保険でサイバーリスク対策?

さまざまな対策を行っても、サイバー攻撃を完全に回避・防御することはできないと言われています。
セキュリティ対策は、取り得るべきセキュリティ対策を行いつつも、「完全に回避・防御することはできない」という前提のもとで、いかに早期に被害からの復旧・回復を図るかを考えることが必要です

サイバーセキュリティ経営ガイドラインにおいても、復旧・回復が重要項目として取り上げられています。

防ぎきれないサイバー攻撃。万が一のときの備えとして、保険という選択肢があります。

サイバーセキュリティ保険

  • セキュリティ対策の一助
  • 情報漏えい・サイバー攻撃の脅威に対する備え
  • まさかの時の初期対応 → 復旧 → 再発防止 のバックアップ

サイバーセキュリティ経営ガイドライン

参考:サイバーセキュリティ経営ガイドラインVer.2.0
(経済産業省/IPA)

サイバーセキュリティ経営ガイドラインとは、経済産業省が独立行政法人情報処理推進機構(IPA)とともに策定した、中小企業を含む企業の経営者を対象としたガイドラインです。サイバー攻撃から企業を守る観点で、

  • 経営者が認識すべき3原則
  • サイバーセキュリティ経営の重要10項目

がまとめられています。

経営者が認識すべき3原則

経営者は、以下の3原則を認識し、対策を進めることが重要である。

①サイバーセキュリティ対策と、企業の成長のためのセキュリティ投資

経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

②自社のみではなく、サプライチェーンも含めた総合的なセキュリティ対策

自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要

③ステークホルダー(顧客や株主など)を含めた関係者とサイバーセキュリティ対策に関する信頼関係を構築

平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

サイバーセキュリティ経営の重要10項目

経営者は、責任者となる担当幹部(CISO等)に対して、以下の10項目を指示し、着実に実施させるとともに、実施内容についてCISO等から定期的に報告を受けることが必要である。
自組織での対応が困難な項目については、外部委託によって実施することも検討する。

経営者がリーダーシップをとったセキュリティ対策の推進

●サイバーセキュリティリスクの管理体制構築

サイバーセキュリティリスクの認識、組織全体での対応方針の策定

サイバーセキュリティリスク管理体制の構築

サイバーセキュリティ対策のための資源(予算、人材等)確保

●サイバーセキュリティリスクの特定と対策の実践

サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

経営戦略の観点から守るべき情報を特定させた上で、サイバー攻撃の脅威や影響度からサイバーセキュリティリスクを把握し、リスクに対応するための計画を策定させる。
その際、サイバー保険の活用や、守るべき情報について専門ベンダへの委託を含めたリスク移転策も検討した上で、残留リスクを識別させる。

サイバーセキュリティリスクに対応するための仕組みの構築

サイバーセキュリティ対策におけるPDCAサイクルの実施

●インシデント発生に備えた体制構築

インシデント発生時の緊急対応体制の整備

影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実施するための対応体制(CSIRT等)を整備させる。
被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明できる体制を整備させる。
また、インシデント発生時の対応について、適宜実践的な演習を実施させる。

インシデントによる被害に備えた復旧体制の整備

インシデントにより業務停止等に至った場合、企業経営への影響を考慮して、いつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備をさせる。
BCPとの連携等、組織全体として整合のとれた復旧目標計画を定めさせる。
また、業務停止等から復旧対応について、適宜実践的な演習を実施させる。

サプライチェーンセキュリティ対策の推進

ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策および状況把握

ステークホルダーを含めた関係者とのコミュニケーションの推進

情報共有活動への参加を通じた攻撃情報の入手とその有効活用および提供

補償内容について

(2021年7月承認)GB21C010277