<Forbes JAPAN定期購読会員の皆様へ> 決済システム変更にかかる決済情報再登録のお願い

世界38カ国、800万人が愛読する経済誌の日本版

AIG損害保険には、グローバルに通用する強みがある。ファイナンシャルサービスセンターマネージャー、内田聡の場合、それは「サイバーリスクの豊富な専門的知見」だ。米国・英国・オーストラリア等に在籍するスペシャリストたちと連携して多くのサイバーリスクに関わる事故の対応をしてきた内田に、「サイバーリスク専門チーム」について聞いてみた。


AIGグループの米国サイバー専門チームと連携して対応


ある製造業のお客さまから、アメリカで操業する工場がサイバー攻撃を受けたとの報告があり、内田が担当することとなった。

幸いそこまで深刻な被害は出なかったが、お客さまの日本本社は混乱に陥った。サイバーセキュリティに対する体制が定まっておらず動けなかったのだ。アメリカでは各州でサイバー関連の規制や法律が異なっており、サイバー攻撃を受けた場合に現地当局に何を、どのように報告するのかなど複雑なルールが存在しているため、お客さまはそれらルールに従わなくてはならないが、それは簡単に対処できるものではなかった。

その時、米国のAIGオフィスと速やかに連携するとともにサイバーインシデントに強い現地の弁護士や調査会社などを手配し、現地当局への報告や再発防止策などさまざまな面でアドバイスをしたのが内田だった。

「お客さまがサイバー攻撃を受けた場合、保険金の支払いで経済的なサポートをするのはもちろんですが、私たちにできることはそれだけではありません。まず、各国で社外にサイバーリスクの専門家とネットワークを有しているので、それらのサポートをお客さまにご提供することができます。そこに加えて、AIGグループ全体でもサイバーリスクの豊富な知見が蓄積されており専門のチームも常設されているので、迅速に適切なアドバイスをすることができます」

このケースでいえば、内田はAIGグループ内の米国サイバー専門チームと協力して対応にあたった。企業がサイバー攻撃で甚大な被害を受けることが多いアメリカの保険業界では、かなり以前からこの分野に力を入れており、当時、内田もこの専門チームのメンバーと頻繁に連絡を取り合い、意見を交換したという。

「AIGには、弁護士や元エンジニア、他業界を経験している者など保険をバックボーンにしていないスタッフも珍しくなく、多様な視点からアドバイスをもらうことができました。しかも、それぞれがサイバーリスクに関して非常に深い見識をもっています。AIGグループにはこのような多様で専門性の高いスタッフが海外にも多数在籍している。私の知る限り、ここまでサイバーリスクを専門的に扱っている保険会社は他にないと思います」

サイバーリスクへの高い専門性をもつAIGならではという手厚い対応は、多くの顧客から満足の声があがっているが、その中でも内田の中で特に印象に残っているのが、ある中小企業のお客さまだったという。

「中小企業の場合にはサイバーリスク専従の担当者を置いていない会社も珍しくありません。当然、専門家などとのコネクションもないことがほとんどです。ですから、サイバー攻撃を受けてから、慌ててコンサルタント会社や調査会社を探すことになります。しかし、ようやく探したコンサルタント会社や調査会社が適切なスキルをもっている会社なのかどうかを判断することができません。そんな中でなんとなく信頼できそうな会社だろうと依頼することを決めて見積もりを依頼しても、今度はそれが高いのか安いのかもわからないと聞きます。そんな時、私たちが専門的な知見を携えてしっかりとサポートするのです。顧客対応や記者会見などが必要な場合は、危機管理コンサルタントの手配やコールセンターの設置など幅広くお手伝いをさせていただきます」



「サイバーリスクといえばAIG」という信頼


内田は2010年、旧AIU保険会社に入社した。その後多くの経営保険の事故対応を経験していくなかで「サイバーリスク」が年を追うごとに高まっていくのを目の当たりにした。

「私が入社した当時からAIGには個人情報漏洩保険というものがあり、当時は主に書類の紛失やメールの誤送信などに伴う個人情報漏えいに対応する保険という位置付けで、問い合わせも月に数件という程度でした。しかし、この10年で徐々に外部からのサイバー攻撃を受けて情報が抜き取られるなどの被害が増えていきました。今では、サイバーリスクの報告や相談がくることはほぼ毎日になっています」

それだけ日本企業がサイバー攻撃の標的になるケースが増えているということなのだが、ここまで連日のように多くの相談が寄せられるのは、AIGに対する「信頼」も無関係ではない。

「海外に赴任されていたお客さまから『赴任当時、サイバー保険といえばAIGの名前をよく聞きました。それだけ実績があるんですね』などと嬉しい言葉をかけていただくことも少なくありません。また、お客さまの情報システム部門の方などからは、AIGの海外ネットワークを期待して、海外でのサポート体制や最新のサイバー攻撃事例などを詳しく教えて欲しい、というような問い合わせもあります」

そんな「サイバーリスクといえばAIG」というイメージをさらに強めているのが、内田たちが力を入れている「サイバーリスクが事故に発展しないように未然に防ぐ取り組み」である。

「AIGの知見をいかして、お客さまには国内外で発生しうるサイバーリスクに関する情報を正しくお伝えするようにしています。サイバー対策に不安があるお客さまには、過去の類似事案や海外の先進事例などを用いて、今後の対策について具体的なイメージをお持ち頂けるよう努めています。さらに、お客さまと接する機会の多い代理店や営業社員を対象にした研修会やディスカッションも積極的に開催し、サイバーリスク特有の用語や事故発生から解決に至るまでのフローを説明するなど、できる限りサイバーリスクを分かりやすく伝え、身近に感じていただけるよう努めています。そうすることによって代理店などがお客さまにサイバーリスクについて注意喚起することを可能としています。」

AIGグループは、まさかの時だけでなく、まさかが起こらないように、世界中の知見と最先端テクノロジーを駆使してお客さまをリスクから守っていく、ACTIVE CAREという事業戦略を推進しているが、それはサイバーリスクも例外ではない。

現在、内田たちに寄せられる相談で多いのは「Emotet」(エモテット)だ。これは悪意のある攻撃者によって送られるメールを介したマルウェアで、受信者がメールに添付されたファイルをクリックすることで感染する。狡猾に取引先や社内からの業務メールを装って送られてくるので、受信者が気づかずにクリックしてしまうことで社内ネットワークにも感染する。これにより重要な情報が盗み取られるなどの被害が近年増えている。

さらに、ECサイトの運営者側が気付かないうちに攻撃者がECサイトにハッキングをして、「バックドア」と呼ばれる不正にアクセスできる勝手口をつくられてしまい、大切な情報を抜き取られるなどの被害も増えているという。

国家間の「サイバー戦争」も激化しているといわれる中で、日本企業がサイバー攻撃の標的にされる危険度も増してきている、と内田は言う。

「これまで日本ではサイバー攻撃で甚大な被害が出るということが目立たなかったこともあって、企業側も保険会社側もそれほどこの分野に力を入れてこなかった部分もあります。しかし、AIGは将来サイバー攻撃が増加すると予想し、かなり前からサイバーリスク専門チームを立ち上げて、知見を蓄積してきました。専門家のネットワークも各国で持っています。きっとお役に立てると思います」

「新しい脅威」といち早く向き合って、その対応を続けてきたことで蓄積された「サイバーリスクの豊富な知見」もAIGの強みのひとつなのだ。




内田聡(うちだ・そう)◎AIG損害保険株式会社 ファイナンシャルサービスセンターマネージャー。2010年8月旧AIU損害保険株式会社に入社。サイバーリスク関連事故の第一人者。常に新たなリスクが発見されていく世界において、豊富且つ多彩な事案対応経験に基づくスムーズなアドバイスや対応により、顧客やブローカーから高い評価と信頼を得ている。

AIG損保のグローバルリスクマネジメント
https://www.aig.co.jp/sonpo/global

Promoted by AIG損害保険株式会社 / text by Masaki Kubota

あなたにおすすめ