守りと備えを一体化!サイバー保険の実力 今必要なサイバー攻撃対策とは何か
西本 逸郎氏
西本 まだ、日本企業ではサイバー攻撃は対岸の火事のようなものだと思っていて、自分たちにその脅威がいつでも降りかかる可能性があるという危機意識が希薄なのかもしれませんね。
小嶋 そのとおりだと思います。リスクを適切に認識できず、危機意識がなければ保険加入を検討することもないでしょう。サイバー保険は、個人情報の漏洩に対する賠償だけでなく、インシデント発生後すぐの初動対応や、その後の原因究明などの対応費用やステークホルダーに対する説明責任、事業がストップしたときの対応についても広く補償できるようになっています。一方で、事故情報などデータの蓄積が限定的で保険設計が難しいことに加え、サイバー攻撃は全世界で同時に起こる可能性があるため、リスクの総量の管理も非常に難しいという課題もあります。だからこそ、サイバー保険単体での解決を目指すのではなく、セキュリティ対策と補完し合うことが大変重要です。
西本 インターネットが世界中に普及した現在、サイバー攻撃の猛威の下では、それは無視できないリスクであり、サイバー保険とセキュリティ対策という両輪がなければ、安心して事業を運営していけない時代になったと言っても過言ではないかもしれませんね。「リスク低減策としてのセキュリティ対策」と「リスク移転策としてのサイバー保険」の効果を世の中に伝えることは、セキュリティサービスを手がけ、最前線で戦っているわれわれの使命かもしれません。
小嶋 そうですね。サイバーリスクについては、その本質をより的確に認識することが重要です。日本では現在も個人情報漏洩対策の段階で止まっている感がありますが、企業にとってのサイバー攻撃の真のリスクは、事業継続そのものと言えるかもしれません。今はサプライチェーンがネットワーク化されることが当たり前の時代です。大企業といってもサプライチェーンの一部であり、大企業だけが堅固に守られていても、原材料や部品、情報システムなどを調達する取引先の対策に不備があれば、情報が流出したり、取引先を経由して自社のシステムに侵入されたりといった事態を招きかねません。そのような事例はすでに数多く発生しています。そうなったときに原因究明はどうするのか、ステークホルダーへの説明はどうするのか、事業がストップしている間の収益はどうするのかを考える必要があります。大企業だけではなく、中小企業でももっと経営課題として取り上げる必要があると思います。リスク軽減策としてのサイバーセキュリティとリスク移転策のサイバー保険が非常に有効な施策になるはずです。
