村松総合保険

サイバー保険のお勧め

情報セキュリティに万全な対策はありません!

お問い合わせ
TEL 090-7861-5857
9:00~18:00(土日祝除く)



経営者及びCISO(情報担当役員)の皆様へ

  • 情報を安全に管理することの重要性についてご認識いただき、中小企業にとって重要な情報を漏洩、改ざん、消失などの脅威から保護するための情報セキュリティ対策の考え方や、段階的に実現するための方策をご紹介します。

     

    ・情報セキュリティ対策は、経営に大きな影響を与えます!

     情報セキュリティ対策を実施して対外的にアピールすることで、企業としての信頼性を確保し売り上げを伸ばしている企業がある一方、情報セキュリティ対策を疎かにしたために秘密情報や個人情報の漏洩を発生させ、業績は落ち込み、経営を揺るがしかねない高額な賠償金を支払った企業もあります。

    ・対策の不備により経営者が法的・道義的責任を問われます!

     現代社会では金銭や物品だけでなく、情報にも価値や権利が認められます。例えば個人情報保護法では、事業者に対して個人の権利利益の保護、安全管理措置などの管理監督が義務付けられており、これらへの違反が認められると場合によっては会社に罰金刑が課されます。さらに、取締役や監査役は、別途、会社法上の忠実義務違反の責任を問われることもあります。

    ・組織として対策するために、担当者への指示必要です!

     企業の継続的な発展のために、また、経営責任を果たすためには、担当者に任せきりにすることなく、経営者が自社の情報セキュリティについて明確な方針を示すとともに自ら実行していくことが必要です。情報セキュリティ対策は、経営者が主導し、必要な範囲を網羅し、関係者と連携して組織的に実行しなければ機能しません。経営者はこれらを認識したうえで、必要となる取り組みを担当者に指示する必要があります。

       出典 独立行政法人 情報処理推進機構 中小企業の情報セキュリティ対策ガイドライン第3版

  • リスク対応の考え方

    リスク対応には大きく分けて二種類が考えられます。

    まず、リスクコントロールは、技術的な対策や何らかの行動によって対応することです。次に、リスクファイナンシングです。他者とリスクを共有して、インシデントが発生した時に、例えば保険に加入するなどで係る費用を外部に転嫁することです。

    サイバー攻撃を受ける恐れのある段階から事故が発生した時、ログの調査等初期対応に戸惑うことなく適切に処理が図られるのも保険に加入する強みではないでしょうか。

     

  • 〒447-0841愛知県碧南市塩浜町4-77
    村松総合保険             
    経産省認定 情報処理技術者(ITサポート)
    IPAセキュリティプレゼンター
    Email:makehappy@bloom.ocn.ne.jp
  • リスク対応の考え方

    リスク対応には大きく分けて二種類が考えられます。

    まず、リスクコントロールは、技術的な対策や何らかの行動によって対応することです。次に、リスクファイナンシングです。他者とリスクを共有して、インシデントが発生した時に、例えば保険に加入するなどで係る費用を外部に転嫁することです。

    サイバー攻撃を受ける恐れのある段階から事故が発生した時、ログの調査等初期対応に戸惑うことなく適切に処理が図られるのも保険に加入する強みではないでしょうか。

     

中小企業BCP(事業継続計画)とは?

  • 東日本大震災において、中小企業の多くが貴重な人材を失い、設備を失ったことで廃業に追い込まれました。また、被災の影響が少なかった企業においても、復旧が遅れ自社の製品・サービスが供給できず、その結果顧客が離れ、事業を縮小し従業員を解雇しなければならないケースが見受けられました。

    このように緊急事態はいつ発生するかわかりません。BCPとは、こうした緊急事態への備えのことをいいます。

    ただし、突発的な緊急事態がBCPの想定通りに発生するはずもありません。また、BGPを策定していても、普段行っていないことを緊急時に行うことは実際には難しいものです。緊急事態において的確な決断を下すためには、あらかじめ対処の方策について検討を重ね、日頃から継続的に訓練しておくことが必要なのです。

    BCPを策定する際は、最初から理想を追求し完全なものを目指しても実現は困難な場合が多く、かえって導入を躊躇することにもなりかねません。そのため、まずは身の丈にあった実現可能なBCPを策定し、そして、それに改善を積み重ね、平常時から突発的な緊急事態への対応力を鍛えておくことが肝要です。

    イメージとしては、BCPを策定・運用している企業は、緊急事態が発生しても事業の早期復旧・継続でき、経営の安定・向上に繋げていくことができます。これに対して、BCPを策定・運用していない企業は事業縮小、廃業せねばならず、経営は悪化し顧客は流出してしまうしてしまうことが考えられます。

    中小企業BCPを策定・運用して緊急事態への対応力を向上させなければなりません。

    出典 中小企業庁発行中小企業BCP策定運用指針第2版
     
  • BCPを策定・運用していない企業は、正常性バイアスがかかり、それほど必要性を感じず、「難しい」とか「途中で作るのをやめてしまった」という声が多いように思われます。これに対して、BCPの考えを受け入れ経営改善に生かしている企業は、毎年台風に襲われ被害を出しているとか、過去に地震の被害を受けて操業停止せざるを得なくなってしまった経験があるとか、そんな事情で取り組んでみえる企業が多いと感じました。サプライチェーンで要請された企業もあるそうです。

  • 最近では、新型コロナに多くの社員が感染してしまい、操業停止になったらどうしようと考える企業が現れているそうです。また、サイバー攻撃でシステムが破壊されて工場が動かなくなってしまう事態が予想されます。この場合、自社の復旧費用だけでなく、製品の供給ができなくなってしまい賠償を請求される危惧もあります。

  • BCPを策定・運用は必須で、今後は実行してないところとは取引しないという事態が予想されますので、今後事業を継続、発展していくためにはどうしても必要なツールだと考えています。

  • 〒447-0841
    愛知県碧南市塩浜町4-77
    村松総合保険       
    経産省認定 情報処理技術者(ITサポート)
    IPAセキュリティプレゼンター
    Email:makehappy@bloom.ocn.ne.jp
  • BCPを策定・運用していない企業は、正常性バイアスがかかり、それほど必要性を感じず、「難しい」とか「途中で作るのをやめてしまった」という声が多いように思われます。これに対して、BCPの考えを受け入れ経営改善に生かしている企業は、毎年台風に襲われ被害を出しているとか、過去に地震の被害を受けて操業停止せざるを得なくなってしまった経験があるとか、そんな事情で取り組んでみえる企業が多いと感じました。サプライチェーンで要請された企業もあるそうです。

解決策は?

サイバーリスクを他に移転する

  • サイバー攻撃を受けた事例がメディアに登場しますが、取り上げられるのは国家や大企業ばかりなので、自社には関係ないと思われていませんか?インターネットに繋がっていれば、標的型攻撃、不正アクセス、ウイルス感染はOS・アンチウイルスソフト・アプリなどの脆弱性を見つけられて侵入されてしまいます。たまたま今までインシデントに遭遇してなかっただけではないでしょうか?いつまでも侵入されないとは限りません。問題なのは、ウイルスが自社のネットワークに入って来ても気が付かない場合が多いということです。

  • 最近のサイバーインシデント事例としては、WannaCryの亜種に汚染した新規追加の機器を必要なウイルスチェックをせずに工場内のネットワークに繋いでしまったため感染してしまったとか、正規のメールへの返信を装う手口のEmotetとか、ネットワークに侵入し、PC等の端末やサーバー上のデータを一斉に暗号化して使用できなくし、窃取データを公開すると脅迫して身代金を要求して来るランサムウエア攻撃があります。また、身近な例としては、我々保険代理店も狙われ被害が出ているので保険会社からしばしば注意喚起されています。保険会社でも一層強固なセキュリティシステムを構築していると実感しています
  • ひとたびインシデントが発生しますと、個人情報・企業情報の流出、取引先企業の業務阻害、企業イメージ・信用の低下、貴社の業務停止となり、初動対応、事故対応、信用回復、自社の業務阻害などの対応に迫られます。

  • サイバー保険に加入していれば、ウイルスの侵入の可能性がある段階から相談でき、各段階でアドバイスがあり、スムーズな事故処理がなされます。

    インシデントが発生しますと、自社内の対応費用は巨額になりますが、それよりも懸念されることは、サプライチェーン損害賠償を請求されてしまうことも考えられます。

     

  • 最近のサイバーインシデント事例としては、WannaCryの亜種に汚染した新規追加の機器を必要なウイルスチェックをせずに工場内のネットワークに繋いでしまったため感染してしまったとか、正規のメールへの返信を装う手口のEmotetとか、ネットワークに侵入し、PC等の端末やサーバー上のデータを一斉に暗号化して使用できなくし、窃取データを公開すると脅迫して身代金を要求して来るランサムウエア攻撃があります。また、身近な例としては、我々保険代理店も狙われ被害が出ているので保険会社からしばしば注意喚起されています。保険会社でも一層強固なセキュリティシステムを構築していると実感しています