出典:Denis Putilov(Alamy Stock Photo経由)
ランサムウェアの蔓延は、サイバー保険会社にセキュリティ評価の活用方法を再検討させることになりました。この脅威は何年も前から存在していますが、サイバー犯罪者がランサムウェア攻撃がどれほど利益を生むかに気づいたのは比較的最近のことです。ランサムウェア・アズ・ア・サービスや二重脅迫戦術が登場し始めると、脅威の状況は大きく変化し、ますます多くの組織が自分たちのデータが誰でも見られるようにオンラインにさらされ、支払いのカウントダウンクロックとともに公開される事態に直面しています。
サイバー保険は、身代金の補償、インシデント対応、身代金交渉などのサービスを提供することで、組織がランサムウェアの脅威に対処するのを支援してきました。しかし、その支援には代償が伴い、保険契約や保険料が変動しました。実際、保険料は2020年と2021年に急騰しました。
今年のラスベガスで開催されるBlack Hat USAカンファレンスで、Coalitionの主任セキュリティ研究者であるDaniel Woods氏がランサムウェアが組織と保険会社の関係をどのように変えたかについて語ります。「講演の大きな転換点はランサムウェアであり、これはアンケートビジネスモデルを根本的に揺るがすものです」とWoods氏は述べています。
アンケートからスキャンへの道のり
2000年代初頭、保険会社は組織に対し、25%の保険料割引を受けるためにセキュリティ監査の購入を求めていました。当時の保険は、より手厚いアプローチだったとWoods氏は説明します。その後、データ侵害の時代が到来しましたが、侵害はそれほど頻繁ではなく、主に小売業やホスピタリティ業界が影響を受けていました。そのため、保険会社は詳細なセキュリティ監査の実施をあまり重視しなくなり、リスク評価のためにアンケートに頼るようになりました。
「そして2019年から2021年にかけてランサムウェアの波が押し寄せ、一部の保険会社は受け入れた保険料よりも多くの保険金を支払う事態となりました」とWoods氏は言います。「これは彼らのビジネスモデルが失敗した明確な証拠でした。」
アンケートは組織にとって記入が難しい場合もあるとWoods氏は付け加えます。多要素認証(MFA)は、特に回答が難しい一般的なセキュリティ評価の質問の一つです。多くの組織は少なくとも1つのアカウントでMFAを導入していると言えますが、すべてのサービスやアカウントを把握できていないかもしれません。
「アンケートは今後も残ると思いますが、保険会社はますますスキャンを活用するようになるでしょう」と彼は述べています。
セキュリティ態勢向上へのインセンティブ
評価方法が現在の脅威に合わせて進化する中、補償に関するインセンティブも進化しています。例えば、「消滅型自己負担」は、契約者が指示された積極的なセキュリティ対策を講じた場合、自己負担がなくなる仕組みです。セキュリティ意識向上トレーニングや、30日以内の脆弱性解消などもコスト削減につながるプロトコルです。
スキャンによる評価は、保険料の価格改善にも役立つ可能性があります。現時点では保険料は低めだとWoods氏は明かします。マネージド検知・対応(MDR)は、保険コストを抑えたい組織にとってもう一つの良い投資です。
「もう一つ興味深い展開はインテグレーションです。顧客が自社のIT技術を保険会社と連携させ、クラウド態勢やMDRなどの情報を取り込むというものです」と彼は言います。「これは今後のトレンドになる可能性があると思います。要は、保険会社と顧客の間でリスクをどのようにやり取りし、契約の中でどんなインセンティブを設けるかということです。」