去る1月29日、トーランスのMiyako Hybrid Hotelにて第190回JBAセミナー「サイバーリスクに関する最新動向〜日系企業に求められるリスクマネジメント〜」が開催された。講師は、サイバーリスクに関する保険を業界で初めて開発したAIGの迫田力さんと広瀬徹さん。企業にとって大きな驚異であるサイバーリスクのトレンドやその対策を詳細に解説した。

第1部 サイバーに関する動向

［講師］
迫田 力（さこだ ちから）さん
AIG Asian Corporate SolutionsのGlobal Development Director & Co-Head。1988年に同志社大学経済学部卒業後、 富士火災（現AIGグループ）、Marsh Japanを経て、ウイスコンシン（州立）大学マディソン校のMBA (Risk Management & Insurance専攻) 修了。2006年にMBA修了後、Marsh Inc.、損保ジャパンを経て2013年よりAIGに在籍。LAを拠点にチームマネジメント業務、在米アジア企業へのコンサルティング業務、損害保険マーケティング企画運営業務、グローバル連携業務に従事。

第1部は迫田力さんが、サイバー攻撃の種類や情報漏えいの原因などサイバー攻撃に関する動向を紹介した。AIGが独自にグローバル企業を対象に実施した調査によると、企業が対応を要すると考えているリスクの中でも、サイバー攻撃に関するリスクは、収益減少に関するリスクや固定資産への損害に関するリスクを抑えて、最大の脅威と考えられている。しかしながら、頭では理解していても、それへの対策が取られていないのが現実であり、AIU Japanが実施した「経営者の情報漏えいリスクに対する意識調査（2013）」によると、経営者の69.3%が「海外拠点におけるセキュリティー対策が取れていない」と回答した。

サイバー攻撃によって起きる情報漏えいに関する開示法に関しては、米国では州および業界ごとに適用される法律が異なっている。カリフォルニア州では2003年に施行され、各州がそれに追随して法律を施行しており、後から法を制定した州はより厳格な規定を設ける傾向にある。州ごとに情報漏えい発生日から届出までの日数、届出を要する情報などが異なり、アラバマ州、サウスダコタ州、ニューメキシコ州ではいまだにこれらの法律が整備されていない。

一方、ヨーロッパでは情報漏えいに関する法令が厳格化されており、情報漏えい発生から24時間以内への当局への通知が義務付けられている。これはEU内の個人データを取り扱うEU圏外からの進出企業にも適用されるので対応に注意が必要である。違反した場合には100万ユーロもしくは全世界の売上高の2%を上限に罰金が科せられる。

「ひとことでサイバー攻撃と言ってもさまざまな種類があります」と迫田さん。「標的型メール攻撃」は、関係者を装って電子メールを送りつけ、添付ファイルなどを開くとウイルスに感染。感染するとパソコンをのっとられ、個人情報などが盗み取られる手口。「不正アクセス」は、ネットワークを経由して、システムの脆弱性を突いて攻撃し、情報を取得したり改ざんしたりする手口。改ざんしたウェブページを閲覧するとマルウェアに感染する罠を仕掛ける"水飲み場攻撃"が増加している。「なりすまし」は、IDやパスワードを盗んで企業の社員になりすまし、企業のネットワークに侵入し、個人情報などを盗み出す手口。「DoS/DDoS攻撃」は、サーバーに大量のリクエストを送りつけて過負荷状態にしたり、ネットワーク帯域を使い果たすことでサービス提供を妨害する手口。

最初の「標的型メール」はなかなか対応が厄介で、防ぐのは非常に困難だと言われている。会議資料を送ったメールや、採用希望を装って採用担当者にウイルスを組み込んだ添付ファイルを送付したり、社内の不正行為を告発したいとして何度かやり取りを行った末に標的型メールを送付したりするなど、非常に手の込んだケースがある。

日本のサイバー攻撃の状況を見てみると、警視庁によると、日本における標的型メールの総数は、2013年に492件と、前年比約3.5倍に増加している。また、個人情報漏えいは業種や、私企業、公的機関、会社の規模などにかかわらず、どの会社でも対象になりうる。こうした個人情報漏えいの原因を探ると不正アクセスが80％近くを占めているが、管理ミスや紛失・置き忘れ、設定ミス、誤操作などといったヒューマンファクターも15％近くに上る。

日本では、東京オリンピックに向けてサイバー攻撃の急増が予想されており、その対策が急務であると考えられている。15年12月には、官民302機関が参加して過去最大規模の演習が行われており、今後も数多く開催されると予想される。また同じく15年12月には経済産業省により「サイバーセキュリティ経営ガイドライン」（www.meti.go.jp/press/2015/12/20151228002/20151228002.html）が策定され、投資家に対する情報開示方法、企業内の組織体勢、技術対策の手法などが明確化された。

なお情報漏えいが発生した場合のコストを概算してみると、平均では調査費用が341,000ドル、被害者への通知費用180,000ドルなど、さまざまな費用がかかり、およそ991,000ドルの支出が予想される。また弁護士関連費用は平均で2,682,000ドルだが、情報漏えいに関する集団訴訟が増加するにつれて高額化しており、今後このコストはさらに上昇すると予測されている。

第2部 ネットワーク・セキュリティー

［講師］
広瀬 徹（ひろせ とおる）さん
AIG Asian Corporate SolutionsのVice President & Co-Head。1983年に同志社大学文学部卒業後、AIU保険株式会社、ヤマサキ・インシュアランス・エージェンシーを経て、2006年よりAIGに在籍。チームマネジメント業務、日米連携業務、在米アジア企業への企業損害保険マーケティング企画運営業務、コンサルティング業務に従事。

第2部は広瀬徹さんが担当し、まず、なぜこのようなサイバー攻撃が起きるのか、その背景を解説した。コンピューターの開発の歴史は古く、100年近い歴史があるが、インターネットが一般に公開され、ビジネスで使われるようになってから、それを取り巻く状況は急速に変化してきた。情報テクノロジーが加速的に発達し、業務・サービスとビッグデータや情報テクノロジーが融合。業務、サービスに必要な情報量が爆発的に増加した。同時に情報専門技術レベルが極度に高度化。おびただしいデータの効率的な収集、保管、抽出、利用、共有が求められると共に、効率的で安全なネットワーク構築の必要性が高まってきた。

「火災や交通事故に比べると、サイバー攻撃により情報が漏えいした際のリスクは分かりにくいのではないでしょうか」と広瀬さん。企業で扱うデータの種類やその重要性、利用方法などは、会社や業種によって大幅に異なる。「ですから自社の中でどのように情報を管理し、セキュリティーはどうなっているかなど分析から始めていかなくてはなりません」とし、業種ごとにどういう情報が保持され、どう保管されているか、また誰がそれらの保管場所にアクセスするのか、典型的な例を業種別に表で紹介した。

最初の業種別表は、サイバー攻撃のニュースでもよく話題になる「一般消費者への商品、製品小売り販売業」。記憶に新しいものは、Targetの顧客のカード情報の漏えいだろう。こうした漏えいでは被害者の消費者一人一人に支払う損害補償は少額であったとしても、数百万人に支払う必要が出てくれば、一気に何億ドルもの費用となる。またコンピューターがハッキングされた場合には、商品の発注や受注などもオンライン上で行っている企業であれば、個人情報が漏えいするばかりではなく、問題が解決されるまでビジネスが滞ってしまうこともある。

製造業では個人情報などを扱うことは少ないが、メーカーなどの場合であれば、研究や技術開発、特許権、買収計画などの機密情報を扱っている。製造ライン制御作動プログラム（IoT）や自動運転者など、全てオンラインで管理されるシステムが近い将来に起きれば、こうしたデータもサイバー攻撃の対象と考えられる。

サイバー・セキュリティーの重要性が認識され、各企業が堅いセキュリティー対策を行っているのにかかわらず、セキュリティーが破られるのはなぜだろうか。一つには外部要因がある。個人ハッカー、組織ハッカーのほか、顧客や外注先、提携業者の脆弱なセキュリティーとのアクセスが上げられる。先のTargetも、提携業者とのネットワークがハッキングの原因となった。もう一つには内部要因がある。社内ポリシーやトレーニングの不備、アンチウイルスやその他ソフトウェアの更新を怠っていたなどの社内管理の不備、また従業員の不正や過失が考えられる。こうした原因に続いて、広瀬さんはこれまでに発見された主なサイバー攻撃の例も、詳細に解説した。

なお、ネットワーク・セキュリティーが破られた場合（データ・ブリーチ）に起こる主な事態は以下の通りである。

1) コンピューター・プログラムが作動異常し、情報漏えいが発覚。「被害発生と発見の間の時間差も重要で、ハッカーは感染が分からないような機能も組み込んでいます」。
2) 必要な範囲のシステム稼働やサービス提供、製造の停止。重要データやファイルの保護策実施。
3) 原因診断。異常修復。消失データリカバリー。システム改善。安全確認。再起動。サービス・製造再開テストから復旧へ。
4) 影響のおよぶ顧客、取引先、社員へ、情報漏えい事実や対応策、現況、および事態見込みの通知と緊急対応。
5) 個人情報漏えい関連法規の遵守。管轄当局への規定期限内報告。
6) 将来の情報漏えい再発防止プランの検討、決定。当局の承認、実行。
7) 当局への制裁金支払い。
8) 影響を受けた対象者の経済損害防止策（クレジットカード再発行、クレジット・アクティビティー監視サービス、個人情報漏えい保険の無料提供など）。
9) メディアや公共対応など風評損害の制限対策。
10) 顧客、その他の個人・機密情報漏えい被害者からの損害賠償請求。
11) 顧客や取引先が被った緊急対応費用やビジネス中断による逸失利益損害賠償請求。
12) ビジネス中断による自社の逸失利益損害。

起こった後の対応も大切だが、何よりこうしたデータ・ブリーチは未然に防ぐのが肝心である。そのためには、以下の対策が有効である。
1) データセキュリティー・ポリシーの作成。「企業の情報にアクセスする最も簡単な方法は、その企業の社員をだましてパスワード等の情報を得て、その個人のコンピューターからアクセスすることです。ですから、まず従業員の教育が非常に重要です」。
2) 個人情報保護法令遵守レビュー、情報漏えい事故対応プラン、公共対応プラン作成。「後手に回って、風評被害が大きくならないよう、万が一の事態への対応プランを作っておきましょう」。
3) サイバーセキュリティー・リスク評価。
4) ハードウェア、OS、アプリケーションの安全確保。
5) 外部と接するネットワーク設備の脆弱性解析。
6) DLS（Data Loss Prevention）装置／プログラムの導入と重要データへのアクセス管理。
7) データ、およびサイバー・セキュリティーの脅威と対応に関する社員教育。「データ・ブリーチ成功事件の95%は、ハッキングではなく、フィッシングから始まっています。また、既知の個人のアドレスなどから狙って送られる標的型攻撃にも注意が必要です」。そして、「しかしながら、そうした対策を行っても避けられないデータ・ブリーチに備えては各種損害を包括的に補償するサイバー保険を事前に購入しておくのが有効です」と広瀬さんは第2部を締めくくった。

どの企業にとっても他人事ではないサイバーリスク。大勢の参加者がメモをとりながら熱心に聞き入った。

過去レポート一覧に戻る