企業にとって標的型攻撃メール、DDoS攻撃、ランサムウエアといったサイバー攻撃は、もはや交通事故のように業務を遂行している限り避けられないものになりつつある。 自動車事故に対する保険があるように、サイバー攻撃に対応する保険も存在する。今回は、サイバー攻撃保険について解説する。
交通事故のように避けられないサイバー攻撃
国内でも東京海上日動保険、三井住友海上火災保険、損保ジャパン日本興亜など大手保険会社が、情報漏えいやサイバー攻撃の被害を受けたとき、原因究明、事後対策、損害賠償などにかかる費用を補てんする保険商品を提供している。中小企業にとっては、さまざまなセキュリティ対策に加えて、新たに保険費用を負担するのは、簡単ではないかもしれない。
しかし、サイバー攻撃は注意して対策していても、被害を完全に防ぐことはできないものだ。そのため、セキュリティ対策で重要な点のひとつは、攻撃を受ける前提で、被害が発生したときにいかに損害を少なく、素早く回復させるかという対策にシフトしている。
従って、事故対応の予算確保などできない、どれくらいかかるのか知識がない、という中小企業ほど、保険契約によって事故対応に備えるべきとも言える。
今後は、関連商品がさらに増えると思われる。保険料や補償範囲について選択肢が増えれば、中小企業でも採用しやすくなるだろう。
サイバー攻撃保険の保険の対象は、個人情報、営業機密、知的財産(商標、特許、著作物)などが一般的だ。これらの企業資産にサイバー攻撃によるなんらかの損害が発生した場合、保険適用の条件となる。
原因特定のための調査、分析にかかる費用。事後の対策、外部的な対応で発生した費用。第三者への損害賠償にかかった費用などが保険によってカバーされる。
もちろん、実際にどこまでカバーされるのかは、保険会社や商品ごとに異なる。また保険料(掛け金)も、事業規模、保険対象の資産によって個別見積もりとなることが多い。事業売り上げ規模と特約プランで選べる保険なら、年額10万円以下の保険料で契約できるものもの存在する。
リスクに対する4つの対処方法
情報セキュリティマネジメント(ISMS)では、リスク評価によって明らかになったリスクについてどのように対処するかを、「低減」「保有」「回避」「移転」の4つに分けて考える。
低減は、予防措置などの対策によってそのリスクの発生を抑えること。ファイアウォール、ウイルス対策ソフトなど、一般的なセキュリティ対策は、リスクの低減措置であることが多い。