2021年 1月

企業のITセキュリティ講座

サイバー保険は入るべき? 活用度などの現状を知る

ライター・吉澤亨史

サイバーインシデントが発生した際に、対応費用などを補償する「サイバー保険」。既に多くの保険会社が提供しており、セキュリティベンダーが製品やサービスにサイバー保険を付帯するケースもある。果たしてサイバー保険は有効なのか、現状の保険の種類や利用状況、契約時の注意点などについて、株式会社ラックの田代氏、西川氏にお話を伺った。

サイバー保険の特徴と利用状況

株式会社ラックのセキュリティ営業統括部のパートナー営業部長である田代 綾氏(左)、同サイバーセキュリティサービス統括部 サイバー 救急センターの西川 晃央氏(右)

――サイバー保険の定義について教えてください。

西川氏:定義としては明確になっていない印象ですが、例えば日本損害保険協会では、「サイバー保険は、サイバー事故により企業に生じた第三者に対する『損害賠償責任』のほか、事故時に必要となる『費用』や自社の『喪失利益』を包括的に補償する保険」としています。

経緯としては、最初に「個人情報の漏えい保険」が出ましたので、多くの企業がそのイメージを持っていると思います。この保険は、単純に情報が漏えいしてしまったときの損害賠償費用を補償するものです。しかし、サイバー攻撃が認知されてくると、情報漏えいのみを対象にした補償では足りなくなり、補償内容が拡大されました。

現在では、「情報の漏えいまたはその恐れ」「ネットワークの所有・使用・管理に起因する他人の業務阻害」「サイバー攻撃に起因する他人の身体傷害・財物損壊」が一般的な補償内容となっており、情報漏えいは、個人情報や企業情報をあまり保有しない企業では発生しないかもしれませんが、ネットワークについてはほとんどの企業が当てはまります。身体傷害や財物損壊は日本ではあまり話題になりませんが、例えばサイバー攻撃によって手術が中断したり、自動運転車をハッキングされたりすることなどが懸念されます。

もう一つ、サイバー保険の特徴として、インシデント(事故)が起きたときの賠償責任だけでなく、サイバー事故の調査費用も補償される点があります。自動車保険や火災保険では警察や消防が原因を明確にしますが、サイバー攻撃は自社では原因が分かりづらく、専門家による調査が必要になります。また、今後同様の被害に遭わないための再発防止策の費用もサイバー保険で補償されます。

またオプションとして、販売したソフトウェアに瑕疵(かし<欠点>)があって、購入した企業の業務が中断した場合や、ECサイトがDDoS攻撃によって止まってしまった場合の業務損失を補償するものもあります。最近では、GDPR(EU一般データ保護規則)に違反した場合の調査報告費用などを補償するものも出てきています。

西川氏

――日本のサイバー保険の状況はいかがでしょう。

西川氏:そもそもサイバー保険が日本国内で販売されたのが2015年後半でしたので、まだ5年ほどしかたっていません。現在は、大手の保険会社はほぼ取り扱っている状況です。認知度については、先ほどの日本損害保険協会の調査では大企業が37.2%、中小企業では66.5%が「全く知らない」と回答しており、加入率は12%という数字が出ています。まだまだ低い状況です。

例えばアメリカでは先行して始まっているので、加入率は50%を超えています。これはアメリカが訴訟文化の国であることに加えて、州によっては企業にサイバー保険の加入を義務付けていることも理由の一つだと思います。サイバー保険に加入していることが取引の条件になっていることも多いと聞きます。

日本でサイバー保険に加入している企業は大企業が多く、業種による違いはほとんどないですが、システム系など個人情報を多く取り扱っている企業は加入率が高い傾向があります。金融機関等は想定される被害が大きくなるため、検討していると思われますが、それが加入のハードルとなることもあるようです。

目次へ戻る

サイバー保険で何が補償されるのか

――サイバー保険の一般的な補償内容について、もう少し教えてください。

西川氏:「損害賠償」と「事故対応費用」、そして「利益損害・営業継続費用」の大きく三つに分かれています。損害賠償は、損害賠償費用や争訟費用といった第三者への賠償費用です。事故の対応費用はとても幅広く、サイバー事故に起因して生じた各種費用となっています。例えば、原因調査費用やコールセンターの設置費用、再発防止策の策定費用、法律相談費用、見舞金の支払いなどが含まれるほか、記者会見費用なども該当します。

サイバー攻撃への対応の流れの一例
参照元:日本損害保険協会「サイバー保険とは」

西川氏:利益損害・営業継続費用は、ネットワークを構成するIT機器などがサイバー攻撃等により機能停止することによって生じた利益損害(喪失利益・収益減少防止費用)、いわゆる逸失利益や、営業継続費用などを補償するものです。サイバー保険のバリエーションは賠償額がベースとなっており、1億円や10億円といった契約が多いように思います。賠償額が1億円でも10億円でも保険料はそれほど変わらないので、引き上げやすくなっています。

事故対応費用は非常に重要なのですが、こちらは補償金額を上げると保険料も高くなってしまいます。ですので予算に応じて1億円、また1千万円くらいに抑える場合と、お客様によって異なります。利益損害・営業継続費用は、ECサイトや製造業など、サイトや生産ラインが止まってしまうと収益に大きな影響を及ぼしますから、業種によって補償金額が大きく異なります。しかし、事故対応費用と同様に補償金額が保険料に反映されるので、あまりコストをかけられないケースも多いです。

――実際の対応金額と補償額について教えてください。

田代氏:事故対応費用は、例えば「マルウェアに感染したようなので調べてほしい」という依頼があった場合はフォレンジックというコンピューター内にあるデジタルデータの調査を行うのですが、その作業にはパソコン1台当たり約200万円かかります。サイバー保険に入っていない中小企業が200万円かけて調査をするかというと、まずしないですよね。しかし、何が起きているのかをきちんと調査しないと、マルウェアがさらに悪さをして大きな被害につながってしまう可能性もあります。そのためにもサイバー保険に入っておいて、しっかり調査して現状を把握し、対応できるようにしておくことが非常に重要になります。

私たちも現在、啓発・普及活動をしています。そこで説明するケースでは、「事務所のパソコン3台がマルウェアに感染して、個人情報や機密情報が漏えいした可能性がある」という場合に想定される費用を算出しています。まず初動対応の調査費用として、パソコン1台当たり200万円、合計600万円。データ復旧費用、被害拡大防止のための費用が、サービスやSE費を入れて300万円。そして再発防止のための費用が500万円で、合計1,400万円となります。このほかに謝罪対応費として、変動がありますが少なく見積もって800万円ほどかかります。

事故対応に必要な経費と「サイバー119」対応事例(株式会社ラック提供資料より)

田代氏:それに対して、例えばラックが提供しているサイバー保険付帯型のセキュリティ診断「ファースト」では、加入したシステムに対して200万円が補償されます。また、サイバー保険付帯型の標的型攻撃メール訓練「プレミアム」では、600万円まで補償されます。提供価格帯は、中小企業でも購入できる範囲で設定しています。なお、お客様のシステムにサイバー攻撃や危険なものがないか24時間体制でシステムのセキュリティ監視を行う「JSOC」のサービス料にもサイバー保険が付帯しています。

サイバー保険はまだまだ加入者が少ないので、加入していただいたお客様が少しでもメリットを得られるように、補償金額を変更してご提案することもあります。ただ、ラックは保険を販売するための代理店の資格を持っていませんし、直販もほとんどしていないので、代理店の資格を持つパートナーなどにサービスを提供し、それにサイバー保険を付帯して販売していただくという手法を取っています。

田代氏

西川氏:「ファースト」や「プレミアム」の補償金をどこに当てるかは、お客様の選択になります。例えば「ファースト」であれば、保険金の200万円を使って、攻撃に遭ったWebサイトを改修して、もう一度Web診断を受けることができますし、「プレミアム」であれば、600万円は3台のパソコンをフォレンジックできる金額であるわけです。特に中小企業では、マルウェアに感染したのでフォレンジックをするという文化がなく、放置してしまうのが実態です。メール訓練にサイバー保険を付帯することで、マルウェア感染を防ぐと同時に、万一の感染時にもしっかり調査できるようになります。これによりフォレンジックの文化を定着させていきたいですね。

目次へ戻る

サイバー保険は、ほかの保険と同様に最低限必要なもの

――企業はサイバー保険をどう捉えていくべきでしょう。

田代氏:大企業の場合は、ホールディングスや親会社が子会社の分もまとめてサイバー保険に加入する事例はありますが、各社のインシデントは個社に補償していく形です。大企業のサプライチェーンでは徐々にサイバー保険が浸透してきている印象はあります。

西川氏:現状では、サイバーセキュリティを経営課題と捉えている企業は5%に満たないという調査結果が出ています。現場のシステム担当者は日々ひしひしとセキュリティの重要さを感じていますが、経営層の意識はそこまで高くないのです。そこで当社では、システム担当者がセキュリティサービスを提案する際に、サイバー保険が付帯したものを選べるようにしました。まずは興味を持っていただくことから始めていただきたいですね。

問題が発生したときの対応が、企業によってこれだけ分かれるのはサイバーセキュリティのリスクくらいだと思います。例えば自動車事故があったら、車を直して相手を補償してと、一連のデフォルトが決まっています。火災でも同じですよね。しかしサイバーセキュリティだけは、見なかったことにしてしまうケースが多く、対応するにしても企業によってレベルが違います。対応自体が一般化されていないのが現状ですので、そこを整備しないと絶対にサイバー攻撃はなくなりません。

田代氏:最初から高い補償金額を用意しようとすると、掛け金が高くなって検討できません。情報をたくさん持っている企業は賠償金を100億円は用意しておくべき、あるいは100億円でも足りないなどとよくいわれます。しかし、ちゃんと対策をして情報漏えいが起きないようにすればいいわけです。この対策費用のところをまず、ある程度しっかり確保することが大事です。最初から大きい金額を考えずに最低限の対応をまずできるようにすることですね。

また、調査費用などに自己負担(免責金額)を設けている商品もあります。その割合を10%や15%にすれば掛け金は安くなりますが、実際にインシデントが発生したときには自己負担金を用意しないといけないので、結果的に調査をせず保険を使わなくなってしまいます。そのため、自己負担があらかじめ設けられている保険や、金額が高い保険は選ばないほうがいいと思います。まずは商品やサービスに保険が付いているものを選ぶことが、中小企業にとっては一番の近道でしょう。

西川氏:サイバー保険は、よく「支払われないのではないか」「補償されないのではないか」という声を聞きます。サイバーの世界は目に見えないものですので、攻撃や被害を明確にする必要があり、それは調査会社やお客様が証明しなくてはなりません。多少のタイムラグは発生するかもしれませんが、被害を証明できれば支払われないことはありません。その誤解は解きたいですね。

田代氏:自動車保険に入っていれば、事故があると初動対応として電話サポートを利用できて、レッカー車が来てくれます。サイバーインシデントの場合は、現場を封鎖して原因を突き止めることになります。そして、初動対応の後で相手への補償の話になります。これが私たちの言うサイバー保険のあるべき姿です。保険に入っていないと、まず初動対応ができません。救急車も呼べないし、けが人の治療もできないようなものです。安心して病院に駆け込めないですよね。おそらく、保険に入っていない人は高額な医療費を請求されるので病院に行かないでしょう。保険に入っておくことで、そうした対応を安心して行えるわけです。

被害を受けた側にとって、コントロールできないという意味では、サイバー攻撃は台風や火事、交通事故に近いと思います。確率的に当たってしまったり、対策していても被害が発生したりするなど、予想のできない事態ですので、保険の加入を基本的なこととして考えていただくことが大事だと思います。

――ありがとうございました。

セキュリティ対策と保険の考え方(株式会社ラック提供資料より)

目次へ戻る

関連記事