IT & Information security Journal

  1. UNITIS
  2. セキュリティマネジメント
  3. サイバー保険によるインシデント対応上のメリット – インシデント対応スキームの構築と対応費用の予算化

サイバー保険の基本と最近の動向 第3回

サイバー保険によるインシデント対応上のメリット – インシデント対応スキームの構築と対応費用の予算化

近年、企業や個人がインターネットを活用する機会が増えるにつれ、サイバー攻撃やデータ漏えいなどのサイバーリスクも増加し、サイバーセキュリティの重要性が急速に高まっています。連載最終回となる本稿では、サイバーリスクに備えるための一般的なサイバーセキュリティ対策、サイバー被害時の推奨行動、そしてサイバー保険の重要性について詳しく説明します。

この記事のポイント


  • サイバー保険により、インシデントの発生時に、一連の対応と費用の補償を保険会社に行ってもらえるスキームを構築することが可能。また大企業では、グループ会社で同一のサイバー保険に加入し、共通の事故対応スキームを構築する事例もある
  • サイバー保険を利用すると、インシデント発生時の対応費用を毎年の保険料という形で予算化でき、情報漏えいなどの大きな損害にも備えることができる
  • 保険会社によっては、PマークやISMS認証といった情報セキュリティの各種認証を取得している企業に向けて、サイバー保険加入のための告知内容の簡素化や割引を提供しているケースがある

一般的に実施すべきサイバーセキュリティ対策

サイバーセキュリティ対策は、サーバーやネットワーク、クラウド、そして組織そのものなど、守る対象ごとに異なるアプローチが必要です。以下は各対象における一般的なサイバーセキュリティ対策の例です。

PC(パソコン)

  • 強力なパスワードの使用
    パソコンへのアクセスには強力なパスワードを使用します。内閣サイバーセキュリティセンター(NISC)では「英大文字小文字+数字+記号混じりで10桁以上」 1 のパスワードを推奨しています。
  • アンチウイルスソフトウェアの導入
    信頼性の高いアンチウイルスソフトやEDR(Endpoint Detection and Response)をパソコンに導入し、ウイルスやマルウェアから保護します。


サーバーとネットワーク

  • アクセス制御
    サーバーへのアクセスを必要最小限に制限し、強力な認証メカニズムを導入します。不要なサービスを無効化し、不正アクセスを防ぎます。
  • ファイアウォールと侵入検知システム
    ネットワークにファイアウォールと侵入検知システムを設置することで、外部からの攻撃をブロックし、不審な活動を検出します。
  • データの暗号化とバックアップ
    データの暗号化により、データが漏えいした場合でも情報の保護を確保し、機密性を維持します。さらに、定期的かつ信頼性の高いデータバックアップを実施することで、データの損失や災害からの迅速な復旧を保証します。


クラウドサービス

  • 信頼性のあるプロバイダーの選択
    クラウドプロバイダーがセキュリティ対策に注力していることを確認したうえで、信頼性の高いプロバイダーを選択します。
  • データの分類とアクセス制御
    クラウド上のデータを適切に分類し、アクセス権を制御します。必要なユーザーだけがデータにアクセスできるようにします。


組織と従業員

  • サイバーセキュリティポリシーの策定
    組織内でサイバーセキュリティポリシーを策定し、すべての従業員に遵守を徹底させます。テレワークの普及に伴い、オフィスとテレワークのそれぞれに適したポリシーを策定することが重要になります。
  • 教育とトレーニング
    組織内の人々に対してサイバーセキュリティに関する教育とトレーニングを提供し、セキュリティ意識を高めます。セキュリティベンダーが提供する標的型攻撃メール訓練サービスを定期的に実施し、従業員のリテラシー向上を図ることも有効な手段です。


テレワーク

  • セキュアな接続とVPN
    テレワーク環境ではセキュアな接続を使用し、VPN(仮想プライベートネットワーク)やZTNA(Zero Trust Network Access)を活用して安全な通信を確保します。

サイバー被害に遭った際にとるべき行動

サイバー被害を完全に防ぐことは困難です。NIST(米国立標準技術研究所)の「コンピュータセキュリティインシデント対応ガイド」2 では、サイバー被害の事前・事後において、以下の4フェーズにわけて対応するものと定義されています。

出典:米国立標準技術研究所、「コンピュータセキュリティインシデント対応ガイド 米国立標準技術研究所による勧告」(2008年3月)3-26
出典:米国立標準技術研究所、「コンピュータセキュリティインシデント対応ガイド 米国立標準技術研究所による勧告」(2008年3月)3-26

準備フェーズ
サイバー被害の発生に備えるためのフェーズです。サイバー被害に対応可能な計画の策定に加え、システムやネットワークを安全に保つことも含まれます。また、CSIRT(Computer Security Incident Response Team)などのサイバー被害対応チームを組織しておくことも重要です。


検査と分析フェーズ
アラートが発生し、サイバー被害の兆候や発生が確認されたら、攻撃の影響や誤報の可能性を調べるためにサイバー被害を調査します。サイバー被害が確定した場合、サイバー被害に関連する情報を記録しておきます。

次に、サイバー被害の深刻さに応じて監督官庁や警察への報告・相談、関係者への通知を行います。セキュリティ専門ベンダーに相談し、専門的なアドバイスや支援を受けることも早期解決に繋がります。


封じ込め、根絶、復旧フェーズ
準備フェーズで計画した、サイバー被害への対応手順に従って対処します。サイバー被害を封じ込めることによって、被害の拡大を防ぎながら、システム復旧や防御対策を実施する事が可能になります。


  • 封じ込め:サイバー被害の拡大を防ぎ、影響を最小限に抑えます。
  • 根絶:攻撃元の特定と排除、脆弱性の修正、システム強化や再発防止策を講じることが重要です。
  • 復旧:システムを元の状態に戻すための復旧作業を行います。データの復元、システムの修復、セキュリティ対策の強化などが含まれます。

このように段階的に対応を進めることによって、サイバー被害への対応を効果的に行うことができます。


サイバー被害後の対応フェーズ
サイバー被害への対応プロセスの検証と改善を実施します。サイバー被害が発生した場合、CSIRT等のサイバー被害対応チームや、関係者を集めて検証を行うことが重要です。


特に大規模な攻撃を受けた場合は、自組織だけでなく、セキュリティ専門ベンダーなどの有識者の意見を取り入れて改善策を考えることが効果的です。検証と改善のプロセスを繰り返すことで、組織は教訓を得られるとともに、セキュリティ人材のスキル向上・育成にも役立ちます。

サイバー保険を検討すべき企業

ここまで見てきたような、サイバー被害に対応するための体制を構築するうえでは、サイバー保険を活用することも有効です。

サイバー保険はインシデントへの各対応フェーズに必要な費用を補償することはもちろん、保険会社によっては、対応ベンダーの紹介や業務委託の仲介を行ってくれるケースがあります。そのため、サイバー被害に対応するための体制が自社で構築できていない場合でも、インシデントがあった際に保険会社に相談することで、検査・分析から事案収束、顧客対応、再発防止までを保険会社が提携ベンダーと実施し、発生する費用はサイバー保険から捻出するといった一連のスキームを構築することが可能です。本スキームに必要なコストは保険料のみであり、サイバーセキュリティにかけられる予算や人材が限られている中小企業などには特に有効です。

大企業でも、グループ会社で同一のサイバー保険に加入することで、共通の事故対応スキームを構築するような事例も増加しています。さらに、保険であれば開発や資産保有を伴わないことから、セキュリティ体制の予算等の見直しも容易です。

サイバーセキュリティ対策を実施したいがコストはできる限り抑えたいと考えている企業は、まずサイバー保険を利用してインシデント対応スキームを構築することからはじめてみるのも検討に値するでしょう。

サイバー保険の活用によるインシデント対応の予算化

サイバー保険に加入するもう1つのメリットとして、リスクの予算化と平準化があります。本来であればインシデント対応のための体制を構築するにあたり、一定の対応費用を予算化しておく必要がありますが、不測のインシデントへの対応予算を検討することは容易ではありません。また、仮に予算を策定していても、インシデントが発生しなかった場合には余剰金となり、重大インシデントが発生した場合には大きな不足が生じ得ます。

サイバー保険の利用により、インシデント発生時の対応費用を毎年の保険料という形で予算化することができ、情報漏えいなどの大きな損害にも備えることができます。インシデントが発生しなかった場合も保険料の負担は必要ですが、サイバー保険は前述のインシデント対応スキームの構築にもつながるため、一連のスキーム構築のための必要予算と捉えて検討してみてもよいでしょう。

サイバー保険の加入前に検討すべき事項

サイバー保険に加入する際には自社のセキュリティ状況を保険会社や保険代理店に告知する必要があります。近年は告知を簡略化・省略できるようにする傾向も見られますが、告知内容によって保険料が変わることがあるため、正確な告知を行い、適正な見積もりの提示を受けることが重要です。自社の体制を確認することで、インシデント発生時の対応フローや必要な備えの明確にもつながります。

また、企業によっては情報漏えい等によって想定される被害額は莫大なものになりますが、補償額を大きくすれば、当然保険料も増加します。サイバー保険の目的には、損失補てんだけではなく、被害拡大防止のためのスキーム構築も含まれますので、最悪のシナリオをカバーする大きな補償を用意するのではなく、まずは自社の初動対応等に最低限必要となる補償を準備するという視点で検討することも有益といえます。

各種セキュリティ認証によるサイバー保険料へのメリット

保険会社によっては、PマークやISMS認証といった情報セキュリティの各種認証を取得している企業に向けて、サイバー保険加入のための告知内容の簡素化や割引を提供しているケースがあります。認証の種類等によって提供される内容は異なりますが、大きな割引率となるケースもありますので、サイバー保険への加入を検討する際には自社の認証状況を確認してみることをおすすめします。

サイバー攻撃とは?手法や被害状況、ビジネスへの影響、ガイドラインは[連載]サイバー保険の基本と最近の動向 第1回
サイバー保険の基本 – 補償内容や加入率、事前対策・事後対応に役立つ仕組み[連載]サイバー保険の基本と最近の動向 第2回

サイバー保険の基本と最近の動向

バックナンバー(全3件)

もっと見る
和田 英大

和田 英大

株式会社ラック

株式会社ラック セキュリティ営業統括部 マーケティング部 副部長。ユーザー企業から2007年にラックへ転職、金融向け大規模仮想インフラ基盤構築プロジェクトなどに従事。2014年にセキュリティ診断部門に配属、Webアプリケーション診断グループリーダー、セキュリティ診断内製化支援グループマネジャーなどを歴任。営業部門において商材企画や主要ソリューションのマーケティング業務に従事。

西川 晃央

西川 晃央

損害保険ジャパン株式会社

損害保険ジャパン株式会社 営業開発部 第二課 課長代理

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP