資料請求・お問い合わせ

SEが推奨する
サイバー攻撃に備えた
保険活用術

社内CRM開発を手がける現役SE

Sonpo Total Planner

損害保険トータルプランナー
この道15年の私が担当します!

事業者・ご担当者向け

資料請求でセキュビット制作
サイバーセキュリティ対策スタートブックを
無料ダウンロード

資料請求・
お問い合わせ

株式会社ベル保険事務所
代表取締役 本間理久ほんま さとひさ

2006年
社会保険システム受託会社にてシステムエンジニア・プログラマーになる
2009年
保険会社入社。入社後もWeb系の開発を独学で学ぶ
2011年
代理店入社。社内顧客管理システムの開発開始
2012年
社内顧客管理システムの運用開始
2019年
株式会社ベル保険事務所 設立。代表取締役になる
2024年
顧客管理システムの社外販売開始

過去最高を更新!日本へのサイバー攻撃

2014年から比べると25倍!

国立研究開発法人情報通信研究機構 (NCTI) が公表するNICTR 観測レポート2023によると、日本向けサーバー攻撃関連通信は過去最高となりました。
2014年時点では241億件だった攻撃数が2023年には6,197億件にまで増加しています。

様々なセキュリティインシデント

個人情報漏洩リスクや事業停止リスクが高まる!

サイバー攻撃やその他セキュリティインシデントが発生すると、実際にお客様情報(個人情報)や社内機密情報、取引先との情報が漏れてしまう可能性が高まります。

マルウェア感染

マルウェア感染

マルウェア感染は、サイバー攻撃によるセキュリティインシデントの1つです。マルウェアとはパソコンやサーバ、スマートフォン等に悪影響を及ぼすソフトウェア全般のことで、感染すると情報を外部に流出させたり、情報が使えなくなったり、メールを不特定多数に送り付けたりする被害が発生します。

マルウェアは様々な種類があり、代表的なものだと「ウイルス」「ワーム」「トロイの木馬」「スパイウェア」「アドウェア」「ファイルレスマルウェア」「ランサムウェア」「Emotet(エモテット)」などがあります。

中でもランサムウェアは情報を暗号化し、その解除を行いたければ身代金を払えと要求する点が特徴で、昨今は身代金を払わないと盗んだ情報を公開するといった二重脅迫が増加しています。

情報セキュリティ 10 大脅威 2024(情報処理推進機構)ではランサムウェアによる被害 が1位にランクインしています。

DoS・DDoS攻撃

DoS・DDoS攻撃

サーバやWebサイトに対して⼤量のデータを送り付けてダウンさせ、機能停⽌に追い込むサイバー攻撃⼿法がDoS攻撃(Denial of Service attack)です。また、多数のコンピュータで分散して同時に⼤量データを送り付ける⽅法をDDoS攻撃(Distributed Denial of Service attack)と呼びます。

DoS攻撃は、もちろん今でも厄介なサイバー攻撃ではありますが、DoS攻撃の中でも特に有名なF5アタックも含め、これまでに多くの対策が打たれ、事前に同IPからのアクセス回数を制限しておけば、DoS攻撃を防ぐことがかなり容易になってきました。

しかしDDoS攻撃の場合、対処しきれないほどの複数のIPから⼀⻫に攻撃が仕掛けられるため、従来の⽅法で防ぐことが難しい状況です。

不正アクセス

不正アクセス

不正アクセスはサイバー攻撃の1つで、具体的には、システム内部へのアクセス権限を持たない外部の人物が、内部へと侵入することを指します。不正アクセスは推測されやすいパスワードや、セキュリティ強度が低いパスワードの使用が原因で侵入される他、コンピュータOSやアプリケーションプログラムの脆弱性を狙って侵入されることもあります。

不正アクセスされることで、情報漏えいやマルウェアの感染リスクが高まります。また、基本的に外部の人物からのサイバー攻撃により発生しますが、社内の人員が故意に内部システムへと不正アクセスし、情報の流出やデータの書き換え・消去などを行うケースもあります。

不正アクセスがあると、「個人情報や機密情報の漏洩」「Webサイトの改ざん」「システム停止」「身代金の要求」「SNS・メールアカウントの乗っ取り」「重要データの削除・消去」をされる可能性があります。

迷惑メールの受信

迷惑メールの受信

迷惑メールの受信も、第三者によって行われるサイバー攻撃の1つです。迷惑メールの代表的なものとしては、添付ファイルにマルウェアが組み込まれているものや、不正なWebページへと遷移するURLが記載されたものなどがあります。また、近年では、実在する企業などを装い、個人情報や企業情報などを入力させて情報を抜き取る「フィッシング詐欺」を行う迷惑メールも増えています。

サイバー攻撃の大半はメールを介して行われています。メール受信者が送信元不明のメールを開封したり、そのメールに記載されているURLにアクセスしたりすることでマルウェアに感染し、個人情報の流出などが発生します。そのため、迷惑メール対策は必須といえます。

情報セキュリティ 10 大脅威 2023(情報処理推進機構)ではビジネスメール詐欺が7位にランクインしています。

メールの誤受信

メールの誤受信

メールの誤送信は、組織内部での故意・過失によるセキュリティインシデントの1つです。情報漏えいやセキュリティインシデントの原因として、今でも多く挙げられています。本来送るはずではなかったユーザーにメールを送信してしまうことで、メール文面や添付ファイルから個人情報や機密情報が漏えいしてしまいます。

メールの誤送信は、誤った宛先に個人情報を含むメールを送信してしまったり、宛先が正しくても添付ファイルを間違えたりといったヒューマンエラーが原因で発生します。気を付ければ防ぐことができる単純なエラーですが、そのエラーを起点として重大な事故へと発展し、企業の事業存続に影響を及ぼすことさえあります。

情報セキュリティ 10 大脅威 2023(情報処理推進機構)では不注意による情報漏えい等の被害として9位にランクインしています。

記録媒体などの紛失・盗難

記録媒体などの紛失・盗難

企業や組織内外で記録媒体の紛失や盗難が起こることもセキュリティインシデントの一例として挙げられます。USBメモリをはじめとする外部記憶媒体や、ノートパソコン、スマートフォン、機密情報が記載された書類を紛失したり盗難されたりすることで情報漏えいなどの被害が発生します。

また、デバイスや記憶媒体を外出先に持ち出すだけでなく、社内に出入りする業者などが不正に持ち出すケースもあります。

過去最高を更新!
日本へのサイバー攻撃

マルウェアの更なる拡大を防ぐためのサーバー停止=事業停止に追い込まれることも多数
長期化してサプライチェーンから離脱という悲劇も。。。

日本へのサイバー攻撃関連通信の件数

過去事例からみる多額な費用!

過去事例には賠償額は含まれません!
個人情報を漏えいした場合は上記費用に加え、賠償金が加算される可能性があります!
また、システムダウンすると事業継続が困難になり、売上減の可能性が高くなります!

ランサムウェア (Cring)

復旧費用
約5,000万円
1.データ復旧と新システム購入費用
2,500万円
2.注業者の費用および院内の人件費
400~500万円
3.個人情報漏洩対策費(詫び状郵送やコールセンター設置、弁護士費用)
2,000万円
侵入経路
VPN機器 (Fortinet 社製 FortiGate)
被害を受けたシステム
データのバックアップはとっていたが、同一サーバ内にミラーリングする運用にしたため、バックアップデータも暗号化された。
間接的に被害を受けたシステム
上記とつながるすべての端末および医療情報システム同一サーバ内にあった共有ストレージ ( 各部署の業務ファイルの保管場所 )も同時に暗号化された。
復旧時間
診療可能となるまでに1日システム再構築とデータ復旧までに2週間。

ランサムウェア (LockBit2.0)

復旧費用
約7,000万円強
1.ダークウェブ調査費用
数百万円
2.サーバのデータ復旧費用
約5,000万円(基本料金3,800 万円+成功報酬1,000 万円)
3.残業代の増加その他の費用
約2,000万円
侵入経路
VPN機器(Fortinet 社製 FortiGate)
被害を受けたシステム
電子カルテシステム (サーバ)
サーバの管理画面に LockBit2.0 の表示が出ており、一見してサイバー攻撃を受けたと分かった。
間接的に被害を受けたシステム
上記とつながるすべての端末および医療情報システムオーダリングシステム (検査や処方)と医事会計システム (レセコン)も使えず、紙カルテ運用とレセコン代替機で凌いだ。
復旧時間
当日早朝に診療可能と判断し、診療は休止しなかった。システム再構築とデータ復旧までに2か月間。復旧までは紙カルテでの運用とした。
(出典)日本医師会総合政策研究機構
「日医総研リサーチレポート」

インシデント発生時 企業に迫られる
数多くの対応

インシデント発生時の対応

対応内容が専門的で多岐にわたり
素人が対処するのが困難・・・

個人情報保護法の改正による
報告義務

2022 年 4月 に施行された個人情報保護法では個人情報が漏えいした場合、個人情報保護委員会と本人に対して報告が義務化されました。
報告の際には、漏えいが発生した個人情報の内容や漏えいの原因、今後の再発防止策などについても報告する必要があります。

個人情報保護委員会 HP で詳しく見る

また、個人情報保護委員会への速報では 3日~5日以内に漏洩の原因や漏洩内容を報告しなければなりません。

▶ 専門業者に頼まないと原因の調査は難しい・・・

原因調査にはフォレンジックという社内のパソコンやサーバーに対してデータ復旧や詳細な解析調査、証拠保全を行う必要があります。
フォレンジックを行うには専門業者に依頼する事になりますが、業者も様々で費用も高額(概ねパソコン 1 台あたり 150 万~250 万)になります。
復旧には多額の費用がかかる事を強調業者の技術力やフォレンジックに対する体制、方針によって費用はかなり変わってきます。

自社で探すのが難しい優秀な
フォレンジック業者

技術的な事なので、優秀かどうかがわからない
提示さている金額が妥当なのかがわからない
早急な対応に迫られているので、
複数社検討する時間がない。。。

さらに、様々な企業へ同時多発的に サイバー攻撃を仕掛けられる事もあり、 フォレンジック業者の確保が 一時的に非常に難しくなることも。。。

セキュリティインシデントが起こった際、
保険で対応できる事が多くあります!

01
保険会社の各種専門家リソースを紹介してもらえる!

コーディネーターが事故解決までをトータルサポート

例えば三井住友海上の「サイバープロテクター」の場合、必要に応じて初期対応から事故解決までをトータルにサポートする「コーディネーター」をお客さまにご紹介し、お客さまのサイバー事故対応を支援します!

事故時専門業者紹介サービス

専門事業者を自社で探す必要ナシ!
サイバー保険をご契約頂くことが緊急連絡先の確保になります!

  • サイバー攻撃等による事故は、自社のみで解決すること難しいこともあり、専門的な業者の手配が必要となる可能性があります。
  • 万が一の事故の際、三井住友海上が提携している専門事業者をご紹介いたします。

セキュリティインシデントに強い
「コーディネーター」がいるメリット

  • 専門事業者の紹介や手配技術面でのアドバイス
  • コールセンター立ち上げサポート
  • 再発防止のアドバイス
  • セキュリティインシデントに精通した弁護士事務所選定をサポート
  • 個人情報保護委員会への報告書作成をサポート
※本サービスは紹介を行うものであり、サービスに関する契約は契約者と専門事業者が個別に締結していただく形となります。

02
高額になる様々な費用の補てん

法律上の賠償責任

  • 個人情報・企業情報の漏洩による訴訟によって発生する賠償金
  • 損害賠償請求に関する争訟費用
  • 権利の保全および行使に必要な手続に要した費用など

さまざまな費用損害

  • フォレンジックを含めた事故原因・被害範囲調査費用
  • コールセンター会社への委託費用
  • 事故対応に関して行う法律相談費用やコンサルティング費用
  • 被害を受けた方に対する見舞品の購入、発送費用

喪失利益の補てん

  • 事故が生じた結果、営業が休止または阻害されたために生じた損失のうち、経常費および事故がなかったならば計上することができた営業利益の額

※この内容は保険商品のごく一部を記載しております。保険会社、加入商品や付帯特約などにより異なります。詳しくは弊社までお問い合わせください。

03
サイバーリスクBCP の構築に役立つ

2023年3月にサイバーセキュリティ経営ガイドライン(経済産業省・情報処理推進機構)が Ver3.0 になりました。

「サイバーセキュリティ経営の
重要10項目」

経営者は、以下の重要10項目について、サイバーセキュリティ対策を実施する上での責任者や担当部署(CISO、サイバーセキュリティ担当者等)への指示 6 を通じて組織に適した形で確実に実施させる必要がある。 これらは、単なる指示ではなく、組織のリスクマネジメントの責任を担う経営者が自らの役割としてリスク対策に関する実施方針の検討、予算や人材の割当、実施状況の確認や問題の把握と対応等を通じてリーダーシップを発揮することが含まれる。

  • 指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  • 指示2:サイバーセキュリティリスク管理体制の構築
  • 指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
  • 指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

    • 事業に用いるデジタル環境、サービス及び情報を特定させ、それらに対するサイバー攻撃(過失や内部不正を含む)の脅威や影響度から、自組織や自ら提供する製品・サービスにおけるサイバーセキュリティリスクを識別させる。 サイバー保険の活用や守るべき情報やデジタル基盤の保護に関する専門ベンダへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる。

  • 指示5:サイバーセキュリティリスクに効果的に対応する仕組みの構築
  • 指示6:PDCA サイクルによるサイバーセキュリティ対策の継続的改善
  • 指示7:インシデント発生時の緊急対応体制の整備
  • 指示8:インシデントによる被害に備えた事業継続・復旧体制の整備
  • 指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
  • 指示10:サイバーセキュリティに関する情報の収集、共有及び開示の促進
(出典)経済産業省
「サイバーセキュリティ経営ガイドラインVer3.0」

セキュリティコンサルタントに訊く!

増村 洋二
増村 洋二ますむら ようじ
2005年10月~
2014年9月
LINE株式会社 ( 現LINEヤフー株式会社 )
情報セキュリティ室マネージャー
2014年10月~
2018年1月
楽天株式会社 ( 現楽天グループ株式会社 )
サイバー犯罪対策室 兼 情報セキュリティ統括室 室長
2018年2月~
2019年9月
株式会社ジンズホールディングス
ITガバナンスグループ統括リーダー
2019年10月~
2022年6月
カルチュア・コンビニエンス・クラブ株式会社
セキュリティ統括部 部長
2022年7月~
現在
株式会社セキュビットを設立、代表取締役に就任
本間
本間
増村さん!今回はありがとうございます!中小企業から大企業までセキュリティコンサルタントを数多く携わってこられた増村さんに サイバーセキュリティついて色々と質問をさせて頂きます!よろしくお願いいたします!
宜しくお願いします!
増村
増村
本間
本間
昨今悪意あるサイバー攻撃によってサーバーダウンや個人情報漏洩といったセキュリティインシデントが比較的大きな企業でもありますが、 セキュリティ対策をやっていないわけではないですよね??
もちろんです。
増村
増村
本間
本間
問題点は色々とあると思いますが、企業が見落としがちな対策は主にどのような部分にありますか?
専門人財の不足や十分な予算が割り当てられない事から、必ずしも十分な対策がとれているわけではないケースが多いです。
増村
増村
本間
本間
企業がセキュリティ対策を講じたと思っていても、思わぬセキュリティインシデントが発生した事はありますか?
はい、あります。実際ある日突然セキュリティインシデントが起こります。故にサイバーセキュリティ保険に加入する事は大事ですし、 セキュリティインシデント発生時の対応体制(※)の整備に役立ちます。
(※)CSIRT(Computer Security Incident Response Team)
増村
増村
本間
本間
保険会社が提供するサイバーセキュリティ保険はどのように思いますか?
大量の個人情報をもっている企業などは特に有益に思います。フォレンジック費用は高額になる為、保険でまかなえれば非常に有益に思います。
増村
増村
本間
本間
保険会社が用意する質問シートによって、企業が支払う保険料が変わるのですが、回答結果を良くしていくような対策は可能ですか?
はい、可能です。ただし、企業の予算や現状を把握したうえで、セキュリティ対策の優先順位をつけた上で優先度が高いものから対応してくことをお薦めしています。
増村
増村
本間
本間
なるほど!やはりセキュリティ対策はそれぞれ企業ごとの状況に応じて行っていく事がベストですね! セキュリティ対策を進めつつ、先にサイバーセキュリティ保険に加入して万が一に備えておく事も大切だという事がわかりました。 本日はお忙しい中ありがとうございました!
ありがとうございました!
増村
増村
セキュビットへのセキュリティ
相談の方はこちら
事業者・
ご担当者向け

資料請求でセキュビット制作
サイバーセキュリティ対策スタートブックを無料ダウンロード

資料請求・
お問い合わせ