サイバー保険ガイドColumn

サイバー攻撃、情報漏洩のリスクに備えるための情報発信コラム

2024.11.7 セキュリティ対策

サイバー攻撃発生時/危機管理だけで事業継続できますか?「デロイト トーマツ 不正リスク調査白書 Japan Fraud Survey 2024-2026」のご紹介

サイバー攻撃発生時/危機管理だけで事業継続できますか?「デロイト トーマツ 不正リスク調査白書 Japan Fraud Survey 2024-2026」のご紹介

「企業の不正リスク調査白書 Japan Fraud Survey 2024-2026」からサイバーリスクについて抜粋

近年、企業の不正や不祥事の報道は加熱傾向にあります。
デロイト トーマツ グループ社は、企業の不正リスクにフォーカスを当て「企業の不正リスク調査白書 Japan Fraud Survey 2024-2026」を発表しました。
714社の上場・非上場企業のアンケート回答をもとに、「不正・不祥事の実態」「コンプライアンスリスクへの認識」「不祥事対応に向けたガバナンス」の3つに分けて、日本企業の不正・不祥事対応の最新傾向を解説したレポートとなっています。

本記事でその中から、サイバー攻撃や情報漏えいに関連するレポートを抜粋してご紹介いたします。
最新(2024)の全文レポート(PDF)のダウンロードはこちらから
デロイト トーマツ グループ「企業の不正リスク調査白書 Japan Fraud Survey 2024-2026」

不正・不祥事は1社あたりの発生率が上昇

714社の上場・非上場企業のアンケートによると、過去3年間に何らかの不正・不祥事が6件以上発生した企業の割合は14%で5ポイント増加しており、1社あたりの発生率が高まっているます。
また、国内の本社や関係会社と海外の関係会社で明らかな傾向の違いがあり、国内は会計不正、データ偽装などの組織不正の発生率が高く、海外ではサイバー攻撃が目立つ結果となりました。




対応策は初動体制で止まりがち

サイバーインシデント対応策(サイバー攻撃発生時の対応策)は、過半数の企業で「社内レポートラインが整備されている」、「対応態勢(担当役員、指示系統、マニュアル等)が構築されている」と回答している一方で、それ以外の回答が総じて低いのは前回調査と同様です。
サイバー攻撃でビジネス上重要な情報・システムが凍結され、事業継続に深刻な影響が出る事例もあるため、バックアップ・リカバリプランの導入を始めとして、いずれの対策も並行して進めていくことが望まれます。



不祥事の真因は、コンプライアンス意識の欠如が最多

ではこういった不正や不祥事における真因を探ってみると、「コンプライアンス意識の欠如」が突出して高く、業務プロセス未整備が次ぐ結果となりました。
コンプライアンス強化の風潮に意識が追いついておらず、「性善説」に立つ日本企業の不祥事対応の限界を示唆しているようです。



危機管理体制はよいが実践に弱い実態

実際の危機管理体制の構築についてでは、危機管理体制やガイドラインの設定は進んでいる一方で、実践的なトレーニングによる対応力・危機意識の醸成には課題があるようです。


有事に備えた定期的な施策とは

また、有事に備えた平時の取り組みのアンケートによると、ガイドライン・マニュアルの作成という危機管理の「第一歩」が4割程度、社外取締役や危機管理の専門家との顧問契約、定期的な意見交換の実施率が2~3割程度となっている。一方で、実践的な経営層向け・管理職向けのトレーニングはそれぞれ15%程度にとどまっています。 実際の有事は、「想定外」の連続に見舞われることが常であり、エスカレーションルートの設定や公表方針の策定といったガイドラインの制定はもちろん、それに基づく実践的な訓練を定期的に実施することが求められています。


サイバーセキュリティ対策の正解は

企業のサイバー攻撃・情報漏洩への対策は、ただ単にIT部門に依頼しアンチウィルスソフトやファイアーウォール、WAF等のセキュリティ対策ソリューションでサイバー攻撃から身を守ることではありません。
不正リスクは、多岐に渡り人的ミスや不正に情報を持ち出すニュースも多発しています。

経済産業省のガイドライン「サイバーセキュリティ経営ガイドライン Ver 3.0」によると、サイバー事故から企業を守る観点で、まずは経営者が認識する必要のある「3原則」が公開されています。

サイバーセキュリティ経営ガイドライン「経営者が認識すべき3原則」

(1) 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要

(2) サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要

(3) 平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

セキュリティと内部統制システム

サイバー事故に遭ってしまった場合、失うものが非常に多く事業を傾かせてしまい、経営陣の立場が危うくなることが必至です。 そこで、経営者の皆様がサイバーセキュリティは社会的責任の観点からも重要課題であることを再度認識していただき、リーダーシップをもって取り組む必要性があります。

なお、会社法上、内部統制システムについては、構築義務と運用義務がありますが、デロイト・トーマツ社の本レポートでは、内部統制で情報セキュリティ対策に取り組むことで、コーポレート・ガバナンスの運用水準を一段高度化するアプローチも触れられています。最新の企業の不正リスクについての情報や企業はなぜ不正対応を誤るのかといった興味深い対談も掲載されているため、経営者、CISO(最高情報セキュリティ責任者)のご担当者は、一度目を通していただく新たな発見がありそうです。

サイバー保険は必要か?

サイバー保険はサイバーリスクに起因して発生する様々な損害に対応するための保険です。
サイバーリスクとは、コンピューターやソフトやネットワーク、インターネットをめぐる脅威の全般を指す幅広いリスクとして使われる言葉で、主に保険業界で用いられる用語です。

サイバーリスクの範囲は、サイバー攻撃やサイバー盗難、ビジネスメール詐欺による事故だけに留まらず、業務ミスの事故やシステム誤作動、従業員の悪意的犯行による事故など、幅広い事故をを含みます。
つまり、サイバー攻撃によるネットワークの中断や情報漏洩だけではなく、例えばプログラムの設定の誤りによるミスや、従業員が顧客リストを持ち出してしまった情報漏洩なども、サイバーリスクのうちに含まれます。

サイバー保険は、こういったサイバー事故により企業に生じた第三者に対する「損害賠償責任」のほか、事故時に必要となる「費用」や自社の「喪失利益」を包括的に補償する保険です。(※補償範囲は保険会社や商品によって異なります。)

サイバー保険が必要な規模と業種は

お客様からよくお伺いするお話で「自社には狙われるような情報資産がない」「うちは攻撃を受けても被害が発生しようがない」というご意見があります。
しかし、悪意のあるハッカーのターゲットは必ずしも機密情報や価値のあるような情報資産だけではありません
その情報に価値はなくても、パソコンを乗っ取ることで踏み台にし、第三者へのサイバー攻撃に悪用したり、親会社や取引先、顧客を騙し脅迫するなど手法など重い被害へ発展するケースがあります。
たとえ規模の小さい組織や情報でもサイバーリスクがあるのです。
サイバー攻撃に狙われるのは大企業だけではなく中小企業となった今では、どの業種や規模の企業であってもサイバー保険が必要です。

サイバー保険の無料サービス

サイバーセキュリティの専門部署を設けていない中小企業様はセキュリティポリシーが整備されておらず、おそらく突然やってくるサイバー事故への初動対応体制や手順を整備されていないのではないでしょうか。
サイバー事故発生時には早期対応による被害の拡散防止が急務となりますが、いざ事故にあった場合にどのように立ち向ってよいかわからず原因の特定さえ困難な状況へ陥るケースも少なくありません。

サイバー保険は保険そのものの機能(保険金)に加え、どの保険会社でも下記のような多くの無料サービスを兼ね備えているため、このサービスをご希望されて加入されるお客様もいらっしゃいます。(※無料サービスの範囲は保険会社によって異なります。その範囲はご相談ください。)

【平時用:リスク軽減となるサービス】
・サイバー関連の最新情報の提供
・企業のリスク状況の診断
・従業員への標的型メール訓練
・管理職層向けセキュリティ研修

【緊急時用】
・緊急時ホットラインサービス ・インシデント初動対応アドバイス(被害拡大防止)
・原因究明、影響範囲調査・広報支援など
・トラブル相談(SNS炎上対策など)
・法律相談(専門弁護士紹介含む)
・行政対応支援

サイバー保険に加入することにより、上記のようなリスク軽減のサービスを無料で受けることができ、緊急時には様々なトラブルに対処できる総合支援サービスが無料で自動付帯されてくるということになります。

まとめ

本記事では、「企業の不正リスク調査白書」の中のサイバーリスク関連のレポートを中心にご紹介しました。
日本企業のサイバー攻撃や情報漏洩、内部不正といった対策への取り組みの重要性と今後の課題が見えてきたと思います。

また、サイバー保険の重要さにも触れさせていただきました。
下記記事では、サイバー事故時の被害額や情報セキュリティ対策についても説明しているため、ご興味がありましたらお読みください。
▼サイバー攻撃の企業への被害額は?億単位もありえる被害額|2024年最新版を公開
▼情シス任せはNG!情報セキュリティ対策が重要経営課題となる理由

残念ながら、どの企業もサイバー攻撃を受ける可能性がり、サイバー攻撃のリスクをゼロにすることはできません。
しかしサイバー保険に加入しておくことで万が一の際に生じる損害や多大な労力から自社を守ることが可能です。

今、サイバー保険への加入を悩んでいるのであれば、ぜひこの機会に検討してみてはいかがでしょうか。

サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。

【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社

ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。

引用:
デロイト トーマツ グループ「企業の不正リスク調査白書 Japan Fraud Survey 2024-2026」
サイバー保険を選ぶ際は、
大手保険会社の中で比較、
検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
取り扱いのある保険会社
  • 東京海上日動火災保険株式会社
  • 三井住友海上火災保険株式会社
  • 損害保険ジャパン株式会社
  • あいおいニッセイ同和損害保険株式会社
  • AIG損害保険株式会社
サイバー保険一括見積もりサイト
関連タグ
関連記事
ACCSS RANKING アクセスランキング
PICK UP ピックアップ
CATEGORY カテゴリ

運営会社について

ファーストプレイスは、
サイバー保険を扱うプロフェッショナルです

当社は2001年の創業以来、法人向けに企業の経営をサポートする保険のご提案を数多く行っております。
貴社の状況に合わせ、サイバー保険のご提案が可能です。まずはお問い合わせください。

運営会社について

pagetopへ