サイバーセキュリティの保険の必要性と内容について

最終更新日:2021年04月25日

サイバー攻撃に対処する保険

サイバー攻撃にあった場合、企業に甚大な損害が発生する可能性があり、損害保険各社がサイバー保険を提供するようになりました。

ここでは、サイバーセキュリティのための、サイバー保険とはどのようなものか、なぜ必要かなどを説明していきます。

ますます増加するサイバー攻撃

2021年2月16日に公開された、「国立研究開発法人情報通信研究機構」の「NICTER観測レポート2020の公開」※のプレスリリースによると、NICTER観測レポート2020での調査結果では、NICTERプロジェクトの大規模サイバー攻撃観測網で2020年に観測されたサイバー攻撃関連通信は、2019年に比べて、約1.5倍増加しており、その数は合計5,001億パケットにも上っています。

2011年は約45.4億パケットだったことからすると、10年で100以上に跳ね上がっていることがわかります。

また、IoT機器(インターネットにつなげることができるあらゆる機器、センサー類、照明機器、工業用機器、自動車など)の脆弱性が公開されると、それを狙ったマルウェアの攻撃通信が観測されるということがパターン化されてきています。

そのため、企業においては、あらゆる方面でのサイバー攻撃対策が急務となっています。

国立研究開発法人情報通信研究機構 NICTER観測レポート2020の公開

サイバーリスクと保険

前章「ますます増加するサイバー攻撃」で述べたようにIoT機器が増加したことに加え、サイバー攻撃の多様化、複雑化、巧妙化が進んだことでサイバー攻撃による被害が増加の一途をたどっています。

そのため、様々なサイバーセキュリティ対策を施しても、サイバー攻撃を受ける可能性があり、リスクを0にすることはできません。

このような背景から、サイバー攻撃にあった場合に向けた保険が登場したのです。

大企業や自治体、大手金融機関などに限らず、中小企業も、サイバー攻撃を避けられないため、保険に加入するという選択肢も視野に入れておくのが良いでしょう。

多くのIT担当者がサイバー攻撃の脅威を感じている

世界にIT資産管理ツールを提供する会社の2021年の調査によると、日本を含む、世界の従業員数500名以上の企業で働く1000人以上のIT担当者にアンケートをとった結果、日本の回答者は、なんと53%が、ランサムウェアの被害にあったと回答しました。

さらに、組織を狙ったランサムウェアの(企業のデータを狙い、データ身代金を狙う、悪質な感染を広げるマルウェアの一種)攻撃が増加していると回答したのは100%との回答がでており、多くのIT担当者が脅威を感じていることが伺えます。

サイバー攻撃による経済的損失

サイバー攻撃にあった場合、一番に考えられるのは、経済的な損失です。

「2017年の経済産業省 令和元年度版 令和元年版 情報通信白書のポイント 第1部 特集 進化するデジタル経済とその先にあるSociety 5.0 第3節 ICTの新たな潮流(2)サイバー攻撃等の経済的損失」※によると、令和元年には、サイバー犯罪により生じたコストは、全世界で6,080億ドル、日本を対象としたいくつかの調査・分析では、1社当たり億円単位の損失が発生したとされています。

また「一般社団法人日本サイバーセキュリティ・イノベーション委員会(JCIC)」の調査によると、セキュリティ事故適時開示後の株価と純利益の変化では、株価は平均10%下落し、純利益は平均21%減少していたとの結果も出ています。

令和元年版 情報通信白書のポイント

サイバー攻撃による経済的損失の種類

サイバー攻撃にあった場合の経済的損失は以下のようなものがあります。

金銭の喪失

サイバー攻撃にあった場合、取引先から預かった個人情報などや企業の機密情報が漏洩して、取引先や顧客に損害が生じた場合は、損害賠償請求をされることがあります。インターネットバンキングやクレジットカードに関連した不正送金など、直接的な金銭被害に会う可能性もあります。

また原因の調査やトラブルを解消するための専門家への依頼などの費用も発生します。

顧客の喪失による減益

サイバー攻撃にあうことはどのような規模、業種の企業にも起こりうることですが、攻撃にあった企業は、その原因がどのようなものであったとしても、企業責任が問われ、社会的評価が下がります。

それにより、ユーザーが競合する他社製品に乗り換えるなど顧客が減ったり、大手の得意先を失ったりし、それによって、利益が減る可能性があります。

事業継続の阻害による損害

サイバー攻撃により、システム障害などが発生すると、調査や復旧のために運用中のシステムやメールの送受信の停止などが必要になります。

それにより、受発注などに影響が出て、生産停止、納期遅れなど、販売・営業の機会が失われることで事業に影響が出ることもあります。

人材の流出による損害

もし内部不正が起こった場合、情報セキュリティ対策の不備が問われ、モラル低下により、士気が下がる可能性もあります。そのため職場環境も暗くなり、社内の士気が下がることによる、人材の流出などによっての損害も考えられます。

参考資料
【Ivanti ニュースリリース コロナ禍におけるサイバー攻撃に関する実態調査】 日本、90%超がリモートワーク普及でサイバーセキュリティに不安抱える 巧妙化するフィッシング・ランサムウェア、1年以内で50%が被害経験
独立行政法人情報処理推進機構『中小企業の情報セキュリティ対策ガイドライン』第3版

サイバー攻撃を受けた場合に何をしなくてはいけないのか

企業がサイバー攻撃を受けた場合以下のようなことなどを行う必要があると考えられます。

・早急に復旧作業を実施
・社内への徹底した周知
・何が原因でランサムウェアに感染し広まったかの調査
・被害者の調査や対応
・専門家に相談
・被害を受けた方への損害賠償
・訴訟や争訟についての対応
・関係各社への周知やメディア対応
・セキュリティ会社との連携

行うべきことは多岐にわたり、また多くの人材が必要で時間も費用がかかるため、中小企業の限られた資金や人数で行うには大変な負担になることがわかります。

企業にとってどのようなサイバー攻撃が脅威なのか

情報処理推進機構(IPA)が2021年に公開した「情報セキュリティ10大脅威 2021」※によると、2020 年に社会的に影響が大きかったセキュリティ上の脅威として、決定した10大脅威の「組織」向け1位は、「ランサムウェアによる被害」、2位は「標的型攻撃による機密情報の窃取」3位は「テレワーク等のニューノーマルな働き方を狙った攻撃」でした。

1位に上げられた、ランサムウェアについては他のアンケートでも多くの企業が被害に遭遇しており、現場で働くIT担当者も脅威を感じているもので、このアンケートでも大きな脅威となっていることがわかります。

事前の対策を施していても、さらに巧妙化したサイバー攻撃について100%防ぐことはできないため、万が一サイバー攻撃を受けた際にどのようにしなくてはいけないのか、考えておく必要があるのです。

情報処理推進機構(IPA) 情報セキュリティ10大脅威 2021

サイバー保険のメリット

すでに多くの保険会社がサイバーサイバーリスクに起因して発生する様々な損害に対応するためのサイバー保険を提供しています。

損害賠償責任に必要な費用の保証

被保険者(補償の対象者)が法律上負担する損害賠償や、争訟等によって発生した損害費用が補償されます。

事故対応費用

サイバー事故に起因して一定期間内に生じた以下のような各種費用などが補償されます。
・事故対応費用
・コールセンター設置費用
・記者会見に掛かった費用
・見舞金の支払い
・法律相談の費用
・再発防止の策定に掛かった費用

ただし、保証費用やプランの内容などは、各種保険会社によって異なります。

まとめ

年々、サイバー攻撃は増加し、攻撃内容や攻撃対象が多岐にわたる現在、事前・事後の対策は怠らずに行うことが大切です。

企業がサイバー攻撃を受けるリスクが0にはならない以上、事前の対策の一つとして、万が一攻撃対象となった場合のリスクを取り、サイバー保険加入という選択肢も視野に入れてみてはいかがでしょうか。



Industlinkに登録されているサイバーセキュリティのソリューションや企業情報はこちらから

企業一覧
ソリューション一覧
◆無料で学べるITセミナー動画
Industlinkの姉妹サイトIndustlink Collegeで先端IT利活用促進事業で開催したセミナー動画が無料で観れます!この機会に、Industlink Collegeへ登録しませんか?
※会員登録、視聴はすべて無料です。
Industlink Collegeはこちら

事務局への無料相談を実施中

「数あるソリューションのなかでどれが自社に最適か?選びきれない」などとお悩みの方へ。
沖縄県から委託をうけた事務局が中立的な立場でご相談に対応いたします。お気軽にご相談ください。