サイバー保険(さいばーりすくもにたりんぐ)
サイバーリスクモニタリングとは
一言でいうと
自社のIT環境に潜むセキュリティ上のリスクを継続的に監視・診断するサービスのこと。ホームページの脆弱性チェックやセキュリティリスクの定期診断などが含まれます。一部のサイバー保険では平常時の付帯サービスとして提供されています。
サイバーリスクモニタリングとは
サイバーリスクモニタリングとは、企業のIT環境に潜むセキュリティ上の脆弱性やリスクを継続的に監視・診断するサービスや活動のことです。サイバー攻撃は常に新しい手口が生まれるため、一度の診断だけでは十分ではなく、定期的・継続的にリスクを把握して対策を講じることが求められます。
経済産業省の「サイバーセキュリティ経営ガイドライン」では、経営者が指示すべき重要事項として、サイバーセキュリティリスクの継続的な把握とリスク管理体制の構築が挙げられています。
サイバーリスクモニタリングの主な内容
サイバーリスクモニタリングで実施される診断や監視には、以下のようなものがあります。
- 自社ホームページの脆弱性スキャン(既知の脆弱性の有無を確認)
- ネットワーク機器やVPN装置のセキュリティ設定の点検
- ダークウェブ上での自社情報(漏洩したID・パスワードなど)の流通状況の監視
- メールサーバーの設定不備の検出
- ソフトウェアの更新状況の確認
IPA(情報処理推進機構)が毎年公表する「情報セキュリティ10大脅威」では、脆弱性の放置がサイバー攻撃の主要な原因として繰り返し指摘されています。モニタリングによって脆弱性を早期に発見し、対処することがリスク低減の基本です。
サイバー保険の付帯サービスとしてのモニタリング
一部のサイバー保険では、平常時(事故が発生していない通常の状態)に利用できる付帯サービスとして、サイバーリスクモニタリングが提供されています。保険会社によってサービスの範囲や内容は異なりますが、自社のセキュリティ状態を定期的に確認できる手段として活用できます。
中小企業にとっては、自社で高度なセキュリティ診断を実施する体制を整えることが難しいため、保険の付帯サービスとしてモニタリングを受けられることは大きなメリットです。事故を未然に防ぐための予防的なサービスとして位置づけられています。
参考文献
- IPA(情報処理推進機構) - 情報セキュリティ10大脅威 - サイバー攻撃の最新動向と脅威の解説
- 経済産業省 - サイバーセキュリティ経営ガイドライン - 企業のセキュリティリスク管理の指針
- NISC(内閣サイバーセキュリティセンター) - 企業経営のためのサイバーセキュリティの考え方 - 経営層向けサイバーセキュリティの解説