サイバー保険の活用で予算化しづらいインシデント対応費用の確保が可能に サイバー保険の補償内容や活用例を提供企業が解説
IT・情報セキュリティ
企業がサイバー攻撃や内部不正をはじめとしたセキュリティ被害に遭った場合、原因調査や顧客への補償、事後対策など多くの対応が求められるだけでなく、多額の費用がかかることも考えられます。
そうした被害に備え、企業で活用されているサービスの1つがサイバー保険です。本稿では、サイバー保険「事故補償パック for JSOC®」を提供する株式会社ラックの武田 一城氏と西川 晃央氏が、サイバー保険の補償内容や活用例を紹介。また法務・コンプライアンス担当者のセキュリティ対策への関わり方についてもお話いただきました。
法務・コンプライアンス部門は、システム部門から情報共有がなされやすい報告体系の整備を
企業はどのような体制を目指してセキュリティ対策を行うべきでしょうか。
武田氏:
セキュリティ対策の最終的なゴールを「サイバー攻撃の被害を受けないこと」にしないことが重要です。本当のゴールは「万が一被害が発生した際に、自社内で何が起こったかを的確に把握したうえで、お客様や取引先に被害が出るかどうかを示し、その後に実施してほしい行動などを具体的に伝えること」、「企業・組織として、その後の対処方法の方向性を決定すること」、「それをきちんと整理してわかりやすく世の中に発信できる体制を築いておくこと」だと思います。
毎年新たな脅威へ対応していくよりは、「きちんとログを取り定期的に確認する」「自社で対応できないものは専門事業者に依頼する」など、インシデントが起こったときに何をすべきかを見据えた対応と状況把握ができる仕組みを整えておくことが大事です。また一定の対策をした後、少なくとも半年程度のスパンでセキュリティベンダーに依頼して健全性を確認する習慣を作ることも、セキュアな環境構築・維持につながります。
同業者で脆弱性や攻撃者の動向に関する情報を共有する仲間をつくったり、事故対応に長けたベンダーの選定やそのベンダーとの定期的な情報共有などの事前準備をしておくことで、自社内だけでなく社外にも相談ができる体制としておくことも有用でしょう。
法務やコンプライアンスの担当者はサイバーセキュリティ対策にどう関わっていくべきでしょうか。
西川氏:
法務の方は、インシデントの予兆を感じることはあっても、実態までは把握していないケースが多いように思います。法務や総務部門の方とサイバー保険について話すことがありますが、「過去にインシデントはありましたか」と聞くと、ほとんどの場合「絶対にない」と言われます。しかし書類を作成するために同じ企業のシステム担当者に聞くと、過去マルウェアに感染したことがあるという話が出たりします。
社内であってもインシデントの情報が伝わっていないのですね。
西川氏:
これは報告の仕組みに原因があると思っています。よくあるのは「インシデントがあったら報告しなさい」と決められているケースですが、被害を把握したシステム担当者としては「報告したら怒られるのではないか」と不安を抱きかねません。法務・コンプライアンス部門とシステム部門が、管理する側と管理される側になってしまっているのです。
「報告したことで処罰はされない」「報告後はきちんと専門事業者に対応してもらう」といった、インシデント報告後の対応の流れを両者で共有することで、連携のスキームを作るのがよいでしょう。
インシデント発生時には、事業中断や被害者への賠償金による経済的な損害に対処することはもちろんですが、被害の検知・特定や被害者への補償、広報、再発防止の対応をどのように行うかも重要です。当社も提供するいわゆる「サイバー保険」では、これらの事故後の対応をそれぞれの専門ベンダにまとめて委託できるスキームを構築しているものがありますので、それを上手に活用することでも事故対応の自社スキームや連携体制が簡単に構築できるでしょう。
パートナー推進G 担当部長 西川 晃央氏
予算化しづらいインシデント対応費用をサイバー保険により事前に確保
セキュリティ被害に遭い、多額の費用が必要となった場合、企業はどのように対応することとなるでしょうか。
西川氏:
一般的に企業は、いつ発生するかわからないインシデント対応のための予算を持っていません。「今年はサイバー攻撃をこれだけ受けるので、対応費用でこれだけの予算をください」という事前の稟議はまず通らないですよね。そのため被害発生時になって追加予算の稟議を出したりほかの予算を取り崩したりします。保険に入っておらず費用の捻出が難しい企業ではパソコンをアンインストールして終わりにしてしまうなど、被害を見てみないふりをするところも多いです。
サイバー保険はいつごろから提供されるようになったのでしょうか。
西川氏:
日本では「サイバーセキュリティ経営ガイドライン Ver 1.0 1」が公表された2015年ごろから、国内大手の保険取り扱い企業が販売するようになり、だんだんと広まりました。世界で最初にサイバー保険が提供されたのは1997年で、AIU保険がネットアドバンテージという保険を出しています。ただし当時の保険でカバーできたのは、個人情報の漏えいやコンピューターウイルスによる被害などの限られた範囲でした。
現在提供されるサイバー保険は、一般的にどのような補償内容でしょうか。
西川氏:
主に2つの補償がなされます。1つ目は、機密情報や個人情報を漏えいしてしまった際の賠償、訴訟などにかかる費用の補償です。
2つ目は、事故への対応費用の補償です。たとえばサイバー攻撃に遭った際にログの確認などを行うフォレンジックのコストですね。また個人情報の漏えい時に被害者に金券を配るといった顧客対応費用や、苦情対応のためのコールセンターの設置コスト、新聞等への謝罪広告費なども含まれます。
またこうした補償に加え、オプションとして事業継続費用が用意されていることも多いです。たとえばEC運営者がサイバー攻撃に遭いサイトが止まってしまった場合、それが1時間でも多額の損害が出ますので、代替のサーバーをレンタルするための費用を負担したりします。
貴社ではセキュリティ監視・運用を行う「JSOC」とサイバー保険をパッケージ化した「事故補償パック for JSOC」を提供していますが、ほかのサイバー保険サービスとは大きくどういった点で異なりますか。
西川氏:
監視センターである「JSOC」は、会社のネットワークの出入り口にセンサーを置き、そこで取得したログを見るなどして、危険があれば通知します。企業は危険を通知されて即座に対応できればいいのですが、難しい場合は外部の専門事業者などに依頼することになりますよね。そのための費用は、予算取りされていないことがほとんどです。「事故補償パック for JSOC」は、予算を取れないのであれば保険により最初から予算化しておきましょう、というコンセプトにもとづき提供しています。
最大1,000万円という補償額の設定にも理由があります。サイバー保険をはじめ保険一般では、最悪の事態を念頭に補償額を検討します。たとえばサイバー保険では、個人情報を10万件持っていた場合、漏えい時の補償額を1人1,000円で換算すると、1億円の対応費用が必要となります。しかしこうした高額な費用の補償にもとづくと掛け金も高くなり、導入が難しくなってしまいます。
サイバー攻撃に遭った際に企業としてまず必要なのは、攻撃に遭ったと知ること、そして正しく対処することです。そのため、まずはしっかりと原因を調べるために足る金額として、補償金額を設定しています、補償範囲を広くするというよりも、そうした当たり前の対応ができる仕組みをつくろうという考えです。
武田氏:
被害時に一番大変なのが、インシデントの発生を確認し緊急事態として動き出すことです。通常、被害を検知したらセキュリティ会社へ調査を依頼しつつ、保険会社への提出書類も書かなければなりません。またサイバー保険は被害状況がわかれば補償されますが、そもそも被害の判断が難しいという側面もあります。「事故補償パック for JSOC」の仕組みでは、JSOCが被害を検知しそのまま保険会社を動かせますので、ユーザーは枕を高くして寝られると思います。
サイバー保険はどういった企業が利用することが多いですか。
西川氏:
IT関連業種の企業が多いですね。WEBサイトの運営やIT機器の取り扱い、WEB取引を行う企業などです。最近では、メーカーをはじめ様々なサプライチェーンを持つ企業による利用も増えてきました。たとえば多くのグループ会社がある場合、本体企業はきちんとCSIRTなどの体制を整備し防御していても、グループ会社の状況までは把握できないことがあります。そのためサイバー保険を活用し、グループで統一した対応スキームをつくりたいというニーズがあるようです。
他方で、システム担当を総務が兼任しているような中小企業が、有事の際の相談先を確保するためにサイバー保険を利用するケースもみられます。
またこれまでは、システム担当者からの問い合わせが大半だったのですが、2019年に入ってからはコーポレートガバナンス、グループガバナンスに取り組もうと考える法務関連の担当者から連絡をいただくことが多くなっています。
法務やコンプライアンスの担当者がサイバー保険を選定する際、どういった点に留意すべきでしょうか。
西川氏:
サイバーインシデントでは、事故対応をどのように行うかが非常に大切です。サイバー保険を検討する際には事故時のサポート体制がしっかりしており、インシデントの際にどのように対応すればよいかがイメージできる会社を選ぶことが大切です。
実際にインシデントへ対処するときに、まずはどの程度の対応や補償が必要かを想定したうえで選定することが大切ですね。本日はありがとうございました。
(取材・文・写真:BUSINESS LAWYERS 編集部)
-
経済産業省、独立行政法人情報処理推進機構(IPA)「サイバーセキュリティ経営ガイドライン Ver 1.0」(平成27年12月28日) ↩︎