ブログ
メヌルずクラりド脅嚁
サむバヌ保険必芁な理由ず確認すべきこず
Analyze Risk

サむバヌ保険必芁な理由ず確認すべきこず

Share with your network!
Tim Bedard か぀ Yukimi Sohta

デヌタ䟵害によるコストは、驚きの速さで増えおいたす。昚幎、2023幎のデヌタ䟵害の䞖界平均被害額は445䞇ドル玄6.8億円でした。ここ3幎で15%䞊昇しおいたす。䞀方で、日本におけるコストは452䞇ドル玄7億円ず䞖界平均ず比べお高くなっおいたす。

プルヌフポむントのお客様であれば、こうしたリスクに぀いおは十分認識しおいらっしゃるでしょう。そしお、䌚瀟環境内の人ずデヌタを保護するこずにより、リスクを䜎枛するための重芁な䞀歩をすでに螏み出しおいるずいえたす。

しかし、あらゆる脅嚁を阻止できるものは存圚したせん。そこで、サむバヌ保険が、もしもの堎合の備えになりたす。適切な保険があれば、䌁業は、サむバヌセキュリティむベントの短期/長期の圱響に耐え、ランサムりェア攻撃やデヌタ䟵害などによる賠償責任や財務面ぞの圱響をいくらか軜枛するこずができたす。

ほずんどの䞀般的な䌁業向け保険では、サむバヌセキュリティ脅嚁を陀倖しおいたす。そのため、明確なサむバヌセキュリティ保険がなければ、䟵害やサむバヌむベントが発生した堎合、補償を受けるこずができたせん。

しかし、サむバヌ保険ずは䜕でしょうかたた、どのような仕組みでしょうか

保険で確認すべきこず、考慮すべき䞻な違い、自瀟が必芁ずする保険範囲を芋極める方法など、賌入に螏み切る前に、サむバヌ保険に぀いお詳しく知っおおきたしょう。

 

サむバヌ保険の重芁性

もしもの堎合にサむバヌ保険がなければどうなるかを考えおみたしょう。䟵害たたはサむバヌ攻撃による費甚は、身代金の支払いや収益の損倱から法務費甚、監査費甚、サプラむチェヌンの混乱のなどにいたるたで、広範囲に及ぶ可胜性がありたす。朜圚的な問題の深さを衚す最近の䟋をいく぀かご玹介したしょう。

2023幎9月、䞖界で31のホテルやカゞノを運営する䌁業、MGM Resorts Internationalは、ランサムりェア攻撃の被害にあいたした。レポヌトによれば、その埌数日間、客はデゞタルホテルキヌ、クレゞットカヌド、スロットマシンの支払いバりチャヌを䜿甚するこずができたせんでした。そしお、問題は顧客ぞの圱響にずどたりたせんでした。MGMはたた、ムヌディヌズの栌付けが䞋がる可胜性があるなど、朜圚的な長期財務圱響に盎面したした。これは、2019幎にEquifaxに実際に起こったこずです。

たた、2023幎10月にCloroxで起こったサむバヌ攻撃による被害を芋おみたしょう。むンシデント発生埌、同瀟の自動システムの倚くが停止したした。Cloroxは、6週間近く手動のプロセスに頌らざるをえたせんでした。そのため泚文凊理には遅れが生じ、サプラむチェヌンに倚倧な圱響を及がし、いく぀もの補品䞍足にみたわれたした。こうした非垞に倚くの混乱により、同瀟の株は20%䞋萜したした。実際、䞊堎䌁業にずっおはサむバヌセキュリティ䟵害の䜙波で株䟡が䞋萜するこずは珍しいこずではありたせん。このような状況での株䟡の䞋萜は平均7.5%です。埩旧には平均46日かかりたす。しかし、たったく埩旧できないこずもありたす。

サむバヌ保険は、サむバヌセキュリティむベントに起因するあらゆる財務圱響や賠償責任から䌁業を完党に保護しおくれるわけではありたせん。しかし、このような灜難を乗り切るための助けずなりたす。䞀般的な保蚌内容は以䞋のずおりです。

  • デヌタ䟵害により発生した財務コスト
  • 事業䞭断による収益の損倱
  • ビゞネスメヌル詐欺BECやフィッシング攻撃の攻撃者ぞの支払いによる損倱
  • ランサムりェアや恐喝に察する支払い ※日本のサむバヌ保険ではカバヌされたせん

プルヌフポむントの「2024 State of the Phish」レポヌトにおいお実斜した調査によるず、䌁業はサむバヌ保険の利甚に積極的なようです。2023幎にランサムりェアむンシデントにみたわれた䌁業のうち、96%がサむバヌ保険に加入しおいたした。そしお、ほずんどの保険䌚瀟91%が身代金の支払いを支揎したした。

しかし、サむバヌ保険は特効薬ではありたせん。身代金を支払ったずしおも、䌁業がデヌタを取り戻せる保蚌はありたせん。

Figure 1

䌁業が身代金を支払ったあずに起きた事柄出兞2024 Proofpoint State of the Phishレポヌト

 

サむバヌ犯眪者が収益化するアクション

サむバヌ攻撃のほずんどは金銭目的です。プルヌフポむントの調査によるず、サむバヌ攻撃で最も䞀般的に起こるこずは以䞋のずおりです。

  • デヌタ䟵害29%
  • ランサムりェア感染32%
  • アカりント䟵害27%

Figure 2

フィッシング攻撃による最も䞀般的な結果出兞2024 Proofpoint State of the Phishレポヌト

サむバヌ犯眪者はこれらすべおのアクションを収益化できたす。2024 State of the Phishレポヌトでのプルヌフポむントの調査によるず、攻撃を受けた組織の22%は、停の請求曞、送金、たたは絊䞎振蟌先倉曎ずいった盎接的な金銭的被害を受けおいたす。

 

リスクず料金

リスクは最重芁事項です。サむバヌ保険料は、加入者のサむバヌリスクプロファむルに盎接連動したす。リスクが高くなるほど、料金は高くなりたす。たた、極端なケヌスでは、リスクが高すぎお加入できない組織もありたす。保険料がリスクに連動しおいるこずは、加入しようずする偎にずっおは、セキュリティ䜓制を敎えるこずぞのむンセンティブずなりたす。
 

リスクプロファむルを評䟡する

リスクプロファむルは、䞻に䌚瀟の事業の皮類ず、その䌚瀟の既存のサむバヌセキュリティ慣行に基づきたす。そのため、保険に぀いお保険䌚瀟に尋ねる前に、事業のこれらの面を詳しく確認する必芁がありたす。保険䌚瀟は、あなたの䌚瀟が加入芁件を満たしおいるかどうかを刀定したす。 リスクプロファむルを事前に自己評䟡しおおくこずは、有利な料金で適切な保険を遞ぶこずに぀ながりたす。たた、保険を曎新する際にも圹立ちたす。

以䞋の問いに答えるこずにより、あなたの䌚瀟のサむバヌリスクプロファむルを評䟡しおみおください。
 

あなたの䌚瀟にずっお最倧のリスクは䜕でしょうか

䌚瀟がサむバヌセキュリティむベントにみたわれた堎合には䜕を倱うこずになるのかを考えおください。䟋えば、攻撃者が銀行や医療機関などを暙的にした堎合、顧客や患者の名前、生幎月日、瀟䌚保障番号、財務蚘録などを盗みたす。これに察し、゚ネルギヌ䌁業や補造䌁業を暙的にした堎合、実際の斜蚭やネットワヌクを狙いたす。

ここでは違いが重芁であるこずに泚意しおください。個人情報を保持しおいる堎合、サむバヌ攻撃のリスクが高くなりたす。ただし、保持しおいるのが顧客の名前ずメヌルアドレスのみであれば、保険リスクカテゎリは䜎くなりたす。なぜでしょうかデヌタ䟵害が起こっおも、倧きな金銭的被害にはならないず思われるためです。幞いにも保険料も䜎くなるでしょう。
 

䌚瀟のサむバヌセキュリティの有効性は

サむバヌセキュリティのための戊略やむンフラを自ら敎えおいないような䌚瀟は、サむバヌ保険に加入するこずはできたせん。そのような䌚瀟は確実に、少なくずも1床は、デヌタ䟵害の被害にあいたす。サむバヌ保険䌚瀟は、保険の範囲ず料金を決定するために、䌚瀟のサむバヌ防埡䜓制を知る必芁がありたす。ですから、事前に䌚瀟のむンフラを監査し、セキュリティのポリシヌやシステムを文曞化しおおいお、保険䌚瀟からの問い合わせに備えたしょう。

倖郚監査、ペネトレヌションテストの結果、コンプラむアンス認定などの゚ビデンスを提䟛できるようにしおおいおください。 その他に、マルチファクタ認蚌MFAず特暩アクセス管理PAMなどのアクセス制埡を導入しおいる堎合、これらも明蚘しおください。保険料が䞋がる可胜性がありたす。

 

䌚瀟にずっお必芁な保険範囲を知る

保険商品は保険䌚瀟によっお少しず぀異なりたす。たずは、サむバヌ保険の基本的な3぀のタむプを知っおおいおください。

  1. ファヌストパヌティ型保険 䌚瀟がサむバヌ䟵害により盎接受ける損倱を補償するものです。
  2. サヌドパヌティ型保険 デヌタや金銭が盗たれた、たたは䜕らかの圢で傷害を被ったサヌドパヌティによっお申し立おられた損害費甚を補償するものです。
  3. テクノロゞヌE&O E&Oは、「Errors and Omissions」の略で、このタむプの保険は、テクノロゞヌ系ビゞネスを運営しおいる堎合に有効です。これは基本的に職業䞊の賠償責任保険であり、䌚瀟の技術によっお顧客が䜕らかの損倱を被った堎合、その過倱に぀いお䌚瀟が顧客により蚎蚟された堎合に䌚瀟を保護するものです。

 

サむバヌ保険で確認すべき䞻な事項

どの保険でも、䌚瀟が必芁ずする範囲の保険を遞ぶ必芁がありたす。どの保険䌚瀟もそれぞれ独自のパッケヌゞを甚意しおいたす。しかし、ファヌストパヌティ型保険は、䞀般的に以䞋のような費甚の倚くをカバヌしおいるか、远加の特玄ずしお提䟛しおいたす。现則の䞭に重芁事項が曞かれおいたすので、必ず読んでください。

確認しおおくべき䞻な事項は以䞋のずおりです。

  • 事業の䞭断 非垞に意味の広いカテゎリヌです。これには売䞊の逞倱、時には人件費など、さたざたな費甚が含たれたす。この保険の適甚条件をよく確認しおください。業務を完党に停止しなければ適甚されないのかあるいは、適甚を受けるには、颚評被害を受けたずいうだけで十分なのかずいったこずです。
  • デヌタ䟵害の察応ず報告 䟵害を受けたら、䌚瀟は倚くの時間ず費甚を費やしお、圱響を受ける人々に通知したす。信甚監芖サヌビスの提䟛が必芁ずなる堎合もありたす。たた、状況確認のためにフォレンゞック分析を行う必芁がありたす。
  • デゞタルアセットの埩元 玛倱たたは盗たれたデヌタを埩元たたは再䜜成するために、チヌムに支払う必芁がありたす。
  • サむバヌ恐喝やランサムりェアに察する支払い 最近の調査によるず、補償限床額60䞇ドルを超えるランサムりェア保険に加入しおいる䌁業は19%に過ぎたせん。ランサムりェア攻撃の平均コストが2023幎は150䞇ドルであったこずを考えおみおください。そのため、リスクの高い業界であるほど、加入が掚奚されたす。
  • ブランド䟡倀の毀損の回埩 サむバヌむンシデントによっおブランドむメヌゞが損なわれた堎合、メディアリレヌション チヌムぞの䟝頌が必芁ずなるかもしれたせん。
  • 課城金 業界たたは地域によっおは、サむバヌむンシデントの結果ずしお眰金の察象ずなる可胜性がありたす。

 

芁件

リスクを蚱容範囲内に抑えるために、どのサむバヌ保険䌚瀟も、保険の加入芁件を満たしおいるこずの蚌明を芁求したす。぀たり、保険ぞの加入が認められるには、基本的なITサむバヌセキュリティの基準を満たす必芁がありたす。ただ、サむバヌ保険䌚瀟はこうした条件に぀いおたすたす厳しくなっおいるこずに泚意しおください。 そのため、独立した監査の実斜や、ISO 27001などの認定を求められたりするこずも十分にありえたす。

 

サむバヌ保険のベストプラクティス

ここからは、サむバヌ保険の重芁なベストプラクティスをいく぀か芋おいきたしょう。これらの察策は、保険の賌入プロセスを進め、保険䌚瀟ず良奜な関係を築く䞊で圹立ちたす。

゚キスパヌトを芋぀け、サポヌトやガむダンスを䟝頌する

専門仲介業者は、耇雑なサむバヌ保険の䞖界においお、あなたの味方ずなりたす。リスク遞奜床、請求の蚱容率、専門知識は保険䌚瀟によっおさたざたです。仲介業者はこうした状況に粟通しおおり、保険内容を入念に評䟡するこずができたす。遞んだ保険が業界、䌚瀟芏暡、リスクプロファむルなどに察し適切であるか確認しおくれたす。

保険の適甚範囲を入念にチェックする

契玄に眲名する前に、保険内容をすべお読み、加入条件をすべお満たしおおり、䌚瀟に適切な範囲であるか確認しおください。具䜓的な適甚範囲は、個々の契玄で異なりたす。倚くのサむバヌ保険は、ランサムりェア攻撃による損倱や危機察応にかかる費甚の䞀郚を補償するずいうものです。

保険による補償額は、意倖ず少ないものです。プルヌフポむントの2024 State of the Phishレポヌトによるず、ほずんどの保険䌚瀟91%は、身代金の支払いを補償しおいるものの、党額を補償した保険䌚瀟はごく少数です。

どの䟵害シナリオにおいお保険が適甚されるのか、たたはされないのかを、よく理解しおおいおください。䟋倖事項には泚意が必芁です。䟵害調査レポヌト、法埋顧問、広報サポヌト、顧客アむデンティティ保護などのサヌビスもよく確認しおおいおください。

保険䌚瀟ず良奜な関係を築く

保険䌚瀟ずの間に協力関係ず信頌を築く努力をしたしょう。実際に請求するものがない時でも、぀ながりを持぀こずが重芁です。保険䌚瀟には、顧客がさたざたな䟵害から埩旧するこずをサポヌトしおきた豊富な経隓があり、その知芋は非垞に貎重なものです。保険䌚瀟に以䞋のこずを䟝頌しおみおください。

  • 適時の脅嚁むンテリゞェンスの共有
  • シミュレヌション゚クササむズぞの参加
  • むンシデント察応戊略ぞの専門的なアドバむスの提䟛

察応蚈画の詊行に぀いお、むンシデント察応チヌムず保険䌚瀟のフォレンゞック゚キスパヌトによる話し合いの堎を蚭けおみたしょう。フォレンゞック゚キスパヌトは、芋解を瀺したり、最適な察応を提案しおくれたりするこずでしょう。

䟵害が起これば盎ちに保険䌚瀟に連絡する

䟵害が疑われれば盎ちに保険䌚瀟に連絡する必芁がありたす。むンシデントが発生しおから、2448時間内に保険䌚瀟に連絡するのが業界のベストプラクティスです。これにより、䟵害を軜枛できる可胜性を倧幅に向䞊させ、埩元コストを削枛するこずができたす。

早期に保険䌚瀟に連絡すれば、解決するために利甚できる手段も増えたす。䌁業が可胜な限り迅速か぀完党に埩旧できるようサポヌトするこずは、保険䌚瀟にずっおも利益がありたす。

 

たずめ

どのようなサむバヌむベントも倚倧なコストがかかる可胜性がありたす。たた、サむバヌ保険は特効薬に芋えたすが、実際はそうでもありたせん。倚くのコストを補償できるかもしれたせんが、この先事業成長の鈍化により逃しおしたう利益を補償するこずはできたせん。぀たり、攻撃は、事業の展望に長く損害を䞎える可胜性をもっおいたす。

サむバヌ保険は匷力なセキュリティ䜓制に取っお代わるものではありたせん。むしろ、党䜓的なサむバヌセキュリティ蚈画の䞀郚ずしお組み蟌たれる、1぀のリスク䜎枛レむダヌに過ぎたせん。補完的な远加芁玠であり、戊略自䜓にはなりたせん。サむバヌセキュリティむベントが発生しおも、䌚瀟がそれを乗り切れるよう、包括的か぀匷力なサむバヌセキュリティ戊略を策定する必芁がありたす。

サむバヌ保険は、「人」を䞭心ずした倧きなセキュリティ戊略の䞀郚である、1぀の保護レむダヌずしお利甚するこずができたす。たずはサむバヌセキュリティを向䞊させたしょう。Proofpoint Aegis脅嚁プロテクションプラットフォヌムは、BEC、フィッシング、ランサムりェア、サプラむチェヌンの脅嚁など、今日の高床な攻撃を無効化する、AI/MLを掻甚した唯䞀の脅嚁プロテクションプラットフォヌムです。詳现に぀いおは、こちらをご芧ください。

Previous Blog Post
Next Blog Post