Analyze Risk

サイバー保険:必要な理由と確認すべきこと

Share with your network!

データ侵害によるコストは、驚きの速さで増えています。昨年、2023年のデータ侵害の世界平均被害額は445万ドル(約6.8億円)でした。ここ3年で15%上昇しています。一方で、日本におけるコストは452万ドル(約7億円)と世界平均と比べて高くなっています。

プルーフポイントのお客様であれば、こうしたリスクについては十分認識していらっしゃるでしょう。そして、会社環境内の人とデータを保護することにより、リスクを低減するための重要な一歩をすでに踏み出しているといえます。

しかし、あらゆる脅威を阻止できるものは存在しません。そこで、サイバー保険が、もしもの場合の備えになります。適切な保険があれば、企業は、サイバーセキュリティイベントの短期/長期の影響に耐え、ランサムウェア攻撃やデータ侵害などによる賠償責任や財務面への影響をいくらか軽減することができます。

ほとんどの一般的な企業向け保険では、サイバーセキュリティ脅威を除外しています。そのため、明確なサイバーセキュリティ保険がなければ、侵害やサイバーイベントが発生した場合、補償を受けることができません。

しかし、サイバー保険とは何でしょうか?また、どのような仕組みでしょうか?

保険で確認すべきこと、考慮すべき主な違い、自社が必要とする保険範囲を見極める方法など、購入に踏み切る前に、サイバー保険について詳しく知っておきましょう。

 

サイバー保険の重要性

もしもの場合にサイバー保険がなければどうなるかを考えてみましょう。侵害またはサイバー攻撃による費用は、身代金の支払いや収益の損失から法務費用、監査費用、サプライチェーンの混乱のなどにいたるまで、広範囲に及ぶ可能性があります。潜在的な問題の深さを表す最近の例をいくつかご紹介しましょう。

2023年9月、世界で31のホテルやカジノを運営する企業、MGM Resorts Internationalは、ランサムウェア攻撃の被害にあいました。レポートによれば、その後数日間、客はデジタルホテルキー、クレジットカード、スロットマシンの支払いバウチャーを使用することができませんでした。そして、問題は顧客への影響にとどまりませんでした。MGMはまた、ムーディーズの格付けが下がる可能性があるなど、潜在的な長期財務影響に直面しました。これは、2019年にEquifaxに実際に起こったことです

また、2023年10月にCloroxで起こったサイバー攻撃による被害を見てみましょう。インシデント発生後、同社の自動システムの多くが停止しました。Cloroxは、6週間近く手動のプロセスに頼らざるをえませんでした。そのため注文処理には遅れが生じ、サプライチェーンに多大な影響を及ぼし、いくつもの製品不足にみまわれました。こうした非常に多くの混乱により、同社の株は20%下落しました。実際、上場企業にとってはサイバーセキュリティ侵害の余波で株価が下落することは珍しいことではありません。このような状況での株価の下落は平均7.5%です。復旧には平均46日かかります。しかし、まったく復旧できないこともあります。

サイバー保険は、サイバーセキュリティイベントに起因するあらゆる財務影響や賠償責任から企業を完全に保護してくれるわけではありません。しかし、このような災難を乗り切るための助けとなります。一般的な保証内容は以下のとおりです。

  • データ侵害により発生した財務コスト
  • 事業中断による収益の損失
  • ビジネスメール詐欺(BEC)やフィッシング攻撃の攻撃者への支払いによる損失
  • ランサムウェアや恐喝に対する支払い (※日本のサイバー保険ではカバーされません)

プルーフポイントの「2024 State of the Phish」レポートにおいて実施した調査によると、企業はサイバー保険の利用に積極的なようです。2023年にランサムウェアインシデントにみまわれた企業のうち、96%がサイバー保険に加入していました。そして、ほとんどの保険会社(91%)が身代金の支払いを支援しました。

しかし、サイバー保険は特効薬ではありません。身代金を支払ったとしても、企業がデータを取り戻せる保証はありません。

Figure 1

企業が身代金を支払ったあとに起きた事柄(出典:2024 Proofpoint State of the Phishレポート)

 

サイバー犯罪者が収益化するアクション

サイバー攻撃のほとんどは金銭目的です。プルーフポイントの調査によると、サイバー攻撃で最も一般的に起こることは以下のとおりです。

  • データ侵害(29%)
  • ランサムウェア感染(32%)
  • アカウント侵害(27%)

Figure 2

フィッシング攻撃による最も一般的な結果(出典:2024 Proofpoint State of the Phishレポート)

サイバー犯罪者はこれらすべてのアクションを収益化できます。2024 State of the Phishレポートでのプルーフポイントの調査によると、攻撃を受けた組織の22%は、偽の請求書、送金、または給与振込先変更といった直接的な金銭的被害を受けています。

 

リスクと料金

リスクは最重要事項です。サイバー保険料は、加入者のサイバーリスクプロファイルに直接連動します。リスクが高くなるほど、料金は高くなります。(また、極端なケースでは、リスクが高すぎて加入できない組織もあります。)保険料がリスクに連動していることは、加入しようとする側にとっては、セキュリティ体制を整えることへのインセンティブとなります。
 

リスクプロファイルを評価する

リスクプロファイルは、主に会社の事業の種類と、その会社の既存のサイバーセキュリティ慣行に基づきます。そのため、保険について保険会社に尋ねる前に、事業のこれらの面を詳しく確認する必要があります。保険会社は、あなたの会社が加入要件を満たしているかどうかを判定します。 リスクプロファイルを事前に自己評価しておくことは、有利な料金で適切な保険を選ぶことにつながります。また、保険を更新する際にも役立ちます。

以下の問いに答えることにより、あなたの会社のサイバーリスクプロファイルを評価してみてください。
 

あなたの会社にとって最大のリスクは何でしょうか?

会社がサイバーセキュリティイベントにみまわれた場合には何を失うことになるのかを考えてください。例えば、攻撃者が銀行や医療機関などを標的にした場合、顧客や患者の名前、生年月日、社会保障番号、財務記録などを盗みます。これに対し、エネルギー企業や製造企業を標的にした場合、実際の施設やネットワークを狙います。

ここでは違いが重要であることに注意してください。個人情報を保持している場合、サイバー攻撃のリスクが高くなります。ただし、保持しているのが顧客の名前とメールアドレスのみであれば、保険リスクカテゴリは低くなります。なぜでしょうか?データ侵害が起こっても、大きな金銭的被害にはならないと思われるためです。(幸いにも保険料も低くなるでしょう。)
 

会社のサイバーセキュリティの有効性は?

サイバーセキュリティのための戦略やインフラを自ら整えていないような会社は、サイバー保険に加入することはできません。そのような会社は確実に、少なくとも1度は、データ侵害の被害にあいます。サイバー保険会社は、保険の範囲と料金を決定するために、会社のサイバー防御体制を知る必要があります。ですから、事前に会社のインフラを監査し、セキュリティのポリシーやシステムを文書化しておいて、保険会社からの問い合わせに備えましょう。

外部監査、ペネトレーションテストの結果、コンプライアンス認定などのエビデンスを提供できるようにしておいてください。 その他に、マルチファクタ認証(MFA)と特権アクセス管理(PAM)などのアクセス制御を導入している場合、これらも明記してください。保険料が下がる可能性があります。

 

会社にとって必要な保険範囲を知る

保険商品は保険会社によって少しずつ異なります。まずは、サイバー保険の基本的な3つのタイプを知っておいてください。

  1. ファーストパーティ型保険 会社がサイバー侵害により直接受ける損失を補償するものです。
  2. サードパーティ型保険 データや金銭が盗まれた、または何らかの形で傷害を被ったサードパーティによって申し立てられた損害費用を補償するものです。
  3. テクノロジーE&O E&Oは、「Errors and Omissions」の略で、このタイプの保険は、テクノロジー系ビジネスを運営している場合に有効です。これは基本的に職業上の賠償責任保険であり、会社の技術によって顧客が何らかの損失を被った場合、その過失について会社が顧客により訴訟された場合に会社を保護するものです。

 

サイバー保険で確認すべき主な事項

どの保険でも、会社が必要とする範囲の保険を選ぶ必要があります。どの保険会社もそれぞれ独自のパッケージを用意しています。しかし、ファーストパーティ型保険は、一般的に以下のような費用の多くをカバーしているか、追加の特約として提供しています。細則の中に重要事項が書かれていますので、必ず読んでください。

確認しておくべき主な事項は以下のとおりです。

  • 事業の中断 非常に意味の広いカテゴリーです。これには売上の逸失、時には人件費など、さまざまな費用が含まれます。この保険の適用条件をよく確認してください。業務を完全に停止しなければ適用されないのか?あるいは、適用を受けるには、風評被害を受けたというだけで十分なのか?といったことです。
  • データ侵害の対応と報告 侵害を受けたら、会社は多くの時間と費用を費やして、影響を受ける人々に通知します。信用監視サービスの提供が必要となる場合もあります。また、状況確認のためにフォレンジック分析を行う必要があります。
  • デジタルアセットの復元 紛失または盗まれたデータを復元または再作成するために、チームに支払う必要があります。
  • サイバー恐喝やランサムウェアに対する支払い 最近の調査によると、補償限度額60万ドルを超えるランサムウェア保険に加入している企業は19%に過ぎません。ランサムウェア攻撃の平均コストが2023年は150万ドルであったことを考えてみてください。そのため、リスクの高い業界であるほど、加入が推奨されます。
  • ブランド価値の毀損の回復 サイバーインシデントによってブランドイメージが損なわれた場合、メディアリレーション チームへの依頼が必要となるかもしれません。
  • 課徴金 業界または地域によっては、サイバーインシデントの結果として罰金の対象となる可能性があります。

 

要件

リスクを許容範囲内に抑えるために、どのサイバー保険会社も、保険の加入要件を満たしていることの証明を要求します。つまり、保険への加入が認められるには、基本的なITサイバーセキュリティの基準を満たす必要があります。ただ、サイバー保険会社はこうした条件についてますます厳しくなっていることに注意してください。 そのため、独立した監査の実施や、ISO 27001などの認定を求められたりすることも十分にありえます。

 

サイバー保険のベストプラクティス

ここからは、サイバー保険の重要なベストプラクティスをいくつか見ていきましょう。これらの対策は、保険の購入プロセスを進め、保険会社と良好な関係を築く上で役立ちます。

エキスパートを見つけ、サポートやガイダンスを依頼する

専門仲介業者は、複雑なサイバー保険の世界において、あなたの味方となります。リスク選好度、請求の許容率、専門知識は保険会社によってさまざまです。仲介業者はこうした状況に精通しており、保険内容を入念に評価することができます。選んだ保険が業界、会社規模、リスクプロファイルなどに対し適切であるか確認してくれます。

保険の適用範囲を入念にチェックする

契約に署名する前に、保険内容をすべて読み、加入条件をすべて満たしており、会社に適切な範囲であるか確認してください。具体的な適用範囲は、個々の契約で異なります。多くのサイバー保険は、ランサムウェア攻撃による損失や危機対応にかかる費用の一部を補償するというものです。

保険による補償額は、意外と少ないものです。プルーフポイントの2024 State of the Phishレポートによると、ほとんどの保険会社(91%)は、身代金の支払いを補償しているものの、全額を補償した保険会社はごく少数です。

どの侵害シナリオにおいて保険が適用されるのか、またはされないのかを、よく理解しておいてください。例外事項には注意が必要です。侵害調査レポート、法律顧問、広報サポート、顧客アイデンティティ保護などのサービスもよく確認しておいてください。

保険会社と良好な関係を築く

保険会社との間に協力関係と信頼を築く努力をしましょう。実際に請求するものがない時でも、つながりを持つことが重要です。保険会社には、顧客がさまざまな侵害から復旧することをサポートしてきた豊富な経験があり、その知見は非常に貴重なものです。保険会社に以下のことを依頼してみてください。

  • 適時の脅威インテリジェンスの共有
  • シミュレーションエクササイズへの参加
  • インシデント対応戦略への専門的なアドバイスの提供

対応計画の試行について、インシデント対応チームと保険会社のフォレンジックエキスパートによる話し合いの場を設けてみましょう。フォレンジックエキスパートは、見解を示したり、最適な対応を提案してくれたりすることでしょう。

侵害が起これば直ちに保険会社に連絡する

侵害が疑われれば直ちに保険会社に連絡する必要があります。インシデントが発生してから、24~48時間内に保険会社に連絡するのが業界のベストプラクティスです。これにより、侵害を軽減できる可能性を大幅に向上させ、復元コストを削減することができます。

早期に保険会社に連絡すれば、解決するために利用できる手段も増えます。企業が可能な限り迅速かつ完全に復旧できるようサポートすることは、保険会社にとっても利益があります。

 

まとめ

どのようなサイバーイベントも多大なコストがかかる可能性があります。また、サイバー保険は特効薬に見えますが、実際はそうでもありません。多くのコストを補償できるかもしれませんが、この先事業成長の鈍化により逃してしまう利益を補償することはできません。つまり、攻撃は、事業の展望に長く損害を与える可能性をもっています。

サイバー保険は強力なセキュリティ体制に取って代わるものではありません。むしろ、全体的なサイバーセキュリティ計画の一部として組み込まれる、1つのリスク低減レイヤーに過ぎません。補完的な追加要素であり、戦略自体にはなりません。サイバーセキュリティイベントが発生しても、会社がそれを乗り切れるよう、包括的かつ強力なサイバーセキュリティ戦略を策定する必要があります。

サイバー保険は、「人」を中心とした大きなセキュリティ戦略の一部である、1つの保護レイヤーとして利用することができます。まずはサイバーセキュリティを向上させましょう。Proofpoint Aegis脅威プロテクションプラットフォームは、BEC、フィッシング、ランサムウェア、サプライチェーンの脅威など、今日の高度な攻撃を無効化する、AI/MLを活用した唯一の脅威プロテクションプラットフォームです。詳細については、こちらをご覧ください。