サイバー保険の必要性について、自社のセキュリティ教育が足りなければ意味無し

セキュリティ

「サイバー保険」というものをご存知でしょうか?サーバー保険とは、主に法人企業を対象にしている、いわゆる「サイバー攻撃」を受けたことによる損害を補償してくれる保険のことを言います。

サイバー攻撃と言っても多種多様のものがありますが、例えばメールに添付されたウイルスを誤って実行してしまい、ウイルス感染に気づかずに社内ネットワークを介して社内全体のPCが感染してしまうといったことも含まれます。

日本でいうと、サイバー攻撃は2014年頃から急激に増加しており、企業にとって対策が急務となっています。

本記事では、以下について解説します。

サイバー保険とは?

サイバー保険の定義は「サイバー攻撃による損害を受けた場合に補償を受けられる損害保険」です。

サイバー保険自体は総称で、例えば「サイバーセキュリティ保険」、「サイバーリスク保険」とも呼ばれることもあります。

もちろんいろんな特約が付けられますので契約内容にもよりますが、一般的にサイバー保険は外部からの不正アクセスなどにより発生した損害を包括的に補償しています。

先程の例でいうと、PCウイルス感染によって不正アクセスされた結果「個人情報の流出」した場合や、ウイルス感染によってPCのデータが暗号化され操作不能にされたうえで、解除するために脅迫社から金銭を脅し取られる「業務妨害」などのリスクへの備えとなります。

サイバー保険の保険料は契約する企業ごとによって違い、業種・売上高・保証限度額・社会への影響だけでなく、自社のセキュリティ対策の状況によっても金額が変わってくるようです。

サイバー保険の必要性について

そもそもサイバー保険をご存知ない方も多くいらっしゃるように、サイバー保険への加入は義務ではありません。

しかし、2016年1月から企業には従業員のマイナンバーの管理が義務付けられたことにより、サイバー保険の加入件数が激増しました。

というのも、マイナンバー管理が義務付けられたことにより、様々な情報が個人と紐付けられ企業にとっては個人情報の不正利用によるリスクがより高まったからです。

国としても対策をとるべく、サイバー犯罪への取り組みとして経済産業省から「サイバーセキュリティ経営ガイドライン」を発表しています。

当然ですが、今後さらにサイバー攻撃による不正利用の手口は多様化していくことになり、その都度企業として対策を取る必要があるわけですが、全てを防ぐことができないということで、このようなリスクを軽減するためにも、サイバー保険は個人情報等を扱う全ての企業にとって検討する方向になっています。

サイバー保険のメリット

サイバー保険に加入するメリットは、自社でまかないきれない様々な保証を万が一被害にあった際に受けられる点です。

一部の例でいうと、

  1. サイバー事故発生時の調査費用
  2. 被害企業に支払う損害賠償費用
  3. サイバー攻撃を受けた結果、事業停止期間中の利益損害

などが補償対象になります。

サイバー攻撃は日々進化しており、いくら対策に投資を費やしても、リスクがゼロになることはありません。

自社内で専門家を育てても日々新たな知識をキャッチアップしていく必要があるため、自社で対策を取りながら、サイバー保険に加入してリスクを軽減するという対策を取られています。

サイバー保険では解決できないこと

サイバー保険に入ったからといって、被害額が全てまかなえる可能性が100%ではありません。

また、サイバー保険に加入したからと言って、自社内のセキュリティをおろそかにしていると、損害額と補償額が釣り合わないばかりか、一銭も支払われないといった場合もあります。

実際に裁判であったのは、セキュリティ対策不備については故意過失によって生じた不法行為(使用者責任)だと認定されたケースで、最終的にはシステムの委託先企業に対してサーバの移転に必要な費用や、対策のために停止した金額等での損賠賠償の支払いが確定しました。

逆にいうと、予期せぬサイバー攻撃への備えとしてサイバー保険に加入しながら、自社内でもセキュリティ対策をおろそかにせず、ネットワークへの侵入やシステムの改ざんを検知する仕組みを導入するなどの、サイバー攻撃を未然に防ぐ対策が必要です。

サイバー攻撃を未然に防ぐ対策

セキュリティ対策が取られていればサイバー攻撃を受けたとしても不正侵入されることは滅多にありません。

ですので、システムとしてセキュリティ対策を取ることは必須なのですが、そのままでは片手落ちになります。

サイバー攻撃の事件のひとつである情報漏えいの場合、原因の8割は人為的要因と言われています。

いくら企業が強固なシステムを構築しても、内部の社員が原因で情報漏えいが発生してしまったらサイバー保険に加入していても、保険金は相当減額されるでしょう。

原因が内部の社員の場合、当該社員そのものに悪意がある場合はどうしようもありませんが、情報セキュリティに対するリテラシーが低く、よく考えればマルウェアとわかる添付ファイルを開いてしまうといったことは、どのような企業でも最低限従業員に教育すべき事項となっています。

サイバー攻撃対策3つの手段

まとめますと、まずサイバー攻撃を100%守る方法は残念ながらいまのところありませんので、この3つについて対策を取りましょう。

  • サイバー保険の加入
  • 自社セキュリティ対策
  • 社員へのセキュリティ教育

この記事ではサイバー保険について詳しく説明してきましたが、セキュリティ対策とセキュリティ教育についてもこのブログで掲載していきます。

当社では、セキュリティ教育の一丁目一番地としてIT規程の作成のお手伝いをしております。IT規程は自社のITに対する経典のようなもので、教育の全てはIT規程から始まります。

まだ整備されていないようでしたら、お気軽にお声がけください。

また、以下のメールマガジンではブログには書けない、生々しい事例などもお伝えしていく予定ですので、ぜひご登録を。

今なら自社で利用できる情報セキュリティ基本方針のサンプルをプレゼント中です。

ITセキュリティメルマガを
無料購読する

関連記事

特集記事

コメント

この記事へのコメントはありません。

CAPTCHA


TOP