Bizコンパス

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る
2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

著者 Bizコンパス編集部

サイバーリスクが避けられないなら、保険に入れば良い

 続いて登壇したのは、サイバーリスクに起因して発生した損害を1つの保険で包括的に補償する「サイバーリスク保険」を提供している、東京海上日動火災保険株式会社の教学大介氏です。

 教学氏は、サイバー攻撃のリスクについて「攻撃を行う側が絶対的に有利な立場にあり、リスクをゼロにすることは不可能」と、企業側が不利な立場にある点に触れ、サイバーリスク保険の意義を説明します。

「どれだけセキュリティ対策に投資をしても、サイバーリスクをゼロにすることは出来ません。しかし、保険の活用で避けられない『残留リスク』を補償することは可能になります。企業は発生の可能性は低いかもしれないが、もし発生した場合に大きな影響を及ぼすリスクを“移転”することでリスクコントロールができるのです」

 東京海上日動火災保険のサイバーリスク保険では、補償領域として「損害賠償責任」「サイバーセキュリティ事故対応費用」そして「ネットワーク中断に関する補償」の3つが用意され、これらを包括的に補償しているといいます。具体的には、損害賠償金や訴訟費用、謝罪・広告費用や被害者への見舞金、フォレンジックなどの原因調査費用やWebサイトの復旧費用といった危機管理対応費用、そして逸失利益・営業継続費用などが補償対象に含まれます。

「日本は欧米と比べて訴訟社会ではないため、従来は訴訟費用や賠償費用よりお見舞金支払いへの補償が大きな割合を占めていました。しかし今後、日本の規制が欧米並みに強化されれば、賠償訴訟は増加するでしょう。そして、クラウドやIoTデバイスの普及によりサイバー攻撃によるインシデントも増加傾向にあることから、サイバーリスク保険のニーズはますます高まると予測しています」(教学氏)

 サイバーリスク保険ではさらに、公的機関等より不正アクセスの可能性の通報を受けた場合、「不正アクセスなどのおそれがある」とみなし、外部機関への調査依頼費用も補償するといいます。この点もサイバーリスクの特性を踏まえて設計された同保険の大きな特長です。

「不正侵入やそれに伴う情報漏えいは認識しづらく、たとえサイバー攻撃を受けても気づかない場合も少なくありません。また攻撃の確証を得るためには、相応の費用をかけて調査を行う必要があるため、『時間とお金をかけるのであれば、やらなくていい』と考えてしまうことが多いようです。そのため、実際に事故の報告を受けることは少ないのが現状です。

 その点、サイバーリスク保険であれば、初動対応時の調査費用が補償されるため、企業はサイバー攻撃に対してスピーディーなアクションを起こすことが可能となります」(教学氏)

 同社が提供するのはサイバーリスク保険だけではありません。グループ会社である東京海上日動リスクコンサルティング株式会社では、サイバーリスク可視化ソリューションとしてSecurity Scorecard社の「Security Rating Platform」を提供しています。

 このサービスによって企業を攻撃者の視点で外部から評価を行い、リスクを瞬時にスコアリングし、改善すべきポイントを可視化することができるといいます。

「このサービスを使えば、脆弱性が残っていないか、ダークウェブ(一般に公開されていない、いわゆる闇サイト)で話題になっていないか、外部に情報が漏えいしているのではないか、といったことが瞬時に可視化できます。

 さらにネットワークセキュリティ、DNSの健全性、パッチの適用頻度、エンドポイントセキュリティなど10項目のリスクファクターで77項目以上の問題点が抽出することができます。企業ドメインごとにトータルスコアが算出されるのも特徴です」(教学氏)

 同社では、このサービスを用いることで、顧客が自社だけでなく、グループ会社・サプライチェーン全体のセキュリティ対策状況を把握できるよう支援しています。

「お客さまは把握した状況を踏まえ、適切なセキュリティ対策をしていただくことでリスクを低減していただき、その結果として当社の提供するサイバーリスク保険料も低減するというサイクルを回していければと考えています」(教学氏)

SHARE

関連記事

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

脱エクセル!ServiceNowとTenableで脆弱性管理の自動化を実現

2019.09.27

DXを加速させるITシステムの運用改革第11回

脱エクセル!ServiceNowとTenableで脆弱性管理の自動化を実現

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

2019.09.25

IoTはビジネスの現場をどう変えていくのか第2回

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

VPNとは何か?その用途や問題点は?

2019.09.11

今知っておきたいITセキュリティスキルワンランクアップ講座第15回

VPNとは何か?その用途や問題点は?