セキュリティの
学び場

今回の解説ニュース

フィッシング詐欺などに関する年次レポートが発表されています。セキュリティを優先させる方法として報酬の導入が有効である理由や、サイバー保険の概要について説明します。

今回のレポートは、日本を含む15ヶ国の7,500人のエンドユーザーと1,050人のセキュリティ担当者を対象に調査したものです。結果として、ユーザーがセキュリティに対する意欲を高める施策として、不適切な行動に罰則を適用することは、最も効果的ではないアプローチであるとセキュリティ担当者にみなされているとしています。

また、ランサムウェアに関するインシデントを経験した組織のうち96%がサイバー保険に加入しており、ほとんどの保険会社では身代金の支払いを支援しているということです。一方で、被害組織が身代金を支払うことで、さらなる攻撃の被害に遭う、犯罪活動の資金援助となるといった問題やリスクをより認識するようになっていることが挙げられています。

さらに、2023年は組織の71%が少なくとも1度はフィッシング攻撃を経験しており、フィッシングに関するインシデントの風評被害も2022年と比較して50%上昇しているということです。

セキュリティを優先させる方法として報酬の導入が有効である理由

セキュリティを優先させる方法として報酬の導入が有効である理由として、インシデントの早期発見と対応促進が期待できることが考えられます。

インシデントの発生自体に強い罰則を与えてしまうと、報告すること自体を躊躇してしまい、結果として、インシデントの被害が拡大してしまうことが考えられます。

今回のレポートでも、罰則は、恐怖、恨み、不信や、意欲や士気の低下といった消極的な効果をもたらす可能性があり、ユーザーが積極的にインシデントを報告したり、サポートを求めたりしなくなるため、セキュリティ侵害のリスクが大きく高まる可能性があるとしています。

サイバー保険の概要

サイバー保険とは、サイバーリスクに起因して発生する様々な損害に対応するための保険です。保険によっては、情報漏洩やランサムウェア被害などのサイバー攻撃を受けた際に、損害賠償や復旧費用などを補償してくれるため、近年注目を集めています。

サイバー保険に加入するメリットとして、サイバー攻撃を受けた場合の経済的な損失を補償してくれることや、サイバー攻撃発生後に専門家のサポートを受けられることなどが挙げられます。

一方で、サイバー保険は万能ではないことにも注意してください。具体的には、契約内容に明記されていない、サイバー攻撃による風評被害や、営業機会の損失などは、補償されない場合があります。また、サイバー攻撃の被害によって失った信用自体が、戻ってくることはありませんので、通常のセキュリティ対策をした上で、サイバー保険の導入を検討するようにしましょう。