サイバー保険は、企業を多くのサイバー攻撃に伴う賠償責任から守ります。しかし、契約に踏み切る前に、CISOは次のような隠れた抜け穴がないか確認する必要があります。
増え続けるサイバー脅威に直面し、企業は、攻撃が成功した場合に生じ得る深刻な金銭的損害に対処するため、サイバー保険の活用をますます進めています。残念ながら、サイバー保険にはそれ自体のリスクもあります。特に、保険約款の細かな文言よりも進化する脅威に注意が向きがちなサイバーセキュリティのリーダーにとってはなおさらです。
情報公開、情報プライバシー、データ保護の専門職の発展に取り組む組織「カナダ・プライバシー&アクセス評議会」の会長であるSharon Polsky氏は、サイバー保険における一般的な補償漏れや抜け穴が、安心感(油断)を生み、それが保険のメリットを限定したり、場合によっては無効化したりし得ると指摘します。
あなたの企業は、壊滅的になり得る落とし穴を含むサイバー保険によって、財務基盤を危険にさらしていないでしょうか。保険契約(そしてそれに対する思い込み)を点検し、よくあるサイバー保険の「落とし穴」6つを確認してください。
1. サイバー保険がすべてのリスクをカバーすると決めつける
実際には、多くの保険契約は定義が狭かったり、隠れた免責事項があったり、厳格な条件が付されていたりして、侵害後に組織が無防備な状態に置かれることがあります。「自動車の賠償責任保険のように、どの保険でも同じ補償が提供されるわけではありません」と、保険ブローカーTri Pack Insurance Servicesの創業者であるWilliam J. Lindsay III氏は言います。「サイバー賠償責任保険では、約款や条件は保険契約ごとに異なります。」
特定の保険会社と契約する前に、Lindsay氏はサイバー保険契約に詳しい弁護士に相談することを勧めています。「保険証券は、複雑な定義を含む法的文書です」と同氏は述べます。「弁護士は、曖昧な条項、隠れた除外、あるいは請求時に紛争を生み得る義務を指摘できます」とLindsay氏は言います。「いったん契約を購入し、損害が発生してしまえば、補償の穴を埋めるための変更はできません。」
2. 補償範囲、業務中断、脅威に関する細則を誤解する
驚くことではありませんが、重要な点として、サイバーセキュリティ保険に含まれる文言は一般に、被保険者ではなく保険会社に有利に作られていることを忘れてはなりません。
「企業はしばしば、自分たちの視点で文言を解釈してしまい、保険約款の文言そのものが生み出すリスクを見落とします」とPolsky氏は警告します。例えば、「システム障害」によって生じた中断に限定された業務中断補償は、ランサムウェアのようなサイバーインシデントを除外してしまう可能性があります。一方で「脅威補償」は、保険が発行された時点で既知の脅威のみを指す場合があり、補償期間中に出現した新たな脅威タイプは無保険のままになり得ます。
「問題なのは、保険約款で使われる用語――例えば『脅威』――が定義されていないことが多く、被保険企業が自分たちの解釈が意図されていると見込んでしまう点です」とPolsky氏は説明します。「残念ながら、コンマの有無や定義の有無が、訴訟の争点になり得るのです。」
保険がサイバー攻撃による損失をすべてカバーすると信じていても、細則を確認すると、特にソーシャルエンジニアリング、ランサムウェア、業務中断といった領域で、現実的には満たせない免責事項や保証条項が多数含まれていることが判明するかもしれません。
隠れた上限(キャップ)がある保険は、誤った安心感を生むと、保険見積もりの比較を可能にするサービスInsuranceopediaのCEOであるMax Coupland氏は言います。サイバー補償をフルで想定して予算を組んだのに、損失がサブリミット(特定の損失タイプに対して利用可能な補償額を減らす、保険契約上の制限)に該当したため、請求が却下されたり大幅に減額されたりするのです、と同氏は説明します。
隠れた上限を防ぐために、Coupland氏はブローカーとセキュリティチームの双方を交えたテーブルトップ演習を実施することを勧めています。「各シナリオについて『補償はあるか?』、上限はいくらか?、発動し得る免責事項はあるか?』と問いかけるのです。」そして、契約に踏み切る前に、最終文書を1ページの補償チェックリストに落とし込みます。
4. セキュリティ戦略を保険約款の細則と整合させない
セキュリティが保険契約の基準に達していない場合――それには多要素認証、定期的なバックアップ、エンドポイント検知などが含まれます――請求が即座に却下される可能性があると、マネージドサービスプロバイダーDiamond ITの社長兼CEOであるMatt Mayo氏は警告します。
多くの企業は自社が完全に安全だと考えていますが、いざ請求すると、保険会社が「必要だと知らなかったセキュリティ対策」に関する細則を根拠にしてくる、とMayo氏は言います。「そうなると、復旧(クリーンアップ)費用、弁護士費用、そして訴訟の可能性まで、すべて保険会社の支援なしに負担することになります。」
この罠を避ける最善の方法は、保険証券に明記された要件に合わせてサイバーセキュリティ態勢を正確に整合させることです。「つまり、インシデントが起きる前に補償内容を見直すということです」とMayo氏は言います。また、必要な統制の実装と文書化を支援できる、知見のあるコンサルタントの活用も検討してください。
5. 遡及日(レトロアクティブ・デート)の罠にはまる
遡及日条項は、最大のサイバー保険の罠になり得ると、サイバーセキュリティサービス企業Solaceの創業者兼CEOであるPaul Pioselli氏は警告します。「この条項は、保険開始日より前に始まったインシデントについて、たとえ数カ月後に発見されたとしても補償を無効にします。ハッカーは平均で200日以上ネットワーク内で検知されずに潜伏し得ることを考えると、この抜け穴は場合によっては、加入したばかりの保険を無価値にしてしまいます」と同氏は言います。
Pioselli氏は、可能な限り「フルの過去行為補償(prior acts coverage)」を要求すべきだと言います。「これにより遡及日そのものがなくなります」と同氏は述べます。「保険会社が拒否するなら、日付を可能な限り過去に戻すよう交渉してください――理想的には会社の設立日までです。」
可能な限り、保険を探し始める前に包括的なサイバーセキュリティ・リスク評価を実施することをPioselli氏は勧めています。「まず自社固有の脆弱性と潜在的な財務インパクトを理解し、その現実に見合う限度額と補償を備えた保険を購入しなければなりません。」
6. ファーストパーティ補償とサードパーティ補償を取り違える
保険加入を検討する人が犯し得る最大の誤りは、ファーストパーティ補償とサードパーティ補償の違いを理解できておらず、その結果として両方を含む保険に加入しないことだと、保険マーケティング企業Smart Financialの担当者であるDylan Tate氏は言います。
ファーストパーティのサイバー保険とは、サイバー攻撃後に企業が被る直接的な損失や費用(売上損失、広報支援、失われたデータの復旧に関連する費用など)を補償するものです。一方、サードパーティのサイバー保険は、データ侵害の影響を受けた顧客から企業が訴えられた場合に、訴訟を防いだり、関連費用を処理したりできる賠償責任補償です。消費者への前払い、和解金や罰金、裁判官が命じる損害賠償なども補償対象になり得ます。
企業のサイバー保険にファーストパーティとサードパーティの両方が含まれていない場合、補償が不足している可能性があり、サイバー犯罪が発生した際に経験する損失の種類によっては、多額かつ不要な自己負担が生じ得るとTate氏は説明します。
多くのサイバー保険はファーストパーティとサードパーティの両方を自動的に含みますが、保険会社によっては別々にしか提供しない場合もあるとTate氏は警告します。「例えばThe Hartfordは複数のサイバー保険商品を販売しており、両方の補償をセットにしたものもあれば、どちらか一方のみを含むものもあります。企業の保険購入者にとっては混乱を招くかもしれません。」
購入前に、サイバー保険が必要な補償ニーズをすべて満たしていることを確認する最善の方法は、質問をすることだとTate氏は助言します。既知のサイバーセキュリティリスクや想定される請求シナリオを確認することで、特定のサイバー保険会社がサイバー攻撃を受けた際にどのように支援できるのか、より全体像を把握できます。「面倒に感じるかもしれませんが、請求が発生した際に後から予期せぬ自己負担が生じるのを避けるため、最初に徹底的に話し合っておくことは有益です」と同氏は言います。
翻訳元: https://www.csoonline.com/article/4110018/6-cyber-insurance-gotchas-security-leaders-must-avoid.html
