サイバー保険はニッチな商品から企業リスク管理の重要な要素へと進化し、組織がサイバーセキュリティに取り組む方法を根本的に変えています。従来の財物保険とは異なり、サイバー保険は戦術が絶えず進化する攻撃者と向き合っています。これらの攻撃者はますます巧妙になり、これまで以上に多くのツールを手中に収めています。
サイバー保険市場は過去30年間で大きく成熟し、現在では侵害の修復費用、規制上のペナルティ、事業中断損失、サイバー恐喝の支払いまでをカバーするようになりました。しかしそれ以上に重要なのは、サイバー保険がサイバー攻撃の真のコストについて長らく先送りにされてきた議論を促している点です。以前は抽象的なリスクに実際の数字を結びつけることで、保険会社は組織が「侵害される」という漠然とした懸念を超え、具体的な財務的影響と業務上の混乱を理解するよう促しています。
しかし、このセーフティネットには予期せぬ副作用があります。保険に加入している企業はランサムウェアの要求に応じやすくなるのです。脅威アクターはどの組織がサイバー保険に加入しているか、またその金額を把握するために時間をかけており、それに応じて要求額を調整します。攻撃者が企業の保険金額が1,000万ドルと知れば、5,000万ドルの事業損失を避けるために身代金を支払うよう説得力ある交渉を仕掛けることができます。これにより、組織を守るために設計された保険が、実際には軽減しようとしている攻撃そのものを奨励してしまうという問題のある構図が生まれています。このリスクの定量化は、他の面でもサイバーセキュリティの全体的な状況を再形成しています。保険会社は現在、多要素認証の実装、適切なデータバックアップ、文書化されたインシデント対応プロトコルなどの最低限のセキュリティ基準を組織に義務付けており、これを守らない場合は保険金請求が否認されるリスクがあります。
3人のレポーター——Dark ReadingのFahmida Y. Rashid、TechTarget SearchSecurityのRichard Livingston、そしてCybersecurity DiveのDavid Jones——が取材ノートを開き、サイバー保険がどのように進化しているか、保険料の低下が実際に意味すること、そしてこのセーフティネットが同時に組織をランサムウェアに対して脆弱にする一方で、全体的なセキュリティ態勢を改善していることについて、知見を共有します。
以下のビデオ書き起こしで詳しく学び、Informa TechTargetの3つのサイバーセキュリティ刊行物からの知見と報道についてはReporters’ Notebookシリーズの他のエピソードもご覧ください。
Fahmida Y. Rashid、Richard Livingston & David Jones:ビデオ全文書き起こし
この書き起こしは、Informa TechTargetの社内AIアシスタントによって明瞭さと長さのために編集されています。完全な内容はビデオをご視聴ください。
Dark ReadingのFahmida Y. Rashid: こんにちは、Reporters’ Notebookの最新版へようこそ。私はDark Readingでテクノロジー・特集担当編集長を務めるFahmida Rashidです。Cybersecurity DiveとTechTarget SearchSecurityの同僚たちと一緒にお届けします。それではまず自己紹介をしていただきましょう。Richardさん、お願いします。
TechTarget SearchSecurityのRichard Livingston: こんにちは、Richard Livingstonです。TechTarget SearchSecurityのライター兼エディターです。
Cybersecurity DiveのDavid Jones: David Jonesです。Cybersecurity Diveのレポーターです。
DRのFahmida Y. Rashid:今月のReporters’ Notebookでは、サイバー保険について深掘りしていきます。誰もが話題にしている言葉だと思います。私たち3人ともこのトピックについてたくさん書いてきましたが、人々の意識にはなかなか浮かび上がってこないことがまだたくさんあります。Richardさん、早速始めましょう。サイバー保険とは何ですか?何をカバーするもので、何のためにあるのですか?
TTSSのRichard Livingston: そうですね、先日素晴らしい引用を読みました。これはユニークなことで、財物保険とは違います。素晴らしい引用があって、「財物保険の場合、火事はあなたをより効果的に燃やす方法を考えることはしない」と言われていました。サイバー保険では、私たちがカバーしようとしているリスクは、あなたのセキュリティプロトコルを突破しようとしているのです。そして私たち全員が知っているように、これはますます悪化しており、ハッカーはより巧妙になっています。
彼らはより多くのツールを持っています。過去30年ほどで、サイバー保険は成熟し、クラウド上のデータに依存するビジネス(今やほぼすべての企業がそうです)向けの市場が形成されました。今では修復サービス、つまり侵害への対応費用、フォレンジック、法的費用、PR、その他あらゆるものをカバーしています。
情報セキュリティとプライバシー責任、侵害による請求と損害賠償。規制対応と罰則、規制措置から生じる可能性のあるすべての費用、ペナルティ、法的費用。事業中断、そこで生じる収益損失。メディア責任、これは評判上の問題にもなり得ます。そして最大の項目はサイバー恐喝です。ハッカーが身代金を要求しており、企業はそれを支払っています。
DRのFahmida Y. Rashid:先ほどのお話に移る前に確認したいことがあります。数年前、セキュリティ専門家のJeremiah Grossmanと話をしたとき、彼が言ったことがあります。サイバー保険が存在するという事実は、実はサイバーセキュリティにとって良いことになるだろうと。なぜなら、私たちはついに数字を付け始め、定量化し始めているからです。以前は、侵害されたくないけど、コストがどれくらいか、影響がどうなるかわからないという状態でした。しかし保険会社が登場して、「曖昧にはしていられません。影響が何かを把握する必要があります。復旧にかかるコストを把握する必要があります。あなたの責任は何ですか?」と言い始め、それがサイバーセキュリティについての話し方を変えることになると。たった今、保険がカバーするすべてのことを挙げていただいたとき、5年前なら攻撃の文脈で責任について話すことすらなかっただろうと思い出させてくれました。
TTSSのRichard Livingston: そうですね、保険とは何でしょうか?基本的には請求と保険数理表です。ビジネスモデルが成り立つ限り、保険会社はカバレッジを提供し続けるでしょう。保険料収入が支払額を上回る限り、ビジネスモデルは成立します。
DRのFahmida Y. Rashid:Daveさん、IT保険のカバー内容について少し話していましたね。カバーされているものとされていないもの、そして重要な問題点について、非常に興味深い見解をお持ちでしたね。
CDのDavid Jones: そうですね、年々進化してきたのは、企業がサイバーリスクが自社のビジネスの収益にどう影響するかを真剣に理解し始めていることだと思います。もはやサイバー攻撃やサイバー関連のビジネス混乱の後始末をするのは、企業のCISOやITマネージャーだけではなくなっています。今見られているのは、企業がデータの潜在的な損失だけでなく、ビジネス機能の潜在的な混乱にも対処しているということです。つまり、企業が何らかの侵害やランサムウェアインシデント、その他の混乱に見舞われ、数時間、数日、または数週間にわたって機能できなくなる可能性があるということです。場合によっては、物理的な操業ができなくなり、工場を閉鎖したり、IoTで接続されているパートナー企業との接続を切断したりしなければならず、製品を販売できなくなることもあります。
JLRのような企業でそのような事態が起きました。製品を動かせない状態が数週間続いた他の企業もありました。サイバー保険が可能にすることの一つは、製品を動かせなかったり、ビジネスを運営できなかったりした場合に何が起こるかという潜在的リスクを価格に織り込むことです。例えば、1週間事業が停止した場合を想定する必要があります。Colonial Pipelineの事例を振り返ると、ほぼ1週間燃料を輸送できない状態でした。それがビジネスの収益にどれだけの影響を与えるか?
そのリスクをどう管理するかをどう組み込むか?同時に保険会社が行うのは、レジリエンスをどう確保するかについて真剣に考えさせることです。データにアクセスできなくなったり、従業員がコンピューターを使えなくなったり、倉庫間で製品を輸送できなくなったりした場合に備えて、何をしているか。サイバー保険は基本的に、データのバックアップ方法、シャットダウン時のデータアクセス方法、どんなプロトコルを導入しているかを見直させます。多要素認証、インターネットからの資産の隠蔽、強固なパスワードの使用など、数週間にわたって非常にローテクなビジネス運営に戻る可能性に備えたリソースを確保しているかどうかについて、厳しい決断を迫られることになります。
DRのFahmida Y. Rashid:確か先回のBlack Hatで、あなたが言っていたことに触れるセッション全体がありました。保険会社に対して、やるべきことをやったと証明するにはどうすればいいか?保険会社は「一定のベースラインを確保する必要がある」と言います。以前は監査が必要でしたが、今はアンケートや何らかの方法で管理策を確認できるようになっています。そのため、侵害前に必要なことをすべて行い、回復できる準備ができていることを保険会社に証明するよう求めるというその会話も進化しています。そして、それはまだ少し不確実な領域のように思えます。これが証明方法だという魔法の公式を誰も持っていないようです。
TTSSのRichard Livingston: ええ、でも興味深いことに、それらはポリシーに組み込まれています。要件があり、請求が否認された事例も存在します。一定の最低限のセキュリティレベルを維持しなかった場合です。数年前、オンタリオ州ハミルトン市が侵害され、完全に保険に加入していましたが、ハッカーはMFAの最低限の水準を維持していなかったために侵入できました。監査人が調べた結果、「いいえ、これは契約書に明確に記載されています」と言われ、ハミルトン市の納税者がその全額を負担することになりました。
DRのFahmida Y. Rashid:そう、細かい文字を読むこと、そこが常につまずくところですね。
TTSSのRichard Livingston: だからこそ、CISOだけでなく、組織の他の部門も関与する必要があるのです。法務チームも必要です。アナリストも必要です。これは組織内のより多くの人々の問題です。これは技術的な問題というよりも、リスクの問題です。そしてそれはまさに経営幹部のビジネス課題です。
DRのFahmida Y. Rashid:Cybersecurity Diveがリスクの言語の変化について多くの報道をしていましたね。Daveさん、組織の視点から、何がカバーされ、何がカバーされないか、そしてリスクの言語がどういう意味を持つかについても話す価値があると思います。最近そのテーマで記事を書いていましたよね。
CDのDavid Jones: そうですね、年々進化してきました。10年ほど前に遡ると、NotPetyaやWannaCryのような事例で、世界各地の企業がこれらの伝播するサイバー事案によって影響を受けた比較的注目度の高いインシデントがありました。これらの企業は数億ドルの損失を抱え、一定期間機能できない状況に追い込まれました。そして物理的なロシアとウクライナが関係する紛争も絡んでいました。サイバー保険が歴史的に制限してきたことの一つが、「戦争行為」とみなされる事案で被害を受けた場合です。攻撃者が情報機関や軍組織と国家的つながりを持ち、そのような環境下で攻撃された場合、補償を受けるために戦わなければならない事例がありました。必ずしも補償が一切受けられないというわけではありませんが、保険会社が支払額に大きな制限を設ける場合がありました。現在のイランをめぐる戦争でも同様のことが見られ、他の保険形態にも波及しています。石油を運べない船や、他の地域に移動できない状況もあります。国家アクターに関連するサイバー攻撃が、企業の製品製造、注文履行、製品輸送能力に影響を与えています。攻撃が発生したと知った顧客が自動的に接続を切断する場合もあります。Strikerの事例がまさにそれで、病院や医療提供者が事態を把握した際、予防措置として基本的にサービスを切断しました。その結果、手術ができない、予約がキャンセルされる、顧客は業務を再開しても安全かどうかわかるまでまったく情報が得られないという状況になりました。近年、保険会社と請求者・保険契約者の間で何年もの法廷闘争になる事例が出てきました。何億ドルもの請求をどの程度認めるかという問題で、保険会社は重要資産を保護するための適切なプロトコルが取られていたかどうかも不明な場合、何億ドルもの責任を負いたくないわけです。グローバルな保険業界が潜在的に壊滅的なイベントに備えられているかどうかについて、保険契約者や保険会社の間で議論が交わされてきました。数年前のCrowdStrikeの障害の後、複数の企業が伝播するマルウェアやグローバルな障害、サプライチェーンイベントによって影響を受けるような組織的なイベントを業界が持ちこたえられるかどうかについて懸念が示されました。そして、サードパーティ企業が影響を受け、同時に数十または数百もの企業に波及するようなケースがますます増えています。
DRのFahmida Y. Rashid:サプライチェーンは、爆発半径を常に意識するわけではない領域の一つです。保険会社はその爆発半径を考え始める必要があると思います。1社が侵害され、その1社の侵害によって12社の顧客が請求を申し立てる。保険会社がそれをどう対処するかはまだ解決できていないと思います。12件の異なる請求があったとして、どうするのか?「こういった企業と取引すべきではなかった」とは言えません。これは保険会社が考え方を進化させ続けていく領域だと思います。Richardさん、時間が少し迫っているので、保険のマイナス面についてあなたが指摘した本当に面白い洞察に話を戻したいと思います。
TTSSのRichard Livingston: RSACで非常に興味深いセッションに参加しました。Zero TrustのジョンKindervagが登壇していました。彼は非常に説得力のある議論を始めました。生命保険の普及が、非常に古くからある犯罪である殺人に財務的なレイヤーを加えたと言ったのです。
それが殺人件数を増加させたわけではありませんが、突然人々はそこに経済的な利益を見出すようになりました。ではランサムウェアも同じように見てみましょう、そして何が起きているかを見ると。彼が示したデータポイントとして、サイバーセキュリティ保険に加入している企業は、ランサムウェアの要求に応じる可能性が2.8倍高いというものがありました。つまり、ハッカーはダークウェブを手元に持っており、誰がどれだけの額で保険に加入しているかを知ることができます。そして多くの場合、組織に攻撃を仕掛けてシステムをロックした後、「あなたが1,000万ドルの保険に加入していることを知っています。今すぐ1,000万ドルを支払うと言ってくれれば、1セントも追加で請求しません」と言うのです。彼が指摘したのは、彼らもビジネスであり、あなたもビジネスだということです。1,000万ドルを支払うことで、5,000万ドル相当の事業損失を回避できるなら、ほとんどの企業が応じる交渉ではないでしょうか。実際、支払っています。
DRのFahmida Y. Rashid:少し話が逸れますが、身代金を払うべきか払わないべきかという議論をするとき、保険はその計算を少し変えると思います。つまり、自分のポケットから出るわけではないと。だから私たちは保険に加入するわけです。事故や災害のために保険を買います。これは確かに二重の層を加えます。
このトピックについて話していた際、私たち3人全員が議論していたのは、保険会社全体の保険料、つまり保険加入コストが過去2年間で若干低下しているという事実です。私としては、これは素晴らしいことで、より多くの企業が保険に加入するようになると思いました。しかし、コスト低下にもデメリットがあると思います。
Daveさん、保険料が安くなることで何を意味するかについて懸念を示していましたね。Richardさんも同じく考えがおありだったと思います。
CDのDavid Jones: 業界内では、リスクが指数関数的に拡大しているように見える市場において、大規模なイベントへの集中リスクについての懸念が提起されています。グローバルな保険市場は米国に非常に大きく偏重しています。加入企業数でも、グローバル産業全体でも、市場の約3分の2は米国に集中しています。大企業が何らかの組織的なイベントで複数企業に同時に影響を受けると、一つのイベントがバランスを崩す可能性があります。そのため、保険会社はポートフォリオを多様化しようとしています。中小企業をポートフォリオに取り込みたいと考え、米国以外の企業も取り込みたいと考えています。なぜなら、世界の他の地域での市場浸透率を考えると、本来保険の恩恵を受けられるはずなのに加入していない、あるいは自家保険をかけている、または財物・損害賠償保険やサイバーコンポーネントを含むその他の保険を持っているが、本当に壊滅的なイベントが起きた場合に十分なカバレッジがあるかどうかわからない企業が多数存在するからです。保険が全体市場にとって行っていることの一つは、多くの企業に自社の内部慣行をより真剣に取り組むよう強制することです。なぜなら保険会社がそれを強制するからです。
保険会社は、セキュリティ衛生やトレーニング、ITスタック全体を怠っているにもかかわらず、保険会社がすべての損失を補填してくれると期待するような企業に無条件の補償は提供しません。今起きているのは、多くの企業が、保険契約者が会社全員をプロセスに参加させるために必要なステップを踏んでいるかどうかを確認するために、はるかに厳しく審査されているということです。例えば、取締役会は関与しているか?C-suiteの人々は関与しているか?ランサムウェア攻撃が発生した場合、誰がその緊急事態に対応し、各個人がその対応においてどのような役割を果たすかを全員が知っているか?企業がそのプロセスをどのように管理するかによって、保険金の支払い方法に調整が生じます。そして、自社の責任を果たさずに補償を期待している企業に、保険会社は白紙小切手を書いてくれるわけではありません。
現在起きているAIの導入についても考えてみると、多くの企業がリスクを理解したり、従業員がAIを実験したり日常業務でAIを使用できるかどうかについてのルールを持つ委員会で適切なガバナンスを設定したりすることなく、エージェンティックAIを適切なガードレールなしに展開しています。承認されていないエージェントを使用している企業や従業員がいて、データの大規模な漏洩やビジネスの混乱が起きた場合、どうなるでしょうか?保険会社はそれを考慮に入れる必要があり、適切な緊急事態へのガードレールなしにテクノロジーを展開した企業の状況に対して補償するかどうかという別のレベルのリスクを価格に織り込まなければなりません。その分野では物事が非常に速く動いています。これは責任ある金融当局、銀行、投資家が非常に厳しく注目しなければならないことです。
TTSSのRichard Livingston: それは良いことだと思います。企業にセーフティネットを提供しながら、同時にサイバーセキュリティを真剣に検討させ、より良い慣行を導入させることは、全員にとって良いことです。
DRのFahmida Y. Rashid:それでは時間となりました。Reporters’ Notebookをご視聴いただきありがとうございます。私はDark Readingの編集長Fahmida Rashidです。ご参加ありがとうございました。Dave、Richardさん、締めの挨拶をお願いできますか?
TTSSのRichard Livingston: はい、TechTarget Search SecurityのRichard Livingstonでした。
CDのDavid Jones: ご視聴ありがとうございました。Cybersecurity DiveのDave Jonesでした。
翻訳元: https://www.darkreading.com/cyber-risk/focus-cyber-insurance-quantifying-risk-reshape-security
