Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

サイバー保険普及のカギは経営者の危機感

日経新聞にサイバー保険加入が低調である旨の記事が出ていました。

www.nikkei.com

 

 

元ソース日本損害保険協会)

 

日本損害保険協会は1月末、中小企業がサイバー攻撃に備える保険について調査を発表した。サイバー保険の加入率は同保険を知っている中小企業でも6.9%東京五輪を控えてサイバー攻撃の増加が懸念されるにもかかわらず、加入率の低さが目立った。

普及低迷の事情を探ると「個人情報が1件500円の国だから」(大手損保)と、個人情報を漏洩させた場合の賠償額の低さを指摘する声が聞こえてきた。2014年に発覚したベネッセコーポレーションの大規模な個人情報流出を巡る対応の記憶が今なお、サイバー攻撃への海外並みの備えを阻んでいるようだ。

(日経記事より引用)

 

 

キタきつねの所感

興味深い記事でした。現在のサイバー保険加入率が圧倒的に低い、この状況は東京五輪(※開催大丈夫でしょうか・・・)に向けて、日本全体への攻撃が増加すると予想されている中で、企業の準備が間に合ってない事を示唆していて気がかりです。

また、元ソースを見てみましたが、日本の中小企業は攻撃者側から見ると狙いやすい環境である事が浮き彫りになっている様に思えるデータが多数ありましたので、以下にコメント(勝手な意見)を付けてご紹介します。

(※以下、日本損害保険協会の調査結果を引用します)

 

 

■「自社がサイバー攻撃の対象となる可能性は(低い)」

中小企業:34.7% 大企業:10.1%

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

サイバー攻撃を受ける対象ではないとは自社評価であって、ランサム被害でビジネスが止まる際に身代金(ランサム)を払う対象、あるいは取引先を狙った(サプライチェーン)攻撃の踏み台、自社の特許等の技術情報・・・自社が保有する「資産」は物理的なものだけではなく「企業の信用」まで潜在的に含まれている事に対して、中小企業の認識が薄い気がします。

f:id:foxcafelate:20200301091650p:plain

 

■「サイバー攻撃に対する対策はしていない」中小企業:24.0% 大企業:1.9%

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

ノーガード戦法は経済合理性を考慮する経営者視点として理解できなくはありませんが、現状認識が甘い気がします。

f:id:foxcafelate:20200301092103p:plain

 


■「サイバー攻撃対策を行っている企業、2年前に比べて投資額は増えた」

 中小企業:17.7% 大企業:41.0%

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

経営者マインドとして、中小企業は70%以上が「現状維持」(=あまり予算をかけない状態の維持)を選択しています。これは経営者側がサイバー対策を重視しないマインドの問題が大きいかと思いますが、一方で損害保険会社にも(販売の仕方や説明等で)問題がある気がします。

f:id:foxcafelate:20200301092235p:plain

 

■「サイバーセキュリティ対応・対策は十分かどうかわらかない」

 中小企業:51.8% 大企業:49.3%

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

この数字は「十分」か「不十分」に大きく割れるのが、本来あるべき姿な気がします。「どちらともいえない」が大勢を占めるのは企業が正しくリスク把握をしてない可能性を感じます。自社で出来ないのであれば、専門会社にアセスメントさせる事も必要かと思います。

f:id:foxcafelate:20200301101332p:plain

 

■「被害を受けた事のあるサイバー攻撃は?」

 中小企業:フィッシング47.1%、マルウェア34.8%、ランサム25.8% 

 大企業:フィッシング45.5%、マルウェア41.6%、ランサム39.0%

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

企業が攻撃を受けている(防衛できているとしても)事がこのデータから浮かび上がります。他社のセキュリティ担当の方と話すと、去年後半から「外部攻撃は増加している」と話す方が多いので、個人的な印象ではありますが、直近の数字はもう少し悪くなっている気がします。

ヒヤリハットが増えていても、予算をかけないのだとすれば、被害(インシデント)は現実のものになる可能性が高いかと思います。

f:id:foxcafelate:20200301101713p:plain

 

■「サイバー攻撃の被害総額」

 中小企業:(50万円未満)44.4% 大企業:(500万~1000万未満)24.0%

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

中小企業はサイバー攻撃対策にお金をかけたくない、このデータがその背景を物語っています。直接的な被害額は、一部の事例(APT攻撃等)を除いて、あまり大きくないと経営者に映っているのだと思います。

※この数字にはおそらく対応人件費や企業信用などの副次的な被害が含まれていません。

f:id:foxcafelate:20200301102041p:plain

 

■「サイバー攻撃の被害時の影響」

 中小企業:復旧費用の捻出48.5%、営業機会の損失35.3%、納期遅れ25.0%

 大企業:営業機会の損失42.2%、社会的評価の低下42.2%、復旧費用の捻出37.8%

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

サイバー攻撃を受けての内部コスト(人件費等)は、この設問だと納期遅れや営業機会損失に含まれているかと思います。復旧に際して業務が止まる、あるいは技術担当が本来業務を出来なくなる、これらのコストを前の設問の被害コストに含めると1インシデントが50万円以下で済まなくなる可能性を感じます。

※経営者は対応人件費をあまり考えていないのではないでしょうか

f:id:foxcafelate:20200301102421p:plain

 

■「サイバー保険に加入している」 中小企業:6.9% 大企業:30.8%

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

中小企業は、サイバー保険に入らない。更に言えば2.9%(およそ4割)が継続していない。これは問題かと思います。(乱暴な言い方ですが、保険会社の戦略ミスではないでしょうか)

f:id:foxcafelate:20200301103831p:plain

 

■「サイバー保険に加入した理由」 

中小企業:会社の信用力向上44.4%、保険会社(代理店)からの提案44.4%、ネット上での情報管理拡大29.6% 

大企業:サイバー攻撃を防げないから53.3%、ネット上での情報管理拡大51.1%、会社の信用力向上40.0%

f:id:foxcafelate:20200201105800j:plainキタきつねコメント

中小企業がサイバー保険に入った理由を見ると、保険会社(代理店)からの提案があったので入った、という理由が一番大きい様です。「ネット上で情報管理する機会が増えてきたから」「完全にサイバー攻撃を防ぐことはできないから」「いざという時の資金手当てをするため」「実際に被害に遭ったことがあるから」といった、自社でサイバー攻撃のリスクを認識して保険に入っているという理由を挙げている中小企業は、(大企業に比べて)少ない様です。

前の設問と合わせて考えると、保険会社に言われてお試しで加入したが、被害にも遭ってないし、無駄な費用だから継続しない・・・そんな背景が見えてくる気がします。

f:id:foxcafelate:20200301104014p:plain

 

 

レポートを改めて見てみると、データから浮かび上がってくるのは、経営者の危機感が薄いという事です。それは日経新聞の記事でも取り上げられていましたが、過去最大の個人情報漏えい事件を引き起こしたベネッセのお詫びが「1件500円」であった事も影響しているのかと思います。

 

ベネッセHD最終赤字136億円 情報漏洩で特損260億円 :日本経済新聞

※500円が独り歩きしていますが、特損260億円、あるいはその後のビジネス上の会員数大幅減少や、赤字を考えると経営インパクトが大きいと思いますが・・・

 

余談となりますが、500円はお詫びの品の話であって、一部会員(462人)の訴訟では、情報漏洩による精神的苦痛に対して3千円の慰謝料東京地裁判決が出ています。

ベネッセ情報流出、1人3300円賠償命令 東京地裁判決 :日本経済新聞

 

私は日経の記者さんが挙げた、「500円」以外にもベネッセ事件での別な判決が中小企業の経営者マインドに影響している気がします。

 

それは2018年9月の当時の経営層(原田元会長含む)に対する株主代表訴訟に対して、岡山地裁請求棄却判決を出した事です。

 

ベネッセ株主の請求棄却 顧客情報流出事件で - 産経ニュース

ベネッセの顧客情報漏えい事件を振り返る - Fox on Security

 

この裁判は、上級審まで続くのではないかと思いますが、もし株主代表側に勝訴の判決が出ていたら、中小企業の経営者にも「セキュリティは経営者責任」である事をより強く印象づけられた気がします。

 

経営者の危機感をより一層強くするには、サイバー攻撃の脅威が増している事の社内(情報システム部門)からのインプットを強くする事、GDPRの様な規制(罰金)強化、あるいは米国の様な株主代表訴訟で、経営層の不作為を株主が追及しやすくなる事などがあるかと思います。

 

しかし、もう1つ”効く”のは、前出の「サイバー保険に加入した理由」にて選択肢として挙げられていた、「取引先から加入を強く推奨されたから」「加盟団体から加入を強く推奨されたから」「親会社から加入を強く推奨されたから」 といった自社サプライチェーンからのセキュリティ強化の要請だと思います。

 

業界ガイドラインの遵守、こうした事に対しては日本の経営者も敏感かと思います。あるいはビジネス取引において、見積もり(価格)以外にセキュリティ体制も選定条件に入る様であれば、もっと中小企業の経営者の認識も変わってくるのではないでしょうか?

 

 

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 鍵屋のイラスト

 

更新履歴

  • 2020年3月1日 AM(予約投稿)