サイバー保険とはなにか?詳細は知らなくても耳にしたことはあるのではないか。どこまでやったらいいのか?お金がかかり過ぎるなど、中小企業にとって情報セキュリティ対策は悩みが尽きない。防御・防止という観点では絶対の安全を得ることは難しいが、「もしなにかあった時…」その備えとして、サイバー保険は確実な安心を与えてくれるものであろう。大きなコストをかけることなくできる安心対策の一つであるサイバー保険について以下の3つの視点から解説します。
✅ サイバー保険加入の必要度の認識
✅ 防御できないなら、事後の対策をした方が安心
✅ サイバー保険が対象としているもの
サイバー保険加入は必要度の認識
サイバー保険をググってみると「必要性」など多くの解説記事を閲覧することはできるが、あえて「必要度」という言葉を用いているのは、より具体的に重要度を強調したいがためである。結論を申し上げると、必須とは言わないが加入することを強く推奨する。サイバー攻撃は巧妙化していると言われ、防止・防御という対策は難しいとされている。だとしたら、不正アクセスによって受けた被害を補う対策をしておいた方がいいとの考えだ。
対策ツールを導入しても「絶対の安全」を確保することはできないが、サイバー保険にて「確実な安心」を得ることはできるからだ。
防止・防御の視点の変遷
セキュリティ対策はPC-LANが普及しはじめた1990年から導入され始めたのだが、最初のツールが「ウイルス対策ソフト」である。当時はまだ「パソコンにウイルス?なんで、パソコンが病気になるの?」というようなことが普通に言われていた時代でもある。インターネットが商用として普及する前の時代でもある。
・1990年:UPS(無停電電源装置)→停電時にサーバの強制終了を防ぐ
:バックアップ
・1995年:ファイアウォール・IDS/IPS(外部からの不正アクセス対策)
・2000年:クライアント管理ソフト(情報漏洩対策)
:暗号化
:Webフィルタリング
:メール監視
・2010年:UTM(次世代ファイアウォール/クラウドサービスとの連携など)
2010年以降は…SIEM(Security Infomation and Security Infomation and Event Management)、SOAR (Security Orchestration, Automation and Response)、EDR (Endpoint Detection and Response)、CASB (Cloud Access Security Broker)、CWPP (Cloud Workload Protection Platform)、ゼロトラスト….等々…
それぞれについての説明は割愛させていただくが、多様なツールが開発され導入されるようになった。ツールが高度になると、管理側から便利なように思えるが、そう単純ではなく運用面において別の問題を生じさせることにもなった。
防御・防衛・防止の限界
ここで認識いただきたいポイントは、セキュリティ対策は不正アクセスを防御する。防止するという観点から導入されてきたのだが、脅威が高度化することで侵入を防ぐことは難しくなっているため、侵入されたことを検知して、被害が拡大しないようにという考えになってきたのである。
つまり、どうせ対策しても侵入されるのだから、入ってきたところで対処したらいい。多少、乱暴な言い方ではあるがそのような考え方に変化してきたということである。
防御できないなら、事後の対策をした方が安心
エンドポイントセキュリティには、EPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)の代表的なツールがあるが、これは既知の脅威検知(EPP)という観点と、未知の脅威検知(EDR)…つまり、事前(侵入前)と事後(侵入後)の2つの観点で対策を施すということである。
テクニカルな視点だと、ツールは多様化しておりニーズに合うものを見つけることはできるであろう。だが、実際に不正アクセスによって発生したインシデントによって、業務停止、情報漏洩となった場合の対策についてはツールが補ってくれるわけではない。
リスクマネジメントとしての「サイバー保険」
実際にセキュリティインシデントによる被害額などは、各種事例などから調べることはできるが、中小企業でも数億円以上の事後対策費用が必要になったという例は決して珍しくないのだ。そうなってしまうと、事業が継続できるかどうか…会社存続そのものが危機に晒されることになる。
その不安とリスクを補ってくれるのがサイバー保険なのだ。潤沢な現預金と資産を保有しているのであれば、何か会った時の保証に持ち出す原資はあるかもしれないが、一般的な中小企業においては数億の資金を即時に準備できる状態ではないであろう。セキュリティ対策ツール導入を検討して、どうやって防御しようか…と、考えることは決して否定しないのだが、もう一つの視点として「どうせ対策をしても、防げないことがあるなら保険でも入っておいた方がいいな。」と、考えていただくのもセキュリティ対策の一つと言えるのではないか。
筆者は大阪の中小企業の各種組合向けの定時総会の勉強会などで、セキュリティ対策のセミナーをさせてもらう機会が多いのだが、私とは別のセッションで「サイバー保険」の解説も組み込まれていることが多い。
私は保険販売事業者ではないのだが、その重要性については経営視点では重要であると説いている。
中小企業向けのサイバーセキュリティ対策協力事業者として、保険については以下の会社と活動を共にしています。
親切第一をモットーとする
引用元:関西総合保険事務所
当社の真の商品は安心と安全です。
サイバー保険が対象としているもの
ここからは、サイバー保険の概要について解説する。
健康であれば保険料は安価になる
あくまでも考え方であるが、生命保険と同様、健康であれば保険料は安くなる。事前告知の内容によっては最大で50%OFFとなることもある。告知する主なポイントとして
サイバー保険の対象
【賠償保険】
第三者への賠償金、訴訟費用等
【費用保険】
調査費用、再発防止費用、見舞金、炎上対策、記者会見、報道発表、文書公表、コンサルティング費用
【利益損害・営業継続費用】
システム停止による営業損害・業務継続のための一時的追加費用
なにかあった時のために、幅広くサポートしてくれる安心できる内容が網羅されている。何をどこまで要求するのかは事業体や業種、顧客数など様々な状況によって変わってくるであろうし、保険料も変わってくる。大きな保証を求める場合は保険料もそれなりの額になってくるものと思われる。
筆者は保険販売事業者ではないので、ここで金額や条件について言及することはできないが、費用感や支援範囲など詳細を確認したい場合は、保険販売代理店に見積もり依頼をしてみると良い。
紹介したから手数料をいただくということになっているわけではないが、活動を共にしていることと、社長の人柄が良いので改めて案内させてもらう。
地域に根付いていつもみなさまの身近な存在に…
引用元:関西総合保険事務所
お客様に人生のパートナーと思っていただけるような
企業づくりを目指します。
ランラムウェア被害の保険対応(例)
【ランサムウェア被害の場合】
❶ PCの復旧
<バックアップあり>
・感染前のバックアップデータで復旧
・業務復旧までに要する時間は1日程度。復旧費用は営業損害の特約を追加した場合のみ対象
<バックアップなし>
・PCを初期化するしか対処法がない
・全てゼロスタートとなるため、業務復旧の目処は相当の手間と時間を要する
❷ 営業損害:操業停止に関わる営業損害は保険でカバーできる。ただし、保険料は高額になるのでバックアップ対策を強化することを推奨する。
❸ 再発防止費用:原則1年分
❹ 顧客対応:見舞金、賠償額の支払い、炎上対策、記者会見・報道発表、文書公表など
顧客対応を含め、対応に追われ業務停止が続くと売上減少、顧客離れなど先行きが見えなくなる中で、多額の費用が必要となってしまい、結果として..廃業…という最悪の事態を回避するために、サイバー保険という備えは、安心を与えてくれるセキュリティ対策と言えるのではないか。検討してみてはいかがでしょうか。
最後までお付き合いくださりありがとうございます。
また、お会いしましょ。
