サイバー保険の加入有無は、インシデント対応にどのくらい影響を与えるのか?Cybersecurity Dive

サイバー保険に加入している企業は、加入していない企業に比べてリスクを軽減でき、データ侵害や悪質な攻撃への検知および対応に優れ、攻撃から回復する可能性が高いことが明らかになった。

» 2024年09月14日 08時00分 公開
[David JonesCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 2024年8月19日(現地時間)の週に発表された2つの報告書によると、サイバー保険に加入している企業は、加入していない企業に比べてリスクを軽減でき、データ侵害や悪質な攻撃への検知および対応に優れ、攻撃から回復する可能性が高いことが明らかになった。

サイバー保険の加入有無は、インシデント対応にどのくらい影響を与えるのか?

 サイバー保険を提供するAt-Bayの依頼により、コンサルティング企業であるOmdiaが実施した調査では(注1)、積極的なセキュリティ対策や緩和戦略、的を絞った支出を推進するのにサイバー保険が役立っていることが示されている。

 回答者の7割以上は、自社にとってサイバー保険が重要または不可欠なものであると考えており、過去12カ月間でセキュリティソリューションへの積極的な支出が増加したと報告している。

 調査企業であるForresterの報告書によると(注2)、単独のサイバー保険に加入しているグローバル企業の4社に1社は、7日以内にインシデントを検知し対応できたという。これに対して、サイバー保険に加入していない企業の場合は、7日以内にインシデントを検知し対応できた企業は19%にとどまった。サイバー保険が組み込まれた別の保険に加入している企業の場合の割合は18%だった。

 これらの報告書ではサイバー領域における被害を緩和し、リスクを軽減するために保険の補償範囲が果たす役割の重要性が強調されている。

 企業はデータ侵害や悪質な攻撃を緩和し、ビジネスの継続するための重要な要素として保険の補償を捉えている。

 Forresterのハイディ・シェイ氏(プリンシパルアナリスト)は、電子メールで「保険に加入している企業は検知や対応、復旧においてより優れた結果を出している」と述べた。

 シェイ氏は保険企業はしばしばインシデント対応計画やシミュレーション演習を含むさまざまなリソースを提供して企業のインシデント対策を支援していると指摘する。また、調査と回復を支援するためにサービスプロバイダーのパネルと協力することも多い。

 Forresterの調査によると、企業のセキュリティに関する意思決定者の約4人に1人が、今後12カ月間の保険加入を戦略上の重要な優先事項としている。世界の専門家の約12%は、「全体的なビジネスリスクを軽減するために単独のサイバー保険に加入した」と回答している。

 ヘルスケアテクノロジー企業であるChange Healthcareに対して2024年2月に実行されたランサムウェア攻撃や(注3)、サイバーセキュリティ事業を営むCrowdStrikeのソフトウェアアップグレードの欠陥が原因でMicrosoftの「Windows」デバイス850万台が影響を受けた同年7月のIT障害は(注4)、ITセキュリティの問題が財務および業務に対して多大な影響を及ぼすことを示している。

 CrowdStrikeのインシデントに関連して保険で補償される損失額は10億ドルに達すると予想され(注5)、Fortune 500に選ばれている企業は54億ドルの直接的な被害を受ける可能性がある(注6)。

 Omdiaの報告書は米国やカナダ、英国、フランス、ドイツの企業でセキュリティに関する意思決定を実施する400人以上の人物を対象とした調査に基づいている。

 Forresterの調査は、2024年におけるビジネスとテクノロジーの専門家573人からの回答に基づいており、別の調査は2023年に実施された1620人のグローバルなセキュリティ専門家からの回答に基づいている。

© Industry Dive. All rights reserved.