保険代理店向け顧客管理システムに求められるサイバーセキュリティ対策とは?
2024.09.27
昨今、サイバーセキュリティの重要性が高まっています。
保険代理店においても、システムのセキュリティ対策や、サイバーセキュリティに関する社員教育が求められているかと思います。
顧客管理システム「CSB」についても、導入前のお客様・すでにご利用中のお客様の両方から「セキュリティはどうなっているの?」というご質問をいただくことが増えました。
セキュリティに関しては、重要であることはわかっていても
「専任者がいない、知見がない」
「分からないことだらけで対応できていない」
「コストをかけられない」
というお悩みもあるかと思います。そこで、保険代理店に求められるサイバーセキュリティとは何か?CSBのセキュリティレベルはどのぐらいなのか?について解説いたします。
*更新履歴* 2022/9/16、2024/9/27
サイバーセキュリティ対策の必要性
コロナ禍以降テレワークが急増し、その浸透スピードに企業側のセキュリティ体制が追い付いていないことは、保険代理店に関わらず広く多様な業界・業種において課題となりました。これを受けて総務省では、テレワーク時のセキュリティに関するガイドラインを出しています。総務省:テレワークにおけるセキュリティ確保
総務省の調査によれば大企業になるほどテレワーク導入率が高い傾向にあり、保険代理店での導入率は高くないかもしれませんが、テレワーク制度の有無にかかわらず、社員の端末管理・外出先など社外でのセキュリティ管理体制は重視されています。
生命保険協会による代理店業務品質評価の中にも、サイバーセキュリティに関する項目がいくつか取り上げられています。
【個人情報保護】
(*):保険募集人の人数100名以上 or 保有契約件数5,000件以上の代理店のみ対象
【ガバナンス】
[下記から一部抜粋、編集]
| No. | 区分 | 設問 |
| 109 | 応用 | サイバー攻撃事案の発生に備え、個人情報を管理するシステムへの外部からの不正アクセスを防止する以下のセキュリティ対策を行っている(該当するもの全てに「1.はい」で回答) IPS IDS WAF その他 |
【ガバナンス】
| No. | 区分 | 設問 |
| 172 | 基本 | サイバー事案の防止に向け、自社ネットワークに不正や異常がないか監視・分析・事案発生時に対応する担当部署または担当者を明確にしている(兼務可) |
[下記から一部抜粋、編集]
生命保険協会「業務品質評価基準一覧」
https://www.seiho.or.jp/quality/pdf/kijun.pdf
保険代理店に求められるサイバーセキュリティ
では具体的に、保険代理店に求められるサイバーセキュリティ対策とはどのようなものなのでしょうか?ここでは代表的な3つの対策をご紹介いたします。①入口対策:ファイアウォール、IPS/IDS
ネットワークの入口で対策を取り、サイバー攻撃自体をはじく。
②内部対策:ログ監視
ログ(通信記録)を監視することで、不正アクセスをいち早く察知し、被害を最小限に抑える。
③出口対策:WAF
ネットワーク内に侵入されても情報を持ち出されないよう、攻撃者を出られなくする。
保険会社による監査でもこうした内容を問われたことがある方は少なくないのではないでしょうか?
サイバーセキュリティは多層防御の考え方が基本。「ファイアウォール」「IPS」「WAF」もそれぞれ異なる部分をリスクから守る効果があります。
代理店業務品質評価の項目にも登場していたこれらの仕組みが一体どのようなものなのか?とあわせて、3つの対策の考え方について解説します。
①入口対策:ファイアウォール、IPS/IDS
・ファイアウォール
ファイアウォールは、直訳すると「防火壁」。ネットワーク通信において、その通信を許可するかどうかを判断する、通信のフィルタリング機能のような仕組みです。
ファイアウォールを設けることで不正アクセス等のネットワーク攻撃の防止につながります。
・IPS/IDS
この2つもファイアウォール同様ネットワーク通信を監視する仕組みですが、ファイアウォールでは確認しない通信の中身やパターンまで見て、危険性を判断します。
そのため、OS/Webサーバーの脆弱性を突いた攻撃や、負荷を掛ける攻撃への対策に有効とされています。
IPS:Intrusion Prevention System (不正侵入防止システム)
ネットワーク上の通信を監視して不正アクセスをブロックする
IDS:Intrusion Detection System (不正侵入検知システム)
ネットワーク上の通信を監視して不正アクセスを検知し管理者などに通知する
②内部対策:ログ監視
不正アクセス・ウイルス感染・情報漏えいなど、何らかのサイバーセキュリティ事案が万が一にも起きてしまった際は
・発生したことにいち早く気づく
・被害状況の把握、影響範囲の調査を行う
といった迅速な対策が重要です。リアルタイムのログを監視することにより、万が一、不正アクセスを受けた場合でも被害を最小限に抑えることが可能です。
加えて、サーバの負荷状況などを監視し、異常がある際に通知を受ける機能を持つことで、システム障害の早期発見を可能とします。
③出口対策:WAF
WAF:Web Application Firewall (Webアプリケーションファイアウォール)
その名の通り、Webアプリケーションに特化したファイアウォールです。
オンラインショッピング・ネットバンキングなど、個人情報やクレジットカード情報のデータのやり取りが発生するWebサービスが保護対象となります。
データベースを狙ったWebアプリケーションへの攻撃は多様化しているため、通常のファイアウォールやIPSでは防御できない攻撃への対策として必要性が高まっています。
保険代理店には、こうした3つのセキュリティ対策が取られたシステムを使っているか?が、保険会社の監査や業務品質の評価にあたって問われているのです。
CSBのセキュリティレベル
弊社の顧客管理システム「CSB」では①入口対策:ファイアウォール・IPS/IDS、②内部対策:ログ監視、③出口対策:WAFの全てを備えています!また、3つの対策に加えて、定期的に外部業者による脆弱性診断も実施しています。
脆弱性診断とは?
システムやネットワークの問題点(脆弱性)を調査して、サイバーリスクを洗い出すものです。セキュリティの専門家が攻撃者視点で疑似的に攻撃を行い、脆弱性・耐性を確認します。
弊社では、診断にて指摘された箇所については、改修を進めセキュリティ向上に努めています。
「保険代理店として備えておくべきセキュリティレベルはどれぐらいなのか?」
「サイバーセキュリティに関する専任者がいなくて判断がつかない」
という方や
「CSBのセキュリティ対策はどのようになっているのか?」
という方もぜひお気軽にお問合せください!
<お問い合わせはこちら>
◇CSBについてより詳しく知るならこちら!(無料ダウンロード資料)◇
▼参照サイト
テレワークにおけるセキュリティ確保(総務省)
国民のための情報セキュリティサイト(総務省)
Webセキュリティ対策の3種の神器〜ファイアウォール、IPS、WAF〜(Web Jackman)
お気軽にご相談ください。
エルティヴィーでは保険代理店さまの体制整備から、顧客管理、マーケティングまでトータルで支援しています。
CSBに関するお問合せやご質問などございましたらご相談ください。
03-6234-6392
(受付時間 平日: 9:00〜17:30)