(※画像はイメージです Photo AC)

今回紹介する報告書は、英国のロイズ保険組合が、四大会計事務所の1つである KPMG と、ロンドンに本拠地を置く国際法律事務所である DAC beachcroft の協力を得て 2017 年 6 月に発表した『Closing the gap - insuring your business against evolving cyber threats』である(以下、「本報告書」と略記する)。

本報告書のタイトルにある「gap」とは、IT 関連の事故や犯罪(ネットワークからの不正侵入や情報漏えい、改ざん、DDoS 攻撃など)によって発生している損害と、このような IT 関連のリスクに対する損害保険の活用状況との間のギャップである。本報告書の 32 ページ目に書かれている次の文章が、その問題意識を端的に表している。

欧州の経済規模は米国に近いにもかかわらず、欧州におけるサイバーリスク関連の損害保険購入額はとても低い。ある試算によると、米国企業はサイバーリスク関連の損害保険に、年間およそ 25 億ドルを費やしているが、欧州ではおよそ 1.5 億ドル程度である。


本コラムで以前に紹介した、米国の Ponemon Institute による報告書(注 1)では、世界各国の経営者や管理者層、実務者を対象としたアンケート調査から、同様の問題にアプローチしているが、本報告書は様々な調査によるデータを元に構成されている。

いずれも保険会社による調査報告書であるから(注 2)、損害保険のプロモーションとしての意味合いが多分に含まれているが、その点を割り引いたとしても、企業が検討すべき多くの示唆が含まれているので、ここで紹介したい。

サイバー攻撃の類型

本報告書ではまず、様々なサイバー攻撃を図 1 のように 3 つの類型に分けている。「コモディティ化した攻撃」とは、トロイの木馬(注 3)、ランサムウェア(注 4)、DDoS 攻撃(注 5)など、不特定多数を対象としたものであり、ほとんどはサイバー犯罪のネットワーク上で流通している、汎用的なツールを利用して行われている。

図 1 サイバー攻撃の類型 (出典:Closing the gap - insuring your business against evolving cyber threats)

「対象を絞った攻撃」とは、富裕層の個人や、特定の企業を狙ったもので、ログインアカウントの不正利用や、なりすまし、ソーシャル・エンジニアリング(注 6)などの手口が使われる。

また「ハイエンド向けの攻撃」とは、金融システムや社会インフラを対象としたもので、例としては、2016 年に国際決済ネットワークである SWIFT で発生した不正送金や、2015 年にウクライナの発電所の機能を停止させ、最規模停電を引き起こしたサイバー攻撃などが挙げられている。

サイバー犯罪による損失額

また、「サイバー犯罪による真の損失」(The true cost of cyber crime)という章では、IT 関連の事故や犯罪によって発生するコストを、次のように「即時の損失」(immediate costs)と「あとから来る損失」(slow-burn costs)とに分けて整理した上で、特に「あとから来る損失」が非常に大きくなりうることを、具体的な事例とともに示している。

即時の損失
フォレンジック調査費用(注 7)、訴訟費用、顧客への連絡費用、事業中断による損失、物理的損害、システム修復・改善費用、など
あとから来る損失
レピュテーションの毀損による顧客離れ、法規制による罰則金、競争上の優位性の喪失、株価下落、利益の減少など


例えば米国のディスカウントストアである Target で発生した、クレジットカード情報盗難事件では、「即時の損失」が約 68 億円であったのに対して、「あとから来る損失」が 250 億円以上であったことが示されている。

他にも、サイバー犯罪の手口に関する動向や、業種ごとに留意すべき点など、示唆に富む報告書となっているので、この分野にあまり関心をお持ちで無かった方々には特にご一読をお勧めしたい。

■ 報告書本文の入手先(PDF 36 ページ/約 5.6 MB)
https://www.lloyds.com/lloyds/about-us/what-do-we-insure/what-lloyds-insures/cyber/cyber-risk-insight/closing-the-gap

注 1)2017 年 5 月 9 日付「情報リスクに対する保険の活用は世界的にも遅れている」(http://www.risktaisaku.com/articles/-/2791

注 2)Ponemon Institute の調査では大手保険会社の Aon がスポンサーとなっている。

注 3)無害なプログラムやデータファイルを装っていながら、パスワードの奪取やファイルの削除など、悪意のある機能を実行するプログラムの総称。

注 4)PC をロックしたりデータを暗号化したりして使用不能にした上で、身代金の支払いを要求する不正プログラム。

注 5)distributed denial of service の略で、ネットワーク上にある多数のコンピュータから、特定のサイトに集中的にアクセスして負荷をかけ、攻撃対象のサイトで稼働しているサービスを低下させたり、利用不能にする攻撃手法。

注 6)メールや電話などで騙して、ある行動をとらせたり、秘密情報を聞き出したりすること。

注 7)フォレンジックとは、コンピューターやネットワークシステムに残されたログや、ハードディスクの状況などを、専門的な技術を駆使して詳細に調査し、裁判で使うための証拠を収集することである。

(了)