メニュー
ブログ

ブログ

Blog

【中小企業も標的に】急増するサイバー攻撃に備える!基本的な対策とサイバー保険について

2022.03.09 最終更新日:2022.03.09 保険情報

みなさま、こんにちは!営業の福田です。

3月に入りポカポカして気持ちがいい日が増えてきました!暖かくなってきたのはいいのですが、同時に花粉の時期が来ましたね。。。。。。

今や日本の国民病と言われている花粉症ですが、2人に1人は花粉症の自覚があると言われているそうです。

今年はコロナのせいもあってマスクを常時付けていますので、少しは対策になっていると思うのですが、先日朝からくしゃみが止まらなくなり、家族からはすごく嫌がられました笑

 

さて、花粉症やコロナに注意が必要ですが、個人も法人も一番注意しなくては行けないのは、サイバー攻撃に起因したウィルス感染などの被害です。

上記図の通り、サイバー攻撃は急増しており、2020年には日本国内に向けられたサイバー攻撃に関する通信は約5,001億件にものぼっています。

2022年現在は、ロシア・ウクライナ問題に伴い、サイバー攻撃が激化しております、サイバーセキュリティ社の調査では、2月16日以降、それまでの直近3ヶ月に比べて最大25倍ものサイバー攻撃が検知されているそうです。

実際に大手企業でサイバー攻撃の被害の報道が相次いでおります。2022年3月1日には、トヨタの部品メーカーにサイバー攻撃があり、国内の全工場が停止したニュースは大きく報道されました。

トヨタ きょう国内全工場の稼働停止へ 取引先へのサイバー攻撃 | サイバー攻撃 | NHKニュース
https://www3.nhk.or.jp/news/html/20220301/k10013506341000.html

このトヨタの被害を受けて、サイバーセキュリティ強化について、関係7省庁(経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁)から改めて注意喚起がされております。

サイバーセキュリティ対策の強化について(注意喚起)
https://www.meti.go.jp/press/2021/03/20220301007/20220301007-1.pdf

サイバー攻撃は世界中どこからでも行われるので、日本でもこうした被害が今後更に増える可能性は高く、個人も法人も警戒が必要です。

 

弊社でも、先日社員宛になりすましメールが送られました。幸いセキュリティソフトが作動したため事なきを得ましたが、一歩間違えれば大変なことになっていました。

サイバー攻撃の脅威は色々ありますが、IPA(独立行政法人情報処理推進機構)が2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、2022年の情報セキュリティ10大脅威を発表しております。

様々な脅威やリスクがありますが、今回は実際にサイバー攻撃から身を守るために必要な、基本的な対策などをご紹介します。

 

  

【個人・法人共通】サイバー攻撃への対処は何をすればよいか?

ご自宅のネットワークやパソコンは狙われない。と思っているのであれば注意が必要です。実際に個人が被害にあうケースも出てきております。

また、働き方改革や新型コロナの流行により、テレワークや在宅勤務が浸透しており、サイバー攻撃を仕掛ける犯罪者は、強固な企業を狙うよりも、セキュリティが甘い個人を狙っております。

もちろん在宅勤務がなく、ご自宅で仕事をしていなくても、しっかりと基本的な対策をする必要があります。

法人(会社)の環境についても注意する点は同じなので、以下は必ずチェックしてください。【あくまでも基本的な環境の基本的な対策となります】

(1) パソコンのOSや利用しているソフトウェアを最新に保つ

WindowsやMacのOS(オペレーティングシステム)を最新の状態に保ちましょう。WindowsであればWindowsUpdateの自動更新を設定しておくのがオススメです。(なおWindows7はサポートが切れております、Windows8も2023年1月には延長サポートが終了するので、Windows10への移行をオススメします)

また、利用しているブラウザやその他ソフトウェアも最新版にしてください。特に「インターネットエクスプローラー(IE)」のブラウザはセキュリティが低いため、今もIEを利用している場合は、新しいブラウザ(edgeやChrome)を利用する様にしましょう。

 

(2) ウィルス対策ソフトの導入とパターンファイル最新化

パソコンにウィルス対策ソフトは入ってますか?Windows10であれば標準で搭載されているWindows Defenderが有効になっているか確認してください。有料のウィルス対策ソフトを導入している場合はライセンス期限が切れていないか?の確認をしましょう。また、パターンファイルが更新されているかの確認も重要です。

 

(3) ルーター等のIDとPWを確認する

ルーターとは、パソコンやテレビ、スマホ等のデジタル機器を、1つの回線でインターネットへ接続するための機器です。ご自宅でインターネットの環境がある場合は必ずルーターがあります。(無線Wi-fiルーター等とも呼ばれて、無線LANを利用する際にも必要です)

このルーターですが、古いルーターだと管理画面へのログインIDとPWの初期設定が簡易的な設定になっている事があります、またはルーター設置した人(業者や本人)が簡易的または予測可能なIDとPWにしている場合もあります。

ルーターの初期設定を確認して簡易的または予測可能なIDとPWの場合は必ず変更しましょう。
※ルーターだけではなく、ペット用のお守りカメラなどのWebカメラが接続されている場合も、初期IDとPWの変更を行いましょう。

 

(4) ルーター等のソフトウェア(ファームウェア)を最新版にする

ルーターにもルーター自体の機器を制御するソフトウェア(ファームウェア)が入っております。そのファームウェアが古いままだとセキュリティに問題がある可能性ありです。ルーターのメーカーや型番を確認してファームウェアの更新を行いましょう!

  <各メーカーの確認方法>

   BUFFALO https://www.buffalo.jp/support/faq/detail/15826.html

   I-O Data https://www.iodata.jp/support/qanda/answer/s30168.htm

   エレコム  http://qa.elecom.co.jp/faq_detail.html?id=8203

   NEC(Aterm) https://www.aterm.jp/support/qa/qa/00053.html

   TP-Link https://www.tp-link.com/jp/support/faq/2139/

 

(5) サポート切れのルーターは買い替えを検討する。

そもそも機器自体が古いとサポートが切れて、ファームウェアの更新が行われていない場合もあります。その場合は出来る限り最新版に買い替えをしましょう。買い替えのサイクルとしては購入日から(機器の発売日によって前後することもあるが)6年以上のルーターは買い替えの検討をオススメします。

ルーターはセキュリティの問題もありますが、機器自体の不調やネットワーク規格(特に無線Wi-Fi)が変わる事があるため、ルーターを買い換える事でインターネット速度が上がる副次的な効果も期待できます。

 

 

【法人向け】サイバー攻撃への対処は何をすればよいか?

法人の基本的な対策ですが、上記画像のとおりです。上述した【個人・法人共通】の基本的な対策と重なる部分も多いですが、法人で一番ポイントとなるのは「最新情報収集と、従業員へのセキュリティ教育」です。

法人は常に最新情報に触れて従業員にフィードバックする事や、定期的なセキュリティ教育が重要です。

法人の基本的な対策については、IPAの「中小企業の情報セキュリティ対策ガイドライン」にある「情報セキュリティ5か条」に詳細が載っているので、そちらもご確認ください。

情報セキュリティ5か条 – IPA
https://www.ipa.go.jp/files/000055516.pdf

これらの基本的な対策が不足している場合は、すぐに実施しましょう。すべて「無料」で対応が出来ます。

しかし法人は「基本的な対策」だけでは足りません。自社の環境や予算によってサイバーセキュリティ対策を実施する必要があります。

例えば技術的な対策として、有料ウィルス対策ソフトの導入、UTM(統合脅威管理)の導入、システムの冗長化、MDM(モバイルデバイス管理)の導入など様々なサイバーセキュリティ対策があります。

これらはいずれも対策として有効ですが、大きな費用(コスト)が掛かります。

 

法人はサイバーセキュリティ対策をどこまで実施すればよいか?

技術的なサイバーセキュリティ対策を行うには対策費(コスト)をどのぐらい掛ければ良いのか?とても難しい問題です。

自社の状況・予算・システム規模によって検討を進める必要がありますが、 「被害想定額」を上回る「セキュリティ対策費」の投資は現実的ではありません。

また、これだけITが普及し利用している現代では完全無欠なセキュリティ対策は不可能に近いです。どれだけ万全を尽くしてもリスクは残ってしまいます。

そこで重要なのがリスクマネジメントやリスクコントロールです。サイバーセキュリティに関するリスクを技術的な対策でどこまで減らして、どこまで許容するのか?です。

一番問題となるのは「リスク頻度は低いが、コストが高すぎて対策が出来ない」「そのリスクを許容出来ない」場合の【移転】部分です。そこで役に立つのがサイバー保険なのです。

 

サイバー保険はどの様な内容なのか?

サイバー保険はサイバーリスクに起因して発生する様々な損害に対応するための保険です。主な補償内容は3つになります。(サイバー保険は法人・個人事業主のみご加入可能です)

(1) 損害賠償責任
IT業務や自社コンピューターシステムの所有・使用・管理等に起因して発生した不測の事由による他人の損失や個人情報漏洩等について、法律上の損害賠償責任を負担することにより被る損害を補償します。

  • 感染したコンピュータシステムのデータをUSBメモリで取引先に提供したところ、取引先のコンピュータも感染し、データを消失させた。
  • 顧客の個人情報が記録・管理されていたサーバーに社外の者が不正アクセスし、3,000人分の個人情報が盗まれた。数日後、一部の顧客からプライバシーの侵害を理由に損害賠償を請求された。
  • システム設計を請け負い、完成したシステムを納品したところ、設計の過誤によりシステムが停止してしまった。納品先企業が休業となり、損害賠償請求訴訟を提起された。

 

(2) 事故対応費用
情報漏えいやサイバー攻撃に起因して一定期間内の生じたサイバー攻撃対応費用・再発防止費用や訴訟対応費用を被保険者が負担することによって被る損害を補償します。

  • 情報を管理するサーバーが不正アクセスを受け、外部業者に依頼し原因を調査する費用、事故の再発防止策に関するコンサルティング費用を支出した。
  • 顧客へのダイレクトメールの作成・発送を受託した外部の業者が顧客情報を流出させた。新聞に謝罪広告を掲載するとともに、顧客に対して見舞金の支払い・お詫び状の発送を行ったため、多額の費用を支出した。

 

(3) 利益損害・営業継続費用
不測かつ突発的なコンピューターシステムの操作、データ処理の過誤等またはサイバー攻撃に起因して、所有使用するコンピューターシステムが機能停止することによって生じた利益損失、営業継続費用を補償します。

  • 情報を管理するサーバーが不正アクセスを受けて機能停止し、利益の損失が発生した。

 

以上となります。 まとめますと「個人情報漏洩」「サイバー攻撃」などが原因となる「第三者への賠償」「事故対応の諸費用」「休業時の費用補償」が補償対象になります。

仮にサイバー攻撃が発生した場合に、どの様な流れで、どの様な対応が補償されるのかを表したのが以下の図となります。

  

 

サイバー保険に加入する際のポイント

サイバーセキュリティに対する意識は日増しに高まっております。サイバー攻撃は自然災害などの対策と同様に脅威を認識しリスクコントロールする必要があります。

自然災害に備えるために加入する「火災保険」「地震保険」と同様に、サイバー攻撃に備えて加入する「サイバー保険」も将来的には一般的な考え方になるかもしれません。(経済産業省はサイバー攻撃の対策手段の1つとしてサイバー保険への加入検討を推奨しております。)

サイバー経営ガイドライン – 経済産業省
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf

  

(1) 自社のセキュリティ対策の把握とできる限りの対策をする
サイバー保険の保険料はセキュリティ対策の状況に応じた割引割増制度があります。

自社のセキュリティ対策が脆弱だと高くなりますし、逆にしっかりと対策をしていると最大で60%も割引になるケースがあります。

 

(2) 補償内容を把握し、事故対応費用の金額を検討する
実際に被害を受けた時に、費用面での負担が多くなるのが事故対応費用です。

調査やデータ復旧、コールセンター設置などいくらくらい必要かを想定して保険金額を設定する必要があります。実は高額なのが調査費用です。例えばですが、一般的にサイバー攻撃を受けた場合の調査費用はPC1台について約100万円かかるとも言われています。

サイバー攻撃を受けると同じネットワークの機器も攻撃を受けますので、PC等の機器の台数や攻撃の規模によっては調査費用だけで数千万円かかるケースもあります。

 

(3) 複数の保険会社を比較する
サイバー保険には補償だけでなく、ご加入者の方が利用できる付帯サービスが有ります。

緊急時のトラブル対応やリスク診断サービス、情報提供などがあります。特に緊急時の対応については、セキュリティの専門部署が無いような中小企業にとっては非常に重要です。

この付帯サービスについても各社異なる点がございますので、比較検討することをおすすめします。

 

サイバー保険を取り扱う保険会社は多数ありますが、補償内容や付帯サービスについても異なる点があるので、比較検討する事が重要です。

【サイバー保険の加入について(2022年3月現在)】
東京海上日動火災「サイバーリスク保険」
サイバーリスク保険 | 賠償責任の保険 | 東京海上日動火災保険 (tokiomarine-nichido.co.jp)

あいおいニッセイ同和損保「サイバーセキュリティ保険」
サイバーリスクの脅威と保険 | あいおいニッセイ同和損保 (ad-cyber.com)

損保ジャパン「サイバー保険」
サイバー保険 | 【公式】損保ジャパン (sompo-japan.co.jp)

三井住友海上「サイバープロテクター」
サイバープロテクター|法人のお客さま|三井住友海上 (ms-ins.com)

AIG損保「CyberEdge2.0」
CyberEdge2.0 | 法人のお客さま | AIG損保

商工会議所「情報漏えい賠償責任保険~サイバーリスク補償型」
情報漏えい賠償責任保険制度~サイバーリスク補償型 | 商工会議所会員向け保険制度 (ishigakiservice.jp)

 

サイバー保険は弊社にご相談ください。セミナーも開催してます

弊社ではお客様に分かりやすい比較表を用意しておりますので、お気軽にご相談下さい。お客様にマッチしたサイバー保険をご提案させて頂きます。

また定期的にサイバーセキュリティに関するセミナーも実施しております。このセミナーはサイバー保険の説明だけではなく、セキュリティの基本的な考え方や対策などの説明もしております。参加費は無料となっておりますので、是非ご参加下さい。

他人事ではない?サイバー攻撃に必要な「知る」「守る」「備える」セミナー

+━━━━━━━━━━━━━━━━━━━━━━━━━━━━━+
 弊社では皆様のお役に立てるメルマガを毎月1回配信しております。
 ご希望の方は下記よりご登録ください!

 企業のリスクを題材としたメールマガジンの申込はこちら
 https://www.gripletter.jp/regist_newsletter.php?dname=Safety-i
+━━━━━━━━━━━━━━━━━━━━━━━━━━━━━+

ご相談はこちら

ネットでご契約
電話でのご相談
営業時間 平日9時~18時 土曜9時~12時(日祝休み)
WEBからのご相談