出典:Mungkhood Studio(Shutterstockより)
興行師P.T.バーナムは「毎分、カモが一人生まれる」と言いました。もし彼がサイバーセキュリティの専門家だったなら、「12分ごとにサイバーセキュリティの脆弱性が公開される」と言い換えたかもしれませんが、それほど外れてはいません。
サイバーリスクに対する保険については、保険会社やブローカーの中には、契約者がリスクを軽減できるよう積極的かつ協調的なアプローチを取るところもあれば、脆弱性を迅速に修正しなかった契約者に対してペナルティを課すなど、より強硬な姿勢を取るところもあります。リスクと補償の適切なバランスを取ることは、主に企業自身に委ねられています。
MITREがソフトウェアのセキュリティバグを追跡するために公開している 共通脆弱性識別子(CVE)によると、脆弱性は急増しています。今年の9月中旬までに、MITREは約33,000件のCVEをリストアップしており、これは2020年に公開された18,400件のほぼ2倍です。このペースでいくと、今年は約47,000件に達すると予想されますが、これは公開されたものだけです。CVEが割り当てられていない脆弱性も多く、またCVEの割り当て待ちの脆弱性も存在します。つまり、管理すべき脆弱性は非常に多く、その数は日々指数関数的に増加しています。
業界関係者との会話によると、保険業界もリスク増大への対応として複数のアプローチを採用しているようです。保険会社やブローカーの中には、ネットワークの積極的なスキャンや潜在的な脆弱性の警告など、契約者がCVEやその他の脅威に対応できるよう支援するサービスを提供しているところもあります。一方で、Chubbのように、既知の脅威に迅速に対応しなかった契約者にペナルティを課す会社もあると、匿名を希望する業界関係者は述べています(この件について発言する権限がないため、名前は伏せられています)。
ペナルティ方式は「無対応期間」に基づいており、脆弱性が対応されなかった日数に応じて共同保険の割合が増加し、保険限度額もそれに応じて減少します。これらの条件は新しいものではなく、業界関係者によれば、しばしば契約交渉で削除されることが多いとのことです。Chubbはコメント要請に応じませんでした。
Beazley社のサイバーリスク引受管理責任者であるエイダン・フリン氏によれば、2021年以来初めてサイバーリスクへの懸念が高まっているとのことです。英国のサイバー保険会社である同社の最新のリスク&レジリエンスレポートによると、世界の経営幹部の29%がサイバーリスクを最大の脅威と考えており、2024年の26%から増加しています。
リスクへの認識が高まる中、経営幹部は進化するサイバー脅威への備えができていると感じているとフリン氏は述べており、レジリエンス(回復力)の認識は2024年の75%から今年は83%に上昇しています。「これは、今日のサイバーおよびテクノロジーの脅威環境の現実を過小評価しています。現実には、CVEが急速に増加しており、状況はますます予測不可能です」と彼は述べています。
リスクを全体的に捉える
CVEは懸念事項ですが、保険加入希望者や契約者が「企業のサイバーリスク管理戦略を全体的に見ている」引受担当者と話す際には、議論の一部に過ぎないと、全米規模の保険ブローカーであるWoodruff Sawyerのサイバー責任担当副社長デビッド・アンダーソン氏は述べています。
アンダーソン氏は、企業はCVEだけに注目するのではなく、より広い視野を持つ必要があると警告します。「サイバー攻撃後の企業の存続を左右する決定的な要素ではありません。なぜなら、もしこのCVEが悪用されなかったとしても、侵入を試みる者は別の方法で悪用したはずだからです」と彼は言います。
アンダーソン氏は、CVEの急増がセキュリティチームにとって課題となり得ることを認めつつも、引受担当者との主な議論は依然としてパッチ適用の頻度や、重大度の高いCVEを7日以内に修正しているかどうかに集中していると述べています。
独立系保険ブローカーおよびリスク管理アドバイザリー会社であるJohnson Kendall Johnsonの副社長兼サイバープラクティスリーダー、アレクサンドラ・ブレッチシュナイダー氏によれば、企業は一般的に、保険会社からパッチ適用の頻度について質問されることが多いため、まず重要なアプリケーションからパッチを適用しようとします。
彼女によれば、課題は重要度の特定にあります。脆弱性がアプリケーション自体にあるのか、それとも重要なアプリケーションと連携する平凡なアプリケーションにあるのか。セキュリティ担当者は、重要なアプリケーションの脆弱性には日次または週次で対応し、その他のアプリケーションは隔月または月次でパッチを適用することもあるとブレッチシュナイダー氏は説明します。
例えば、ブレッチシュナイダー氏は、2017年のEquifaxの情報漏洩事件を挙げています。これは、他の重要なアプリケーションと連携していた未修正のAdobeアプリケーションが原因でした。彼女は問いかけます。「Equifaxが重要なアプリケーションを優先し、Adobeアプリを後回しにしたことは責められるべきでしょうか?最終的にはそれが弱点となったのですが。」
ニューヨークの法律事務所Barton LLPのパートナーである弁護士ケネス・ラシュバウム氏は、契約者が自らの義務を完全に理解するために保険契約全体を読むこと、また申込書を再確認して、証明したセキュリティ管理策を実施しているか確認することの重要性を強調しています。さらに、どの補償を購入し、どの補償を購入していないかも把握しておく必要があります。
「覚えておくべきことがあります。法律的観点から見て、保険は契約です」と彼は言います。「契約で明記された補償しか受けられません。」もし除外事項がある場合は、その制限を理解しておく必要があると彼は付け加えます。
ラシュバウム氏は、技術が契約文言を上回っていると述べています。彼は、不可抗力や戦争除外条項が、今日のサイバー攻撃の可能性と一致していない可能性があるため、契約締結前に明確にしておくべきだと警告しています。
「現在の情報環境に合った除外条項にしたいのであれば、あなたが契約書の作成者なのですから、自分で変えなければなりません」と彼は言います。「保険会社が変えてくれるとは期待できません。」
翻訳元: https://www.darkreading.com/cyber-risk/more-cves-cyber-insurers-arent-altering-policies
