企業・団体における情報セキュリティ対策やIT資産管理、サイバー攻撃に関する情報などITに関わるさまざまな情報を随時掲載しています。

Sky株式会社

被害額から考えるこれからのサイバー攻撃対策

著者:Sky株式会社

これからのサイバー攻撃対策

近年ではサイバー攻撃によるセキュリティインシデントが、毎日どこかの企業・組織で発生することが当たり前になり、その被害額は年々増大しています。このような背景から、サイバー保険の契約を検討されている企業・組織も少なくないのではないでしょうか。 そこで、あいおいニッセイ同和損害保険株式会社の神山 太朗 氏に、サイバー保険選定に関わるさまざまなポイントについてお話を伺いました。

神山 太朗

あいおいニッセイ同和損害保険株式会社
新種保険部 サイバー・特殊リスクグループ 担当次長

神山 太朗

あいおいニッセイ同和損保は、「CSV×DXを通じて、お客さま・地域・社会の未来を支えつづける」ことを目指しています。最先端・独自の技術やデジタル・データの活用、特色あるパートナーとの協業により、お客さま・地域・社会が真に求める新たな価値を提供していきます。また、国内外のあらゆる事業を通じて、お客さま・地域・社会とともに社会・地域課題の解決にグローバルに取り組みます。

保険の契約数にも影響を与えた
二重脅迫型ランサムウェア攻撃

サイバー保険とは

――まず、サイバー保険とはどういう保険なのか、簡単に教えていただけますか?

損害保険というのは、対象となる“事故”と対象となる“損害”の2つの要素から成り立っているので、この“事故”と“損害”の2つに分けてお伝えしたいと思います。

まず、サイバー保険において対象となる“事故”は、おおむね“サイバー攻撃”と“他人の情報漏洩”です。サイバー攻撃は、ランサムウェアのほか各種マルウェアへの感染、ECサイト等Webサイトの改ざんなど、さまざまなサイバー攻撃が対象となります。また、情報漏洩というのは、サイバー攻撃以外の事由、例えば、従業員による持ち出し、PCや鞄の盗難・紛失、誤送信・誤送付といった事象が対象です。

一方、対象となる“損害”は、事故対応費用の損害、賠償の損害、利益の損害の3つになります。まず、1つ目の事故対応費用の損害の対象は、事故対応を専門業者にアウトソーシングした場合のコストを補うものです。サイバー攻撃や情報漏洩が発生した場合には、事故原因や被害範囲の調査、詫び状の送付、コールセンターの設置、システムの復旧、再発防止策の策定・実施など、各種の対応が必要になります。2つ目の賠償の損害の対象は、個人情報の漏洩によってほかの企業が支出したコストについての損害賠償金を補償するものです。例えば、ほかの企業等から預かった個人情報を漏洩した場合、それらの企業等においても事故対応が発生するのが通例になっていますが、損害賠償請求として表れるこれらのコストを補償します。3つ目の利益の損害の対象は、喪失利益を補償するものです。サイバー攻撃等によってネットワークが停止した場合、業務が阻害されることで減少する売り上げを補償します。

ただし、サイバー保険はサイバー攻撃によって生じる損害のすべてを対象としているわけではありません。例えば、ランサムウェアにおける身代金、個人情報保護法上の罰金などは対象外ですから注意が必要です。

意外に昔からあったサイバー保険

――この10年くらいでよく目にするようになったサイバー保険ですが、実はもっと以前から国内でも取り扱いがあったのですか?

サイバー保険のことを最近できた新しい保険だと思われている方も多いのですが、実は歴史を紐解いていくと、国内での提供開始はインターネットが急速に拡大した1998年までさかのぼることができます。その当時発売されたのは、サイバー攻撃に備えるというより、一般企業のIT・ネットワークの利活用に伴って発生する損害賠償に備える保険です。名称も“サイバー保険”ではなく、“ネットワーク賠償責任保険”、“IT業務賠償責任保険”などといったものでした。

その後、転機が訪れたのは2005年4月の個人情報保護法全面施行です。2004年前後には複数の企業で大量の顧客情報の漏洩が発生したこともあり、情報漏洩の保険が損害保険各社から発売され、以降、契約数は飛躍的に増加しました。その当時の保険は、どちらかといえば現実世界での漏洩、内部不正や紛失、盗難といった事由に対する備えという印象を持たれている方が多いと思います。しかし、ECサイトへの不正アクセスを目的としたSQLインジェクション攻撃も発生していましたので、当時からサイバー攻撃による被害も補償されていました。

――その後、 日本で今のようなサイバー保険が登場するのはいつ頃ですか?

名称に“サイバー”とついた保険を日本の損害保険会社が売り出したのは、2015年からです。このときのきっかけは、法律の施行や事件ではなく、すでに欧米で普及していたサイバー保険を外資系の損害保険会社が2012年から日本で売り出したことでした。その後、当社を含む日本の損害保険会社から、次々と“サイバー”を名称にした保険が登場します。

当時は今とは違い、 サイバー攻撃による新たな被害が日常的に報じられる状況が当たり前ではありませんでした。報道で取り上げられていたのは、主に国の機関や重要インフラ、 防衛装備品を扱う“特別な組織や企業”を狙った標的型攻撃です。そのため、中小企業の方々にとって、サイバー攻撃は自分たちとは違う世界で起こっているものだと感じられてしまい、 危険性を訴えてもサイバー保険にはまったく興味を持っていただけませんでした。

――中小企業では難しくても、大手企業は契約されたのではないですか?

大手企業でも、当時の契約数はそれほど多くはなかったと思います。情報漏洩の保険という認識を持たれたままで、BtoB企業からは「当社は個人情報を持っていないから不要では」という反応が返ってくることも多くありました。

潮目が大きく変わってきたのは、やはりランサムウェアによる攻撃の増加です。ファイルを暗号化して被害者に身代金を要求するだけでなく、支払いを拒否すればデータの公開を行うと脅す二重脅迫型の攻撃が主流になったあたりから、サイバー保険の契約数も増えてきました。その後、2021~2022年以降からは中小企業での被害も深刻化し始めたことに伴い、一般の中小企業でもサイバー保険に関心が持たれるようになっています。

サポート詐欺への技術的対策は
従業員によるインストールの制限

人間の感情を利用するサポート詐欺

――今現在、ランサムウェア以外に企業・組織で注意すべきだと思われる攻撃はありますか?

中小企業の目線で気になっているのは、サポート詐欺の被害件数の増加です。 サポート詐欺と聞くと、被害に遭うのは法人ではなく個人だと思う方がいらっしゃるかもしれません。ところが今、法人での被害が増加しています。利用されているのは、強い危機感や焦燥感という人間の感情です。

画面にいきなり「Microsoft Windowsファイアウォールの警告!トロイの木馬型スパイウェアに感染したPC」などの文言がかなり大きな音声とともに表示されたら、自宅で 1人の状況ではなくても焦ってしまいますよね。すぐに情報システム部門に連絡するなどの対応が取れたり、近くに座っている人に相談できる人もいるかもしれません。しかし、多くの人は突然の出来事に、冷静さを失ってしまうのではないでしょうか。思わず「Windowsサポートに電話してください」の後に表示されている番号に電話してしまう人がいるのも仕方ないと思います。

突然PCに表示される偽のサポート画面の例

まずは詐欺の存在を従業員に知らせること

――実際に表示されている番号に電話すると、何が起こるのでしょうか?

私がセミナー等で講演する際、実際にサポート詐欺に使われる番号へ電話した際のやりとりをお聞かせすることがあります。電話をかけると、通例、リモートでサポートするから遠隔操作用のソフトウェアをインストールするよう、明らかにおかしな日本語で指示されることになります。もしそのとおりにインストールしてしまえば、残念ながら手遅れです。PCを乗っ取られ情報が窃取される可能性が出てきます。また、ネットバンキングを利用しているPCであれば、最悪の場合、不正送金の被害に遭う恐れがあります。セミナーの場で講演を聴いているときのような冷静さがあれば、すぐに電話の内容がおかしいことに気づけるでしょう。しかし、業務用のPCをマルウェアに感染させたと思いパニックになっている状況では、偽のサポート担当者に言われるがまま操作してしまう従業員が一定数出てくることは避けられません。

大事なのは、そのような攻撃の存在を事前に「知っている」ことです。

知っていれば被害を防げる可能性が格段に高まりますから、情報システム部門の皆さんは、ぜひ従業員の方々にサポート詐欺の手口の周知をお願いします。サポート詐欺に限らず、フィッシング詐欺、SNS型ロマンス詐欺、SNS型投資詐欺などの被害件数が増えているのは、そのようなサイバー攻撃、ネット空間上の脅威の存在を知らないことが大きな要因だと思います。

――サポート詐欺の被害に対して、サイバー保険が支払われるケースは増えていますか?

この2、3年で増えています。遠隔操作のソフトウェアをインストールしてしまった場合、それはPC内の個人情報の漏洩の可能性が出てきます。このPCの調査、いわゆるフォレンジック調査のコストについての保険金請求があります。

サポート詐欺への対策で、手口を周知する以外に有効なのは、許可していないアプリケーションをインストールできないよう制限することです。攻撃に利用される確率の高い遠隔操作フリーソフトウェアは検索すればいくつか出てきますので、それらをあらかじめ禁止したり、許可したアプリケーションしかインストールできないようにするなど、やり方はいくつかあると思います。SKYSEA Client Viewでもコントロールできると思いますから、早急に検討されるといいのではないでしょうか。

「ブラックリスト」「ホワイトリスト」どちらでもアプリケーションのインストールを制御できるSKYSEA Client View

ランサムウェアの場合1億円超えの被害も

――ランサムウェアとサポート詐欺では、インシデント対応にかかる金額はかなり違うのでしょうか?

そうですね。ランサムウェアはインシデント対応のほか、非常に高額な損失が発生するといえます。ランサムウェア被害は、サポート詐欺とは比較にならないくらい影響範囲が大きい事象です。グループ企業、取引先、顧客等も巻き込んだ各種対応が必要になります。特に、2024年は、ランサムウェア感染によって、委託元から預かった個人情報が漏洩した、またはその恐れのあるケースが目立った年といえるでしょう。2024年5月に発覚した、全国の自治体や金融機関から、通知書等の印刷業務や情報処理などを請け負っていた企業がランサムウェアの被害に遭った事例では、影響範囲の大きさに驚かれた方も多いのではないでしょうか。影響範囲が広がれば、各種事故対応の費用が高額になることは避けられません。さらに、この委託元から預かった個人情報漏洩のケースで特徴的といえるのは、インシデント対応が、委託元でも発生しているということです。先の事例の、ある自治体は専用のコールセンターを設置したり、状況を説明するDM(ダイレクトメール)を全住民に送るなどの対応に追われたため、委託先の企業に損害賠償請求すると報じられました。当面の事故対応のコストだけではなく、損害賠償による損失も考えられるということです。

――それだけの被害状況になれば、経営が立ち行かなくなってしまう可能性もありますね。

そうですね。サイバー保険の目線からいえば、2000年代に個人情報保護法の施行に合わせて登場したサイバー保険の場合、お支払いの限度額1千万円~数千万円で契約されるお客様がほとんどでした。しかし、ランサムウェアの登場で被害額が1億円を超える事例も増えているため、古い契約のままであれば見直しを図る時期に来ているように思います。

今よりも高額な保険金が受け取れるよう契約を見直すと、毎月支払う保険料は当然高くなりますから、個人で契約している生命保険については契約を見直したことがないという方もいらっしゃるのではないでしょうか。しかし、サイバー保険の場合、サイバー攻撃による被害額が、サイバー攻撃の高度化・複雑化であったり、2022年の改正個人情報保護法の施行などの種々の状況から、2000年代に比べて高額化していますから見直しが必要です。ランサムウェアに感染すれば事業の中断を余儀なくされるため、売り上げが減少することも考慮する必要があります。また、金額面では、事後対応の費用や賠償コストよりも、ダメージを受ける可能性も。サイバー保険を契約される際は、どのような損害が発生する可能性があり、それには、どれくらいの損失が出るのかをシミュレーションしておくことが重要になります。

特定非営利活動法人 日本ネットワークセキュリティ協会発行「インシデント損害額調査レポート 別紙「被害組織調査」」より

経営者に知ってもらうべきなのは
被害に遭うと復旧にお金がかかるということ

事業継続の味方としてサイバー保険の活用を

――プランによって違いはあると思いますが、サイバー保険の主な特徴を教えてください。

泥棒に入られたら110番。火事が起きたら119番通報することは多くの方がご存じです。しかし、サイバー攻撃を受けたらまずどこに連絡をしたらいいのか、相談先がわからない中小企業はまだまだ多いと思います。そういった企業からのご要望を受けて、近年のサイバー保険は、インシデント対応の支援を強化しています。サービス内容の多くがお客様のニーズから出来上がっています。

支援の一例としては、24時間365日のコールセンターによる相談サービスや、専門業者紹介サービスが挙げられます。例えば、高額なことで知られるフォレンジック調査は、金額に見合ったサービスを提供してくれる信頼できる業者に依頼したいと思われるはずです。費用に見合った調査レポートが提供されるかどうかは、通常であれば実際に被害に遭って依頼するまでわかりません。当社では、フォレンジックだけでも20社以上の信頼できる専門業者をご紹介できます。このようなサポートが受けられることも、サイバー保険への加入で得られる安心感ではないでしょうか。

また、保険会社にはお客様やベンダーからさまざまな情報が届きますので、多角的な視点でアドバイスすることが可能です。事業継続のための体制の一つとして、サイバー保険があると考えていただけたらと思います。

経営者の理解を得るため被害額中心の資料を活用

――日本とアメリカではサイバー保険の加入率がかなり違うようですね。

アメリカの保険ブローカーMarsh & McLennan社が、2016年から2020年に自社の顧客に対して行った調査結果よると、2016年に26%だったサイバー保険への加入率が、2020年には47%まで増えています。現在はさらに増えているのではないでしょうか。

一方、一般社団法人 日本損害保険協会が2023年に公表した国内1,500社への調査結果によると、サイバー保険に加入している日本企業は4.8%、10%にも届いていません。

この違いは、経営者のセキュリティに対する意識が挙げられると思います。サイバー攻撃対策は経営者のトップダウンによる決定がなければ動かせませんから、情報システム部門の皆さんやセキュリティベンダーの方々が経営者に必要性を説いて納得していただくことが重要になります。

――日本ネットワークセキュリティ協会(JNSA)から発行している「サイバー攻撃を受けるとお金がかかる~インシデント損害額調査レポートから考えるサイバー攻撃の被害額~」は、その際活用されるのにちょうどいい資料だと思いました。

経営者が気になる実際の被害金額、お金の話を中心に展開している資料ですから、必要性を説く際に役立つのではないでしょうか。資料を見れば、いかにお金がかかるかが簡単に把握できるかと思います。ランサムウェアのインシデント対応を想定するなら、中小の企業規模でもご契約金額として、費用損害の補償で3,000万円以上のサイバー保険に加入することが必要だと思います。極論をいえば、お金の出どころは預金や銀行からの融資でも何でも構わないわけです。しかし、頻度と損失額を鑑みた場合、一般的に自然災害などの備えとして合理的なのは保険だといわれますから、サイバー攻撃の場合も同様だと考えています。

また、このレポートや、資料等をみていると、倒産した企業や一部事業から撤退した企業があることも見て取れます。それくらい、ランサムウェアの被害に遭った場合のインシデント対応は大変だということです。サイバー保険に限ったことではありませんが、被害を受けた結果倒産してしまった企業の中には、保険に入っていれば会社や事業を継続できたかもしれないと思うケースもあります。

サイバー攻撃の金銭被害について詳しく紹介された資料

出典 : 日本ネットワークセキュリティ協会(JNSA)
『サイバー攻撃を受けるとお金がかかる~インシデント損害額調査レポートから考えるサイバー攻撃の被害額~』
https://www.jnsa.org/result/incidentdamage/202407.html

狙われる可能性を考慮し保険加入の公表はNG

――サイバー保険に加入していることを公表される企業もあるようですが、問題ないのでしょうか?

絶対に公表してはダメです。日本のサイバー保険はランサムウェアの身代金は支払対象外ですが、海外のサイバー保険では補償するケースもあり、攻撃者は、加入企業が身代金に備えていると考える可能性があるため、攻撃のターゲットになる確率が上がってしまいます。海外メディアによるランサムウェアの攻撃者グループに対するインタビューにおいても、複数のグループが、サイバー保険の加入有無は大きなポイントになっている旨を語っています。従って、自社のWebサイトにサイバー保険への加入を告知するようなことはすべきではありません。また、それ以外にも、一般の消費者に公表することでクレームの増加が懸念されます。実際に被害に遭ってしまい、その事実を公表した途端「保険に入っているならば金券を配れ」と過剰な要求をされてしまうかもしれません。

もちろん、取引先から加入の有無を聞かれた場合は別です。世界規模の大手ITベンダーなどは、取引を行う際にサイバー保険に加入しているかを確認してくることがあります。

――サイバー保険を検討されている方に注意してほしいことはありますか?

保険のことは保険のプロに頼っていただきたいです。SNS、生成AIなどで情報入手が容易な昨今、サイバー保険について国内と事情が異なる海外情報を引用するなど、誤解を生む情報も少なくないと感じることがあります。セキュリティ対策の技術的な相談はITベンダーに。というのは当然ですが、サイバー保険は保険業界の担当者にご相談いただければと思います。

セキュリティツールによる事前対策と、
万が一に備えるサイバー保険を両輪に

保険加入で受けられるインシデント支援

――最後に、読者の皆さんへメッセージをお願いします。

サイバー攻撃による昨今の被害額等からも、サイバー保険への加入が必要な時期に来ていることは間違いありません。自動車保険や火災保険の契約については総務部門で判断していることと思いますが、サイバー保険の場合は組織内のシステムに関わるリスクを最も把握している情報システム部門の方々の意見・判断も必要になってくるでしょう。

その際は、組織全体のリスクマネジメントとして非常に重要な判断が求められますから、ぜひ、私ども保険のプロにご相談ください。経営層の方に向けて、技術的な対策を怠った場合の金銭的な損失については私どもからお伝えできますし、万が一インシデントが起きてしまった場合には、経営者が取るべき対応についても専門家をご紹介することもできます。

サイバー保険に加入する大きなメリットの一つは、補償だけではなく、インシデント対応の支援が受けられることです。情報システム部門の皆さんには、私どもの存在を最大限活用して、組織全体のセキュリティレベルの向上に役立てていただきたいと考えています。

もちろん、初めから被害に遭わないに越したことはありません。そのための備えとして重要なのは、日ごろからセキュリティツールを用いて事前の対策を徹底しておくことです。そして、被害に遭ってしまった場合の備えとして、サイバー保険をご活用いただければ幸いです。

(「SKYSEA Client View NEWS vol.99」 2024年11月掲載 / 2024年9月取材)