米国のコロニアル・パイプライン社を直撃したサイバー攻撃は、民間企業のインフラが破壊された場合でも莫大な経済的影響を及ぼすことを明確に示しました。その後、基幹インフラを標的にした大規模なサイバー攻撃が続き、2023年に発生した世界のサイバー攻撃の70%近くが、基幹インフラをターゲットにしたものでした。
私たちの毎日の生活を支えるシステムの侵害は、世界中で国家安全保障上の懸念となり、その攻撃への対策は喫緊の課題となっています。
近年、基幹インフラを所有する企業がサイバー保険を契約する傾向が高まっており、世界経済フォーラムによれば、大企業の85%がサイバー保険に加入しています。 しかし、サイバー攻撃の件数が世界中で増える中、多くの保険会社が厳密な条件を満たすよう求めるため、サイバー保険に加入することが容易ではないケースが増えているようです。
基幹インフラを提供する企業は、いかにしてサイバーリスクを軽減していくべきでしょうか。また、サイバーセキュリティ対策を進めるにあたり、サイバー保険はどのように役立つのでしょうか。
セキュリティの不備は保険料の上昇につながる
従来、基幹インフラを提供する企業は、事後対応型のサイバーセキュリティ対策に依存していました。インシデント対応、脆弱性に対するパッチの適用などがその例ですが、それでは、今日の激化するサイバー攻撃には防備として不十分です。
その一方で、基幹インフラに対するインシデントの 84%が、ベストプラクティスや基本的なセキュリティ対策 (厳重なアクセス管理や最小権限の原則の徹底など) で予防できたことが分かっています。
サイバーセキュリティの防御対策が不十分な企業は、保険会社の厳しい基準に満たない場合、高い保険料を支払うことになります。保険料は、2020年の新型コロナウイルスのパンデミックによって急激に上昇しました。
サイバー攻撃がますます増加したため、2023年に保険を契約した世界の組織の95%がその影響を直接受け、 62%が経費の上昇を報告しています。その反面、堅牢なサイバーセキュリティ対策を講じている企業は、保険会社のリスク査定で良好と見なされます。Forrester による調査では、回答者の60%が保険をかけようとしても、サイバーセキュリティ態勢が問題になったと報告しています。
サイバーリスクを最少化して保険料を安く抑える
サイバー保険を契約・更新する手順には、当事者間の信頼が大きく関わっています。企業は多くの事柄を実証し、時間をかけてその記録を作成しなければなりません。保険会社によっては、特定の脆弱性対策、ランサムウェアに対する防備、インシデント対応システムなどについても個別に証拠文書を要求します。
機密情報を保険会社に開示すること自体がリスクになり得ますが、このようなデータがないと、企業の全体的なサイバーリスク対策の実態を把握できません。
従来、企業はサイバー保険に加入するために、インシデント対応などの受け身の対策を実施していました。しかし、インシデント対応にかかるコストは予測不可能かつ高価である場合が多く、インシデント対応はサイバーセキュリティにとって重要ではありますが、それが唯一のリスク軽減策であってはなりません。
では、どうすればよいのでしょうか。そもそも侵害を避けることに焦点を当てた、予防的なセキュリティ対策に移行する必要があります。事後対応型の対策に加えて、予防的な対策を講じることをサイバー保険会社が顧客に推奨すれば、両者が功を奏してリスクを効果的に最小化できるでしょう。
予防的なセキュリティ対策のポイントとは
予防的なセキュリティ対策に相当する標準的なサイバー衛生対策は、最小限の労力でリスク軽減に大きな効果がある方法です。ここで重要なのは、以下の4点です。
- クラウドとOTを含むアタックサーフェス全体を完全に可視化すること
- 深刻な脆弱性を特定して、修正作業の優先順位付けを素早く行えること
- 人とマシン両方のユーザーとアイデンティティを評価して、適切なレベルに権限を設定し、誤用や悪用を最小限に減らすこと
- Active Directoryの設定ミスを修正して潜在的な攻撃経路を塞ぐこと
予防的なセキュリティ対策を講じていれば、攻撃を防ぎ、サイバー対策に関して十分な対策が実行されていることを保険会社に証明できます。多くの場合、予防的なセキュリティは事後対策に比べて経費がかかりません。
予防的な対策とサイバー保険の条件を整合すると、保険の契約にあたって通常のレポート、ダッシュボード、リスクスコアなどを利用できるので、手順を簡略化できます。更新にかかる時間も短縮され、保険引き受け業者が信頼できる精度の高いデータを提供でき、保険料が下がり、高度なセキュリティが得られます。
整合性があると保険会社はポートフォリオのリスクを管理しやすくなるので保険料を下げられる可能性が高まり、顧客はより早急に保険を更新でき、双方にメリットがあります。サイバー保険の選択には、カバレッジ、サイバーセキュリティへの理解、被保険者の予防的なセキュリティ対策との整合性を考慮することが重要です。
予防的なセキュリティを最優先とすることは、サイバー保険会社にとっても、被保険者となる企業にとっても非常に重要です。サイバー保険契約をサイバーセキュリティのベストプラクティスに整合させることは、企業にとって予防的なアプローチを採用してリスクを最少化するインセンティブにもなります。
エクスポージャー管理のような予防型の対策を講じる企業は、必要となるサイバー衛生管理を実践して、サイバーリスクを数量化するので、包括的なカバーのある保険を契約しやすくなり、さらに経費の節減につなげることができます。
著者プロフィール
貴島 直也(きしま なおや)
Tenable Network Security Japan株式会社 カントリーマネージャー
アダムネット株式会社(現 三井情報株式会社)やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ・拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張を牽引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティの実行を統括。