(この記事は米国 Tech Page One ブログの抄訳です。オリジナルはこちらからご覧いただけます。)

サイバー保険は、データ侵害による企業の損害を補償してくれますが、今のところ加入数は多くありません。

Michael O'Dwyer - Tech Page One 2014年4月15日

去る 2013 年 8 月、Ponemon Institute 社が発行したレポートによると、「事業存続を危機にさらす最大の脅威は何か?」という問いに、76% の企業がサイバー攻撃と答えています。また、Symantec 社の『2013 Norton Report』によると、サイバー犯罪による企業の被害額は 1,130 億ドルに上ると報告されました。オーストラリア・シドニーにて企業保険のオンライン比較・購入サービスを提供している BizCover 社の創設者兼代表取締役、Michael Gottlieb 氏によると、「サイバー犯罪は、世界中でますます深刻化してきている」と憂慮します。


Barger & Wolen LLP の Travis R. Wall 氏によると、万が一データ侵害に見舞われたら、どれくらいの時間とコストが費やされるのか、正しく理解している企業は少ないとのこと

多くのサイバーセキュリティエキスパートは、データ侵害や損失から企業を救うのに、サイバー保険が役立つと口を揃えます。「サイバー犯罪はますます巧妙化し、セキュリティ対策コストは増える一方のため、規模の大小を問わずどんな企業も、リスクに備えて保険をかけるべきです。」 (Gottlieb 氏)

米サンフランシスコで保険を専門とする法律事務所、Barger & Wolen LLP の共同経営者で、同事務所内にサイバーリスク&テクノロジーグループを立ち上げた Travis R. Wall 氏によると、「サイバー保険に加入していない企業は、これらのリスクがもたらす被害から自社を守ることはできない」と言います。「大手だろうと小規模企業だろうと、損害額が途方もなく大きくなることもあり得ます。」

しかし、サイバー保険の加入率はそう高くありません。Ponemon の調査では、回答した 683 社中、保険を契約していたのはわすか 31% に過ぎませんでした。その理由は、サイバー保険がまだ目新しい分野だからかもしれません。企業は、自分達が一体何を買おうとしているのか分からないのです。しかし、それはまさに、小~大規模企業の時代遅れな考え方を象徴しています。

 

小・大規模企業の誤解

多くの小規模企業は、先日被害にあった Target のような大企業ならともかく、「自分達はハッカーの興味など惹かない」と信じています。「ほとんどの小規模企業は、いまだにサイバー攻撃を SF の中の出来事と捉えており、自分達がよもや被害に遭うとは思っていない」と指摘するのは、米デラウェア州ウィルミントンで SMB 向けにクラウドベースのセキュリティ (Unified Threat Management、統合脅威管理、UTM) サービスを提供している MyDigitalShield 社の CEO、Andrew Bagrin 氏です。

しかし、Gottlieb 氏は、大手組織よりむしろ小規模企業の方が、リスクが高まる恐れがあると警告します。「規模の小ささが、感染の免疫になると思ったら大間違いです。それどころか、大手のような先進のセキュリティ対策もなければ、然るべきプロセスも整備されていない分、標的になりやすいのです。」 (Gottlieb 氏)

その一方で、大手企業は、自分達の IT 部門が自社を守ってくれると信じています。MyDigitalShield 社の Bagrin 氏によると「大手企業は典型的に、サイバー保険までかけるのは行き過ぎ、と思っている」とのこと、「一般に大企業の人々は、保護対策は現状で十分と感じており、起きる可能性がほとんど無い事に、余計なコストをかける必要はない、という立場です。」

保険料は今のところ高いかもしれませんが、いずれ加入数が増えれば掛け金は下がるものと同氏は見ています。「[サイバー] 保険の人気は今のところまだ下火のため、少数の加入企業をカバーするためには、掛け金を高めに設定せざるを得ません。」 (Bagrin 氏)

 

幅広いサイバー保険料金

サイバー保険の掛け金は、会社の規模、会社が抱える顧客数 (該当する場合)、保管している機密情報の量などによって異なります。

「企業が被り得る損害額の算定には多くの変数が介在し、どのレベルまでカバーするのかによって、また、被保険者のリスクプロファイルによって、大きく異なります。」 (Gottlieb 氏)  たとえば、「従業員数 5 人の小規模なグラフィックデザイン事務所が適切な補償レベルの保険を契約するには、年間 AU$ 500 [US$ 470] ほどになる」とのこと、しかし、「100 万人ほどの顧客記録を維持し、包括的なレベルの補償を求める大企業であれば、年間 AU$3,500 [US$ 3,292] 前後が必要でしょう。」 (Gottlieb 氏)

企業が適切なセキュリティ対策、スタッフ教育、BC (事業継続性) プランなど、多くのプロセスを実装すれば (これらは本来、既に実装されているべきものですが)、掛け金を節約することができます。

Barger & Wolen LLP の Wall 氏は、適切な補償レベルを決めるときは、自社固有のニーズに加重をかけて慎重に決定するようアドバイスしています。「保険会社は、[補償オプションを] 数多く提示しますが、必ずしもすべての会社にすべてが当てはまるわけではありません。」 (Wall 氏)

また、自社の「最低限」の要件には、確実に対応できるようにしておくこと、と同氏は勧めます。「すべての企業は、従業員や顧客の個人情報の紛失、盗難に備え、データセキュリティ保険をかけるべきです。」 (Wall 氏) 「一般にサイバー保険契約の場合、被保険企業自身の詐欺/不正行為や、故意の法規制違反については、保険適用外となります。」

「リスクには様々な側面があり、標準的なビジネスリスクの部分と、[サイバー] 保険が適用できるリスクがある」とのこと、Gottlieb 氏はその違いを理解することが重要と考えています。

また、Bagrin 氏は、サイバー保険の加入数を増やすには、容易にオンライン購入できる仕組みが必要、と言います。

最後に Wall 氏は、次のように指摘します。「重役陣は、データセキュリティ関連の決定にほとんど関わっていませんし、事故発生時に対応することも稀です。企業がサイバーセキュリティに十分投資せず、また、サイバー保険を重視できないのは、リスクに対する認識の甘さと、重役陣のデータセキュリティに対する関与の低さが原因ではないでしょうか。」

 

 

 

デルのセキュリティソリューションに関するお問い合せは
こちらからご連絡ください。