何だね君はぁ?「愛は寛容であり、愛は情け深い。また、ねたむことをしない。これから始まるブライダル・シーズンで、牧師様からよく聞く言葉だけど、この言葉はまさに2次元の彼女のためにあるよな!2次元の彼女は限りなく寛容だよ!」2次元殺法コンビお待たせしました。今回は今年に入ってから話題のサイバー保険についてまとめてみたよ。自動車保険、火災保険以外では、なかなか損害保険について説明を受けることは無いと思うけど、企業向けの損害保険としてどんなもんだか、整理してみたよ。
●リスクの移転って覚えているかな
情報セキュリティを学ぶとき、リスクの低減、許容(保有)、移転、回避っていう整理の仕方を習ったことあるんじゃないかな。そのとき移転の例として、外部にサービスを委託して自社のリスクを外に出す対策と共に出てくるのが、金銭的に被害をカバーする損害保険なんだ。しかし、実際に保険って、情報セキュリティのために契約したり、使ったことがあるかな。損害保険そのものは自動車保険、火災保険や海外旅行保険といった、生活の上でも身近なものではあるのだけれど、その場合ですら、実際に保険金を請求したことがあるのは、皆さん、自動車保険くらいだと思う。今回は情報セキュリティにとって重要なのに、みんな詳しくない損害保険のお話だよ。
●注目され始めるサイバー保険
昨年日本中を震撼させたベネッセの個人情報漏えいでは、2014年7月時点で公表された被害者への金銭的補償は総額200億円となっている。内部犯行なのでサイバー保険とは事故の種類が異なるけれど、大規模な個人情報漏えいが発生した場合の被害額としては参考になると思う。社会的責任からも、また、企業を存続し顧客、株主、従業員を守っていく上でも、巨額の損失で企業が破綻するわけにはいかない。
連載後半の事例紹介で説明するけど、AIU損害保険がサイバー攻撃を補償する保険を始めたのが2012年12月、東京海上がサイバーリスク保険を始めたのが2015年2月だ。その少し前の2015年1月28日の読売新聞によると、サイバー攻撃対策を強化し、被害を補償する「サイバー保険」の普及を後押しするために、政府がサイバー攻撃対策の基準づくりに乗り出すとのことだ。
企業のセキュリティ対策の強度を客観的に評価する仕組みを策定し、保険会社が保険料を算定する際の基準とすることも検討するという、かなり本腰を入れたものになっている。背景には、先行したAIU損害保険の加入が進まず、他の保険会社が追従していない状況があるようだ。報道では企業が被害の詳細を保険会社に提供することに消極的なために加入が遅れているとのことだけど、やはり不祥事の詳細を外部に教えるというのは憚られるようだ。
●セキュリティ対策の強度って?
報道経由だから意図しているところは詳しくは分からないけれど、政府が言う「企業のセキュリティ対策の強度を客観的に評価する仕組み」って言葉がちょっと気になる。不正アクセスされたら、次年度から数年の間は、強度は最低に評価されちゃうんじゃないかな。自動車保険の等級みたいにさ。でもそれは、客観的な評価じゃなくて統計手法だから、そんなことはないと信じたい。難しいのは、保険料を算定した後も脆弱性はどんどん出てくるってこと。ある時点で十分な強度があっても、脆弱性が公開されてすぐに不正アクセスされてしまった場合はどう扱うのだろう。
そもそも対策が強固だったら不正アクセスされるのはゼロディくらいに限定されてしまう。評価できるなら、その時点で対策をアドバイスして欲しいと思う会社も多いだろう。また、保険ならではの過失相殺といった要素があるのなら、重過失と過失の線引きはどうするのだろう。
省庁のサイトでさえ不正アクセス、改ざんされている現状で、企業として必要な対策水準を達成している強度というのは、どの程度なのだろうか。強度はISMSのようなマネジメントシステムとは違う意味合いだろうけれど、ISMSやプライバシーマークを取得している有名企業でも被害事例は起きている。強度は公表されるのか、保険の申し込み時に機密保持扱いで知らされるのか、その辺りも不明だ。
●サイバー保険の可能性を探る
この連載の読者層から考えて、実際に損害保険に勤務している人を除けば、多くは保険に詳しくないと思う。サイバー保険って広く多くの企業に入ってもらえる保険なのか、保険料の面から大企業に限られてしまうものなのか。加入の条件は厳しいのか、入っておいた方がいい保険なのか。保険の考え方を説明しつつ、整理していこうと思う。
●リスクの移転って覚えているかな
情報セキュリティを学ぶとき、リスクの低減、許容(保有)、移転、回避っていう整理の仕方を習ったことあるんじゃないかな。そのとき移転の例として、外部にサービスを委託して自社のリスクを外に出す対策と共に出てくるのが、金銭的に被害をカバーする損害保険なんだ。しかし、実際に保険って、情報セキュリティのために契約したり、使ったことがあるかな。損害保険そのものは自動車保険、火災保険や海外旅行保険といった、生活の上でも身近なものではあるのだけれど、その場合ですら、実際に保険金を請求したことがあるのは、皆さん、自動車保険くらいだと思う。今回は情報セキュリティにとって重要なのに、みんな詳しくない損害保険のお話だよ。
●注目され始めるサイバー保険
昨年日本中を震撼させたベネッセの個人情報漏えいでは、2014年7月時点で公表された被害者への金銭的補償は総額200億円となっている。内部犯行なのでサイバー保険とは事故の種類が異なるけれど、大規模な個人情報漏えいが発生した場合の被害額としては参考になると思う。社会的責任からも、また、企業を存続し顧客、株主、従業員を守っていく上でも、巨額の損失で企業が破綻するわけにはいかない。
連載後半の事例紹介で説明するけど、AIU損害保険がサイバー攻撃を補償する保険を始めたのが2012年12月、東京海上がサイバーリスク保険を始めたのが2015年2月だ。その少し前の2015年1月28日の読売新聞によると、サイバー攻撃対策を強化し、被害を補償する「サイバー保険」の普及を後押しするために、政府がサイバー攻撃対策の基準づくりに乗り出すとのことだ。
企業のセキュリティ対策の強度を客観的に評価する仕組みを策定し、保険会社が保険料を算定する際の基準とすることも検討するという、かなり本腰を入れたものになっている。背景には、先行したAIU損害保険の加入が進まず、他の保険会社が追従していない状況があるようだ。報道では企業が被害の詳細を保険会社に提供することに消極的なために加入が遅れているとのことだけど、やはり不祥事の詳細を外部に教えるというのは憚られるようだ。
●セキュリティ対策の強度って?
報道経由だから意図しているところは詳しくは分からないけれど、政府が言う「企業のセキュリティ対策の強度を客観的に評価する仕組み」って言葉がちょっと気になる。不正アクセスされたら、次年度から数年の間は、強度は最低に評価されちゃうんじゃないかな。自動車保険の等級みたいにさ。でもそれは、客観的な評価じゃなくて統計手法だから、そんなことはないと信じたい。難しいのは、保険料を算定した後も脆弱性はどんどん出てくるってこと。ある時点で十分な強度があっても、脆弱性が公開されてすぐに不正アクセスされてしまった場合はどう扱うのだろう。
そもそも対策が強固だったら不正アクセスされるのはゼロディくらいに限定されてしまう。評価できるなら、その時点で対策をアドバイスして欲しいと思う会社も多いだろう。また、保険ならではの過失相殺といった要素があるのなら、重過失と過失の線引きはどうするのだろう。
省庁のサイトでさえ不正アクセス、改ざんされている現状で、企業として必要な対策水準を達成している強度というのは、どの程度なのだろうか。強度はISMSのようなマネジメントシステムとは違う意味合いだろうけれど、ISMSやプライバシーマークを取得している有名企業でも被害事例は起きている。強度は公表されるのか、保険の申し込み時に機密保持扱いで知らされるのか、その辺りも不明だ。
●サイバー保険の可能性を探る
この連載の読者層から考えて、実際に損害保険に勤務している人を除けば、多くは保険に詳しくないと思う。サイバー保険って広く多くの企業に入ってもらえる保険なのか、保険料の面から大企業に限られてしまうものなのか。加入の条件は厳しいのか、入っておいた方がいい保険なのか。保険の考え方を説明しつつ、整理していこうと思う。
