サイバー保険は
何を担保するのか
内部不正や事故にも対応 -- サイバー保険が担保するものとは
サイバー攻撃被害の範囲を特定できるか(前編)
サイバー保険は
何を担保するのか
大手コンサルティングファームの調査によれば、世
界のサイバー保険市場は約 25 億ドル(約 2500 億
円)であり、その 9 割は米国企業で占められている。
サイバー攻撃の脅威の認識が高まるにつれ、取り組み
が遅れていた業界や国での加入が増加し続けており、
2020 年までに少なくとも 75 億ドル(約 7500 億円)
まで成長が見込まれると予測している。
日本においては、2013 年に外資系損害保険会社が
サイバー保険の販売を開始したのが最初で、2015 年
には国内損害保険会社が一斉に販売を開始したことか
ら、2015 年はサイバー保険元年とも言われている。
IPA(独立行政法人情報処理推進機構)の「企業に
おけるサイバーリスク管理の実態調査 2015 報告書」
によると、日本における IT に関連する保険(情報漏え
い保険、IT 業務賠償保険、サイバー保険など)への加
入企業は全体で約 15%であり、大企業の割合が高い。
大企業には保険の認知度は徐々に上がってきているも
のの、中小企業においてはその認知度は極めて低い状
況である。このように日本のサイバー保険市場は小規
模であるが、現行は発展段階であり、今後の成長が見
込まれるマーケットである。
近年、情報セキュリティは企業のリスクマネジメン
トにおいて不可欠な経営テーマとなっている。株式公
開企業においてはセキュリティ対策についての情報公
開が義務付けられ、事前対策に要するセキュリティ投
資が求められている。
サイバーリスクに関して企業のリスクマネジメント
フローを考察すると、最初に「リスクの洗い出し」「リ
スクの分析・評価」を実施する。社内の情報資産を洗
い出し、定量的、定性的な方法でリスクレベルを決定し、
その分析結果を元にリスク処理の要否を判断していく。
そのリスク処理の方法としては「リスクコントロール」
と「リスクファイナンス」に区分される。
リスクコントロールでは、サイバー攻撃の脅威に対
する回避、予防、軽減を目的として、具体的にはセキュ
リティ機器やソフトウェアの導入、社員教育などの事
前対策を実施する。このコストはセキュリティ投資と
なり、ケースによっては莫大な金額となることから計
画的な投資設計が必要となる。
ただし、十分にセキュリティ対策を実施しても不正
アクセスや標的型メールなどの脅威を 100%防ぐこと
は困難であることから、予め被害発生時を想定した対
策も検討しておく必要がある。そこで重要となるのが
リスクファイナンスであり、「リスクの保有」と「リス
クの転嫁」がある。リスクの保有は発生する損害を自
己資金などで賄うことであり、リスクの転嫁は保険な
どの外部資本を活用することである。サイバー保険は
インシデント発生時に損害の補填や企業が負担するさ
まざまなコストに対応できる保険商品であり、「リスク
の転嫁」策として有効である。
サイバー保険の内容について、筆者の所属する三井
住友海上火災保険株式会社が 2015 年 9 月に発売し
内部不正や事故にも対応 -- サイバー保険が担保するものとは
サイバー保険は
何を担保するのか
停止、休止が発生した場合の利益損害で対象となるの
は、自社の喪失利益や収益が減少するのを防ぐために
必要となる費用である。
利益損害における支払限度額(補償金額)は最高
5000 万円まで設定することができる。「サイバーセ
キュリティ総合補償プラン」ではサイバー攻撃による
損害のほか、さまざまなセキュリティ事故に関わる損
害についても対象としている。賠償や費用については、
従業員などによる情報の持ち出しなどの不正行為によ
り発生する損害も対象としている。情報漏えい事故に
おける原因の約 7 割は従業員などによる内部不正であ
り、企業のセキュリティ対策上、最も注視すべき要因
となっている。
大企業におけるサイバー事故は新聞などでよく取り
上げられているが、中小企業における事故の公表は一
般的に少ない。ただし、中小企業においても次のよう
なサイバー関連の事故が実際に発生している。
顧客から情報機器の保守作業を請負った A 社がパス
ワードを設定することを失念し、顧客の通信回線が外
部から不正アクセスされて膨大な電話料金が発生した。
その結果として A 社は顧客から約 600 万円の損害賠
償請求を受けた。IT 事業を主業とする事業者にとっ
て、サイバーリスクは生命線となる事業内容そのもの
がターゲットとなることから、企業存続にかかわる最
も重大な脅威と位置付けられる。
また、ネットショッピングサイトを自社運営する B 社
は、外部から不正アクセスを受け顧客のクレジットカー
ド情報約 15 万件が漏えいした。B 社はコールセンター
設置費用などで約 3000 万円の損害防止費用が発生し
たほか、カード会社に対してカード番号差替や不正使用
被害の損害に対して約 5900 万円の賠償責任を負った。
た「サイバーセキュリティ総合補償プラン」を用いて
解説する。この保険は中小企業から大企業まで幅広い
企業規模のあらゆる業種を対象としている。サイバー
攻撃などによって発生した情報漏えいやそれに伴う他
人の業務の阻害などに対する損害賠償のほか、事故対
応に必要となる各種対策費用まで補償している。
また、ネットワークの停止、休止が発生した場合の
利益損害を補償するオプションもある。第三者に対す
る賠償損害で対象となるのは、サイバー攻撃により発
生した情報漏えいや取引先への業務妨害などによって
顧客や取引先などの第三者に発生する経済損失である。
情報漏えいによる賠償額は情報の種類や社会的影響度
にもよるが、1 件あたり平均 1 万~ 3 万円の水準となっ
ている。
漏えいした件数が多い場合には、集団訴訟となるケー
スもあり、高額な損害賠償金となる場合もある。賠償
における支払限度額(補償金額)は最高 10 億円まで
設定できる。事故対応に必要となる各種対策費用は、
損害賠償事故が発生した場合に加えて、損害賠償事故
が発生するおそれのある不正アクセスなどのインシデ
ント事故が発生した場合に生じる費用が対象となる。
その費用には、専門家へ相談する費用や事故対応の
ために必要となる人件費、また、事故原因を調査する
ための費用(フォレンジック費用)などインシデント
対応に必要な費用が含まれている。フォレンジック費
用については、例えば PC1 台あたり約 150 万円が相
場とも言われており、影響範囲が大きいほどその調査
費用も高額になる傾向がある。
各種対策費用の支払限度額(補償金額)は、個人情
報漏えい事故に関しては最高 5 億円まで、それ以外の
事故では最高 1 億円まで設定できる。ネットワークの
サイバー保険は
何を担保するのか
このケースで、仮に 1 人あたり 500 円の見舞金を
支払った場合には、さらに 7500 万円の費用が必要と
なり高額な損失となる。これらの事例からもサイバー
リスクにおいては、事業者の規模の大小にかかわらず、
発生する損害は高額になるケースがあることが分かる。
サイバー保険には補償機能に加えて各種サービスが
付帯されている。その一つにサイバーインシデント発
生時に被害範囲の確認や原因調査、事故対応方法の策
定について、経験豊富な専門事業者を紹介するサービ
スがある。保険会社は複数の専門事業者と提携してお
り、契約者の意向に応じて紹介することが可能である。
これにより事故原因や影響範囲の特定が可能となり、
迅速な事故解決につなげられる。サイバー保険の対象
となる場合には、専門事業者が実施する調査などの費
用は保険金として支払われることとなる。また、平時
の事前対策として活用できるのが標的型メール訓練
サービスである。
このサービスは、1 回あたり従業員 100 人を限度
に、標的型メールを模した訓練メールを送信して、メー
ル本文に記載されている URL のクリック状況を監視
するものだ。従業員の URL クリック状況をふまえて、
主にクリック割合や今後のアドバイスに関する簡易レ
ポートを提出する。サービスを活用した企業は、従業
員に対してセキュリティ意識を向上させることができ、
また、セキュリティ対策の参考とすることができる。
保険料については、業種、売上高、条件(支払限度額
など)などによって決められるが、保険料例は【表 2】
のとおりである。ソフトウェア開発、システム保守サー
ビスといった IT 関連事業者は比較的保険料は高く、卸
売業、不動産業などその他の業種は低い水準となってい
る。ただ、実際の保険料は企業のセキュリティ体制や過
去のインシデント発生状況などにより大きく異なる。
冒頭にも説明したとおり日本におけるサイバー保険
市場は、今後急速な拡大が予想される。今日、事業活
動での IT 活用は必須となっているが、一方で事業活動
を脅かす大きな脅威にもなり得る。中小企業において
は、大企業のサプライチェーンの一部になっている場
合も多く、踏み台として狙われるケースも増えてきて
いることから、大規模な損害へと拡大することも懸念
される。
このような事態を避けるためにも、セキュリティ投
資による事前対策(リスクコントロール)の上で、リ
スクファイナンスとして万一の事故のために保険に加
入しておくことが望ましい。損害保険会社は、中小企
業に対してサイバー保険販売時のニーズ喚起を通じて
サイバーリスクの脅威を伝えると共に、セキュリティ
対策の向上に貢献していくことが使命と考える。
【表 1】サイバーセキュリティ総合補償プラン(賠償・費用)の加入状況
【表 2】サイバーセキュリティ総合補償プラン(賠償・費用)の保険料例
※ 1 上記は概算保険料を示したものです。実際の保険料は、保険条件や告知
内容等で異なります。
※ 2 一部の費用(個人情報漏えい以外)は 1 億円限度となります。
サイバー保険は
何を担保するのか
日々巧妙化するサイバー攻撃を確実に防ぐことは困
難であり、規模や業種を問わず企業が直面する課題と
なっている。実際に標的型攻撃によって個人情報が漏
えいしてしまったなどの被害を受けた場合は、被害範
囲を特定し、逸早く影響を封じ込めるとともに、ステー
クホルダーに対して説明することが企業に求められる。
今回は、インシデントが発生した際に、被害範囲や
原因究明に効果的なデジタル・フォレンジックの解説
と、インシデントが発生することを前提とした事前対
策の重要性について解説する。
なお、本稿は私見であり、所属組織などの公式見解
ではない。
高度化するサイバー攻撃とセキュリ
ティ対策のギャップ
増加するサイバーセキュリティリスクと企業における
課題
企業を標的としたサイバー攻撃の増加に伴い、規模
や業態に関係なくサイバー攻撃の対象となるリスクが
高まっている。そのような背景から、サイバーセキュ
リティリスクを事業継続の課題と位置付け、対応強化
に積極的に取り組んでいる企業も多い。
一方で、各社が直面しているセキュリティ上の課題
も浮き彫りになってきている。一定水準のセキュリティ
対策済みの企業でさえ、サイバーセキュリティインシ
デントの被害にあうことが珍しくない。さらに、サイ
バー攻撃の巧妙化から発見が遅れ、インシデントが発生
してから認識するまでの期間が長期化することもある。
サイバー攻撃によって個人情報が漏えいした場合、
原因や影響範囲を特定するための調査には、多くの時
間とコストが必要になる。具体的にどの情報が何件漏
えいしたのか詳細がわからないケースもあるが、それ
は事件発生時の「インシデント調査」を前提とした対
策ができていないことが一因として挙げられるだろう。
以降、インシデント調査の作業のひとつである、デ
ジタル・フォレンジックについて説明し、調査におい
て有効と考えられる対策について解説する。
デジタル・フォレンジックを活用した調査
インシデント発生時には、被害の状況を迅速かつ正
確に把握するための調査、被害軽減措置、対外的な報
告や再発防止策の立案という流れで対応を進めていく。
特に対外報告や再発防止策を行うためには、インシデ
ントの原因、影響範囲を正確に把握することが不可欠
である。
外部通報により情報漏えいが発覚した場合、その情
報がいつ、どこから、どうやって、誰によって漏洩し
たのか、漏えいした情報の全容はどの程度か、特定す
ることは多くの場合において簡単ではない。インシデ
ントの全容解明には、詳細な調査が必要になる。その
際に活用される技術が、PC、サーバ、ネットワーク機
器等を解析する、デジタル・フォレンジックである。
サイバー攻撃被害の範囲を特定できるか -- 証拠保全の重要性(前編)
サイバー保険は
何を担保するのか
ある場合の証拠保全は、証拠データの同一性を確保し、
一貫した保管の継続性が求められるため、特に注意を
要する。
保全作業は、現状を変化させないように、対象物
からデータを取得することが原則である。そのため、
HDD などの複製を取得する場合には、取得元に書き
込みが発生しないように作業を行わなければならず、
専用の機材を使用することが一般的である。
また、端末のメモリ上にセキュリティ侵害の手掛か
りとなる情報が残っていることがある。攻撃の巧妙化
からディスク上に痕跡が残らないケースもあり、メモ
リフォレンジックの重要性は増してきている。もし被
害端末の電源がオンのまま確保できた場合には、メモ
リのデータを取得することも検討すべきである。
デジタル・フォレンジックによる調査と証拠保全の重
要性
PC やサーバといったコンピュータに保存されてい
る電子データを分析し、発生した事象を明らかにする
作業が、デジタル・フォレンジック調査である。デジ
タル・フォレンジック調査の大まかな流れは下図の通
りである。
調査に先立ち、被害端末のハードディスク(HDD)
の複製やメモリデータの取得といった、「証拠保全」を
実施することになる。作業の起点となる証拠保全が、
その後の分析調査の成否に大きく影響を与えることに
なる。適切な手順に従わずに保全作業に着手すること
により、取得できる情報が減るおそれがあるためであ
る。サイバー攻撃に限らないが、訴訟に備える必要が
デジタル・フォレンジックのプロセス
サイバー保険は
何を担保するのか
調査結果の活用と改善
フォレンジック調査で得た結果をもとに、被害の封
じ込め、ステークホルダへ報告する。
サイバー攻撃被害の根本原因の対策は、調査で判明
した原因を基に導き出すことができるが、部分的な対
処に留まってしまうことが多い。セキュリティ侵害の
根本原因を分析に活用し、組織的なセキュリティ対策
の強化に役立てていくことが重要である。
一度企業で発生したセキュリティインシデントは、
類似の事象が再発する可能性を秘めている。そのため、
調査で得られた教訓を生かした、パッチワーク的な対
応に留まらない根治策の検討が、インシデントを経験
した企業に求められるだろう。
ここまでインシデント発生時に行う調査について説
明してきた。サイバー攻撃に対し、どのような対策を
とれば良いのかやサイバー保険の効能について後編で
解説する。
証拠保全作業は、特定⾮営利活動法人のデジタル・
フォレンジック研究会の「証拠保全ガイドライン」など
を参考に、組織において確立された手順に従って保全作
業を行い、痕跡の消失や変更が最小限になるようにしな
ければならない。また、外部専門家へ依頼する場合には、
環境を保全するように周知徹底し、闇雲に端末を操作
してしまわないようにすることが重要である。
原因究明のための調査
証拠保全に続き、攻撃の痕跡を探すためにデータを
分析する。分析作業では、端末に残っている複数の証
跡を相互に関連付け、サイバー攻撃の痕跡を調査する。
例えば、被害端末を調査することで、マルウェアなど
の不正プログラム、悪意のあるサイトや攻撃指令サー
バへの接続の痕跡、外部送信されたファイルなどを特
定できる場合がある。
分析作業には、オペレーティングシステムやファイル
システムの理解、サイバー攻撃手法に関する詳細な知識
のような、専門的なスキルが要求される。加えて、分析
作業は被害端末単体の調査にとどまらず、ネットワーク
機器やサーバのログといった、複合的な分析を行うケー
スもあり、幅広い知識や経験が必要になることもある。
サイバー保険は
何を担保するのか
前編ではインシデント発生時に行う調査について説
明してきた。サイバー攻撃に対し、どのような対策を
とれば良いのかやサイバー保険の効能について後編で
解説する。
インシデント調査に備えた事前対策
昨今の企業に対するサイバー攻撃の事例からもわか
るとおり、情報漏えいの端緒となる、攻撃者の組織内
への侵入に対し、ウイルス対策製品や不正侵入検知装
置のような従来型の対策ではタイムリーに検知するこ
とができないケースがある。そのため、昨今のトレン
ドでは予防的な対策に加えて、サイバー攻撃を早期に
検知するための発見的な対策の重要性が叫ばれている。
そして同じ理由で、全ての攻撃を発見することが難し
いことから、予め組織内部への侵害が発生することを
想定した、「初動対応や調査のための事前準備」が被害
軽減の重要なポイントといえるだろう。
もしサイバー攻撃を早期に検知できた場合でも、被
害が疑われる全端末を調査することは実際には難しい
ため、迅速に影響範囲を絞り込むための仕組みの導入
や設計など、事前対策が重要である。なぜなら、ストレー
ジやメモリの大容量化やネットワーク帯域の増加に伴
い、調査対象となるハードディスクやメモリイメージ、
ログの取得、分析に多くの時間を要するためである。
迅速さが求められるセキュリティインシデント対応
において、調査に時間がかかってしまうことは、大き
な阻害要因となる。効率的に調査を実施するためには
インシデント発生後から対処を始めるのではなく、調
査することを見越して予め準備しておくことが不可欠
である。以下では、事前対策において重要と考えられ
るポイントを 3 点例示する。
情報資産の把握とリスク分析
まず、情報漏洩えい時に影響を判定する第一歩とし
て、「具体的に何の情報が、どこから漏れたのか」を特
定することが重要である。組織として保護すべき情報
資産はどこに保存されているのかを、予め正確に把握
しておくことがポイントである。個人情報管理台帳等
により、情報の保管場所は管理されていることは一般
的であるが、詳細な保持情報までは一元的に管理され
ていないことがある。個人情報が漏えいした場合、保
存されている属性情報やデータの範囲によって、具体
的にどのシステムから漏洩したのかを特定できる場合
があるため、正確な情報資産管理が有効な対策として
挙げられる。
また、情報資産へのアクセス経路やセキュリティ対
策機器が特定できれば、インシデント調査の対象を効
率的に絞り込むことが可能である。そのため、保護す
べき資産がどこから、どのようにアクセスされ、どの
ような対策が行われているのかを把握し、文書化され
ていることが望ましい。
インシデント対応体制の確立
続いて、セキュリティインシデントの特定、調査、
封じ込めといった有事の対応体制を確立しておくこと
が重要である。
サイバー攻撃被害の範囲を特定できるか -- 証拠保全の重要性(後編)
サイバー保険は
何を担保するのか
ルやプロキシのようなネットワーク機器のログ、被害に
あった PC やサーバのログを調査することになる。
しかしながら、機器の設定によっては、調査に必要
な情報を得られない、ログが保存されていない、上書
きされてしまっている、といった事実特定が難しくな
る場合も多い。組織の内から外に対するデータ送信の
ログを取得するように設定する、記録されたログを別
ホストに転送して集中的に管理するなど、調査を見据
えた対策を講じておくことが重要である。
また、持ち出された情報資産を特定するために、サー
バの認証ログやアクセスログを取得、保管することも
有効である。特に重要な情報資産が格納されているサー
バは、確実にログの取得、保管を実施することが望ま
しい。
あらゆる組織がサイバー攻撃の被害を受ける可能性
があることを念頭に、事前に対応力を高めるとともに、
仮にセキュリティ侵害が発生した場合においても迅速
に対応できるのか、再点検することが望ましい。
調査に要するコストとサイバー保険の
活用
デジタル・フォレンジック調査には専門のスキルが
求められる分野であるため、インシデント対応を自組
織で完結して実施できる体制を確保できるのは、一部
の大企業にとどまるのではないだろうか。先に述べた
ように事前に対策していたとしても、調査時には相応
のコストが発生することになる。まして、事前対策が
十分でない場合には調査範囲が拡大し、多額のコスト
が発生するおそれがある。
調査に要するコストへのリスク対応策として、「サイ
迅速かつ正確なインシデント対応を実現するために
は、事前に対応手順を整備し、有事に備えた連絡体制
の構築がポイントである。緊急時対応を担う CSIRT
を整備している企業も増えてきているが、連絡体制や
対応手順の確立のためにも、定期的な予行演習と手順
の見直しを実施することで、効果的な対応が可能にな
る。証拠保全の重要性は先に述べたとおりであるが、
インシデント対応プロセス全体に対する、手順と体制
の確立が成否を分けるといえるだろう。
また、サイバー攻撃の詳細な調査に専門的な知識が
要求される場合、社外のセキュリティベンダーなどへ
依頼するケースもあるだろう。そのような場合に注意
しなければならないのは、調査依頼先の選定や契約締
結するのに時間を要し、初動対応が遅れてしまうとい
う点である。インシデントが起こってから外部専門家
を探していては、対応が後手に回ってしまうおそれが
ある。
どのようなケースで外部専門家へ依頼することにな
るのか、スムーズに外部専門家と連携が取れる体制が
構築されているか、予め検討しておくことが望ましい。
事後調査を目的とした網羅的なログの記録、保管
端末やネットワーク機器のログは、不正アクセスを
時系列で分析することに役立てることができるため、
調査の前提となるデータである。ログが記録、保管さ
れていなければ事後の調査が難しくなってしまう。調
査に必要となるログの記録、保管は想定リスクに基づ
いた基準を設け、組織全体で網羅的に記録されている
ことがポイントである。
サイバー攻撃を受け、組織外に情報を持ち出されたお
それがある場合、インターネット境界のファイアウォー
サイバー保険は
何を担保するのか
に、セキュリティ対策を推進していくとともに、有事
のリスク移転策としてサイバー保険の活用が選択肢と
なるだろう。
今回は、サイバー攻撃におけるデジタル・フォレン
ジック調査と対策について述べてきた。情報漏洩を伴
うサイバー攻撃が、組織に対して多大なインパクトを
与えることは、誰もが認識しているだろう。サイバー
保険が普及することで、企業が採り得るリスク対応策
も幅が広がり、サイバーリスクへの対応強化を促す契
機となることが期待される。
バー保険の活用」が選択肢として挙げられる。サイバー
保険に加入することで、フォレンジック調査などで発生
した費用が補償される場合があるため、サイバーインシ
デントが発生時の調査に寄与することが期待される。
ただし、サイバー保険へ加入するからといって、予
防的対策や事前対策をしなくても良いということには
ならない。実際に情報漏えい事故が起きてしまうと、
企業ブランドの毀損や収益の減少といった、数多くの
影響を与えることになるだろう。サイバーセキュリティ
インシデントが発生する可能性や影響を低減するため
