みなさんはサイバー保険という商品をご存知でしょうか。簡単に言うと、サイバー保険とは、サイバー攻撃による金銭的損失を補償する損害保険のことです。大手損害保険各社も商品を取り揃えており、日本においても認知度が高まってきています。
私も日々セキュリティコンサルタントとして企業のご支援をする中で、「サイバー保険とは?」といった質問を受けることが多くなってきましたし、社内からも同様の質問を受けることも増えてきました。
本記事では、サイバー保険の基本的なことから、よくある間違いまで、クイズ形式で活用ポイントを解説していきます。
こんな人に読んでもらいたい
・サイバー保険について聞いたことがあるけど、よくわからない
・サイバー保険への加入を検討中である
・加入すべきかどうか、何をもって判断すればよいのかわからない
※この記事では、保険商品比較や保険料等はご紹介しません。保険商品の詳細については損害保険各社にお問い合わせ下さい。
サイバー保険に加入すれば、サイバー攻撃のリスクは低減する
たまにこのような記述をしているサイトなどを見受けますが、これは誤りです。
サイバー保険は、あくまでサイバー攻撃発生後の金銭的損失を補償するものであり、攻撃を受けるリスク自体を低減するものではありません。リスクコントロールの考え方を図1のように表すと、保険加入は「リスク移転」にあたります。発生した場合の損害は大きいけれど発生可能性が低いリスクを、他に移す考え方のことですね。
図1. リスクコントロールの考え方
リスク低減のためには、保険加入とは別に、企業が守るべきもの、守るために必要なセキュリティ対策を把握し、実施する必要があります。保険に入っているから安心、ではなくセキュリティ対策も実施しましょう。
×(不正解)
活用ポイント① 保険の効果を正しく理解して、セキュリティ対策も実施しましょう
セキュリティ対策は万全だからサイバー保険に加入しても意味がない
こちらも誤りです。
リスクの発生可能性と、セキュリティ投資額の関係を図2のように表すことができます。
図2. リスクとセキュリティ投資額の関係
これは、サイバー攻撃は日々進化を遂げ、いくら対策に投資を費やしても、リスクを完全に“ゼロ”にすることはできない、という考えに基づいています。保険へ加入することは、リスクをゼロにするために対策に投資し続けるのではなく、リスクを移転するための投資=“保険料”にスライドさせることです。セキュリティ対策が万全の企業においても、万が一のために、保険加入を選択することは十二分に意味があります。
ちなみに、保険料は契約する企業の業種・売上高、セキュリティ対策状況、保有しているデータの質・量、補償の限度額等から個社毎に算出されます。認証取得等によって割引が受けられるサービスも各社提供しているので、詳細は保険各社か取扱代理店に個別にお問い合わせください。
×(不正解)
活用ポイント② セキュリティ対策が万全だと思っている企業も、サイバー保険活用の可能性は残っています
サイバー攻撃を受けて発生した事業停止期間中の利益損害も補償対象
商品によっては、利益損害も補償対象としているものがありますので、これは正しいです。
サイバー攻撃起因でどのくらいの経済的損失がでるか、みなさんは考えたことがあるでしょうか。フォレンジック費用や見舞金支払い、損害賠償といった損失は比較的想像しやすいと思います。では、ECサイトを運営している企業がサイバー攻撃を受けてサイト停止に追い込まれた場合はどうでしょうか。製造業の企業がサイバー攻撃起因で工場を停止した場合はどうでしょうか。停止期間中に得られるはずだった利益損害まで考慮する必要があります。
自社に置き換えた時に、どんな経済的損失が発生するのか事前に整理して、必要な補償が受けられる保険を選ぶことをお勧めします。
◯(正解)
活用ポイント③ 事故発生時の経済的損失を試算して、必要な補償が受けられる保険を選びましょう
ランサムウェア感染時の身代金支払いは、補償対象外
これは正解です。ランサムウェアとはマルウェアの一種で、PC上のデータやシステムへのアクセスを制限し、その制限の解除に金銭=身代金を要求します。日本国内では、誘拐や監禁等の犯罪を誘発する恐れがあるとして、身代金支払いを補償する損害保険(誘拐保険等)の提供は認められていません。ランサムウェア感染による、身代金支払いもこれに該当するといえるので、補償対象外です。※ランサムウェア感染が起因でPCを買い替えた費用は補償対象となる場合があります。
本題から逸れますが、弊社で行った調査によれば、2016年に発生したランサムウェア感染件数は標的型メール攻撃の発生件数に匹敵します。
図3. 過去1年間で発生した事件・事故ランキング2016
(出所:NRIセキュア「企業における情報セキュリティ実態調査2017」)
感染時の要求金額も、比較的少額のものが多く、「支払ってでも復旧したい」被害者心理を突いた巧妙なものが増えています。
図4. ランサムウェア感染時の要求金額
(出典:NRIセキュア「企業における情報セキュリティ実態調査2017」)
保険に入っているからランサムウェア感染は大丈夫、と安心する方は少ないと思いますが、サイバー攻撃で発生するあらゆる金銭被害も補償されるわけではありませんので、注意が必要です。
◯(正解)
活用ポイント④ 補償の対象を事前にしっかり確認しましょう
国もサイバー保険の活用を勧めている
経済産業省が発行しているサイバー経営ガイドラインの中で、1つの対策手段としてサイバー保険への加入検討を勧めています。ですので、こちらも正解です。ガイドライン中の「指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定」では、経営戦略の観点からリスクを把握し、それに対して実施する対策の例として、アクセス制御や端末持ち出し制限と並べて“サイバー保険の加入“が明記されています。
他国に目を向けてみると、シンガポールではサイバーセキュリティ省が中心となって「CyRiMプロジェクト:効率的にサイバー保険市場を育成することを目指す研究プロジェクト」が発足する等、国としてサイバー保険活用を促進する動きが見受けられます。
サイバー攻撃が企業経営を揺るがす今、日本においても今後も国が保険加入検討を勧める動きは続くのではないかと私は見ています。
◯(正解)
活用ポイント⑤ 経営戦略の観点からも、保険加入を投資対象の一策として検討しましょう
サイバー保険は商品として成熟しており大幅な商品改訂は見込まれない
これは誤りです。これまでの自動車事故や火災といった損害に比べると、サイバー攻撃は比較的新しい部類のリスクと言えます。それ故、他の損害に比べると損害保険会社はサイバー攻撃に関するデータを十分保持しておらず、保険料の精緻化や補償内容の改訂、付帯サービスの充実といった面でまだまだ向上余地があるのではないでしょうか。
新たな技術の進歩に応じてサイバー攻撃は日々進化しますし、それに合わせて保険商品も変革が求められるでしょう。
特に他社動向を気にする企業に多いのですが、「今すぐサイバー保険に入った方が良いか?」というご質問を受けることがあります。その場合には、「今加入していないからといって、他社に遅れをとっているわけではありません。今後も保険商品自体の成長が見込まれるし、日々のリスク対応をこなし、タイミングを見計らって加入してはどうか。」と回答しています。
図1. サイバー保険の加入状況各国比較
(出典:NRIセキュア「NRI Secure Insight 2017 企業における情報セキュリティ実態調査~グローバル編~」)
×(不正解)
活用ポイント⑥ 自社にとって保険加入すべきタイミングを見極めましょう
どの企業もサイバー保険に加入するべき
どんな企業でもサイバー保険を活用することはできますが、一概に加入すべき、とは言えません。特に、リスクの低減策が全く実施されていない、もしくは十分でない企業は保険を効果的に活用できませんので、即座の加入はお勧めしません。
というのも、前述の通り、保険料はセキュリティ対策状況も1つの軸として算出されるので、対策実行が不十分な企業では、実は保険料分を対策実行費に充てた方がリスクも低減するし、費用も押さえられた、ということも有り得るからです。
さらに、リスクコントロールの考え方においては、保険に加入することを”目的“とするのではなく、1つの”手段“として捉えることが肝要です。あくまで、事故が発生した時に迅速に通常稼働に戻ることを”目的“とし、平時の対策としてセキュリティ製品導入、CSIRT構築、保険加入といった”手段”を選択します。この認識を誤り、保険に入っているから大丈夫、という考えでいると、いざ事故が起きた時に、保険金は下りたがどう対応していいかわからない、といった事態に陥ってしまう可能性があります。
保険加入前には、是非とも、自社が抱えるリスクを低減するための対策にかかる費用と保険料を天秤にかけ、費用対効果を図りましょう。その結果をうけて、有効性が感じられた場合は、保険加入を検討することをお勧めします。
△(一概に加入すべきとは言えない)
活用ポイント⑦ 対策導入にかかる費用と保険料を天秤にかけて、事前に保険加入の有効性を確認しましょう
まとめ
<サイバー保険活用ポイント>
① 保険の効果を正しく理解して、セキュリティ対策も実施しましょう
② セキュリティ対策が万全だと思っている企業も、サイバー保険活用の可能性は残っています
③ 事故発生時の経済的損失を試算して、必要な補償が受けられる保険を選びましょう
④ 補償の対象を事前にしっかり確認しましょう
⑤ 経営戦略の観点からも、保険加入を投資対象の1策として検討しましょう
⑥ 自社にとって保険加入すべきタイミングを見極めましょう
⑦ 対策導入にかかる費用と保険料を天秤にかけて、事前に保険加入の有効性を確認しましょう
本記事ではサイバー保険を有効に活用いただくポイントをご紹介して参りました。ポイント⑦でも解説しましたが、サイバー保険はどの企業も加入すべき、と一概に言えるものではありません。しかし、自社が抱えるリスクを分析し、それに対するセキュリティ対策状況を把握して、保険加入が自社にとって有効かどうか判断する、というプロセスはどの企業にとっても有益です。言い換えると、サイバー保険加入を検討すること自体に価値がある、という風に私は考えています。
皆様も、まずはセキュリティ対策状況の把握から始めてはいかがでしょうか。