サイバー保険の基本と選び方
近年のサイバーリスク環境は目まぐるしく変化しています。
時代の変化とともにサイバー攻撃はかなり高度化しており、感染や被害発生を完全に防ぐこと自体が難しい状況になっています。
このような状況を踏まえて”感染や被害が発生したらどうするか”という前提の検討が進められるようになりました。
そして昨今、注目されているのが”サイバー保険”という保険商品です。
ところが、サイバー保険は他の保険とかなり毛色が違う商品ですので、なかなかとっつきにくい方も多いのではないかと思います。
そこで今回は、サイバー保険の基本と選び方について入門知識として紹介します。
※本記事の内容は実際の保険会社や保険商品とは直接の関係はなく、筆者独自の経験と知見に基づくものです。
サイバー保険とは?
サイバー保険とは、事前に一定の保険料を支払うことで主にサイバー攻撃により発生した損失や損害に対してなんらかの補償が受けられる保険商品のことです。
火災に起因する保険は火災保険、地震に起因する保険は地震保険、病気や生命に起因する保険は生命保険、というように、サイバー攻撃に起因する保険はサイバー保険という具合です。
ただ、他の保険商品とは異なり現時点では主に企業や団体向けの保険商品のみが、保険会社各社よりサービス提供されています。
どうして注目されているの?
1つはサイバー攻撃の高度化があります。どうしても被害発生を防ぐことが難しくなっているため、もし被害が発生しても手助けになる仕組みが求められるようになっています。
もう1つはサイバー攻撃により発生する被害が想像よりはるかに大きいことの認知が世間的に進んでいるためです。
イメージ的にサイバー攻撃で発生する損害というのは、せいぜい感染したPCの買い替えぐらいの認識だったのが、実際には全く違うということです。
マルウェアに感染したかどうかPC1台調べるのに平気で100~200万円ぐらいはかかりますし、専門家に意見をうかがうだけで数十万はザラです。法務対応するには弁護士相談が必要ですが、それすら着手金(しかもサイバー法務に詳しい弁護士は相場より高くなりがち)が発生します。
他にも損害賠償請求を受けたり、メディア広告出したり、場合によっては操業停止による売り上げ減少、信用失墜による株価下落などなど、いくらでもお金が関わります。
そういった状況を見越して、サイバー攻撃にあっても補償が受けられるサイバー保険が注目されるようになってきました。
他の保険と違うところ
保険料は客観的に決まっていない
自動車保険や火災保険などは、補償額や○○特約を付加すると××円の保険料、というように明文化されていることが多いですが、サイバー保険の保険料決定基準が客観的に明文化されたものはほとんどありません。
これは、サイバー犯罪による被害発生リスクが企業や団体によってかなり大きく異なるため、一律の基準を提示することが難しいためです。
サイバー保険は契約前に”事前調査書”の記入を求められることがほとんどで、その事前調査書の内容によって個別に保険料の算定が行われます。
どのような基準で決まってくるかは後述する”保険料の決まり方”をご覧ください。
保険料払い出しの基準があいまい
サイバー保険は、サイバー攻撃に起因する被害発生に対して補償を提供する保険商品ですが、実際にサイバー攻撃が発生した時に”被害者に瑕疵が全くない”という状況はほぼありません。
自動車の交通事故であれば過失割合の算定によって保険負担額が決まってきますが、サイバー保険にそのような仕組みはありません(そもそも被害の元凶たる攻撃者に賠償請求できる事例が極端に少ない)。
また、サイバー犯罪は様々な要因が複雑に絡み合った結果として成立していることが多く、どうしても保険料の払い出し基準があいまいになりがちです。
保険契約書には具体的な払い出し基準が書かれていることが多いですが、”これに限らない”という文言がついていることも多く、実際にはサイバー犯罪の状況により変わってくるでしょう。
とはいえ、肝心な時に払い出し拒否されては意味がありませんので、過去の払い出し実績や具体的な事例を問い合わせて払い出しの対象になるかどうかを必ず確認しておくようにしましょう。
主な補償内容
保険商品や特約により違いますが、主に次のような補償内容が準備されていることが多いです。
- 感染状況調査費用
- サーバー・ネットワーク復旧費用
- 損害賠償補償
- 事業停止損失補填
- 不正送金被害の補填
- 行政違反の罰金補填
- 専門家・弁護士相談、対応支援費用
- 事後対策実施費用
- コールセンター設置費用
- メディア掲載費用
感染状況調査費用
PC1台100万~200万円ともいわれる感染状況の調査にかかる費用です。サーバー機器の調査となると数倍以上になりますので、補償対象としてもポピュラーかつ基本契約に含まれることが多いです。
サーバー・ネットワーク復旧費用
サイバー攻撃によってダウンしたサーバーやネットワークを復旧するための費用です。
復旧するため、新規に機器を調達した場合はその費用が補償されます。
損害賠償補償
サイバー攻撃の発生に起因する個人情報の漏えいや著作権侵害などに対する損害賠償請求で発生する費用を保険会社が肩代わりします。
事業停止損失補填
サイバー攻撃により事業が停止した場合、その間に発生した機会損失を補填します。
保険会社の契約により計算方法は異なりますが、例えば1カ月で4000万円の利益を得ていた事業が1週間停止した場合、1000万円の補填を受けることができます。
不正送金被害の補填
従業員が巧妙に騙されたり、ネットバンキングアカウントが盗まれ不正に送金された場合にその損失を補填してくれます。
なお、内部不正による不正送金は補填の対象にならないことがあるので注意しましょう。
法律・行政違反の罰金補償
法律や行政違反により罰金を命じられた場合に、その金額を補償します。
日本の法律ではよほどのことをしなければ罰金を命じられることはありませんが、海外事業展開している場合にEUやアメリカなどの現地法に引っかかるケースが多いのでそのリスク転嫁に用いられます。
専門家・弁護士相談、対応支援費用
サイバーセキュリティの専門家やサイバー犯罪の知見がある弁護士に相談したり、有事の際に対応の支援を依頼した場合に発生した費用を補償します。
有事の際だけでなく、普段のセキュリティ運用や方針の相談など駆け込み寺的なサービスを展開する保険商品もあります。
事後対策実施費用
何らかのサイバー攻撃を受け、その対応が終わってから事後対策をする場合の費用が補償されます。
例えば、新たなセキュリティ製品の導入であったり社員教育の費用なども補償範囲に含まれることがあります。
コールセンター設置費用
重大なサイバー攻撃に遭ってしまい、対外的に問い合わせ窓口を準備しなければならないことがあります。
その場合にコールセンターを立ち上げると、その立ち上げ費用を補償してもらえます。どちらかというと事業規模の大きい大企業向けの補償内容です。
メディア掲載費用
同じく重大なサイバー攻撃に遭い、外部に広くその事実を知らせる場合に新聞やネットニュースへの掲載にかかる費用を補償してもらえます。
この補償もどちらかというと大企業向けの内容と言えるでしょう。
保険料の決まり方
月々や年額の保険料は次の要素で決まることが多いですが、その基準は明確に示されていないことが大多数です。
基本的に保険会社により、サイバー攻撃のあいやすさや被害の発生しやすさ(=サイバーリスク)を考慮して個別に保険料が決定します。
- 事業規模
- 事業内容
- 補償額
- 海外販売、拠点
- ネットワークやIT機器の規模
- セキュリティシステムの状況
- セキュリティマネジメントの状況
- ガバナンス・監査の状況
- 組織内教育体制
- 個人情報保有数
- ECサイトの有無
- 過去に受けたサイバー攻撃
事業規模
事業規模が大きい組織ほど、有事の対応も規模が大きくなりがちなことから保険料が高くなる傾向にあります。特に年間の売上高や粗利、営業利益は重視されます。
事業内容
IT関係の事業を展開している場合、サイバー攻撃による事業への影響が大きいとみなされ保険料が高くなる傾向にあります。逆にITとは直接関係のない事業の場合は比較的低い傾向にあります。
ただし、IT関係の企業はサイバー攻撃に対する危機意識がそもそも高いため、後述するセキュリティシステムやマネジメントが非IT系企業に比べて高レベルにあることから、総じて低リスクとみなす場合もあるようです。
補償額
サイバー保険も補償額を自由に設定できることが多いです。当然のことながら補償額が多ければ多いほど、保険料は高くなります。
また、機器故障や復旧費用の補償と事業停止に伴う機会損失の補償は別々に補償額を決められることが多く、特に後者の方が保険料への影響は大きいようです。
海外販売、拠点
海外に事業展開していたり、海外拠点を保有していると保険料が高くなる傾向にあります。
海外販売においては海外現地の法規制を遵守しなければならず、その分リスクが高めと判断されるようです。特にGDPRを適用しているEUや法規制がそもそも厳しいアメリカ・中国などに関わっていると保険料が高くなるようです。
逆に法規制の状況から東南アジア圏はそれほど保険料には影響しないことが多いようです。
ネットワークやIT機器の規模
高額なネットワークやサーバーを利用していたり、多数の拠点にまたがりネットワークがつながっていると保険料が高くなる傾向にあります。
同一企業の別拠点であってもネットワーク的につながっていない場合は、あまり保険料に影響しない傾向にあります(現代では珍しいかもしれませんが)。
セキュリティシステムの状況
アンチウィルスソフト、FW、重要データのバックアップなどの基本的な対策ができていなければ減点ポイントとなり、保険料が割高(もしくは契約拒否)になります。
さらに進んでIPS/IDSや次世代アンチウィルス、EDR、CASB、SASEなどなど最新のセキュリティシステムを導入していると、保険料が割安になってきます。
セキュリティマネジメントの状況
技術的なセキュリティ対策よりも、こちらの方が重視されるパターンが多いです。
定期的にセキュリティ状況をチェックし是正する仕組みがあるかどうか、有事の際の連携体制は確立されているかどうか、避難訓練のように攻撃を受けた場合の訓練を実施しているかなどが問われます。
特に”定期的に実施しているか”ということを重視されます。仮に仕組みやルール化されていたとしても、定期的に見直しや評価がされていないと加点ポイントにすらならないでしょう。
ガバナンス・監査の状況
セキュリティマネジメントの状況と少し似ていますが、こちらは組織内のガバナンスや監査体制について問われます。
入金処理は単独ではできないようになっているか、社内の決済フローは機能しているか、業務状況について独立した部門による監査が機能しているかなどが重視されます。
組織内教育体制
セキュリティに関する社員教育を行っているかどうかが評価されます。
特に”定期的に実施しているか(最低年1回)”、”組織で働くすべての人を対象にしているか(正社員だけでなくアルバイトや派遣、常駐も含む)”が重視されます。
何かのきっかけで突発的に実施しているセキュリティ教育は加点にならないことが多いです。
個人情報保有数
個人情報の漏えいは損害賠償請求のリスクがあります。また、漏えいの恐れがある個人に対してQUOカードや商品券を配ることもあり、個人情報の保有数が多ければ多いほどリスクが大きく保険料が高額になります。
そもそも個人情報が何件あるのか把握できていない場合は、まずは把握するところから始めなければなりません。
ECサイト・電子決済業務の有無
ECサイトや電子決済業務をしている場合にサイバー攻撃を受けると決済情報が漏えいする場合があります。
クレジットカードなどの決済情報が漏えいすることは大きな被害発生につながりますので、高リスク判断となり保険料が高くなる傾向にあります。
過去に受けたサイバー攻撃
過去にサイバー攻撃を受けている場合に保険料が高額になることがあります。
特に”行政や公的機関から改善命令を受けた”、”利害関係者に大きな影響を与えた”、”仮にサイバー保険を契約していたら保険料の払い出し対象になっていた”事例があると事細かに調査されます。
一方、これらの特徴にあてはまらない軽微な過去事例は保険料にあまり影響しないようです。
サイバー保険の選び方
おおよそ下記のような流れで検討を進めると選びやすいでしょう。
- サイバー攻撃リスクの識別と評価
- 基本的な対策の導入
- 補償額の決定
- 必要な特約事項の把握
- 保険商品の比較と契約
1.サイバー攻撃リスクの識別と評価
まずはあなたの組織が恐れるサイバー攻撃リスクを考えます。
ランサムウェアだったりサプライチェーン攻撃だったりビジネスメール詐欺だったり、それはいろいろかもしれません。
組織の事業内容やIT環境を総合的に勘案して、懸念のあるサイバー攻撃についていくつかピックアップします。
世間一般的にどのようなサイバー攻撃の種類があるのかについて悩む場合はIPAの情報セキュリティ10大脅威を参考にしてください。
2.基本的な対策の導入
ここから保険商品を選びたくなりますが、先に基本的なサイバー攻撃対策の導入を行います。
サイバー保険は基本的に掛け捨ての保険商品ですので、保険料を払うより先に組織のセキュリティ強化に投資した方が合理的な場合があります。
さらに、サイバー保険の保険料はセキュリティ対策の甘い会社ほど高額になる傾向にあります。
SoCやCSIRTまでとは言いませんが、アンチウィルスソフトやセキュリティ更新の定期的な実行など基本的な対策は実施するようにしましょう。
3.補償額の決定
仮に1番で検討したサイバー攻撃に遭った場合に、どれぐらいの費用が発生するのか試算します。事業停止に伴う機会損失も見込んでおきましょう。
PC調査費用や専門家相談費用がどれぐらいになるのか見当もつかないという場合はJNSA発行のインシデント損害額調査レポートを参考にしてください。
試算が難しい場合は公開情報や統計資料を参考にして概算としてもよいでしょう。
損失費用の試算が終わったら、どこまでの範囲を保険にカバーしてもらうか決めましょう。損失費用の試算額を全額とすることもできますが、当然ながら保険料は高くなるのでバランスが大切です。
4.必要な特約事項の把握
サイバー攻撃により発生する対応費用はPC調査や駆除などの技術的なものだけとは限りません。
中にはメディア展開や商品券配布といった、意外な費用も発生することがあります。
このような”意外な費用”ほど特約事項というオプション扱いになることがあるため、自組織にとって必要な特約事項を把握しておくようにしましょう。
5.保険商品の比較と契約
保険商品の比較を行い、実際に契約をします。
比較するときは、これまでに決めた要件を複数の保険会社に問い合わせることになるでしょう。
また、事前調査書は保険会社各社で質問事項が異なるため対応が少し大変ですが、共通している質問事項も多いので1社記入すればあとは割とスムーズに記入できるでしょう。
※余談ですが、この事前調査書の記入によって自組織の弱点が分かるという自己診断的な側面もあったりします。
まとめ
- サイバー保険は他の保険商品と異なる部分が多い
- 保険料を決定するために事前の調査書記入がある
- 保険料検討の際はセキュリティの技術的な面だけでなく運用面も評価の対象になる