サイバー攻撃に対する備えの選択肢として「保険」がある。例えば、東京海上日動火災保険(以下、東京海上日動)が2015年から販売している「サイバーリスク保険」もその一つだ。同社のサイバーリスク保険は、セキュリティー攻撃に対する初動対応から再発防止策までそれぞれのタイミングで保険金を支払う点が特徴だという。

 サイバーリスク保険のこれまでの売れ行きや顧客の反応について、同社企業商品業務部責任保険グループの宮寺翼課長代理と企業商品業務部担当課長(商品開発担当)兼東京海上日動リスクコンサルティング サイバーセキュリティラボ チーフコンサルタントの教学大介氏に話を聞いた。

東京海上日動火災保険 企業商品業務部責任保険グループの宮寺翼課長代理(右)と、同社企業商品業務部担当課長(商品開発担当)兼東京海上日動リスクコンサルティング サイバーセキュリティラボ チーフコンサルタントの教学大介氏

倍々ペースで伸びて数千件の契約がある

サイバーリスク保険の売れ行きはどうか。

教学 サイバーリスク保険の発売は2015年2月だが、当初は顧客企業にその必要性をなかなか理解してもらえなかった。セキュリティーのリスクは被害額などの具体的なデータが表に出にくいし、多様なリスク因子が互いに影響して顕在化することを説明するのがかなり難しかったからだ。

 そこで、顧客にヒアリングした結果を踏まえて、2015年10月に保険金を初期対応の時点から支払えるように商品内容を見直した。同時に契約企業に対して、サイバーリスクの最新情報を伝えるメールマガジンを配信したり、従業員へのサイバーリスク教育を支援するツールを提供したりするようにした。

 そこからは契約件数が倍々ペースで伸びており、現時点の契約件数は数千のオーダーに達している。サイバーリスク保険とは別に、中堅・中小企業向けの「超ビジネス保険」の中に「サイバー・情報漏えい事故の補償」というメニューも用意しており、そちらと合わせた契約件数は1万近くになっている。

2015年10月の見直しは、具体的にどのようなものか。

教学 例えば自動車事故なら「事故が起こった」ことが明白だ。警察から事故証明が出て被害額が確定すれば保険金が支払われる。

 だが、不正アクセスなどのセキュリティー被害は、最終的な被害額はもちろん、何が起こっているかすら最初のうちはよく分からないことがある。「何かおかしい」と思っても、保険の発動要件となる不正アクセスの存在を初期段階で企業自身が証明することは難しい。

 そこで、サイバーリスク保険では、事故の全容が分からない初期のタイミングで、ITベンダーなど外部に調査を依頼するための初動対応の費用を支払うことにした。支払いの条件は、警察や情報処理推進機構(IPA)、JPCERT/CCといった公的機関、またはSOC(Security Operation Center)などからの「不正アクセスの恐れがあります」「アラートが出ています」といった通報があることだ。

 そうして初動対応で通報内容を精査した結果、不正アクセスの存在が確定すれば、それ以降は時系列に従って、それぞれのタイミングで保険金を支払う。例えば、原因・被害を深掘りする調査やデータ復旧の費用、コールセンターの設置費用、顧客への見舞金や取引先への賠償金、再発防止対策の作成と実施費用などだ。

リスク分析レポートでIT部門に保険を認知してもらう

宮寺 あと営業面で効果があったのは、米サイエンス(Cyence)と提携して2017年10月から保険の付帯サービスとしてサイバーリスク分析リポート「ベンチマークレポートサービス」を提供するようになったことだ。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら