保険会社は、AIを使用して防御を強化する組織に報酬を与えている一方で、AI使用が新たなリスクをもたらす組織に対しては慎重になりつつある。
2025年7月、マクドナルドはメニューに予期しない問題を抱えていました。それはMcHireと呼ばれるAI搭載プラットフォームに関わるもので、求人応募者を採用・スクリーニングするために使用されていました。Paradox.aiによって開発されたこのシステムは、素人レベルのセキュリティ上の欠陥を持っていました。レストラン運営者向けのバックエンドが、ユーザー名とパスワードの両方として「123456」を受け入れ、多要素認証が欠けていました。その結果、約6400万人の申請者の個人情報が危機にさらされていました。幸いなことに、この欠陥はセキュリティ研究者Ian CarrollとSam Curryによって発見され、同社に通知されました。
組織が十分な監査を行わずにAIツールを配置していることで、このような事件は珍しくありません。AIの採用はAIセキュリティとガバナンスよりも速く進んでいると、IBMレポートによると述べられています。昨年、13%の組織がAIモデルまたはアプリケーションに関連する侵害を報告し、別の8%の企業はこれらのシステムが侵害されているかどうかさえ知らないと述べました。
そして保険会社はそのことを知っています。多くの企業は保険契約の言語を厳しくし、保険料を引き上げ、特定のAI関連事件に対する明示的な除外条項を設けています。AIのリスクは予測不可能で潜在的に大規模である可能性があるため、保険会社は正確に価格設定できない損失の責任を負いたくないのです。Delineaによる調査では、回答者の42%がサイバー保険ポリシーにAI悪用と責任に関連する除外条項が含まれるようになったと述べました。
しかし状況は完全に一方的ではありません。保険会社はより強力な防御にも報酬を与えています。組織の86%は、セキュリティ態勢を強化するAIベースのセキュリティツールを使用したことで、保険料割引またはクレジットを受けたと述べています。
「AIはリスクでもあり、機会でもあります」と、GuidePoint SecurityのシニアバイスプレジデントのNate Spurrier氏は述べています。
サイバー保険会社がリスク評価方法を変えている
AIがビジネス運営全体にさらに深く組み込まれ、攻撃者によってますます悪用されるようになるにつれて、サイバー保険会社はリスクの評価方法を再考しています。多くは現在、チェックボックス式のアンケートと自己証明を超えて、セキュリティコントロールが積極的に監視、テスト、実行されていることの証拠を求めています。Delineaレポートによると、保険契約者の更新または発行前に内部およびITセキュリティチームによる正式なレビューを必要とする保険会社は現在77%で、1年前の56%から増加しています。
しかし、これらのレビューだけではもはや十分ではありません。「一流のサイバー保険会社は、単一時点のアプリケーションフォームから、組織の攻撃面とコントロールの継続的な評価へと移行しています」と、CoalitionのグローバルサイバーポートフォリオUnderwritingの責任者であるMichael Phillips氏は述べています。
引受と請求決済に加えて、Coalitionはサイバー保険商品にサイバーセキュリティサービスをバンドルしています。保険契約者は、インターネット向けシステムの脆弱性とアラートを継続的に監視するツールへのアクセスと、専門家のガイダンスと脅威インテリジェンスを得られます。これは、企業のセキュリティ態勢を保険カバレッジに直接リンクさせることで、請求の頻度と重大性を減らすための考え方です。
そしてAIが現代のビジネス運営の多くの分野に影響を与えるようになるにつれて、この厳格な審査はいまや企業がテクノロジーをどのように使用・統治するかにも広がっています。「保険会社は、保険契約者と申請者がその組織内でAIをどのように使用しているか、どのようなコントロールが導入されているか、AIがどのように、また何の特定のタスクに使用されているか、誰がそれを使用することが許可されているか、そしてそれが単なる効率ツールなのか、それともクライアントに提供されるエンドソリューションの核となる部分なのかを知りたいと考えています」とSpurrier氏は述べています。
カバレッジと言語の変更
AIがあらゆる場所に存在するようになった今、保険会社は何がカバーされ、何がカバーされないかについてより詳細に説明するために契約を書き直しています。一部は肯定的なAI上書き条項を導入し、他の一部は除外条項を追加しています。AIのリスクは予測不可能で潜在的に大規模である可能性があるため、保険会社は正確に価格設定できない損失の責任を負いたくないのです。
急速に進化するテクノロジーに適切な保険契約言語を作成することは複雑な作業です。「現在、保険会社はAIリスクのどの言語と要素をターゲットにすべきかを完全に理解するのに十分な請求データを持っていないため、一部の保険会社は慎重に広範な除外条項を使用しています」とSpurrier氏は述べています。
しかし、この慎重さは組織に悪影響を及ぼす可能性があります。「AIは現在、サイバー攻撃の成功に期待される要素であり、何がAIによって作成されたのか、そうでないのかを見分けることは常に簡単ではありません」とPhilips氏は述べています。「ポリシーがAI関連の損失を除外している場合、保険会社はAIが攻撃プロセスの一部として使用されたという理由だけで、古典的なランサムウェア請求が対象外であると主張することができます。」
この問題は、保険証券がどのように進化したかによってさらに複雑になっています。多くは生成AIが主流になる前に書かれたものです。保険会社は後にAI関連の言語を追加し、新しい用語を古い契約に層状に重ねました。このパッチワーク的なアプローチは混乱を生じさせる可能性があります。「その言葉が明確に説明されていない場合、保険契約者は以前と同じ保護を受けていると仮定するかもしれませんが、そうではありません」とPhilips氏は述べています。
企業とそのブローカーは、保険契約の言語を注意深く読み、実践でどのように機能するかについて話し合う必要があります。つまり、更新前にブローカーと具体的なAI関連シナリオについて議論し、それがさまざまなタイプのカバレッジにどのような影響を与えるかを確認することです。
「1つのシナリオは保険の一部の段階に影響を与えない場合がありますが、保険の別の段階では除外として現れる可能性があります」とSpurrier氏は述べています。「AIカバレッジを明確にする時期は、請求中ではなく、更新時および他の事前事故シナリオの際です。」
企業のコストを削減する
良好なセキュリティ態勢を持つことを証明する一部の企業は、保険料を削減できます。そのためには、異常を早期に発見したり、応答時間を数時間から数分に短縮したりするAIドリブンツールを使用していることを示す必要があります。「保険会社にとって、それはより小さな請求とより速い回復を意味します」とSpurrier氏は述べています。
割引は通常、強固な24時間セキュリティを備えた企業に提供されます。「EDR(エンドポイント検出および応答)のような検出ソリューションは現在、保険会社によって広く期待されており、次のステップは生成されたアラートを継続的に監視して、迅速に対応できるようにすることです」とSpurrier氏は付け加えています。
近い将来、AI搭載防御は、今日の多要素認証とエンドポイント検出・応答ツールと同じように、カバレッジに必須になる可能性があります。つまり、遅れている企業は不利な立場に置かれる可能性があります。「レガシーツールに依存しているなら、より高い保険料または限定的なカバレッジを期待してください」と彼は述べています。
