保険でサイバーリスク対策?

さまざまな対策を行っても、サイバー攻撃を完全に回避・防御することはできないと言われています。
セキュリティ対策は、取り得るセキュリティ対策を行いつつも、「完全に回避・防御することはできない」という前提のもとで、いかに早期に被害からの復旧・回復を図るかを考えることが必要です

サイバーセキュリティ経営ガイドラインにおいても、復旧・回復が重要項目として取り上げられています。

防ぎきれないサイバー攻撃。万が一のときの備えとして、保険という選択肢があります。

サイバーセキュリティ保険

  • セキュリティ対策の一助
  • 情報漏えい・サイバー攻撃の脅威に対する備え
  • まさかの時の初期対応 → 復旧 → 再発防止 のバックアップ

サイバーセキュリティ経営ガイドライン

参考:サイバーセキュリティ経営ガイドラインVer.3.0
(経済産業省/IPA)

サイバーセキュリティ経営ガイドラインとは、経済産業省が独立行政法人情報処理推進機構(IPA)とともに策定した、中小企業を含む企業の経営者を対象としたガイドラインです。サイバー攻撃から企業を守る観点で、

  • 経営者が認識すべき3原則
  • サイバーセキュリティ経営の重要10項目

がまとめられています。

経営者が認識すべき3原則

経営者は、以下の3原則を認識し、対策を進めることが重要である。

①経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要

②サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要

③平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

サイバーセキュリティ経営の重要10項目

経営者は、責任者となる担当幹部(CISO等)に対して、以下の10項目を指示し、着実に実施させるとともに、実施内容についてCISO等から定期的に報告を受けることが必要である。
自組織での対応が困難な項目については、外部委託によって実施することも検討する。

経営者がリーダーシップをとったセキュリティ対策の推進

●サイバーセキュリティリスクの管理体制構築

サイバーセキュリティリスクの認識、組織全体での対応方針の策定

サイバーセキュリティリスク管理体制の構築

サイバーセキュリティ対策のための資源(予算、人材等)確保

●サイバーセキュリティリスクの特定と対策の実装

サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

●事業に用いるデジタル環境、サービス及び情報を特定させ、それらに対するサイバー攻撃(過失や内部不正を含む)の脅威や影響度から、自組織や自ら提供する製品・サービスにおけるサイバーセキュリティリスクを識別させる。
サイバー保険の活用や守るべき情報やデジタル基盤の保護に関する専門ベンダへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる。

サイバーセキュリティリスクに効果的に対応するための仕組みの構築

PDCA サイクルによるサイバーセキュリティ対策の継続的改善

●インシデント発生に備えた体制構築

インシデント発生時の緊急対応体制の整備

影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を適時に実施するため、制御系を含むサプライチェーン全体のインシデントに対応可能な体制(CSIRT 等)を整備させる。
●被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。
インシデント発生時の対応について、適宜実践的な演習を実施させる。

インシデントによる被害に備えた事業継続・復旧体制の整備

●インシデントにより業務停止等に至った場合、企業経営への影響を考慮して、いつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備をさせる。
●制御系も含めた BCP との連携等、組織全体として有効かつ整合のとれた復旧目標計画を定めさせる。
業務停止等からの復旧対応について、対象を IT 系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習を実施させる。

サプライチェーンセキュリティ対策の推進

ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策

ステークホルダーを含めた関係者とのコミュニケーションの推進

サイバーセキュリティに関する情報の収集、共有及び開示の促進

補償内容について

(2024年1月承認)GB23-300200