サイバー攻撃の種類
サイバーリスク、サイバー攻撃、サイバーアタックというとどんな認識をお持ちでしょうか?
情報処理推進機構の「情報セキュリティ10大脅威 2019」によれば、組織(企業など)における10大脅威は以下のようになっています。
個人部門では「メール等を使った脅迫・詐欺」、組織部門では「サプライチェーンの弱点を悪用した攻撃」が新たにランクインしています。
ちなみに、組織部門2位のビジネスメール詐欺による被害といえば、2017年にJALにて、「振込先口座が変わりました」というメールを受け取った担当者が、航空機リース料として3億数千万円を振り込んでしまったという事件がありました。いつもの相手先担当者のメールアドレスになりすましてメールが送られてきたということですから怖いですね。おそらく事前に何らかのハッキングがあって普段のメール内容などを盗み見られ巧妙に偽のメールを送り付けてきたのでしょう。
PCを盗み見られると情報を抜き取られるばかりか、関係者になりすまして通常の取引のように振り込め詐欺が完遂してしまうのですね。
あいおいニッセイ同和のWEBサイトでは「サイバーリスクの脅威と保険」という動画付きのコンテンツで分かりやすくサイバー攻撃について解説しています。
サイバー保険でカバーできること
各損保会社では数年前からサイバー保険を取り扱うようになってきましたが、元々は「個人情報漏えい保険」があり、その進化版がサイバーリスク保険というイメージで、賠償責任保険がベースになっています。
各社の商品名
・東京海上日動 「サイバーリスク保険」
・損保ジャパン日本興亜 「サイバー保険」
・三井住友海上 「サイバープロテクター」
・あいおいニッセイ同和 「サイバーセキュリティ保険」
・Chubb保険「サイバー保険」
・AIG損保 「サイバーエッジ」
個人情報漏えい保険は主に国内での情報漏えい事故に対して、負担すべき賠償金などをカバーする保険ですが、サイバー保険は全世界対応だったり、自社の逸失利益をカバーしたり、原因調査費用(フォレンジックス費用)をカバーしたりと、近年のサイバー攻撃による被害に対応して、より広範囲なカバーを提供しています。その分保険料も個人情報漏えい保険よりは高めになります。
10大脅威に関連づけていえば以下のような被害に対してサイバーリスク保険が機能します。
・標的型攻撃による情報漏えいによって余儀なくされた賠償金をカバー
・ランサムウェアによって操作不能になったPCの原因調査費用をカバー
・サービスの妨害攻撃によるサービスの停止で失われた利益をカバー
サイバーリスク保険は登場して5年程のまだ新しい保険商品です。新しい保険商品というのは保険会社はどれだけの保険金支払いになるか不透明なので、保険料をまずは高めに設定することが多いとされます。
保険金支払実績のデータが積みあがり、もう少し保険料を下げても採算が合うと判断すれば、他社対抗上、保険料が下がることも期待できますが、予想よりも保険金支払が多ければ保険料は高止まりするでしょう。
保険料は、業種と売上高、セキュリティ対策状況等をベースに算出されますが、各社独自の料率設定なので可能な限り比較見積もりをしてみるとよいと思います。
(注)記載のある各保険については一般的な内容の説明です。
