NTTコミュニケーションズ

Bizコンパス

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る
2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

著者 Bizコンパス編集部

サイバーリスクが避けられないなら、保険に入れば良い

 続いて登壇したのは、サイバーリスクに起因して発生した損害を1つの保険で包括的に補償する「サイバーリスク保険」を提供している、東京海上日動火災保険株式会社の教学大介氏です。

 教学氏は、サイバー攻撃のリスクについて「攻撃を行う側が絶対的に有利な立場にあり、リスクをゼロにすることは不可能」と、企業側が不利な立場にある点に触れ、サイバーリスク保険の意義を説明します。

「どれだけセキュリティ対策に投資をしても、サイバーリスクをゼロにすることは出来ません。しかし、保険の活用で避けられない『残留リスク』を補償することは可能になります。企業は発生の可能性は低いかもしれないが、もし発生した場合に大きな影響を及ぼすリスクを“移転”することでリスクコントロールができるのです」

 東京海上日動火災保険のサイバーリスク保険では、補償領域として「損害賠償責任」「サイバーセキュリティ事故対応費用」そして「ネットワーク中断に関する補償」の3つが用意され、これらを包括的に補償しているといいます。具体的には、損害賠償金や訴訟費用、謝罪・広告費用や被害者への見舞金、フォレンジックなどの原因調査費用やWebサイトの復旧費用といった危機管理対応費用、そして逸失利益・営業継続費用などが補償対象に含まれます。

「日本は欧米と比べて訴訟社会ではないため、従来は訴訟費用や賠償費用よりお見舞金支払いへの補償が大きな割合を占めていました。しかし今後、日本の規制が欧米並みに強化されれば、賠償訴訟は増加するでしょう。そして、クラウドやIoTデバイスの普及によりサイバー攻撃によるインシデントも増加傾向にあることから、サイバーリスク保険のニーズはますます高まると予測しています」(教学氏)

 サイバーリスク保険ではさらに、公的機関等より不正アクセスの可能性の通報を受けた場合、「不正アクセスなどのおそれがある」とみなし、外部機関への調査依頼費用も補償するといいます。この点もサイバーリスクの特性を踏まえて設計された同保険の大きな特長です。

「不正侵入やそれに伴う情報漏えいは認識しづらく、たとえサイバー攻撃を受けても気づかない場合も少なくありません。また攻撃の確証を得るためには、相応の費用をかけて調査を行う必要があるため、『時間とお金をかけるのであれば、やらなくていい』と考えてしまうことが多いようです。そのため、実際に事故の報告を受けることは少ないのが現状です。

 その点、サイバーリスク保険であれば、初動対応時の調査費用が補償されるため、企業はサイバー攻撃に対してスピーディーなアクションを起こすことが可能となります」(教学氏)

 同社が提供するのはサイバーリスク保険だけではありません。グループ会社である東京海上日動リスクコンサルティング株式会社では、サイバーリスク可視化ソリューションとしてSecurity Scorecard社の「Security Rating Platform」を提供しています。

 このサービスによって企業を攻撃者の視点で外部から評価を行い、リスクを瞬時にスコアリングし、改善すべきポイントを可視化することができるといいます。

「このサービスを使えば、脆弱性が残っていないか、ダークウェブ(一般に公開されていない、いわゆる闇サイト)で話題になっていないか、外部に情報が漏えいしているのではないか、といったことが瞬時に可視化できます。

 さらにネットワークセキュリティ、DNSの健全性、パッチの適用頻度、エンドポイントセキュリティなど10項目のリスクファクターで77項目以上の問題点が抽出することができます。企業ドメインごとにトータルスコアが算出されるのも特徴です」(教学氏)

 同社では、このサービスを用いることで、顧客が自社だけでなく、グループ会社・サプライチェーン全体のセキュリティ対策状況を把握できるよう支援しています。

「お客さまは把握した状況を踏まえ、適切なセキュリティ対策をしていただくことでリスクを低減していただき、その結果として当社の提供するサイバーリスク保険料も低減するというサイクルを回していければと考えています」(教学氏)

SHARE

関連記事

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

暗号化ZIPをメールで添付する方式の何が問題か?

2021.02.02

今知っておきたいITセキュリティスキルワンランクアップ講座第25回

暗号化ZIPをメールで添付する方式の何が問題か?

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

2020.12.09

セキュリティ対策に求められる新たな視点第18回

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査