ニュース

AIG損保、企業のサイバーリスクを分析診断する新サービスを開始

リスクスコアやビジネスへの影響度などを評価レポートとして提供

  • 唐沢 正和

2018年11月9日 09:00

 AIG損害保険株式会社は8日、企業のサイバーリスクを分析診断する新サービスを、12月をめどに開始すると発表した。同日に行われた会見では、AIGグローバルのサイバーリスクのトップであるAIG EMEA Head of Cyberのマーク・カミロ氏が来日し、グローバルにおける最新のサイバーリスクの動向について紹介するとともに、新サービスの概要について説明した。

AIG EMEA Head of Cyberのマーク・カミロ氏

【お詫びと訂正】

  • 初出時、カミロ氏のお名前を誤って記載しておりました。お詫びして訂正いたします。

 今回、新たに提供開始する分析診断サービスは、「サイバーリスクの脅威は感じているものの、リスクや起こりうる損失を客観的に判断することができず、どのように対処すべきかわからない」といった企業の声を受けて、米AIGが開発したもの。

 同サービスでは、業種や規模、リスク特性に応じた質問項目に回答することで、各企業が直面する可能性のあるリスクを顕在化することができる。すでに、サイバー保険最大のマーケットである米国をはじめ、世界各国のグローバル企業が同サービスを活用しているという。

 AIG EMEA Head of Cyberのトレーシー・グレラ氏は、グローバルにおけるサイバーリスクの最新トレンドについて、「2017年にAIG EMEAが受けたサイバー保険の保険金請求件数は、2013年から2016年までの過去4年間の合計に匹敵する件数であった。インシデント別に見ると、『暗号化ランサムウェアによる恐喝』が4分の1以上(26%)を占め、“ランサムウェア攻撃が拡散した年”といわれた2017年を表す結果となった。また、『なりすまし詐欺』による被害も拡大した。例えば、取引先の業者を装って請求メールなどを送り、偽の口座への支払いを誘導するといったもので、今年に入ってさらに大きな問題となっている」と指摘する。

AIG EMEAが受けたサイバー保険の保険金請求(件数別)
2017年にAIG EMEAが受けたサイバー保険の保険金請求(インシデント別)

 「業種別では、金融サービスと専門サービスが18%でトップに並んだ。金融サービスは膨大な顧客情報を持っており、資金も豊富であるため、サイバー攻撃の最大のターゲットとなっている。専門サービスは、会計士や弁護士、コンサルタントなどで、彼らの所有している秘匿性の高い情報や顧客の重要情報が狙われている。また、2017年は、今までほとんど保険金請求を受けることがなかった製造業やエネルギー産業が初めて上位に入ってきたこともトピックとして挙げられる。サイバー攻撃の対象が、幅広い業種に拡大していることが明白になった」とした。

2017年にAIG EMEAが受けたサイバー保険の保険金請求(業種別)

 こうしたサイバーリスクのトレンドを踏まえ、今回、グローバルで実績のあるサイバーリスクの分析診断サービスを日本でも展開するという。同サービスでは、サイバーリスクに関する質問表をオンラインで提供。企業は、それぞれの業種や規模、リスク特性に応じた質問項目に回答すると、AIG損保が各企業のリスクスコアやビジネスへの影響度、推奨される対策などを評価・分析し、分析結果をグラフや表を多用したレポートとして提出する。

 AIG損害保険 企業賠償・経営保険部 部長補佐の阿部瑞穂氏は、「従来までは、サイバー保険の契約時に、顧客に質問書を送り、その内容をもとに見積もりを提出していた。しかし、実際には、自社にどのくらいサイバーリスクがあるのかわからないといった企業も多く、質問書だけではサイバー保険の有効性を判断できないケースも増えていた。これに対して、新サービスでは、単に質問書を投げるのではなく、当社が顧客のサイバーリスクをどう見ているのかを分析し、リスクスコアやリスク対策まで含めた評価レポートを提供していく」と説明している。

AIG損害保険 企業賠償・経営保険部 部長補佐の阿部瑞穂氏

 具体的なサービスの流れとしては、まず、PDFベースのオンライン質問表を顧客に送付。この質問表への回答内容をもとに、AIGのグローパルで蓄積されたデータと照合しながら各企業のサイバーリスクを評価・分析する。「質問項目は、事業規模や業種、利用しているIT資産などに応じて、顧客ごとに異なってくる。最小の質問項目で約30問、最大で約200問のボリュームになる」(阿部氏)という。

 質問表の分析・診断が終わると、PDFベースの評価レポートを顧客に提出する。評価レポートでは、サイバーリスク対応の成熟度や残存(残留)リスク、サイバー脅威の可能性、5大リスクシナリオ、脅威カテゴリーごとのリスク指標、5大リスク対策、情報漏えいの被害金額、事業中断のリスクなどのスコアおよび分析を確認することができる。なお、同社のサイバー保険「CyberEdge」の契約企業に向けては、より詳細な評価レポートを提出するとのこと。

評価レポートのサンプル
評価レポートのサンプル

 この評価レポートは、サイバーリスクへの対策を検討する資料として活用できるだけでなく、回答する各質問項目をチェック表代わりとして、自社のリスク対策状況を再確認することもできる。分析の際に使用するデータベースは、最新のリスク環境にあわせて定期的にアップデートされるため、「CyberEdge」の契約企業は、契約更改時などに同サービスを利用することで、サイバーリスクへの対応状況の定期的な見直しとしても活用できる。さらに、サイバー保険を検討中の企業については、保険料の見積時に同サービスによる診断を受けることが可能となっている。