ランサムウェアは激化しているのになぜ企業はサイバー保険を敬遠するのか?:Cybersecurity Dive
サイバー保険は、企業全体のセキュリティベースラインを引き上げるのに役立つが、単独のサイバー保険に加入している企業はわずか4分の1にすぎない。企業はなぜサイバー保険に入りたがらないのか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
組織全体のサイバーセキュリティを向上させる効果的な方法の一つは、サイバー保険に加入することである。
なぜ企業はサイバー保険に加入したがらないのか?
Forresterの調査によると(注1)、データ侵害の可能性を排除することは困難だが、保険の引き受け時に承認を得るための厳格なルールがあるため、組織の全体的なサイバー態勢は自動的に改善されるという。
Forresterの調査によると、サイバー保険への加入によってプラスの影響があるにもかかわらず、単独のサイバー保険に加入している企業はわずか4分の1にすぎない。
企業が単独のサイバー保険を敬遠し続ける理由は多い。企業が加入している他の保険にサイバー保険が含まれている可能性もある。しかし、コストや補償限度額に関する懸念も(注2)、潜在的な購入者を遠ざけている。
補償の格差に加え、補償を得るための複雑さも関係している。これは、ファーストパーティの保険と、サードパーティーの保険で補償が異なるためだ。
保険企業であるCorvus Insurancのピーター・ヘドバーグ氏(引受担当者兼バイスプレジデント)は、2024年5月に米国サンフランシスコで開催された会議「RSA」で聴衆に対して「ファーストパーティ保険は、保険契約者の損失をカバーする保険だ。サードパーティー保険は、第三者から身を守るために費用を支払い、判決が出た場合には第三者に保険金が支払われるものだ」と語った。
サイバー保険の専門企業であるCowbell Cyberのエマ・ワース氏(地域担当バイスプレジデント)は、電子メールによるインタビューで次のように説明している。
「初期のサイバー保険は、オンラインメディアやPCのエラーに焦点を当てた第三者補償が中心だったが、2000年代に入ると、データ侵害を含むリスク保障へと進化した。ランサムウェアをはじめとしたサイバー犯罪が増えるにつれて、ファーストパーティ保険の必要性が高まった」
「現在、私たちはAIという新たなリスクに直面しており、さらなる進化を遂げようとしている」(ワース氏)
AIの導入によって補償範囲は拡大する
AIはサイバー攻撃のリスクを有する新しいテクノロジーやデバイスを認識するための競争の最前線にいる。組織はAIがどのように使用されているかを理解し、別の攻撃や不正な従業員の一部としてではなく、AIによって直接引き起こされた攻撃をどのように区別するかを模索している。
これはあらゆるものにおける世界的な変化であり、保険企業でさえAIをどのように保険でカバーすべきかを模索している。
保険企業であるCrum&Forsterのバイオレット・サリバン氏(アシスタントバイスプレジデント兼ソリューションチームリーダー)は、RSAのパネルで「AIがリスクに影響を与える以上、あらゆる種類の保険に影響を及ぼすだろう」と述べた。
一方、サイバー保険は企業ネットワークの外に位置する個人的な領域へとその範囲を広げつつある。
保険企業であるHSBのモニーク・フェラロ氏(サイバー顧問)は、RSAのパネルで「私たちは現在、自動車の情報システムが侵害を受け、情報が漏えいしたときのためのサイバー保険を用意している」と述べた。
スマートデバイスを使用する家庭や企業が増えるにつれ、個人向けの保険も一般的になっている。暗号通貨向けの保険はウォレットや取引所を保護し、プライバシーの保護に注目が集まっている。
サイバー保険は一つのツールにすぎない
サイバー保険の調達には依然として時間がかかるが、保険加入のハードルは下がっている。
「全体として業界全体でサイバーハイジーンが強化されている」(ワース氏)
多要素認証(MFA)やパスワードマネジャー、パスワードレスの技術、データのバックアップといった対策は、ほとんどの企業で標準となっている。そのため、管理体制が整っていない中小企業でも保険に加入できる。
また、サイバー保険プロバイダーが企業と提携し、保険のライフサイクルの中でサイバー態勢を強化し、サイバー領域においてより強くなるよう支援することも一般的になりつつある。
全体として、サイバー保険の保険料は年々横ばいか、あるいは低下している。しかし、例外もある。
保険仲介企業であるMcGill and Partnersのライアン・グリフィン氏(パートナー兼米国サイバー部門の責任者)は、電子メールによるインタビューで次のように答えた。
「注目を集める事件を経験した業界、例えばヘルスケア技術や医療系システムを扱う業界では保険料や免責金額に対する圧力が続いている」
ランサムウェアはサイバー保険の適用範囲と費用において、今後も問題になりそうだ。1年前ないし2年前までは、ランサムウェアに関する補償を受けることはほぼ不可能だった。しかし現在、身代金の支払いは減少傾向にある。
真の問題は、ランサムウェア攻撃によってもたらされるビジネスの中断による損失であり、それはコストや保険の利用可能性に影響する。
適切な保険契約は他のセキュリティベンダーとの契約と同様に組織のセキュリティポリシーに沿ったものでなければならない。
「サイバー保険は、ツールボックスに入っている多くのツールの一つだ。リスクを軽減する手段の一つなのだ」(サリバン氏)
(注1)The State Of Cyber Insurance, 2023(FORRESTER)
(注2)Overcoming Challenges to cyber insurance growth(Deloitte)
関連記事
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか?
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。
macOSのセキュリティ防御率は23% WindowsやLinuxと比べて大幅に劣ることが判明
Picus Securityは年次セキュリティレポート「Picus Blue Report 2024」を公開した。調査から、macOSにおけるセキュリティ防御率はWindowsやLinuxに比べて大幅に劣ることが明らかになっている。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
人気記事ランキング
- Claudeに店舗運営任せたら暴走して大赤字になった件 素人丸出しでも光る可能性
- Chromeに深刻な脆弱性「CVE-2025-6554」 急ぎアップデートを
- 多要素認証突破も当たり前 今話題のリアルタイムフィッシングとは?
- 有料のウイルス対策ソフトを入れる人は“初心者”? マルウェア対策を再考しよう
- Lenovo製PCに潜むAppLocker回避の脆弱性 標準ユーザーでも書き込み可能に
- Google、「ゼロ知識証明」技術のライブラリーをオープンソース化
- AIエージェント連携技術「A2A」標準化へ 7社の狙いと「顔ぶれ」の意味を読む
- AWSが日本に2兆円投資する理由 大規模イベントで語られた未来の姿
- Microsoft Intuneの設定リセット不具合が発覚 恒久的な対策は現状なし
- 北朝鮮系ハッカー集団がClickFixを採用 Chromeを装った攻撃に要注意
ITmediaはアイティメディア株式会社の登録商標です。