4 aon japanese - fsm 10月20日東京サイバーリスクの概要 prepared by aon risk solutions...

2016年10月20日

東京

サイバーリスクの概要

Prepared by Aon Risk Solutions

Proprietary & Confidential

FSM CIC

キャプティブ

保険セミナー

Risk. Reinsurance. Human Resources2

目次

� サイバーリスクとキャプティブに関する洞察

� アジア地域におけるサイバーリスク

– 有形資産 vs 無形資産

– 最近の傾向

� サイバーリスクのリスク転嫁

� 役員へのエクスポージャー

– 注目された訴訟事例

– 役員個人および会社の防御（予防、事後対応、保険によるリスク転嫁）


2016 Aon Captive Cyber Benchmarking Survey

出典︓ 2016 Aon Captive Cyber Benchmarking Survey by Industry

Cyber—The Fast Moving Target: Benchmarking views and attitudes by industry: http://www.aon.com/risk-services/cyber.jsp

項目　　　　　　　　業種

⼤量の個⼈情報を保有

（医療、⼩売、⾦融）

製造業

（⾷品・飲料、化学、医薬）

インフラ輸送

建設・工事、重工業、

林業

最も懸念している

損害の種類

事故発生後の対応

事業中断による利益喪失

事業中断による利益喪失事業中断による利益喪失事業中断による利益喪失事業中断による利益喪失

最も懸念していない

損害の種類

身体障害／財物損壊身体障害／財物損壊データ・システムの復旧知的財産の喪失身体障害／財物損壊

リスク評価を実施し

限度額を決定

51% 75% 59% 70% 56%

保険付保の動機

役員のデューディリジェンス

(80%)

バランスシートの防御

(58%)


(71%)


(64%)

役員のデューディリジェンス

(56%)

サイバー保険を

付保済み

70% 17% 29% 33% 33%

てん補限度額（百万） USD 10-25 USD 10-25 >USD 100 USD 10-25 USD 10-25

サイバー保険の保険料

が予算に含まれている

74% 31% 41% 9% 33%


バランスシートを防御するためのサイバー保険の活用

出典︓ 2016 Aon Captive Cyber Benchmarking Survey by Industry

Cyber—The Fast Moving Target: Benchmarking views and attitudes by industry:

http://www.aon.com/risk-services/cyber.jsp

「情報漏えい事故の対応にかかる各種費⽤の総額平均が380万USドルというデータを⾒ると、更には

1億USドルを超える限度額のサイバー保険が発動するような⼤規模な損害が発⽣していることから

も、この巨大なエクスポージャーへの対応策としてサイバー保険を購入する或いは購入を検討する主な

理由として『バランスシートの防御』を挙げた回答者が多かったことは驚くべきことではない。

巨大な損害に対するバランスシートの防御

役員／経営陣のデューディリジェンス

当局による調査の厳格化

その他

発⽣確率の低いリスクの転嫁策として

顧客からの契約上の要求


サイバーリスクの影響

当事者第三者

財務損害

有形

財物

損害

サイバー損害スペクトル

大きなサイバー事故が及ぼす影響� 広報、危機対応、事業継続にかかる各種費用� 直後及び⻑期に及ぶ利益喪失

� 復旧費⽤

� 防御費用

第三者から補償を求められるもの• 制裁⾦及び裁定⾦

• 間接損害（事業中断による利益喪失）

• 復旧費用

物理的な損害

� 当事者の財物損壊� 当事者の身体障害

他者が負う物理的な損害

� 第三者の財物損壊� 第三者の身体障害


Business Snapshot

Business Segment Brief Description

Contract Drilling

Company offers contract drilling to customers in Canada, USA, Venezuela, Argentina, Kurdistan, Libya, Oman, Gabon, Australia & New Zealand. The company offers rigs and drilling solutions to clients which are major oil & gas producers. Service offerings include: coring drilling services in support of oil sands development, well servicing and slant drilling solutions to oil sands producers’ steam-assisted gravity drainage applications etc. Click here to know more about Ensign’s ‘Contract Drilling operations’.

Directional Drilling

Drilling service offerings include: conventional directional & horizontal drilling , remote drilling, short-radius drilling, multi-well pad drilling and automated drilling rigs. Company uses state-of the –art electromagnetic and MWD technology with gamma modules while carrying out drilling operations. Click here to know more about Ensign’s directional drilling operations.

Underbalanced Drilling

Ensign offers comprehensive range of underbalanced drilling packages which include: self-contained systems with nitrogen generation, compression equipment and surface control systems. The company makes use of the technology: ‘Envision’ which through a state-of-the-art programmable logic control program controls the drilling operations. Click hereto learn more about, Ensign’s ‘Underbalanced drilling operations

Rental Equipment (Equipment Rentals)

Ensign offers rental services of equipment like: pumps, rig mats, light plants, flare tanks, Centrifuge bins, mud motors, drill collars, heavyweight drill pipe, mud cleaning equipment, gas busters etc. The rental of equipment is predominantly based out of Canada & USA. Please click here to know more about Ensign’s rental equipment segment.

Well Servicing

Service offerings include: Well completions and re-completions, Abandonment of redundant wells, Production workovers, Bottom hole pump changes, Servicing of downhole pumps / replacement of downhole components or tubulars, Sidetracking and deepening of wells, Fishing and swabbing operations, Drilling of shallow water, oil, gas or coal bed methane wells and Completion fluid filtration and conditioning. Click here to know more about Ensign’s ‘Well Servicing’ operations.

Production Services

Ensign, through ‘Production Services’ segment offers wireline services, production testing, technical and reporting, training and certifications to customers. Opsco Energy Industries Ltd, a wholly owned subsidiary of Ensign, offers slickline and braided line completion and production testing services, pressure pumping and wireline (slickline and braided line) services to customers in Western Canada Sedimentary Basin, USA & other international locations. Kindly click here to know more about Ensign’s ‘Production Services’.

アジア地域に

おける

サイバーリスク

Risk. Reinsurance. Human Resources

2015 Global Cyber Financial Impact Report

$848$815

$0

$100

$200

$300

$400

$500

$600

$700

$800

$900

Total value of PP&E Total value ofinformation assets

Extrapolated value ($millions)

出典︓ Aon/Ponemon 2015 Global Cyber Impact Study

7

有形固

定資

産の総

価額

情報資

産の

総価額

推定額（百万USドル）

$617

$648

$0 $200 $400 $600 $800

The value of the largest loss(PML) that could result from the

theft and/or destruction ofinformation assets

The value of the largest loss(PML) that could result from

damage or the total destructionof PP&E

Extrapolated value ($millions)

有形資産 vs 無形資産の価値

推定額（百万USドル）

有形固定資産の完全

な損壊に起因して生じ

得る予想最大損害額

（PML）

情報資産の盗取及び

／又は破壊に起因し

て生じ得る予想最大

損害額（PML）

有形資産と無形資産それぞれに対する損害の推定

Risk. Reinsurance. Human Resources

2015 Global Cyber Financial Impact Report

51%

12%

0%

10%

20%

30%

40%

50%

60%

The percentage ofpotential loss to PP&E

assets covered byinsurance

The percentage ofpotential loss to

information assetscovered by insurance

出典︓ Aon/Ponemon 2015 Global Cyber Impact Study

9

有形固定資産に発生し得る損害の

うち保険でカバーされている割合

情報資産に発生し得る損害のうち

保険でカバーされている割合

有形資産と無形資産それぞれの保険付保

9%

38%

16%

58%

0%

10%

20%

30%

40%

50%

60%

70%

Would not disclose a

material uninsured

loss of tangible assets

Would not disclose a

material uninsured

loss of intangible

assets

Fully aware of the

consequences of a

data breach

Assess cyber risk

exposure based on

intuition, informal

internal assessment,

or not at all

アジア・パシフィック地域の企業のサイバーリスクに対する認識度

情

報

漏

え

い

が

及

ぼ

す

影

響

に

つ

い

て

十

分

に

認

識

し

て

い

る

サ

イ

バ

ー

リ

ス

ク

の

エ

ク

ス

ポ

ー

ジ

ャ

ー

は

直

感

ま

た

は

非

公

式

な

社

内

調

査

に

基

づ

き

評

価

を

行

っ

て

い

る

（

或

い

は

評

価

は

行

っ

て

い

な

い

）

重

大

な

保

険

未

付

保

の

有

形

資

産

の

損

害

に

つ

い

て

は

開

示

し

な

い

重

大

な

保

険

未

付

保

の

無

形

資

産

の

損

害

に

つ

い

て

は

開

示

し

な

い


アジア地域におけるサイバーリスク

出典︓ Mandiant M-Trends Asia Pacific

3.7GB

80%

520日アジア・パシフィック地域において漏えい

から発⾒までにかかる期間の中央値

（全世界平均の約3倍）

アジア・パシフィック地域の企業が他の地域との比較で攻撃のターゲットとされる確率

アジア・パシフィック地域における攻撃で盗取されるデータ量の平均

V-Tech

タイ政府

ベトナム

航空

日本航空

フィリピン選挙管理

委員会

バングラデシュ中央銀⾏


2015年（及び2016年前半）のサイバー攻撃の傾向は、概ね前年から変化なし

攻撃の殆どは外部の者による犯⾏、多くが⾦銭目的。手法としてはフィッシングとスピア・フィッシングが主流

2015年、企業の従業員を標的としたスピア・フィッシング攻撃が55％増加

ソーシャル・エンジニアリングの頻度が増え、認知度も⾼まった

ランサム・ウェアによる攻撃も35％増加

DD4BC（=Distributed Denial of Service for Bitcoin ビットコインに対するDoS攻撃)が拡大。当初は小規模な攻撃で要求⾦額も低いが、要求に応じなければ攻撃を強化するとの脅迫を受ける。

出典︓ Symantec’s Internet Security Threat Report 2016

最近の傾向 – サイバー攻撃のトレンド


Business Snapshot


Contract Drilling








Well Servicing


Production Services


サイバーリスクの

リスク転嫁


サイバーリスクの転嫁 – 攻撃により発生する各種費用

危機対応費用

利益喪失臨時費⽤賠償⾦過料・

罰⾦

フォレンジックス

費用

通知・モニタリング

費用

広告（PR）費用

法的アドバイスを得るための費用

事業中断

構外利益無形資産の損害

サイバー脅迫に

対する支払い情報漏えい過料・罰⾦

防御費用

防御費用

追加でかかる

人件費

セキュリティ事故

メディア賠償


Aon Cyber Enterprise SolutionTM︓ 概要

広い担保内容

全業種対象

クラウドを含むベンダー

サプライチェーンリスク

IoT賠償

財物の物理的損傷

喪失利益

Aon Cyber Enterprise SolutionTMは、米国、ロンドン、バミューダに所在するAonのサイバー専門チーム、財物チーム、PL（製造物賠償責任）チームが緊密に協⼒、構築した注目すべきご提案です。

�最大US4億ドルまでのキャパシティを確保

�先⾏⾏為を担保可能

�他の種目に対してプライマリーカバーとなることを意図

�保険による補てんが認められる国においてはGDPRによる罰⾦を補償

�グローバル保険市場によるサポート

�適用地域は全世界

�高額な自家保有(免責)額を設定


Business Snapshot


Contract Drilling








Well Servicing


Production Services


役員への

エクスポージャー


取締役に対する責任追及

2016年5月 –ミネソタ州最高裁判所は、2013年に起こった⼤規模な情報漏えい事故についてTarget社の株主が起こしていた訴えを棄却した。

漏えい事故を防ぐための十分な防衛策を講じていなかったとして、取締役の重過失と善管注意義務違反を申し⽴てる複数の訴訟が提起され、統合されていたもの。

SLC（＝Special Litigation Committee 株主代表訴訟が提起された場合に、請求内容について会社の最善の利益に合致するかどうかを審査する組織）による21か⽉に及ぶ調査の結果、棄却という結論に⾄った。

Home Depot

Heartland

2009年 – 数百万名分以上の個⼈情報が漏えいした事故について、同社が攻撃の事実を隠ぺいし、サイバーセキュリティに関する虚偽の情報を開示したとして株主が役員を訴えた。

役員がセキュリティシステムの不備を認識していたとの申⽴内容が⼗分に説明できていないとして、裁判所は訴えを棄却した。

2014年10月 – 2008年及び2009年に発⽣した⼀連の情報漏えい事故を発端として提起されていた取締役に対する代表訴訟が棄却された。

原告は、機密情報の防御に関して十分な対策を講じていなかったとして訴えを起こしていたが、裁判所は取締役に「不誠実な⾏為」は⾒られなかったと判断した。

WyndhamTarget

2015年9月 – 12人の取締役に対して、顧客の個人情報及び⾦融情報が漏えいした事故について、善管注

意義務違反を申し⽴てる株主代表訴訟が提起され

た。

訴状ではTarget社及びNeiman Marcus社の漏えい事故が例として挙げあられ、既に他の⼩売店がサイバー攻撃を受けている事実からも、攻撃は予期できたと主張している。


役員会レベルで実施するリスク軽減

役員会／

経営陣

リスク管理

部門

IT部門

保険会社、

保険代理店

／ブローカー

取引業者、

顧客

定期的にIT部門（情報セキュリティ担当）との議論を持ち、実際に発⽣し

た事故や「ニアミス（ヒヤリ・ハット）事例」について把

握する。

取引業者及び顧客との契約内容を理解、把握する。

具体的にどのような責任を負っているのか︖

保険付保の責任は誰にあるのか︖

サイバーリスクに関する保険代理店・ブローカー及び

保険会社との議論を継続

的に実施、十分な交渉を⾏い適切な保険カバーを

入手する。

情報保護に関する危機対応及び事業継続の方針と計画が策定され、適宜更新されていることを確

認する。

IT部門とリスク管理部門の間のコミュニケーションを確保する。

情報セキュリティに関わる事故が発生した際に専門的アドバイスを求める社外専門家を確認し、当局に対する報告義務について理解する。

17Risk. Reinsurance. Human Resources

Aon Risk Solutions | 2 Shenton Way | #26-01 SGX Centre 1 | Singapore 068804Aon Singapore (Broking Centre) Pte Ltd | Co. Reg No. 199708153K

© Aon plc 2016. All rights reserved.

No part of this report may be reproduced, stored in a retrieval system, or transmitted in any way or by any means, including photocopying or recording, without the written permission of the copyright holder, application for which should be addressed to the copyright holder.

4 aon japanese - fsm 10月20日 東京 サイバーリスクの概要 prepared by aon risk solutions...

Documents

4 aon japanese - fsm 10月20日東京サイバーリスクの概要 prepared by aon risk solutions...