サイバー攻撃の脅威が年々増しており、どの企業もいつ狙われるかわからないという状況になっている。また、攻撃者の手口も高度化し、ゼロデイ攻撃をはじめ、未知の攻撃に対するリスクが高まっている状況だ。こうした状況を受け、防御側も完全な防御を前提としない「インシデントレシポンス」の考えにシフトし、対策が講じられるようになっている。そこで、注目が集まっているのがサイバーセキュリティ保険だ。この記事では、サイバーセキュリティ保険とは何か、そのメリットや必要性について、解説していく。
サイバー攻撃の脅威が年々増しており、完全な防御が困難に
パソコンやスマートフォン(スマホ)の普及に伴い、サイバー攻撃の脅威は年々増している。以前のサイバー攻撃のターゲットは大企業が中心だったが、最近流行しているランサムウェアでは、セキュリティ対策が甘く、ユーザーのリテラシーが低い中小企業や個人を狙った攻撃が増えている。また、その手口も高度化しており、既知の脆弱性を狙った従来の攻撃だけでなく、脆弱性が発見されて修正プログラムが提供される前にその脆弱性を狙う、より高度なゼロデイ攻撃が増えている。
ゼロデイ攻撃は、OSやセキュリティソフトのベンダーが脆弱性を発見し、その脆弱性を修正する(セキュリティホールをふさぐ)より前に、マルウェア制作者が発見した脆弱性を狙ってくるため、OSやセキュリティソフトのアップデートが間に合わず、感染してしまう可能性が高い。また、セキュリティソフトで、マルウェアを検出・駆除する場合も、既知のマルウェアならそのコードを探すことで検出は容易だが、ゼロデイ攻撃で新たなマルウェアに攻撃された場合、パターン照合でマルウェアを見つけることはできない。最近は、セキュリティソフトも進化しており、未知のマルウェアでも検出・防御する機能を備えているものが多いが、やはりゼロデイ攻撃は従来の攻撃と比較し、より対策が難しい脅威となっている。
セキュリティインシデントの多くを占める内部要因
企業活動において必要なセキュリティ対策は外部からの攻撃だけではない。実際、セキュリティインシデントのうち多くは内部要因であることはよく知られている。その多くは注意散漫など「うっかりミス」によるものであるが、中には確信的犯行もある。IPAでガイドライン策定などにも携わる、エドコンサルティング株式会社の江島 将和氏によると、「退職する会社から有用と思われる情報を持ち出し、時には転職先に共有」といったケースは多くの企業で起こっているという。
大手教育系企業における、数百万件の個人情報漏えいも内部不正によるものだ。このように、内部要因のセキュリティリスクについても、外部からの攻撃同様に、リスクとして抑えておく必要があるのは言うまでもないだろう。
完全な防御を前提としない「インシデントレスポンス」とは
外部、内部とさまざまなリスク要因を抱える企業にとって、もはや完全に防御できるという考えは幻想に近くなってきている。そこで、完全な防御を前提としない「インシデントレスポンス」という考え方にシフトするようになってきた。インシデントレスポンスとは、セキュリティインシデント(外的要因、内的要因にかかわらず、セキュリティに関する事故や攻撃の総称)が起こった際の原因の特定や除去、システムや業務の復旧、社内外の関係者との連絡や調整といった、「インシデントへの対応」全般の取り組みのことである。
かつてのセキュリティ対策は、「インシデントを発生させないための対策」に主眼が置かれていたが、近年のサイバー攻撃は、年々高度化・巧妙化の一途をたどっており、サイバー攻撃からの被害を100%確実に防ぐというのは不可能に近いと考えるようになってきた。また、外部からのサイバー攻撃だけでなく、内部犯行やシステム不具合によるセキュリティインシデントも決して少なくない点にも気をつける必要がある。
そのような背景もあり、インシデント発生を防ぐ手立てを適切に講じながら、インシデントの発生を想定して、その対応策をあらかじめ準備しておくことが重要になってきた。つまり、インシデント発生時の影響を最小化するため対応策がインシデントレスポンスなのだ。インシデントが発生したことを想定し、どのように対処すべきか、対応策と対応可能な組織体制を用意しておく。いわば、地震や火事などに備えた避難訓練みたいなものだと思えばよいだろう。インシデントレスポンスは、大きく4つのステップに分けることができる。
1)準備
最初のステップとして、リスクを適切に見積るリスクアセスメントや、ユーザーへの周知およびトレーニング、セキュリティチームの設立などをおこなう。
2)検知・分析
このステップではセキュリティインシデントを検知し、分類や分析をおこなう。また、インシデントを文書化し記録することや、関係者への連絡もこのステップに含まれる。
3)封じ込め、根絶と回復
セキュリティインシデントの中でも最重要といえるステップであり、インシデントが起きた証拠の収集と保全、感染端末の特定や隔離・拡散防止、インシデントの除去、インシデントからの回復をおこなう。
4)事後活動
最後の事後活動のステップでは、インシデントに対するフォローアップレポートの作成やその教訓を活かす反省会、組織間での情報共有などをおこなう。
以上、4つのステップをサイクルとして循環させることで、組織のセキュリティインシデントに対する備えをより完全なものにしていくのが、インシデントレスポンスの基本的な考え方だ。
大企業を中心に進むサイバーセキュリティ保険への加入
このインシデントレスポンスという考え方の中で、注目が集まっているのがサイバーセキュリティ保険である。サイバーセキュリティ保険とは、サイバー攻撃などによる個人情報の流出や業務妨害などに備えるための保険であり、セキュリティインシデントにより被害が生じた場合、金銭的な補償を受けることができる。大手の損害保険を取り扱う企業の多くがサイバーセキュリティ保険を提供しており、保険商品によって補償範囲が異なる。
主流となっているものは、広い範囲をカバーするサイバーセキュリティ保険であり、「事故発生時の調査費用」から「損害賠償費用」はもちろん、事業停止がやむを得ない際の「営業利益の損失や継続に必要な費用」を補償してくれる保険も用意されている。保険料は、企業規模や補償範囲によって変わってくるため、サイバーセキュリティ保険にどの程度予算を割くか、十分に検討することが重要だ。
サイバーセキュリティ保険は、セキュリティインシデントが生じた際に、企業が受ける金銭的な損失によるダメージを最小限に抑えるための唯一ともいえるソリューションであり、インシデントレスポンスという考え方に合致する備えといえるのだ。
セキュリティインシデントにより、大きな損害を受ける企業が増えている状況に鑑み、大企業を中心にサイバーセキュリティ保険への加入が進み、その市場規模も増加傾向にある。大企業の場合、収集・管理している顧客情報の数も桁違いなことが多く、仮にそれらの情報が流出してしまうと、会社が被る金銭的な損失は莫大なものになってしまう。しかし、サイバーセキュリティ保険に加入していれば、インシデントで生じた損失を保険でカバーできるため、企業経営に与える影響を限定的に抑えることができるという点が市場規模拡大の背景にはあるのだ。
中小企業こそサイバーセキュリティ保険への加入が重要
一方で、中小・零細企業の場合、サイバーセキュリティ保険という言葉を聞いたことがあっても、予算を投じて自社が加入する必要性があるのか、疑問に感じている経営者も少なくないのではないだろうか。しかし、企業規模が小さいからこそ、万一セキュリティインシデントが起きたら、自社の資産で補填しきれず、そのまま倒産・廃業の憂き目にあう可能性を有していることは頭に入れておきたい。保険とは、補償が必要な際に、自社の資産でカバーしきれない事態に対応するものであり、本来は中小・零細企業こそ加入すべきものなのだ。
もちろん、サイバーセキュリティ保険に入れば、すべて安心というわけではない。自社で講じることができるセキュリティ対策は、十分に講じる必要がある。保険の加入条件として一定のセキュリティレベルを要求するものもある。リスクの生じる可能性が高ければ保険料も高くなるのはサイバーセキュリティ保険も変わりはない。
加えて、企業の場合、顧客情報・機密情報などの流出といった、セキュリティインシデントが発生すると、企業イメージや信頼が大きく失墜してしまうことにもなりかねない。さらに、セキュリティインシデントへの対策が十分でないことが世間に周知されることは、サプライチェーン攻撃への対策を重要と捉えている大企業などとの取引関係が見直される可能性を頭に入れておく必要もある。
このように、中小企業にとってサイバーセキュリティ保険に入ることは、事業継続計画(BCP)の観点からみても重要だといえる。セキュリティインシデントによって生じた金銭的な損害を、自社の資産ではまかない切れない場合、事業の継続が困難となり、企業の存続に直結するからだ。
サイバーセキュリティ保険というと、多額な予算が必要と考えている経営者も少なくないだろうが、保険料は売上高や業種、補償内容、セキュリティ対策の状況、第三者認証取得の有無などによって大きく変わってくる。特に、求められるセキュリティ対策を適切に講じていれば、中小企業でも身の丈に合った料金で加入できるものもある。セキュリティインシデント発生時に補填の費用で頭を抱えてしまわないためにも、サイバーセキュリティ保険に加入しておくことは、セキュリティ意識の高さと、セキュリティインシデントに対する備えができていることの対外的な証明にもなる。そして、仮にセキュリティインシデントが起きたとして、サイバーセキュリティ保険によって、損害がカバーされ、企業イメージの低下も最小限に抑制できることは、取引先や従業員などのステークホルダーにとっても、大きな安心材料となるのではないだろうか。