サイバー攻撃の保険金下りないかも 国家支援攻撃に備えて情シスが取るべき対策は:企業に迫る「保険ゼロ」前提の意思決定
サイバー攻撃の主体が国家へと拡大する中、サイバー保険の適用範囲も変化しつつある。企業が保険に依存しないリスク管理と体制作りを推進するには。
サイバー攻撃の前提が変わっている。従来は金銭目的の犯罪が中心だったが、現在は国家やその支援を受けた攻撃は増加傾向だ。医療機器企業が攻撃を受け、79カ国の拠点が停止した事例もある。
ここで問題になるのがサイバー保険の適用範囲だ。国家が関与していると判断された場合、「戦争免責条項」によって補償対象外となる可能性がある。従来の保険はランサムウェアなど犯罪を前提に設計されており、国家主体の攻撃は想定外だ。
さらに厄介なのは、攻撃が発生した時点では、攻撃主体を適切に判断することはできない。復旧費用の投入や業務停止判断は即時に求められる一方で、攻撃の主体や保険適用の可否は後からしか分からない。情シスは「保険金が支払われる前提で動くのか」「保険金が出ないという最悪の事態を想定して動くのか」を速やかに決断する必要がある。
保険の適用外? 国家支援型攻撃にどう備える?
併せて読みたいお薦め記事
サイバー攻撃の関連記事
この問題は過去に起きている。2017年、海運会社A.P. Moller - Maerskがランサムウェア「NotPetya」の攻撃を受けた。この攻撃は、ウクライナを標的としながら、NotPetyaに感染した多数の多国籍企業に広範な被害が発生した。被害総額は約100億ドルとされる。食品会社Mondelezは約1億ドル、製薬会社Merckは14億ドルの保険請求を行ったが、いずれも戦争免責条項が争点となった。Merckの訴訟では裁判所が除外適用を否定した一方、Mondelezは判決前に和解している。
この一連の事例を受け、保険の前提は大きく変わった。英国に位置する世界最大の保険市場Lloyd's of London は2023年以降、国家支援攻撃の明示的な除外を求めている。現在では多くの保険契約で、国家関与の攻撃は補償対象外とされる方向に進んでいる。
その結果、保険の構造は大きく変わった。保険金は「全額支払われるか、全く支払われないか」の二択になりつつある。そして現実には、後者になる可能性が高い。つまり企業は、最大損失リスクを自ら内包する前提で経営する必要がある。
この前提に立つと、意思決定の分岐は明確になる。「保険を前提にリスクを外部化するのか」、それとも「自社で吸収する前提で設計するのか」である。
前者を選ぶ場合、契約の理解が不可欠になる。保険会社任せにせず、法務部門やリスク部門と連携して条項を精査する必要がある。戦争、テロ、国家支援といった除外条件を洗い出し、想定と実態のギャップを把握することが求められる。さらに、更新時には除外条項の縮小や帰属判断基準の明確化を交渉する必要がある。
同時に、補償されない場合の損失を事前に算定することも重要だ。フォレンジック調査、法的対応、復旧費用、業務停止、顧客離れといった要素を金額ベースで積み上げることで、意思決定の前提を明確にできる。
一方、後者を選ぶ場合は設計思想が変わる。リスク移転ではなく、レジリエンス(回復力)の強化に軸足を移す必要がある。空気隔離されたバックアップ、ネットワークの分割、ゼロトラストの導入など、攻撃を前提とした構成が求められる。さらに、インシデント対応計画は「保険が一切支払われない前提」で設計する必要がある。
加えて、財務面での備えも必要になる。CFOと連携し、キャプティブ(自己保険)など代替的なリスク移転手段を検討することが求められる。サイバーリスクはITだけの問題ではなく、財務と経営を横断する課題となっている。
このため、CIOとCFOが連携したリスクガバナンスの構築が重要になる。セキュリティ、リスク管理、財務を統合的に扱い、補償されないリスクを前提に投資判断を行う体制が求められる。
見落とされがちなリスクもある。従来型の損害保険で暗黙的に補償されていた「サイレントサイバーリスク」の適用範囲が縮小している。逃げ道になり得るはずの補償を利用することは困難となりつつある。
保険が適用されなければ、フォレンジック調査、法的対応、システム復旧、業務停止による損失、サプライチェーンへの責任、顧客離れで生じた損失までを自社が全額負担する。
さらに取締役会レベルの責任も発生する。重大インシデントは4営業日以内の開示が求められる。保険の適用範囲を理解していなかった場合、投資家の訴訟に発展するリスクもある。
今すぐやるべきことは?
まずは契約の実態を把握する。保険会社任せにせず、法務部門やリスク部門とともに条項を精査する。次に、補償されない場合の損失額を事前に算定する。そして、保険に依存しない復旧体制を設計する。CFO(最高財務責任者)と連携し、リスク移転だけでなく財務的な備えも検討する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.