サイバー攻撃が増え続ける中、サイバー保険に加入する企業が増えている。どうやら、サイバー保険会社が「積極的に契約してほしい企業」と「あまり契約してほしくはない企業」があるという。その違いとは。
サイバー攻撃は日常茶飯事になりつつある。あらゆる組織やインターネット上のアカウントを持つ人が、フィッシングメールやDDoS攻撃、アカウント乗っ取りなど、何らかの形で標的にされている。
物理的な盗難や潜在的な損失、損害から企業を保護するために保険に加入するのと同じように、企業はサイバー攻撃による金銭的余波への対策が必要だ。
しかし、企業がサイバー保険に加入するには一定の基準を満たさなければならない。「保険会社は、企業が組織的かつ積極的にサイバーセキュリティのリスク管理に取り組んでいることを知る必要がある」と、サイバー保険会社Resilienceのリスクエンジニアリングおよびセキュリティサービス担当バイスプレジデントのトラヴィス・ウォン氏は述べる。
保険会社は顧客に特定のテクノロジーやプロセスについては尋ねない傾向があるが、効果的なリスク管理の取り組みを追求するため、既存のテクノロジーや社内標準がどのようになっているかを知りたいと考えている。
データ漏えいなどのサイバーインシデントは保険料が高額だ。2016〜2020年の間に発生したインシデントを分析したNetDiligenceの「Cyber Claims Study 2021 Report」によると、中小企業(SMB)のサイバーインシデントに対する保険の平均コストは14万5000ドルだ。大企業の場合は1000万ドルに跳ね上がる。
ランサムウェアを軽減するコストはさらに高く、SMBでは25万6000ドル、大企業では1660万ドルにもなるという。
NetDiligenceレポートの「データセキュリティとプライバシーに関する法律事務所Beckageの調査」によると、約6000件の請求を分析した2022年度の調査で「近年サイバー脅威が増加していること」「産業分野や企業規模に関係なく攻撃が増加していること」が明らかになった。
支払費用の上昇と同時に、保険料の大幅な値上げもされている。Risk Strategiesの「State of the Market 2022 Report」によると、2021年第4四半期のサイバー保険料は平均で89%上昇した。この傾向は2022年に入っても続くと予想され、保険会社がリスク管理をより重視する理由となっている。
ウクライナ戦争やランサムウェアのまん延が保険金請求の急増につながると懸念される中で、保険業界への圧力も強まっている。国家レベルの脅威アクターやランサムウェア犯罪グループは、米国や欧州の重要なインフラストラクチャプロバイダーや金融機関などを標的とした脅威活動を活発化させている。
中小企業向けのサイバー保険を提供するCowbell Cyberの創業者兼CEOであるジャック・クデイル氏は「ほとんどの保険の要件は、オンラインで事業をする全ての企業が満たしている基本的なサイバーセキュリティ対策に該当する」と述べている。その対策には最低限以下のものが含まれる。
2022年以降もランサムウェアが最大の脅威となることが予想されるため、顧客は安全なバックアップシステムを有していると証明することが最重要課題になる。
「サイバー保険会社が最も懸念しているのは、ランサムウェア、特に『Doxing』が一般化していることだ。これは攻撃に最適な二重で脅迫をする手法だ」とデジタルフォレンジック・インシデント対応プロバイダーであるBreachQuestの最高収益責任者であるショーン・メリト氏は述べる。
ランサムウェアの攻撃により業務に支障を来す可能性がある中、企業は次のようなことが必要になる可能性がある。
ランサムウェア攻撃に関するコストは無限に発生するが、企業や保険会社がランサムウェアに気を取られると、コストのかかりかねない別の問題を見落としがちになる。
「フィッシングやインターネットで起こる認証情報の窃取は、サイバー犯罪者が攻撃を仕掛ける際の主要なアプローチであることに変わりはない」とクデイル氏は述べている。そのため、サイバー保険会社は、企業でサイバーセキュリティのベストプラクティスが実施されているかどうかに注目することになる。
サイバー保険会社の要望はサイバーセキュリティ業界のベストプラクティスと密接に結び付く。「サイバー事象を理解してセキュリティプログラムを自主的に浸透させた企業は、保険の理想的なパートナーだ」とウォン氏は述べる。
これらの企業は、強力なサイバーセキュリティプログラムの重要性を意思決定者や取締役会に納得させるために、サイバー保険の要件を説得材料として利用することもある。
全てのサイバーセキュリティシステムや保険オプションと同様に、サイバー保険の万能な要件は存在しない。「通信事業者と話したり、いくつかのアプローチを観察したりすると、組織の規模や成熟度、通信事業者がカバーする組織の種類によっても要件が変わる」とメリト氏は述べる。脅威アクターがピンポイントで攻撃できるようになったため、ランダムな組織が感染することがまれになったためだという。
メリト氏は「攻撃者は攻撃対象者を知っているだけでなく、被害者のシステムなどの偵察を通して、その組織からどれだけの金額をゆすり取れるかを正確に把握している」と話す。
資産を正確に特定できるということは、脅威者は大きな報酬が得られる場所を知っているということでもあるため、最も価値のある資産を持つ企業を狙うことになる。企業規模によって決まることもあるが、業種によって決まることもある。このような企業は、サイバー保険会社にセキュリティシステムをより徹底的に審査され、より厳しい要求を突きつけられる。
企業が既に優れたセキュリティシステムを導入しており、要求に応えるために必要な措置を講じる意思がある場合、サイバー保険会社はパートナーシップの構築を望む。「しかし、サイバーセキュリティリスクの軽減に取り組んでいない企業はまだ多く、その結果、こうした組織にとって有利な、保険リスク移転のソリューションを得ることが難しくなっている」とウォン氏は述べている。このような企業にとって、サイバー保険へ加入することは、セキュリティ計画をするよりもはるかに手間とコストがかかることになるという。
出典:What cyber insurance companies want from clientsCybersecurity Dive)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。