100 年以上も前に、ある商人グループが「共同海損」というコンセプトを生み出しました。海洋での投機的な事業にかかわる当事者の全員が、海難事故で貨物に被害が生じた場合にその損害を分担するという考え方です。1890 年にこのグループが作ったのは、貨物に商人が保険をかける仕組みでした。船が着いたとき、積荷が無事だった商人は、積荷を事故で失った商人の損害の一部を分担します。
今日のサイバーセキュリティに目を転じてみると、私たちの情報もやはり、World Wide Web と呼ばれるデジタルの大海で失われる恐れがあります。脅威の状況を見ても、攻撃者がますます果敢に執拗に、容赦なくサイバー攻撃を仕掛けるようなってきたため、攻撃の件数が増え続けています。攻撃者については、次のような傾向が予測されます。
- さらに対応が早く、効率的になる
- 標的型の攻撃で組織に侵入する
- ソーシャルメディア、モバイル、インターネット対応プラットフォームを通じて消費者に狙いを定める
- 増えつつある「モノのインターネット」の悪用が増える
サイバー攻撃が企業のブランド、評判、営業に及ぼす影響は、壊滅的なものにもなりかねません。したがって企業は、事前に計画するとともに事後の対応にも備える必要があり、その保険は商品、知的財産(IP)、商取引が対象になります。つまり、デジタルの海を渡っていく資産のすべてです。そこで登場したのが、サイバー保険です。
サイバー保険が必要な理由
データ漏えいが起きると、評判に傷がつき、業務も中断を余儀なくされますが、何より困るのは高くつくということです。Ponemon Institute の 2014 年の報告書によると、米国では、データ漏えい 1 件あたりの平均コストが 585 万ドルと言われています。IT による防御だけに頼っていると、セキュリティについて誤って安心しがちですが、どんな組織でもリスクと無縁ではありえません。新しい保護の層として今、サイバー保険に注目が集まっています。
サイバー保険が急速に採用されている現状を見ると、その成長には大きく 2 つの要因があることがわかります。ひとつは、情報漏えいへの対応を義務付ける新しい法律が制定されていること。もうひとつは、盗み出された情報を決済詐欺やなりすましなどの犯罪に利用するサイバー犯罪者が増えていることです。
サイバー保険の補償範囲
サイバー保険は、技術と同じ速さで進化しています。今日では当然の補償範囲と考えられている部分が、たった 3 年前には対象でなかったり、補償範囲の拡大が市場で連日のように交渉されていたりします。おさえておきたい主な補償項目は、次のとおりです。
- 損害賠償 - サイバーインシデントまたはプライバシーインシデントに起因する損害賠償の申し立てがあったときの訴訟や補償の費用
- 事故対応 - サイバーインシデントまたはプライバシーインシデントに対する調査や軽減についての補償
- 事業停止 - サイバーインシデントに起因する事業停止についての補償
- サイバー脅迫 - ネットワークを破壊する、機密情報を漏えいするなどの脅迫に対する対応についての補償
サイバー保険の補償で最も一般的なのは損害賠償ですが、契約者の大半はインシデントの調査や脅迫への対応についても補償を望んでいます。
妥当な補償金額
企業がサイバー保険についてどのくらいの金額を考えるべきか、簡単な答えはありませんが、これを判断するうえで重要な材料となる点はいくつかあります。
- 保険の対象となる組織の規模
- 保存されている機密データの量
- 業種
- 評判に対して想定されるリスクの程度
- 組織の耐性
- 脅威の経路
残念ですが、データ漏えいは起きるものというのが現実です。サイバー保険は、リスクを制限して組織を保護してくれますが、補償についてはあらゆる選択肢を慎重に考慮しなければなりません。単に該当するかどうかをチェックするのではなく、データ漏えいが発生した場合に自社のブランド、評判、営業を守ってくれる保険契約があるかどうかを確認することが大切です。ビジネスとサイバー世界とのこうした関係は現実です。個人や企業にとってのリスクの緩和を、シマンテックがお手伝いします。
ホワイトペーパー『What Every CISO Needs to Know About Cyber Insurance(サイバー保険について CISO がみんな知っておくべきこと)』(英語)をダウンロードしてください。サイバー保険業界の専門家の論文がまとめられています。
【参考訳】