サイバー保険とは何か?シスコの専門家、Leslie Lamb にインタビュー
IT 史上で最大級のパニックは 2000 年問題でしょう。1999 年 12 月 31 日から 2000 年へ切り替わる際に、処理の不具合から世界中のコンピュータがシャットダウンすると考えられていました。
各国で大きなニュースになり、PC ユーザにパニックが広がっただけでなく、米国政府が複数のタスクフォースを設けたほどです。
それらのニュースとは対照的に、2000 年問題からサイバーセキュリティ保険が生まれたことはあまり知られていません。
当時の企業にとっての懸念は、コンピュータに保存されている情報の消失や機能の停止でした。コンピュータやデジタル ストレージに関するリスクの軽減を企業や組織が検討し始めたのも、この頃でした。
Leslie Lamb は、サイバー保険の黎明期にシスコの代表として最初の交渉に臨んだ一人です。今日ではランサムウェア攻撃の増加などもあり、政府機関、小規模自治体、企業、非営利団体の間でサイバー保険への加入が爆発的に増えています
。
最近ではサイバー保険への加入者が狙われやすくなる傾向も指摘されていますが、サイバー攻撃による金銭やデータ、時間の損失から自社を守ろうとするのは自然なことです。セキュリティ専門家の多くも、リスク緩和策としてサイバー保険を考慮すべきだと考えています。
ではサイバー保険とは具体的に何でしょうか?黎明期から現在まで、どのように変化してきたのでしょうか?サイバー保険の仕組みや保証内容について知るため、シスコのグローバル リスク・復元力管理ディレクターの Leslie Lamb から話を聞きました。そこでの内容を簡潔にまとめ、質疑応答形式でご紹介します。
サイバー保険が最近人気な理由とは?
多くの人は誤解していますが、サイバー保険自体は決して新しいものではありません。
登場からすでに 10 ~ 15 年は経過しています。ただし本格的に広まったのは最近です。
一部のサイバー攻撃で多額の損失が出たニュースなどから、過去 5 年間で加入者が急増するようになりました。サイバー インシデントとは無縁ではいられない。その現実に気付いたのです。今では企業にとって優先課題にもなっていますが、私自身は以前からサイバー保険に注目してきました。サイバー保険の重要さは当初から指摘されていましたが、現実味を帯びてきたのは、大企業や政府機関、さらには公共インフラさえ攻撃対象になった約 6 〜 7 年前からです。それ以降、大きな注目を集めるようになってきました。
2000 年問題以降、サイバー保険はどう変化してきたか?
ここ 5 年間で大きく変化しました。
特に大きな変化は保険商品の充実度合いです。およそ 6 ~ 7 年前は、保険でカバーされない分野が多くありました。たとえば、ビジネスの中断(収益の損失)を補償する商品はごく少数でした。保険会社に請求した後に補償外だと知るケースも多くありました。保険会社もこうした事態に気付き、商品を拡大した結果、各企業に固有のリスクも保険で緩和できる場合が増えてきました。
大半のサイバー保険では「免責金額」と「免責時間」の 2 つが決められています。免責金額は理解していても、免責時間については知らない人が多くいます。免責時間の例は、ネットワークが停止してから最初の 24 ~ 48 時間は補償対象とならない、などです。組織の規模や危険度が高くなるほど、免責時間も長くなる傾向にあります。
サイバー保険に関して、多くの企業が見逃している点とは?
存在するのに知られていない例は、ハードウェアの物理的損傷やビジネスの中断(収益の損失)をカバーする商品などです。
シスコのサイバーセキュリティ保険を購入する際に考慮すべき点とは?
シスコが最初にサイバー保険を購入した当時、多くの企業ではサイバー保険が頭の片隅にもありませんでした。
契約で交渉を開始するのは通常、契約が切れる 120 日前からです。平たく言えば、保険会社に対して社内での取り組みを紹介します。CISO といった社内の専門家がリスク緩和策や問題の管理手順を紹介し、全体的なガバナンスや社内ポリシーについて話し合います。
リスクを軽減するのに役立つ幅広い社内パートナーシップについても説明します。これは IT 部門だけの問題ではなく、社内全体での教育と意識向上も関わってきます。リスクを管理するための社内パートナーシップを形成することも重要です。つまり法務や人事、リスク管理部門など、あらゆる部門が連携する必要があります。
リスクを軽減して保険の費用を抑えるために、企業ができることは?
ネットワークの保護を万全にし、従業員を教育して意識を高めます。よく考えられた事業継続計画を用意し、サイバー保険における各自の役割を卓上演習により周知します。多くのサイバー保険には一定の要件があります。事前に定款を読み、補償内容や、保険会社に提出が必要な証拠などを把握しておく必要があります。多くの保険会社では、被保険者に専門家のアドバイスを提供しています。それらの専門家についても、利用するタイミングを含めて事前に把握しておく必要があります。
ネットワークがルータとファイヤーウォールだけで構成されていた時代は過去のものです。今や、あらゆるデバイスが接続されています。
コネクテッド デバイスの急増に、サイバー保険でどう対応できるか?
難しい質問ですが、答えは「ケースバイケース」です。… たとえばシスコの委託先の製造方法に問題があり、お客様がセキュリティ侵害を受けたとします。その場合の費用は、シスコとの契約により委託先が支払います。
もちろん、原因がシスコ側にあればシスコが支払います。自腹で払うか、サイバー保険から支払われるかは別にしても、責任がシスコ側にあるからです。しかし原因が外注先などのサードパーティにあれば、責任もそれらの企業にあります。そのためシスコでは、契約先に一定のサイバー保険への加入を必須にしています。
Tags:本稿は 2019年9月26日に Talos Group
