(編集途中です…)
サイバー攻撃の危険性が問われる時代になってきました。
しかし、「本当に危険なのか…いまいちピンとこない。」そんな企業のリスク担当者の方も多いのではないでしょうか。サイバーリスクと言っても、自動車運転や自然災害等と違ってどんな被害が起きるのか、ちょっと想像しづらいですよね。対策や保険加入も、費用に見合ったものなのか判断できずに、保留状態なんて感じじゃないでしょうか。
・サイバー保険を提案されているけど、加入するべきか迷っている。
・上司に「サイバー対策について調べていおいて。」と言われて困っている。
・いろいろ調べたけど、何が必要なのかよく分からない。
私も、社内の保険担当として同様の経験をしました。
付き合いのある保険代理店から提案があったらしく、上司から突然「調べておいて〜」とパンフレットと見積もりをパサッと渡されたことがあります。
この記事では、私が「無茶振りしやがって、ムキーッ!(; ・`д・´)」となりながら調べたことを共有します。
・サイバーリスクって何だ?
・サイバー攻撃に備える方法
・サイバー攻撃による被害
・保険の必要性
・サイバー保険の概要
・加入するかの判断基準
・けっきょく必要なのか?
読み終えると、サイバーリスクと保険のメリットについてざっくりと分かります。
あなたがサイバーリスクにどう備えるべきか、答えが出せるはずです。
サイバーリスクって何だ?
「サイバー攻撃が〜」
「マルウエアが〜」
「セキュリティの脆弱性が〜」
世の中はいろんな表現でサイバーリスクについて煽ってきます。
そんなに言われると…なんだか不安になりますよね。
でも、実際サイバーリスクって何なんでしょうか?
自動車リスクなら、交通事故で人を轢いてしまうことや、車同士で衝突してしまうなどイメージしやすいですね。実際に体験したことがある人も、結構多いでしょう。
リスク対策は「何か起きたら自分では対処できないリスクに備えるもの」だと思います。
自動車なら交通事故での対人対物被害、自然災害や火事とかなら建物やモノの被害ですね。
では、サイバーリスクは、何に備えるものなんでしょう。
ここを抑えておかないと、話が進まなくなるので、まずはサイバーリスクを整理したいと思います。
3つのキーワード
サイバーリスクを理解しやすくなるキーワードが3つあります。いろいろ調べてこの3つに集約するんじゃないかなと思っています。このキーワードを知ることで、サイバーリスク対策の目的が見えてきます。そのキーワードは、下記の3つです。
・悪質なビジネス
・ちょー身近
・イタチごっこで防げない
1:悪質なビジネス
サイバーリスクをあまり知らない状態だと「悪さする人達は、いったい何を目的にしてんのよ?」と思われるのではないでしょうか。私も最初「イタズラ?」とか思ってました。
これ、一言でいうと「ビジネス」でやっています。
オレオレ詐欺や振り込め詐欺のように、悪意を持って自分のお金儲けのために行われています。顧客リストなどの個人情報やクレジットカード情報、企業の機密情報などを盗み、売却するなどしてお金儲けをしている人や組織が、マジであるそうです。
さらに、国家レベルで行われるサイバー攻撃もあります。これはたまにニュースにもなっていますよね。オリンピックの時とか結構でてましたね。軍事的、政治的なことが絡んで行われるサイバー攻撃です。
2:ちょー身近
サイバー攻撃は、「大企業や国・自治体を狙っている」と思っていませんか?
中小企業や個人事業は関係ないよね、と。
これは、勘違いです。後でご紹介するサイバー攻撃の種類を知ると分かって来ますが、事業規模は関係なくサイバー攻撃は行われています。
極論、普段インターネットやメールを使っている事業者であれば、すでにサイバー攻撃受けています。きっと、今日も受けてるんじゃないでしょうか。
…迷惑メールとかきてませんか? それ、サイバー攻撃です。
というのも、サイバー攻撃はお金儲けのためにやっているので、事業規模とか関係なく、目的が達成しやすい事業者を狙っています。つまり、セキュリティ対策が弱いところを狙っているのです。
さらに、セキュリティ対策がしっかりしている大企業などを狙うために、セキュリティ対策の弱い中小企業を経由して、大企業に攻撃をしかけることも普通に行われています。
3:イタチごっこで防げない
ニュースでも時々、大企業の情報漏えいが取り上げられていますね。
誰もが知るような大企業が、セキュリティ対策をしていない訳がないんです。それぞれの会社で、パソコンにはセキュリティソフトを導入したり、社内ルールなどを決めてしっかり対策しているはずです
でも、事業者が対策すると同時に、攻撃者もその対策をすり抜ける方法を考えて実行していきます。順番的に、攻撃側が後出しジャンケンなので、圧倒的に有利です。
そのため、国のガイドラインや、セキュリティソフトを開発販売する企業(セキュリティベンダっていうらしい)ですら、「完全には防げない」とはっきり言っちゃってるのが現実なんです。
サイバー攻撃の種類
サイバー攻撃が「身近で、防ぎようのない、悪質なビジネス」だと分かったところで、具体的にどんな種類があるか見ていきたいと思います。車で言う交通事故のように、何に備えるのかを理解するうえで重要なポイントです。サイバー攻撃は、ざっくり分けると3つのタイプに分けられます。
1:ウェブサイトへの攻撃
2:メールを使った攻撃
3:その他
1:ウェブサイトへの攻撃
インターネットで検索すると、たくさんのウェブサイトが出てきますよね。企業や行政、個人が作成したサイトが数え切れないほどあります。このウェブサイト自体に攻撃をし、情報を盗んだりする方法です。
分かりやすい事例としては下記があります。
◾️改ざん
サイトの画像や文章を書換え、見た人のパソコンに悪意のあるウイルスを感染させたり、情報を盗む攻撃。
◾️ログイン画面突破(インジェクション攻撃、パスワードリスト攻撃など)
ログイン画面などの入力フォームにランダムに入力し、不正にログインし、情報を盗む攻撃です。これがあるので、パスワードは生年月日など簡単なものはダメで、かつ、使い回しも良くないと言われます。
◾️キャパオーバー(ドス攻撃)
たまに、サイトにアクセスが集中して繋がりにくい、落ちるとかありますよね。
あれを、意図的に引き起こすような感じの攻撃です。サーバーの処理能力を超える大量のデータを送信し、サービスを停止させてしまう攻撃です。
2:メールを使った攻撃
これが一番身近です。日常的に皆さんが攻撃を受けていると言っても良いです。
社員が多い企業やITに弱い社員がいる企業にとって、かなり危険な攻撃です。
◾️標的型メール
「この企業の情報とってやろ」という感じに、特定の企業や団体を狙ったものです。
メールを使って社員等のパソコンにウイルスを感染させて、社内ネットワークのデータベースなどに入り込んで情報を盗るやり方です。
これが巧妙で、メールアドレスや名前を実在するものに似せたりしてきます。または、件名や本文も良くありそうな内容で書かれてきます。本文に書かれたURLをクリックしたり、添付ファイルを開くことで、ウイルスに感染します。
よ〜く見ないと、うっかりURLや添付ファイル開いてしまいます。もしリテラシーの低い社員がいる企業だと、感染してしまう危険は高いです。
◾️不特定多数を狙ったメール攻撃(スパムメール)
ウイルスを仕込んだメールを、無差別かつ大量に送りつける攻撃です。
「スパムメール」って聞いたことありませんか? あれがコレですね。大量かつ無差別に送信された迷惑メールがスパムメールです。
先程の標的型は、狙った相手に送りつけますが、スパムメールは適当にバラ撒きます。
送りつけられてきた企業の中で、セキュリティがしっかりしていない企業や、社員がうっかりメールを開いたことなどで感染します。
情報を盗られることだけでなく、パソコンを使えなくすることで身代金を要求する被害もあります。俗に言う「ランサムウェア」です。身代金(ランサム)を要求するマルウエアで「ランサムウェア」とのこと。
「お前のパソコンを使えなくしたぞ! 直して欲しかったら金払え!」みたいな感じですね。でも、お金払っても直してくれないっぽいです。
3:無線LANを使った攻撃
いわゆるWi-Fiのように、ケーブルを使わなくてもインターネットに接続できるのが無線LANです。これも実はサイバー攻撃の的です。通信を傍受・解析されることで、情報が盗られてしまうことがあります。
フリーWi-Fiなんてチョー危険です。誰でも接続できるネットワークですから、悪意を持った人も簡単に接続できます。だからこそ、ネットワークのパスワードが必要かつ簡単なのではダメなんです。