内部不正や事故にも対応 -- サイバー保険が担保するものとは 大手コンサルティングファームの調査によれば 世界のサイバー保険市場は約 25 億ドル ( 約 2500 億円 ) であり その 9 割は米国企業で占められている サイバー攻撃の脅威の認識が高まるにつれ 取り組みが遅れていた業界や国での加入

Transcription

1 内部不正や事故にも対応 -- サイバー保険が担保するものとは サイバー攻撃被害の範囲を特定できるか ( 前編 ) サイバー攻撃被害の範囲を特定できるか ( 後編 )

2 内部不正や事故にも対応 -- サイバー保険が担保するものとは 大手コンサルティングファームの調査によれば 世界のサイバー保険市場は約 25 億ドル ( 約 2500 億円 ) であり その 9 割は米国企業で占められている サイバー攻撃の脅威の認識が高まるにつれ 取り組みが遅れていた業界や国での加入が増加し続けており 2020 年までに少なくとも 75 億ドル ( 約 7500 億円 ) まで成長が見込まれると予測している サイバーリスクに関して企業のリスクマネジメントフローを考察すると 最初に リスクの洗い出し リスクの分析 評価 を実施する 社内の情報資産を洗い出し 定量的 定性的な方法でリスクレベルを決定し その分析結果を元にリスク処理の要否を判断していく そのリスク処理の方法としては リスクコントロール と リスクファイナンス に区分される 日本においては 2013 年に外資系損害保険会社がサイバー保険の販売を開始したのが最初で 2015 年には国内損害保険会社が一斉に販売を開始したことから 2015 年はサイバー保険元年とも言われている IPA( 独立行政法人情報処理推進機構 ) の 企業におけるサイバーリスク管理の実態調査 2015 報告書 によると 日本における IT に関連する保険 ( 情報漏えい保険 IT 業務賠償保険 サイバー保険など ) への加入企業は全体で約 15% であり 大企業の割合が高い 大企業には保険の認知度は徐々に上がってきているものの 中小企業においてはその認知度は極めて低い状況である このように日本のサイバー保険市場は小規模であるが 現行は発展段階であり 今後の成長が見込まれるマーケットである 近年 情報セキュリティは企業のリスクマネジメントにおいて不可欠な経営テーマとなっている 株式公開企業においてはセキュリティ対策についての情報公開が義務付けられ 事前対策に要するセキュリティ投資が求められている リスクコントロールでは サイバー攻撃の脅威に対する回避 予防 軽減を目的として 具体的にはセキュリティ機器やソフトウェアの導入 社員教育などの事前対策を実施する このコストはセキュリティ投資となり ケースによっては莫大な金額となることから計画的な投資設計が必要となる ただし 十分にセキュリティ対策を実施しても不正アクセスや標的型メールなどの脅威を 100% 防ぐことは困難であることから 予め被害発生時を想定した対策も検討しておく必要がある そこで重要となるのがリスクファイナンスであり リスクの保有 と リスクの転嫁 がある リスクの保有は発生する損害を自己資金などで賄うことであり リスクの転嫁は保険などの外部資本を活用することである サイバー保険はインシデント発生時に損害の補填や企業が負担するさまざまなコストに対応できる保険商品であり リスクの転嫁 策として有効である サイバー保険の内容について 筆者の所属する三井住友海上火災保険株式会社が 2015 年 9 月に発売し こちらは 2016/08/24 に公開された記事 ( を再録したものです 仕様等は公開時点のものです

3 た サイバーセキュリティ総合補償プラン を用いて解説する この保険は中小企業から大企業まで幅広い企業規模のあらゆる業種を対象としている サイバー攻撃などによって発生した情報漏えいやそれに伴う他人の業務の阻害などに対する損害賠償のほか 事故対応に必要となる各種対策費用まで補償している また ネットワークの停止 休止が発生した場合の利益損害を補償するオプションもある 第三者に対する賠償損害で対象となるのは サイバー攻撃により発生した情報漏えいや取引先への業務妨害などによって顧客や取引先などの第三者に発生する経済損失である 情報漏えいによる賠償額は情報の種類や社会的影響度にもよるが 1 件あたり平均 1 万 ~ 3 万円の水準となっている 漏えいした件数が多い場合には 集団訴訟となるケースもあり 高額な損害賠償金となる場合もある 賠償における支払限度額 ( 補償金額 ) は最高 10 億円まで設定できる 事故対応に必要となる各種対策費用は 損害賠償事故が発生した場合に加えて 損害賠償事故が発生するおそれのある不正アクセスなどのインシデント事故が発生した場合に生じる費用が対象となる その費用には 専門家へ相談する費用や事故対応のために必要となる人件費 また 事故原因を調査するための費用 ( フォレンジック費用 ) などインシデント対応に必要な費用が含まれている フォレンジック費用については 例えば PC1 台あたり約 150 万円が相場とも言われており 影響範囲が大きいほどその調査費用も高額になる傾向がある 各種対策費用の支払限度額 ( 補償金額 ) は 個人情報漏えい事故に関しては最高 5 億円まで それ以外の事故では最高 1 億円まで設定できる ネットワークの 停止 休止が発生した場合の利益損害で対象となるのは 自社の喪失利益や収益が減少するのを防ぐために必要となる費用である 利益損害における支払限度額 ( 補償金額 ) は最高 5000 万円まで設定することができる サイバーセキュリティ総合補償プラン ではサイバー攻撃による損害のほか さまざまなセキュリティ事故に関わる損害についても対象としている 賠償や費用については 従業員などによる情報の持ち出しなどの不正行為により発生する損害も対象としている 情報漏えい事故における原因の約 7 割は従業員などによる内部不正であり 企業のセキュリティ対策上 最も注視すべき要因となっている 大企業におけるサイバー事故は新聞などでよく取り上げられているが 中小企業における事故の公表は一般的に少ない ただし 中小企業においても次のようなサイバー関連の事故が実際に発生している 顧客から情報機器の保守作業を請負った A 社がパスワードを設定することを失念し 顧客の通信回線が外部から不正アクセスされて膨大な電話料金が発生した その結果として A 社は顧客から約 600 万円の損害賠償請求を受けた IT 事業を主業とする事業者にとって サイバーリスクは生命線となる事業内容そのものがターゲットとなることから 企業存続にかかわる最も重大な脅威と位置付けられる また ネットショッピングサイトを自社運営する B 社は 外部から不正アクセスを受け顧客のクレジットカード情報約 15 万件が漏えいした B 社はコールセンター設置費用などで約 3000 万円の損害防止費用が発生したほか カード会社に対してカード番号差替や不正使用被害の損害に対して約 5900 万円の賠償責任を負った こちらは 2016/08/24 に公開された記事 ( を再録したものです 仕様等は公開時点のものです

4 このケースで 仮に 1 人あたり 500 円の見舞金を支払った場合には さらに 7500 万円の費用が必要となり高額な損失となる これらの事例からもサイバーリスクにおいては 事業者の規模の大小にかかわらず 発生する損害は高額になるケースがあることが分かる サイバー保険には補償機能に加えて各種サービスが付帯されている その一つにサイバーインシデント発生時に被害範囲の確認や原因調査 事故対応方法の策定について 経験豊富な専門事業者を紹介するサービスがある 保険会社は複数の専門事業者と提携しており 契約者の意向に応じて紹介することが可能である これにより事故原因や影響範囲の特定が可能となり 迅速な事故解決につなげられる サイバー保険の対象となる場合には 専門事業者が実施する調査などの費用は保険金として支払われることとなる また 平時の事前対策として活用できるのが標的型メール訓練サービスである 冒頭にも説明したとおり日本におけるサイバー保険市場は 今後急速な拡大が予想される 今日 事業活動での IT 活用は必須となっているが 一方で事業活動を脅かす大きな脅威にもなり得る 中小企業においては 大企業のサプライチェーンの一部になっている場合も多く 踏み台として狙われるケースも増えてきていることから 大規模な損害へと拡大することも懸念される このような事態を避けるためにも セキュリティ投資による事前対策 ( リスクコントロール ) の上で リスクファイナンスとして万一の事故のために保険に加入しておくことが望ましい 損害保険会社は 中小企業に対してサイバー保険販売時のニーズ喚起を通じてサイバーリスクの脅威を伝えると共に セキュリティ対策の向上に貢献していくことが使命と考える このサービスは 1 回あたり従業員 100 人を限度に 標的型メールを模した訓練メールを送信して メール本文に記載されている URL のクリック状況を監視するものだ 従業員の URL クリック状況をふまえて 主にクリック割合や今後のアドバイスに関する簡易レ ポートを提出する サービスを活用した企業は 従業 表 1 サイバーセキュリティ総合補償プラン ( 賠償 費用 ) の加入状況 員に対してセキュリティ意識を向上させることができ また セキュリティ対策の参考とすることができる 保険料については 業種 売上高 条件 ( 支払限度額など ) などによって決められるが 保険料例は 表 2 のとおりである ソフトウェア開発 システム保守サービスといった IT 関連事業者は比較的保険料は高く 卸 売業 不動産業などその他の業種は低い水準となっている ただ 実際の保険料は企業のセキュリティ体制や過去のインシデント発生状況などにより大きく異なる 表 2 サイバーセキュリティ総合補償プラン ( 賠償 費用 ) の保険料例 1 上記は概算保険料を示したものです 実際の保険料は 保険条件や告知内容等で異なります 2 一部の費用 ( 個人情報漏えい以外 ) は 1 億円限度となります こちらは 2016/08/24 に公開された記事 ( を再録したものです 仕様等は公開時点のものです

5 サイバー攻撃被害の範囲を特定できるか -- 証拠保全の重要性 ( 前編 ) 日々巧妙化するサイバー攻撃を確実に防ぐことは困難であり 規模や業種を問わず企業が直面する課題となっている 実際に標的型攻撃によって個人情報が漏えいしてしまったなどの被害を受けた場合は 被害範囲を特定し 逸早く影響を封じ込めるとともに ステークホルダーに対して説明することが企業に求められる 今回は インシデントが発生した際に 被害範囲や原因究明に効果的なデジタル フォレンジックの解説と インシデントが発生することを前提とした事前対策の重要性について解説する なお 本稿は私見であり 所属組織などの公式見解ではない 高度化するサイバー攻撃とセキュリティ対策のギャップ 増加するサイバーセキュリティリスクと企業における課題 企業を標的としたサイバー攻撃の増加に伴い 規模や業態に関係なくサイバー攻撃の対象となるリスクが高まっている そのような背景から サイバーセキュリティリスクを事業継続の課題と位置付け 対応強化に積極的に取り組んでいる企業も多い 一方で 各社が直面しているセキュリティ上の課題も浮き彫りになってきている 一定水準のセキュリティ対策済みの企業でさえ サイバーセキュリティインシデントの被害にあうことが珍しくない さらに サイ バー攻撃の巧妙化から発見が遅れ インシデントが発生してから認識するまでの期間が長期化することもある サイバー攻撃によって個人情報が漏えいした場合 原因や影響範囲を特定するための調査には 多くの時間とコストが必要になる 具体的にどの情報が何件漏えいしたのか詳細がわからないケースもあるが それは事件発生時の インシデント調査 を前提とした対策ができていないことが一因として挙げられるだろう 以降 インシデント調査の作業のひとつである デジタル フォレンジックについて説明し 調査において有効と考えられる対策について解説する デジタル フォレンジックを活用した調査インシデント発生時には 被害の状況を迅速かつ正確に把握するための調査 被害軽減措置 対外的な報告や再発防止策の立案という流れで対応を進めていく 特に対外報告や再発防止策を行うためには インシデントの原因 影響範囲を正確に把握することが不可欠である 外部通報により情報漏えいが発覚した場合 その情報がいつ どこから どうやって 誰によって漏洩したのか 漏えいした情報の全容はどの程度か 特定することは多くの場合において簡単ではない インシデントの全容解明には 詳細な調査が必要になる その際に活用される技術が PC サーバ ネットワーク機器等を解析する デジタル フォレンジックである こちらは 2016/08/18 に公開された記事 ( を再録したものです 仕様等は公開時点のものです

6 デジタル フォレンジックによる調査と証拠保全の重要性 PC やサーバといったコンピュータに保存されている電子データを分析し 発生した事象を明らかにする作業が デジタル フォレンジック調査である デジタル フォレンジック調査の大まかな流れは下図の通りである 調査に先立ち 被害端末のハードディスク (HDD) の複製やメモリデータの取得といった 証拠保全 を実施することになる 作業の起点となる証拠保全が その後の分析調査の成否に大きく影響を与えることになる 適切な手順に従わずに保全作業に着手することにより 取得できる情報が減るおそれがあるためである サイバー攻撃に限らないが 訴訟に備える必要が ある場合の証拠保全は 証拠データの同一性を確保し 一貫した保管の継続性が求められるため 特に注意を要する 保全作業は 現状を変化させないように 対象物からデータを取得することが原則である そのため HDD などの複製を取得する場合には 取得元に書き込みが発生しないように作業を行わなければならず 専用の機材を使用することが一般的である また 端末のメモリ上にセキュリティ侵害の手掛かりとなる情報が残っていることがある 攻撃の巧妙化からディスク上に痕跡が残らないケースもあり メモリフォレンジックの重要性は増してきている もし被害端末の電源がオンのまま確保できた場合には メモリのデータを取得することも検討すべきである デジタル フォレンジックのプロセス こちらは 2016/08/18 に公開された記事 ( を再録したものです 仕様等は公開時点のものです

7 証拠保全作業は 特定 営利活動法 のデジタル フォレンジック研究会の 証拠保全ガイドライン などを参考に 組織において確立された手順に従って保全作業を行い 痕跡の消失や変更が最小限になるようにしなければならない また 外部専門家へ依頼する場合には 環境を保全するように周知徹底し 闇雲に端末を操作してしまわないようにすることが重要である 原因究明のための調査証拠保全に続き 攻撃の痕跡を探すためにデータを分析する 分析作業では 端末に残っている複数の証跡を相互に関連付け サイバー攻撃の痕跡を調査する 例えば 被害端末を調査することで マルウェアなどの不正プログラム 悪意のあるサイトや攻撃指令サーバへの接続の痕跡 外部送信されたファイルなどを特定できる場合がある 分析作業には オペレーティングシステムやファイルシステムの理解 サイバー攻撃手法に関する詳細な知識のような 専門的なスキルが要求される 加えて 分析作業は被害端末単体の調査にとどまらず ネットワーク機器やサーバのログといった 複合的な分析を行うケースもあり 幅広い知識や経験が必要になることもある 調査結果の活用と改善フォレンジック調査で得た結果をもとに 被害の封じ込め ステークホルダへ報告する サイバー攻撃被害の根本原因の対策は 調査で判明した原因を基に導き出すことができるが 部分的な対処に留まってしまうことが多い セキュリティ侵害の根本原因を分析に活用し 組織的なセキュリティ対策の強化に役立てていくことが重要である 一度企業で発生したセキュリティインシデントは 類似の事象が再発する可能性を秘めている そのため 調査で得られた教訓を生かした パッチワーク的な対応に留まらない根治策の検討が インシデントを経験した企業に求められるだろう ここまでインシデント発生時に行う調査について説明してきた サイバー攻撃に対し どのような対策をとれば良いのかやサイバー保険の効能について後編で解説する こちらは 2016/08/18 に公開された記事 ( を再録したものです 仕様等は公開時点のものです

8 サイバー攻撃被害の範囲を特定できるか -- 証拠保全の重要性 ( 後編 ) 前編ではインシデント発生時に行う調査について説明してきた サイバー攻撃に対し どのような対策をとれば良いのかやサイバー保険の効能について後編で解説する インシデント調査に備えた事前対策 昨今の企業に対するサイバー攻撃の事例からもわかるとおり 情報漏えいの端緒となる 攻撃者の組織内への侵入に対し ウイルス対策製品や不正侵入検知装置のような従来型の対策ではタイムリーに検知することができないケースがある そのため 昨今のトレンドでは予防的な対策に加えて サイバー攻撃を早期に検知するための発見的な対策の重要性が叫ばれている そして同じ理由で 全ての攻撃を発見することが難しいことから 予め組織内部への侵害が発生することを想定した 初動対応や調査のための事前準備 が被害軽減の重要なポイントといえるだろう 査することを見越して予め準備しておくことが不可欠である 以下では 事前対策において重要と考えられるポイントを 3 点例示する 情報資産の把握とリスク分析まず 情報漏洩えい時に影響を判定する第一歩として 具体的に何の情報が どこから漏れたのか を特定することが重要である 組織として保護すべき情報資産はどこに保存されているのかを 予め正確に把握しておくことがポイントである 個人情報管理台帳等により 情報の保管場所は管理されていることは一般的であるが 詳細な保持情報までは一元的に管理されていないことがある 個人情報が漏えいした場合 保存されている属性情報やデータの範囲によって 具体的にどのシステムから漏洩したのかを特定できる場合があるため 正確な情報資産管理が有効な対策として挙げられる もしサイバー攻撃を早期に検知できた場合でも 被害が疑われる全端末を調査することは実際には難しいため 迅速に影響範囲を絞り込むための仕組みの導入や設計など 事前対策が重要である なぜなら ストレージやメモリの大容量化やネットワーク帯域の増加に伴い 調査対象となるハードディスクやメモリイメージ ログの取得 分析に多くの時間を要するためである 迅速さが求められるセキュリティインシデント対応において 調査に時間がかかってしまうことは 大きな阻害要因となる 効率的に調査を実施するためにはインシデント発生後から対処を始めるのではなく 調 また 情報資産へのアクセス経路やセキュリティ対策機器が特定できれば インシデント調査の対象を効率的に絞り込むことが可能である そのため 保護すべき資産がどこから どのようにアクセスされ どのような対策が行われているのかを把握し 文書化されていることが望ましい インシデント対応体制の確立続いて セキュリティインシデントの特定 調査 封じ込めといった有事の対応体制を確立しておくことが重要である こちらは 2016/08/19 に公開された記事 ( を再録したものです 仕様等は公開時点のものです

9 迅速かつ正確なインシデント対応を実現するためには 事前に対応手順を整備し 有事に備えた連絡体制の構築がポイントである 緊急時対応を担う CSIRT を整備している企業も増えてきているが 連絡体制や対応手順の確立のためにも 定期的な予行演習と手順の見直しを実施することで 効果的な対応が可能になる 証拠保全の重要性は先に述べたとおりであるが インシデント対応プロセス全体に対する 手順と体制の確立が成否を分けるといえるだろう また サイバー攻撃の詳細な調査に専門的な知識が要求される場合 社外のセキュリティベンダーなどへ依頼するケースもあるだろう そのような場合に注意しなければならないのは 調査依頼先の選定や契約締結するのに時間を要し 初動対応が遅れてしまうという点である インシデントが起こってから外部専門家を探していては 対応が後手に回ってしまうおそれがある どのようなケースで外部専門家へ依頼することになるのか スムーズに外部専門家と連携が取れる体制が構築されているか 予め検討しておくことが望ましい 事後調査を目的とした網羅的なログの記録 保管 ルやプロキシのようなネットワーク機器のログ 被害にあった PC やサーバのログを調査することになる しかしながら 機器の設定によっては 調査に必要な情報を得られない ログが保存されていない 上書きされてしまっている といった事実特定が難しくなる場合も多い 組織の内から外に対するデータ送信のログを取得するように設定する 記録されたログを別ホストに転送して集中的に管理するなど 調査を見据えた対策を講じておくことが重要である また 持ち出された情報資産を特定するために サーバの認証ログやアクセスログを取得 保管することも有効である 特に重要な情報資産が格納されているサーバは 確実にログの取得 保管を実施することが望ましい あらゆる組織がサイバー攻撃の被害を受ける可能性があることを念頭に 事前に対応力を高めるとともに 仮にセキュリティ侵害が発生した場合においても迅速に対応できるのか 再点検することが望ましい 調査に要するコストとサイバー保険の活用 端末やネットワーク機器のログは 不正アクセスを時系列で分析することに役立てることができるため 調査の前提となるデータである ログが記録 保管されていなければ事後の調査が難しくなってしまう 調査に必要となるログの記録 保管は想定リスクに基づいた基準を設け 組織全体で網羅的に記録されていることがポイントである サイバー攻撃を受け 組織外に情報を持ち出されたおそれがある場合 インターネット境界のファイアウォー デジタル フォレンジック調査には専門のスキルが求められる分野であるため インシデント対応を自組織で完結して実施できる体制を確保できるのは 一部の大企業にとどまるのではないだろうか 先に述べたように事前に対策していたとしても 調査時には相応のコストが発生することになる まして 事前対策が十分でない場合には調査範囲が拡大し 多額のコストが発生するおそれがある 調査に要するコストへのリスク対応策として サイ こちらは 2016/08/19 に公開された記事 ( を再録したものです 仕様等は公開時点のものです

10 バー保険の活用 が選択肢として挙げられる サイバー保険に加入することで フォレンジック調査などで発生した費用が補償される場合があるため サイバーインシデントが発生時の調査に寄与することが期待される ただし サイバー保険へ加入するからといって 予防的対策や事前対策をしなくても良いということにはならない 実際に情報漏えい事故が起きてしまうと 企業ブランドの毀損や収益の減少といった 数多くの影響を与えることになるだろう サイバーセキュリティインシデントが発生する可能性や影響を低減するため に セキュリティ対策を推進していくとともに 有事のリスク移転策としてサイバー保険の活用が選択肢となるだろう 今回は サイバー攻撃におけるデジタル フォレンジック調査と対策について述べてきた 情報漏洩を伴うサイバー攻撃が 組織に対して多大なインパクトを与えることは 誰もが認識しているだろう サイバー保険が普及することで 企業が採り得るリスク対応策も幅が広がり サイバーリスクへの対応強化を促す契機となることが期待される こちらは 2016/08/19 に公開された記事 ( を再録したものです 仕様等は公開時点のものです