サイバー攻撃による被害は増加の一途をたどっています。一般社団法人日本損害保険協会の調査によると、国内企業の約4割以上がサイバー攻撃被害に対する不安を抱えています。そのような不安に備える「サイバー保険」をご存じでしょうか。本記事ではサイバー攻撃を受けた場合に発生するコスト・損失に触れつつ、サイバー保険について解説し、セキュリティ対策の見直し方法についてご紹介いたします。
他人事ではない!増加するサイバー攻撃による被害
サイバー攻撃による被害は増加の一途を辿っており、昨今は企業規模・業界問わず被害に遭う可能性があります。
国内では特にパソコンに保存したファイルやハードディスクを暗号化して、身代金を要求する不正プログラムである「ランサムウェア」による感染被害が多発しています。企業・団体等におけるランサムウェア被害として、令和4年上半期に都道府県警察から警察庁に報告のあった件数は114件であり、令和2年下半期以降、右肩上がりで増加しています。
【企業・団体におけるランサムウェア被害の報告件数の推移】
https://www.npa.go.jp/publications/statistics/cybersecurity/
実際、一般社団法人日本損害保険協会の調査*1によると、国内企業の多くはコロナ渦でテレワークの導入が進んでおり、サイバー攻撃を受ける可能性について約4割の企業が「高まった」と回答しています。しかし同時に4割以上の企業がサイバーリスク対策における課題について「現在行っている対策が十分なのかわからない」と回答しており、リスクの高まりを認識しながらもセキュリティ対策への自信のなさがうかがえます。
特に中小企業の場合は、セキュリティに対する知識や対策に必要な資源が限られているため、原因の特定や対策の実施が困難なケースも少なくありません。こういった背景からサプライチェーン上の脆弱な企業を狙われ、サプライチェーン全体が被害を受ける事案も見受けられます。
サイバー攻撃の被害を受けてしまうと、個人情報の漏えい、機密データの改竄、サーバ停止やシステムの破壊などが発生する可能性があり、事業継続に影響を与えかねない脅威となります。
国内で発生したサイバーインシデント事例
2022年に国内で起こったサイバー攻撃の事例は以下の通りです。
| 年月 | 被害概要 | 原因 |
| 2022/1 | 県の災害情報管理システムから津波に関する緊急速報メール大量送信*2 | プログラム設定ミス |
| 2022/3 | アニメ製作会社が不正アクセスを受け複数の人気番組の放映スケジュールに影響*3 | システム障害 |
| 2022/3 | 代行申請企業の従業員がEmotetに感染し、情報漏洩となりすまし被害*4 | マルウェア感染 |
| 2022/3 | 国内メーカーホームページへの不正アクセスによりメールアドレス流出(約1万件)*5 | SQLインジェクション |
| 2022/5 | 比較情報サイト運営等を行う企業がクラウドサービスの設定ミスにより最長6年間個人情報を不用意に公開(約5,000件)*6 | クラウド設定ミス |
| 2022/5 | 国内人材情報企業の資格検定申込サイトに対する海外からの攻撃でメールアドレス流出(約29万件)*7 | SQLインジェクション |
| 2022/8 | 組合直売店のネットショップ専用パソコンがEmotetに感染して顧客氏名やメールアドレス等流出(約50,000件)*8 | マルウェア感染 |
【サプライチェーンの脆弱性を悪用した攻撃の事例】
2022年3月1日に国内大手自動車メーカーの部品仕入先企業が同社の外部取引先企業との専用通信に利用していたリモート接続機器の脆弱性をきっかけとして不正アクセスを受け、この影響により自動車メーカーが国内全14工場28ラインを停止させる事態となった このサイバー攻撃は大手企業を狙ったサプライチェーン攻撃とみられる*9
データ侵害発生時にかかるコスト
機密情報等の漏洩が発生すると、その復旧作業に莫大なコストがかかります。復旧コスト自体も年々増加傾向にあるほか、データ侵害により信用失墜につながることで、深刻なビジネス上の被害を引き起こします。実際にデータ侵害による平均総コストの内、システム復旧や顧客の再獲得などにかかった割合は38%にものぼるとのことです。
【4つのカテゴリ別データ侵害の平均総コスト(単位:100万米ドル)】
サイバー攻撃を受けた場合に生じる費用・金銭的損失
サイバー事故が発生した際に生じる費用は大きく分けて3つあります。
企業の経営者はこういったサイバー攻撃により発生する費用を未然に防ぐため、以下のようなガイドラインなども参考にしつつ、企業の追うべき責任について理解しておくことが重要です。
【参考情報:ガイドライン】
・一般社団法人 日本経済団体連合会
「サイバーリスクハンドブック 取締役向けハンドブック 日本版」
・内閣官房内閣サイバーセキュリティセンター(NISC)
「サイバーセキュリティ関係法令Q&A ハンドブック Ver1.0」
サイバー保険とは
前述のような費用を包括的に補償する役割を果たすのが「サイバー保険」です。
保険に加入することで、最悪の事態が起きた場合でも幅広い補償とサポートがうけられることで事業活動継続の命綱となります。(※補償の内容はサービスによって異なります。)
サイバー保険の加入率は海外では増加傾向にあり、米国の企業で5割近く、英国では約4割に上る*10とのことです。これに対して、日本国内では大企業・中小企業共に加入率は1割以下との報告*11がありますが、サイバーセキュリティを取り巻く状況を鑑みると、今後国内でも認知・普及が広まっていくことが考えられます。
サイバー保険の有効性
これまで見てきたようにサイバー攻撃によるリスクは、金銭的損害、機会損失、信用失墜などがあります。事業活動継続のためには、こういったリスクに対してどう対処していくかをリスクの影響度や深刻度などに応じて自身で判断する必要があります。
| リスク対策の種類 | 概要 | 対策例 |
| リスクの回避 | リスクの発生確率を低くする | ・外部からのアクセスを許可しない ・物理的にもシステム接続を不可能にする ・クレジットカード情報などの個人情報を保存しない・収集しない |
| リスクの低減 | リスク発生による影響を小さくする | ・通信の暗号化の強度を高くする ・認証機構を堅牢にし、セキュアな多要素認証を強制する |
| リスクの移転 | リスクの影響を第三者に移す | サイバー保険への加入 |
| リスクの受容 | リスクの発生を認め、 何もしない | 対策をしない |
万が一の金銭的な損失に備え、自社ではなく保険会社という他者に補償させるという「リスクの移転」手段の1つとして有効なのが、サイバー保険です。
今一度セキュリティ対策の見直しを
サイバー攻撃手法は日々更新されており、さらに取引先や子会社などを含むサプライチェーンを踏み台にした攻撃など、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。脆弱性診断の定期的な実施といった基本的なセキュリティ対策を行うとともに、万が一インシデントが発生してしまった場合の備えとして信頼できる第三者の専門企業に相談することをおすすめします。
サイバー保険付帯脆弱性診断サービスの紹介
サイバー保険付帯の対象となる脆弱性診断
BBSecのSQAT® 脆弱性診断サービスすべてが対象となります。また、複数回脆弱性診断を実施した場合、最新の診断結果の報告日から1年間有効となります。
- WEBアプリケーション脆弱性診断 -SQAT® for Web-
- ネットワーク脆弱性診断 SQAT® for Network
- スマホアプリ脆弱性診断 SQAT® for Smartphone
- クラウドセキュリティ設定診断
- ソースコード診断 SQAT® Core
- SQAT® ペネトレーションテスト
- IoTセキュリティ診断
またBBSecでは緊急対応支援サービスも提供しています。突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。
Security Report TOPに戻る
TOP-更新情報に戻る
