複雑化・巧妙化するサイバーリスクにグローバルな専門チームで向き合う（内田聡）

お客さまがサイバー攻撃を受けた場合、保険⾦のお⽀払いという経済的サポートはもちろんですが、私たちにできることはそれだけではありません。

例えば、あるお客さまのアメリカに所在する⼯場がサイバー攻撃を受けたことがありました。アメリカでは各州でサイバー関連の規制や法律が異なるため、サイバー攻撃を受けた場合に現地当局に何を、どのように報告するのかなどのルールも異なります。お客さまの⽇本本社はそれらのルールに従わなくてはならないのですが、なかなか簡単に対処できるものではありません。

そこで私は、⽶国AIGのサイバーリスク専⾨チームと速やかに連携するとともに、サイバーインシデントに強い現地の弁護⼠や調査会社などを⼿配し、現地当局への報告や再発防⽌策などさまざまな⾯でお客さまにアドバイスを⾏いました。

AIGグループにはサイバーリスクに関する豊富な知⾒に加え、各国にサイバーリスクの専⾨家とのネットワークや常設されている専⾨チームがあります。スタッフの中には弁護⼠や元エンジニア、他業界を経験している者など、保険以外のバックグラウンドを持つ者も珍しくありません。それぞれがサイバーリスクに関する深い⾒識を持っているため、多様な視点から迅速に適切なアドバイスを提供することができます。

私の知る限り、ここまでサイバーリスクを専⾨的に扱える保険会社は他にないと思います。

これまで中⼩企業からグローバルにビジネスを展開する⼤企業まで、さまざまなお客さまの事故対応をしてきました。その中でも、あるお客さまの声が印象に残っています。

そのお客さまの会社にはサイバーリスク専従の担当者はおらず、専⾨家などとのコネクションもほとんどありませんでした。もしもサイバー攻撃を受けてしまったら、⼀からコンサルタント会社や調査会社を探すことになります。しかし、コンサルタント会社や調査会社を探すにも、適切なスキルをもっている会社なのかどうかを判断することができません。そして依頼する会社を決めたとしても、提案された⾒積りが適切な⾦額かという判断も難しいでしょう。

私たちが専⾨的な知⾒を携えてしっかりとサポートすることで、事故が起こる前からセキュリティ体制の構築や社内のルールづくりもできると喜んでいただけました。情報漏えいのお客さま対応や記者会⾒などが必要な場合は、危機管理コンサルタントの⼿配やコールセンターの設置など幅広くお⼿伝いできる点も評価いただいています。

国家間の「サイバー戦争」も激化しているといわれる中で、⽇本企業がサイバー攻撃の標的にされる危険度も増してきています。そこで私たちが⼒を⼊れているのが「サイバーリスクが事故に発展しないように未然に防ぐ取り組み」です。

お客さまに向けては、AIGグループの知⾒を活かして国内外で発⽣しうるサイバーリスクに関する情報を正しくお伝えするようにしています。サイバー対策に不安があるお客さまには、過去の類似事案や海外の先進事例などを⽤いて、今後の対策について具体的なイメージをお持ちいただけるよう努めています。

お客さまと接する機会の多い代理店や営業社員に向けては、サイバーリスク特有の⽤語や事故発⽣から解決に⾄るまでのフローを説明する研修会やディスカッションを積極的に開催しています。できる限りサイバーリスクを分かりやすく伝え、⾝近に感じていただくことで、代理店などがお客さまにサイバーリスクについて注意喚起できるようになることを⽬的としています。

ここ数年、私たちに寄せられる相談のうちの1つに「Emotet」（エモテット）と呼ばれるマルウェアが挙げられます。取引先や社内からを装って業務メールを送り、添付ファイルをクリックさせることで社内ネットワークに侵⼊するタイプのサイバー攻撃です。すべての従業員が標的となる可能性があり、⼤きなリスクとなっています。

これまで⽇本ではサイバー攻撃による甚⼤な被害が⽬⽴たなかったこともあって、企業側も保険会社側もそれほどこの分野に⼒を⼊れてこなかったかもしれません。しかし、サイバー攻撃の⼿法は、複雑化・巧妙化しています。AIGグループはかなり前から「将来はサイバー攻撃が増加する」と予想し、サイバーリスクの専⾨チームを⽴ち上げて知⾒を蓄積してきました。

新しい脅威といち早く向き合い、その対応を続けてきたことで蓄積された「サイバーリスクの豊富な知⾒」と「経験に裏打ちされた先⾒⼒」で、これからもお客さまをサイバーリスクの脅威から守るよう努めます。