無料見積サイバー保険の⼀括⾒積⽐較はこちらから
ここ数年、コロナウイルスが現実世界を騒がせていますが、時期を同じくして、デジタル世界では、Emotetというウイルスが猛威を振るい、話題となりました。
Emotetは世界中に広がり、コロナウイルスに勝るとも劣らないほどの甚大な被害をもたらしました。
しかし、どちらも世界的な被害をもたらしたというのに、その認知度や対策の手厚さには大きな差があります。
コロナウイルスは何度もワクチンを接種し、外出制限をするなど、一部の人から「過剰」と批判されるほど手厚い対策がなされたのに、Emotetに関しては、コロナほどの対策はなされておらず、無関心でいる方も多いようです。
このことから、Emotetウイルスに限らず、サイバーリスクの重大さや、そこに備えるサイバーセキュリティの重要性に気づいている方は、案外少ないという現実が垣間見えます。
そこで今回は、個人情報を扱う従業員が10名以上の企業を対象に実施した、サイバー保険に関するアンケート結果を分析、考察していきたいと思います。
対象:個人情報を扱う従業員が10名以上の会社の人
アンケート実施:2022年12月15日
会社概要に関しての質問
Q1. 従業員数は何人ですか
A.
10人〜50人未満 30%
50人~100人未満 20%
100人~500人未満 13%
500人~1000人未満 14%
1000人~5000人未満 11%
5000人以上 12%
Q2. 売上規模を教えてください
A.
1000万円未満 6%
1000万~5000万円未満 15%
5000万円~1億円未満 18%
1億円~3億円未満 20%
3億円~5億円未満 5%
5億円~10億円未満 7%
10億円~50億円未満 13%
50億円以上 16%
Q3. お勤めの業種は何ですか
A.
不動産/建設/設備系 10%
メーカー/製造業 21%
IT/通信/インターネット系 17%
輸送/交通/物流/倉庫 4%
小売/流通/商社系 14%
金融/保険系 3%
サービス/外食/レジャー系 9%
コンサルティング・専門サービス 7%
医療系 6%
その他 9%
Q4. 所属部門はどこですか
A.
経営企画 6%
経理・財務 14%
人事・総務 13%
マーケティング 5%
情報システム・セキュリティ 17%
営業 17%
生産管理 10%
製造・物流 6%
その他 12%
Q5. 役職は何ですか
A.
経営者・役員相当 4%
部長職相当 11%
課長職担当 13%
係長・主任職相当 18%
IT関連専門職相当 10%
特になし 43%
その他 1%
Q6. 貴社の経営課題について、優先度の高いものを選んで下さい(3つまで)
A.
生産性・収益性の向上 64%
人材確保・育成 50%
新規顧客の開拓 32%
サイバーリスクの対応 36%
技術力や開発力の強化 27%
顧客満足度の強化 41%
コストダウン 21%
その他 1%
その他を回答した方の内容は「新商品の開発」でした。
「サイバーリスクの対応」と答えた方は全体の36%でした。
「サイバーリスクの対応」は、他の項目とは違い、情シス部門を中心に、全部門に関係してくる項目です。そのため、「サイバーリスクへの対応」を選択する方の割合は、他項目より多くなってもよさそうなものです。それにも関わらず、全体の36%しか選択されていないということは、サイバーセキュリティの重大さへの理解が浸透していない、といえるのかもしれません。
サイバーリスクに関しての質問
Q7. 貴社のサイバーセキュリティ担当者は何人ですか
A.
0人 7%
1人〜5人未満 59%
5人〜10人未満 16%
10人以上 16%
その他(外部委託など) 2%
従業員数に対するセキュリティ担当者数の割合は下記の通りです。
従業員数が増えるとセキュリティ担当者数が増える結果になりました。
また、10人~100人規模の企業でセキュリティ担当者が0人という企業もあります。
これは、企業がサイバーセキュリティの重要性を感じていないからなのか、それとも、重要性を感じてはいるが、人手不足などもあって十分な体制が敷けていないのか、どちらかの結果なのでしょう。
Q8. サイバーリスクは脅威だと感じていますか
A.
大きな脅威だと感じている 40%
脅威だと感じている 42%
やや脅威だと感じている 13%
あまり脅威ではない 4%
脅威ではない 1%
アンケートの結果、サイバーリスクを多少なりとも脅威だと感じている企業は実に95%にものぼり、大きな脅威だと感じている企業だけでも40%にのぼりました。
このことから、各企業とも、サイバーリスクを脅威だと認識してはいるが、十分な体制を敷けていないのだということが推測されます。
では、実際のところ、各企業のサイバーセキュリティはどうなっているのでしょうか。
次の設問で確かめてみます。
Q9. 貴社では、現在サイバーリスクへの対策を行っていますか
A.
対策をしている 65%
対策への検討をしている 34%
対策をする予定はない 1%
アンケートの結果、サイバーリスクへの対策を行っている企業は65%にとどまりました。サイバーリスクを脅威だと感じている企業は95%ほどだったので、少なくとも30%の企業は、現段階で十分なサイバーセキュリティ対策ができていない、ということになります。
ところで、「サイバーリスクへの対策」とは、具体的にどのような対策がなされているのでしょうか。
Q10. 「Q9で1.2を回答した方」はどのような対策を行っていますか、または対策予定ですか(複数選択可)
A.
ウイルス対策ソフトの導入 65%
アクセス権限・ログの管理および制御 50%
社員教育(研修・訓練の実施) 39%
外部専門家からのアドバイス 19%
セキュリティ ポリシーや事故対応マニュアルの策定 28%
専門部署の設置 7%
その他 13%
ウイルス対策ソフトの導入、ログ管理など、ごく一般的な対策が上位を占めていました。
さて、昨今はコロナ禍の影響でリモートワークやテレビ会議が普及してきています。
そうなると、オンラインで取り扱う情報量が増え、コミュニケーションで使用する回線の数も一気に増えるため、セキュリティ対策の重要性も高まります。
ここから先の設問は、そうした観点から分析します。
Q11. 貴社はテレワークやWeb会議を導入していますか
A.
Yes 81%
No 19%
アンケート結果によると、8割強の企業がテレワークやweb会議を導入済み。それに伴うセキュリティリスクを孕んでいる状態だということがわかりました。
Q12. 「Q11でYesと回答した方」はテレワークやWeb会議の導入によって懸念している問題は何ですか(複数選択可)
A.
勤務管理 33%
プロジェクトやタスクの管理 25%
コミュニケーション不足 54%
情報漏洩等のサイバーセキュリティリスク 29%
その他 1%
テレワークやweb会議の導入でセキュリティリスクが高まるという認識を持っている方は、全体の29%にとどまりました。
この設問は複数回答可能であったため、「セキュリティリスクも心配だけど、他の項目の方がもっと心配だから」という理由で数字が小さくなっているわけではありません。単純に、セキュリティリスクの高まりへの認識が薄い、という事実を示していると言えるでしょう。
サイバー攻撃被害に関しての質問
Q13. 貴社がサイバー攻撃の対象となる可能性はあると考えていますか
A.
Yes 81%
No 19%
自社もサイバー攻撃の対象になりうると自覚し、サイバーセキュリティリスクに対して当時者意識をもっている企業は80%を超える結果となりました。
では、実際に被害を受けたことがあるかどうか、という観点で見ると、どうなるでしょうか。それが次の設問です。
Q14. 貴社は、サイバー攻撃の被害を受けたことはありますか
A.
Yes 32%
No 68%
実際に被害を受けたことのある企業は32%という結果でした。つまり、約48%の企業は、実際に被害を受けたことはないけれど、いずれ被害を受ける可能性があると認識している企業だということになります。
被害状況を業種別にみていくと、次のような結果になります。
業種別のサイバー攻撃被害状況は下記の通りです。
不動産や建設業など、1つの商品・サービスの単価が高い企業、ITやコンサルティングなど、高度なノウハウを持っている企業などが、サイバー攻撃を受けやすいことが分かります。
次に、企業規模別に被害状況を見てみると、次のような結果になります。
売上規模別のサイバー攻撃被害状況は下記の通りです。
全体的に、大手企業ほどサイバー攻撃被害にあった割合が高くなるので、企業が取り扱う情報が多くなると、サイバー攻撃を受けやすくなるということが分かります。
しかし、売上50億円以上の企業になると、サイバー攻撃被害にあった割合が低下しているのはなぜでしょうか。
おそらく、それなりの資金や人的リソースを投下して、万全なセキュリティ対策を施しているからだと推測するのが自然でしょう。
しかし、本当にそうなのでしょうか。セキュリティ対策を施していると、サイバー攻撃の被害を受けにくくなるのでしょうか?
次の設問で確かめてみましょう。
サイバーリスクへの「対策を行っている企業」と「まだ検討中の企業」での「サイバー攻撃被害にあっているか」の確率は下記の通りです。
結論、サイバーリスクへの対策をしているか否かに関わらず、サイバー攻撃の被害を受けた企業の割合は30%前後で、対策の有無で差はほとんど生まれていないようです。
このことは、せっかく時間とお金をかけてサイバーリスクへの対策をしても、全く効果がないということを意味するのでしょうか。
これは、各企業が被害を受けているサイバー攻撃が、無作為に多くの企業を攻撃する性質のものか、特定の企業を狙い撃ちして攻撃するものかでも結論が変わってくるため、ひとまずは、各企業に被害をもたらしているサイバー攻撃の種類がどんなものか、見ていくことにしましょう。
Q15. 「Q14でYesと回答した方」は被害にあったサイバー攻撃内容はどんなものですか(複数選択可)
A.
マルウェア 23%
ランサムウェア 16%
不正送金を促すビジネスメール詐欺やフィッシングサイト 26%
標的型攻撃 14%
WEBサイトへの不正ログイン 14%
わからない 5%
その他 2%
調査の結果、マルウェアやランサムウェア、フィッシングサイトなど、不特定多数に攻撃するタイプのサイバー攻撃が多いことが分かりました。
つまり、サイバー攻撃への対策は、攻撃されなくするものではなく、いざ攻撃されたときの被害を最小限に食い止めるタイプのものが有効になってくる、という考察が得られます。
そこでここからの設問では、サイバー攻撃によって企業が受ける「被害」に注目して分析していきます。
Q16. 「Q14でYesと回答した方」はサイバー被害によって生じた不利益はどのようなことですか(複数選択可)
A.
原因・影響調査や関係者対応等にかかる対応費用 41%
業務関連システム停止による納期遅れ・営業機会損失 30%
取引先や顧客からの損害賠償請求 9%
顧客の流出 生産停止による売上の減少 15%
その他 4%
各項目とも、被害を受けてしまえば、大きな損害が生じてしまいそうな項目ばかりが並んでいます。しかも、本設問は複数回答可能なので、これらの被害を同時に受けることもあり得るというわけです。
では、サイバー攻撃によって受ける損害は、どの程度のものなのでしょうか。
次の設問で調査します。
Q17. 「Q14でYesと回答した方」は被害金額はいくらですか
A.
50万円未満 56%
50万円以上100万円未満 16%
100万円以上500万円未満 16%
500万円以上1000万円未満 12%
過半数の企業が50万円未満という回答でした。幸い、被害額はさほど大きくないようですが、思い出してみれば、今回のアンケート対象者の過半数は、サイバーセキュリティ担当が5人以下の企業に所属していました。
もう少し従業員数が多い企業に所属する方にアンケートを取ると、もっと大きな被害額が明るみに出るかもしれません。
しかし、彼らがサイバー攻撃被害を経験したのは昔のことで、近年ではサイバー攻撃対策の技術レベルも向上しており、今やさほど心配しなくてもいいのではないか、とお考えの方もいらっしゃるのではないでしょうか。
そこで、サイバー攻撃の被害にあった時期について、次の設問で調査しました。
Q18. 「Q14でYesと回答した方」はサイバー攻撃の被害にあったのはいつ頃ですか
A.
半年以内 16%
1年以内 37%
3年以内 19%
5年以内 16%
10年以内 9%
10年以上前 3%
調査の結果、1年以内に被害を受けた、と回答された方が過半数を占めていました。サイバー攻撃対策自体は進歩していますが、それと同じくらいサイバー攻撃の方も進化していますし、さらに言えば、前述のように、サイバー攻撃への対策は、攻撃そのものを防ぐのではなく、攻撃されたときの被害を最小限に食い止めることが主な役割なので、サイバー攻撃の被害を受ける確率は、今も昔も変わらないと言えそうです。
さて、続いては、2問続けて調査結果をお伝えします。
Q19. 「Q14でYesと回答した方」はサイバー攻撃被害の発覚場所はどこですか
A.
社内で発覚 87%
外部からの指摘 13%
Q20. 「Q14でYesと回答した方」は被害を受けた原因はなんだと思いますか(複数選択可)
A.
リスクに対する備えが十分ではなかった 24%
セキュリティの知識・対策が不足していた 41%
被害がこんなに大きくなるとは思わなかった 30%
何も考えていなかった 4%
次に調査したのは、サイバー攻撃の被害を受けた原因についてです。
回答の中で目立つのは、「リスクに対する備え」「セキュリティの知識・対策」「被害の大きさ」など、各方面に対する認識の甘さです。もちろん、悪気があってサイバー攻撃の被害を招いている人などいないでしょうが、それでも被害を起こしてしまうのは、やはり認識の甘さや気の緩み、勉強不足などが原因でしょう。
さらに大切なのは、この一つ前の設問。サイバー攻撃の被害の9割弱は社内で発覚しているので、その原因についても、比較的正確にわかっている可能性が高いです。
その状況で上記の回答が出てきたわけですから、「認識の甘さがサイバー攻撃の被害を招いているのだろう」という推測の信憑性はより高まります。
さて、サイバー攻撃の被害に遭ってしまうと、財政面で大打撃を受けるだけでなく、諸々の対応に追われ、従業員も東奔西走することになります。
Q21. サイバー攻撃被害を受けた直後の対応で苦労したこと(受けたことがない場合は、懸念すること)はなんですか(複数選択可)
A.
まず何をしたらいいのか分からない 27%
復旧対応 原因・影響範囲の特定 64%
会社の信用力の回復 38%
二次被害の防止 44%
請求対応資金の確保 13%
わからない 11%
サイバー攻撃被害の被害を受けると、多くの場合は、何をしていいか分からない、原因や影響範囲の特定などでかなりの負担がかかっているようです。さらにその後に会社の信用を取り戻し、二次被害を防ぐなど、様々な対応に追われることになり、大変苦労してしまうことになります。
では、このように大きな混乱を招くサイバー攻撃被害、どうすれば防ぐことができるのか、アンケート回答者の意見を伺ってみましょう。
Q22. サイバーリスク対策における貴社の課題は何だと思いますか(複数選択可)
A.
サイバーセキュリティに精通している人材の確保 53%
社内のリスク管理体制 64%
一般従業員のサイバーセキュリティに対しての理解・教育 57%
サイバーセキュリティ対策に必要な予算確保 33%
課題はない 1%
人材の確保、管理体制の確保、従業員への教育と答える方が過半数に達し、やはり、サイバーリスク対策で重要なのは、「人」や「知識」の部分であることが分かります。自社内でセキュリティ知見を蓄えていくことが、最大のサイバーリスク対策であるといえるでしょう。
ところで、もしあなたの会社がサイバー攻撃被害を受けてしまった場合、その被害を受けるのは、あなたの会社のみにとどまりません。委託先や取引先企業にも被害が及びます。
そこで、取引先や委託先に、万全のサイバーリスク対策を求める企業が多くあります。
下記のアンケート結果はその実態を表していると言えるでしょう。
Q23. 取引先や委託先のサイバーリスク対策について、貴社の管理状況で当てはまるものはなんですか(複数選択可)
A.
何もしていない 30%
セキュリティ状況を常時監視している 39%
サイバーリスク対策の実施を取引要件にしている 24%
セキュリティ認証の取得を依頼または義務付けている 26%
損害保険の付保を求めている 13%
その他 1%
「何もしていない」という企業は30%にとどまり、セキュリティ状況の監視、取引要件への織り込み、損害保険の付保要求など、相手企業に何かしらのサイバーリスク対策を求めている企業がほとんどであることが分かります。
つまり、自社でサイバー攻撃被害を受けてしまうと、委託先や取引先に対する損害賠償責任も発生するため、全被害額の合計が、自社の支払い能力を遥かに上回ってしまうこともあり得ます。
そうなると大変なので、我々は私生活において「自動車保険」や「火災保険」などの保険に加入しているわけですが、各企業は、サイバーリスクに対して保険に加入はしないのでしょうか?そもそも、サイバー保険の存在を知っているのでしょうか?
これ以後の設問で明らかにしていきます。
サイバー保険に関しての質問
Q24. 「サイバー保険」を知っていますか
A.
Yes 50%
No 50%
Q25. サイバー保険に加入をしていますか
A.
Yes 33%
No 67%
上記2つのアンケート結果から分かる通り、サイバー保険の認知率は50%、加入率にいたってはわずか33%にとどまりました。
では、実際にサイバー攻撃被害を受けたことのある企業の加入率はどうなるでしょうか。
サイバー攻撃被害にあったことがある企業、ない企業のサイバー保険の加入率は下記の通りです。
サイバー攻撃被害を受けた被害の加入率(69%)は、そうでない企業(16%)の、4倍以上にものぼることが分かりました。
サイバー攻撃被害を受けたことがない企業がサイバー保険に加入していないのは、サイバー攻撃被害を小さく見ている、そもそもサイバー保険の存在を知らないなど、やはり「認識の甘さ」や「知識不足」の弊害といえるでしょう。
売上規模別のサイバー保険加入状況は下記の通りです。
少なくとも売上が5億円未満の企業については、企業規模が大きくなるほど加入率が上がる傾向があるようです。
業種別に見ると下記の通りです。
特に目立つのは、金融/保険業界の加入率100%と、輸送/交通/物流/倉庫業界と、医療系業界の加入率0%でしょう。業界はあらゆる業界の中でも特に個人情報の取扱いに厳しく、後者は、平素個人情報を扱うことがほとんどないせいか、セキュリティへの意識が希薄な業界です。
このことからも、やはり、サイバー保険に加入するか否かは、サイバー攻撃被害への認識の強さによって変わってくると言えるのではないかということが伺えます。
では、サイバー保険に加入した企業は、どういった理由で加入したのでしょうか?
Q26. 「Q25でYesと回答した方」はサイバー保険に加入した理由はなんですか(複数選択可)
A.
会社の信用力向上につながるため 19%
完全にサイバー事故を防ぐことはできないため 39%
いざという時の資金手当てをするため 16%
事故時の対応方法が分からず、保険会社の支援サービスを利用したいため 13%
取引先や加盟団体から加入を推奨されたため 11%
その他 2%
やはり特筆すべきは、39%の表を集めた「完全にサイバー事故を防ぐことはできないため」でしょう。繰り返しになりますが、サイバー攻撃への対策は、攻撃を未然に防ぐものではなく、攻撃された場合の被害を最小限に食い止めるためのものです。
サイバー保険に入るほど、サイバー攻撃対策への関心が高まった人は、やはりこのことを認識し、意識しているということなのでしょう。
ここまでで、何となくサイバー保険の重要性は理解したけれど、「企業が加入する保険ってなんだか高額そう」、そんなイメージを持っている方もおられるでしょう。
では、実態はどうなのでしょうか。
Q27.「Q25でYesと回答した方」はいくらの保険に加入していますか
A.
5万円未満/年 24%
5万円~10万円/年 37%
10万円~50万/年 27%
50万円以上 12%
9割弱の方が、保険料は50万円/年と回答されました。
一方、前出の問いで、「サイバー攻撃の被害額が50万円未満」と回答した方は56%でした。
つまり、少々乱暴な計算ではありますが、ここ1年間だけを切り取ってみると、サイバー攻撃被害に遭った企業のうち、サイバー保険に加入することで得をしたケースが44%ほど存在することになります。
さて、このサイバー保険、各企業はどれくらい前から取り入れていたのでしょうか。
Q28. 「Q25でYesと回答した方」はサイバー保険への加入時期はいつ頃ですか
A.
半年以内 6%
1年以内 46%
5年以内 30%
10年以内 15%
10年以上前 3%
こちらも、サイバー攻撃被害を受けた時期と同じく、「1年以内」という回答が過半数を占めました。97%の企業がここ10年以内の加入であることからも、「サイバー保険への加入」はあくまでも近年の潮流に過ぎない、ということが分かります。
ではそんなサイバー保険、実際にはどんなところで役立つのでしょうか。
Q29. 「Q25でYesと回答した方」はサイバー保険が活用できた場面はどんな時ですか
A.
復旧作業 原因影響調査 27%
被害者への対応 11%
専門家への委託相談 15%
損害賠償請求争訟対応 11%
再発防止策の策定 15%
まだ活用できていない 22%
他の設問と比べても、かなり回答がばらけた印象です。
それだけサイバー保険があらゆる場面で活用できる、ということの証左なのでしょう。
では、一見かなり有用そうに見えるサイバー保険なのに、およそ2/3の企業が未加入なのはなぜでしょうか?―やはり、他の保険と同じく、保険料の部分が課題なのでしょうか。
Q30. 「Q25でNoと回答した方」は金額はいくらなら加入しますか
A.
5万円未満/年 39%
5万円~10 万円/年 39%
10万円~50 万/年 21%
50万円以上 1%
「50万円未満」という線引きだと、実に99%もの企業がサイバー保険に加入することになります。そして、先の設問の回答結果では、50万円以上の保険料を支払っている企業はわずか12%でした。
つまり、保険料だけがサイバー保険加入の障壁となっているのであれば、もう少し加入率が伸びてもおかしくないはずです。
しかし、実際の加入率が伸びていないということは、保険料以外に、保険加入の妨げになる要素があると思われます。
そこでその原因について、次の設問で具体的に見ていきましょう。
Q31. 「Q25でNoと回答した方」はサイバー保険に加入しない理由はなんですか(複数選択可)
A.
サイバー保険の内容や必要性が分からない 20%
サイバー攻撃に伴う損害額(必要な補償額)がわからない 24%
対策をする費用に余裕がない 19%
他にも優先順位の高い経営課題がある 30%
特に理由はない 6%
その他 1%
保険に加入しない理由として目立つのは、やはり「保険の内容や必要性」「サイバー攻撃による損害額」など、サイバー攻撃被害に関する知識が不足していることです。
また、最も表を集めた「優先順位」についても、サイバー攻撃被害の重大さを適切に理解すると優先順位が変わるということもありそうなので、「知識不足」や「認識の甘さ」という要因は数字以上に大きそうです。
では逆に、サイバー保険に加入するとしたら、どんなことを重視するのでしょうか。
Q32. サイバー保険を選ぶ際に重要視することはなんですか(複数選択可)
A.
保険料が安い 36%
補償が充実している 89%
事故が発生した際の手続きのしやすさ 52%
自社に適した保険を組み合わせてくれる 30%
その他 1%
「補償が充実している」という回答が圧倒的多数派でした。
この設問の結果だけを見ると、どうやら「サイバー攻撃被害を受けると、かなり大きな損害を受ける」ということを、何となくは理解されている方が多いのではないかという気がします。
それでも保険加入率が伸びていないのは、「実際の被害額」を理解していないことが原因なのではないでしょうか。
そこで、もう少し具体的に、サイバー攻撃に関する知識を知っているかどうかを聞いてみました。
Q33. 「2022年4月1日から個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告及び本人への通知が必要となる」ことを知っていますか
A.
知っている 17%
なんとなく知っているが、詳しくは分からない 52%
知らなかった 31%
やはり、一番票を集めたのは、「なんとなく知っているが、詳しくはわからない」でした。
2022年4月1日から個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告及び本人への通知が必要となりました。
サイバー攻撃被害にあってしまった際に迅速に対応できるように、こちらもチェックしておくと良いでしょう。
参照漏えい等報告・本人への通知の義務化について/個人情報保護委員会
まとめ
以上のアンケート結果を総括してみます。
まず、近年、サイバー攻撃は猛威を奮っており、どの企業も対策を講じる必要性を漠然と認識しています。しかし、具体的にどの程度の脅威が潜んでいるかというところまで、深くは理解していないようです。
そんな状況でサイバー攻撃に遭遇してしまうと、その被害は甚大でしょう。
ひとつの企業の取引先や委託先が増えている近年だとなおさらです。
また、いくら完璧にサイバー攻撃対策を講じたとしても、サイバー攻撃を完全に防ぐことはぬ可能であり、被害を最小限に食い止めるのが精一杯です。
そんな状況だからこそ、サイバー保険への加入を視野に入れ、一度真剣にサイバー攻撃の被害と向き合ってみる必要があるのではないでしょうか。
