いいサイバー保険に入りたいなら“これだけはやっておきたい5つの対策”：Cybersecurity Dive

サイバー保険に加入する上で考えるべきことは多岐にわたる。もし真剣に加入を検討するのであればしかるべき準備をして、適切な人物に加入を主導させるべきだろう。企業がより良いサイバー保険に入る上で注意したいポイントを解説する。

[Peter Hedberg，Cybersecurity Dive]

　編集部注：以下は、The Travelers Companiesのグループ企業であるCorvus Insuranceでサイバー保険の引受を担当するピーター・ヘッドバーグ氏（バイスプレジデント）による寄稿記事である。

　従来、企業保険プログラムの管理を担当していたのは、財務部や人事部、施設管理部の担当者だった。商業用不動産保険や健康保険、一般賠償責任保険のような従来型の保険に加入する際の質問は比較的簡単である。それは従業員数や保有車両台数を問うような内容だ。

　しかしサイバー保険の検討や申請の場合、質問や考慮事項は複雑になる。サイバー保険の加入を検討する際には、適切な準備と適切な人材の同席が不可欠だ。企業がより良いサイバー保険に入る上で注意したいポイントを解説しよう。

サイバー保険に加入したいなら最低限やっておきたい5つの対策

　ランサムウェア攻撃やデータ侵害、その他のサイバーセキュリティインシデントの頻度と深刻さが増しているため（注1）、サイバー保険に注目が集まっている。

　保険は、サイバー関連のインシデントが発生した後のデータ復旧や事業中断、その他の損失に関連する費用をカバーするリスク移転の手法により、組織が暴露の影響を軽減できるように設計されている。一般的にサイバーイベントを補償対象外とする一般賠償責任保険とは異なるのだ。

　平たく言うならば、サイバーリスクは火災事故と同様に真剣に扱うべきものだ。どちらも長期間にわたってビジネスを混乱させる可能性が高い。

　調査企業であるForrester Researchの2023年の報告書では（注2）、企業においてセキュリティ意思決定者の83％は「何らかの形でサイバー保険に加入している」と回答した。しかし、サイバー領域の被害を補償する単独の保険に加入している企業はわずか26％だった。

　加入率が低い理由の一つは、これらの保険に関する知識不足であると考えられる。よくある誤解として、事業賠償責任保険や事業主保険（BOP）で十分な補償を受けられると考えていること、サイバー攻撃は大企業に対してのみ実行されると考えていること、費用対効果を検討する際に侵害の真のコストを理解していないことなどが挙げられる。

　このような状況があるため、サイバー保険を検討する際は、CISO（最高情報セキュリティ責任者）やサイバーセキュリティ担当者が主導権を握るべきだ。

　企業がサイバー保険を初めて検討したり、更新時に保険を比較したりする際にやるべき最初のステップは、攻撃や侵害から自社を守るための強力なセキュリティ対策とインシデント対応計画を整備することだ。

　強固な管理体制はリスクを軽減するだけでなく、企業の保険加入においても役立つ。

　サイバーセキュリティ事業を営むNetwrixの最新の報告書によると（注3）、サイバー保険に加入している企業のほぼ半数は、保険の要件を満たすためにセキュリティ態勢を強化する必要があり、30％の企業は保険の適用を受けるために実際に強化したという。回答者の5人に1人は「保険料を削減するために追加のセキュリティ対策を実施した」と答えている。

　これこそが組織のサイバーセキュリティ担当者がサイバー保険において中心的な役割を担うべき理由である。

　企業が最低限整備すべき内容は次の通りだ。

• 多要素認証
• パッチ管理
• 強固なバックアップ戦略
• エンドポイントの検出と対応
• 全社的な教育とトレーニング

サイバー保険の検討におけるCISOの役割

　繰り返しになるが、サイバー保険契約とプロバイダーの検討は、CISOまたは組織のセキュリティリーダーが実施すべきだ。なぜならCISOは以下を実行するのに最も適した立場にある。

• 付加価値サービスを含む「得られるもの」を評価する。例えば保険には、サイバーセキュリティの盲点を指摘し、リスクに関する洞察や分析を積極的に提供し、攻撃や侵害が発生した場合に実践的な支援を実施するリスクアドバイザーへのアクセスが含まれている保険もある
• 主要なサイバーイベントに対する補償を比較する
• 企業の既存のセキュリティ管理とサイバーリスク態勢に関する質問に答える

　CISOがサイバー保険の検討を主導すべきだが、次のことを強化するために必要に応じてITや法務、財務などの分野の専門家も同席させよう。

• サードパーティーおよびサプライチェーンの脆弱（ぜいじゃく）性に関するリスク評価。この機会にサードパーティープロバイダーとの契約を見直すことが重要だ。ソフトウェアやヘルスケア、自動車などの複数の業界で発生したサプライチェーンプロバイダーへの最近の大規模な攻撃は、これらのチャネルを通じたサイバーリスクを評価する必要性を示している
• プライバシーやデータ管理に関する潜在的な責任。保険の検討や更新は、プライバシーおよびデータ管理の実践を見直す良い機会だ。データ保持に関連して、ビジネスまたはコンプライアンスにおいて説得力のある目的が存在するかどうか、もしそうでない場合、それが法的責任を発生させる可能性はあるかどうか、データのバックアップは強固で安全かどうかなどを確認しよう

　CISOは、保険契約の検討と更新をリーダーシップに対する教育の機会として活用し、リスクを軽減し、より優れた保険に加入するための積極的なセキュリティ対策に資金が必要な理由を説明すべきだ。

　デジタルの境界を保護するコストは高く感じられるかもしれないが、データ侵害や攻撃に関連して発生するコストはそれをはるかに上回る可能性がある。実際のコストは、増加するランサムウェアの支払いにとどまらない（注4）。法務費用やIT費用の増加、セキュリティ対策の迅速な導入、ブランドや企業の評判の低下などのさまざまな要素が関係する。

　サイバー保険のブローカーや保険企業に相談し、補償範囲を正確に理解して、保護が抜け落ちることを防ごう。企業はしばしば、サイバーセキュリティリスクの全体を十分にカバーできない保険に加入してしまう。

　CISOまたはセキュリティリーダーは、企業が保護しているデータとシステムを評価し、回復力を高めるための投資を推奨できる。彼らはランサムウェア攻撃の標的になりそうなシステムやカバーすべきシステム、ダウンタイムのコストなどをよりよく理解できる立場にある。

　保険ブローカーや保険会社、自社の間に信頼関係を構築することも重要だ。企業のセキュリティ体制に対する侮辱と見なされることが多い敵対関係ではなく、サイバー保険の重要性について経営陣を教育し、推奨されるリスク軽減戦略を実装する機会を探すとよい。

　この他、積極的なリスク防止サービスやリアルタイムの脅威インテリジェンスを提供するサイバー専門家チームへのアクセスなど、保険会社の付加価値サービスを活用することも忘れてはいけない。

　サイバー保険は企業にとって効果的なツールだが、評価や申請プロセス、管理は分かりにくく複雑に思えるかもしれない。CISOが主導権を握り、ポリシーがサイバーイベントに対して十分な保護を提供し、積極的なリスク軽減と保険適用性の向上のための堅牢（けんろう）なセキュリティ制御を確実に提供できるようにしてほしい。

（注1）Ransomware Season Arrives Early（CORVUS）
（注2）The State Of Cyber Insurance, 2023（FORRESTER）
（注3）30% of Organizations with Cyber Insurance Implemented Additional Security Measures to Be Eligible for the Policy, up from 22% in 2023（PR Newswire）
（注4）Ransomware Season Arrives Early（CORVUS）

原文へのリンク