サービス、保険、事故対応支援、三位一体で目指す理想のかたち
経堂 恭@SOMPO CYBER SECURITY | 2022年9月30日
SOMPO CYBER SECURITYは、2022年4月に開設した「SOMPOサイバーインシデントサポートデスク」の機能を拡充し、損害保険ジャパン株式会社のサイバー保険の事故受付業務を統合。同時に、以前からご要望の声が多かった24時間/365日でのサービス提供をスタートします。
サポートデスク開設の背景は、別のコラム『サイバーインシデントへの備えができていますか?~ゼロからの相談~』でもご紹介していますが、今回の機能拡充の狙いは、単に受付窓口の統合という体制変更だけではありません。
このコラムでは、今回の機能拡充に込めた私たちの“想い”についてお話していきます。
苦しい時の神頼み
私たちが取り組むサイバーセキュリティ事業「SOMPO CYBER SECURITY」のパーパス(存在意義)は、目に見えにくいデジタル領域のリスクを可視化し、お客さまに安心安全をお届けすることです。
セキュリティ対策と一口に言ってもその領域はかなり広いですが、私たちはその中でもサイバーキルチェーンのより早い段階でのプロアクティブな対策にフォーカスし、バランスの取れたセキュリティ態勢の構築支援を行っています。
その基本となるのは、リスクアセスメントサービスです。現状分析から対策のロードマップや実施計画を策定するコンサルティングをはじめとして、潜在的なリスクを洗い出す脆弱性診断やペネトレーションテスト、サイバー攻撃の予兆となる情報を収集・分析する脅威インテリジェンスなどのサービスが含まれます。
しかし、日本企業の多くはネットワークやエンドポイントへの不正侵入の検知・防御といった、攻撃段階後半の対策に比重が置かれる傾向があります。本当に自社にマッチしたセキュリティ対策を講じるには、まずはリスクを特定・分析・評価し、対策の優先順位づけを行うことが重要ですが、そうしたリスクアセスメント自体には直接サイバー攻撃を防ぐ機能があるわけではなく、取組が後回しになってしまうのかもしれません。
「苦しい時の神頼み」の意味は皆さんご存知の通り、普段は信仰心を持たない人が、病気や災難で困った時だけ神様や仏様にお祈りをして助けを求めようとすることです。
不幸にもインシデントが発生した場合、多くの企業が「こんなはずではなかった・・・」と慌てふためくことになります。
重要な資産は何なのか?、どこまでの範囲に影響が及ぶのか?、バックアップがあるのか?、どの業務を最優先で復旧させなければならないのか?などなど、事前に想定していたとおりに事が進むことはなかなかありません。特に、普段からリスクアセスメントに取り組んでこなかった企業ほど、適切な対応がとれず、あとは神仏にすがるしかないような事態に陥ってしまいます。
しかし、そうした企業の多くもインシデントで被害に遭ったことで平時の取組不足を省みて、再発防止策や恒久対策に向けてリスクアセスメントに積極的に取り組むようになります。私たちがインシデント対応支援に力を入れるのは、有事の際にお客さまをサポートするということはもちろんのこと、その後のリスクアセスメントへ取り組む“きっかけ“にしていきたいという想いもあるのです。
インシデント対応の難しさ
サイバー攻撃を検知して、それを封じ込めるまでの経過時間をデータ侵害のライフサイクルと呼びます。当然ですが、インシデント対応と封じ込めのためのプロセスが有効に機能すれば、この時間は短くなり、被害額を抑えることができます。
しかし、攻撃内容によっては、重大なインシデントと認識するのが遅れることもありますし、マルウェアの感染範囲が広がり、時間の経過とともに被害が拡大していく場合もあります。
対応中に再度サイバー攻撃を受ける危険性もあり、きちんと原因を特定してから復旧を進めなければならない点も、サイバーインシデントにおける対応の難しさと言えます。
医療の現場でも、治療の優先を見極める「トリアージ」が重要ですが、これはサイバーインシデントでも同様で、初動対応の要否や優先順位の判断が重要となります。しかし、企業内にはサイバーセキュリティ人材は少なく、インシデント対応を適切にハンドリングできる要員がいることは極めて稀です。そのため、多くのケースでは外部からの支援を得ながら対応を進めていくこととなりますが、その前提で平時から態勢を構築して備えておくことが重要となります。それができていないと、いざという時に何をどうすればいいのか分からず、優先順位も誰がどう判断するのかも明確でないまま、時間だけが過ぎていくということになりかねません。
私たちはこれまで数多くのインシデント対応を支援してきましたが、その経験からも、平時の取組によってインシデント対応に大きな差が生まれることは間違いありません。
初動段階でのネットワークやパソコン等の調査には最低でも数百万円はかかりますし、データ復旧等が必要となると数千万円まで費用が膨らむこともあります。システムダウンや生産ラインが停止する中、早期復旧に向けてそれらの対応を委託先の選定も含めて迅速に判断、決裁して進めていくことは決して容易ではありません。
その迅速な対応をサポートするのがサイバー保険です。インシデント対応では費用よりも時間が優先されるケースも多いですが、サイバー保険が金銭面での後ろ支えをする事でコスト面での心配や負担が軽減されれば初動対応に関わる判断・決裁のハードルはかなり下がるのではないでしょうか。
サイバー保険は単に損害を補填するだけでなく、インシデント時の各種サポートが受けられますので、復旧に向けた備えとして非常に有効な対策と言えます。さらに今回、サポートデスクが24時間/365日で利用できるようになりましたので、それも含めて初動対応のスピードアップに貢献することが大いに期待されます。
サイバー保険と事故対応
サイバー攻撃を完全に防ぐことはできないため、近年は被害に遭うことを前提にセキュリティ対策に取り組むという考え方が主流となっていますが、実際にインシデント後の対策に力を入れて取り組んでいる企業はまだ少ないように感じます。
有効な対策の一つであるサイバー保険は近年加入件数が大きく伸びていますが、日本損害保険協会の実施した「国内企業のサイバーリスク意識・対策実態調査2020」によると、企業の加入率は未だ7.8%と低く、セキュリティ予算の乏しい中小企業(6.7%)だけでなく、大企業(9.8%)でも十分に普及が進んでいない状況です。米国での加入率は50%前後あると言われており、損害保険ジャパンのサイバー保険加入件数は、昨年度は対前年比で二桁成長率を達成していますので、国内の加入件数は今後も伸び続けると見込まれます。
近年のサイバー攻撃のリスク増大に伴って急成長しているサイバー保険ですが、一方、保険会社では事故対応等の態勢がそのスピードに追い付いていない部分もあります。
保険の適用可否等を判断するには、インシデントの内容を理解するための高度な専門性を必要としますが、保険会社の事故対応部門にセキュリティ人材が豊富にいるわけではありません。迅速な対応を進める上で、お客さまとのコミュニケーションに時間がかかってしまうと、その分初動対応が遅れ、致命傷となりかねません。
私たちはSOMPOグループの一員として、そのノウハウを活かして、サイバーセキュリティ事業に本格参入しており、様々なセキュリティサービスをお客さまに直接提供することができます。
今回のサポートデスクの機能拡充により、私たちのセキュリティベンダーとしての機能や専門性をサイバー保険の有無に関わらず、全てのお客さまにシームレスで提供できるようになりますので、インシデント対応支援の品質を大きく向上させることができます。
インシデント時に私たちがフロントに立ってお客さまの初動対応をサポートすることで、「保険からセキュリティサービス」、「セキュリティサービスから保険」の双方向でアプローチできるというのは、お客さまにとっても分かりやすく、利便性の高い理想的な形になると考えています。
私たちが目指す姿
サイバーセキュリティサービス、サイバー保険、事故対応支援、とさまざまな角度からサポートを提供するができるというのは、私たち独自の価値となります。
近年のランサムウェアやEmotetなどのインシデント事例をみても、サイバー攻撃による被害は同時多発的に発生する可能性が高いですが、全てのお客さまへのサポートを自前で対応することは不可能です。そのため、私たちは数多くの信頼のおけるベンダーと強固なネットワークを構築しています。それぞれに得意な領域がありますが、インシデントの内容に応じてベストプラクティスを提供することできるという点も大きな強みとなります。
本来、インシデントに対する備えは「苦しい時の神頼み」ではダメなのですが、本当に困ったときにお客さまに寄り添い、常に頼れる存在になる、これが私たちの目指す姿です。そして、今回のサポートデスクの機能拡充は、そのための大きなステップとなります。
現時点では、私たちにも足りない部分はありますし、高度化・巧妙化が進むサイバー攻撃への対応に向けて日々アップデートしていく必要があります。しかし、今後サポートデスクで受け付ける数多くのインシデント対応を通じて貴重なノウハウ・ナレッジがさらに蓄積されていきますので、それらをお客さまへのより良いサービスへと反映させていくことが必ずできると信じています。
今回の「SOMPOサイバーインシデントサポートデスク」の機能拡充のメリットをご理解いただくとともに、万が一の際にはぜひご活用いただきたいと思います。
