グローバル企業が海外拠点でサイバー攻撃を受けた際の迅速な初期対応を支援(AIU保険会社) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

グローバル企業が海外拠点でサイバー攻撃を受けた際の迅速な初期対応を支援(AIU保険会社)

製品・サービス・業界動向 新製品・新サービス

 AIU保険会社は23日、サイバー攻撃の補償エリアを全世界に拡充したグローバル企業向けの保険商品「CyberEdge」に関する記者説明会を開催した。

 「CyberEdge」は、日本では昨年末に発表された保険商品で、すでに世界30ヵ国で販売されている。この保険は国内に本社を置くグローバル企業を中心に、日本や世界各国の拠点も含めて対象となるもので、企業がサイバー攻撃を受けた際に各国のセキュリティ専門機関を紹介し、迅速な初期対応を支援する。

 さらに証拠保全や、侵入経路特定のため適切なデータを収集・解析するフォレンジックサービスを実施する費用や、損害賠償請求がなされた場合に負担する賠償金の補償、不正アクセスなどにより業務が中断した期間の逸失利益についても補償対象とすることが大きな特徴だ(オプション契約)。

■海外ではセキュリティ対策に関する法的規制を遵守しないと制裁措置が科せられる流れも

 詳細の説明に先立ち、AIU保険会社のスティーブ・マローン氏が、同社の保険サービスについて触れた。「いま81%の企業では、サイバーセキュリティに対して大きな脅威を感じているという調査結果がある。我々は2004年から個人情報漏えいに関する保険商品を扱ってきたが、さらに商品の拡充をしたいと考えた。今回のCyberEdgeは、グローバルで専門知識を持つ我々だから提供できる商品だ」と自信を見せた。

 続いてAIGのイアン・ポラード氏が、サイバーリスクに関するグローバル企業のニーズや対策の実態について解説した。

 サイバーセキュリティの脅威は年々増している。アジア太平洋地域では、15億もの人々がインターネットを利用しているが、仕事とプライベートの境界もなくなってきた。イアン氏は「同地域では45%もの企業がサイバーアタックに接している。その被害による保険請求額は、情報漏えい、風評被害、電子データの復元などの費用を含めると520万ドルにも上る。そのため、大手銀行はもちろん、すべての企業で、悪意のある攻撃を防御しなければならない」と注意を促した。

 サイバー攻撃には、サイバーテロ、ハッキング、内部アタックなどの手口で、クレジットカード情報を盗んだり、企業の機密情報を盗むような悪意を持った攻撃が多いことも事実だ。だが、悪意を持たないインシデントによるものもある。偶発的なシステム障害や、ヒューマンエラーの場合などだ。いずれにせよネットワークが停止すると、企業活動全般にわたり影響を及ぼす。そして財務リスクが生じ、組織の収益性を損なうことになる。

 賠償については、特に個人情報が盗まれたときのダメージが大きい。海外ではクレジットカードの情報漏えいによって、1億7000万ドルもの賠償金を支払されたケースがある。また風評被害も重大で、企業の株価下落にもつながる。

 最近では、セキュリティ対策に関する法的規制を守らないと、制裁措置が科せられる動きも出てきた。イアン氏は「米国では厳しい報告義務が求められており、違反すれば数100万ドルもの被害になる。EUでもデータ保護を強化する動きがある。アジアでは包括的な法制度の導入が進み、台湾、韓国、フィリピン、香港なども、情報保護法条例を導入したり、条例の改定・新施行が行なわれている」と説明した。いずれも企業に報告義務を科すという流れだ。制裁措置による罰金は全世界の企業の売上の2%を占めるとのこと。

 こうした流れの中で、国連でも正式な枠組みをスタートするなど、サイバーセキュリティ対策についての意識も高まりつつある。政府、官民連携による強化と、企業の強化なリスク管理体制の整備が求められるのだ。

 イアン氏は「企業におけるサイバーリスク管理のベストプラクティスは、まず全従業員がセキュリティ対策に注意を払い、経営側はそれに対する予算を取り、役員レベルでリスクマネジメントを考えることだ。次にインシデントがあってもプロセス面での事業継続性を確保しておく。さらに技術面ではファイアウォール、ウイルス対策、アクセスログ、バックアップ、暗号化などの技術も大切だ」と述べ、このような包括的なリスクマネジメントに加え、サイバーリスクに対応できる保険をかけておくことも推奨した。

■「CyberEdge」の4つの大きな柱とは?オプションで遺失利益に関する補償も

 次に、AIU保険会社の阿部瑞穂氏が、「CyberEdge」の特徴と内容について説明した。

 「CyberEdge」の特徴は、何と言っても情報漏えいリスクについて全世界の補償に対応していることだ。「一般的な保険では日本国内という制限が掛けられいるケースが多い。しかし企業のグローバル化が進んでいるため、攻撃先や被害エリアは国内の拠点やウェブに限らるものではない。国境の分け隔てなく対策を講じていく必要がある」(阿部氏)。

 事故発生時には、危機管理コンサルタントを紹介できる点も特徴の1つ。企業が情報漏えいを起こしてしまったときに、どうやって風評被害などの悪化を防ぐべきかという問題があり、この費用に関するニーズは大きい。

 「また不正アクセスに対して原因を調査するために、フォレンジック費用が補償されることもポイント。企業経営者は事が起きたときの速やかな事実確認や原因の追究に着目している」(阿部氏)。なおフォレンジック・パートナーについては、少なくとも各国1社で協力する体制になるという。

 さて、同保険は4本の大きな補償の柱から成る。1本目の柱は損害賠償に関するもの。個人情報および企業情報の漏えい賠償責任のほか、外部委託で情報漏えいが起きた場合の賠償責任、不正アクセス、ウイルス感染などに起因して損害賠償が請求されたときの情報セキュリティの賠償責任を含む。これはウイルス感染、踏み台などで第三者に被害を起こしてしまったケースなども含まれる。

 2本目の柱は、行政対応に関する費用だ。情報漏えいを起こし、監督官庁などの公的機関による調査が行なわれた際には、被保険者が法的アドバイスを受ける弁護士費用を補償し、さらに公的機関から課徴金を求められても、その費用を補償するものだ。

 また3つ目の柱は各種費用に関するものだ。たとえば被害状況の原因を調査するフォレンジック費用や、信用毀損などの悪影響を最小化するコンサルティング機関への危機管理サービス費用、詫び状・記者会見・新聞広告・コールセンター設置などの通知およびモニタリング費用、個人情報データが消失した場合の復元費用、弁護士相談・被害者への見舞い金(1被害者あたり500円を限度とする)に当てる危機管理実行費用などが含まれる。

 以上の3本柱は基本契約となるが、さらにオプション契約として4本目の柱も用意されている。これは遺失利益に関する補償でCyberEdgeの大きな特徴だ。現在、ネットワークにつながっていない業務はないと言ってもよいだろう。サイバー攻撃によってネットワークが中断し、万が一業務が停止してしまった場合には、その遺失利益を補償してくれる。「CyberEdge」では、このような包括的な体制でリスクをカバーする方向だ。

 「CyberEdge」の販売チャネルは、保険代理店あるいはダイレクト形式となる。気になる保険料についてだが、「保険加入にあたっては、事前にプロポーザルフォーム(質問書)を配布し、企業のリスク管理体制についてアンケート形式で回答していただく。その内容に依存する部分はあるが、売上高100億円のIT企業で、5億円の保険限度額でCyberEdgeを契約された場合には、年間400万円前後の保険料をお支払いいただくイメージになる」(阿部氏)という。

■「ネットワークフォレンジック」で実際のサイバー攻撃に対処

 最後に、フォレンジック・パートナーとして「CyberEdge」と提携するサイバーディフェンス研究所の小林真悟氏が、サイバー攻撃を受けた際のフォレンジックの重要性について述べた。

 同社は、「CyberEdge」の契約者がサイバーインシデントに万が一巻き込まれたとき、初動から緊急対応(トリアージ)を行なう機関だ。具体的には、インシデントについての説明責任や訴訟対応を実施できるように、デジタルデータの鑑識技術であるフォレンジック技術を用いた電子データ保全や解析サービスを実施する。

 小林氏は「インシデントが発生したときには、その影響の局限化と最小化が求められる。今後のサイバー脅威のシナリオでは、インターネットにつながっていないクローズド・ネットワークでも、社内から不正アクセスされる危険がある。金融分野の基幹系や、エネルギー分野の制御系、通信分野の電気通信系など、特に重要なものがセキュリティリスクの対象になっている」と指摘した。

 同社では、実際のサイバー攻撃に対処するための技術・手法として「ネットワークフォレンジック」を提供。ネットワークフォレンジッには「デジタルフォレンジック」「ネットワーク/システムログ解析」「マルウェア解析」「聞き取り」「サイバーインテリジェンス」というコンポーネントがある。

 デジタルフォレンジックとは、ネットワークフォレンジックの中で、サーバーや端末の電子データを適切に証拠として保全し、重要なデータの収集を行ってユーザーに報告するもので、失われた情報を復元する作業も含まれる。不正ファイル所持の有無や実行された不正アプリケーションの特定、情報の持ち出し経路の解明、検索キーワードによる被疑者の手口のプロファイリング化などを総合的に実施していく手法だ。

 またサイバーインテリジェンスも、同社の強みとなる点だ。同社では毎日、世界中のセキュリティコミュニティから攻撃者の情報を収集し、それをインテリジェンス化する作業を行なっている。小林氏は「我々は毎日24時間対応している。インシデントが発生したら可能な限り早い段階で復旧ができるように支援していきたい」と述べた。

サイバー攻撃に備える!グローバル企業向けの保険「CyberEdge」のメリットとは?

《井上猛雄@RBB TODAY》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 学校の自殺予防体制、情報セキュリティ技術活用

  10. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×