ここが変だよ日本のセキュリティ 第12回「サイバー保険がやってきた!」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.01.19(木)

ここが変だよ日本のセキュリティ 第12回「サイバー保険がやってきた!」

特集 特集

何だね君はぁ?「愛は寛容であり、愛は情け深い。また、ねたむことをしない。これから始まるブライダル・シーズンで、牧師様からよく聞く言葉だけど、この言葉はまさに2次元の彼女のためにあるよな!2次元の彼女は限りなく寛容だよ!」2次元殺法コンビお待たせしました。今回は今年に入ってから話題のサイバー保険についてまとめてみたよ。自動車保険、火災保険以外では、なかなか損害保険について説明を受けることは無いと思うけど、企業向けの損害保険としてどんなもんだか、整理してみたよ。

●リスクの移転って覚えているかな

情報セキュリティを学ぶとき、リスクの低減、許容(保有)、移転、回避っていう整理の仕方を習ったことあるんじゃないかな。そのとき移転の例として、外部にサービスを委託して自社のリスクを外に出す対策と共に出てくるのが、金銭的に被害をカバーする損害保険なんだ。しかし、実際に保険って、情報セキュリティのために契約したり、使ったことがあるかな。損害保険そのものは自動車保険、火災保険や海外旅行保険といった、生活の上でも身近なものではあるのだけれど、その場合ですら、実際に保険金を請求したことがあるのは、皆さん、自動車保険くらいだと思う。今回は情報セキュリティにとって重要なのに、みんな詳しくない損害保険のお話だよ。

●注目され始めるサイバー保険

昨年日本中を震撼させたベネッセの個人情報漏えいでは、2014年7月時点で公表された被害者への金銭的補償は総額200億円となっている。内部犯行なのでサイバー保険とは事故の種類が異なるけれど、大規模な個人情報漏えいが発生した場合の被害額としては参考になると思う。社会的責任からも、また、企業を存続し顧客、株主、従業員を守っていく上でも、巨額の損失で企業が破綻するわけにはいかない。

連載後半の事例紹介で説明するけど、AIU損害保険がサイバー攻撃を補償する保険を始めたのが2012年12月、東京海上がサイバーリスク保険を始めたのが2015年2月だ。その少し前の2015年1月28日の読売新聞によると、サイバー攻撃対策を強化し、被害を補償する「サイバー保険」の普及を後押しするために、政府がサイバー攻撃対策の基準づくりに乗り出すとのことだ。

企業のセキュリティ対策の強度を客観的に評価する仕組みを策定し、保険会社が保険料を算定する際の基準とすることも検討するという、かなり本腰を入れたものになっている。背景には、先行したAIU損害保険の加入が進まず、他の保険会社が追従していない状況があるようだ。報道では企業が被害の詳細を保険会社に提供することに消極的なために加入が遅れているとのことだけど、やはり不祥事の詳細を外部に教えるというのは憚られるようだ。

●セキュリティ対策の強度って?

報道経由だから意図しているところは詳しくは分からないけれど、政府が言う「企業のセキュリティ対策の強度を客観的に評価する仕組み」って言葉がちょっと気になる。不正アクセスされたら、次年度から数年の間は、強度は最低に評価されちゃうんじゃないかな。自動車保険の等級みたいにさ。でもそれは、客観的な評価じゃなくて統計手法だから、そんなことはないと信じたい。難しいのは、保険料を算定した後も脆弱性はどんどん出てくるってこと。ある時点で十分な強度があっても、脆弱性が公開されてすぐに不正アクセスされてしまった場合はどう扱うのだろう。

そもそも対策が強固だったら不正アクセスされるのはゼロディくらいに限定されてしまう。評価できるなら、その時点で対策をアドバイスして欲しいと思う会社も多いだろう。また、保険ならではの過失相殺といった要素があるのなら、重過失と過失の線引きはどうするのだろう。

省庁のサイトでさえ不正アクセス、改ざんされている現状で、企業として必要な対策水準を達成している強度というのは、どの程度なのだろうか。強度はISMSのようなマネジメントシステムとは違う意味合いだろうけれど、ISMSやプライバシーマークを取得している有名企業でも被害事例は起きている。強度は公表されるのか、保険の申し込み時に機密保持扱いで知らされるのか、その辺りも不明だ。

●サイバー保険の可能性を探る

この連載の読者層から考えて、実際に損害保険に勤務している人を除けば、多くは保険に詳しくないと思う。サイバー保険って広く多くの企業に入ってもらえる保険なのか、保険料の面から大企業に限られてしまうものなのか。加入の条件は厳しいのか、入っておいた方がいい保険なのか。保険の考え方を説明しつつ、整理していこうと思う。

《2次元殺法コンビ》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第26回 「最近よく聞くサイバー保険は誰を救う?」

    ここが変だよ日本のセキュリティ 第26回 「最近よく聞くサイバー保険は誰を救う?」

  2. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

    生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  3. [セキュリティ ホットトピック] 2017年のサイバーセキュリティ経営強化にすぐ役立つハンドブック、初心者から経営者向けも

    [セキュリティ ホットトピック] 2017年のサイバーセキュリティ経営強化にすぐ役立つハンドブック、初心者から経営者向けも

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2割超がインシデント対応計画「まったく無い」、組織運用実態

  6. [セキュリティ ホットトピック] 未成年によるサイバー犯罪が多発、営利目的と違う動機に注目

  7. Scan BASIC MEMBERS 登録方法

  8. ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ?」

  9. 資産を凍結されたオートサーフの12dailyPro その実態は“ポンジースキーム”か

  10. シーズン1 「R式サイバーシステム」 第1回「プロローグ:身代金」

全カテゴリランキング

特集

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×