[レポート]保険会社グループが考える対策の今と未来 ～グループ３社の社員＋特別ゲストによるぶっちゃけトーク～ - CODE BLUE 2025 #codeblue_jp #codeblue2025

あしざわです。

本記事はCODE BLUE 2025で行われた以下のセッションのレポートです。

セッション情報

保険会社グループが考えるサイバーリスクおよび対策の今、そして未来をパネルディスカッション形式でお伝えします。 我々MS&ADグループはサイバーリスクの定量化、企業のサイバーリスクマネジメントの支援など事前対策から、サイバー保険の提供によるリスクヘッジ、インシデント対応のコーディネートなど事後対策まで幅広く提供しています。 グローバル企業に求められるサイバーリスク管理、サイバー保険の引受審査の裏側など、ここでしか聞けない保険会社グループの取り組みをご紹介します。

Speakers: Kensuke Maki（槇　健介）, Tsutomu Kajiura(梶浦　勉) , Takashi Aoyama（青山　昇司） ,Taro Kamiyama（神山　太朗）, Noboru Ishizu（石津　昇）,Hiroaki Yamaoka（山岡　裕明）

レポート

話すこと

• サイバーリスクの定量化
• インシデント対応コーディネート

ビジネスを取り巻くリスクの全体像

• 環境、政治経済、労働など様々
• 本日はサイバーセキュリティにフォーカス

登壇者

• MS&ADインターリスク総研: 牧氏、梶浦氏、青山氏
• あいおいニッセイ同和損保: 神山氏
• 三井住友海上: 石津氏
• 弁護士: 山岡氏

質問:グローバル企業が会社全体として求められるリスクマネジメントは?

• （梶浦氏）
  • 全社的なリスク管理(サイバーリスクを含む)が基本
  • 投資家に対する情報開示や説明責任
    • 日本企業でも7割は海外からの投資

質問:サイバーリスクの高まりに対して企業のリスクマネジメントにどのような変化があったか

• （梶浦氏）
  • リスクは変わりゆくもので最近はより高まっている
  • サイバーリスク対策の水準を上げざるを得ない状況
    • 国境を超えた攻撃に対するセキュリティ強化の必要性
  • サイバーリスクの定量化
    • サイバーリスクが経営に対してどのくらい影響があるのかを測る
    • サイバー以外にも多様なリスクがある中どれくらい費用をかけるのか
  • サイバーリスクレーティングの導入
    • 現状、投資家がサイバーリスクの対応レベルを詳しく見られているわけではない
    • 今後、外部評価機関による格付けの一般化が当たり前になるかも

効果的なサイバーリスク管理のトレンドは?

• （青山氏）
  • 投資の「見える化」でサイバー強靭化を加速する
    • 投資する価値があるのかを知りたいと考える役員は多い
    • 認証やチェックシートは「人」の話、技術的に強靭なのかは測れない
    • ペネトレーションテストなどで評価できるのは一部でしかない、安心できない
    • レーティングで分かりやすい指標を示す
    • その指標に紐づく資産、製品・サービス、脅威シナリオを網羅的に整理
    • 脅威インテリジェンスとの掛け合わせで重点的に潰すべき資産を特定
    • 脆弱性から逆引きして資産を潰し込む
    • 被害軽減効果の定量的な資産の取り組み = PML(想定損害額試算)を進める

ASMはどんなお客様がどんな目的で買うか

• （青山氏）
  • 顧客
    • グローバル企業
  • 目的
    • VPNなど資産を多数所有する企業で、資産の洗い出しができていないところ
    • どの資産から潰し込みをしていくのか決めるため
    • グローバルの複数拠点で導入している

質問:グローバル企業はサイバー保険に入っている?

• （石津氏）
  • サイバー保険とは
    • 事業における経済的な損害をカバーする
  • カバー率
    • 大企業: 3割、4割
    • 中小企業: 1割 (実際はもう少し高いと思われる)
      • これらは火災保険などと比べるとずっと低い
      • アメリカだと400万件以上(6割-7割)
    • 日本企業では、サイバーセキュリティ部門が保険を購入している
      • 経営陣から『うちがサイバー攻撃なんか受けるわけないだろう。そういうことに備える保険だっていらないよね』とプレッシャーを受けてしまう
      • 企業内で守る立場の部門が保険を導入することのハードルがある
    • 自社だけでなく、サプライチェーン(取引先)のサイバー保険の加入も推奨している企業もある
• （山岡氏）
  • インシデント対応における阿鼻叫喚をこれまで見てきた
    • ランサムウェア対応は発覚から半年かかる
    • こんなに大変だと思わなかった、こんなにお金がかかると思っていなかったと必ず言われる
  • 企業としてセキュリティをしっかりやっていても、被害に遭うこともある
    • そんな時保険に入っていればカバーされるのに、と思う
  • サイバー保険はあまり認知されていない
    • 平時から保険の存在を認知することが大事
    • 今後はサイバーセキュリティの自賠責のようなものになるのでは
    • 有事の際にお金が無くてユーザーに保障できないということになりかねない

質問:保険会社のサイバーリスクの評価手法

• （神山氏）
  • 保険会社としては、事故を起こさない、起きても損害を極小化していくことに対するインセンティブが強い
    • 引き受けできませんと言うより、防ぐ一環として対策を取ってもらう
  • 去年のBlackhatではサイバー保険のネタが多かった(今年はAIモリモリ)
    • ダークウェブでクレデンシャルを売っているので、買われる前に買ってしまうというとんでもない対策
  • 手法: 汎用的な告知書+αでの確認
    • 質問リスト
    • ASMツールの活用
      • BitSight、Shodanなど
    • 特にVPNによるリモートアクセスについて確認
• （山岡氏）
  • 「VPNから狙われるなんて思ってもいなかった」は被害企業の典型的な反応
  • 警察庁の公表データによるとランサムウェア被害の原因の6割がVPNだと言われている
  • （山岡氏によると）実際のところはもっと多いはず

感想

弊社のAWS支援サービスでもクラウド保険を提供していますが、中の人の声を聞ける機会はなかったので、とても良い機会でした。