続いて登壇したのは、サイバーリスクに起因して発生した損害を1つの保険で包括的に補償する「サイバーリスク保険」を提供している、東京海上日動火災保険株式会社の教学大介氏です。
教学氏は、サイバー攻撃のリスクについて「攻撃を行う側が絶対的に有利な立場にあり、リスクをゼロにすることは不可能」と、企業側が不利な立場にある点に触れ、サイバーリスク保険の意義を説明します。
「どれだけセキュリティ対策に投資をしても、サイバーリスクをゼロにすることは出来ません。しかし、保険の活用で避けられない『残留リスク』を補償することは可能になります。企業は発生の可能性は低いかもしれないが、もし発生した場合に大きな影響を及ぼすリスクを“移転”することでリスクコントロールができるのです」
東京海上日動火災保険のサイバーリスク保険では、補償領域として「損害賠償責任」「サイバーセキュリティ事故対応費用」そして「ネットワーク中断に関する補償」の3つが用意され、これらを包括的に補償しているといいます。具体的には、損害賠償金や訴訟費用、謝罪・広告費用や被害者への見舞金、フォレンジックなどの原因調査費用やWebサイトの復旧費用といった危機管理対応費用、そして逸失利益・営業継続費用などが補償対象に含まれます。
「日本は欧米と比べて訴訟社会ではないため、従来は訴訟費用や賠償費用よりお見舞金支払いへの補償が大きな割合を占めていました。しかし今後、日本の規制が欧米並みに強化されれば、賠償訴訟は増加するでしょう。そして、クラウドやIoTデバイスの普及によりサイバー攻撃によるインシデントも増加傾向にあることから、サイバーリスク保険のニーズはますます高まると予測しています」(教学氏)

サイバーリスク保険ではさらに、公的機関等より不正アクセスの可能性の通報を受けた場合、「不正アクセスなどのおそれがある」とみなし、外部機関への調査依頼費用も補償するといいます。この点もサイバーリスクの特性を踏まえて設計された同保険の大きな特長です。
「不正侵入やそれに伴う情報漏えいは認識しづらく、たとえサイバー攻撃を受けても気づかない場合も少なくありません。また攻撃の確証を得るためには、相応の費用をかけて調査を行う必要があるため、『時間とお金をかけるのであれば、やらなくていい』と考えてしまうことが多いようです。そのため、実際に事故の報告を受けることは少ないのが現状です。
その点、サイバーリスク保険であれば、初動対応時の調査費用が補償されるため、企業はサイバー攻撃に対してスピーディーなアクションを起こすことが可能となります」(教学氏)

同社が提供するのはサイバーリスク保険だけではありません。グループ会社である東京海上日動リスクコンサルティング株式会社では、サイバーリスク可視化ソリューションとしてSecurity Scorecard社の「Security Rating Platform」を提供しています。
このサービスによって企業を攻撃者の視点で外部から評価を行い、リスクを瞬時にスコアリングし、改善すべきポイントを可視化することができるといいます。
「このサービスを使えば、脆弱性が残っていないか、ダークウェブ(一般に公開されていない、いわゆる闇サイト)で話題になっていないか、外部に情報が漏えいしているのではないか、といったことが瞬時に可視化できます。
さらにネットワークセキュリティ、DNSの健全性、パッチの適用頻度、エンドポイントセキュリティなど10項目のリスクファクターで77項目以上の問題点が抽出することができます。企業ドメインごとにトータルスコアが算出されるのも特徴です」(教学氏)
同社では、このサービスを用いることで、顧客が自社だけでなく、グループ会社・サプライチェーン全体のセキュリティ対策状況を把握できるよう支援しています。
「お客さまは把握した状況を踏まえ、適切なセキュリティ対策をしていただくことでリスクを低減していただき、その結果として当社の提供するサイバーリスク保険料も低減するというサイクルを回していければと考えています」(教学氏)
