サイバー保険でインシデント対応の費用が賄えるのか?

記事を読んでいたら、相反する2つトピックを見つけた。

1つ目が、サイバー保険を付帯した標的型攻撃メール訓練のニュースで、インシデント費用を最大600万円補償するというもの。

2つ目は、インシデント発生時における対応費用の実態が約1.5億円となっているというもの。

1件目のサイバー保険を付帯した標的型攻撃メール訓練で、インシデント対応費用が最大600万円で全然足りないのは何となく理解できる。

グリコのおまけ的な扱いであることを認識していれるか、とりあえず「サイバー保険導入」の事実を成立させたい組織には向いているが、リスクファイナンスを真剣に考えるとあり得ない選択だと思う。

■記事1

サイバー保険を付帯した標的型攻撃メール訓練をOEM供給:

ラックは、パートナー向けにサイバー保険を付帯したトレーニングサービス「サイバー保険付き標的型攻撃メール訓練 プレミアム」を提供開始した。

同製品は、疑似的な標的型攻撃メールを従業員へ送付する体験学習型の訓練プログラム「ITセキュリティ予防接種」にサイバー保険を付帯したもの。

同社の販売パートナーチャネル向けにOEM供給し、パートナーは自社製品やサービスに組み込んだり、オリジナルサービスとして販売することができる。

損害保険ジャパンを引き受け保険会社とするサイバー保険を付帯。訓練を実施した企業において、サイバー攻撃に関する調査費用をはじめ、復旧や再構築費用、損害賠償金について最大600万円まで補償する。

■記事2

約4割でインシデント被害、対応費用は約1.5億円 - 4.4%が「Emotet」経験:


国内法人における約4割のセキュリティ担当者が、セキュリティインシデントに起因する被害を経験したとする調査結果をトレンドマイクロが取りまとめた。被害への対応や改善策の導入などで約1億4800万円の費用が生じていたという。


同社が6月に国内法人においてインシデント状況を把握しているリスク管理、ITシステム、情報セキュリティなどの担当者1086人を対象にインターネット調査を実施し、結果を取りまとめたもの。所属組織の内訳を見ると民間企業が980人、官公庁自治体が106人となっている。


2019年4月から2020年3月の1年間に被害の有無に関係なく、何かしらのインシデントを経験した回答者は78.5%だった。インシデントの内容を見ると、「フィッシングメールの受信」が42.8%でもっとも多い。


ついで「ビジネスメール詐欺のメール受信」が29.1%と多く、「不正サイトへのアクセス(26.5%)」「標的型攻撃(22.2%)」「ランサムウェア感染(17.7%)」と続いた。

約1割で「DDoS攻撃」「内部不正」が発生していたほか、「システムの脆弱性の悪用(11.4%)」や「システムの設定ミスの悪用(7.6%)」などシステムの問題を突く攻撃なども見られる。さらに4.4%は、マルウェア「Emotet」を経験していた。一方、21.5%はインシデントが発生していないと回答している。