中小企業もターゲットに 変化するサイバーリスク
中小企業もターゲットに 変化するサイバーリスク
個人情報や機密情報が盗まれるなどの「情報漏えい」にはじまり、顧客や取引先に対して負う巨額の「損害賠償責任」、システムダウンやデータ破壊による事業の停止・中断など、リスクが多岐にわたるサイバー攻撃。かつては大企業が狙われるケースが多かったが、近年は標的が変化している。
「実は今、中小企業を狙うケースが増えています。こう言うと、『ウチ(中小企業)なんか狙ってどうするの?』とよく聞かれるのですが、“踏み台攻撃”といって、大企業を攻撃するための前段階としてITセキュリティが不十分な中小企業を攻撃するケースが増加しているように感じています。現在は、企業規模の大小や業種に関係なく毎日サイバー攻撃に関するご相談が入ってきており、日々の業務でネットワークを利用し、個人情報や機密情報を取り扱う全ての企業にリスクがあると言えそうです」
そう話すのは、AIG損保 ファイナンシャルサービスセンターで10年以上にわたって「サイバー保険※」の保険金支払い担当を務めてきた内田聡だ。
「踏み台攻撃」のケースでは、大手企業のサプライヤーの1社が攻撃を受け、その影響で大手企業の工場で多数のラインの生産がストップする事態に陥ったという報道もあった。
「手口が巧妙化しており、とにかく厄介です」と、サイバー攻撃に精通するAIG損保 企業賠償保険部の由居敏生も指摘する。サイバー攻撃の脅威から企業を守る「サイバー保険」を開発した担当者である。
「サイバー攻撃は目に見えない。不審なアクセスやログに気づいたときには、すでに深刻な被害に遭っているというケースも珍しくありません。しかも、国境を越えて行われることも多く、警察などの公的機関も対応が難しいのです」(由居)
損害が巨額になるケースも珍しくない。過去に顧客のクレジットカード情報を盗まれた企業が、状況把握に要した調査費用、コールセンターの設置費用、クレジットカードの不正利用によるカード会社への賠償金やクレジットカードの再作成費用の支払いなどによって億単位の損害を被ったこともある。
昨今はリモートワークが浸透して業務データをオンラインで取り扱うことが増え、企業が抱えるリスクは増加する一方だ。長年、最前線でサイバー攻撃による被害に向き合ってきた内田と由居が、「サイバー保険」の果たす役割について語った。
サイバー攻撃への対応は“初動”が命
由居:日本でサイバー攻撃が増え始め“サイバーセキュリティ元年”とされるのは2011年頃のことです。当時、アメリカではすでに多数の被害事例が出ており、日本でも今後ますます増えると予想しました。そこで、ITセキュリティの専門家たちとともに開発したのが、サイバー攻撃を受けたときの調査費用など、初動対応に備える補償です。
ITの専門家たちも「絶対に日本を守る」という思いがとても強くて。私たちも「ハッカーよりも早く準備して、先回りして企業を守ろう」と燃えていました。近い未来、多くの日本企業がサイバー攻撃を受けるようになったとしても、「この保険があってよかった」と言ってもらいたい一心でしたね。
内田:まさにその声が、今、ぞくぞくと聞こえてきている状況です。もし、サイバー攻撃を受けたかもしれないと思ったら、一刻も早く調査ができる専門の機関に依頼し、実際に攻撃があったかどうか、実際に攻撃があった場合にはその影響範囲を調べる必要があります。この調査を「デジタル・フォレンジック調査」と言います。被害を拡大させないためにも“初動”のスピードが重要です。
由居:調査費用はパソコン1台につき約100万円、サーバ1台につき約200~300万円が相場ですが、「サイバー保険」であれば、そうした調査費用にも備えられます。警察やセキュリティ会社だけでなく、クレジットカード会社や取引先といった第三者の通報があれば、保険会社がすみやかに専門の調査機関を手配できるようにしました。とにかく“初動”を早めるべきだという現場の声に応えて、「サイバー攻撃への初動対応」の条件を柔軟に設定したんです。
内田:早期にデジタル・フォレンジック調査を行えることがとても重要な点ですよね。サイバー攻撃は目に見えず、被害の範囲もフタを開けてみないとわかりません。どうしていいかわからず、不安に思われているお客さまがほとんどですから、すみやかに専門機関と連携しデジタル・フォレンジック調査を開始することで、傷口を最小限に抑え安心してもらいたいのです。
「保険が使えますので、すぐに調べましょう!」とご提案できるのはうれしいこと。実際、お客さまにも安心していただけているポイントです。
国境を越えるサイバー攻撃では各国のAIGが連携
内田:「サイバー保険」で喜ばれたケースといえば、過去に、海外に子会社を持つ企業のお客さまを担当したことがありました。その海外子会社のパソコンに不審なログが見つかり、すぐにお客さまが手配した現地の専門家が調査をしたものの能力に限界があり実態がわからなかったということで、お客さまから私たちに連絡をくださいました。
急いで現地のAIGオフィスと連絡をとって、当社が選定した専門調査機関で状況を調べたところ、すでに機密情報が盗まれていることがわかりました。さらに、日本の本社も狙われている可能性が出てきたので、日本で同時並行の調査を行なったのです。
このケースのように、各国のAIGオフィスにはその地域ごとに実績のある調査機関や弁護士事務所とのネットワークがあるため、私たちは事故内容に応じてそうしたリソースも活用できます。この点もお客さまに非常に喜ばれています。
由居:さらに、強みという意味では、内田のように長年サイバー事故を数多く対応してきた担当者がいることも、私たちの「サイバー保険」の長所だと思うんです。
お客さまに事故の後に起きうることを説明したり、危機管理のアドバイスなどを交えたり、場合によっては裁判に備えて弁護士と連携したりしながら、我々のゴールである事故の解決と保険金のお支払いに向けて最後まで並走し、一緒に事態の収束を図ります。こうしたサポートも、お客さまに安心を感じていただくための大切なポイントだと思っています。
「サイバー保険」が未来のビジネスを後押しする
内田:サイバー空間の攻撃と防御はもはや”いたちごっこ”。セキュリティの構築は必須ですが、攻撃を未来永劫100%防ぎ切る手法はないと思った方が良さそうです。今後、世界はますますサイバーリスクに敏感になるでしょうし、「サイバー保険」に加入しているか否かで取引の可否を決めるケースも増えるかもしれませんね。それほどこのリスクに敏感な社会になってきているともいえると思います。
由居:そうですね。まさに、今後IT化やDX(デジタルトランスフォーメーション)の進化によって便利になっていく一方で、サイバー空間の死角も多く発生し、ハッカーが活動しやすい世界になるのは間違いありません。
ただ、サイバー空間の広がりは、経営者の皆さんにとっては大きなビジネスチャンス。「サイバー保険」に加入することで、リスクの軽減は私たちに任せていただき、ビジネスに専念できる環境づくりのお役に立てるとうれしいですね。
内田:そうですね。サイバー攻撃の被害に遭った結果、すぐに事業を回復させることができなくなってしまった企業もあります。そのため、まずは効果的な予防策を講じていただきたいですし、それでも残念ながら被害に遭ってしまうことはあるので、その時はAIGのサイバー保険により極力ダメージを軽減し、お客さまが一刻も早く回復できるようお手伝いをしていきたいと思います。
- 「サイバー保険」とは、サイバー攻撃の脅威に対応する保険で、AIG損保では「個人情報漏洩保険」に「サイバー攻撃対応費用特約」をセットした保険商品などがあります。
