2019/3/7
去る3月7日、トーランスのMiyako Hybrid Hotelで第217回JBAセミナーが開催された。セミナーは2部構成で、「サイバー犯罪入門」の講師はネクストグルーヴ代表、足立照嘉さんが、「サイバーリスクと保険」の講師はWillis Towers Watsonの城戸直樹さんがそれぞれ務めた。
[講 師]
足立照嘉さん
株式会社ネクストグルーヴ代表。サイバーセキュリティー専門家。2004年千葉大学大学院電子工学研究室在学中に同社を設立して以降、ニューヨーク、ロンドン、シンガポールを拠点に事業を展開。著書に『サイバー犯罪入門 国もマネーも乗っ取られる衝撃の現実(幻冬舎刊)』など。
城戸直樹さん
大手金融機関保険部門を経て、2003年、Willis Towers Watson(WTW)に入社。14年、ロンドン本社よりWTW NYに異動。サイバーリスク保険を含む損害保険一般に精通し、現在、米国Japan Global Practice GroupのNational Sales Leader。
(写真は城戸直樹さん)
サイバーセキュリティーの専門家であり、サイバー犯罪対策関連書籍の執筆者としても知られる足立さんは、「サイバー攻撃の問題は起こる前提で、リスクの最小化と迅速な対応を。そのためには決してIT部門だけの対応に終わらせず、技術的対応と共に組織的な対応が不可欠です」と呼びかけた。冒頭では、2019年2月に顕在化した電動キックスケーターの脆弱性に関する一件を紹介。「電動キックスケーターをスマホからのリモート操作で急発進、急停止できることをセキュリティー会社が発見し、メーカーに伝えたところ、メーカーは『認識していたが、システム開発を外注しているため直すことができない』と回答したのです」。この一件が教えてくれたのは、今や、自社で気を付けていても取引先から容易にリスクが持ち込まれ得るという点だ。「最近、サイバー犯罪はビジネスになっています。情報を盗む側は費用対効果を見込むために、利益を大きくするため、より楽な入り口を見つけようとします。フィッシングメールがなくならないのは、正面から突破するよりも人の脆弱性をつく方が簡単だからなのです」。
近年、企業の業務を停止させてしまうほどの大規模なトラブルが頻発している。PCがウィルスに感染することでファイルが開かなくなるランサムウエアは、その代表的な手口。仕掛けた側は感染を解くための身代金(ランサム)を要求してくる。「欧州の某海運会社は、ランサムウエアの一種である『not petya』を仕掛けられ、4万5000台のパソコンが感染しました。その間、社員は8割の業務を手作業で対応。トップは身代金支払いには応じなかったものの、IT部門が10日かけてシステムを復旧させました。復旧までの機会損失は数百億円に相当するとされています」。
足立さんは、身代金要求に決して応じてはいけないと強調した。「この種の犯罪はマフィア、テロリスト、麻薬カルテルといった反社会勢力が手がける新規事業でもあります。これらに対して金銭を与えるということは、企業にとってコンプライアンス面での問題も生じてきます。身代金に応じるべきではないもう一つの理由は、暗号化の技術は取り扱いが難しいという点。結果的に、使いこなせない作成者によるランサムウエアの場合、身代金を払ったにもかかわらず、ファイルが開かないという事態が世界中で起こっているのです」。
最近はハッカーが低年齢化している。「中学3年生が作ったランサムウエアのソースコードを見る機会がありました。ソースコードはたったの25行でできていました。つまり、25行のプログラムで大人を困らせていたのです。ファイルを暗号化する方法はインターネット上に掲載されていました。また、動画共有サイトにもサイバー犯罪の手口が紹介されており、低コスト、低スキルでサイバー犯罪に参入できます」。また、ATMにUSBを差し込むことで手軽に金を抜き出す犯罪が、タイやメキシコで発生、最近はアメリカでも増え始めている。この手法に関しても、「YouTube」で操作マニュアルが紹介されていたということだ。
ここで足立さんからクイズが出された。「私の友人であるセキュリティー専門家は、あるものをスマホから盗めるアプリを開発しました。一体、それは何を盗めるアプリでしょうか」。これに対し、会場で指名された人々の答えはミサイル、人工衛星、車だったが、この中に正解はなかった。正解は「航空機」。「航空機のシステムに侵入できるアプリです。侵入に成功すると自動操縦の画面で、飛行高度をゼロフィートに設定することもできます。すると飛行機は墜落します。また、飛行機を乗っ取ることができます。しかし、彼は決してテロリストの仲間というわけではなく、航空機会社にコンサルタントして雇ってもらうことを目的に、このアプリを作ったのです」。このことが証明するのは、サイバー犯罪はデータを盗み出すだけでなく、現実の世界に対しても直接的なダメージを与えることができるということだ。
さらに最近、欧州で最も検索されているワードに「GDPR」がある。これは欧州経済に加盟している国に適用される個人情報保護に関する法律で、2019年1月、GoogleがこのGDPRに違反したとして5000万ユーロ(約62億円)の制裁金の支払いをフランス当局から命じられた。個人情報の利用目的がユーザーに明確に説明されなくてはならないという規定を満たしていなかった点、ユーザーから利用規約への同意を取る方法が不適切だったとされる点が、その違反事由だった。ユーザー個人のデータが侵害されている場合も、個人が侵害している相手に対して訴えを起こす権利が認められているため、2018年5月にGDPRが施行されてから8カ月間で、Googleに対しては9万5180件の苦情申し立てが発生した。「1995年にEUダイレクティブが生まれました。これは、個人情報保護に関する指令。その後、2003年には日本で個人情報保護法ができました。そして、今回のGDPR。GDPRのRは、レギュレーション、つまり規則です。指令よりも規則の方が優先されるため、国ごとに異なる法律は、GDPRに合わせなければいけなくなりました」。ただし、GDPRの条文に具体的なセキュリティー対策は書かれていない。
近い将来、アメリカ版GDPRが登場することが予測されている。現時点では、個人情報保護違反に対して、アメリカでは制裁金を課すことができていないのが実情だ。これは、FTC(連邦取引委員会)の権限が弱すぎることが一因でもある。「現在、FTCに権限を与えて取り締まっていこうという取り組みが行われています。尚、カリフォルニアでは2020年からCCPA(カリフォルニア州消費者個人情報保護法)が施行されます。CCPAの規制対象となる企業の条件の一つに、5万件以上の個人情報を処理しているという点がありますが、もし10万人の個人情報が漏えいした場合の制裁金はGoogleのフランス当局からの制裁金に等しい額になってきます。しかも、カリフォルニアには10万人程度の消費者向けのサービスを普通に行っている企業が多数存在します」。
今後、CCPAの規制に対しても、カリフォルニアでビジネスを運営している企業としては十分な注意が必要となってくる。足立さんは最後に、企業が心がけるべきサイバーリスク管理について次のように締めくくった。「脅威は日々進化しており、取引先を経由してやってくることも知るべきです。今、現場や法律上では、サイバー攻撃は起こる前提となっています。そのために必要な技術的対応と組織的対応を取ることが重要であり、現在進行形で変化しているレギュレーションを常に意識すべきです」。
続いて「サイバーリスクと保険」というテーマで、企業としてどのようなリスク管理対策を保険を通じて行えるかについて、城戸さんが説明した。まず、「日本企業から見たサイバーリスクのイメージは、サイバー攻撃に遭って個人情報が漏洩、それに対して賠償金を支払わなければならなくなる。つまり、賠償金の支払いが企業の損失であるということです。しかし、企業が直面するのはこのような個人情報漏えいのリスクだけではありません」と城戸さんは警鐘を鳴らした。
消費者の個人情報だけでなく、数百名、数千名、数万名の規模の従業員の住所、氏名、ソーシャルセキュリティー番号が家族の分も含めて漏れてしまう。さらに事業中断による利益損害、問題の原因を究明する調査費用と復旧費用、企業秘密である知的財産情報の漏えい、物的損害、身代金、取引先の製造ラインを止めてしまう可能性があるデジタルサプライチェーンリスクなど、B to B ビジネスには非常に多くのサイバーリスクが存在する。また、サイバー事故・保険請求につながる要因の実に66%が、「従業員の過失・内部不正」である。この点について城戸さんは「職場環境の整備がリスク軽減につながります。アメリカは中途採用が多いこともあり、正しい人材採用と新人教育、また法令遵守の徹底と継続教育が鍵になってきます」と語った。
サイバーリスク管理に対する最近の考え方としては、事故発生を前提として対策を講じること、経営陣がリスクを認識した上で監視と検証を行うこと、また海外子会社・支店も含めて全社で管理すること、などが重要とされていると城戸さんは話した。これらのリスクに対して10~15年前からサイバーリスク保険が売り出されるようになった。「2017年の数字では、全世界の収入保険料の総額がおよそ3000億円。これが20年には8000億円まで拡大していくだろうと予測されています」。マーケット動向としては、保険カバー内容拡大傾向、保険事故拡大傾向、保険料及び免責額選別化傾向が見られるということだ。サイバーリスク保険には、賠償責任に対する補償、企業情報漏えい賠償責任、第三者への賠償責任など包括的に賠償責任リスクをカバーし、調査費用、課徴金補償、事業中断による不稼働損失、財物損害に対する補償、危機管理のためのPR費用、フォレンジック(犯罪捜査の分析)費用、復元費用まで含まれる。ただし、事故の内容によっては、保険がカバーしないエリアもあるので注意が必要だ。
自社のリスクの評価を行うには、保険会社が判断材料にする次のような項目が参考になる。企業規模、個人情報をどれだけ持っているか、保有しているデータをどのように保護し、誰にアクセス権限を与えているか、定期的なテストの実施、従業員への研修体制、問題が発生した時にどれだけ素早く探知できる体制が整っているか、災害復旧計画が作成されているか、過去の事故の発生状況、など。以上がしっかりと管理されている企業とそうでない企業では、サイバーリスク保険の保険金額に相当な差が出てくるということだ。リスク軽減の環境整備の重要性を強調し、城戸さんはセミナーを締めくくった。