独自に開発したモデルで
サイバーリスクを定量化

 具体的に、サイバーインシデント対策はどのように着手すればいいのだろうか。「まずはサイバーリスクを定量化し、すべてのリスクエクスポージャーに対する損害額のシナリオを設定することが重要です」と古原氏は話す。

 JLTでは独自に開発した解析ツール「CVA(Cost & Volatility Analysis)モデル」を用いて、情報漏えいや事業中断、データ改ざん・消失などの事象ごとに、サイバーリスクの発生頻度と想定損害額を算出する。CVAモデルに必要な業種、資本金、利益などの基本情報は企業のウェブサイトやIR資料から入手し、CSIRT(Computer Security Incident Response Team)、CSIRP(Computer Security Incident Response Plan)、SOC(Security Operation Center)情報などは聞き取り調査したうえでモデルへ入力する。算出された数値はリスク分布分析、リスクマトリクス分析などと合わせてレポートとして提出される。

 「我々は、サイバーリスクの想定損害額を計測する際、再現期間(Return Period)と呼ばれる複数の想定期間における数値をクライアントに提示致します。この値は想定期間内に発生する最大被害額を示しています。企業としてより保守的にリスクを認識頂くための指標として、当社では再現期間250年の数値をベースとしたリスクマネジメントを推奨しています。コンサルティングの際に提示すると、『思っていた以上に損害額が大きい』という反応が多いです」。

 JLTでは想定損害額を明らかにしたうえで、保険へのリスク移転コストを試算。それを確認して、コンサルティングを依頼した企業は保険の限度額とサイバーリスクが生じた際の自己負担額(免責金額)を決める。ただ、自社の財務内容から想定損害額に十分耐えうると判断できれば、サイバー保険に加入しないという選択肢もあり得る。

 「大事なことは、自社が抱えるリスクを見える化し、経営トップに判断材料を提供することです。保険はあくまでリスク対策の一つです」と古原氏は強調する。