サイバーリスクの時代のレジリエンス
- レジリエンス
- 企業・リーダーシップ
- 社会課題・高度化社会
- 保険・リスク関連インサイト
Mike Palotay
President, Cyber & Professional Lines Group
Tokio Marine HCC
何世紀もの間、保険業界は予期せぬ損害から社会を守ってきました。しかしながら、技術の進歩とともにサイバーリスクなどの新たなリスクが生まれ、それらのリスクへの対応が保険業界に求められています。
保険業界は常に新しいリスクに適応してきました。これらの新たなリスクに対する解決策を見つけだすことで、東京海上グループは世界中のお客様や地域社会を支え続けていく存在であり続け、成長していきます。
保険業界はこれまで、地震や台風、大規模インフラのプロジェクトや新たな医療の開発に至るまで、巨大なリスクにも対応してきました。しかし今日、保険業界をその限界まで試すことになるであろう新たなリスクが出現しました。サイバー犯罪です。
新しい動きではありませんが、近年サイバー犯罪の頻度と規模は爆発的に上昇しており、(米国のサイバーセキュリティ関連の調査会社である)Cybersecurity Ventures社によれば、2021年のサイバー犯罪による損害は6兆ドルに上ると推定しています。この金額を各国の名目GDPと比較すると、世界第3位の規模となります。さらにサイバー犯罪の損害は毎年15%増加すると予測されており、予測通りに増加すれば、2025年までには10兆5千億ドルに達する見込みですが、この金額は世界第2位の中国の名目GDPに迫るものなのです。
何世紀もの間、保険業界は様々なリスクを引き受けてしてきましたが、これほど損害の規模が大きくなると、増大するサイバーリスクに対して保険で対応するか、それ以外の方法を考えるべきなのかという疑問が生まれてきます。
サイバー保険は単に伝統的なリスクを移転するだけの保険商品ではありません。サイバーリスク自体の特性から、保険業界はこの新たなリスクに対してこれまでにない手法をとる必要があり、さもなければお客様は別のアプローチを模索するだろうと考えています。
すべてのビジネスプロセスがテクノロジーによって、劇的かつ急速に変貌を遂げました。ソフトウェアから始まり、インターネット、クラウドコンピューティングと続き、今、企業はかつてないほど相互につながっています。その結果、相互依存性が高まり、リスクは増大しています。
新型コロナが「ジャスト・イン・タイム」のサプライチェーン・システムに影響をおよぼしたように、テクノロジー・サプライチェーンにおける一部の主要企業のサイバー犯罪による小さな問題が、連鎖反応を起こしてそのサプライチェーン全体に問題を引き起こしかねない状況にあります。
常に変化し続けているサイバーリスクは、保険業界がこれまで直面してきた中で最も重大な課題のひとつです。サイバーリスクを引き受ける保険会社にとっての大きな問題は、お客様のサプライチェーンの中で何が起きると、お客様がどのようなリスクにさらされるかを見極めることです。
Tokio Marine HCCではお客様がサイバーリスクによって被る可能性がある損害額を評価し、そのネットワークの脆弱性を把握し、それらが適切に管理されているかを確認しますが、お客様のサプライチェーンの全体像の確認も行います。これは、サプライチェーン内の1社でもダウンしてしまうと、大きな損害につながるおそれがあるからです。
かつてはハッカーの標的となってきたのは、保有するデータの価値が高い大手金融機関や医療機関、決済処理会社でした。しかし、今では状況は変化し、あらゆる業種の会社が利益を期待できる標的と見なされるようになりました。
製造業、重工業、さらにはインフラ産業などは、これまでハッカーの標的ではなかったために、サイバー犯罪に対して十分な防御がなされていないケースもあります。しかし、今や状況は変わり、誰もが安全ではなくなりました。
現実を直視せずに、ただ問題が起こらないことを願うことは適切ではありません。企業は自社を守るために最新のサイバー攻撃の動向を把握できるよう、十分な投資をする必要があります。そしてその取り組みをお支えすることが私たちの責任です。
サイバー犯罪は、中小企業にとっては、正しく理解することや効果的な防御策を検討することが難しい問題です。中小企業はこれまでサイバー犯罪者の標的ではなかったため、そうしたことが落とし穴になると考えています。
一般にハッカーが中小企業を攻撃する目的はビットコインによる身代金の獲得です。攻撃の手口は実に合理化されており、比較的安価に企業へ効果的なランサムウェア攻撃をしかけることができます。ダークウェブにログインすれば、100ドル以下でランサムウェアのツールキットが手に入ります。
今日ではかなり手軽にこれらの攻撃をしかけられるようになり、ハッカーの侵入障壁は低くなっています。比較的安価にさほど時間もかけずに実行できるとなれば、防御が手薄だったり、防御がされていない企業はその恰好の標的となります。
サイバー犯罪の脅威はランサムウェアやマルウェア、DDoS攻撃からフィッシング攻撃まで実に幅広い種類があります。
Cybersecurity Ventures社は2021年には11秒に1回ランサムウェア攻撃がなされていたと推定しています。*1さらに、Gartner社によれば、2025年までに全世界の45%の企業がソフトウェアでつながった自社のサプライチェーンに対するサイバー攻撃を経験すると予測しています。誰もが標的となる可能性があるのです。これらを念頭に置きつつ、保険会社は重要なリスクの把握をどこからはじめたらよいでしょうか?
サイバーリスクを引き受ける保険会社は集積リスクを考える必要があります。たとえば、ある大手のクラウドプロバイダーが攻撃により停止した場合、お引き受けしている多数のお客様に業務中断による損害が発生する可能性があります。また、大規模な医療記録の漏洩により非常に多くの人々に影響が及びかねません。
サイバーリスクについては保険業界の伝統的な引受アプローチである長期間の損害データがないため、どの保険会社も未知の領域で保険の引き受をしている状態だと言います。とはいえ、リスクは現実に存在し、犯罪者は高度に組織化されているため、TMHCCはこの課題に対処すべく、別のアプローチをとることにしました。
ランサムウェアを仕掛ける犯罪者集団は非常に多数存在し、それらは会社組織のように指揮命令系統があり、高度に組織化されています。彼らの拠点は主に東欧とロシアにあるため、我々の国の捜査機関はほとんど手が届きません。
そして、自国政府の重要な資金調達活動にこの種の攻撃を利用している国もあります。犯罪組織による攻撃の多くは、経済的利益のため背後で国家が支援しているのです。
伝統的な保険のアプローチでこの脅威に立ち向かうことは現実的ではありません。Tokio Marine HCCは単純なリスク移転によって損失を補償するのではなく、予防的なセキュリティを事前に提供するアプローチを採用しました。これは、この課題に対処するにはサイバーリスクを保険会社として引き受けるだけでは不十分だと判断しましたからです。私たちは保険会社であると同時に、サイバーセキュリティ企業でもある必要があります。そのために、私たちは社内にサイバーリスクに関するインテリジェンス部門を設置しました。
この部門はハッキング集団の新たな技術的動向を注視しており、サイバーセキュリティの専門家とも密接につながっています。例えば、新たな脆弱性を発見された際に、その時点では目立った攻撃はありませんでしたが、この部門はその脆弱性が影響を与える可能性のあるお客様をすぐに特定し、新たにサイバー保険を引き受ける際にもこの点を確認するようにしました。実際に、お客様の約100社にこの脆弱性があることが分かったことから、私たちは攻撃を受ける前にビジネスを守るべく、お客様にこの脆弱性への対策を提案しました。
この先回りして対策を講じるセキュリティ主導のアプローチのおかげで、実際に攻撃が始まったときもお客様は一切その脅威にさらされることはありませんでした。そしてハッカーの習慣として、彼らの標的は、防御された企業から防御されていない企業へと移っていったのです。
このような取り組みはリスク管理のパートナーシップであり、お客様との双方向の取り組みです。従来の保険会社としての役割だけでなく、サイバーセキュリティ会社の役割も果たすことは、お客様のセキュリティ向上に貢献することができます。しかし、これが効果的に機能するには、私たちが発見した問題に対して、お客様に迅速に対処していただく必要があります。幸いなことに、大半のお客様はセキュリティを非常に真剣に考えており、問題があれば迅速に対処されます。このようなサイバー犯罪の脅威に対する新たなアプローチを導入して以来、お客様へのランサムウェア侵害の頻度は、ピークであった2021年から80%も減少しました。
私たちは新たな脆弱性について、お客様が対処できるようサポートします。すると犯罪者の標的は別の新たな脆弱性へと移っていき、そこでまた同様のプロセスが繰り返されます。この種のいたちごっこは、犯罪の動向を先取りできるだけの深い技術的な知識がないと負けてしまいます。サイバー犯罪者は常に新しい攻撃方法を模索しており、私たちはお客様のリスクを軽減するために、あらゆる手段を尽くすことに責任をもって取り組んでいます。
-
*1