こんにちは!世間は夏休み本番ですね。QT NEWS担当の山﨑です。
夏休みはいつもは会えない親せきや友人たちと会えることが嬉しいですね。
平成最後の夏なんて言われていますが、みなさまが とにかく猛暑に負けずに
健やかに そして素敵な時間を過ごせますように。
====================================================================
さて、前回は「サイバー攻撃に直面した社員がとるべき行動」についてお送りしました。
コンピューターに関する科学捜査「フォレンジック」を専門に行うスペシャリスト・杉山さんに
「サイバー攻撃」を受けてしまった場合の心構えや対処法について教えていただきました。
事例では、サイバー攻撃にあった担当者の初動によって、被害が拡大したというお話がありましたね。
もう一度読みたい方は≪アーカイブ≫からお読みいただけます。
第4回目はスペシャリストが解説「『あえて中小企業を狙う』サイバー攻撃から身を守る方法」について
お送りします。
サイバーリスクに備えて企業の被害を包括的に補償する「サイバーリスク保険」を開発した
東京海上日動火災保険の教学さんに、お話を伺いました。サイバー犯罪の被害にあった場合の備えや
セキュリティ先進国・米国での取り組みなどについても教えていただきました。
それでは、 お付き合いください。
====================================================================
<今回の特集>
1 回避は“不可能”すぐそばにあるサイバー危機
2 ウイルス感染、情報漏えい…そのとき何が必要か
3 サイバー攻撃者が「あえて子会社を狙う」ワケ
4 教学氏が厳しく指摘した「経営者の心構え」とは
1 回避は“不可能” すぐそばにあるサイバー危機
2017年5月に世界中を席巻したコンピューターウイルス「WannaCry」は記憶に新しいだろう。
感染したパソコンのファイルを暗号化して「元に戻すためには金を払え」と要求する
ランサムウェアの一種で、数日のうちに150か国、30万件以上に被害をもたらしたと推測されている。
サイバー犯罪は今や、どんな企業にとっても避けられない危機といえる。情報セキュリティに携わる
専門家の間では「サイバー犯罪者に狙われたら防げない」という認識が一般化している。多くの企業では
感染したことすら気付かないうちに、情報が抜き取られたりネットワークを乗っ取られたりするという。
そこで登場したのが、サイバーリスクに備え企業の被害を包括的に補償する「サイバーリスク保険」だ。
保険を開発した東京海上日動火災保険の教学大介・商品開発担当課長に、サイバーリスク保険が誕生した
背景や保険の有用性を聞いた。
2 ウイルス感染、情報漏えい…そのとき何が必要か
教学氏によると「サイバーリスク保険」とは「サイバー攻撃による被害拡大防止の観点で、
攻撃のおそれの段階から企業の初動対応をサポートするもの」だという。
従来から存在する従業員のミスや悪意による情報漏えいが発生した場合には「個人情報漏えい保険」で
一定の補償が可能であったが、サイバーリスク保険はサイバー攻撃ならではの特徴を盛り込んで、
保険の適用範囲を拡大。サイバー攻撃はその原因が初期段階では特定しにくいという特徴があり、
「パソコンの動作がおかしい」といった“不正アクセスのおそれ”の時点から多額の調査費用などが
発生するが、本保険ではこれらを保険金給付の対象とした。
企業は早期の調査・発見が可能になり、初動が重要なサイバー攻撃対応の強い味方となる。
サイバー攻撃に巻き込まれたと認定された場合、主に次のような補償が受けられる。
・情報の漏えいなどで賠償責任が発生した際の損害賠償金
・社内の各種対策費用(サイバー攻撃原因調査費用、記者会見費用、コールセンター設置費用など)
・ネットワークの中断などによる利益損害、営業継続費用
教学氏によると、フォレンジック費用と呼ばれるサイバー攻撃の捜査費用はパソコン1台につき
約100万~150万円かかるとされる。
原因や被害範囲の特定のためには、ネットワークでつながる広範囲のパソコンに調査が及ぶ
可能性もあることから、フォレンジック費用だけでも相当な額に上るのは想像に難くないだろう。
3 サイバー攻撃者が「あえて中小企業を狙う」ワケ
現在、サイバーリスク保険の世界市場は約2000億~3000億規模といわれている。
しかしそのほとんどがセキュリティ先進国・米国での数字だ。
米国では州ごとに個人情報保護に関する厳格な法律が存在するため、
企業の意識が高いことが背景にある。
またEUでは2018年5月、個人情報の持ち出しに規制を設け、違反者には高額の罰金を課す
新法が整備された。これらの影響により今後、日本企業のセキュリティ意識が高まれば
サイバーリスク保険の加入率も増加するだろうと、教学氏は見ている。
一方、日本国内のサイバーリスク保険市場は約150億円程度と推測され、
保険加入率は国内企業全体の1%にも満たないのが現状である。
米国と比べると日本企業の動きはまだまだ低調だ。
とはいえ、日本ものんびりできる状況ではない。近年のサイバー犯罪では、犯罪者は
強度なセキュリティを敷く大企業を直接狙うのではなく、セキュリティ対策が甘い子会社や
取引先のネットワークにまず侵入し、踏み台にして大企業のネットワークに入り込む。
教学氏は「今後は、サイバー被害にあった企業が、踏み台になった企業のセキュリティ上の
責任を問うこともでてくるでしょう」と警鐘を鳴らす。
さらに、個人情報漏えいの賠償の考え方にも新たな動きが生まれているという。
国内では従来から個人情報漏えいについて、被害者1名あたりのお詫び金として
約500円程度を支払う対応が通例となってきた。
しかし、近年発生した教育関連企業による顧客情報漏えい事案では、原告の1人が
精神的被害があったとして10万円の損害賠償を求めて民事提訴した。
「地裁、高裁は原告の訴えを退けましたが、最高裁はプライバシー侵害を認めた上で
高裁に審理を差し戻しました。
『日本においても個人情報の価値が再度見直される契機となる可能性がある』と教学氏は分析する。
4 教学氏が厳しく指摘した「経営者の心構え」とは
巧妙なサイバー攻撃とサイバー犯罪がもたらす甚大な損害は、ネット社会において避けられず、リスクは
高まり続けている現状をお伝えした。
しかし、企業のシステム担当者にとっては、サイバーリスク保険への加入を
経営層に進言することにためらいがあるかもしれない。
現状を把握していない経営層であれば、「保険をかけるということは、あなたは自分の仕事(情報保護)に
自信がないのか」とみなされる恐れがあるからだ。
教学氏は「このような考えは改めるべき」と断じる。
「サイバーリスクは日々深刻化しています。セキュリティ対策は信頼を保つための投資だという意識を
経営者が持ち、社内で共有するべきです」と指摘する。
企業が安心してIT を利活用するためには、サイバー攻撃が降りかかることを前提にした
セキュリティマインドに切り替え、早めに対策を整えておくことが最重要といえる。
<あとがき>
教学さんによると、セキュリティ対策を整えている大企業ではなく、対策が遅れがちな中小企業を
狙って侵入し、大企業のネットワークに入り込むそうです……。攻撃者はあの手この手で攻撃を
仕掛けようとしてくるわけですね。踏み台にされる中小企業はセキュリティ対策をしっかり備えて
おく必要がありそうです。
<サービスご紹介>
【モバイルワーク】にはコレ!
・建築現場などの期間限定オフィスから本社に安全にアクセスしたい
・短期間で通信環境を整えたい
・セキュリティ対策を万全にしたい
セキュアモバイルは、イベントや催事、建築現場などの期間限定のオフィスにも最適。
安全な通信環境を構築します。インターネットを経由しないSIMカードを使うので、
不正アクセスも防ぎます。
【在宅勤務】 【モバイルワーク】にはコレ!
・外出先でも社内と同じ環境で作業したい
・機密情報を紙で持ち歩くリスクを回避したい
・自宅からも安全に社内データにアクセスしたい
・セキュリティ対策を万全にしたい
仮想デスクトップは、訪問先や移動中も社内デスクトップと同じ環境を実現します。
閉域ネットワーク上のサーバーに普段のデスクトップを設定しておけば、外出時の
ノートPCが「いつものデスクトップ」に。端末にデータも残らず、情報漏えい対策も
万全です。
【社内のセキュリティ強化】にはコレ!
・システム担当者のリソース不足
・セキュリティについての専門知識がない
・セキュリティ機器の購入や運用のノウハウがない
・セキュリティ対策を万全にしたい
マネージドセキュリティは、「24時間365日、専門家の監視」で
不正アクセスから防御。セキュリティ機器の購入、設置、運用管理など
すべて不要です。システム担当者は本来の業務に集中でき、生産性UPに貢献◎
システム担当者の負担軽減とセキュリティ対策の両方を実現します。
▼QT PRO 標的型メール訓練サービス
【社内のセキュリティ強化】にはコレ!
・セキュリティ意識が低い従業員を教育したい
・攻撃に遭いやすい部署や役職など、弱点を洗い出したい
・サイバー攻撃を受けた場合の対処法がわからない
・最新のサイバー攻撃手法やインシデント事例を知りたい
標的型メール訓練サービスは、重要な情報の搾取目的で送信される攻撃メールに
対応できるように従業員を訓練するサービス。取引先の依頼文書や業務連絡を装って
送信されまる攻撃メールに対して、不審なメールを見分けるポイントや対策をレクチャー。
実施後は、部署や役職ごとに詳細な報告会も実施して、セキュリティ意識の向上を図ります。
