サイバーセキュリティお助け隊活用セミナー開催

　事業活性化委員会（保田信哉委員長）は、２０２４年１２月１７日（火）１５時から、大阪代協事務局で「サイバーセキュリティお助け隊活用セミナー」をハイブリッド方式で開催し、併せて約７０名が視聴しました。
講師は、大阪商工会議所経営情報センター課長の野田幹稀氏および東京海上日動大阪北支店業務チーム担当課長の由良滋氏です。

　セミナーの開催に先立ち、新谷会長が「現代社会でビジネスを行うにはサイバーリスクに関する知識が不可欠。本日のセミナーの目的は、次の３点です。

代理店の業務品質を考える際に必須の体制整備項目であるサイバーセキュリティ対策を学ぶ

お客様にサイバーリスクの脅威を啓発し、ソリューションを提供するための知識・情報の習得

私たちが販売している、サイバーリスク保険について正確な内容の理解

このセミナーが、お客さまからの信頼獲得につながり、皆さまの本業に少しでもお役に立てば幸いです」と挨拶しました。

サイバーリスクの実態とサイバーセキュリティお助け隊

　第一部では、野田氏が最近のサイバー攻撃の実態とその対策について解説しました。

サイバーリスクの概要

　サイバー攻撃をする側は、個人・愉快犯といった相手に気づかせて自己顕示欲を満たすものから、最近は相手に気付かせることなく金銭目的をビジネスとする組織・経済犯が全体の９５％を占めている現状を紹介しました。また、１９％は内部犯行によるもので、サイバー被害は労務や人事問題の側面もあるとも指摘しました。一方、攻撃される側として、パソコンやルータ等の絶対数や無線LANによるスマホ等の接続が増えていること、さらに複合機やカメラ、各種デバイス等のIoT化といったセキュリティの脆弱な攻撃対象が増えたことが攻撃の踏み台になっていると説明しました。そして、その攻撃は、地域・業種に有意差はほぼなくされていると述べました。
　具体的に独立行政法人情報処理推進機構（IPA）の２０２３年調査で攻撃手法をみると、法人では①ランサムウェアによる被害　②サプライチェーンの弱点を悪用した攻撃　③標的型攻撃による機密情報の窃取　④内部不正による情報漏えいといった順に多くなっています。

ランサムウエアの動向

　最も多いランサムウェアでは、データを暗号化し身代金要求と窃取したデータを暴露したり売り飛ばしていたものが、バックアップの普及により身代金支払いが減少してきたことなどにより、最近はデータを暗号化せず身代金の要求もしないままデータを暴露したり売り飛ばす事案が増えているといいます。そして、同氏が相談を受けた企業の半数くらいは身代金を支払っているのではと推測。調査によると、身代金を支払った企業の８２％が１年以内に再攻撃を受けている実態を述べ、決して要求を呑んではならないと訴えました。
最近は単一のセキュリティ機器や対策では防げなくなってきていると注意喚起したうえで、事前対策として出入口にUTM、端末にEDR、VPNを設定することで検知と防御機能を強化し、外付けHHD、NAS等によりバックアップをしっかり行うことが重要であると述べました。また、事後対策としては、攻撃に気付いた場合は即座にLAN線を抜く、あるいは警察にパソコンを預ける、自ら複号化ツールを入手し復号を試みるといった方法があると述べました。

狙われるサプライチェーン

　サプライチェーンでは、攻撃者はあえて大企業を狙わず、脆弱性の高い中小企業から攻撃するケースが多いと述べました。取引先の中小企業が受けたサイバー攻撃の被害が自社に及んだことがあるかとの調査では、２５％が「ある」と回答。今後の対処として４７％が「損害賠償請求」、２９％が「取引停止」と回答しており、被害者なのに、加害者（踏み台）になってしまうリスクを孕んでいると述べました。この対策としては、各業界で出されているガイドラインに沿ったセキュリティ対策を行うことが必須であると強調しました。

ビジネスメール詐欺対策

　また、標的型攻撃メールやビジネスメール詐欺、フィッシングは業務を装ったメール等を送り付けて情報や金銭を窃取するもので、メールアドレスや添付ファイルの拡張子は最後の最後まで確認すること、添付ファイルの「コンテンツ有効化」「マクロ有効化」は押さない、実在する取引先や知り合いの人物名やアドレスに安心しないなどの注意点を紹介するとともに、具体的に要注意メールのタイトルを紹介しました。また、警告画面を表示したり警告音を発したりして電話の問い合わせ、アプリのダウンロードを促すウェルス感染詐欺・パソコンサポート詐欺については慌てないことが大切で、警告画面を閉じるには①左上のＥＳＣキーを３秒程度押す　②右上に表示された×マークを押すといったことで対応できると述べました。

サイバーリスクお助け隊サービス

　その後、実際に中小企業での攻撃・被害例を紹介した後、中小企業が持つべき視点と実践すべきことを解説しました。まず、前提となる考え方として「ＢＣＰの視点」が重要で、サイバー攻撃を対象としたシステム障害発生時のＢＣＰを整備すべきであると述べました。また対策は「『費用』ではなく『投資』」であるという考え方をもって取り組むことが必要であると強調し、具体的に対策をした場合としなかった場合とで試算比較しました。そして最後に、「サイバーセキュリティお助け隊サービス」について、国に登録されているUTM（多機能防御装置）レンタルサービスや情報やセミナー等の提供、見守り（監視）・お知らせ（通報）、相談（メール・電話）、駆け付け（初動対処）といったサービスを受けることができ、サイバーリスク保険と親和性の高い同サービスの活用を推進しました。

サイバー攻撃対応費用と「外部通報要件」

　続いて、由良氏がサイバーリスク保険の中でとくに判断が難しい「サイバー攻撃対応費用」（東京海上日動の補償名）の特約条項に規定された〝外部通報要件〟について具体的に適用可否の事例を挙げながら、サイバーセキュリティお助け隊との関係（リスク評価等）について解説。また同様に、大阪代協事務局が損保各社のサイバーリスク保険と同お助け隊との関係性について説明し、これらは相互に補完する機能があることを強調しました。

最後に

　最後に保田委員長が「セミナーをお聞きし、保険代理店が代理店賠償責任保険に加入しないのと同様、会社の体制整備としてサイバーリスク保険と商工会議所のサイバーセキュリティお助け隊に入らないことはあり得ないことがよく分かりました。同時に、お客さまにとってもサイバーリスクは目の前にある危機であることが良く理解できました。我々の責務として、ぜひとも今日感じた危機感をお客さまに伝えください」と締めくくりました。

（記事：新日本保険新聞社）