第2回サイバー保険は、企業をどの程度守ってくれるのか?

今回は「第2回サイバー保険は、企業をどの程度守ってくれるのか?」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 サイバー攻撃の急増に伴い、保険会社は保険料を引き上げる傾向にあり、サイバー保険に加入する企業にとって、状況はより厳しくなっています。また、サイバー保険に加入している場合でも、企業のセキュリティとデータ保護戦略が最低限の要件を満たしていなければ、保険加入のメリットは少ないです。むしろ保険は、デジタルレジリエンス(回復)のツールボックスのほんの一部として認識する必要があります。第2回では、サイバー保険の全体像から企業におけるベストプラクティスについて考察します。

 2022年後半から2023年にかけて、サイバーセキュリティの中でも、サイバー保険が世界的にホットワードになりました。企業は、サイバー攻撃が完全には避けられないものと判断し、被害に直面した場合の補償を求める傾向が高まりました。

 Veeam Softwareが2023年1月に発表した「2023 データプロテクションレポート」によると、2022年にランサムウェア攻撃による被害に遭った組織は、世界で85%(日本国内では84%)と、前年の76%から増加しています。同時に保険業界は、まだ完全に理解していないサイバー脅威に対応しようと奔走しています。世界的に見ると、サイバー保険の価格設定は、前四半期の53%増に続き、2022年第4四半期には28%増となり、徐々に高額になっています。

 保険料の上昇と並行して、保険会社は保険をかける相手とかけない相手を見極める目を養っており、保険に加入するために必要な組織の保護体制に関する最低基準を引き上げています。同様に、どのような種類の事故を保険の対象とするかというスタンスも変化しています。

 2022年8月には、英国ロンドンの大手保険会社が、国家が関与するサイバー戦争由来の事故を保険対象から除外すると発表しました。サイバー保険に関する業界の知見は未開拓であると感じるかもしれませんが、それは仕方のないことかもしれません。この領域はまだ日が浅く刻々と状況が変わり、また、サイバー攻撃による事故には独特の複雑さがあるため、保険会社や企業は、まだ全体像を把握し切れていないのです。企業がサイバー保険を検討する際には、保険金の請求が複雑で、「Insurers are in the business of not paying(保険会社はお金を払わないのが仕事)」ということわざがあるように、保険金の請求が複雑だということを念頭に置いておく必要があります。保険金の請求には時間がかかり、また多くの証拠が必要であることに加え、サイバーインシデントの後には資産がひっ迫する可能性があります。

 企業は、保険金の請求がたとえ受理されたとしても、ランサムウェアのようなサイバー攻撃そのものに対する解決策にはならないことを理解しなければなりません。どのような種類の保険でも同じことが言えますが、お金で損失をカバーすることはできても、事故が及ぼすもっと大きな影響を解決することはできないのです。サイバー攻撃では、お金で解決できない影響はより特異で複雑です。深刻なセキュリティ事故が発生したことに変わりはなく、資金面で補償があっても、それだけで起きてしまった火事を消せるわけではありません。

 ランサムウェアのようなサイバーインシデントが発生した直後は、システムを復旧させなくてはなりませんが、多くの場合、犯罪捜査と保険金請求を並行して進めます。企業にとって、データ、アプリケーション、システムの可用性を回復することは非常に重要であり、その損失は1秒ごとに何千万円にも及ぶ可能性があります。さらに、以前システムを管理していた場所(攻撃が発生した場所)は、捜査現場として扱われるだけでなく、安全で問題のない環境であることを保証できないため、データが戻せないという課題もあります。例えば、一晩でオフィスが焼け落ちたとしても、すぐに同じ場所に新しいオフィスを建てることはできません。オフィスが安全になるまで、社員のために代替の労働環境を用意する必要があるということです。

 このほかにも、サイバー事故により起こり得る「二次災害」が幾つか想定できます。データのクオリティは最大の懸念事項の一つであり、データセットを監査し、破損がないかどうかを確認することは非常に重要です。旧バージョンのデータやシステムを使用して復旧する場合は、できるだけ早くアップデートする必要があります。基本的には、全てが正しく機能し、統合されて動作していることを確認することが重要です。一方で、システム上に残っているマルウェアに再感染したり、二重、三重に脅迫を受けたりする危険性が高いため、サイバー攻撃が終わったかどうかを知ることは困難です。

 もちろん、以上のことは全てランサムウェアの要求を支払うことなく事業が復旧した場合を想定しています。もし組織が身代金の要求を受け入れた場合(おそらくサイバー保険がその費用を補償してくれると考えた)、依然多くの問題点が残ります。最も重要なのは、身代金を支払ったにもかかわらずデータを復元できない可能性があることです。なお、サイバー攻撃者から提供された復号キーを使用して、暗号化の解除に成功したとしても、その処理には非常に時間がかかる可能性があります。また、身代金を支払う企業は、「攻撃が繰り返される」というリスクを抱えています。サイバー攻撃者たちは、彼らやほかのハッカーグループがもう一度身代金を要求するチャンスを得るために、支払った人をマークしていることが多いのです。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
富士通、量子とHPCを組み合わせて自動的に計算する技術を開発
IT関連
2022-11-11 13:58
OpenAI、「Microsoft Azure AI platform」の拡張にOCIを採用
IT関連
2024-06-14 19:29
NFT特化ブロックチェーン「パレット」開発のハッシュポートが前澤友作氏より4.8億円調達、同氏と共に新サービス提供予定
ブロックチェーン
2021-08-04 12:56
Amazonのタブレット「Fire HD 10/10 Plus」に新モデル メモリやCPUを強化
製品動向
2021-04-29 21:22
NEC、100%再エネ活用のデータセンターを2つ新設
IT関連
2024-05-15 07:21
GitHubの機能や使い方を質問できるコミュニティ「GitHub Community」がオープン
GitHub
2022-08-05 20:34
「ウマ娘」、4〜6月の課金額が世界2位に App Annie調べ
企業・業界動向
2021-07-16 00:28
交通系ICカードが駅の入場券に Suicaなど10種類 JR東が3月開始
企業・業界動向
2021-01-20 06:06
クラウドへの投資から十分な価値を得られているか–米企業の経営幹部の認識は
IT関連
2021-06-18 16:17
荏原製作所、SAPソリューションでグローバル一体経営への変革を実現へ
IT関連
2022-12-02 02:41
プライバシー重視のブラウザ開発Braveが独自の検索エンジンを発表、欧州版Firefoxの元開発者と技術の協力で
ソフトウェア
2021-03-26 11:19
【コラム】自由とプライバシーの保有格差、デジタルフロンティアにおける不平等の拡大
IT関連
2021-08-22 12:46
二足歩行ロボット「キャシー」が5kmランに成功
ロボティクス
2021-08-02 23:53
Facebookが取り締まりを拡大、ルール違反のグループとそのメンバーに対する罰則を強化
ネットサービス
2021-04-04 08:30