サイバーリスク

サイバーリスク

サイバーリスクは、ITを導入するときに付随するリスクで、誰もリスクから逃れることはできません。ITの欠陥と見なすべきものです。従って、ITを導入するときに同時にこの欠陥を補うために一定の投資を行う必要があります。言い換えると、ITにより効率化を図る場合、不可欠な投資と言えます。

サイバーリスクの対策に失敗すると、場合によってはレピュテーションリスクを誘発し、経営者の辞任、株主代表訴訟による経営者個人への賠償責任の追及まで発展する場合がありますので、注意が必要です。

サイバーリスクの形態

(情報セキュリティ白書2019 独立行政法人情報処理推進機構による)


  • 標的型攻撃
  • ビジネスメール詐欺(BEC)
  • DDos攻撃
  • ソフトウエア―の脆弱性を悪用した攻撃
  • ランサムウエア(トロイの木馬)
  • パスワードリスト攻撃
  • フィッシングによる詐欺
  • 偽の警告や偽のサイトを用いた詐欺等
  • 情報漏洩による被害

  内部
  外部

サイバーリスクによる損害の形態は、大きく三つに分けられます

  1. 個人情報漏洩等、システム内の情報を漏洩させる
  2. 企業のITシステムを踏み台に他社のシステムを攻撃し損害を与える
  3. 企業のシステムに攻撃をかけ脅迫、詐欺等を働き、また、システム破壊等の損害を与える

ハッカーによる攻撃と防御

世界中のハッカーが、それぞれ知恵を絞りITを利用して目的を達成しようとするので、これらをすべて防ぐことは不可能です。

一方、リスクの多様化に応じて、防御対策も数多く考えられています。 しかし、多くのサイバー犯罪は、初歩的な防御対策で防ぐことが出来ます。費用もそれほど掛かりません。防御手段については、限界効用逓減の法則が働く分野と言えないこともありません。

どこまで、防御手段に投資するかは、企業の保持している情報の重要性によると言えます。ステークホルダーが求めているレベルの対策を取らずに、サイバーインシデントが発生するとレピュテーションリスクを誘発させ、企業は危機に陥ります。  

対応策

情報漏洩 

このリスクは、特に個人情報を持つ企業全てが、それなりに対応すべき非常に重要なリスクです。

  • サイバーリスクの分野で最も重要なインシデントの一つは、個人情報漏洩です。2017年5月に「個人情報保護法」が改正され業務上1件でも個人情報を保有する事業者が対象となりました。
  • 企業リスクの観点から特に注意が必要なことは、2022年に行われる個人情報保護法の改正で、特に、不正アクセスで個人情報漏洩が発生した場合は、監督当局と情報を漏洩された本人に漏洩の旨を通知する義務を負うことになっています。また既に、現在でも、サイバー保険での情報漏洩による保険金支払いの条件として、当局への報告、新聞広告、本人への通知等を設定しています。 レピュテーションリスクを伴うものですから注意が必要です。
  • 個人情報保護法律は、罰則規定を伴うきめの細かいその取扱い、安全管理等に関するルールが導入されています。

  特に安全管理のガイドラインとして、以下が決められています


  • 個人情報取り扱いの社内ルールを決める
  • 従業員を教育する
  • 関係者以外の閲覧禁止措置
  • セキュリティ対策ソフト導入

これらの条項は、サイバーリスク軽減策としては、最も基本的なもので、どの企業もITを業務に利用する以上は、最低限行う必要があります。

  • JNSの調査では、情報漏洩の3大原因は、紛失・置忘れ、誤操作、不正アクセルとなっています。従って、上記4つの安全管理が重要と言えます。
  • 特に、従業員の教育が効果的と言われており、従業員の情報管理への意識の強化が重要となります。その場合、社内ルールを決めることと同時にその順守を以下の文章に記載し各人からの署名を求める必要があります。


  • 労働条件通知書兼雇用契約書(採用時)
  • 就業規則
  • 秘密保持に関する誓約書(退職時)

サイバー攻撃

サイバー攻撃は、インターネットを通じて、色々な方法で、コンピューターに侵入し初期の目的を達成しようとするもので、その種類は、上記「サイバーリスクの形態」の通り様々なものがあります。

【対策の手段】

  • 入口での侵入防御
    1. ログ管理ソフトの導入

      • 実際に攻撃が行われた場合、そのインシデント分析に必要
    2. 情報ファイルへのアクセス制限と従業員教育

      • 収納されている情報の重要性に応じて、業務に重要な支障が生じない範囲で、情報のアクセスに制限を設ける
      • 教育により不審なメールを開かない、不審なサイトを見ないように指導
    3. OS/各ソフトのアップデート

      • OSやソフトには、最新のウイルス対策が施されますので、アップデートが必要です
    4. ウイルスソフトの導入

      • ウイルスソフトだけでは万全ではありませんが、多くのリスクはこれで防げるようです
  • システムへの侵入の有無の監視
    1. マルウェア―等の侵入の監視
    2. システム虚弱性の定期的監視

リスクの移転

  • このリスクは、避けることが出来ず対策を放置すると企業のレピュテーションリスクが掛かる問題へと発展しかねないものです。
  • さらに、システムに侵入されると気づかずに長期に亘り居座り損害を拡大し続ける可能性さえあります。
  • 防御体制を構築するにしても一定以上の体制を採る場合には、かなり高額な投資が必要になります。
  • そこで、その企業が考える必要な防御体制を導入し、残余リスクは保険への移転を考えることになります。
  • 保険を買うにしても、補償限度をどの様に設定すべきかを判断する必要があります。幸い、現在、保険会社では、種々の診断サービス等を提供しておりこれらをうまく利用して、自社にあった体制を構築する必要があります。