金融庁では、「顧客本位の業務運営等にかかるアンケートのご協力のお願い」と題して代理店アンケート調査を全国の11財務局と連携し、約100代理店に実施しています。
代理店アンケートの趣旨・目的や項目については、以下のようになっていますので、本代理店アンケートにより当局が求めている各項目について、自社の取組・整備状況を確認しておくことが大切です。
【趣旨・目的】
・保険代理店における顧客本位の業務運営の取組み等の把握
・代理店における取組みについての回答
※提出した代理店アンケート内容について、必要に応じてヒアリング等により確認、
ヒアリング等を行う場合は、代理店を選定し意向を確認して、原則、非対面で実施
【代理店アンケートの主な項目】
1.障がい者に配慮した取組みについて
2.公的保険制度を踏まえた保険募集について
3.サイバーセキュリティ対策に関する取組みについて
4.代理店と保険会社の諸課題ついて
5.その他
今回の「3.サイバーセキュリティ対策に関する取組みについて」は、経営者が適切なセキュリティ対策を行わずに顧客に対して損害を与えてしまった場合、社会からリスク対応の是非、さらには経営責任や法的責任が問われる可能性があります。
サイバーセキュリティ対策は、経営問題として考え、代理店のホームページやメールへのサイバー攻撃に対する自社の体制(態勢)整備のリスク管理として、社内規程を定め、具体的に対応のルールやツールを整備し、社内研修により周知徹底することが必要です。
《3.サイバーセキュリティ対策に関する取組みについて》
設問1:金融庁では、金融分野へのサイバー攻撃の脅威に対抗すべく取り組むべき方針を明らかにし、金融機関、金融サービス利用者及び関係機関と問題意識を共有するため「金融分野におけるサイバーセキユリテイ強化に向けた取組方針」を公表していますが、本方針の内容を把握していますか。
1.把握している 2.把握していない
設問2:自社ウェブサイト等への不正アクセスや顧客情報の漏洩等(いわゆるサイバーセキュリティ)への対応に関して、貴社における経営陣を中心とした管理・対応状況を自己評価の上、1.〜 4.で選択してください。また、具体的に取組みが出来ていると考えている点、出来ていないと考える点をそれぞれご説明ください。
1.出来ている
2.概ね出来ているが、一部課題がある
3.課題点が多い
4.対応出来ていない
設問3:貴社におけるサイバーセキュリティに関し、担当部署 (あるいは担当者)を設置していま すか。部署を設置している場合は、その人数を記載してください。
1.設置している 2.設置していない
設問4:顧客のデータを保管するサーバー等の管理について、普段どのような管理をしていますか。規程やルール等の有無、及び、具体的な管理方法をご説明ください。
1.規程等有 2.規 程等無
設問5:貴社におけるウェブ・システム周りについて外部委託を行っている場合、その外部委託 管理の状況について、普段どのような管理をしていますか。規程やルール等の有無、及び、具体的な管理方法をご説明ください。
1.規程等有 2.規程等無
設問6:貴社において、各募集人の用いるPCのセキュリテイ管理について、規程やルール等の有無、及び、具体的な管理方法ご説明ください。
1.規程等有 2.規程等無
設問7:データ管理・セキュリティ対策にかかる定期的な点検を実施していますか。実施してい る場合、その方法をご説明ください。
1.定期点検実施 2.定期点検未実施
設問8:サイパー攻撃のリスクに関し、従業者に対して教育・研修等を行ったことはあります か。実施した場合、その内容および定期実施されているかをご説明ください。
1.実施 2.未実施
設問9:不適当なセキュリティ対策による大規模な情報漏えい事案等、最新の情報が元受保険会社から共有され、教育を受けていますか。実施している場合、具体的内容をご説明ください。
1.実施 2.未実施
設問10:サイバー攻撃を想定した演習・訓練の実施等、対応体制の検証を行ったことはありますか。実施した場合、その内容および定期実施されているかをご説明ください。
1.有 2.無
設問11:設問 10にて演習等を実施されている場合、演習等を通じて自社システムの脆弱性を把握し、対応策を実施していますか。実施された場合その内容、実施していない場合、その理由をご説明ください。
1.有 2.無
設問12:サイバー攻撃を受けた場合や顧客情報の漏洩等が発生した場合の対応について、経営陣への報告・関係機関との連携等を定めたコンティンジェンシープラン(注)などを策定していますか。策定している場合、その内容をご説明ください。
1.有 2.無
(注) コンティンジェンシープランとは、予期せぬ事態に備えて、予め定めておく緊急時対応計画です。これがあることで、組織は、予期せぬ事態によって中断する範囲を最小限にし、迅速かつ効率的に必要な業務の復旧を行うことが可能になります。
設問13:サイバー保険に加入していますか。加入済み又は加入検討中の場合は、加入した、又は加入検討に至った経緯や理由をご説明ください。
1.加入済 2.加入検討中 3.加入予定無し
《サイバー攻撃の理解(主な5つの種類)》
サイバー攻撃から組織を守るためには、手口ごとの内容や特徴を把握しておくことが必要です。主な5つの種類について、概要を記載します。
1. SQLインジェクション
データベースへダイレクトにアプローチを仕掛けるサイバー攻撃の一種です。SQLは、ネットワーク上のデータベースを操作するためのデータベース言語です。SQL言語による命令をホームページへ注入し、本来とは異なる意図しない動作を起こさせます。
2. クロスサイトスクリプティング(XSS)
先述したSQL攻撃は、データベースへアタックすることが特徴でしたが、こちらはホームページへ攻撃を仕掛けます。不正なスクリプトの埋め込みにより、本来とは異なる動作を生じさせるサイバー攻撃です。
偽サイトを使用したフィッシング以外にも、入力フォームから個人情報を収集するケースもあるため注意が必要です。
3. DoS攻撃・DDoS攻撃
DoS攻撃は、サーバへのダイレクトな攻撃で、ダウンさせることを目的に行われます。意図的にサーバへ大きな負担をかけ、処理が困難な状態に追い込むことでダウンさせる手口です。
古くから行われているサイバー攻撃の手口であり、代表的なところでは「F5アタック」と呼ばれるものが挙げられます。ページ更新の役割を担うF5キーを連続で何度も押し続けることにより、サーバへ負担をかけるのです。
似た手口としてDDoS攻撃がありますが、こちらは複数の端末を使用した一斉攻撃です。通常のDoS攻撃よりもサーバへ大きな負荷がかけられることが特徴です。
4. ブルートフォースアタック
古くからある手口のひとつですが、いまだに用いられることの多いサイバー攻撃です。いくつかの手口がありますが、よく知られているのはIDやパスワードを1つずつ試し解析する方法です。
5. ゼロデイ攻撃
数あるサイバー攻撃の中で、もっとも脅威であると認識されているのがゼロデイ攻撃です。ソフトウェアやシステムの脆弱性を狙った攻撃で、防御できる体制が整う前に一斉攻撃を行うことが特徴です。
悪意ある者が先に脆弱性を発見した場合、今がチャンスといわんばかりに一斉攻撃を仕掛けます。ベンダーが脆弱性を認識できていなければ、対策のしようもありません。それゆえに、ゼロデイ攻撃は恐ろしい攻撃です。
《7つのサイバーセキュリティ対策》
どのような企業でもサイバー攻撃の脅威にさらされるリスクがあります。ダメージを受ける前にできる限りのセキュリティ対策を実装ください。
1. 必要のないプログラムは削除
使いもしないプログラムを、いくつも常駐させているケースは少なくありません。「そのうち使うから」「あって困るものではないから」とそのまま放置しているケースもありますが、注意が必要です。
2. システム・プログラムの脆弱性対策・アップデート
システムやプログラムの脆弱性をカバーするには、適宜アップデートが必要です。サイバー攻撃の手口や手法は、どんどん進化しています。アップデートをしないままの状態が続くといつ攻撃を受けるかわかりません。
適宜アップデートすることにより、少しでもリスクを軽減できます。最新のバージョンがリリースされたら、可能な限り速やかにアップデートを実行してください。
3. アカウント管理・アクセス制限
アカウント管理がいい加減では、クラッカーやハッカーの餌食になってしまうおそれがあります。管理者になりすまされてしまい内容の改ざんや顧客情報の流出といった事態になるかもしれません。
このような事態を回避するためには、アカウントの管理は適切に行う必要があります。職場を去った人が過去に使っていたアカウントも退職したあとは必ず削除することです。どこから情報が漏れて不正アクセスにつながるかわかりません。テストアカウントも同様に放置しないことが大切です。
4. パスワードは12桁以上
短いパスワードよりは、長いほうがセキュリティ対策として有効です。とくに最近では12桁以上のパスワードを設定すれば、そう簡単に見破られることはないといわれています。意外とパスワードを軽視している方は少なくありません。
5. SSLサーバ証明書の取得
SSLとはSecure Sockets Layerの略で、インターネット上の通信を暗号化する技術のことを言います。通信を暗号化することで、インターネット上での個人情報等のやりとりも全て暗号化されるため、第三者が情報を閲覧するのを防ぐことができます。
ネットショッピング等で我々が安心して住所や連絡先などの情報を入力できるのも、このSSL通信の恩恵のひとつです。また、SSLによる通信の暗号化は、情報漏洩の防止になります。
6. システム・アプリケーションログの取得・保管
不正アクセスの痕跡を確認できれば、その情報からさまざまな分析が可能です。今後の具体的な対策も打ち出せるため、システムやアプリケーションのログは適宜取得しておくことが大切です。気が向いたときだけログを取得するようでは不十分です。定期的にチェックし、不正なアクセスの痕跡がないか確認できるようにしておくことが重要です。
7. Google reCAPTCHAの設置
Google reCAPTCHAの設置は、お問い合わせフォームやメールフォーム等に有効なセキュリティ対策方法です。
Google reCAPTCHAとは、Google社が提供するセキュリティ対策のツールのことで、お問い合わせフォーム等に設置すると入力項目に以下のような表示が追加されます。
□私はロボットではありません
Google reCAPTCHAを設置することで、スパムメールを抑制することができます。ただし、全てのスパムメールを防ぐことができるわけではないので注意が必要です。
※(ご参考)情報セキュリティハンドブック(内閣サイバーセキュリティセンター(NISC)) 全体版(25.3MB)
