Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

病院向けサイバー保険が企業意識に与える影響

日刊工業新聞の2月21日記事に、4月から損保ジャパン日本興和医療機関向けにサイバー保険を発売する内容が掲載されていました。

www.nikkan.co.jp

損保ジャパン日本興亜は4月に医療機関向けサイバー保険を発売する。病院がサイバー攻撃を受けたことで発生した被害や賠償リスクを補償する。医療機関に特化したサイバー保険は業界で初めて。「ランサムウエア」など企業に対するサイバー攻撃が話題になったが、特に人命を預かる病院で機能が停止すれば大事故につながりかねない。専用保険で医療機関の経営リスクをカバーする。(日刊工業新聞記事より引用)

保険の内容は、海外でランサムウェア等のマルウェア被害が続発している医療機関向けに特化した保険であり、日本では被害がまだ少ないものの、これから日本の医療機関サイバー攻撃事件が徐々に出てくると思いますので、非常に良い商品ではないかと思います。

 

損保ジャパン日本興和は、「サイバー保険・サイバーLite」という一般企業向けのサイバー保険も既に商品化しているので、その医療機関版という事なのだと思います。

 

個人的に心配なのは、こうした『リスクファイナンス』(※注)の有効な手段となるサイバー保険に入って安心し当然講じるべきセキュリティ対策がおろそかになる企業が増えることです。正直、セキュリティ対応はネットワークを閉域で作っている事が多い事以外では、まだまだ対策をすべきと思える医療機関が多いのではないでしょうか。WannaCryで大きな被害を受けた英国の国民保健サービス(NHS)はWindowXPが現役でした。安全に医療機器を動かす=患者の命を守る、という命題も併せ持つのが医療機関ですから、誤動作がたまに起きるリスクを考えて、パッチファイルを当てるのは最小限に抑えている所が多いはずです。

 

そうしたセキュリティ特性を攻撃側は十分に踏まえた上で、ランサムウェア攻撃や仮想通貨マイニングマルウェアを仕掛けてきているのが現状であり、特にランサムウェアではサイバー保険に入っている医療機関は『保険補償額までであれば、身代金をすぐ払う傾向があり、サイバー保険加入の医療機関が逆に狙われやすくなってしまうリスクが今後出てくる予想もあります。

 

参考

www.watchguard.co.jp

医療機関リスクファイナンスだけでなく、リスク対応・回避もバランスよく考える必要があるのではないでしょうか。記事によれば保険料は年間35万円~(100床以上)でサイバー攻撃だけでなく、情報流出による被害も補償するとありますが、あまりセキュリティ対策に積極的でない医療機関ばかりが保険に入ってしまうと、どんどん保険料が上がってしまうリスクも考えられます。

 

また、上記の理由で『サイバー保険に入っている』と対外的に公表するのは(将来を考えると)危険といえるかも知れません。普通の保険なら入っていると安心をPRできるかも知れませんが、それを見ている攻撃者が居るかも知れないと考えると怖い部分があります。

 

 

※注:リスクファイナンス

リスクの発生を抑止したり、損失を軽減するための対策ではなく、損失が発生した場合に備えて損失の補填や対応費用などを自社(リスク保有)または他社(リスク転移)で確保する事。

 

保険証券のイラスト

更新履歴

  • 2018年2月25日PM(予約投稿)