守りと備えを一体化！サイバー保険の実力 今必要なサイバー攻撃対策とは何か

西本 多くの日本の企業や団体で、適切なセキュリティ対策が喫緊の課題となっています。実際、サイバー攻撃についても、金銭的な要求に見せかけて企業内のシステムを破壊するなど、情報流出だけでなく、その企業の屋台骨を揺るがすようなケースも出てきています。その一方で、企業側も働き方改革などによるクラウド利用の拡大など、ITの利活用も進化しており、従来のセキュリティ対策のままでは通用しないことも少なくありません。また、どれだけ多くのセキュリティ対策を講じても、リスクは決してゼロにはなりません。だからこそ、リスクと上手に付き合いながら、安心して仕事ができる土台づくりが必要となってくるのです。当社では現在、国内最大級のセキュリティ監視センター「JSOC^®（ジャパン・セキュリティ・オペレーション・センター）」を運営し、24時間365日お客様のシステムを監視しています。システム内部に潜んだマルウェア（悪意のある行為を行うプログラム）の挙動をセキュリティアナリストが常時監視し、サイバー攻撃への対応をリアルタイムに実施しています。

壁面には、24時間365日、休みなく世界で発生しているサイバー攻撃の状況を監視したものが映し出されている

小嶋 本日、初めて御社のJSOC^®を拝見しましたが、まさにサイバー攻撃対策の最前線という印象を受けました。実際に世界のどの地域で、どれくらいの量のサイバー攻撃を受けているのかが「見える化」され、本来見えないはずのサイバー空間における脅威がつまびらかにされている。そして、御社の高度なスキルを持ったセキュリティアナリストが分析し、その結果をリアルタイムで、しかもタイムリーに提供されていることは非常に意義があり、頼もしいことだと思います。

西本 私たちは2000年にSOC（セキュリティ・オペレーション・センター）サービスをスタートさせました。当初は手探りで自作ツールを作成し、02年からは米国製のシステムに刷新しましたが、10年ほど前から再び独自開発を進め、現在ではより高度なオリジナルの監視システムとなっています。さらに、ハニーポットを世界各国に置くことで、世界の脅威動向の観測もしています。実際のセキュリティ対策を攻撃者目線で見ることで、本当の脅威や弱点を探るためです。また、今後本格的なAI時代に突入した場合に懸念事項の1つにデータ汚染があります。AI時代には、AIが解析した結果がビジネス成功の重要な要素となりえますが、その元になるデータが汚染されていて信用できない場合、そのAIエンジンがどれほど優秀であっても、正しい結果が導き出せなくなってしまうのです。このような状況になった企業が国際競争力を維持することは、非常に難しいでしょう。

損害保険ジャパン日本興亜
取締役専務執行役員
小嶋 信弘氏

小嶋 西本さんのおっしゃるデータ汚染のような想定外のサイバーリスクが高まる中で、サイバー保険は企業にとって不可欠な時代になっていると考えています。これまでリスクの中で最大のものとされてきたのは、自然災害やテロ、地域紛争でした。現在は、これらに加えてサイバー攻撃も重大なリスクだと認識されるようになりました。現在、全世界のサイバー保険の85％のシェアを占めるのが米国で、20年にはその市場が8000億円規模に拡大すると予測されています。※一方、日本ではまだサイバー保険の普及は進んでおらず、20年でも500億円に届くかどうかというところと言われています。日本のサイバー保険の市場規模は、全世界のたった6％ほどしかないということになります。

※ 出典：「Supporting an effective cyber insurance market」

ラック代表取締役社長
西本 逸郎氏

西本 まだ、日本企業ではサイバー攻撃は対岸の火事のようなものだと思っていて、自分たちにその脅威がいつでも降りかかる可能性があるという危機意識が希薄なのかもしれませんね。

小嶋 そのとおりだと思います。リスクを適切に認識できず、危機意識がなければ保険加入を検討することもないでしょう。サイバー保険は、個人情報の漏洩に対する賠償だけでなく、インシデント発生後すぐの初動対応や、その後の原因究明などの対応費用やステークホルダーに対する説明責任、事業がストップしたときの対応についても広く補償できるようになっています。一方で、事故情報などデータの蓄積が限定的で保険設計が難しいことに加え、サイバー攻撃は全世界で同時に起こる可能性があるため、リスクの総量の管理も非常に難しいという課題もあります。だからこそ、サイバー保険単体での解決を目指すのではなく、セキュリティ対策と補完し合うことが大変重要です。

西本 インターネットが世界中に普及した現在、サイバー攻撃の猛威の下では、それは無視できないリスクであり、サイバー保険とセキュリティ対策という両輪がなければ、安心して事業を運営していけない時代になったと言っても過言ではないかもしれませんね。「リスク低減策としてのセキュリティ対策」と「リスク移転策としてのサイバー保険」の効果を世の中に伝えることは、セキュリティサービスを手がけ、最前線で戦っているわれわれの使命かもしれません。

小嶋 そうですね。サイバーリスクについては、その本質をより的確に認識することが重要です。日本では現在も個人情報漏洩対策の段階で止まっている感がありますが、企業にとってのサイバー攻撃の真のリスクは、事業継続そのものと言えるかもしれません。今はサプライチェーンがネットワーク化されることが当たり前の時代です。大企業といってもサプライチェーンの一部であり、大企業だけが堅固に守られていても、原材料や部品、情報システムなどを調達する取引先の対策に不備があれば、情報が流出したり、取引先を経由して自社のシステムに侵入されたりといった事態を招きかねません。そのような事例はすでに数多く発生しています。そうなったときに原因究明はどうするのか、ステークホルダーへの説明はどうするのか、事業がストップしている間の収益はどうするのかを考える必要があります。大企業だけではなく、中小企業でももっと経営課題として取り上げる必要があると思います。リスク軽減策としてのサイバーセキュリティとリスク移転策のサイバー保険が非常に有効な施策になるはずです。

西本 確かに、多くの企業にとって、今後さらにサイバーリスクへの対応が企業の生命線になってくるはずです。たった一度のサイバー攻撃の被害でも、その企業が立ち行かなくなる可能性は十分にあり、そこに企業規模の大小は関係ありません。最近はメールを乗っ取り、偽の取引を持ちかける事案も発生するなど、サイバー攻撃がどんどん巧妙化しています。セキュリティ対策によるリスクの低減と、サイバー保険によるリスク移転を併せて実施することで、より大きなリスクに対処できるようになり、この組み合わせならば、中小企業のサイバーリスク対策としても受け入れられやすいかもしれませんね。

小嶋 サイバー保険は多くの顧客情報を有する金融機関などの大きな企業が主要な加入者だというイメージが一般的かもしれません。しかし、実はサイバー保険先進国である米国において加入率が高いのは、医療関係や教育関係の業種です。リスクを明確に認識した分野から普及が進んでいるのだと思います。

西本 日本企業がグローバル経済の中で生き残っていくためには、サイバーリスクをいかにコントロールしていくかという点が重要ですね。

小嶋 それを実現するのが私たちの提供するサイバー保険『事故補償パックforJSOC^®』の意義だと考えています。これは御社のセキュリティ監視サービス「JSOC^®マネージド・セキュリティ・サービス（MSS）」に当社のサイバー保険を付帯させることで実現できました。セキュリティ導入により、簡単な手続きかつ割引の効いた保険料で、事故対応費用などとして合計1000万円までの充実した補償が受けられるのが最大の特長です。JSOC^®という高度なセキュリティ対策サービス導入により、リスク低減を実現したお客様だからご提供できる優れたサイバー保険です。この『事故補償パックforJSOC^®』は両社の強みを最大限活用した、画期的な商品になったと自負しています。

西本 これからデジタルトランスフォーメーションが進展していくといわれています。このような環境においては、サイバーリスクを「セキュリティ対策」と「保険」との組み合わせにより下支えすることで、日本企業と日本そのものも、より守りやすくすることができるでしょう。