企業や組織にとってのサイバー攻撃とは、もはや「受けるかどうか」の問題ではありません。「いつ受けるか」なのです。では、いざ攻撃の標的になった時に、一体誰がそのリスクを引き受けるのでしょうか。
防御が万端で、被害に遭っても立ち直れる体制が整っていると考えている組織もあるでしょう。しかし、サイバー セキュリティ保険に加入していれば、サイバー攻撃を検知した瞬間にリスクを保険会社に移転し、喪失利益の補償からインシデント対応まですべてを保険会社に一任することができます。
2016 年の段階で Cisco Talos は、サイバー セキュリティ保険を「新しく未成熟」な分野としていましたが、今は当時と比べて市場が大きく変化しており、この種の保険を取り入れようという動きは普及しつつあります。それでもなお、サイバー保険の採用が遅々として進まない企業もあります。2018 年 10 月に発表された J.D. Power & Associates と Insurance Information Institute の調査によると、サイバー保険による備えを何ら用意していないと答えた企業の割合は、59% に上ります。
しかし、ボルティモア市で起きた行政ネットワークの大規模障害をはじめ、2016 年に Equifax 社で起きたデータ漏洩事故での示談金が数百万ドルに上ることや、Captial One customers’ information が何百万件も盗み取られるという昨今の傾向は、こうしたセキュリティ事故を想定した備えを怠らないことの重要性を物語っています。
Equifax 社は今もなおその大規模なデータ漏洩事故からの立て直しを図っている状態であり、その費用は数億ドルに上ります。同社が契約していた保険では、サイバー攻撃によって生じた費用のうち 1 億 2500 万ドルが補償されましたが、関連費用が総額にして 14 億ドルに膨らんだことを考えれば、より手厚い補償を受けられる契約にすべきであったことは Equifax 社も認めています。
サイバー保険は皆さんの会社や組織にとって適切な選択と言えるでしょうか。今回 2 名のサイバー保険の専門家にお話を伺い、サイバー セキュリティにまつわる質問をぶつけました。お二方の見解をぜひ皆さんの意思決定にお役立てください。
お馴染みの保険(医療保険、自動車保険など)とサイバー保険にはどのような類似点があるか
結論から言うと、あまり類似点はありません。Nationwide 社のサイバー保険部門でバイス プレジデントを務める Catherine Rudo 氏は、サイバー保険は従来の保険を販売するのとはまったくの別物だと話します。Rudo 氏は Talos にセキュリティ保険全般について話すことを了承してくれました。同氏が今回述べた意見は、Nationwide 社が提供する従来の保険とは無関係であることにご注意ください
「サイバー保険と損害保険を比較しても、直接比較できるものはないと思います。サイバー保険の位置付けは独特のものです。賠償責任保険に近くもあります。誰にとっても必要ですが、必要な補償内容は千差万別です」。
サイバー保険は自動車保険(車の具体的なブランド、車種、年式、必要な補償額を設定し、それを基に保険会社が見積を作成)のような追加型の契約モデルとは事情が異なり、
ケースバイケースで保険ごとに評価し条項を追加する必要があると Rudo 氏は言います。知的財産、恐喝被害を受けた場合の支払い、賠償責任補償など、考慮しなければならない要素は多岐にわたります。
たとえば、電力会社向けのサイバー保険に固有のリスクは、POS からお金を回収する衣料品店のそれとは何もかも違うと考えられます。
こうしたサイバー保険の初期リスクを見積もるために保険会社は何をするか
企業や組織、時には政府機関向けの保険を引き受ける保険会社は、複数の異なる側面からセキュリティ上のリスクを評価することが求められます。
たとえば、サイバー保険の大半は、申し込みの際にパッチの適用状況やネットワークにアクセスするエンドポイントの数、設置されているファイアウォールの種類、提携関係にあるサードパーティ ベンダーに関する質問に答えなければならないようになっていると Rudo 氏は言います。
シスコでリスク管理の責任者を務める Leslie Lamb は、保険の申し込みプロセスがどのようなものであるかを直に経験している人物です。
Leslie はシスコがこれまでに購入したサイバー保険すべてに関わっており、同社が毎年保険の内容を見直して、何らかの形で補償範囲を広げようとしていると話します。Leslie によると、シスコの CISO である Steve Martino は毎年保険会社の担当者と話し合いの席を設け、攻撃にさらされる範囲を限定するための対策や新しいインテリジェンス パートナーシップのあり方、リスクを減らす方法について討議しているということです。
Leslie は「私たちが行っているのは、基本的にはサイバー保険の広報活動なのです」と話し、通常は現行の保険契約が満了になるおよそ 120 日前からこの活動に着手している、と付け加えています。
業界によっては固有のリスクが存在する場合もあります。たとえば、公的機関では数多くの知的財産を扱うため、保険にかける費用を高めに設定している場合があり、そのために標的として魅力的に映るという結果をもたらしています。
事業規模という問題もあります。大企業は家族経営の小規模店と比べて、明らかに狙われやすい傾向があります。
他の企業や組織よりもリスクを引き付けやすい可能性があれば、保険料が引き上げられる場合もありうると Rudo 氏は話します。
サイバー保険はいつ頃から存在しているのか
サイバー保険に関する誤解の中で多いのが、この保険がほんの数年前に登場したものと思われていることだと Lamb は言います。実際には約 15 年前には確かに存在しており、2000 年問題が騒がれた頃にまで遡ることもできます。
しかし市場での人気が劇的に高まったのはこの 5 年のことだと言います。
「世間で起きていることを目の当たりにしたからでしょう。需要は急激に伸びています。サイバー インシデントとは無縁ではいられない。その現実に気付いたのです」。
多国籍企業の多くはサイバー保険が扱われ始めた頃からこうした保険を導入していたといいますが、中堅企業は、ここに至ってようやくこのトレンドを認識しだしたところだという話です。
一度の攻撃に対して 1 契約で補償できる限度額があるか
保険契約によって異なりますが、たいていは限度額が存在します。
サイバー保険を検討している企業はより包括的に「保険契約をまとめ」られる保険、即ち補償の総額が多い保険を求めて保険会社を探し回るのが常だと Rudo 氏は言います。
他の選択肢として、一 度の攻撃で盗まれたレコードを一定数まで補償してくれる保険を選ぶこともできます。
「補償額に制限のある保険もありますが、保険の対象となるレコードは数多あります。データ漏洩に対して「X」百万の金額を補償するという保険もあれば、「X」件のレコードに対して補償を提供するという保険もあります。後者の保険においては補償額ではなく、盗まれたレコードの数が基準として提示されます。
サイバー攻撃を受けるとどうなるか
状況を想像してみましょう。まず嬉しくない知らせを耳にします。攻撃を受けてランサムウェアに感染したというのです。一方、良い知らせも届きます。万一に備えてサイバー保険を購入していました。
保険によってさまざまですが、可能な限り迅速にデータを復元して運用を復旧できるように実地のインシデント対応とフォレンジック サポートを提供している保険会社もあります。
それらのサービスが保険会社にとって理にかなっている理由は、データ復元を支援することで損害を和らげて被害請求額を抑え、被害者の早期の業務再開を実現できる可能性があるためです。
被害者が望むなら、保険会社が攻撃者との間に立って仲介役として身代金の支払いを支援してくれる場合もあります。
Rudo 氏は次のように話します。「お客様が身代金を支払うことを選んだ場合、保険会社がその金額を支払います。保険会社が身代金の支払を促すケースさえあります。お客様は身代金の支払いでベンダーに力を借りることもできます。身代金の支払いを拒否するという場合も、保険会社はクライアントの希望を尊重します」。
たとえば保険会社では、従来の通貨を攻撃者が要求する暗号通貨に変換するという方法で被害者を支援することもできます。
この手の攻撃に対して身代金を支払うべきであるかについては、こちらのページで Talos の専門家たちの見解をご覧いただけます。
保険会社では通常、被保険者が攻撃の被害から完全に立ち直ったことを確認すると、保険内容と保険料を見直します。見直しの際に攻撃による影響がシステムから完全に取り除かれていた場合は、最初の攻撃ベクトルは修復されたものとして評価し、感染後の新しい防御策として何が適切であるかを検討します。
サイバー保険が攻撃による被害を補償してくれる対象期間はどのようになっているか。たとえば、攻撃を受けたシステムが 1 年間侵入を受けていたとして、保険が適用されたのが 6 ヵ月前だった場合はどうなるか
サイバー保険では攻撃が検出されたタイミングで支払いが発生します。そのため、たとえばある小売業者のシステムが、カード情報をスキミングするマルウェアに 1 月の時点で感染し、保険が適用されたのが 10 月の場合は、同じ年の 11 月にシステムの侵害が検出されたのであれば補償の対象となります。
「サイバー保険の基本は検出ベースで、被保険者の損失が認められた時点で効力を発揮します。唯一除外対象になりうるのは該当の保険に、遡って適用される日付が設定されている場合だけです」と Rudo 氏は説明します。
サイバー保険におけるシスコの役割とは
昨年シスコ、Aon 社、Apple 社、保険会社の Allianz 社という 4 社の提携による業界初のサイバー リスク管理ソリューションの提供が開始されました。
このソリューションは Aon 社によるサイバー レジリエンスの評価サービスと、シスコと Apple 社のテクノロジー、そして Allianz 社による充実したサイバー保険の各種オプションを組み合わせたものです。Lamb によれば、このプログラムで提供されるという、従来の保険契約が「拡充」された内容には、セキュリティ侵害の影響で CISO が解雇に至る事態に発展した場合の退職金や、被保険者が一定の割合で Apple 社製品を使用していた場合に提供される特別サポート契約、補償額の支払い開始までの時間が短縮されるなどの契約を盛り込むことができます。
Cisco Ransomware Defense を利用しているお客様については、Allianz 社による充実した補償を受けられます。
その他の考慮事項
- Rudo 氏によれば知的財産は定量化が難しいため、セキュリティ保険の対象にならないことが普通だとのことです。
- 第三者に損害を与える攻撃を対象とする賠償責任保険は他にもあります。たとえば、IoT デバイスがハッキングにより不具合を起こしてユーザを負傷させた場合、サイバー保険の補償対象にはならないのが一般的ですが、別の損害賠償保険に加入すればカバーできます。
- 多くの保険会社では、攻撃が発生している間の対応にあたる「サイバー セキュリティ委員会」を立ち上げ、被害者にアドバイスを提供します。Lamb によればシスコは現在いくつかの委員会に参加しており、その数をさらに増やすことを検討しているとのことです。
本稿は 2019年8月20日に Talos Group のブログに投稿された「What you — and your company — should know about cyber insurance」の抄訳です。