2018年脅威予測から考えるサイバーセキュリティ保険の必要性



増加の一途を辿るサイバー攻撃は、年々大きな脅威を呼んでいます。「サプライチェーン攻撃」や「ランサムウェアによるネット脅迫」など、2018年は中小企業を狙ったサイバー攻撃の増加も予測されており、憂慮している方も多いのではないでしょうか。

今回は、サイバー攻撃が及ぼす被害金額とサイバー保険が対応する補償範囲について、モデルケースを交えてご紹介しようと思います。万が一のインシデント発生時に備えとして、サイバー保険は欠かせない存在となりつつあります。

2017年サイバー攻撃国内平均被害額は2億3,177万円

大手セキュリティ―企業のトレンドマイクロによると、2017年にサイバー攻撃を受けた企業の平均被害金額は「2億3,177万円」を記録 。国内組織の約4割がセキュリティの重大被害を受けたと回答しています。

インシデントの大半は「情報漏洩」であるものの、「ランサムウェア」によるネット脅迫の被害も増えており、企業を脅かす新たな事案です。

サイバー攻撃による被害は多種多様

こうしたサイバー攻撃による被害が発生した際に、企業が受ける負担は金額以上の莫大なものとなるでしょう。と言うのも、サイバー攻撃を受けた企業は、訴訟問題に行政調査、謝罪広報まで多様な対応を強いられるからです。

サイバー攻撃を受けた企業が負担すべき費用・対応項目の代表例

  • 情報漏洩や加害行為による損害賠償
  • 行政対応に要する各種費用・法律相談費用
  • 被害報告や謝罪会見などに必要な費用
  • 被害者への見舞品購入費用・送付費用
  • 損壊した自社システムの復旧費用・超過人件費

賠償金や対応費用の金額はもちろんですが、サービス停止による逸失利益や復旧に伴う超過人件費など、時間的リソースの損失も無視できません。

モデルケースで内訳を試算

では、実際にサイバー攻撃を受けたときの被害は、どれほどになるのでしょうか。実際に起きたインシデントを参考に、モデルケースでご紹介致します。

ECサイトを中心事業として活動する中小企業A社は、ある日外部からの不正アクセスを受けて約2万人の個人情報を漏洩。決済代行会社からの指摘により発覚した。
同社は直ちにウェブサイトを停止し、外部機関に調査を依頼。攻撃者はシステム上の脆弱性を利用して侵入し、サーバー内に記録されていたカード情報を漏えいしたことが明らかになった。

支払い項目 名目 費用 内容
損害賠償請求関連費用 損害賠償 9,000万円 賠償額3万円×2万件×15%(訴訟参加率)
訴訟 200万円 弁護士相談費用
事故対応・フォレンジック調査費用 データ復旧 300万円 外部委託費用
原因および被害状況調査 300万円 外部委託費用
コンサルティング 200万円 専門家による事後対応
再発防止策導入 500万円 外部委託・機器導入費用
被害者対応費用 見舞品 1,400万円 700円(金券・詫び状・送料)×2万件
謝罪広告 1,000万円 WEB・紙媒体掲載費
クレーム対応 800万円 コールセンター設置に伴う人件費
1億3,700万円

※損害賠償の金額は漏洩した情報の項目により変動します。判例では1万円~数万円程度が多く、センシティブ情報やカード情報が含まれると高額です。

2018年は中小企業が狙われる!?

最近は中小企業を狙った「サプライチェーン攻撃」や「ランサムウェア」が注目を集めており、総務省をはじめとした政府機関も注視しています。

サプライチェーン攻撃とは、脆弱なセキュリティ基盤の中小企業や取引先企業を狙い、本命となる大企業に向けて不正アクセスを実行するというもの。「うちは狙われないだろう…」と油断している企業こそ、狙われてしまうかもしれません。

また、「WannaCry」や「BadRabbit」で世間を騒然とさせたランサムウェアも、引き続き増加が懸念されています。特に2018年は中小企業を対象とした「標的型攻撃」に用いられる可能性も指摘されており、注意が必要です。

〈関連〉
【2018年サイバーセキュリティ予測】高度化するサイバー攻撃はどこに向かうのか/サイバーセキュリティ.com

サイバー保険は漏洩リスクを低減する

サイバー攻撃によるインシデント発生した際に、企業が負担すべき金額は莫大です。冒頭にて触れた通り、セキュリティインシデントによる国内平均被害額は「2億3,177万円」。モデルケースで示した事例を超える被害金額が生じています。

更に悪いことに、サイバー攻撃は「完全に防ぐことは難しい」と言われるほど対処が難しい犯罪。セキュリティ体制を強化するだけではリスク管理として不十分との指摘も出ています。

こうした流れにおいて、注目を集めているのが「サイバー保険」の存在です。(加入プランによりますが)情報漏洩や不正アクセスにより生じた被害の大部分について補償を受けることができるため、サイバーリスクを大きく低減することができます。

国内の認知度はまだまだ低く十分浸透しているとは言えませんが、今後増加するサイバー攻撃に対する、有効な対策であることは間違いありません。

〈参考〉
国内法人組織におけるセキュリティ実態調査 2017年版/トレンドマイクロ