高まるサイバーリスク

サイバー攻撃件数は急増しており、2016年には、国内のネットワークに向けて1281億件の攻撃がなされています。
【参考】国立研究開発法人 情報通信研究機構(NICT)への新聞の取材記事に基づき作成

サイバー攻撃の実態

情報の電子化やIoT(Internet of Things)の普及などIT技術の革新によって、管理するデータの量はますます増え、攻撃対象もさらに拡大すると考えられています。これらの膨大なデータを守るためにはセキュリティ対策の強化が必須ですが、性能を向上させるほど費用が高額になることから段階的に導入を見合わせる企業も多くなっています。また、防御性能をどこまで高めても、サイバー攻撃はその隙をついて次々と仕掛けられ、万全に防ぐことができません。

サイバー攻撃による被害

2014年に発生した過去最大規模の情報漏えい事件では260億円を超える損失が発生し、事件後の顧客離れも深刻化していると言われています。
情報処理推進機構(IPA)の調査に対し、ウィルス観戦やサイバー攻撃等による被害が「発生した」と回答した企業は全体の4分の1にあたる26.1%で、このうち「取引先や顧客等に対する損害賠償の被害額」が100万円以上であったと回答した企業は15.9%です。

サイバー攻撃の種類は、どんなものがあるの?

不正アクセス

本来アクセス権限を持たない者がインターネットを経由して、サーバーや情報システムの内部へ侵入する行為のことです。

内部不正

内部不正とは、企業内の関係者による機密情報や情報資産の持ち出し、漏えい、消去、破壊などの不正行為のことです。

マルウェア

コンピュータウィルス等の総称で、他人のプログラムやデータベースに被害を及ぼすよう意図的に作られたプログラムです。

標的型攻撃

重要な情報を入手するために特定の企業や組織を狙って行われる一連の攻撃のことです。

D-DOS攻撃

標的となるサーバーやコンピュータに対して、複数のマシンから大量の処理負荷を与えて機能停止状態に追い込む攻撃のことです。

ゼロデイ攻撃

ソフトウェアの脆弱性が発見されてから、開発者によって修正プログラムなどの対策が提供される前に、その脆弱性を攻略する攻撃のことです。

パスワードリスト攻撃

不正入手したアカウント情報を用いてログインを試みる攻撃手法で、IDやパスワードを使いまわしている利用者が被害に遭います。

どんな方法でサイバー攻撃を受けるの?

・取引先企業になりすましたメールが社内端末に届いた
・自社のホームページにマルウェアを埋め込まれた
・サーバーが不正アクセスを受けた

情報の漏えい または そのおそれリスク

■個人情報・企業情報・マイナンバー・クレジットカード番号・ID番号・メールアドレス・暗証番号等の情報漏えい事故
・取引先を装って送信されたメールの添付ファイルを開いたところ、ダウンロードしたファイルにマルウェアが仕掛けられており、パソコンが感染。顧客情報が格納されたサーバーに侵入された形跡があることが判明した。
・サーバーが不正アクセスを受け、顧客のクレジットカード情報を漏えい。加盟店規約に基づいてクレジットカード会社から再発行の手続きにかかった費用を求償された。

■他社が管理する情報の漏えいに起因して責任を問われるリスク
・自身の端末の感染に気付かず、取引先へメールを送信。取引先のサーバーにマルウェアが侵入し、さらに他社の情報が漏えいしてしまった。

■サイバー攻撃によらない外部記憶媒体等の持ち出し・紛失、メール等の誤送信による漏えい事故
・電車で移動中に置き引きにあい、顧客情報の入った鞄を紛失してしまった。
・メールの宛先を誤り、取引先企業とやりとりしていた情報が他社に流出してしまった。

他人の業務の阻害リスク

■自社の業務停止による他社への影響
・システムの脆弱性を狙われて攻撃を受けた自社のサーバーがダウンし、ネットワークが使用不能になってしまった。取引に大幅な遅延が発生し、業務に支障が出たとして取引先から訴えられた。

■他社への攻撃に利用されるリスク
・自社の端末がいつのまにか他社へのD-DOS攻撃に利用された。管理体制に問題があったとして訴えられた。

■他社のネットワークやデータ・プログラムへの影響
・自社から送信したメールが原因で、取引先企業のシステムをマルウェアに感染させてしまった。後日、取引先企業が中断したネットワークを復旧させるのにかかった費用を請求された。
・取引先に外部記憶媒体を持ち込んで資料を開いたところ、ファイルにマルウェアが仕掛けられており、取引先に感染を拡大!重要なデータが損壊したとして損害賠償請求された。

サイバー攻撃に起因する 対人・対物事故リスク

■自社の端末やIoT機器の脆弱性を狙った攻撃
・商業ビルのスプリンクラーシステムがサイバー攻撃により誤作動を起こし、散水した。テナントの商品を汚損したとして損害賠償請求された。
・サイバー攻撃による停電で、エスカレーターが急停止してしまい、来場者が転んでケガをした。

たとえば、以下のような対応に伴い費用が発生します

賠償事故に発展すれば、さらなる損失拡大につながるリスクが高まります。風評被害等を防ぐためにも、できるかぎりの対応を早急に行うことが肝要です。

1.各種調査の実施

サイバー攻撃を受けている旨の報告を受けて状況確認・調査を実施
事故の原因、被害、範囲を調査
行政期間による取り調べへの対応

2.復旧作業・再発防止

・従業員等の超過勤務
・損傷したサーバーの修理および代替品の手配
・信頼回復のため管理体制を見直し、認証取得

3.専門家への委託・相談

・弁護士等への法律相談
・コンサルティング会社へ相談
・ネット炎上・風評被害等の拡大を防止するための措置

4.被害者への対応

社告・会見による事故状況の説明
問い合わせへの対応のため、コールセンターを設置
事故の被害者に対する見舞い品の購入および文書作成、発送

賠償損害・費用損害への補償をしてくれる「サイバーセキュリティ保険」

「情報の漏えいまたはそのおそれ」や「IT事故」などによって、賠償損害および費用損害が発生してしまったときに保険金をお支払いします。
あいおいニッセイ同和損保の「サイバーセキュリティ保険」の詳細はこちらをご確認ください。

※当社はあいおいニッセイ同和損保の販売代理店です。

このHPは概要を説明したものです。ご契約にあたっては必ずサイバーセキュリティ保険パンフレットおよび「重要事項のご説明」をあわせてご覧ください。
また、詳しくは「普通保険約款・特約集」をご用意していますので、取扱代理店または引受保険会社までご請求ください。ご不明な点につきましては、取扱代理店または引受保険会社にお問合わせください。

あいおいニッセイ同和損害保険株式会社
東京中央支店 東京中央第二支社
Tel. 03-3242-7172

(2020年4月承認)B20-100111