第4回 スペシャリストが解説「あえて中小企業を狙う」サイバー攻撃から身を守る方法

  • 本記事は2018年9月のメールマガジン配信記事です。

前回は「サイバー攻撃に直面した社員がとるべき行動」についてお送りしました。
コンピューターに関する科学捜査「フォレンジック」を専門に行うスペシャリスト・杉山さんに「サイバー攻撃」を受けてしまった場合の心構えや対処法について教えていただきました。
事例では、サイバー攻撃にあった担当者の初動によって、被害が拡大したというお話がありましたね。

4回目はスペシャリストが解説「『あえて中小企業を狙う』サイバー攻撃から身を守る方法」についてお送りします。サイバーリスクに備えて企業の被害を最小限にするための「サイバーリスク保険」を開発した東京海上日動火災保険の教学さんに、お話を伺いました。サイバー犯罪の被害にあった場合の備えやセキュリティ先進国・米国での取り組みなどについても教えていただきました。

それでは、 お付き合いください。

1. 回避は“不可能”すぐそばにあるサイバー危機

サイバー攻撃者が「あえて子会社を狙う」ワケ

2017年5月に世界中を席巻したコンピューターウイルス「WannaCry」は記憶に新しいだろう。感染したパソコンのファイルを暗号化して「元に戻すためには金を払え」と要求するランサムウェアの一種で、数日のうちに150か国、30万件以上に被害をもたらしたと推測されている。

サイバー犯罪は今や、どんな企業にとっても避けられない危機といえる。情報セキュリティに携わる専門家の間では「サイバー犯罪者に狙われたら防げない」という認識が一般化している。多くの企業では感染したことすら気付かないうちに、情報が抜き取られたりネットワークを乗っ取られたりするという。

回避は“不可能”すぐそばにあるサイバー危機

そこで登場したのが、サイバーリスクに備え企業の被害を最小にするための「サイバーリスク保険」だ。
保険を開発した東京海上日動火災保険の教学大介・商品開発担当課長に、サイバー保険が誕生した背景や保険の有用性を聞いた。

2. ウイルス感染、情報漏えい…そのとき何が必要か

教学氏によると「サイバーリスク保険」とは「サイバー犯罪による損害を、感染疑惑の段階からカバーするもの」だという。従来から従業員のミスや悪意で情報漏えいが発生した場合に保険の適用が受けられる「情報漏えい保険」があったが、サイバーリスク保険はサイバー犯罪ならではの特徴を盛り込んで、保険の適用範囲を拡大。
サイバー犯罪が原因であれば「パソコンの動作がおかしい」といった“疑い”の時点から調査費などを保険金給付の対象とした。企業は早期の調査・発見が可能になり、初動が重要なサイバー犯罪対応の強い味方となる。

ウイルス感染、情報漏えい…そのとき何が必要か

サイバー犯罪に巻き込まれたと認定された場合、主に次のような補償が受けられる。

  • 情報の流出などで賠償責任が発生した際の費用
  • 社内の対策費用(サイバー犯罪被害調査費、記者会見費、コールセンター設置費など)
  • ネットビジネスの中断などによる利益損害

教学氏によると、フォレンジックと呼ばれるサイバー犯罪の捜査費用はパソコン1台につき100万~150万円かかるとされる。1台の感染が見つかった場合、ネットワークでつながる他のパソコンも調査が必要なため、フォレンジック費用だけでも相当な額に上るのは想像に難くないだろう。

3. サイバー攻撃者が「あえて中小企業を狙う」ワケ

東京海上日動火災保険の試算では、サイバーリスク保険の世界市場は2000億~3000億とされる。しかしそのほとんどがセキュリティ先進国・米国での数字だ。米国では州ごとに情報保護に関する厳格な法律が存在するため、企業の意識が高いことが背景にある。またEUでは2018年5月、情報の持ち出しに規制を設け、違反者には罰金を課す新法が整備された。これを受け今後、サイバーリスク保険の加入率は増加するだろうと、教学氏は見ている。

サイバー攻撃者が「あえて中小企業を狙う」ワケ

一方、日本国内の市場は150億円程度と推測され、保険加入率は国内企業全体の1%にも満たない。
米国と比べると日本企業の動きはまだまだ低調だ。

とはいえ、日本ものんびりできる状況ではない。近年のサイバー犯罪では、犯罪者は強度なセキュリティを敷く大企業を直接狙うのではなく、セキュリティが甘い子会社や取引先のネットワークにまず侵入し、踏み台にして大企業のネットワークに入り込む。教学氏は「今後は、サイバー被害にあった企業が、踏み台になった企業のセキュリティ上の責任を問うこともでてくるでしょう」と警鐘を鳴らす。

さらに、情報漏えいの賠償金の相場にも見直しの動きが生まれているという。国内では従来、情報漏えい1件あたりのお詫び金は500円とされてきた。しかし、近年発生した教育関連企業による顧客情報漏えい事案では、原告の1人が精神的被害があったとして10万円の損害賠償を求めて民事提訴した。「地裁、高裁は原告の訴えを退けましたが、最高裁はプライバシー侵害を認めた上で高裁に審理を差し戻しました。
最高裁が『情報の価値について再考しなさい』と促しているといえます」と教学氏は分析する。

4. 教学氏が厳しく指摘した「経営者の心構え」とは

巧妙なサイバー攻撃とサイバー犯罪がもたらす甚大な損害は、ネット社会において避けられず、リスクは高まり続けている現状をお伝えした。

教学氏が厳しく指摘した「経営者の心構え」とは

しかし、企業のシステム担当者にとっては、サイバーリスク保険への加入を経営層に進言することにためらいがあるかもしれない。現状を把握していない経営層であれば、「保険をかけるということは、あなたは自分の仕事(情報保護)に自信がないのか」とみなされる恐れがあるからだ。

教学氏は「この考えは非常に古い」と断じる。「サイバーリスクは日々深刻化しています。セキュリティ対策は信頼を保つための投資だという意識を経営者が持ち、社内で共有するべきです」と指摘する。企業が安心してIT を利活用するためには、サイバー犯罪が降りかかることを前提にしたセキュリティマインドに切り替え、早めに対策を整えておくことが最重要といえる。

あとがき

教学さんによると、セキュリティ対策を整えている大企業ではなく、対策が遅れがちな中小企業を狙って侵入し、大企業のネットワークに入り込むそうです……。攻撃者はあの手この手で攻撃を仕掛けようとしてくるわけですね。踏み台にされる中小企業はセキュリティ対策をしっかり備えておく必要がありそうです。