2023年に予測されるサイバー保険加入時の審査内容の変化
ランサムウェア攻撃は通常、ワークステーションやサーバから開始されることから、エンドポイント・セキュリティがますます詳細な分析対象となる見込みである。
そのため、これまで保険会社が企業に求めていたのは、フィッシングや認証情報窃盗の手法のトレーニングを従業員に実施しつつ、エンドポイントの検知・応答(EDR/XDR)ソリューションを使用することで、疑わしいアクティビティの特定・修正に役立てることだった。
しかしながら、攻撃者は臨機応変に戦術を変更していることか、ら従業員が新たな攻撃手法を確実に認識することは極めて難しい。SolarWindsのインシデントからも分かる通り、高度な攻撃者は管理者の認証情報を悪用し、EDR/XDRを無効化および迂回する方法を特定している。
この結果、保険引受時にはエンドポイントの特権コントロールの精査、中でも上級システム管理者、開発者、さらには、管理者権限が必要なレガシー・アプリケーションの使用者を含む、あらゆるユーザーを対象としたローカルの管理者権限の削除が必要となってくる。その際、企業にとっての大きな課題は、最小特権コントロールと運用効率の適切なバランスを見つけることである。
最近まで保険会社の確認事項の1つにすぎなかった多要素認証(MFA)についても、要件は高まっている。ヘルスケアと高等教育の分野を中心に、MFAが十分に活用されていなかった事実が支払後の分析で判明したため、保険会社はより詳細な調査に着手した。
さらに、保険会社は、特権アカウントについて大きな補償内容の差があることを発見した。この特権アカウントは特定の人物とはひもづかないものの、共有されシステム管理者や他の特権ユーザーによって機密データの保護に使用されていた(例: すべてのサーバ上にビルトインで存在するシステム管理者アカウント)。
その結果、高価値の資産を隔離しつつMFAを実現するため、保険引受会社は個人にひもづかない特権アカウント(例: Administrator、root、サービスアカウント)を対象とする特権アクセス管理(PAM)を義務付けるようになった。
上記に加えて、機密データや企業システムへのアクセスを必要とするベンダー企業のサードパーティ特権ユーザーの認証方法も、保険会社は注目している。自社システムと同じセキュリティ対策をベンダーにも要求している一方で、自社従業員と同じセキュリティ考慮事項が適用されるケースはあまりない。
例えば、2週間の短期契約などでベンダーのオンボーディングを実施する際、リスクを最小限に抑えるためには、オンボーディング/オフボーディングの作業は新入社員と同等のプロセスを経る必要がある。
このような特権アクセス管理を重視する体制は、人間にひもづいているアイデンティティ(ID)だけではなく、人間にひもづかないマシンID にも及ぶ。マシンIDは平均で人間のIDの45倍の数にも及ぶとされるが、その具体例としては、サービスアカウント、ハードコードされたシークレット、機能の実行に強力な認証情報が必要なソリューション(例:構成管理データベース・プラットフォーム、DevOpsオーケストレーション・ツール)のほか、ロボティックプロセスオートメーション(RPA)などの自動化プロセスが挙げられる。
こうした取り組みの一環として、保険会社は自動パッチ管理システム、脆弱性スキャナーなど、攻撃者が無効化しようとする可能性がある既存のセキュリティツールを中心に、特権コントロールの強化を目指している。
保険会社は技術的な安全策だけでなく、サイバーセキュリティの意識向上に関する継続的なトレーニングの実施など、十分な人事体制も考慮している。さらに、攻撃発生時の業務の復旧速度を割り出すため、今後は企業のデータバックアップ・プラクティスとインシデント・レスポンス計画も審査の対象になると考えられる。
正しい方向への一歩
サイバー保険の加入を検討している企業に求められるのは、急ピッチで変化するデジタルビジネスの世界に対応するため、セキュリティの要件も進化していることへの認識である。
しかし、変化への順応を加速させることは、組織や文化的な観点から難航することも多く、恐怖や不安をかき立てる可能性がある。これを最小限に抑える最善策は、人々にその「理由」と、これらのリスク軽減策が業務効率に影響を及ぼさないことを理解してもらうことである。重要なのは、企業がセキュリティ対策への理解と従業員の教育に時間を費やすことである。将来を視野に入れつつ、現在の要件への対応に各社が取り組む中、ビジネスに影響を出さずに、サイバーリスクを効果的に軽減することは、企業が今後も重視すべき点である。
ランサムウェアの防御策の強化に向けて、各社が積極的に取り組んでおり、適切な対策を講じている点は朗報といえる。より強力なセキュリティ・コントロールを導入し、より効果的に活用することで、保険会社の損失は安定化しつつあり、市場は若干軟化しつつある。我々はいまだに取り組みの途中ではあるが、正しい方向へと進み始めている。