企業のサイバー攻撃損害を補填する「サイバー保険」って知ってる?

サイバー攻撃から身を守る新時代のセキュリティ保険

文/花茂未来

情報漏えい被害は拡大する傾向

1年のうちで交通事故にあう確率より、情報セキュリティ事件・事故にあう確率の方が高い――トレンドマイクロは今年、情報セキュリティの意思決定者や関与者1375人を対象にアンケートを実施。その結果、2015年の1年間でビジネスに影響を及ぼす深刻なセキュリティインシデントを経験した法人は38.5%にのぼった。一方2002年に国土交通省が発表した資料によれば1年間で事故に遭う確率は0.9%だという。ちょっと乱暴な比較だが、1年間で情報セキュリティ事件や事故に遭遇するのは、交通事故の約42倍になる。

トレンドマイクロが「法人組織におけるセキュリティ対策実態調査 2016年版」での調査の結果、38.5%の国内法人組織が深刻なセキュリティインシデントを経験

セキュリティインシデントで最も多いのは情報漏えい。2016年に起きた大規模な事件としては、大手通信会社のVerizonは、顧客データ150万人分が漏えいし、自社サイトのセキュリティ脆弱性を公表された。米国の保険福祉省はこれにより500万人規模の医療データが流出したとしている。日本国内に目を向ければ、2015年には日本年金機構から125万件の個人情報が漏えいし、2014年にはベネッセから3504万件の個人情報が漏れた。

サイバー犯罪の被害は年々増え続け、データベースの巨大化に伴って情報漏えい被害の損害額も拡大傾向にある。さらに2016年1月からはマイナンバー制度も始まり、情報漏えいリスクは高まる一方だ。

サイバー攻撃による損害を補償

こうした背景から、サイバー保険が誕生。情報漏えいによる損害賠償や事故対応費用、サーバー停止などによる利益損害などを補償するもので、国内では2015年ごろから大手保険会社4社が提供を始めている。

●損害保険ジャパン日本興亜株式会社「サイバー保険」

 販売対象は日本国内の企業で、マイナンバー漏えいや、そのおそれも補償対象とする。また海外で起訴された訴訟も保険の対象となる。付帯サービスとして「緊急時サポート総合サービス」を用意。サイバー犯罪の原因究明や被害拡大防止措置、緊急時の広報対応、コールセンターの設置・運営について、その支援を行う専門業者を紹介してくれる。

サイバー保険の緊急時における各種サポート機能

●東京海上日動火災保険株式会社「サイバーリスク保険」

 情報漏えいなどの損害賠償、原因究明費用、データ破損による修復費用、オプションとして業務停止に伴う利益損害など幅広いリスクを包括的に補償。実際に情報漏えいが発生していなくとも、危機管理対応で必要になった費用、海外での損害賠償請求にも対応する。グループ会社である米フィラデルフィア社や英キルン社では欧米向けに先行販売しており、それを日本企業向けにカスタマイズして提供する。

サイバーリスク保険は情報漏えいだけでなく、そのほかのIT関係事故にも対応

●MS&ADインシュアランスグループ

 三井住友海上火災保険株式会社「サイバーセキュリティ総合補償プラン」

 あいおいニッセイ同和損保株式会社「サイバーセキュリティ保険(IT業務賠償責任保険[拡張補償プラン])」

 サイバー攻撃による損害賠償、事故対応費用、ネットワーク停止による利益損害補償、被害拡大防止費用などの補償は同様。このほか、サイバー攻撃による被害時には、技術面や証拠保全等の専門業者も紹介してくれる。

MS&ADインシュアランスグループのニュースリリース。東京海上日動火災保険以外は各社ともニュースリリース以外にあまり保険内容について公開していない。よって内容や保険料についても別途相談が必要だ

 国内での加入状況について東京海上日動は「2015年2月の販売開始以来、10月には“東京海上サイバーリスク情報センター”を立ち上げ、サイバーリスクに関する無料の各種サービスの提供を、2016年1月にはセキュリティ対策状況に応じて保険料を最大30%割り引く「リスク評価割引」を新設するなどの取り組みを進めております。成約状況について、具体的な数値は開示しておりませんが順調に引き受けを拡大しております」としている。

 損害保険ジャパンも「2015年10月発売以降、契約件数、お見積依頼件数ともに急激に増加しています」とのことで国内企業の注目度が高まっている様子がうかがえる。

 気になる保険費用については、事業規模や企業の要望などに合わせてカスタマイズするのが主流。補償額の算出方法については、今後より正確性が増す動きが見られ、損保ジャパンでは「自然災害リスク評価モデルのマーケットリーダーである米国Risk Management Solutions社と提携し、ケンブリッジ大学などが参画するサイバーリスク評価手法の共同開発プロジェクトのメンバーとなり、サイバーリスクの定量評価手法を共同開発したところです。従来は企業のサイバーリスクを定量的に評価する手法がなかったため、サイバー攻撃による損害額を予測することが困難でしたが、本評価手法を用いることで、今後企業のサイバーリスク分析を行い、保険加入のうえで最適な補償額を算出することが可能となる見込みです」と話している。

インターネットが普及した現代は、そこかしこにリスクが潜む

 では、ちょっとここで、企業におけるPCやネット普及の歴史を振り返ってみたい。1980年代、国内ではNECのPC-9800シリーズが登場したあたりから、徐々に企業のPC導入が進み始めたが、爆発的に増えたのはWindows95が発売された1995年以降。総務省の「通信利用動向調査」によれば、企業のPC保有率は1996年で62.2%に達し、2002年以降から90%を超えている。

 同時にインターネット利用も急増。同じく総務省の「平成27年版 情報通信白書」によれば、企業のインターネット利用率は1995年の11.7%から、翌1996年には50.4%と、たった1年で5倍近く跳ね上がり、2000年代はほぼ100%に近い数値で推移している。

 さらにIoT製品は、2011年の104億個から2016年には296億個になっており、2020年には530億個と予想。国内のデータ流通量も2005年時点で約155万TB(テラバイト)だったが、2013年には約1080万TBになっており、2014年のデータ流通量は約1452万TBを見込んでいる。

 PCやインターネットがほぼすべての企業で使われるようになった今、大企業に限らず中小企業でもサイバー犯罪に対する危機管理は必須だ。しかし、サイバー攻撃の手口は日々変化し、巧妙化、高度化している。

 ウィルスの歴史を振り返れば、1986年に世界初のウィルス「Brain」が誕生。なお、このウィルス自体は悪意の元に開発されたのではなく、ソフトの不正コピー防止目的だった。1991年にはデータ破壊を目的としたウィルス「Michaelangelo」の登場、1995年にフィッシングサイトが登場、1997年にボットウィルスの発生、2000年にはDDoS攻撃の本格化、2001年にスパイウェアの発生、2005年にゼロデイ攻撃の発生、2012年にはアンドロイド端末を狙った詐欺アプリが多発し、同年には遠隔操作ウィルスが増加。

マカフィーによる「Brain」ウィルス情報。フロッピーディスクから感染した

 問題はウィルスだけでなく、その感染経路や攻撃手法も多様化している。代表的なメール添付型だけでなく、攻撃用URLにアクセスするだけで感染したり、不正サイトに誘導するクロスサイトスクリプティングや不正なリクエストなどでサーバーを攻撃するクロスサイトリクエストフォージェリ、改ざんサイトへのアクセスを通じてウィルスなどに感染させるドライブバイダウンロード攻撃など、代表的なものをちょっと挙げただけでこれだけある。情報漏えいだけでなく、自社サービスを提供しているサーバーがDDoS攻撃によってダウンする事件も数多く起きている。

 技術面の話だけではなく、前述のベネッセのように、システム保守を再委託されていた会社の派遣社員が顧客情報の入ったPCを、名簿業者への売却目的に持ち出すという事例もあるほか、ソーシャルエンジニアリングの手法として清掃業者などを装い企業に侵入してパスワード画面を盗み見る、ゴミ箱から情報を得るといったアナログなものもある。

 もし企業が、情報漏えいなどの防止策と、いざ被害に遭ったときの保険、どちらに投資をするかとなれば前者という判断が多いだろう。しかし、情報デバイスの進化と多様化に伴うリスクの多様化、人的管理を徹底しても100%防ぐのは難しい。そしてひとたび情報漏えいが発覚したら、企業イメージが下がり経営リスクは極めて高い。

情報漏えいだけに限らないが、きちんとした事後対応できるか否かが、その後の企業の命運を左右するケースが、過去いくつもあった。転ばぬ先の杖は大切だが、転んだあとどうするかを真剣に考える時期が来ているのかもしれない。

サイバー攻撃 サイバーセキュリティ保険 情報漏えい 損害保険ジャパン日本興亜 東京海上日動火災保険 MS&ADインシュアランスグループ 三井住友海上火災保険 あいおいニッセイ同和損保