社内ネットワークで異常な活動を発見……その時、取るべき行動とは

社内ネットワークで異常な活動が見つかった場合どうすればよいだろうか。サイバー攻撃の可能性を否定できない場合、初動で取るべき行動は。

[Naomi Eide，Cybersecurity Dive]

　ロンドンに本拠を置く保険組合ロイズオブロンドン（ロイズ）は2022年8月、原因がよく分からない異常なネットワーク活動を確認した。会員である保険会社に対して保険取引の場と事務処理サービスを提供しているため、このままでは影響が大きい。

　ロイズはまずどのような対応を取ったのだろうか。

初動でロイズはこう動いた

　ロイズは異常なネットワーク活動を確認した直後、2022年8月24日に社内のネットワークとシステムをリセットした。ただし、その時点では何が起こったのかを明らかにしていない。

　「ネットワークとシステムをリセットしたのは予防措置だ。ロイズが権限を委譲されているプラットフォームを含め、全ての外部接続を停止した」と広報担当者は述べた。

　ロイズは保険市場参加者とその他の関係者にこの措置を通知済みだ。「調査が終了次第、より詳細な情報を提供する」という。ロイズはその後、「（サイバー攻撃による）侵害の証拠が見つからなかったと発表した（注1）。今回、空振りを恐れず、プロアクティブにネットワークを遮断した形だ。

サイバー攻撃に対する補償を縮小

　インシデント対応とは別の動きもある。サイバー保険の枠組みを変えようとする動きだ。

　ロイズは主要な保険市場と再保険市場を運営しており、200以上の事業種目を有している。保険業界向け格付け機関AM Bestによって、再保険会社として7位（2021年）にランクされている。

　保険市場に大きな影響力を持っているロイズは、国家に支援されたサイバー攻撃に対して、補償を段階的に廃止する（免責する）という決定を2022年8月に発表（注2）しており、この決定は波紋を呼んだ。今回のサイバー攻撃とこの決定はうまく整合するのだろうか。

　免責することが決まった場合でも、ロイズは引き続きサイバー保険市場を支援する。だが、マネージングエージェントに対して義務ではないものの、国家に支援された複雑な攻撃に保険対応する際、まずデューデリジェンス（価値やリスクの調査）を適用するというガイダンスを示した。マネージングエージェントとは、保険会社から引き受け権限を付与され、保険会社のためにプログラムを管理して、契約を交渉できる特殊な保険代理店やブローカーだ。

　ドイツに本拠を置く再保険会社Munich Re Groupも、「戦争」を除外するためにサイバー保険の見直しを進めている。

　保険業界がガイダンスを変更する理由は何だろうか。サイバー保険契約の請求件数が、「保険市場の効果的な運営能力を根底から覆す恐れがある」という本質的なアンバランス（注2）が存在するからだ。

出典：Lloyd’s cuts external connections after identifying ‘unusual’ network activity（Cybersecurity Dive）

注1：Lloyd’s, after proactively taking systems offline, finds no evidence of compromise（Cybersecurity Dive）

注2：Changing cyber insurance guidance from Lloyd’s reflects a market in turmoil（Cybersecurity Dive）