サイバーリスク支援サービス｜サイバーリスク保険・個人情報漏えい対応

サイバーリスク支援サービス

企業のセキュリティ態勢強化によってサイバーリスクは低くすることが可能です。
サイバーリスク保険では事故が起こった際の補償はもちろん、情報のご提供やリスク診断といった事前の対策サービスもご提供しております。

簡易リスク診断サービス: 貴社のセキュリティ体制の診断、セキュリティ事故が起こった場合の被害想定額を算出いたします。

定性リスク診断

専用のヒアリングシートにご記入いただいた内容をもとに、「セキュリティ全般」「ネットワーク・セキュリティ」「クライアント・セキュリティ」「サーバー・セキュリティ」「セキュアな環境・施設・オフィス」の５つの観点から、貴社のセキュリティ体制について簡易評価します。

● セキュリティ全般セキュリティ方針/手順の策定、体制の構築、監査の実施など、人的・組織的な観点からセキュリティ対策の実施度合いを確認します。
● ネットワーク・セキュリティ通信の制御や監視など、ネットワークに関する技術的なセキュリティ対策の実施度合いを確認します。	● クライアント・セキュリティウィルス・マルウェア対策ソフトや外部媒体によるデータの持ち出し制限などクライアント機器に関する技術的なセキュリティ対策の実施度合いを確認します。
● サーバー・セキュリティオペレーションシステムやミドルウェアのセキュリティ対策プログラムの定期的な適用や機密情報へのアクセス制御などサーバ機器に関する技術的なセキュリティ対策の実施度合いを確認します。	● セキュアな環境・施設・オフィス入退室制限やサーバ機器のラックへの格納・施錠など貴社の施設・オフィスにおける物理的なセキュリティ対策の実施度合いを確認します。

定量リスク診断

専用のヒアリングシートにご記入いただいた内容をもとに、一定のシナリオに基づいたサイバーリスクに関する予想損失額を簡易算出します。
予想損失額は、ヒアリング内容（変数）と東京日動海上作成のシナリオに基づき、一定の計算ロジックから算出します。

定量リスク診断で扱うシナリオ

定量リスク診断が扱うシナリオは「サイバー攻撃のおそれ」「個人情報の漏えい」「Web改ざん」「DoS攻撃」の4つです。シナリオごとの「影響度」、特に経済的損失を定量的に評価します。

シナリオ	概要
サイバー攻撃のおそれ	ITセキュリティ向上に努める公的機関^（）から会社に、「貴社と外部に不審な通信が確認された」旨の連絡があった。社内のシステム部門が調査したところ、1週間前に不審なメールが従業員宛に届き、一部の従業員が誤って添付ファイルを開封したことが判明した。システム部門がすぐに社内ネットワークと外部ネットワークを遮断した。社内の端末がマルウェアに感染した可能性があるが、実際にサイバー攻撃の被害にあったかどうか、被害にあったとすればその範囲や規模は不明である（どのような社内データ・システムがアクセスされ、窃取・改ざん・破壊を受けたか分からない状態）。被害状況を明らかにするため、外部の専門事業者に「フォレンジック調査」等を依頼する。こうした機関の例として、JPCERT/CCやIPAなど。 JPCERT/CC：一般社団法人 JPCERTコーディネーションセンター（Japan Computer Emergency Response Team Coordination Center） IPA：独立行政法人情報処理推進機構（Information-technology Promotion Agency, Japan）
個人情報の漏えい	お客様より、「貴社にしか記載していない個人情報が漏れているようである。ダイレクトメールや勧誘の電話がかかってきており、原因調査と早急な対処をお願いする」旨の電話があった。その後、他のお客様からも同様の電話が入った。個人情報漏えいの痕跡について自社内で把握できなかったため、外部の専門事業者に依頼し、調査を実施した。その結果、自社従業員が標的型メール攻撃を受け、誤ってメールの添付ファイルを開封したことが判明した。社内に侵入したウイルスにより、外部から社内のお客様情報のデータベースにアクセスされ、すべてのお客様の個人情報が窃取されたと考えられる。詳細調査の結果、お客様の個人情報漏えいの事実が確定した。これにより、お客様への通知とお詫び対応（見舞金送付を含む）、広報対応、損害賠償請求等の対応が必要となった。
Web改ざん	お客様より、「最近ウイルスに感染したのだが、外部の専門事業者に調査を依頼したところ、貴社のWebサイトにアクセスしたことが原因のようである。事実確認と調査費用の負担をお願いする」旨の電話があった。急遽、自社でも外部の専門事業者に依頼し、調査したところ、自社のWebサーバが改ざんされ、アクセスしたユーザーがウイルスに感染することが判明した。あわせて、改ざんの原因が、自社のWebサーバの重大な脆弱性の放置にあることも判明した。ただちにWebサイトおよびサーバを停止した。Webサイトの復旧までに約10日を要し、この期間のWebサイト経由の売上・利益が失われた。また、この期間中、オフラインでのお客様対応に追われ、臨時の人件費等が発生した。さらに、ウイルスに感染したことにより、コンピュータ端末のソフトウェアの再購入を余儀なくされたお客様の一部から損害賠償を請求された。
DoS攻撃	会社の端末が突然使用不能となった。原因を調査したところ、外部からのDDoS攻撃（Distributed Denial of Service attack）により、会社の基幹システムを運用するサーバ等が停止したようである。また、攻撃は海外にある「DDoS攻撃」代行サイト^（）が発信源であることが判明した。DDoS攻撃は丸一日近くにおよび、攻撃が終わった後も引き続きサーバに支障が生じ、会社業務に影響が及んだ。この期間中、会社の重要システム（メールシステム、経理・計上システム等）が使えず、個別のお客様との商談等についての電子ファイルにアクセスできなかったため、オフラインでの対応に追われた。最初の攻撃が終息した後も、短時間のDDoS攻撃が繰り返し発生した。こうしたサイトは「サーバへの負荷の検証」の名目であるが、実質的にはDDoS攻撃サイトとなるケースも少なくない。1時間数ドル程度で対象サーバにDDoS攻撃を行うことが可能である。

● セキュリティ全般セキュリティ方針/手順の策定、体制の構築、監査の実施など、人的・組織的な観点からセキュリティ対策の実施度合いを確認します。
● ネットワーク・セキュリティ通信の制御や監視など、ネットワークに関する技術的なセキュリティ対策の実施度合いを確認します。	● クライアント・セキュリティウィルス・マルウェア対策ソフトや外部媒体によるデータの持ち出し制限などクライアント機器に関する技術的なセキュリティ対策の実施度合いを確認します。
● サーバー・セキュリティオペレーションシステムやミドルウェアのセキュリティ対策プログラムの定期的な適用や機密情報へのアクセス制御などサーバ機器に関する技術的なセキュリティ対策の実施度合いを確認します。	● セキュアな環境・施設・オフィス入退室制限やサーバ機器のラックへの格納・施錠など貴社の施設・オフィスにおける物理的なセキュリティ対策の実施度合いを確認します。