平成28年3月31日 サイバーリスク・事故・損害・保険について サプライチェ-ン・サイバ-リスクを焦点とした 中小企業向けオ-ルジャパンの制度対策(案) 三井住友海上火災保険株式会社 目次 I. サイバーセキュリティの現状 ① インターネット前提時代 ② サイバーセキュリティに係るリスク ③ 企業におけるサイバーセキュリティ対策 Ⅱ. サイバ-リスク・事故・保険の現状と課題 … 3 … 5 … 9 … 12 Ⅲ. サイバーセキュリティ対策(案) ~サイバー・リスク・コンサルタントセンター(略称 CRCC)と保険制度~ ① サイバーセキュリティ・コンサルタントセンター ② サイバー攻撃対策としての保険の活用 ③ 最後に … 14 … 18 … 19 1 サイバーセキュリティの現状 2 インターネット前提時代 1 過去 10年 1968 1979 6年 3年 1998 2001 2007 3 インターネット前提時代 2 未来 コネクテッド・カー 2025年に7億台 Industry 4.0 2025年達成(ドイツ) スマートフォン(ウォッチ) 2020年に80億台(8500万台) カメラ・センサー類 2020年に250億個 重要インフラ スマートハウス 2020年に市場規模65兆円 ネット接続重機・農機 4 サイバーセキュリティに係るリスク 1 情報セキュリティ上の脅威の変遷 ※総務省・H27年版情報通信白書 (http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/pdf/index.html) 5 サイバーセキュリティに係るリスク 2 国内における情勢 平成27年上半期は、日本年金機構をはじめとする我が国の多数の機関、団体、事業者等で、サイバー攻撃による情報搾取等 の被害が発生した。(平成27年9月17日 警察庁) 【警察が把握した標的型攻撃の推移】 標的型攻撃の推移 【平成27年上半期のサイバー空間をめぐる脅威の情勢】 1600 大量の不審メール、不正プログラムが送付されており、標的型メールによる脅 威が一層深刻化、増加している。 1400 1200 1000 警察が把握した標的型攻撃は1,472件 平成27年上半期の不正送金被害額は、 15億4,400万円 サイバー犯罪の検挙件数は、3,689件 サイバー犯罪等に関する相談件数は、59,073件 倍増 800 600 400 200 0 H26上半期 ばらまき型 H26下半期 ※ H27上半期 ばらまき型以外 (出典)警察庁「平成27年上半期のサイバー空間をめぐる脅威の情勢について」(http://www.npa.go.jp/kanbou/cybersecurity/H27_kami_jousei.pdf) 6 サイバーセキュリティに係るリスク 3 順位 タイトル 分類 1 標的型メール サイバー空間からのターゲット攻撃 2 不正ログイン・不正利用 ウィルス・ハッキングによるサイバー攻撃 3 ウェブサイトの改竄 ウィルス・ハッキングによるサイバー攻撃 4 ウェブサービスからのユーザー情報漏洩 ウィルス・ハッキングによるサイバー攻撃 5 オンラインバンキングからの不正送金 ウィルス・ハッキングによるサイバー攻撃 6 悪意あるスマートフォンアプリ ウィルス・ハッキングによるサイバー攻撃 7 SNSへの軽率な情報公開 インターネットモラルの不足 8 紛失・設定不備による情報漏洩 内部統制・セキュリテイマネジメントの不足 9 ウィルスを使った詐欺・恐喝 ウィルス・ハッキングによるサイバー攻撃 サービス妨害 ウィルス・ハッキングによるサイバー攻撃 10 独立行政法人情報処理推進機構(IPA)「2014 年 情報セキュリティ10 大脅威」 7 サイバーセキュリティに係るリスク 4 ※海外のサイバー攻撃事案(2015年以降、報道ベース) ○ 保険会社アンセム(2015年2月上旬) 2015年2月、同社に対するサイバー攻撃により、8,000万人分に及ぶ新旧加入者や従業員の個人情報が盗まれた。氏名、生年月日、加入者ID、社会保障番号、住所、電話番号、電子メールアドレス、勤務先 情報が漏えいしたが、クレジットカードや医療記録などの情報は流出した形跡はないとしている。なお、攻撃者は米国人事管理局(OPM)(後述)へのサイバー攻撃を行った中国人民解放軍ハッカー部隊であるとの可 能性も指摘されている。 ○ フランスTV5モンド(2015年4月上旬) 2015年4月8~9日、フランス国営テレビTV5モンドは、イスラム国に所属すると主張するグループ「Cybercalophate」によってTVチャンネル、Web、FaceBookが乗っ取られ、イスラム国の犯行を主張するメッセージが 表示されていた。4月10日、フランス国防省は、調査の結果、軍の機密情報が漏えいすることはなかったと発表した。 ○ ドイツ連邦委議会(2015年5月上旬) 2015年5月15日、ドイツ連邦議会(下院)のサーバにサイバー攻撃を受け、約2万台のパソコンが外部から自由に操作できる状態となった。メルケル首相の下院事務局のパソコンも感染。情報機関のトップは、手法が 極めて巧妙であることからロシアの関与を示唆している。少なくとも5人の議員のパソコンからデータ流出が確認されており、それ以外の情報も流出するおそれがあるとしている。 ○ 米国人事管理局(2015年6月上旬) 2015年6月4日、米国人事管理局は、システムが侵入され、2,210万件の職員及び元職員の個人情報が流出したと発表 。同局は、情報流出による影響を調べているが、人事管理局や内務省だけでなく、ほぼ すべての連邦政府機関に及ぶとされる。さらに数百万人の職員の情報が流出していた可能性もあるとしている。専門家の見解では、中国人民解放軍のハッカー部隊である「ディープ・パンダ」と呼ばれる組織が今回の攻撃及 び保険会社アンセムへの攻撃を実施したとされている。 ○ オーストラリア気象局(2015年12月上旬) 2015年12月2日、オーストラリア気象局が保有する同国最大のスーパーコンピュータが大規模なサイバー攻撃を受けた。同コンピュータは国防省のネットワークとつながっており、政府のシステムが危険にさらされたとされる が、被害の詳細は不明である。オーストラリア政府関係者は、中国の関与を示唆しているが、中国外務省はサイバー攻撃への関与を否定した。なお、同気象局は、公式発表において、「セキュリティに関する問題にコメントし ない」としている。 ○ ウクライナ電力供給会社(2015年12月下旬) 2015年12月23日、ウクライナ西部のイヴァーノ=フランキーウシク地域で、変電所の遮断により、約6時間の停電が発生した。変電所の制御システムでマルウェアが発見されているが、マルウェアが停電につながったとする因 果関係は確認されていない。ウクライナ保安庁は、ロシアの関与を示唆しているが、ロシア政府は反論している。 ○ イスラエル電力公社(2016年1月下旬) 2016年1月26日、イスラエル電力公社が過去最大規模のサイバー攻撃を受けた。このサイバー攻撃で電力供給に支障が生じてはいなかったとされている。後日、攻撃は、ランサムウェアを用いた金銭目的であることが濃 厚であると報じられた。 ○ バングラデシュ銀行(中央銀行)(2016年2月上旬) 2016年2月、ハッカーはバングラ中銀のシステムに不正に侵入し、送金手続きに必要な情報を入手。2月上旬にその情報を悪用し、米ニューヨーク連邦準備銀行にあるバングラ中銀の口座から、フィリピンやスリランカにある 銀行口座に送金を依頼した。フィリピンには8100万ドル(約91億円)が送金された。現地の銀行を経てカジノなどに回り、回収できていない。 8 企業における情報セキュリティ対策 1 ※総務省・H27年版情報通信白書 (http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/pdf/index.html) 9 企業における情報セキュリティ対策 2 個人情報保護対策 企業における個人情報保護対策の実施状況 ●個人情報保護対策を実施してい る企業は全体の8割弱 何らかの個人情報保護対策を実 施している企業の割合は、77.2% と平成24年末より0.3ポイント減 少。 主な対策は「社内教育の充実」が 49.2%と最も高く、ついで「個人情 報保護管理責任者の設置」が 31.9%、「プライバシーポリシーの 策定」が23.6%等となっている(左 図) ※総務省・H27年版情報通信白書 (http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/pdf/index.html) 10 サイバーリスク・事故・保険の現状と課題 11 サイバ-リスク・事故・保険の現状と課題 【サイバ-リスク事故】 1.サイバ-事故(加害・被害)は交通事故と類似 → 注意していても防ぎきれず今後増加、社会的問題として深刻化 2.外部攻撃の抑止が困難 → 社会全体での防衛体制・意識の継続的強化が必要 【サイバ-リスク保険】 個人情報漏えい保険 → 情報漏えい保険 → サイバ-リスク保険 (個人情報 + 法人情報=営業秘密) ・サイバ-リスクの認識が低い → 保険の説明・募集が進まない ・サイバ-リスクの対応ができていない → 保険会社が引き受けられない 実態 サイバ-リスクの予防措置、事故対応、補償が全体として停滞 企業自身や保険会社の対応とは別の視点で検討・・・ 12 サイバーセキュリティ対策(案) ~サイバー・リスク・コンサルタントセンター(略称 CRCC)と保険制度~ 13 サイバーリスク・コンサルタントセンター(略称CRCC)(案) イメ-ジ JAF 14 サイバーリスク・コンサルタントセンター CRCCの設置趣旨 (CRCC) ご説明① 官民組織一体化・連携 ①中小企業 のサイバ- セキュリティ 強化 ②大企業 のサイバ- セキュリティ 保護 新制度施策(案) ①【基準】 サイバ-セキュリティ認証 ( サイバ-免許証 ) 制度 ②【補償】 全国団体サイバ-リスク補償保険 ③【態勢】 中小企業向け ITコ-ポレ-トガバナンス ●サプライチェ-ン・サイバ-リスク (中小企業→大企業へ波及) の遮断 メリット ●全国サイバ-事故情報の集約一元化と分析・対策の実行 ●既存組織の融合活動によるサイバ-対策コストの低減化追求 15 サイバーリスク・コンサルタントセンター (CRCC) ご説明② 業務活動 【管理】 ①サイバ-事故情報の 収集 → 分析 → 対策 のプロセス対策推進 ②重大レベル事故の場合の監査 (詳細な事故情報収集と対策徹底) 【情宣・相談・指導】 ③事故予防と事後対応についての指導 (セミナ-・各種媒体での情宣等) ④経営者に対して・・・ITリスクマネジメント・ガバナンス知識の啓発 ⑤IT管理責任者に対して・・・社内のサイバ-セキュリティ管理の実践指導 多面的に効果浸透 【その他専門施策・対策】 ⑥サイバ-セキュリティ対策要員の育成・指導の支援活動 ⑦サイバ-セキュリティ認証制度の実施と運営 ⑧サイバ-リスク補償保険の実施と運営 国際取引で日本企業は 高い安全性評価を獲得 16 サイバーリスク・新保険制度(案)のご説明 【 1. 仕組み (案・概要) 】 *特段の新しい内容は含みません ①全国組織法人・中小企業向けの団体保険制度と類似の CRCC会員向け制度 (制度やシステムは要事前検討) ②保険料(掛け金)は、年会費として徴収 ③加入時のリスク実態チェックは、新認証制度取得で代替 ④補償対象リスクは、 (1)個人情報 (2) 営業秘密 ⑤保険金種類は、 (1)原因調査、その他の費用保険金 (2)第三者賠償責任保険金 ⑥割引率適用想定 *割引率は確定事項ではありません 【 2. 構成 】 新保険制度 ・小企業 ・中堅企業 一定額の補償 一定額の補償 + 任意で上乗せ補償手配 可 サプライチェ-ンリスクが波及しない ・大企業 自社のサイバ-リスクのみ保険手配、合理的 17 サイバー攻撃対策としての保険の効用 (シナリオ) (1)サイバ-攻撃 発生。・・・ この段階では、確証無し。 ↓ (2) フォレンジック(原因調査)によるサイバ-攻撃内容の確定。 保険金(原因調査費用)を利用 ↓ (3) 攻撃情報を記録・分析・対策の策定へ ↓ (4) 営業秘密の不正な盗取に該当の場合 ; 攻撃情報を証拠として、不正競争防止法に基づく刑事・民事(差止請求、 損害賠償請求)訴訟が可能。 【国外犯対応や犯罪収益の没収が可能】 ●保険の効果 損害の補償(費用・損害賠償)のみならず、 犯罪の追及と処罰の対策支援として期待できる。 *営業秘密の保護は、WTOのTRIPS協定39条の要請です 18 最後に サイバ-攻撃リスクの特徴は 1.従来の事故・損害経験にはない新しいタイプのリスク 2.悪意やテロ目的の犯罪行為リスク 3.個人・法人、誰もが被害対象となるリスク 4.自社の油断が他社及び他者に迷惑を及ぼすリスク 5.社会組織の機能や経済活動を広範に麻痺させうるリスク 6.一次被害者が二次被害者に賠償責任を問われるリスク 7.攻撃予防措置による安心感が得難いリスク このような特徴を持ったサイバ-攻撃リスクについては、 組織的かつ継続的な対抗措置と補償の確保が必要です。 19
© Copyright 2024 ExpyDoc
