2022/09/01
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
小原 浩之
日本の大手総合商社に34年間籍を置き、営業を一通り経験した後、経営企画・連結経営リスク・BCP・個人情報保護・情報セキュリティおよびサイバーセキュリティに関する制度の立案・推進を長年リードしてきた経験を持つ。2018年5月から、英国を本拠地とする国際的NPOであるISFの日本および極東担当代表に就き、グローバル水準のコミュニティー形成を図っている。また、デジタルで繋がっていく「接続性」の中で、人の繋がりを重視した社会デザイン形成に貢献したいと願い、デジタルリスクに関する規範研究やコンサルティングをしている。
サイバー保険市場は紆余曲折を経ながらも成長しています。つまり、メリットを見極めて付保する企業は間違いなく増えています。
また、サイバー保険商品には、企業のサイバー攻撃防御力を高める効果を訴えるものもあると聞きます。もしもサイバー保険が、サイバー攻撃のせいで傷んだ事業の資金繰りを助けるだけでなく、企業体の免疫力向上につながる「ワクチン」効果を期待できるのであれば、魅力的です。さらに、「ワクチン」を関係企業集団で接種(購入)するようなことになれば、「集団免疫」も期待され、サプライチェーンセキュリティ問題という深い闇にも一条の光が、差し込むかもしれません。
今回は、「サイバー」予算の枠がきつくなってきた時(何時でもかもしれませんが。)に、サイバー保険の付保をするべきかどうか、というテーマでサイバー保険の今を切るISFのDistinguished Analyst、Paul Wattsの視点をブログから学んでみたいと思います。
(ここから引用)
Published: 11 Jul 2022
SOURCE:ComputerWeekly.Com
Paul Watts, Information Security Forum
「X会社がハッキングされた」という事件報道を目にする機会が増えていますが、このような事態を避けるためには、サイバー環境の整備や徹底したリスクマネジメントを行うということは王道と言えます。
しかしながら、たとえ自社が適切な予防措置を講じている幸運な会社であったとしても、悲観的な見方で申し訳ありませんが、セキュリティリーダーのおそらくほとんどの方は、今後しばらくの間に、自社がいつ事件に巻き込まれたか(もしも巻き込まれるかではなく)という話をするようになると私は確信しています。
このような状況を踏まえ、多くの企業はリスクの一部を移転し、最悪の事態が発生した場合に専門家のサポートを迅速に受けられるよう、サイバー保険に関心を寄せています。果たしてこれは、乏しい予算を有効に活用する方法なのでしょうか? それとも、二階で眠っている時に階下で物音がしたといって、羽毛布団を頭からかぶってしまうようなものでしょうか(何故って、値の張る羽毛布団の中はとっても安全ですからね!)?
サイバー保険の市場規模は、2020年には約70億ドルでした。これは、2025年までに約3倍の200億ドル以上になると予想されています。成長が予測されているにもかかわらず、市場はまだ成熟度を欠いており、保険会社は自分たちが知識不足に起因する損失を被る可能性があることに気づいています。
ある組織がサイバー攻撃を受ける可能性とその影響を見極めることは、例えば車の運転手が事故に遭う可能性を判断するような成熟した手法とは異なり、不確実性と推測に満ち溢れています。サイバー犯罪の発生率は驚異的なレベルに達しており、2021年には調査対象組織の66%がランサムウェアの攻撃を受け、1年間で78%も増加したと言われています。地政学的な情勢の不安定化、パンデミック、生活費の危機的高騰などは、増加の理由のほんの一部に過ぎません。2020年に行われた分析調査によると、保険金請求の平均額はおよそ500万ドルであり、その結果、昔に契約されたサイバー保険契約は、保険会社にとって損失額上位の保険商品になってしまっているとのことです。
このため、保険料と補償内容のいずれもが変動する状況に陥っています。ウォールストリート・ジャーナル紙によると、昨年の保険料は米国だけで前年比92%も上昇したとのことです(これは、市場の成長が期待されることの現れでもあるのでしょう)。また、潜在的な損失の抑制を図る保険会社の間では、保険加入資格や補償内容の厳格化も顕著になっています。
そこで、最も基本的な水準のセキュリティ統制をも証明できない企業は、いまや門前払いされるか、あるいはあまりにも高額の保険料を突きつけられるのが現実となっています。保険契約申し込みの際に行われるアンケート調査および事前審査は、これまで以上に細部にまでわたるようになり、あるISF会員は、このプロセスを「徹底的な監査」と形容しています。
保険会社は市場に関するデータを大量に蓄積してきていますが、大規模なコスト削減効果や保険商品の最適化が行われて、それが消費者に還元されるのはまだ先の話です。保険会社では、さらに、サプライチェーンのセキュリティリスクを管理するためのツールと同じ手法で、企業のセキュリティ状況を外部から可視化する「スコアカード」を提供する自動検出ツールも活用しています。また、数多くのメーカーも、自社のスコアカードがきちんと機能していることを保証するために、さまざまな努力を行っています。このようにして、自分の会社の概要が事前に明らかにされることで、保険料にも影響が出てくることを念頭においておく必要があります。そのため、この事前評価が常に正確であるように、スコアとその根拠の双方を確認する必要があります。
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線の他の記事
おすすめ記事
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
民間企業の強みを発揮し3日でアプリ開発
1月7日、SAPジャパンに能登半島地震の災害支援の依頼が届いた。石川県庁が避難所の状況を把握するため、最前線で活動していた自衛隊やDMAT(災害派遣医療チーム)の持つ避難所データを統合する依頼だった。状況が切迫するなか、同社は3日でアプリケーションを開発した。
2024/04/11
組織ごとにバラバラなフォーマットを統一
1月3日、サイボウズの災害支援チームリーダーである柴田哲史氏のもとに、内閣府特命担当の自見英子大臣から連絡が入った。能登半島地震で被害を受けた石川県庁へのIT支援要請だった。同社は自衛隊が集めた孤立集落や避難所の情報を集約・整理し、効率的な物資輸送をサポートするシステムを提供。避難者を支援する介護支援者の管理にも力を貸した。
2024/04/10
リスク対策.com編集長が斬る!【2024年4月9日配信アーカイブ】
【4月9日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:安全配慮義務
2024/04/09
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
![2021年BCP事例総まとめ[永久保存版]](https://risk.ismcdn.jp/mwimgs/a/6/160wm/img_a6cb301164bcf0e91b3b99a03924748a119304.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方