高まってきた"サイバー保険"への関心　～セキュリティ環境と意識の変化を反映～

サイバー攻撃による情報流出やシステムの停止が、企業経営に深刻な打撃を与えるようになった現在、サイバー犯罪によって発生した損害を補償する"サイバー保険（サイバーセキュリティ保険）"が注目されつつあります。

情報システムの障害に関する保険の歴史は意外と長く、2000年を迎えるとシステムが誤動作する"2000年問題"を契機に、1990年代後半に米国で初めて単独の保険商品として販売されました。その後、インターネットの普及期に入ると、サイバー攻撃による被害が大きな脅威となっていることは周知の通りです。

IT利活用の拡大とともに、犯罪件数と1件当たりの被害額も急増し、（米国では数十の企業がサービスを展開）日本では数年前からサイバー保険を提供する保険会社が増えてきましたが、その数はまだ限られ、加入率も12％程度に止まっており、認知度も"名前だけ知っている"を含めて約57％と低い状況ですが、ここ最近で潮目が変わってきました。※

※加入率、認知度のデータは、「サイバー保険に関する調査 2018（日本損害保険協会）」

※米国の加入率は、調査を実施した機関によって幅がありますが、平均すると40～50％と思われます。

リスク移転策として有効なサイバー保険の注目されている3つの要因は？

サイバー保険に対する注目度が高まってきた要因として、以下の三つが挙げられます。

1. サイバー攻撃の先鋭化
2. 法制度の変化
3. 環境変化に合わせたセキュリティ対策が進展

１．サイバー攻撃の先鋭化

まず先鋭化するサイバー攻撃ですがいくつか例を挙げると、システムの仕様や運用のわずかな隙を突いた不正アクセスによる情報漏えい事件の多発、2017年に世界中で大きな被害を出したランサムウェア「WannaCry（ワナクライ）」、この年は国内でも航空会社がビジネスメール詐欺によって、3億8,000万円の被害を受けた事件なども起きました。

狡猾な攻撃手法や衝撃的な被害規模に隠れがちですが、サイバー犯罪のすそ野が広がり、多くの中小企業が被害を受けている現実は、セキュリティ企業や関連団体が警鐘を鳴らし、いろいろなメディアも報じている通りです。

２．法制度の変化

法制度の変化では、個人情報保護法の施行により、企業には個人情報に対するより慎重な扱いが課せられ、マイナンバー制度の実施で個人情報を扱う機会も増えた点です。欧州で施行されたGDPR（General Data Protection Regulation：一般データ保護規則）という個人情報保護に関する制度も、日本企業と無縁ではありません。規則が定める地域に居住する市民の個人情報を扱うすべての企業、団体に適用され、違反すると厳しい罰則が課せられるからです。

３．環境変化に合わせたセキュリティ対策が進展

三つ目の環境変化に合わせたセキュリティ対策は、セキュリティに対する考え方が変化してきたことです。先鋭化したサイバー攻撃が多発する現状では、完全に防御することは極めて困難という現実に直視しています。ファイアウォールやアンチウイルスなど既存のガードの強化に加え、それでもすり抜けてくる脅威に、どのように対処するかが問われるようになってきたのです。

象徴的なトレンドとして、「インシデントレスポンス」という考え方が、各国のセキュリティ企業や対策を進める企業・団体に重視されるようになってきました。100％の防御は難しいことを前提に、「準備」「検知と分析」「封じ込め・根絶と復旧」「事件後の対応」の4ステップで、インシデント（事故・事件）に対処し、攻撃の早期発見と被害の最小化、事故後の初動対応をしっかりやっていくという概念です。

サイバー保険もインシデントレスポンスの一環と位置付けられます。インシデントの発生は避けられないものと捉え、発生時の負荷を軽減するための施策、リスク移転策の一つとして採り入れる企業が増えてきたのです。

サイバー保険が補償する範囲は？

あらためて定義すると、サイバー保険とは、"不正アクセスなどのサイバー犯罪によって発生した被害を、包括的に補償する損害保険商品"です。補償される範囲は、保険会社や契約内容によって異なりますが、柱となるのは以下の項目です。

• 事故発生時の調査
• 損害賠償（被害者に対する賠償金、訴訟費用など）
• 事故対応（コールセンター設置、メディア対応など）
• 事業停止による減収・減益

この他にも、再発防止のためのコンサルティング、システム構築・再構築、風評被害の防止にかかるコスト、海外における損害賠償や訴訟費用などを対象に含むものもあります。補償される範囲は、保険会社が細かく規定していますから、導入する際は自社の状況を加味し慎重に比較検討することが必要です。

サイバー保険にも免責はある

一般の損害保険でも、加入者側に明白な落ち度や悪意があった場合は、補償の対象にならないケースが多いのですが、サイバー保険にも免責事項があります。自然災害によるデータの損失、役員が関与した不正、労使の争議に起因するデータの流出も対象外と考えていいでしょう。

サイバー保険特有の免責事項として、まずランサムウェアがあります。ファイルを暗号化し復号化のキーと引き換えに身代金を要求する手口ですが、攻撃者に金銭を支払った場合、補償はされません。ビジネスメール詐欺（BEC）による損失も同様です。公表されているWebサーバーなどの脆弱性を放置したことによる被害も、補償の対象外になるケースがあります。

お役立ちコンテンツのご紹介

▼ホワイトペーパーのサンプル▼

サイバー攻撃の被害を受け情報漏えいした企業のニュースを見て、他人事だと思っていませんか？ 情報が漏えいした場合、損害賠償、請求業務の一時停止、社会的信用の低下など様々な影響が出てきますので、企業として適切な対策を講じる必要があります。 本ホワイトペーパーでは、被害事例が多く報告されているサイバー攻撃の手法をご紹介します。 無料でダウンロードいただけます！ 資料をダウンロード≫

保険料金を決める要素は？

サイバー保険の費用は、企業の規模や業種、加入時のシステムの状態によりって上下しますが、料金価格設定の主な要素として以下が挙げられます。 業種や業態 企業、団体の規模 現状のセキュリティ対策 過去のサイバー犯罪による被害の有無 セキュリティ認証の取得状況 一般の消費者を対象にした大型のECサイトや金融系サービスなど、ぼう大な個人情報、口座情報を保有している事業者は、狙われるリスクが高いため、保険料は高くなるようです。 企業、団体の現状のセキュリティ対策や、過去の被害の有無も、料金設定に影響があります。

ISMS（情報セキュリティマネジメントシステム）やプライバシーマークなどの認証の取得、ペイメントカードの国際セキュリティ基準 PCI DSSのような業界が定める認証制度に準拠している場合も、安全性は比較的高いと判断され保険料金に反映されます。

以上の要素から、保険料金の設定は"個別対応"、相場や標準価格は提示しにくい領域と言えるでしょう。

保険料をコストと見るか投資と見るかはそれぞれですが、万一、顧客の個人情報や他の企業と共有している技術情報が流出するといった深刻な被害が発生すると、基礎体力が弱い中小企業の場合、事業継続が困難なほどの賠償金を背負うこともあります。リスク移転策として、サイバー保険は一考の価値はあるのではないでしょうか。

保険＝安全、ではない

前述したインシデントレスポンスによる準備や分析などの活動があり、システム面での実践方法として、"エンドポイントセキュリティ"が重視されています。アンチウイルスなどで侵入を防ぐ「EPP（Endpoint Protection Platform）」、そして万一の侵入時に備え、被害を最小限にくい止めるための「EDR（Endpoint Detection and Response）」で、しっかりガードを固めることが必要です。

サイバー保険の検討と並行して、この機会にみなさまの企業のエンドポイントセキュリティの状態を改めてチェックしてみることをお勧めします。

情報セキュリティ対策に関するご相談・お問い合わせ