サイバーセキュリティインシデントやデータ侵害事件を日常的にニュースで目にするようになりました。顧客やユーザーデータを危険にさらす攻撃に大企業が苦慮しているという話を毎日のように耳にします。このような攻撃は、セキュリティ対策が手薄であったり、単に犯罪者の攻撃力が強すぎるために発生することがあります。
サイバー攻撃がなぜ、どのようにして開始されたかにかかわらず、被害者は壊滅的な打撃を被る可能性があります。個人のプライバシーが危険にさらされたり、個人情報が盗まれる危険もあるでしょう。サイバーセキュリティインシデントが企業側にもたらす影響も甚大で、それにより収益性が損なわれる場合さえあります。
評判が失墜したり、事業運営が停止に追い込まれたりということも考えられるでしょう。サイバー攻撃を受けた結果、規制当局に罰金を科せられることもあります。この罰金が、実際の被害よりも高くつくこともあるのです。サイバー攻撃にはさらなる余波が続きます。企業はデータベースを再構築したり、新たにセキュリティソフトウェアやハードウェアを買い直したりしなければいけない場合もあるでしょう。
サイバーセキュリティの専門家は、企業が潜在的な攻撃を検出・ブロックするための予防策に注力すると同時に、インシデントの発生時に適切に対応できるように、ディザスターリカバリー(災害復旧)措置を講じておくことを推奨しています。ただし、これらの対策の他にも打つ手はあります。それは、サイバーセキュリティ保険です。
サイバーセキュリティ保険市場は、2020年までに75億ドルという驚異的な水準に達するであろうという試算があります。それならば、この保険について詳しく知っておく価値がありそうです。
サイバーセキュリティ保険の歴史
実は、サイバーセキュリティ保険の概念は20年ほど前から存在しています。2000年初頭、インターネットは、顧客がオンラインでのショッピングや銀行取引を快適と感じるレベルにまで成熟しました。その当時、企業は2000年問題を懸念しており、日付が変わったときにコンピューターシステムがどのように反応するかを心配していました。何らかの問題が発生した場合に備えて、データや企業の財務状況を保持するための保護対策が行われました。
保険の契約を検討しておくことは、理にかなった対策でした。企業は、さまざまな種類の保険に投資して、ビジネス、従業員、収益を保護しています。それらの保険では、一般賠償責任、商業用不動産、従業員の賃金をカバーすることができます。保険会社は、インターネットがあらゆる業界で非常に重要な役割を担っているにもかかわらず、サイバーセキュリティが彼らにとって未開拓の市場であることに気付きました。
今日では、サイバーセキュリティ保険は、会社の規模や業種にかかわらず、リスク管理のための一般的なツールとなっています。サイバーインシデントからの金銭的な保護と引き換えに、企業が月単位あるいは年単位の保険料を支払うというのが基本的な考え方です。サイバーインシデントには、サイバー攻撃、データ侵害、およびサードパーティやサプライチェーンに影響を与えるその他のケースが含まれます。
GDPRの役割
サイバーセキュリティ保険を契約する前に、企業は詳細な費用対効果分析を行って、社内のリスクを評価しておく必要があります。企業がセキュリティに重点を置いた大規模なITチームを備えている場合、可能性の低いインシデントのために、保険料を支払う価値を見出せないかもしれません。
しかしながら、世界各国の政府がサイバーインシデントへの対応を進めているために、その状況は急速に変化しています。EUは、GDPR(一般データ保護規則)を可決し、加盟国市民のサイバーセキュリティを優先させた最初の組織の1つとなりました。GDPRでは、企業がユーザーデータを保存する方法と、違反が発生した場合の対応を規定しています。
GDPRの内容について、大々的に報道されていることの1つは、企業が侵害通知の発行を怠ったり、その過失が認められた場合に、EUが企業に命じることのできる罰金です。これらの罰金は、違反の内容と重大度により異なるものの、最大で2000万ユーロに達する可能性があり、多くの企業の収益に対する打撃となると考えられています。
サイバーセキュリティ保険会社は、GDPRをはじめとする政府の法令に合わせた商品の調整を始めています。現在、多くの保険がサイバーセキュリティに関する罰金に対応しています。企業がハッキング被害に遭い、罰金が科せられた場合、保険会社は一定の補償額を支払います。
サイバーセキュリティ保険で保護できるもの
サイバー犯罪に起因するコスト(Accenture)
サイバーセキュリティ保険を扱ううえで最も難しいのは、契約の対象となるイベントの種類を正確に判断することです。医療保険などの場合、手続きの流れはシンプルです。患者は医師の診療を受け、提供されたサービスに対する費用を病院の事務が保険会社に請求します。しかし、デジタルセキュリティの場合、保険会社に請求を行ってくれる事務所などは存在しません。ときには、企業が攻撃後数週間あるいは数か月経つまで、その事実に気づかないこともあります。
クラウドコンピューティングが絡むことによって、攻撃の構造はさらに複雑化します。実際にはA社のデータを狙っているハッカーが、そのデータのホスティングプロバイダーであるB社を攻撃するというケースもあるのです。2020年にも、ソフトウェアサブスクリプションのビジネスモデルが拡大を続けるにあたり、ソフトウェア市場のこの新しい領域を扱う企業は、その資産と依存関係を明確に把握する必要があります。サイバーセキュリティ保険の契約書には、保険の対象となるシステムや保険金の支払いが認められるイベントの種類を正確に規定する必要があります。
さらに、最近では、顧客が保険の対象となると考えていた攻撃に対し、サイバーセキュリティ保険会社が支払い請求を拒否するという心配な事例がいくつも発生しています。たとえば、最近注目を集めている事件では、AIGがニューヨーク連邦裁判所に対し、時価総額60億ドルの金融テクノロジー企業であるSS&C Technologiesが被った約600万ドルの損失を補償する責任はないと主張していました。2016年、悪意のある攻撃者は、偽の電子メールアドレスからSS&Cの従業員に送金依頼のメールを送り、同社から590万米ドルを詐取しました。しかしながら、AIGは、犯罪行為に起因する損失を同社が補償しないということを保険契約書で規定していると主張しました。
また、犯罪行為が契約書でカバーされているにもかかわらず、保険会社が国内のハッキングを「戦争行為」と見なし、保険金の支払いを拒否したというケースも発生しています。つまり、犯罪者によるハッキングはカバーされると企業側が思っていても、そうではない場合があるということです。
市場の見通し
現在市販されているあらゆるサイバーセキュリティ製品を使用すれば、オンライン上の安全性を維持するのは比較的簡単であるように思われるでしょう。しかし、実際には、悪意を持ったハッカーらは賢くてクリエイティブな人物であり、常に何か新しいものを暴こうとしています。サイバー犯罪の進化とともに、それらから企業を保護するための保険契約も進化していかなければなりません。
前述のように、サイバーセキュリティ保険市場が75億ドルに達しようとするなか、初めてこの時流に乗ろうとする企業に加え、投資を増やそうとする企業が増加することが見込まれます。リスク管理の目標は絶えず変化するため、企業は常に自社の責任範囲を評価し、ニーズを完全に満たせるように保険会社と交渉する必要があります。
まとめ
サイバーセキュリティインシデントが発生すると、被害を受けた企業は混乱状態に陥るものです。ITチームはただちにリカバリー作業に入り、システムをオンラインに戻し、データをバックアップから復旧しようとします。セキュリティの専門家は、攻撃の根本原因と、防御ツールが攻撃を阻止できなかった理由の分析を急ぐことになるでしょう。サービスチームは、顧客への情報伝達に奔走します。
攻撃から数週間または数か月経過して、企業はやっと攻撃の全貌を振り返り、コストを見積もることができるようになります。そのコストには、失われた収益と無駄になった作業時間、それに規制違反に対する罰金が加算されます。適切に構成された保険契約は、金銭的損失を最小限に抑え、安心感を与えることができるでしょう。
執筆者について:Sam Bocetta氏は、米国の外交と国家安全保障を専門とするフリーランスのジャーナリストで、サイバー戦争、サイバー防衛、および暗号化の技術動向に関する内容を中心とした執筆活動を行っています。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
