4分で読めます
出典:Poca Wander Stock / Getty Images
ガートナー セキュリティ&リスク管理サミット — メリーランド州ナショナルハーバー — 企業にとっての朗報は、サイバー保険のポリシーがいまだ手頃な価格を維持していることです。一方で悪報もあります。補償の免責事項が増加しており、内容によっては契約者が不意を突かれる可能性があるのです。
免責事項の増加は、サイバー保険市場で起きているいくつかの変化のうちの一つにすぎません。ガートナーのディスティングイッシュド バイスプレジデント アナリスト、ポール・フルタード氏はそう指摘しています。同氏はガートナー セキュリティ&リスク管理サミットの火曜日のセッションで、既存の契約者や見込み顧客がまだ気づいていないかもしれない市場の変化をいくつか説明しました。
こうした動向の中には前向きなものもあります。例えば、保険料は安定しており、保険会社は「各組織が実証可能なセキュリティレベル」に応じた割引を提供しているとフルタード氏は述べています。
「価格は下がっており、市場全体でその傾向が見られます」と同氏は付け加え、保険会社がようやくモデルを正しく構築できるようになったと指摘しました。
しかし、それ以外の市場変化は、最悪のタイミングで組織を窮地に追い込む可能性があります。
サイバー保険の補償免責事項の拡大
サイバー保険市場における最も重要な変化は、補償の免責事項が増え続けていることでしょう。「免責事項のリストはどんどん増え続けています」とフルタード氏は述べました。
保険金が支払われない免責事項の例として、同氏は従業員の行動、古いソフトウェア、セキュリティ管理の不備、合併・買収などを挙げました。例えば、一部のポリシーにある「従業員の行動」に関する免責事項には、ソーシャルエンジニアリング攻撃が含まれる場合があります。
「仮に私が御社の財務部門の担当者をソーシャルエンジニアリングで騙して100万ドルを送金させたとしても、御社のシステムに不正アクセスしたわけでも、システムを乗っ取ったわけでも、なりすましをしたわけでもありません」とフルタード氏は述べました。「それはサイバー犯罪ではなく、内部統制の失敗です。」
ソーシャルエンジニアリングに関する免責事項は、多くのサイバー保険契約者に影響を及ぼす可能性があります。Huntressのサイバーセキュリティアドバイザー、ブライソン・バード氏はDark Readingに対し、偽のエラーメッセージへの対処として悪意のあるコマンドを実行するよう標的の人物を誘導するClickFix型攻撃が横行しており、同社が2025年に確認したサイバー攻撃の52%を占めたと述べています。バード氏は、ClickFix攻撃をフィッシングと同様のソーシャルエンジニアリング攻撃と見なしています。被害者が有害だとは気づかないまま悪意のある操作を行うよう誘導されるためです。
フルタード氏は、サイバー保険の補償内容と免責事項がますます複雑になっていることから、組織はポリシーを注意深く見直し、インシデント発生時に不意を突かれないよう、保険会社と「非常に具体的な話し合い」を行う必要があると述べました。
戦争行為や大規模サイバーイベントに関する免責事項も変化しています。フルタード氏によると、ロイズ・オブ・ロンドンが「サイバー戦争」条項の定義を公表しており、ほとんどの保険会社がこれを採用しているため、特定の種類の国家主導の攻撃が補償対象外となる可能性があります。さらに、大手クラウドプロバイダーの大規模停止といった大規模サイバーイベントに関する条項によって、保険金の支払い額が最大で半分に削減される可能性もあります。
「保険会社やブローカー、あるいは機会があれば引受会社(アンダーライター)に対して、非常に率直に確認する必要があります」と同氏は述べました。「国家主導の攻撃を受けた場合、補償されるのでしょうか?もし答えが『ケースバイケースです』であれば、具体的に何によって変わるのかを確認しましょう。」
サイバー保険のサブリミット、「テール」補償、その他
フルタード氏はまた、保険料が下がる一方で、企業に課題をもたらす可能性のある微妙な市場変化も起きていると指摘しました。
「以前は1億ドルの補償が必要なら、ロイズ・オブ・ロンドンが問題なく対応してくれました」と同氏は述べました。「しかし今、1億ドルの補償を求めるなら、リスクを分散させるために複数の保険会社のパネルの前に座り、顧客として引き受けるべき理由を説明しなければならないでしょう。それが現在の市場の現実です。」
あまり注目されていない側面としては、補償のサブリミット(支払い上限額の内訳)があります。これは例えば、ブリーチコーチの雇用やデジタルフォレンジック・インシデントレスポンス(DFIR)プロバイダーへの支出に充てられる保険金の上限を定めるものです。フルタード氏は、特定のサービスに対する支出がどこで上限となるのか、またその上限額はいくらなのかを把握するために、具体的な質問を行いポリシーの細則を読むよう組織に改めて促しました。
「1000万ドルのポリシーを持っていても、その全額をMandiantに支払えるわけではありません」と同氏は述べました。
フルタード氏はまた、いわゆる「テール」補償の重要性も強調しました。インシデントの発生タイミングと契約者のポリシーによる補償期間が複雑に絡み合う可能性があるためです。例えば、ある組織が先月の侵害を発見したものの、6月1日に保険会社を切り替えていた場合、補償が受けられないことがあります。新しいポリシーは既に発覚している過去の攻撃をカバーせず、旧ポリシーは5月31日に終了しているためです。しかしテール補償は、補償期間の延長、つまり契約者を保護するための一定の重複期間を提供します。
「基本的に、保険会社を変更する場合には、このテール補償が必要になります」と同氏は述べました。
意外に思えるかもしれませんが、フルタード氏は、ポリシーや補償の観点ではAIがサイバー保険市場にまだ大きな影響を与えていないと指摘しました。ただし、暴走するAIエージェントに関する深刻な事例が相次いで明らかになっていることから、近い将来に変化が訪れる可能性があります。
「市場自体はAIを注視しており、高い関心を払っています」と同氏は述べました。「AIによる大きな変化は——まだ——起きていません。」
翻訳元: https://www.darkreading.com/cyber-risk/cyber-insurance-rates-drop-exclusions-widen
