第2回サイバー保険は、企業をどの程度守ってくれるのか?

今回は「第2回サイバー保険は、企業をどの程度守ってくれるのか?」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 サイバー攻撃の急増に伴い、保険会社は保険料を引き上げる傾向にあり、サイバー保険に加入する企業にとって、状況はより厳しくなっています。また、サイバー保険に加入している場合でも、企業のセキュリティとデータ保護戦略が最低限の要件を満たしていなければ、保険加入のメリットは少ないです。むしろ保険は、デジタルレジリエンス(回復)のツールボックスのほんの一部として認識する必要があります。第2回では、サイバー保険の全体像から企業におけるベストプラクティスについて考察します。

 2022年後半から2023年にかけて、サイバーセキュリティの中でも、サイバー保険が世界的にホットワードになりました。企業は、サイバー攻撃が完全には避けられないものと判断し、被害に直面した場合の補償を求める傾向が高まりました。

 Veeam Softwareが2023年1月に発表した「2023 データプロテクションレポート」によると、2022年にランサムウェア攻撃による被害に遭った組織は、世界で85%(日本国内では84%)と、前年の76%から増加しています。同時に保険業界は、まだ完全に理解していないサイバー脅威に対応しようと奔走しています。世界的に見ると、サイバー保険の価格設定は、前四半期の53%増に続き、2022年第4四半期には28%増となり、徐々に高額になっています。

 保険料の上昇と並行して、保険会社は保険をかける相手とかけない相手を見極める目を養っており、保険に加入するために必要な組織の保護体制に関する最低基準を引き上げています。同様に、どのような種類の事故を保険の対象とするかというスタンスも変化しています。

 2022年8月には、英国ロンドンの大手保険会社が、国家が関与するサイバー戦争由来の事故を保険対象から除外すると発表しました。サイバー保険に関する業界の知見は未開拓であると感じるかもしれませんが、それは仕方のないことかもしれません。この領域はまだ日が浅く刻々と状況が変わり、また、サイバー攻撃による事故には独特の複雑さがあるため、保険会社や企業は、まだ全体像を把握し切れていないのです。企業がサイバー保険を検討する際には、保険金の請求が複雑で、「Insurers are in the business of not paying(保険会社はお金を払わないのが仕事)」ということわざがあるように、保険金の請求が複雑だということを念頭に置いておく必要があります。保険金の請求には時間がかかり、また多くの証拠が必要であることに加え、サイバーインシデントの後には資産がひっ迫する可能性があります。

 企業は、保険金の請求がたとえ受理されたとしても、ランサムウェアのようなサイバー攻撃そのものに対する解決策にはならないことを理解しなければなりません。どのような種類の保険でも同じことが言えますが、お金で損失をカバーすることはできても、事故が及ぼすもっと大きな影響を解決することはできないのです。サイバー攻撃では、お金で解決できない影響はより特異で複雑です。深刻なセキュリティ事故が発生したことに変わりはなく、資金面で補償があっても、それだけで起きてしまった火事を消せるわけではありません。

 ランサムウェアのようなサイバーインシデントが発生した直後は、システムを復旧させなくてはなりませんが、多くの場合、犯罪捜査と保険金請求を並行して進めます。企業にとって、データ、アプリケーション、システムの可用性を回復することは非常に重要であり、その損失は1秒ごとに何千万円にも及ぶ可能性があります。さらに、以前システムを管理していた場所(攻撃が発生した場所)は、捜査現場として扱われるだけでなく、安全で問題のない環境であることを保証できないため、データが戻せないという課題もあります。例えば、一晩でオフィスが焼け落ちたとしても、すぐに同じ場所に新しいオフィスを建てることはできません。オフィスが安全になるまで、社員のために代替の労働環境を用意する必要があるということです。

 このほかにも、サイバー事故により起こり得る「二次災害」が幾つか想定できます。データのクオリティは最大の懸念事項の一つであり、データセットを監査し、破損がないかどうかを確認することは非常に重要です。旧バージョンのデータやシステムを使用して復旧する場合は、できるだけ早くアップデートする必要があります。基本的には、全てが正しく機能し、統合されて動作していることを確認することが重要です。一方で、システム上に残っているマルウェアに再感染したり、二重、三重に脅迫を受けたりする危険性が高いため、サイバー攻撃が終わったかどうかを知ることは困難です。

 もちろん、以上のことは全てランサムウェアの要求を支払うことなく事業が復旧した場合を想定しています。もし組織が身代金の要求を受け入れた場合(おそらくサイバー保険がその費用を補償してくれると考えた)、依然多くの問題点が残ります。最も重要なのは、身代金を支払ったにもかかわらずデータを復元できない可能性があることです。なお、サイバー攻撃者から提供された復号キーを使用して、暗号化の解除に成功したとしても、その処理には非常に時間がかかる可能性があります。また、身代金を支払う企業は、「攻撃が繰り返される」というリスクを抱えています。サイバー攻撃者たちは、彼らやほかのハッカーグループがもう一度身代金を要求するチャンスを得るために、支払った人をマークしていることが多いのです。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
エクスペリエンス管理のQualtrics、IPO初日は52%高
IT関連
2021-01-29 10:17
姫路市、AI音声認識で児童相談記録作成時間を削減–相談後の対応の質向上に期待
IT関連
2024-06-08 01:17
対面で6月開催のMWCバルセロナ、エリクソンは不参加を表明
IT関連
2021-03-10 08:43
ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収
セキュリティ
2021-06-16 01:44
「Bing」のAIチャット機能、利用制限がさらに緩和へ–1回20ターンに
IT関連
2023-03-31 19:42
「Web3」が実現する新しい成長と分配–中核技術はブロックチェーン
IT関連
2022-05-31 20:25
SpaceXが記録的な数の衛星を搭載した初の専用ライドシェアミッションをライブで公開、予定変更で日本時間1月25時0時から
宇宙
2021-01-25 00:52
オンラインレッスン虎の巻(前編)–デジタル化のメリットと開講準備
IT関連
2021-02-25 21:09
投資アプリPublicがライバルRobinhoodの苦境を尻目に連続して資金調達
フィンテック
2021-02-13 05:17
ドコモをかたるフィッシングメールやSMSに注意 「dアカウント」のID・パスワードを窃取
セキュリティ
2021-05-28 06:53
サイバーエージェントの開発組織ら、AI活用でワクチン接種関連の電話応対サービス提供
IT関連
2021-03-04 13:46
高齢者転倒時の骨折リスクを軽減する床「ころやわ」の累積出荷「高」が通天閣を突破
ヘルステック
2021-06-02 10:04
「ウマ娘は初速好調」サイバーエージェント藤田社長が手応え 今後は“ロングラン”目指す
企業・業界動向
2021-04-29 12:24
スマホで次世代型決済と販促をハイブリッド化–東芝テックとデジタルガレージが実証実験
IT関連
2022-03-04 07:13