お役立ち情報サイバー攻撃による損害を回避するために
サイバー事故の損害を補償するサイバー保険
手法が高度化・洗練化し、規模も拡大しているサイバー攻撃。メディアを騒がせている数々のセキュリティ事案は、決して他人事ではありません。近年では、最終ターゲットとなる大企業を直接狙うのではなく、その関連企業や取引先を攻撃して足がかりを作り、そこから本丸に攻め込んでいく「サプライチェーン攻撃」も増えています。その初期ターゲットの中には、一般的には名前があまり知られていない中小企業も多く含まれています。
サイバー攻撃を受けて情報漏えいやシステム停止が発生すれば、当然ながらそれに伴う損害が生じます。実際の被害金額は事案毎に異なりますが、特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)が2019年6月に公開した「2018年 情報セキュリティインシデントに関する調査報告書」※1によれば、2018年の個人情報漏洩インシデント1件あたりの平均想定損害賠償額は6億3,767万円となっています。
またJNSAは2021年8月に「インシデント損害額調査レポート 2021年版」※2を公開し、その中でモデルケース別の損害額も試算しています。それによれば、近年被害が増えているランサムウェアへの大規模な感染が発生した場合には、3億7,600万円の被害が発生すると想定しています。
このような「サイバー事故」の損害を補填するため、近年大きな注目を集めるようになっているのが、「サイバー保険」です。これはその名が示すように、サイバー事故に起因する損害賠償や事故対応費用など、様々な損害に対応するための保険です。保険契約によってある程度の差異はあるものの、その補償内容には大きく3つの柱があります。
第1は損害賠償金です。顧客の個人情報や取引先の機密情報が流出した場合、被害を受けた企業などから賠償請求が行われる可能性が生じます。自社がサイバー攻撃の被害者である場合でも、その被害が社外に及んでしまった場合には、賠償請求を受ける可能性があるのです。その金額はケースによって異なりますが、中小企業の場合でも数千万円~数億円規模になることが考えられます。
第2は事故対応費用です。サイバー事故が発生した場合には、インシデントの原因究明に必要な情報収集(フォレンジック)費用、状況説明や謝罪を行うための広告費用、顧客や取引先からの問い合わせを受けるためのコールセンター費用などが必要になります。これも数千万円規模になることが珍しくありません。
そして第3が、システム等の停止による事業活動の中断によって発生する、売上や利益の減少です。サイバー保険はこのような機会損失に伴う損害も補償することが可能です。
注意しなければならないのは、ランサムウェアに対する身代金支払いなど、攻撃者に金銭を渡した場合には、その金額が補償対象にならないケースが一般的だということです。そのため攻撃者からの金銭要求には、対応すべきではありません。
脚注
※1 https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf
※2 https://www.jnsa.org/result/incidentdamage/data/incidentdamage_20210910.pdf
サイバー攻撃に先手を打つためにも役立つセキュリティリスク評価
サイバー事故が完全に防げない以上、自動車保険への加入と同様に、サイバー保険への加入も必須になると言えるでしょう。またリスク回避だけではなく、企業の社会的信用を高める上でも、このような保険への加入は大きな意義があると言えます。実際に、一般社団法人 日本損害保険協会が2020年12月に公開した「国内企業のサイバーリスク意識・対策実態調査2020」※3でも、サイバー保険に加入している企業の加入理由として最も多かったのは、「会社の信用力向上につながるため」(60.4%)だったことが示されています。
サイバー保険に加入するには告知事項申告書の提出が必要になりますが、その中にはセキュリティリスクの評価も含まれます。以前は保険会社の質問に答えることでセキュリティリスク評価が行われていましたが、それでは十分なリスク評価が行えないと判断し、ここにデジタルテクノロジーを導入する保険会社も増えています。例えば東京海上日動では、SecurityScorecard社のセキュリティリスク評価ソリューションをリスク評価に取り入れています※4。
国内最大手の東京海上日動が導入していることでもわかるように、SecurityScorecard社のセキュリティリスク評価ソリューションは、保険業界で大きな権威性・信頼性を獲得しています。海外ではこれを、サイバー保険の料率計算に活用しているケースも珍しくありません。
SecurityScorecardがメリットをもたらすのは保険会社に限られません。一般企業が自社やグループ全体のセキュリティリスクを適切に評価し、対応策を立案・実施する上でも、大きな効果が期待できます。 SecurityScorecardはセキュリティリスク評価(リスクレーティング)を行うだけではなく、組織のリスクファクターを明確にすることも可能です。また監視対象を自社から、グループ会社や取引先に拡大することも容易です。SecurityScorecardを活用することにより、1,200万社を超える企業のセキュリティリスク評価が可能になるのです。※5
SecurityScorecardは、セキュリティリスク要素を10のファクタで評価(画像左)、スコア改善プランも提案(画像右)
サイバー保険は「いざというときの守り」となりますが、望ましいのは「いざというときが起きないこと」です。その先手を打つためにも、SecurityScorecardによるセキュリティリスク評価を継続的に実施し、サプライチェーン全体のセキュリティ対策状況を把握・監視すべきだと言えるでしょう。このような取り組みをサイバー保険とセットにすることで、より強固なセキュリティリスク管理を実現できるのです。
脚注
※3 https://www.sonpo.or.jp/cyber-hoken/data/2020-01/pdf/cyber_report2020.pdf
※4 https://tokiocyberport.tokiomarine-nichido.co.jp/cybersecurity/s/column-detail14
※5 https://securityscorecard.com/trust/