進化するサイバー保険環境で舵取りする

ジョセフ・タラフ

過去1年以内にランサムウェア攻撃が増加し、サイバー保険市場に活況をもたらした。身代金の支払いはまだ奨励されていないが、過去12ヶ月間だけでも、複数の大手企業が高額なランサムウェアの被害に遭った。例えば、世界最大級の食肉サプライヤーの一つであるJBS USAは、5月にランサムウェアの攻撃を受け、1100万ドルの身代金を支払った。また、コロニアル・パイプラインの攻撃では、サイバー犯罪グループであるダークサイドに対して440万ドルの身代金が支払われた。

多くの保険会社は、これらの攻撃に対応して、保険料のコストを増加させてきた。マーシュ・グローバル・インシュアランス・マーケット・インデックスによれば、2020年1-3月期のサイバー保険の平均価格は、米国で35%、英国で29%上昇した。一方、国際的な保険ブローカーのホーデンスは2020年6月から2021年6月の間に保険料が32％上昇したと報告している。今、市場はかつてないほど厳しい状況にあり、企業は保険料の上昇、規制の変更、更新プロセスの新たな困難に直面している。

保険料の上昇

この18ヶ月の間に、主にビジネスメールの情報漏洩やデータ流出に関するサイバーインシデントだったものから、より高度なランサムウェア攻撃を受けるようになった。このような攻撃の増加は、世界中の重要なインフラにも影響を与え、現在、すべての企業がますます組織的な犯罪者や国家的なハッカーによるリスクに直面していることを浮き彫りにしている。

こうした攻撃からの大きな財務的損失を防ぐために、世界中の企業がサイバー保険に移行している。保険料が上昇し続ける中、サイバー保険を利用し依存している企業には、サイバーレジリエンスを向上させるためのより大きな責任が課せられている。

サイバー保険更新時の引受上の留意点

厳格な引受要件を満たすことができない企業は、大幅な料率アップの対象となり、場合によってはサイバー保険に加入できないことさえある。現在の市場では、サイバー保険の更新申請時に多要素認証（MFA）が重要な要件とされている。MFAでは、パスワードに加え、第二要素（ワンタイムユースコードのような）が必要である。保険業者は、すべてのリモートアクセスにMFAが設置されていることを期待している。なぜなら、これは、アカウントの漏洩を防ぐための貴重な最前線となる傾向があるからである。

安全でないITプロトコルもまた、更新プロセス中に考慮すべき重要な要素である。リモート・デスクトップ・プロトコル（RDP）のような古いプロトコルは本質的に安全ではなく、ランサムウェア攻撃の最も一般的な侵入口の一つとなっている。保険業者は、更新プロセスにおいてサイバー格付けツールを広く使用しており、これらのツールが安全でないプロトコルを検出した場合、企業はサイバー保険の適用を拒否されるか、大幅に制限される可能性が高くなる。

効果的かつタイムリーな修正モジュール管理は、悪用（ハッキング）の企みを防ぐのに役立つ。最善の方法は、特に重要な脆弱性に対してタイムリーにインフラを修正することである。更新プロセスにおいて、保険業者は、企業が重要な修正モジュールだけでなく、緊急事態に備えた強力なプランを備えていることを期待している。

大抵の場合、サイバー犯罪者はシステム復興を妨げ、被害者からさらに強奪するために、バックアップを標的にしている。これを防ぐためには、企業はハッカーがアクセスできなくなるように、データをオフラインに保存する必要がある。現在の市場において、保険業者は企業のバックアップ戦略がバックアップのニーズを満たしているかどうかを理解することに熱心である。

エンドポイント検出と応答(EDR)は、しばしば次世代のエンドポイント保護ソフトウェアと見なされている。これは、コンピュータおよびサーバー上の疑わしい活動を検出し、悪意のあるイベントの場合に迅速に封じ込める機会を提供する可能性がある。EDRを適切に設定し監視することは、引受プロセスを効果的に進めるために企業ができるもう一つのことである。

また、効果的なインシデント対応計画は、更新プロセスにおける重要な要件である。インシデントが発生した場合にはスピードが重要であり、対応計画が遅いと事業中断コストが増加する可能性が高まる。企業は、インシデント対応計画を文書化することが求められており、ほとんどの場合、これにはランサムウェアインシデントの処理方法を説明したランサムウェア・プレイブックが含まれている。

従業員教育の重要性

パンデミック時のリモートワークへの移行は、サイバーリスクを効果的に管理する上での従業員教育の重要性を浮き彫りにした。Code42の報告によると、過去1年間で、ITセキュリティリーダーの78%が、自社の組織が機密情報の喪失につながるデータ侵害を経験したと回答し、そのうち38%が従業員の不注意な過失によるものであったと回答している。

多くの場合、侵害は従業員が不注意に悪意のあるリンクをクリックしたり、脅威者と機密データを共有したりして、企業ネットワークへのアクセスを許してしまうことが原因である。サイバー犯罪者は、場合によっては従業員がリンク上での最弱ポイントであることを認識している。そのため、効果的な研修は、サイバー脅威に対する意識を高め、サイバー攻撃のリスクを軽減するのに役立つ。従業員研修では、チーム全体として防御の最前線として重要であることを理解するように、情報を提供し、関与させるべきである。企業は、年1回のサイバー啓発研修と、四半期ごとのフィッシングテストを実施する必要がある。サイバー啓発研修がうまくいかなかった従業員には、さらなる研修を受けるよう奨励する必要がある。また、フィッシング詐欺の企てを報告するなど、良好な行動を促すインセンティブも与えるべきである。

新たな規制変更に対応する

一部の評論家は、ランサムウェアの収益性を高めることでさらなる攻撃を助長するとの見方もあるため、政治家はサイバー犯罪者への支払いを非合法化するべきだと主張している。

米国政府や様々な法執行機関もまた、ランサムウェアのギャングとの闘いに積極的になっている。例えば、2020年10月、米国財務省外国資産管理局（OFAC）は、ランサムウェア攻撃の強要であっても、制裁対象団体への支払いは連邦制裁規則に違反するとの勧告を発表した。2021年9月、OFACは、サイバー脅威者に支払いを行うランサムウェア被害者に対する米国政府の反対姿勢をあらためて表明した。

OFACの勧告は、サイバー攻撃の被害者が身代金を支払うことを抑止し、企業がランサムウェアの支払いを行う前に包括的な取引前デューデリジェンスを確実に実施することを目的としている。これにより、企業が攻撃に対してより積極的に防御することを後押しする。

ランサムウェア支払いに対する保険金の支払いは、被害者が身代金を支払う可能性を高め、それによってさらなる攻撃を助長する可能性があるとして、長年にわたって批判されてきた。過去1年以内に、一部の大手保険会社は、ランサムウェア攻撃の補償から手を引いている。例えば、今年初め、世界的な保険会社であるアクサは、ランサムウェア犯罪者に支払われた恐喝金を顧客に補償するサイバー保険のフランスでの契約を停止すると発表した。

サイバー保険契約での明確化

サイバー保険は、大企業であろうと小企業であろうと、より高度な購入商品となっているため、サイバー保険での保障を確保するにあたっては、潜在的なリスクを十分に評価することが重要である。

サイバー保険は事業の中断、財務上の損失、データの損失、ランサムウェア攻撃、攻撃に関連する費用など、サイバーインシデントによる影響の一部をカバーする場合がある。しかし、経営者は、除外される可能性のある項目がないか、保険を見直す必要がある。

保険会社は、サイバーリスクを念頭に置かずに設計された財産保険やオールリスク保険の中から、無症状のサイバーリスク遭遇可能性を区別することを求めている。サイバー保険を購入する前に、サイバーリスクが保険契約で曖昧さなく適切にカバーされていることを保証するために、経営者は保険ブローカーとオープンに対話の機会を持つべきである。

ランサムウェア攻撃はいまだ、サイバー犯罪者にとって収益性の高いビジネスモデルであり続けている。経営者は様々な形態のサイバーリスク、とりわけランサムウェア攻撃から身を守るための新しい方法を模索し続けなければならないので、絶えず進化し続けるサイバー保険状況を、ビジネスが効果的に舵取りできるように支援する適切な戦略を採用する必要がある。

トピックス
サイバー、犯罪、保険、国際、法的リスク、セキュリティ、技術

本翻訳は“Navigating the Evolving Cyber Insurance Landscape”, Risk Management Site (https://www.rmmagazine.com/articles/article/2022/01/13/navigate-the-evolving-cyber-insurance-landscape), January, 2022,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。

ジョセフ・タラフはS-RM社サイバーセキュリティ業務執行取締役。