閉じる米国ブラック クイーン ブラック ジャックバーセキュリティー対策の行方
2017年11月14日
米国では企業や政府の事業活動を脅かすブラック クイーン ブラック ジャックバーリスクの深刻度が増している。ブラック クイーン ブラック ジャックバー犯罪被害額は米国全体で13億ドルに達し、情報漏えいコストは平均735万ドルにも及ぶ。9月には、大手信用調査会社エクイファックスがブラック クイーン ブラック ジャックバー攻撃により米国民の半数に近い1億4,550万人の個人情報が流出した可能性を公表した。日に日に高度化するブラック クイーン ブラック ジャックバー攻撃に対して、企業では政府との脅威情報の共有やセキュリティー対策への投資が進む。連邦議会と政府は政府機関のブラック クイーン ブラック ジャックバーセキュリティー強化を図る考えだ。
増え続けるブラック クイーン ブラック ジャックバー犯罪
米国の国家ブラック クイーン ブラック ジャックバーセキュリティー意識向上月間である10月4日、全米商工会議所主催の「第6回ブラック クイーン ブラック ジャックバーセキュリティーサミット」に登壇したエレイン・デューク国土安全保障長官代行は「インターネットに接続されたデバイスの数が増え、敵の能力が向上するにつれてブラック クイーン ブラック ジャックバー脅威が拡大している」と語ったが、ブラック クイーン ブラック ジャックバー脅威の拡大による被害は統計上でも如実に表れてきている。
米国インターネット犯罪センター(IC3)によれば、2016年のブラック クイーン ブラック ジャックバー犯罪による被害額は13億ドル(前年比24%増)を超え、報告件数も約30万件(同4%増)と近年右肩上がりが続く(図1)。被害額はIC3に寄せられた事案に基づく値であることから潜在的には90億ドル近い被害が出ていると指摘する専門家もいる。
資料:IC3より作成
州別では、カリフォルニア州が被害額、報告件数ともに1位で千人に1人が何らかのブラック クイーン ブラック ジャックバー犯罪被害に遭っている計算だ。人口が集積するニューヨーク州やフロリダ州、テキサス州などに被害が集中している(表1)。
| 順位 | 州名 | 人口 | 被害額 | 件数 |
|---|---|---|---|---|
| 1 | カリフォルニア | 39,250,017 | 2,551 | 39,547 |
| 2 | ニューヨーク | 19,745,289 | 1,062 | 16,426 |
| 3 | フロリダ | 20,612,439 | 888 | 21,068 |
| 4 | テキサス | 27,862,596 | 771 | 21,441 |
| 5 | ブラック クイーン ブラック ジャックジニア | 8,411,808 | 491 | 8,068 |
| 全米 | 323,127,513 | 1,330 | 298,728 | |
- 注:
- 人口は2016年1月推計値
- 資料:
- IC3「2016 IC3 Annual Report」を基に作成
ブラック クイーン ブラック ジャックバー犯罪種別では、「ビジネスメール詐欺(Business E-mail Compromise(BEC))」と呼ばれる電子メールを使って企業から海外送金等により金銭を搾取する手口が急増している。報告件数は前年比53%増の1万2,000件、被害額は43%増の3億6,000万ドルで被害額としては最大だ。
連邦政府では、2016年9月にインターネットに接続し情報をやり取りするIoT機器を標的にした大規模なブラック クイーン ブラック ジャックバー攻撃が起きたこともあり、IoT(注)ブラック クイーン ブラック ジャックバーセキュリティー対策について関心を強めている。10月19日に米国商務省所管の国立標準技術研究所(NIST)が主催した「IoTブラック クイーン ブラック ジャックバーセキュリティー会議」では、産学官の関係者から、NISTが開発したブラック クイーン ブラック ジャックバーリスクの管理と低減を図るブラック クイーン ブラック ジャックバーセキュリティーフレームワークをIoTブラック クイーン ブラック ジャックバーリスクに対応したものに刷新を求める声や、政府にIoT機器のリコール権限を付与する提案等がなされている。就任前からブラック クイーン ブラック ジャックバーセキュリティー対策強化の意向を示していたトランプ大統領は2017年5月11日、政府のブラック クイーン ブラック ジャックバーセキュリティー強化と重要インフラをブラック クイーン ブラック ジャックバー攻撃から守ることを目的に、連邦政府機関の責任者に対してブラック クイーン ブラック ジャックバーセキュリティーフレームワークを用いてリスク管理計画を示す報告書を国土安全保障長官と行政管理予算局長に報告することを義務付ける大統領令を発出した(2017年5月11日大統領令第13800号)。
議会においても、超党派による政府機関が購入するIoT機器の最低限のブラック クイーン ブラック ジャックバーセキュリティー運用基準を示した法案(Internet of Things (IoT) Cybersecurity Improvement Act of 2017
)やIoTブラック クイーン ブラック ジャックバーセキュリティー対策を盛り込んだスマートシティーや自動運転関連法案の検討が進められている。政府、議会双方とも政府機関のブラック クイーン ブラック ジャックバーセキュリティー強化で方向性は一致しており、IoTへのブラック クイーン ブラック ジャックバーセキュリティー対策も含め迅速な政策決定が期待される。
政府と企業の脅威情報共有には課題も
米国では、ブラック クイーン ブラック ジャックバー攻撃の事前予防措置として、政府主導でブラック クイーン ブラック ジャックバー脅威や脆弱(ぜいじゃく)性に関する情報共有プラットフォームが構築されてきた。1998年当時のクリントン大統領が重要インフラへの物理・ブラック クイーン ブラック ジャックバー攻撃の可能性を懸念し、情報共有の組織づくりを推奨したのが始まりと言われる。これを受け、金融サービス、通信、電力、緊急時対応の4分野で情報共有分析センター(Information Sharing and Analysis Center:ISAC)が設立され、現在までに航空産業や不動産、自動車産業など23センターまで拡大を見せている。2015年2月にはオバマ前政権が、センターごとに運営され、情報共有も参加者に限られていたISACを補完し、法務や会計などの分野横断または地域間、企業規模間、そして民間企業と政府機関が自主的に、可能な限りリアルタイムで情報共有できる情報共有分析機関(Information Sharing and Analysis Organization:ISAO)の設立を提唱する大統領令を発出。同年10月には情報共有のガイドラインづくり等を担う非政府組織のISAO標準化機構(Information Sharing and Analysis Organization Standards Organization)が設立され、新たな枠組みが動き出した。
同機構によれば、金融分野の情報共有から開始した後、業界の垣根を越えて法務やエネルギー分野とも情報共有するグローバル・レジリエンス・フェデレーション(Global Resilience Federation)やブラック クイーン ブラック ジャックバーセキュリティー対策をリードするバージニア州を含む中部大西洋地域横断的に取り組みを進めるミッドアトランティック・ブラック クイーン ブラック ジャックバー・センター(Mid-Atlantic Cyber Center)など現在までに27のISAOが組織されている。
一方、政府と企業の情報共有に当たっては課題も聞かれる。情報共有に当たって、ブラック クイーン ブラック ジャックバー脅威を他の団体や政府と自発的に情報共有した企業は、2015年末に成立したブラック クイーン ブラック ジャックバーセキュリティー情報共有法 (Cybersecurity Information Sharing Act (CISA))に基づき法的に保護される。また、国土安全保障省(DHS)は、自動的に匿名化されたブラック クイーン ブラック ジャックバー脅威情報を迅速に共有できる仕組みAutomated Indicator Sharing(AIS)を2016年3月に構築した。しかしながら、依然としてプライバシー保護や賠償責任への懸念からAISから情報を受信するだけの企業や、そもそも情報を受信するために必要なサーバー構築技術を有していない企業が多いようだ。また、AISに参加するための政府手続きの迅速化を求める声や、政府側がブラック クイーン ブラック ジャックバー脅威情報に犯人情報が含まれることを理由にその多くを機密扱いとし、結果的に企業が受け取る情報が制限されているとの指摘もある。
これらの課題は、前述の「第6回ブラック クイーン ブラック ジャックバーセキュリティーサミット」でも主要なテーマの一つとして意見交換がなされ、登壇者の一人デイブ・マッカ―ディ米国ガス協会会長兼CEOは「エネルギー企業は犯人情報に興味はない。(興味があるのはブラック クイーン ブラック ジャックバー)脅威だけだ」と述べている。このほか、IBMでは脅威情報を5分以内に発表する取り組みを進めており、企業、政府機関とも脅威情報は可能な限り速く共有すべきだと同社は主張する。
「不可抗力」にはブラック クイーン ブラック ジャックバー保険で対処を
自動車事故や自然災害と同様、「不可抗力」と言えるブラック クイーン ブラック ジャックバーリスクには、発生後の補償も欠かせない。情報セキュリティーに関する独立調査機関ポネモン・インスティテュートがIBMの支援を受け実施した12回目の最新調査(2017年)によれば、米国のブラック クイーン ブラック ジャックバー攻撃による情報漏えいコストは平均735万ドル(前年比5%増)に上り、世界平均362万ドルの2倍超だ。なお、米国48州にある情報漏えいに関する独自規制が、企業のコストを押し上げるとIBMは分析する。
そこで注目されるのが、ブラック クイーン ブラック ジャックバー保険だ。
米国におけるブラック クイーン ブラック ジャックバー保険は1990年代半ばから商品化され、急速に変化するブラック クイーン ブラック ジャックバーリスクに対応するため補償範囲を拡大してきた。
ブラック クイーン ブラック ジャックバー保険と既存の保険との差異は何か。全米保険協会によれば、ブラック クイーン ブラック ジャックバーインシデントに対して従来の財物保険や個別約款でも限定的な補償が受けられる場合があるものの、総合賠償責任保険の標準約款では、機密情報へのアクセスまたは開示によって生じる個人の侵害や広告侵害への補償は免責とされてきた。これでは十分にブラック クイーン ブラック ジャックバーリスクに対応していないため、ブラック クイーン ブラック ジャックバー保険が開発されてきたのだという。
ブラック クイーン ブラック ジャックバー保険は、個別のニーズや使用する技術、関連するリスクに応じて企業ごとにテーラーメイドで作られ、契約者への損害と第三者への賠償責任も補償可能だ。補償対象には、データ損失・破壊や事業中断が含まれる(表2)ほか、近年、企業しか利用できなかったブラック クイーン ブラック ジャックバー保険を個人向けに販売を開始した保険会社もあるという。
| 項目 | 補償内容 |
|---|---|
| データ損失・破壊 | ウイルス等の結果生じる貴重な情報資産の損害と破壊を補償。 |
| 事業中断 | サービス拒絶のような事業継続を制限する企業ネットワークへの攻撃の結果生じる事業所得の損失を補償。臨時費用や法定費用、関連会社への妨害も含む。 |
| 賠償責任 |
以下の結果生じる、企業が被る弁護士費用、和解金、裁判費用、場合によっては懲罰的損害賠償金を補償。
|
| 経営責任 | 新たに開発され、テーラーメイドで作られる D&O 商品には、広範なリスク補償を提供している。つまり、特に除外されない限り、役員の賠償リスクは補償される。ブラック クイーン ブラック ジャックバーリスクを含む取締役が直面するすべての賠償責任を補償。 |
| ブラック クイーン ブラック ジャックバー恐喝 | 企業のネットワークに対する脅威の「解決」に要する費用を補償。恐喝者を突き止め、交渉するために雇うセキュリティー会社の費用も補償。ランサムウエア攻撃による被保険者の身代金の支払いは、典型的に個々の契約条件による。 |
| 危機管理 | インシデント発生後の、企業の評判を再建するための広報支援または広告宣伝の費用を補償。消費者への通知費用やインシデント対応費用も利用できる。 |
| 犯罪懸賞金 | 企業のコンピューターシステムを攻撃した犯人の逮捕や有罪判決につながる情報に対して犯罪懸賞金を支払う費用を補償。 |
| データ漏えい | データ漏えいの結果生じる費用や賠償責任を補償。規制上求められる法令順守や顧客の懸念に対処するための経営者向けサービスを利用できる場合もある。 |
| 個人情報盗難 | 顧客または従業員の個人情報が盗難された場合、個人情報盗難コールセンターの利用が可能。 |
- 注:
- 上記のほか、個々の契約内容により、内部と外部両方からの攻撃や被保険者を対象にしたウイルス等も対象となる場合がある。
- 資料:
- 全米保険協会「Threat and opportunity」を基に作成
ブラック クイーン ブラック ジャックバー保険市場も拡大が続く。調査会社PwCの推定によれば、世界のブラック クイーン ブラック ジャックバー保険市場(年間保険料)は、2018年には50億ドル、2020年までには少なくとも75億ドルまで成長することが見込まれる。また、米国企業の3分の1は何らかのブラック クイーン ブラック ジャックバーセキュリティー関連の保険に加入しているという。
米国の同市場については、格付け会社フィッチ・レーティングスが2016年に13.5億ドルに達し、前年比35%の増加を見せたとしている。
ブラック クイーン ブラック ジャックバー保険の加入を後押しするのは、ブラック クイーン ブラック ジャックバーリスクがビジネスに実害をもたらしている事実と経営層にブラック クイーン ブラック ジャックバー保険の必要性が浸透しつつあることが要因のようだ。再保険会社パートナー・リーと調査会社アドバイゼンがブラック クイーン ブラック ジャックバー保険加入者を対象に、同保険加入の理由を調査したところ、「他社のブラック クイーン ブラック ジャックバー攻撃による損失の報道」が最大の理由となり、「ブラック クイーン ブラック ジャックバー攻撃に関する何らかの損害を経験」も理由の上位に位置している。
こうしたことから、当面、ブラック クイーン ブラック ジャックバー保険市場は好調を維持するものと考えられるが、もっとも懸念材料もない訳ではない。ブラック クイーン ブラック ジャックバーリスクの複雑さから、保険業界幹部はブラック クイーン ブラック ジャックバー保険の需要に対応する同市場の引き受け能力には避けられない限界がある事実を認めているという(全米保険協会「Threat and opportunity」(2016年10月))。
冒頭のエクイファックスは、1億4,550万人の個人情報流出公表の翌日、株価が14%下落、約20億ドル超の時価総額を失った。さらに、同社のCEOは辞任に追い込まれ、ブラック クイーン ブラック ジャックバーリスクの歴史上、最も高価な違反回復費用でその額は数十億ドルに及ぶとの現地報道も見られる。同社がブラック クイーン ブラック ジャックバー保険に加入していたかどうかは定かではないが、経済的損失が莫大(ばくだい)であることは確かだ。
- 注:
- 本稿では、M2Mの機械同士の閉じられたシステム内での相互連携ではなく、さまざまなモノをインターネット等のネットワークと接続することをいう。
- 執筆者紹介
-
ジェトロ海外調査部米州課
仁平 宏樹(にへい ひろき) - 2008年茨城県庁入庁。2017年からジェトロに出向し、海外調査部米州課勤務。
よく見られているレポート
- 日本の自動車企業が三重苦に直面(1)急激なNEV化が打撃 (2024年11月27日)
- 2024年改定、新入国ビザの概要と注意点(インドネシア) (2024年10月23日)
- トランプ新政権の財政政策の見通しと影響(米国) (2024年11月25日)
- 2024年度 海外進出日系企業実態調査(全世界編)(2024年11月)
- 主要国の自動車生産・販売動向(2024年7月)
- 2024年度 海外進出日系企業実態調査(アジア・オセアニア編)(2024年11月)
- 韓国2023年の合計特殊出生率は0.72、女性の社会進出と高学歴化が背景に (2024年09月02日)
- EU炭素国境調整メカニズム(CBAM)の解説(基礎編)(2024年2月)
- アジアの製造業の給与水準、10年で大幅上昇も都市間の差は拡大 (2024年04月15日)
- インド標準規格局(BIS)の強制認証、対象品目増加とその背景 (2024年03月18日)
