コンテンツにスキップするには Enter キーを押してください

保険会社、未修正CVEの場合の支払い制限を検討

投稿日 2025年8月22日

Wolves hunting a flock of sheep

出典:Tomas Hulik ARTpoint(Shutterstock経由)

サイバー保険会社は、古いセキュリティ対策のままの契約者に責任を持たせる新たな方法を試しており、契約者が古い脆弱性を利用した攻撃や組織の防御の穴を突かれた攻撃の被害に遭った場合、支払い額を制限する動きが出てきています。

リスク制限の手法としては、未修正の脆弱性の「半減期」や、企業が一定日数以内に重大な脆弱性を修正しなかったかどうかに基づく責任や支払い額のスライディングスケールなどが挙げられます。これはサイバー保険会社Coalitionのブログ記事によるもので、同社自身はこうした手法を支持していません。「CVE除外」と呼ばれるこの手法は、ソフトウェアのセキュリティ問題に識別子を割り当てるために広く使われている共通脆弱性識別子(CVE)システムにちなんで名付けられていますが、まだ広く採用されておらず、ほとんどの事例は米国外の保険会社によるものだと同社は述べています。

しかし、サイバー保険の需要が引き続き増加し、売り手市場が形成されれば、こうした制限が企業の保険契約に現れる可能性があると、Coalitionのサイバー引受責任者ジョン・コレッティ氏は述べています。

「具体的な社名は挙げませんが、業界内で実際にこうした事例が発生しています」と彼は言います。「CVE除外がある保険契約を購入する場合は、企業は非常に慎重になるべきです。」

サイバー保険会社は、多数の契約者に影響を及ぼす大規模な侵害や攻撃キャンペーンによる自社のリスクを制限する新たな方法を模索しています。NotPetyaの際、企業が業務中断の補償に事業保険を利用したことを受け、戦争行為除外条項に基づく支払い拒否の試みはほとんど失敗しましたが、その後の保険契約にはより明確な文言が盛り込まれるようになりました。サイバー保険会社は、契約者からのデータやサイバーセキュリティ評価から得た情報、または自社のマネージドセキュリティサービスからの情報を活用して、リスクをより適切に判断するようになっています。

被害者の責任?

しかし、すべての企業に重大な脆弱性の管理を求めるのは非常に難しいことです。National Vulnerability Database(NVD)によると、ソフトウェア業界は2025年には46,000件以上の脆弱性を公開する見込みで、2024年の約40,000件から増加しています。そのうち、約30%が高リスクまたは重大な脆弱性と見なされる可能性があり、これは通常、共通脆弱性評価システム(CVSS)スコア8.0以上で定義されます。

既知の脆弱性のパッチ適用は企業のサイバーセキュリティ態勢の基本ですが、企業もサイバー保険会社も、運用上の制約やレガシーシステム、変化する脅威環境によって、タイムリーなパッチ適用が困難な場合が多いことを認識すべきだと、保険会社Resilienceのチーフアンダーライティングオフィサー、マリア・ロング氏は述べています。

「積極的な対策が重要である一方で、サイバー保険の役割は危機時の真の財政的支えとなることだと私たちは考えています」と彼女は言います。「後から見れば技術的に防げたかもしれないことに対して、企業を罰することではありません。」

多くの点で、CVE除外のアプローチは、住宅保険契約における積極的なメンテナンス義務(リコール関連を含む既知の問題を速やかに修理することを求める)に似ていますが、この類推はソフトウェアの欠陥やセキュリティ問題には必ずしも当てはまらないと、Coalitionは自社の投稿で主張しています

「CVE除外は、紙の上ではセキュリティ向上の仕組みに見えるかもしれませんが、実際にはサイバー保険本来の目的を損なうものです」と投稿には記されています。「さらに悪いことに、企業が最も補償やパートナーシップを必要とする時に、サイバー保険会社と契約者の関係を損なうリスクがあります。」

リスクの新しい計算方法

サイバー保険業界は、侵害リスクへの単なる賭けから、契約者のビジネスパートナーやアドバイザーとして、サイバーセキュリティ態勢を評価し、解決策を提案する方向へとシフトしています。それでも、企業は除外条項や支払い限度額など、特定の契約条件が最悪の場合に自社の財務的リスクにどう影響するかを理解すべきだと、Resilienceのロング氏は述べています。

「特に複雑なリスクプロファイルを持つ大企業の場合、自社の業務や技術スタックに合わせたオーダーメイドの補償を提供する保険会社と協力することが重要です」と彼女は言います。「私たちの哲学は、標準化された一律の枠組みに当てはめるのではなく、クライアントの独自の環境やリスク態勢を理解するために密接に連携することです。」

企業は、自社の保険契約にCVE除外条項が含まれているかどうかをブローカーやサイバー保険会社に確認し、そのような条項を含む会社からは離れるべきだと、Coalitionのコレッティ氏は述べています。サイバー保険会社がビジネス獲得競争を続ける限り、契約者側にもCVE除外を契約から排除する力があると彼は言います。

「サイバー保険をよく理解し、こうした除外条項を見抜ける経験豊富なブローカーと協力することが重要です」とコレッティ氏は言います。「現時点では広く導入されていませんが、サイバー保険市場はダイナミックで、保険会社の方針も急速に変化しています。」

翻訳元: https://www.darkreading.com/cyber-risk/cyber-insurers-may-limit-payments-breaches-unpatched-cve

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です