出典:Rawpixel Ltd(Alamy Stock Photo経由)
マネージング・ジェネラル・エージェント(MGA)は、保険会社に代わって保険契約の引受と管理を行う。ブローカーが買い手と保険会社の仲介役を務めるのと同様に、MGAは保険会社の代理人として機能する。最終的にリスクを負うのは保険会社だが、補償内容の設計、申込者の評価、条件設定といった業務をMGAに委任する。MGAの中には、保険金請求(クレーム)対応まで扱うところもある。
「外から見ると保険会社のように見えますが、実際はそうではなく、仲介者なのです」と、サイバー保険ブローカーであるGalahad Risk Solutionsの創業者兼CEO、ベン・ビーソンは説明する。「保険会社のように見える“保険の器”なのです」
MGAは、保険会社が専門性を欠くリスク領域に参入するのを支援するため、保険業界全体に広く存在している。サイバーセキュリティのように、長年のアクチュアリー(保険数理)データが不足していたり、こうした専門的リスク領域をどのように測定・管理するかの標準化が進んでいなかったりする分野では、MGAが引受プロセスに深い専門知識を持ち込む。
「サイバーMGAは、より現場に近いところで動く傾向があります」と、中小企業(SMB)市場を対象とするMGAであるCowbellの共同創業者兼COO、トレント・クックスリーは説明する。「通常、引受サイクルが速く、より最新の脅威インテリジェンスを活用し、CISOが実際に直面しているリスクを反映した保険契約を構築します。 また、大手キャリアが『ノー』に傾きがちな引き受けにくいリスクに対しても、より柔軟であることが多いのです」
なぜMGAがCISOにとって重要なのか
サイバーリスクは、リスクの進化が非常に速く、エクスポージャー(リスク曝露)を理解するために深い技術的評価が必要であることから、MGAモデルにとりわけ適した領域だと、Noma SecurityのCISOであり、ベンダー側と実務側の双方で経験を持つベテランのセキュリティエグゼクティブであるダイアナ・ケリーは述べる。
「過去5年間における補償設計、セキュリティコントロール要件、インシデント対応パネルの選定に関する多くのイノベーションは、MGAから生まれました」とケリーは言う。
組織がサイバーMGAが作成した保険契約を購入する場合、CISOにとっての利点は、自分たちの世界を理解している保険者に出会える可能性が高いことだと、Qualysの最高リスク技術責任者(CRTO)であるリッチ・サイアーセンは述べる。
「求めている補償限度額に対して、導入済みのコントロールの価値をよりよく理解できる立場にあるはずで、その結果、適切に価格設定できるはずです」とサイアーセンは言う。彼は以前、大手サイバーMGAで幹部として働いていた経験もある。
ケリーによれば、契約の新規取得や更新の際、セキュリティプログラムはMGAによってより慎重に精査される可能性が高い。 CISOは、多要素認証、エンドポイント検知・対応(EDR)、特権アクセスのガバナンス、ネットワークセグメンテーション、バックアップおよび災害復旧テストといったセキュリティコントロールを実装していることの提示を求められる場合がある。
「その精査は、プログラムが強固である場合には有利に働き得ます。MGAは、成熟し、適切に統治された環境に対して、より広範な補償、より柔軟な条件、あるいはより安定した価格設定で報いることができるからです」とケリーは説明する。
MGAとCISOのこうした緊密な協働は、通常CFO配下のチームが主導することが多い保険購入モデルを、しばしば変えてしまう。
「彼らはCISOであるあなたの存在すら知らないかもしれませんし、おそらく列に並べてもあなたを見分けられないでしょう」。その結果、サイバー保険はサイバーセキュリティのリスク管理プログラムの戦略的要素としてではなく、純粋に取引として扱われてしまう、とサイアーセンは言う。 「これは問題です」
一方でMGAは、CISOにプロセスへ関与してほしいと考えている。
「損害率を低く抑えるインセンティブがあるのです」と彼は言う。「そのため、優秀なアンダーライターやリスクエンジニア、そして多くの場合それを支えるテクノロジーを備え、最善の賭けを行い、その賭けのパフォーマンスを高く保とうとします」
MGAとベンダーの境界が曖昧になる
多くのサイバーMGAは、サイバーリスクに関する専門性に加え、提供内容を補完し、損害率を最小化するための専門的なインシュアテック(保険テック)機能も持ち込んでいる。
「MGAがサイバーセキュリティツールをバンドルすると、防御者と引受者の境界が曖昧になります」と、保険業界向けにサイバーポスチャーの記録プラットフォームを提供するスタートアップSpektrum Labsの創業者、J.J.トンプソンは言う。
これらの技術の一部はサービスやプラットフォームに組み込まれ、別のものは追加サービスとして提供される。これは、CoalitionやAt-Bayのような企業が提供するものに近いフルスケールのMDR機能という形を取り得る。あるいは、CowbellやResilienceが提供するものに似たリスク評価プラットフォームやダッシュボードを含む場合もある。多くのMGAはまた、セキュリティ意識向上トレーニングやインシデント対応といった領域について、直接またはパートナー経由で、コンサルティングやサブスクリプションサービスも提供している。
これは買い手にサイバー・レジリエンスを高めるための選択肢を増やす一方で、意思決定プロセスの複雑さも増す。
「うまくやれば、リスク低減とリスク移転の間に強い整合性を生み出せます。しかし、買い手を混乱させることもあります。あなたは守られているのか、それともプロファイリングされているのか?」とトンプソンは言う。CISOは、追加の提供物から本当にレジリエンスを得られているのかどうか、明確にするために取り組む必要がある、と彼は付け加える。
MGAのメリット/デメリットを見極める
MGAは保険会社の仲介者であるため、被保険者のために直接動くことはほとんどない。企業は依然として、選択肢を整理し、最適な保険契約と条件を見つけるためにブローカーを必要とする。ここで、サイバーセキュリティ保険に特化したブローカーを持つ価値が明確になる。
「MGAが提供するセキュリティツールは、企業規模が大きいほど関連性が低くなりますが、大手保険会社と比べて、保険約款(ポリシーフォーム)やその内容が気に入るかもしれません」とビーソンは説明する。
彼によれば、MGA市場は通常、売上高が最大10億ドル程度までの企業を引き受ける。より大きな企業はバランスシート保護のために保険キャリアと直接取引することを選ぶ場合もあるが、中堅企業は具体的なニーズに応じて、どちらを選ぶことも多い。
「通常の保険会社からは得られない、何か特定のものをMGAが提供しているのかもしれません」とビーソンは説明する。「あるいは、サイバー戦争をどう定義するか、またはサードパーティリスクをめぐる課題や、サプライチェーンをカバーする補償をどう確保するか、といった点かもしれません。ブローカーがきちんと仕事をしていれば、こうした詳細をすべて把握し、リスク姿勢を理解したうえで、MGAが最適かどうかを判断する助けになります」
翻訳元: https://www.darkreading.com/cyber-risk/how-cyber-insurance-mga-shape-cyber-risk-policy
