サイバー保険について、組織が知っておくべきこと
サイバー保険は、サイバー脅威の急速な出現と変化によって、ますます複雑になっています。 Image: TheDigitalWay/Pixabay
- サイバー犯罪による損失は、2022年の8兆4,400億ドルから、2023年には約11兆ドルに増加すると予想されています。
- 保険会社は、サイバー攻撃の連鎖的影響を測定するリスクと複雑さを定量化するという課題に直面しています。
- サイバー保険が複雑さを増し、サイバー脅威が急速に変化している状況において、セキュリティ担当リーダーたちは、中核的な4つの領域に焦点を絞ることで、リスク評価を最小限に抑え、簡素化することができます。
現在、サイバーセキュリティ分野で働く専門家は、全世界で470万人にのぼり、サイバー犯罪のコストをグローバルレベルで抑えようとしています。サイバー犯罪による損失は今後5年間に急増する見通しで、2022年の8兆4,400億ドルから、2023年には約11兆ドルに増加し、2027年には約24兆ドルに達する可能性があると予測されています。
保険会社は、サイバーセキュリティに関する助言を行い、被保険者は保険会社が保険上のニーズを理解してくれることを期待します。そのため、保険会社のサイバーセキュリティに関する技術的知識と、被保険者組織のデジタル構成に関して保険会社が有する知識のギャップを埋め、被保険者組織で導入済みのものとセキュリティ向上のため追加的に必要なものを把握することが重要になります。
インシデンスレスポンス(IR)とは、組織が情報漏洩やサイバー攻撃に対処するためのプロセスです。保険会社の多くは、コストを最小限に抑える目的で技術・サービス事業者と提携するため、顧客側はどのインシデンスレスポンス企業と手を組み、どの技術事業者の技術を導入するのかを選択する力を失っています。
また、こうした推奨技術の実施方法は常時モニタリングされていないことが多いため、重要資産に対するセキュリティが継続的ではない可能性があります。多くの保険会社の保険金請求処理チームは、多数のデジタルフォレンジック企業を利用していますが、これらの企業が必ずしも事例の全証拠をイメージできているわけではありません。大量のデジタルフォレンジック体制から生じるギャップがどのような影響をもたらすかは、変化のスピードが速いこの分野ではまだ明らかになっていません。
サイバー犯罪は、2023年においても急増し続けており、サイバー保険のコストもそれに合わせて増加しています。サイバーセキュリティとITの専門家3,000人を対象とした最近の調査によると、昨年サイバー保険に加入した組織のうち、この傾向がサイバー保険適用範囲に直接的に影響したと報告した組織は95%にのぼりました。
- 「保険に加入する力に影響した」との回答が60%
- 「保険にかかるコストに影響した」との回答が62%
- 「契約条件に影響した」との回答が28%
サイバー保険はリスク損失管理戦略の重要な要素ですが、止まないサイバー攻撃と保険料の上昇により、費用対効果を分析することが一層難しくなっています。保険料の上昇や、より適切なシステムバックアップの実行を組織が習得するのに伴い、サイバー保険よりもシステム復旧手順への投資を増やすことを選ぶ組織もあります。
サイバー犯罪による損失は、今後5年間で急増すると予想されています。
保険会社は、保険料率の引き上げに加え、リスク・エクスポージャーを最小限に抑えるため、保険契約に除外条項を設けています。過去2年間、多くのサイバー保険会社が、地政学的紛争やその紛争の対応に関連した国家レベルの活動がもたらす影響も含め、壊滅的なサイバーリスクの可能性に重点的に取り組んできました。例えば、ロイズ・オブ・ロンドンは、戦争に関する新たな除外文言を設けています。また、マーシュは、保険会社に対し、戦争や壊滅的なサイバーリスクへのアプローチについて顧客に代わって質問を続けています。
保険会社は、サイバー攻撃の連鎖的影響を測定するリスクと複雑さを定量化するという課題に直面しています。この途方もない課題は、サイバー攻撃の脅威が急速に変化しているため一層複雑になっています。被保険者の内部環境を分析するための継続的なモニタリングと再評価が行われなければ、リスクの定量化は静的とみなされ、予測において依拠することは困難です。
インシデンスレスポンスの複数の事例は、サイバーセキュリティ対策の予算が8桁の額にのぼるフォーチュン1000企業が、ツールの導入不足や重要資産のインベントリの欠如が原因で不正アクセスの危険にさらされていることを示しています。また、社内や第三者機関によるアクセスの適切な管理は、依然としてあらゆる組織の課題となっており、これを質問票や管理チェックリストで明らかにすることはできません。
サイバーリスク管理は、さまざまな方法で促進されています。予測的集約モデルの進歩や、サイバー衛生の向上、投資の優先順位付けの方法、企業と公的機関の情報共有の拡大、サイバーレジリエントな社会を支援する政府の対策や規制の強化などです。
これらの進歩によって内部リスク管理が改善されるものの、その鍵を握っているのは詳細かつ信頼性の高い継続的なデータです。保険会社、被保険者がそれぞれ入手できる情報の質と量には往々にしてギャップがあります。その結果、被保険者が契約前に記入しなければならない質問書は一層長く、複雑になっており、多くは被保険者の最終的なサイバー保険適用範囲を理解する妨げになっています。
中核的な4つの領域に焦点を絞ることで、組織はリスク評価を最小限に抑え、簡素化することができます。これらの領域は、4つの核心的な質問に要約することが可能で、侵入工作が行われた際にはインシデンスレスポンス・チームから尋ねられることになる内容です。
どのようなファイアウォールを使用しているか
- いかなるサイバー防衛構造であっても、必ずファイアウォールを導入することが必要になります。ファイアウォールは城を守る吊上げ橋と要塞の扉に相当します。
- 同様に重要なのが、ファイアウォールのログです。少なくとも60日、可能であれば6カ月分のログが必要です。このファイアウォールのログは、防犯カメラの映像のように、サイバーインシデントの可能性がある場合に重要な証拠となります。
環境のバックアップはどのように行っているか
- 質の高いバックアップに資金を投じることは、サイバー保険の保険料の支払いと同様に重要です。
- バックアップは、ネットワーク経由で受ける可能性のあるあらゆる侵入や感染を防ぐことができる構成にします。
- バックアップの長さは、業界で必要とされるタイムラインと予算の点で適切な水準であることが必要です。
全ユーザーに対して多要素認証(MFA)を導入しているか
- 企業のシステムにアクセスするための多要素認証要件がオプションであってはなりません。システムへの不正アクセスが発生しないように、重大な過失なく多要素認証が実行されるようにする必要があります。
- 多要素認証はゼロ除外ポリシーのもとで、企業のあらゆる部門とあらゆるレベルの従業員に適用する必要があります。
システムへのアクセス権を定期的に確認しているか
- パスワード変更システムだけでは不十分です。少なくとも四半期ごとに、誰がどのシステムとソフトウェアにアクセスできるかを確認する必要があります。
- 適切なリスク軽減を図るために、最低レベルのアクセスポリシーが必須です。最小権限の原則(POLP)モデルは、適切にリスクを軽減するために欠かせません。最小権限の原則とは、業務上必要な場合に限りユーザーのアクセス権を与えるという考え方です。
- 環境内で無許可のユーザーを直ちに特定できるよう、新規アカウントが作成された際に警告するツールに費用をかけることが必要です。
サイバー保険が複雑化し、サイバー脅威の出現と変化のスピードが増しています。それでもこれらの質問に対応することは、セキュリティ担当リーダーたちにとって、さらにサイバー保険事業者にとって、保険会社と被保険者の間の知識のギャップを埋める有用な方法になります。
このトピックに関する最新情報をお見逃しなく
無料アカウントを作成し、パーソナライズされたコンテンツコレクション(最新の出版物や分析が掲載)にアクセスしてください。
ライセンスと転載
世界経済フォーラムの記事は、Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International Public Licenseに基づき、利用規約に従って転載することができます。
この記事は著者の意見を反映したものであり、世界経済フォーラムの主張によるものではありません。
最新の情報をお届けします:
サイバーセキュリティ
アジェンダ ウィークリー
グローバル・アジェンダとなる、重要な課題のウィークリー・アップデート