2025年9⽉5⽇ 公開
RIMS⽇本⽀部 × AIG損保
本連載シリーズは、リスクマネジメントのグローバルな⾮営利組織、RIMSの⽇本⽀部とAIG損保の共同編集により、これから海外進出を⽬指す、またはすでに海外進出している企業のリスクマネージャーのスキルセット向上を⽬指しています。⽇々の業務はもとよりビジネスの先を⾒据えた洞察・推察にお役⽴ていただければ幸いです。
紙での運⽤からデジタルに移⾏したデジタルファーストの世界では、システムダウンや機能停⽌に「遭遇するかどうか」ではなく、「いつ遭遇するか」を前提として備えることが重要です。今回はサイバー攻撃やシステム機能停⽌の影響を最⼩限に抑えるポイントを解説します。
Index
サイバーインシデントの影響を最⼩限にする3つのポイント
ポイント① サイバー保険の詳細を把握
ポイント② 積極的なリスクマネジメント
ポイント③ 明確な復旧戦略
2024年7⽉、⽶ クラウドストライク社のクラウド型セキュリティ製品で更新時に不具合が⽣じ、全世界で約850万台のコンピューターが機能停⽌する⼤規模なシステム障害が発⽣しました。こうした障害が発⽣すれば、即座に⾦銭的損失を引き起こすばかりか、障害の原因が社外にあったとしても顧客の信頼と市場での信⽤を損なう可能性があります。
インシデントの影響を抑えるには、①サイバー保険の詳細を把握、②積極的なリスクマネジメント、③明確な復旧戦略という3つのポイントを押さえることが重要です。
保険でカバーする経済的損失の評価は、部分的な業務運⽤の可⽤性や外部依存関係などにより、計算が複雑になる場合があります。
保険が機能停⽌期間のすべてをカバーしているのか、⼀部だけをカバーしているのか、また、さらなる中断を最⼩限に抑えるために発⽣した追加費⽤が含まれているのかなど、加⼊しているサイバー保険の詳細を把握し、必要な補償を備えておくことが重要です。
サイバー保険では、保険⾦を請求できるまでに数時間から数⽇の待機期間を設けているケースがあります。待機期間が⻑いほど経済的負担が⼤きくなるため、企業はそのギャップをカバーするための緊急時対応計画を作成しておく必要があります。
基幹システムの機能停⽌など、インシデントが発⽣した際は、保険会社への速やかな連絡と、社内のITチームと法務チームが連携して影響範囲を技術的・法的に評価することが重要です。
潜在的なリスクが本格的なインシデントに発展する前に対処するには、先⼿を打つための「先を⾒越した戦略」が重要です。
予測リスク評価ツールや、ファイアウォール、暗号化システム、監視システムなどのサイバーセキュリティ・インフラストラクチャーへの投資に加え、サイバーセキュリティに配慮した企業⽂化の醸成、従業員の訓練などは、⻑期的なサイバーレジリエンスの基盤となります。
システム機能の停⽌に対処しながら重要なビジネス機能を継続させるために、企業は事業継続計画(BCP:Business Continuity Plan)や災害復旧計画(DRP:Disaster Recovery Plan)を準備しておく必要があります。
どの業務をアクティブに維持でき、どの業務にすぐに対応する必要があるかを理解することは、インシデント発⽣からのすばやい事業回復に役⽴ちます。
業務が復旧したら、機能停⽌の原因と対処⽅法を徹底的に分析することが重要です。コミュニケーションが途絶したポイントや対応戦略の弱点を洗い出し、復旧戦略を改善します。
また復旧段階は、既存のサイバー保険契約を再評価して更新する機会にもなります。補償にギャップがあったかどうか、保険会社の対応がニーズを満たしていたかどうかなど、実際の経験に基づいて契約を⾒直す機会とするのが良いでしょう。
詳しくはRIMS⽇本⽀部の
『Risk Management』【Web特別版】2024年10⽉号をご覧ください。
出典
本記事は、リスクマネジメントのグローバルな⾮営利組織、RIMSが発⾏する機関誌「Risk Management」【Web特別版】2024年10⽉号の記事を、RIMS⽇本⽀部とAIG損保が翻訳・共同編集したものです。
無断での使⽤・複製は禁じます。
