レアルのコスト削減)やAIガバナンス技術の活用(62万9,850レアル)が含まれます。 この大幅なコスト削減にもかかわらず、報告書はブラジルで調査された組織のうちわずか29%がAIモデルへの攻撃に伴うリスクを軽減するためにAIガバナンス技術を利用していることを確認しました。 一般的に、AIのガバナンスとセキュリティは広く無視されており、ブラジルで調査された組織の87%がAIガバナンスのポリシーを持っておらず、61%がAIへのアクセス制御を持っていません。
私たちの研究は、AIの迅速な導入と適切なガバナンスとセキュリティの欠如との間にすでに懸念すべきギャップが存在し、悪意のあるエージェントがこの空白を悪用していることを示しています。AIモデルにおけるアクセス制御の欠如は、機密データを露出させ、組織の脆弱性を高めました。これらのリスクを過小評価する企業は、重要な情報を危険にさらすだけでなく、全体の信頼性も損なっています」と、ラテンアメリカのIBMコンサルティングのセキュリティサービスパートナー、フェルナンド・カルボーネは説明しています。
データ侵害コスト増加に寄与する要因
セキュリティシステムの複雑さは、侵害の総コストに平均してR$ 725,359の増加に寄与しました。
研究はまた、無許可のAIツール(シャドウAI)の使用が平均でR$ 591,400のコスト増加をもたらしたことを示しました。 AIツール(内部または公開)の導入は、その利点にもかかわらず、データ侵害に平均でR$ 578,850のコストを追加しました。
レポートはまた、ブラジルにおけるデータ侵害の最も頻繁な根本原因も特定しました。 フィッシングは主要な脅威のベクターとして浮上し、違反の18%を占め、平均コストは718万レアルとなった。 その他の重要な原因には、第三者およびサプライチェーンの関与(15%、平均コストは8.98百万レアル)や脆弱性の悪用(13%、平均コストは7.61百万レアル)が含まれます。資格情報の漏洩、内部エラー(偶発的なもの)、悪意のある侵入者も違反の原因として報告されており、組織がデータ保護に直面するさまざまな課題の広範な範囲を示しています。
2025年のデータ漏洩コスト報告書によるその他の世界的な発見:
- 組織の13%がAIモデルやアプリケーションに関する違反を報告し、8%はそのような形で侵害されたかどうかわからなかった。 組織の97%は、AIに対するアクセス制御が施されていないと報告しています。
- 侵害された組織の63%はAIガバナンスポリシーを持っていないか、まだ策定中です。 ポリシーを持つ者のうち、定期的な監査を行っているのはわずか34%であり、不正使用のAIを検出している。
- 5つの組織のうち1つがシャドウAIによる違反を報告しており、これらの技術を管理または検出するためのポリシーを持つ組織は37%に過ぎません。 高レベルのシャドウAIを活用した組織は、低レベルまたは非使用の組織と比較して、侵害コストが平均で67万ドル多いことが観察されました。 隠されたAIに関わるセキュリティインシデントは、個人識別情報(65%)と知的財産(40%)の漏洩につながり、世界平均(それぞれ53%と33%)を上回った。
- 調査された違反の16%は、ハッカーがAIツールを使用しているものであり、しばしばフィッシング攻撃やディープフェイクに利用されている。
違反の財務コスト
- データ侵害のコストデータ侵害の平均コストは4.44百万ドルに下落し、5年ぶりの低下となった一方、米国での侵害の平均コストは1,022万ドルの記録を更新した。
- 違反のグローバルなライフサイクルが記録的な時間に達する侵害を特定し封じ込めるまでの平均時間は241日に短縮され、前年より17日短縮されました。これは、より多くの組織が内部で侵害を検出したためです。 内部で違反を検出した組織は、侵入者によって通知された組織と比較して、違反のコストで90万ドルを節約しました。
- 医療分野の違反は依然として最も高価です。平均7.42百万ドルの違反は、調査対象のすべてのセクターの中で最も高価なままであり、2024年と比較して2.35百万ドルのコスト削減があったにもかかわらず、医療セクターの違反が最も高額でした。 このセクターでの違反は特定されて対処されるまでにより多くの時間を要し、平均279日かかります。これは世界平均の241日を超え、5週間以上長いです。
- 救出費用の疲弊昨年、組織は救済要求に対してますます抵抗し、63%が支払わないことを選択し、前年の59%と比較して増加しました。 より多くの組織が身代金やランサムウェアの要求を拒否するにつれて、攻撃者によって公開された場合の平均的な事件のコストは依然として高く、特に5,080,000ドルとなっている。
- 違反後の価格上昇違反の結果は封じ込めを超えて広がり続けている。 前年と比べて減少しているものの、ほぼ半数の組織が違反により商品やサービスの価格を引き上げる予定であると報告し、ほぼ3分の1が15%以上の価格上昇を報告しました。
- AIのリスク増加の中での安全投資の停滞違反後にセキュリティへの投資計画を報告した組織の数は大幅に減少しました:2025年は49%、2024年は63%です。 違反後のセキュリティに投資することを計画している企業のうち、半数未満がAIを基盤としたセキュリティソリューションやサービスに焦点を当てる予定です。
データ侵害のコストの20年
レポートは、ポネモン研究所が主導し、IBMが後援しており、データ侵害の財務的影響を理解するための業界の主要な参考資料です。 レポートは、2024年3月から2025年2月までの間に600のグローバル組織の経験を分析しました。
過去20年間で、コスト・オブ・データ侵害レポートは世界中でほぼ6,500件の違反を調査しました。 2005年の最初の報告書によると、すべての違反のほぼ半数(45%)は紛失または盗難されたデバイスに起因していることが判明しました。 わずか10%はハッキングされたシステムによるものでした。 2025年に向けて、脅威の状況は劇的に変化しました。 現在、脅威の状況は主にデジタルであり、ますますターゲットを絞ったものとなっており、違反はさまざまな悪意のある活動によって促進されています。
10年前は、クラウドの誤った設定の問題は監視されていませんでした。 今、彼らは主要な違反の要因の一つとなっています。 ランサムウェアは2020年のロックダウン中に爆発し、違反の平均コストは2021年の462万ドルから2025年には508万ドルに増加しました。
完全なレポートにアクセスするには、IBMの公式ウェブサイトをご覧ください。ここ.
