マルウエア(悪意あるプログラム)感染やウェブサイト改ざんなど頻発するサイバー攻撃は、その攻撃手法が高度化し、被害額も増加している。サイバーインシデントの経済的リスクが高まるなかで、その対策は喫緊の経営課題である。日本企業がとるべき選択肢を、スペシャルティ保険のプロフェッショナル、JLTリスク・サービス・ジャパンの古原研二氏に聞いた。
リスクは認識しつつも
損害額を把握できていない
「ワナクライ(WannaCry)」と呼ばれるランサムウエア(身代金要求型ウイルス)が2017年5月、世界的に猛威を振るった。150カ国で30万件以上の被害が出ていると推測されており、日本でも大手企業で情報漏えいや事業中断などの被害が報告されたのは記憶に新しい。
古原研二氏
なかでも深刻だったのは、英国の国民保健サービス(NHS)の被害だ。医療機器や病院のシステムがダウンし、一部の病院では診察や治療の予約をキャンセル、救急患者の受け入れも断らざるを得ない状況に陥った。
医療や製薬はサイバーリスクによるダメージが最も深刻とされる分野の一つだ。「製薬会社が保有する治験データは非常に価値が高く、外部からハッキングされたり、あるいは内部犯行によって持ち出されたりして、競合他社に流出してしまうケースが実際にあります」。こう説明するのは、サイバーリスク・コンサルティングを手掛けるJLTリスク・サービス・ジャパン(以下、JLT)のマネージング・ディレクター、古原研二氏。
また、病院の電子カルテには、患者の病歴などセンシティブ情報が記載されており、保存される期間も長い。こうした情報が漏えいすれば、さまざまなウェブサービスで不正利用されてしまう可能性がある。
先のランサムウエアをはじめ標的型攻撃メールやビジネスメール詐欺による被害など、サイバーインシデントの発生件数は年々増大し、攻撃手段・対象も多様化している。こうした事態を経営視点からはどう捉えるべきか。
「多くの欧米企業は、CRO(最高リスク管理責任者)を置き、ERM(全社的リスクマネジメント)フレームワークに沿った形で自社のリスクを見える化し、PDCAサイクルを回しています。これに対し、日本企業は危機が起きてから対応するケースが目立ちます。サイバーリスク対策についても、同業他社の動向を様子見する傾向が強く、リスクは把握していても、次の一歩を踏み出すことができていないのが現状です」。古原氏はそう指摘する。
欧米ではサイバーインシデントがマネジメント層の懸案事項の上位に位置付けられるが、日本ではインシデントが起きても開示義務がないこともあり、経営トップはリスクを認識しつつも、具体的な対策については明確な方針を持っていないのが実態だという。
「サイバーインシデントの損害額は増大しており、経済的なリスクは高まる一方です。一旦ことが起こったとき、自社はどのくらいの損害を被るのか、金額を把握できていない経営者がほとんどではないでしょうか」(古原氏)。
被害の大きさを考えればサイバーインシデント対策は経営の重要マターであり、企業を守るための投資であると捉える必要がありそうだ。「サイバーリスクをITセキュリティの強化だけで完全に回避することは事実上、難しい。保険によるリスク移転を含めた対策を考えるのが現実的です」。
