「2019 Cyber Catalyst Designations」プログラムとは何か
プリセールスエンジニアリング統括本部カスタマーイノーベーション本部
ソリューションセンター 崔 容準氏(写真左)
マーシュジャパン株式会社 サイバーリスクプラクティス、ディレクター・シニアバイスプレジデント
佐藤 徳之氏(写真右)
本セッションは2部構成の講演となった。前半はマーシュジャパンの佐藤氏が「サイバーリスク保険活用のベストプラクティス」について紹介し、後半は日本ヒューレット・パッカードの崔氏から「新しいデジタル世界での、インフラレベルのセキュリティ」について語られた。
冒頭マーシュジャパンの佐藤氏から、マーシュとHewlett Packard Enterprise(HPE)との関係性が紹介された。マーシュは「2019 Cyber Catalyst Designations」というプログラムを開始している。これは、マーシュおよび大手保険会社がサイバーセキュリティのリスクを軽減するソリューションを選定することで、その認定製品を利用する顧客はより有利なサイバー保険の契約条件を得られるというもの。
「2019 Cyber Catalyst Designations」プログラムでは、大手保険会社8社による投票で150の製品・ソリューションの中から17製品が選定され、HPEの製品は「HPE Silicon Root of Trust」「Aruba Policy Enforcement Firewall」の2製品が選ばれているという。
続いて佐藤氏はサイバー攻撃への対応状況について紹介した。サイバー攻撃への対応で日本を含むアジアは遅れているようだ。佐藤氏によると、外部通知による攻撃発見までに要する時間は1,088日ーー3年以上侵入されている状態だ。これは世界平均の5.8倍、米国企業の8.7倍となる。また、内部発見による発覚には米国企業が42.5日であるのに対し、アジアは7.5倍の320.5日という。侵入後の潜伏期間は1,498日、これは米国企業の6.5倍だ。
物理的な安全対策と性質が異なる上、システムがダウンしたり、機密情報が盗まれると巨額な損失を計上しかねない。サイバー攻撃を含むリスクマネジメントの文化が根付いている欧米では、サイバー保険は1999年より商品として存在しており普及しているが、日本でも関心が高まっているという。
佐藤氏によると2019年まで日本の大企業は、「サイバーはテクノロジーや技術的問題なので役員マターではない」「うちの会社には大した情報も知財もない」という姿勢が多かったが、「海外の現地法人がランサムウェアによる被害を受けた。保険手配が間に合っていないが、至急グローバルベースで手配できないか?」「IT部門は保険について否定的。保険掌握部門としてIT部門との対話を進めるためのサポートをお願いしたい」といった問い合わせが増えているという。
適切なサイバー保険の選び方
サイバー攻撃に対して企業はどのようにリスクマネジメントをすればいいのだろうか。佐藤氏によると、サイバーリスクマネジメントは以下の3つの柱があるという。
- 運用
- リスク転嫁
- 技術
このうち、最も重要なのが「技術」で比重は40%、「運用」と「リスク転嫁」はそれぞれ30%とする。サイバー保険はコンプライアンスなどと共に「リスク転嫁」に含まれるが、佐藤氏はその重要性について、「BCP(事業継続計画)発動のための想定外の追加コスト、収益減少、第三者への賠償コストを適切にヘッジできる」「初動を確実にする上での重要なサポートインフラになる」などを挙げた。さらに「既に欧米企業では取引先に保険証書を要求することはスタンダードであり、ベンダーに対する注意喚起のツールになりうる」と佐藤氏は付け加えた。
ではサイバー保険を選ぶ上で注意すべきポイントは何か? 佐藤氏はまず、欧米と日本の違いをいくつか紹介した。欧米ではインターネットライアビリティからスタートし、インシデントレスポンス補償、ペナルティ補償、物的損害なしの利益補償、サイバーイベントによる身体障害と進化してきた。
一方、日本では2004年に個人情報漏洩保険ができ、また2015年にサイバー保険が立ち上がったが、「第三者賠償が主で、欧米の一般的なサイバー保険と違う内容」とのことだ。
たとえばサイバー攻撃が検知された場合は、公的機関からの通報・届出、またセキュリティベンダーからの届出を要求したり、セキュリティベンダーに通報の上で攻撃があったことを確定してもらう必要があるなどの条件がある、と佐藤氏。「現状は保険会社様ごとに保険内容や発動条件が均一ではない状況です。私たちとしては、共通の内容でグローバルでも統一されたパターンでのプログラム提供をしていきたいと考えています」 と語った。
さらに佐藤氏は「サイバー保険は第三者補償保険というより、危機管理対応の保険」と指摘。「中でも初期対応でミスがないようにするためのものであり、その次に賠償や事業中断などへの対応があるべき」とした。合わせて、グローバルで統一したレスポンス体制を敷く必要があるとも述べた。
佐藤氏は最後に、サイバー保険の選択にあたって以下の5つの助言をした。
- 自社にとっての脅威となるサイバーインシデントの可能性の要素と最悪時の最大予想損害金額の確認(ヘルスチェックによる診断)
- どのシナリオに優先順位を置くかを可視化し、保険以外の手法で回避できる手段と保険活用が合理的かの判断をつける(リスク分析)
- 自社にとって回避すべき優先順位をもとに、理想の保険プログラムの設計図を描き、そこにインシデントレスポンス体制も含む(設計)
- 過去に実績がある保険会社を特定し、世界中の保険会社から交渉する。どのように組み合わせるかが肝(交渉と組成)
- 理想と想定される保険プログラムが国内外のオペレーションの責任者やIT責任者にとっても納得できるかの検証とすり合わせをして、その後ローンチ(機能性の確認と立ち上げ)
