アングル:サイバー攻撃、備え薄い欧州とアジアに甚大な被害も
5月14日、米国以外の多くの企業は、世界各地で発生している大規模サイバー攻撃への備えが欠けており、甚大な損害を被る可能性があると、複数の保険会社が明らかにした。写真は、ノートパソコンを持つフードをかぶった人。ワルシャワで13日撮影(2017年 ロイター/Kacper Pempel)
[ロンドン/ニューヨーク 14日 ロイター] - 米国以外の多くの企業は、世界各地で発生している大規模サイバー攻撃への備えが欠けており、甚大な損害を被る可能性があると、複数の保険会社が明らかにした。サイバー保険加入が比較的少ないためだという。
週末に発生した、パソコンを感染させて復旧と引き換えに支払いを要求するランサムウエアによる広範囲な攻撃により、世界各地の自動車工場や病院、店舗や学校などが機能停止に追い込まれた。仕事の始まる週明け15日には、新たな脅威にさらされる恐れもある。
複数のサイバーセキュリティー専門家は、150カ国・地域で20万台以上のコンピューターが被害を受けたWannaCryと呼ばれるウイルス拡散について、その拡散スピードは減速しているものの、そのような小休止もつかの間かもしれないと警鐘を鳴らす。
ロシアを含む欧州やアジアがとりわけぜい弱なため、復旧には何十億ドルものコストがかかる恐れがある。
保険仲介大手エーオンでサイバーリスク担当のグローバル責任者を務めるケビン・カリニッチ氏によると、サイバー保険契約10件のうち約9件は米国内で結ばれているという。市場規模は年間25億─30億ドル(約2830億─3400億円)に上る。
サイバー保険が米国で浸透している最大の理由は、侵害された場合に報告を義務付ける法律が10年前に制定されたからだと、保険仲介マーシュでサイバー保険商品の責任者を務めるボブ・パリシ氏は指摘する。
透明性の高まりにより、報告を義務付けられた損害の補償を受けるため保険に加入するという動機が米企業の間で生まれた。来年半ばに適用が開始される欧州連合(EU)の一般データ保護規則でも同様の効果が見込まれている。
WannaCryに備えていなかった企業が事業中断によって被るコストは、ランサムウエアの身代金の額をはるかに上回る見通しだと、カリニッチ氏は指摘。
「患者の受け入れを断らなければならなくなった病院や、荷物を配達できない世界的な輸送会社、あるいはスペインやロシア、中国の通信会社の事業中断による財務的影響は、身代金300ドルよりはるかに大きい」と同氏は語った。
攻撃を受けた企業や機関のなかには、英国民医療サービス(NHS)や仏自動車大手ルノー、スペインの通信大手テレフォニカが含まれている。
関係筋によると、テレフォニカはサイバー攻撃をカバーする保険に加入しているが、経済的影響を予測するには時期尚早だという。
ルノーとNHSはコメント要請に回答しなかった。
サイバーリスクのモデル構築を支援する米西海岸の企業Cyenceは、12日の攻撃で要求された個別の身代金額は平均300ドル、事業中断で被った経済コストは総額で約40億ドルと試算している。
一方、サイバー攻撃関連コストについて政府や企業に助言する非営利の米調査機関「Cyber Consequences Unit」は、経済コストは総額で10億ドルを超えないだろうと予想。もう少し控えめにみている。
<高い利益率>
サイバー保険は通常、ランサムウエアのような攻撃によるゆすりから企業を守る。保険会社によると、こうした攻撃は過去1年半で急増しているという。調査費用もカバーし、ランサムウエアで請求される身代金も支払うと、前述のパリシ氏は説明する。
だが注意も必要だ。ぜい弱性からユーザーを保護するため、マイクロソフトが3月に公表した修正プログラムをダウンロードしなかった企業は不運かもしれない。多くのサイバー保険はそのような場合を適用外としているからだ。
また、海賊版ソフトウエアを使用している企業も保険の支払いを受ける資格を持たない可能性が高いと、カリニッチ氏は指摘する。
サイバー保険の多くは最大5000万ドルを補償し、その大半は事業中断に関連する損失を補うものだとパリシ氏は説明。なかには、5億─6億ドルを補償する保険も一部あるという。
サイバー保険は通常、データを侵害された人に通知したり、風評被害に対処するため広告代理店を雇ったり、被害者のクレジットカードの利用状況をチェックする手配を整えたりするコストのほか、訴訟費用もカバーする。
サイバー保険は利益率の高いビジネスだ。例を挙げると、保険会社Sciemusは過去に、データ侵害で1000万ドルを補償する保険料は約10万ドルだとしていた。また、物的損害を受けた攻撃を補償する場合の保険料はその7倍だという。
そのほか、独アリアンツ 、米国のAIGやチャブ、スイスのチューリッヒ、ビーズリーやヒスコックスのような英ロイズ加盟の保険会社がサイバー保険を販売している。
<高まる需要>
欧州では今回の大規模サイバー攻撃以前から、EUがデータ侵害の報告を企業に義務付ける一般データ保護規則を、2018年半ばに適用した後には、保険への需要が高まるとみられていた。
だが、保険会社の競争力が激しく、また今回のサイバー攻撃でどの程度保険が適用されるのかについて不安が残るなか、保険料への影響はあまり聞こえてこない。
保険会社は、規約や適用外に関する言葉選びだけでなく、引き受けるリスクの査定に対し、より慎重になる可能性が高いと、カリニッチ氏は指摘。
「彼ら(保険会社)は、最もリスクに備えている企業を選びたがるだろう」とカリニッチ氏。それ以外の企業も保険加入の資格はあるだろうが、適用外とされる項目が多くなる可能性があるという。
例えば、企業が保険会社に連絡なく身代金を支払った場合、保険会社は適用を認めないことにするかもしれない。
「実に複雑さを極める内容となるかもしれない。数百万ドルを失うことにもなりかねない」とカリニッチ氏は語った。
(Carolyn Cohn記者、Suzanne Barlyn記者 翻訳:伊藤典子 編集:下郡美紀)
私たちの行動規範:トムソン・ロイター「信頼の原則」
次の記事
- ウクライナ情勢ロシア夏季攻勢、予想外の場所になる可能性も=ウクライナ
ウクライナ国家警備隊司令官は23日、ロシア軍はウクライナでの夏季攻勢時に前線の予想外の地域を攻撃し、東部の都市ハリコフへの進撃を試みる可能性があると述べた。
- 特集 安全保障問題あらゆる戦線で戦闘拡大を、ハマス軍事部門が呼びかけ
イスラム組織ハマスの軍事部門「アル・カッサム旅団」のアブ・ウバイダ報道官は23日、あらゆる戦線で戦闘をエスカレートさせるよう呼びかけた。
