第2回サイバー保険は、企業をどの程度守ってくれるのか?

今回は「第2回サイバー保険は、企業をどの程度守ってくれるのか?」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 サイバー攻撃の急増に伴い、保険会社は保険料を引き上げる傾向にあり、サイバー保険に加入する企業にとって、状況はより厳しくなっています。また、サイバー保険に加入している場合でも、企業のセキュリティとデータ保護戦略が最低限の要件を満たしていなければ、保険加入のメリットは少ないです。むしろ保険は、デジタルレジリエンス(回復)のツールボックスのほんの一部として認識する必要があります。第2回では、サイバー保険の全体像から企業におけるベストプラクティスについて考察します。

 2022年後半から2023年にかけて、サイバーセキュリティの中でも、サイバー保険が世界的にホットワードになりました。企業は、サイバー攻撃が完全には避けられないものと判断し、被害に直面した場合の補償を求める傾向が高まりました。

 Veeam Softwareが2023年1月に発表した「2023 データプロテクションレポート」によると、2022年にランサムウェア攻撃による被害に遭った組織は、世界で85%(日本国内では84%)と、前年の76%から増加しています。同時に保険業界は、まだ完全に理解していないサイバー脅威に対応しようと奔走しています。世界的に見ると、サイバー保険の価格設定は、前四半期の53%増に続き、2022年第4四半期には28%増となり、徐々に高額になっています。

 保険料の上昇と並行して、保険会社は保険をかける相手とかけない相手を見極める目を養っており、保険に加入するために必要な組織の保護体制に関する最低基準を引き上げています。同様に、どのような種類の事故を保険の対象とするかというスタンスも変化しています。

 2022年8月には、英国ロンドンの大手保険会社が、国家が関与するサイバー戦争由来の事故を保険対象から除外すると発表しました。サイバー保険に関する業界の知見は未開拓であると感じるかもしれませんが、それは仕方のないことかもしれません。この領域はまだ日が浅く刻々と状況が変わり、また、サイバー攻撃による事故には独特の複雑さがあるため、保険会社や企業は、まだ全体像を把握し切れていないのです。企業がサイバー保険を検討する際には、保険金の請求が複雑で、「Insurers are in the business of not paying(保険会社はお金を払わないのが仕事)」ということわざがあるように、保険金の請求が複雑だということを念頭に置いておく必要があります。保険金の請求には時間がかかり、また多くの証拠が必要であることに加え、サイバーインシデントの後には資産がひっ迫する可能性があります。

 企業は、保険金の請求がたとえ受理されたとしても、ランサムウェアのようなサイバー攻撃そのものに対する解決策にはならないことを理解しなければなりません。どのような種類の保険でも同じことが言えますが、お金で損失をカバーすることはできても、事故が及ぼすもっと大きな影響を解決することはできないのです。サイバー攻撃では、お金で解決できない影響はより特異で複雑です。深刻なセキュリティ事故が発生したことに変わりはなく、資金面で補償があっても、それだけで起きてしまった火事を消せるわけではありません。

 ランサムウェアのようなサイバーインシデントが発生した直後は、システムを復旧させなくてはなりませんが、多くの場合、犯罪捜査と保険金請求を並行して進めます。企業にとって、データ、アプリケーション、システムの可用性を回復することは非常に重要であり、その損失は1秒ごとに何千万円にも及ぶ可能性があります。さらに、以前システムを管理していた場所(攻撃が発生した場所)は、捜査現場として扱われるだけでなく、安全で問題のない環境であることを保証できないため、データが戻せないという課題もあります。例えば、一晩でオフィスが焼け落ちたとしても、すぐに同じ場所に新しいオフィスを建てることはできません。オフィスが安全になるまで、社員のために代替の労働環境を用意する必要があるということです。

 このほかにも、サイバー事故により起こり得る「二次災害」が幾つか想定できます。データのクオリティは最大の懸念事項の一つであり、データセットを監査し、破損がないかどうかを確認することは非常に重要です。旧バージョンのデータやシステムを使用して復旧する場合は、できるだけ早くアップデートする必要があります。基本的には、全てが正しく機能し、統合されて動作していることを確認することが重要です。一方で、システム上に残っているマルウェアに再感染したり、二重、三重に脅迫を受けたりする危険性が高いため、サイバー攻撃が終わったかどうかを知ることは困難です。

 もちろん、以上のことは全てランサムウェアの要求を支払うことなく事業が復旧した場合を想定しています。もし組織が身代金の要求を受け入れた場合(おそらくサイバー保険がその費用を補償してくれると考えた)、依然多くの問題点が残ります。最も重要なのは、身代金を支払ったにもかかわらずデータを復元できない可能性があることです。なお、サイバー攻撃者から提供された復号キーを使用して、暗号化の解除に成功したとしても、その処理には非常に時間がかかる可能性があります。また、身代金を支払う企業は、「攻撃が繰り返される」というリスクを抱えています。サイバー攻撃者たちは、彼らやほかのハッカーグループがもう一度身代金を要求するチャンスを得るために、支払った人をマークしていることが多いのです。

元記事: https://japan.zdnet.com/article/35209436/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
CISA、「既知の悪用された脆弱性カタログ」に36件を追加–早急なパッチ適用を
IT関連
2022-06-14 00:19
ヤマトら4社が自動運転と共同輸送を目指すシステムを開発–データ連携で物流最適化
IT関連
2025-02-20 16:31
セキュアワークス、XDRサービスを日本で展開–60分以内に即応
IT関連
2022-10-13 05:05
米国防総省、クラウド構築事業でAWSなど大手4社と契約–90億ドル規模
IT関連
2022-12-10 09:14
NTTPC、ネットワーク運用の自動化サービスを提供–攻めのDX推進へ
IT関連
2024-05-24 05:06
グーグルがEUの圧力を受けAndroid検索エンジンの選択画面オークションを廃止、無料化へ
ソフトウェア
2021-06-15 05:01
マイクロソフト、「Copilot for Microsoft 365」のプロンプト作成を支援する新機能
IT関連
2024-05-11 09:56
AI戦略の推進には強固なデータ基盤が不可欠–Snowflake米国幹部が強調
IT関連
2024-03-22 11:42
Ziddyちゃんの「私を社食に連れてって」:SBテクノロジーの無人コンビニでお弁当とデザートをゲット編
IT関連
2025-02-01 04:03
日立、移動制約者の案内業務を支援するSaaS–西武や小田急で実績
IT関連
2022-08-10 15:32
SAPジャパンら、沖縄市に多世代向け教育プログラムの実施拠点を設立
IT関連
2021-04-06 11:13
富士ソフト、1万人の社内検証を基にした「ChatGPT」導入をサービス化
IT関連
2023-08-05 17:38
米議会が警察による携帯電話の「基地局シミュレーター」使用を制限する法案を提出
パブリック / ダイバーシティ
2021-06-19 21:34
Google、脆弱性検出ツール「OSS-Fuzz」のJavaVM対応を発表。Java/Kotlin/Scalaなどの脆弱性を検出可能に
Google
2021-03-24 08:58