システム停止=事業停止の企業がやるべき対策

ITに強く依存する企業にとって、システム停止は事業停止と同義です。ランサムウェアに感染すれば売上が大幅に低下し、営業そのものができなくなる可能性があります。保険の付帯サービスを「外注」として活用する方法と、今日からできる具体的な対策を解説します。

システム停止が事業に与える壊滅的な影響

現代の企業活動は、ほぼすべてITシステムに依存しています。受発注、在庫管理、顧客対応、会計処理に至るまで、システムなしでは日常業務が成り立たない企業がほとんどです。

こうした企業がサイバー攻撃を受けてシステムが停止すると、その影響は甚大です。ランサムウェアに感染して情報にアクセスできなくなれば、売上が大幅に下がるだけでなく、営業すらできなくなります。

実際に被害に遭った中小企業の事例では、身代金要求のないタイプのランサムウェアで情報がロックされただけで、復旧費用が1,000万円を超えています。情報漏洩が発生しなくても、システムの復旧だけでこれだけの費用と時間がかかるのです。復旧期間の具体的なタイムラインはサイバー攻撃からの復旧期間は？実態を解説で詳しく解説しています。

「うちは大丈夫」が最大のリスク

サイバー攻撃に対して「うちは小さい企業だから狙われない」「セキュリティソフトを入れているから大丈夫」と考える経営者は少なくありません。しかし、この認識こそが最大のリスクです。

サイバー攻撃は企業規模に関係なく無差別に行われています。セキュリティが弱いところを狙って攻撃する傾向があり、むしろセキュリティ投資が限られる中小企業の方がリスクが高いのです。

実際にランサムウェア被害に遭った中小企業は、社内にIT部門があり、セキュリティ対策もしっかり行っていました。セキュリティソフトも導入済みでしたが、それでも感染を防ぐことはできませんでした。

セキュリティ対策は必須ですが、完全に防ぐことはできません。万が一攻撃を受けた際に事業を継続するための備えが必要です。事業継続計画にサイバー攻撃を組み込む方法はBCPにサイバー攻撃を入れていますか？で解説しています。

今日からやるべき3つの対策

システム停止による事業停止のリスクに備えるために、今日から始められる具体的な対策があります。

1つ目は従業員のセキュリティ教育です。サイバー攻撃の入り口として最も多いのは、フィッシング詐欺のメールを開いてしまうなどのヒューマンエラーです。こういうメールが届くので開かないでくださいという事例を共有し、定期的に講習会を実施することが最も効果的な予防策です。

2つ目はOSやソフトウェアの最新化です。OSやソフトウェアを最新バージョンにアップデートすることで、既知の脆弱性を狙った攻撃を防ぐことができます。コストをかけずにすぐに実行できる対策です。

3つ目は多要素認証の導入です。テレワークで社内システムにアクセスする際に多要素認証を設定していないと、不正アクセスのリスクが高まります。最低限のセキュリティ対策として導入することを強くおすすめします。

セキュリティ対策の次に保険で備える

セキュリティ対策は攻撃を防ぐための手段ですが、完全に防ぐことはできません。セキュリティ対策で防御力を高めた上で、万が一の事故に備えて保険に加入するのが正しいアプローチです。

この考え方は自動車保険と同じです。安全運転を心がけるのは当然ですが、それでも事故が起きる可能性はゼロにはなりません。だから保険に入るのです。

サイバー保険の保険料は売上規模によって異なりますが、売上1億円程度の企業であれば年間約10万円で加入できます。パソコン1台のフォレンジック調査に100万円がかかることを考えれば、年間の保険料でリスクヘッジしておくのは合理的な判断です。

保険の付帯サービスを「外注」として活用する

サイバー保険の大きな価値は、保険金の支払いだけにとどまりません。付帯サービスとして提供される専門家サポートが、IT部門を持たない企業にとって特に重要な意味を持ちます。

サイバー攻撃を受けた際、多くの企業はどこに連絡して何をすべきかがわかりません。実際にランサムウェア被害に遭った企業でも、どこに何を連絡すれば原因調査ができるのかがわからないという状況でした。

サイバー保険に加入していれば、事故発生直後から保険会社の専門チームのサポートを受けることができます。具体的には以下のようなサポートが含まれます。

• 初動対応の指示とアドバイス
• フォレンジック調査の専門業者紹介
• 復旧に向けたコンサルティング
• 弁護士などの専門家への取り次ぎ

社内だけでこうした対応体制を整えようとすると相当なコストがかかります。サイバー保険の付帯サービスを活用すれば、外注するようなイメージで専門家の支援を受けることができます。付帯サービスの具体的な内容はサイバー保険のインシデント対応サービスを徹底解説で紹介しています。

リスクモニタリングで攻撃を未然に防ぐ

サイバー保険の付帯サービスには、事故発生時のサポートだけでなく、平常時に利用できるサービスもあります。

サイバーリスクモニタリングサービスでは、自社のセキュリティ状態を継続的にチェックできます。ホームページのセキュリティが十分かどうか、社内ネットワークにリスクがないかといった点を定期的に確認し、問題があれば事前に対策を講じることができます。

今リスクが高い状態なのかどうか、ホームページのセキュリティが強いのか弱いのか、社内のセキュリティが十分かどうかなどを調べることができます。保険料を払って補償を受けるだけでなく、こうした付帯サービスを積極的に活用することがセキュリティ対策そのものにもなります。

保険金額の設定と補償の範囲

サイバー保険に加入する際は、保険金額と補償範囲の設定が重要です。

保険金額は最低でも1億円が推奨されています。フォレンジック調査費用だけで数百万円から1,000万円以上かかり、そこに逸失利益や復旧費用を加えると数千万円規模になる可能性があるためです。

また、逸失利益の補償は利益補償特約として契約時にオプションで追加する必要があります。ITに強く依存する企業にとって、システム停止中の売上損失をカバーする利益補償特約は必須のオプションです。利益補償特約の仕組みと保険金額の設定方法は業務停止の損失もカバー？サイバー保険の利益補償で詳しく解説しています。

保険金額の設定にあたっては、自社の利益規模を正確に把握し、保険の専門家と相談しながら適切な金額を決めることが重要です。保険金額が実際の損害を下回ってしまうと、差額は自社負担になります。

パソコンを使う企業はすべてサイバー保険の対象

サイバー保険はIT企業やEC事業者だけのものではありません。パソコンを使って事業を行っているすべての企業が加入を検討すべきです。

パソコン1台でもウイルスに感染する危険性があり、1台の調査に100万円がかかります。企業の規模に関係なく、パソコンを使っている限りサイバー攻撃のリスクは存在します。

情報漏洩限定の補償であれば年間数万円から加入できます。フルカバーのプランでも中小企業であれば十分に負担できる保険料で設計可能です。事業を守るための投資として、サイバー保険の検討を最優先事項に位置づけてください。復旧を早めるための企業の取り組みについては復旧が早い企業と遅い企業の違いとは？もあわせてご確認ください。