保険でサイバーリスク対策?
さまざまな対策を行っても、サイバー攻撃を完全に回避・防御することはできないと言われています。
セキュリティ対策は、取り得るべきセキュリティ対策を行いつつも、「完全に回避・防御することはできない」という前提のもとで、いかに早期に被害からの復旧・回復を図るかを考えることが必要です。
防ぎきれないサイバー攻撃。万が一のときの備えとして、保険という選択肢があります。
- セキュリティ対策の一助
- 情報漏えい・サイバー攻撃の脅威に対する備え
- まさかの時の初期対応 → 復旧 → 再発防止 のバックアップ
サイバーセキュリティ経営ガイドライン
参考:サイバーセキュリティ経営ガイドラインVer.2.0
(経済産業省/IPA)
サイバーセキュリティ経営ガイドラインとは、経済産業省が独立行政法人情報処理推進機構(IPA)とともに策定した、中小企業を含む企業の経営者を対象としたガイドラインです。サイバー攻撃から企業を守る観点で、
- 経営者が認識すべき3原則
- サイバーセキュリティ経営の重要10項目
がまとめられています。
経営者が認識すべき3原則
経営者は、以下の3原則を認識し、対策を進めることが重要である。
①サイバーセキュリティ対策と、企業の成長のためのセキュリティ投資
経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
②自社のみではなく、サプライチェーンも含めた総合的なセキュリティ対策
自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
③ステークホルダー(顧客や株主など)を含めた関係者とサイバーセキュリティ対策に関する信頼関係を構築
平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
サイバーセキュリティ経営の重要10項目
経営者は、責任者となる担当幹部(CISO等)に対して、以下の10項目を指示し、着実に実施させるとともに、実施内容についてCISO等から定期的に報告を受けることが必要である。
自組織での対応が困難な項目については、外部委託によって実施することも検討する。
経営者がリーダーシップをとったセキュリティ対策の推進
●サイバーセキュリティリスクの管理体制構築
①サイバーセキュリティリスクの認識、組織全体での対応方針の策定
②サイバーセキュリティリスク管理体制の構築
③サイバーセキュリティ対策のための資源(予算、人材等)確保
●サイバーセキュリティリスクの特定と対策の実践
④サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
経営戦略の観点から守るべき情報を特定させた上で、サイバー攻撃の脅威や影響度からサイバーセキュリティリスクを把握し、リスクに対応するための計画を策定させる。
その際、サイバー保険の活用や、守るべき情報について専門ベンダへの委託を含めたリスク移転策も検討した上で、残留リスクを識別させる。
⑤サイバーセキュリティリスクに対応するための仕組みの構築
⑥サイバーセキュリティ対策におけるPDCAサイクルの実施
●インシデント発生に備えた体制構築
⑦インシデント発生時の緊急対応体制の整備
影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実施するための対応体制(CSIRT等)を整備させる。
被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明できる体制を整備させる。
また、インシデント発生時の対応について、適宜実践的な演習を実施させる。
⑧インシデントによる被害に備えた復旧体制の整備
インシデントにより業務停止等に至った場合、企業経営への影響を考慮して、いつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備をさせる。
BCPとの連携等、組織全体として整合のとれた復旧目標計画を定めさせる。
また、業務停止等から復旧対応について、適宜実践的な演習を実施させる。
サプライチェーンセキュリティ対策の推進
⑨ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策および状況把握
ステークホルダーを含めた関係者とのコミュニケーションの推進
⑩情報共有活動への参加を通じた攻撃情報の入手とその有効活用および提供
- このページは概要を説明したものです。ご契約にあたっては必ず「サイバーセキュリティ保険パンフレット」および「重要事項のご説明 契約概要のご説明・注意喚起情報のご説明」をあわせてご覧ください。また、詳しくは「普通保険約款・特約集」をご用意していますので、代理店・扱者または当社までご請求ください。
ご不明な点につきましては、代理店・扱者または当社にお問合わせください。 - 「サイバーセキュリティ保険」は「サイバーセキュリティ特約セット包括職業賠償責任保険」のペットネームです。
(2021年7月承認)GB21C010277