サイバー保険とは

サイバー保険とは、サイバー賠償責任保険またはサイバーリスク保険とも呼ばれ、サイバー攻撃、データ侵害、サイバーテロ行為、規制違反などのサイバーセキュリティおよびプライバシーに関するイベントに対する保険契約者の金銭的責任を移転するタイプの保険です。   

サイバー保険契約の提供内容

サイバー脅威の状況そのものと同様に、サイバー保険市場も常に進化しています。サイバー保険契約によって非常に多くのバリエーションが存在する場合もありますが、ほとんどの主要なサイバー保険会社は、10年以上にわたって一般的になっているものと同じ中核となるファーストパーティ保険契約とサードパーティ保険契約を提供します。

サイバー保険は、サイバーリスクを無視した企業の重大な過失をカバーすることを意図していないため、強力なサイバーセキュリティ戦略とポスチャに代わるものではないことに注意することが重要です。むしろ、これらのリスクを最小限に抑えるために合理的な労力をかけた後になお存在するリスクをカバーすることを意図しています。この区別の詳細については、関連するブログ記事「サイバーセキュリティの代替とはなり得ないサイバー保険」をお読みください。

サイバー保険の保険契約

サイバー保険契約には、次の2つの異なる要素があります。

1. ファーストパーティサイバー保険：サイバーイベントの調査と対応に関連するコスト、および組織の事業運営に対する財務的な影響をカバーします。
2. サードパーティサイバー賠償責任保険：組織に、サイバーイベントによる損害賠償請求の結果としての金銭的な補償を提供します。

ファーストパーティの補償範囲

各保険契約の具体的な条件は、ビジネスごと、保険会社ごとに異なりますが、一般的なファーストパーティ保険契約には以下が含まれます。

• フォレンジック調査：多くのファーストパーティサイバー保険契約には、標的となった組織が攻撃を特定して分類し、損害を評価し、影響を受けたすべてのシステム、アカウント、およびエンドポイントをクリーンアップして復元するために役立つ、評判の高いサイバーセキュリティベンダーのサポートサービスが含まれています。これらの補助サービスは、組織が攻撃を阻止し、損害を最小限に抑えるだけでなく、ビジネスの影響を受けた領域を正確に評価して、包括的な復旧計画を策定できるよう支援するために極めて重要です。
• 侵害の法律顧問：侵害が発生した場合、組織は通常、国、地域、さらには州によって異なる法的要件に確実に準拠するために、弁護士のサポートを得る必要があります。ほとんどのファーストパーティ保険契約には、侵害やサイバー攻撃後に組織が法的に実行する必要のあるステップの概要を説明する、法律顧問のサポートが含まれます。
• 通知：データ侵害が発生した場合、組織は被害者を特定し、被害者に個人情報が危険にさらされていることを通知する責任を負います。これには、お客様や従業員の社会保障番号、住所、銀行詳細、クレジットカード番号、運転免許証番号、健康記録など、PII（個人を特定できる情報）の盗難や流出などがあります。また、そのような侵害について関係当局および政府機関に通知し、その後、必要な文書または要求された文書を提供する責任も負います。
• 被害者のクレジットモニタリング：米国の一部の州では、侵害が発生した場合に、クレジットモニタリングのコストをカバーする責任や、影響を受けたお客様が自分のアイデンティティを回復できるよう支援する責任を負う場合もあります。
• サイバー恐喝：ランサムウェア攻撃は現在の状況で最もよく見られるタイプの攻撃であり、ネットワークやデータといったアセットへのアクセスを回復したければ身代金を支払うよう求められます。手厚い保険契約では、特にランサムウェア攻撃に対する保護が盛り込まれ、保険契約者が利用可能なサポートサービスと資金の概要について説明されています。
• データ復旧、業務の中断、および収益の損失：大規模なサイバー攻撃の多くは、業務にとって重要なアクティビティやカスタマーサービスの中断、データの損失、ひいては収益の損失につながります。多くのサイバー保険契約は、組織が影響を受けた期間中に失われた収益を計算し、そのようなコストを相殺する以外に、データやその他のアセットの復元コストを管理するためにも役立ちます。
• 評判の低下：侵害の発生後、ブランドの回復とパブリックイメージの再構築を支援するために、マーケティングと広報活動への投資が必要になります。手厚いサイバー保険契約は、評判の構築と回復に焦点を当てた関連アクティビティのコストをカバーするために役立つ場合があります。

サードパーティの賠償責任補償範囲

サードパーティサイバー保険は、組織が防止する責任のあるサイバーイベントに関連する、組織の財務リスクを移転するように設計されています。また、侵害が組織のネットワーク上で発生する必要はないことに注意することも非常に重要です。そのため、組織は、自社のネットワーク上のイベントとは無関係のサードパーティに影響を与えるセキュリティイベントにつながったエラー、不作為、または過失行為に対して責任を負うことがよくあります。

サードパーティサイバー保険は、PIIを管理する組織や、他の当事者のネットワークセキュリティに責任を持つ組織にとって、特に重要です。

ファーストパーティ保険契約と同様に、サードパーティサイバー保険契約でカバーされる内容についてもいくつかのバリエーションがあります。補償範囲には、次のものが含まれる場合があります。

• ネットワークセキュリティとプライバシーに関する賠償責任：サイバーイベントが原因の被保険者によるエラー、不作為、および過失の結果としてクライアント、お客様、パートナー、またはベンダーが被った損失に対する被保険者の保護。 
• 規制に関する賠償責任：プライバシー規制の違反を防御するための法的費用の補償範囲。
• PCIによる罰金：PCI DSS（ペイメントカード業界データセキュリティ基準）が発行する罰金や違約金の支払いに対する補償範囲。
• 規制に関する罰金および違約金：違反した組織がプライバシー法またはその他の政府の基準や業界標準に違反していることが判明した場合には、罰金またはその他の違約金の対象となる可能性があります。メディアに関する賠償責任：最後に、サードパーティ保険は、名誉毀損（文書および口頭による名誉毀損を含む）、IP（知的財産）の盗難、著作権侵害に対する補償範囲を提供します。

いくつかの重要な例外

多くのサイバー保険契約にはいくつかの例外が存在することに注意することが重要です。多くのサイバー保険会社は、従業員、ベンダー、または組織内のその他のスタッフを悪用して操って未承認のアカウントに資金を送金させるソーシャルエンジニアリング手法による金融詐欺を縮小しているか、またはカバーしていません。この種の補償範囲は、既存の保険契約の拡張として提供される場合がありますが、多くの企業はこのリスクを見過ごし、ビジネスを保護できていません。このことは、安全で許容可能なオンラインでの振る舞いについてネットワークユーザーをトレーニングする必要性と、保険契約およびあらゆるギャップを信頼できるサイバーセキュリティ専門家とともに慎重に検討して評価する必要性の両方を明確に示しています。

また、サイバー保険契約では通常カバーされない分野として、攻撃後にシステムを強化するためのコストがあります。サイバーサービスとサポートにより、フォレンジック分析の一環として改善すべき領域を特定する場合がありますが、セキュリティアーキテクチャのアップグレード、パッチ適用、または強化のコストは、保険契約ではカバーされません。

最後に、米国外で締結される多くの保険契約には、特に米国を拠点とする事業について、地理的な制限が含まれる場合があります。特に、サイバー脅威は国境に制約されないため、保険でカバーされないエンティティを特定することが重要です。組織は、サイバーセキュリティチームと連携してリスクを比較検討し、特定の国を標的とする外国の攻撃者の被害者になる可能性を評価することが重要です。

サイバー保険がこれまで以上に重要である理由

攻撃の増加傾向

「2021年版クラウドストライクグローバルセキュリティ意識調査」によると、2021年に組織の66%が少なくとも1回のランサムウェア攻撃を受け、「クラウドストライク2024年版グローバル脅威レポート」によると、ランサムウェア関連のデータ漏洩は2022年から2023年にかけて76%増加しました。この傾向が加速している一因として、「サービスとしての」ハッカーの利用が増加し、ランサムウェアやその他のマルウェア攻撃を、そのような攻撃を自分自身で実行する技術的な専門知識がなくても利用できるようになったことが挙げられます。

ランサムウェア攻撃は、通常、修復に最もコストのかかるサイバーイベントの1つであり、事業運営を混乱させ、復旧プロセス中に大量のリソースを必要とするだけでなく、ハッカーが要求する身代金の支払いを伴うこともよくあります。

在宅勤務によるリスクの増加および攻撃対象領域の拡大

COVID-19のパンデミックと外出禁止令によって加速したリモートワークモデルへの移行により、組織の攻撃対象領域は劇的に増加しました。従業員がプライベートネットワークや個人のデバイスを介してアプリケーション、アセット、システムにアクセスすると、組織は新たなレベルのリスクにさらされることになります。さらに、接続デバイスとIoTテクノロジーの急増により、サイバー犯罪者にとってのエントリポイントが大幅に増加します。

既存のサイバーセキュリティ戦略やツールセットのほとんどは、この新しい働き方に対処する準備ができていなかったため、新たなセキュリティギャップや欠点が生じることとなりました。

侵害の復旧コストによって組織が損害を被る可能性

ランサムウェアは依然として、サイバー犯罪者にとって最も儲かる戦術の1つです。2023年の身代金の平均支払い額は、185万米ドルです。被害を受けた企業は、影響を受けたシステムをクリーンアップして復元するコストだけでなく、法律、セキュリティ、広報サービスのコストもカバーする必要があります。

身代金が支払われた場合でも、組織のシステム、データ、およびその他のアセットが復元される保証はないことを覚えておくことが重要です。

サイバー保険は誰にとって必要か

サイバー攻撃が増加し、さらに修復に関連するコストは高額になるため、サイバー保険は、あらゆるデジタルビジネスにとって必要不可欠です。ハッカーやサイバー犯罪者の主な標的の1つは、名前、住所、社会保障番号、銀行口座情報、クレジットカード番号、その他の情報（詐欺の実行、二次攻撃への進行、またはダークウェブでの販売に使用される可能性のある情報）などのPIIを含むデータです。

多くの中小規模の企業や組織は、知名度が比較的低いことでサイバー犯罪の被害に遭いにくいと想定している可能性がありますが、実際には、当社のアナリストによると、これらの組織は堅牢なサイバーセキュリティ対策を実施していないことが多いため、多くのサイバー犯罪者が容易な標的と見なしていることがわかっています。

一方、大規模なよく知られた組織は、ランサムウェアを利用して大規模で価値の高い組織や知名度の高いエンティティを標的とすることが多いタイプのサイバー攻撃である、ビッグゲームハンティングの標的になる可能性があります。被害者は、身代金を支払う能力と、事業を再開したり、世間の詮索を回避したりするために身代金を支払う可能性に基づいて選択されます。

クラウドストライクの最新の分析によると、ビッグゲームハンティングは、場所やセクターに関係なく、大規模な組織にとって引き続きセキュリティ上の懸念事項であることが明らかになりました。「クラウドストライク2024年版グローバル脅威レポート」は、ビッグゲームハンティング専用リークサイト (DLS) の被害者数の増加は、新しいBGH攻撃者や、GRACEFUL SPIDERなどの攻撃者が関与する大規模なキャンペーンにある程度起因することを明らかにしています。

サイバー保険の選択

このような状況で、サイバー保険に関しては、組織には3つの基本的なオプションがあります。

補完としてのサイバー保険

サイバー保険は、GCL（一般賠償責任保険） やE&O（過失怠慢責任保険）など、従来の保険契約内のギャップをカバーすることを目的とした、まったく新しい保険商品であることに注意することが重要です。どちらの場合も、既存の保険契約は、最新の脅威の状況のようなものから保護するようには設計されていませんでした。ほとんどの場合、サイバー攻撃やサイバーテロに対応する具体的な文言が含まれていないため、そのようなアクティビティに起因する請求はカバーされないか、サポートが制限されます。

サイバー保険のコストに影響を与える要因とは

サイバー保険契約のコストは、組織が求める、または必要とする補償範囲のレベルに最も大きく影響されます。従来の保険契約と同様に、リスク許容度に基づいて、各組織の予算に合わせた幅広い補償範囲オプションがあります。

サイバー保険料の計算方法は、いくつかの要因によって決まります。これには以下が含まれます。

• 企業の収益
• 業界
• 顧客の数
• 保存されている機密データまたはPIIのレベル
• 保険請求の履歴
• サイバーイベントの履歴
• セキュリティ関連の技術的制御、手順、およびプロトコルの適切性
• 現在の脅威の状況の進化、および脅威アクターの戦術、手法、手順 (TTP) の進歩
• 各組織の地理的な場所、業界、およびデータに特有の規制環境
• 事業費用（従業員の総報酬など）、コンプライアンス、インフレなどのマクロ経済的な要因

特にランサムウェアの増加は、サイバー保険の保険料と補償範囲に直接影響を与えています。サイバー保険料の引き上げ（2022年に50%）は、巧妙さと重大度を増すランサムウェア攻撃により保険会社の損失が拡大したことに直接起因しています。このランサムウェア攻撃の増加による別の間接的な影響は、特に医療や公共団体などのリスクの高い業界で、補償範囲の制限が縮小されたことです。

サイバー保険の最も一般的な引受評価基準とは

ランサムウェアやその他のサイバー関連イベントの量と重大度の増加に伴って、保険基準の厳密化が進みました。過去2年間で、保険会社では、サイバー請求に関連する損失が増加しています。その結果、保険会社は、損害率の保護を強化するために、保険要件を強化しました。

保険会社は、真のエクスポージャーをより正確に把握するために、セキュリティプログラムの透明性を高めることを求め、サイバー攻撃からビジネスをより適切に保護するために、被保険者が講じる必要のあるプロアクティブな対策に大きく重点を置くようになっています。

テクノロジー

被保険者のサイバー技術スタックは、保険料のコストを決定する最大の要因の1つです。セキュリティを保証する単一のツールや制御の組み合わせは存在しませんが、企業のリスクプロファイルの抑制に役立つベストプラクティスはいくつか存在します。これには以下のことが含まれます。

• MFA（多要素認証）：複数の認証情報または認証要素でアイデンティティの確認を行った後にのみ、ネットワーク、システム、アプリケーションへのアクセスをユーザーに許可するマルチレイヤーセキュリティシステム
• NGAV（次世代アンチウイルス）：人工知能、振る舞い検知、機械学習アルゴリズム、エクスプロイト緩和策を組み合わせて使用することで、既知および未知の脅威を予測し、直ちに防御することができる、強化されたアンチウイルステクノロジーソリューション
• EDR（エンドポイント検知・対応）：エンドユーザーのデバイスを継続的にモニタリングし、ランサムウェアやマルウェアなどのサイバー脅威を検知して対応する、エンドポイントセキュリティソリューション
• パッチ管理：ソフトウェア更新プログラム（すなわち「パッチ」）を識別し、コンピューター、モバイルデバイス、サーバーなどのさまざまなエンドポイントに展開するプロセス
• 脆弱性管理：エンドポイント、ワークロード、システムにわたりサイバー脆弱性を特定、評価、報告、管理、修復する継続的で定期的なプロセス

• アイデンティティセキュリティ：企業内のあらゆるタイプのアイデンティティ（人員や機器、オンプレミスやハイブリッド、通常IDや特権付きID）を保護し、特に攻撃者がエンドポイントのセキュリティ対策をバイパスしようとする際にアイデンティティを使用した侵害を検知して防止するための包括的なソリューション
• ゼロトラストセキュリティ：組織のネットワークの内外を問わず、すべてのユーザーを認証、承認し、セキュリティ設定とセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するセキュリティフレームワーク
• CSPM（クラウドセキュリティポスチャ管理）：IaaS（サービスとしてのインフラストラクチャ）、SaaS（サービスとしてのソフトウェア）、PaaS（サービスとしてのプラットフォーム）など、クラウドインフラストラクチャ全体のリスクの特定と修復の自動化
• クラウドワークロード保護（CWP）：クラウドのワークロードとコンテナを継続的にモニタリングし、それらの脅威を取り除くプロセス
• Eメールセキュリティ：不正アクセスや侵害から、特にEメール通信および任意のデータまたは機密情報を保護するために設計されたセキュリティソリューション

ITハイジーンのベストプラクティス

組織は、組織のサイバーセキュリティ技術スタックを強化するだけでなく、ITハイジーンのベストプラクティスを採用して、リスクプロファイルをさらに抑制することもできます。これには以下のことが含まれます。

1. すべての機密データの定期的で安全な暗号化されたバックアップを実行します。
2. 堅牢なインシデント対応 (IR) の計画とテストを実施します。
3. 組織のネットワークにアクセスできるすべての従業員およびベンダーまたはパートナーに対して、包括的なサイバーセキュリティ意識向上とソーシャルエンジニアリング意識向上トレーニングを提供します。
4. サプライチェーンリスク管理の完全な監査を実施します。

保険会社による可視性向上の要望

セキュリティ環境の進化に伴い、既存の補償範囲に対する保険料の大幅な値上げに直面している組織もあれば、保険契約を更新するには、技術スタックに投資し、ITハイジーンを強化したことを証明する必要がある組織もあります。

全体として、保険会社は、クライアントとして引受に同意する対象や保険料を計算する方法を、より見極めるようになってきています。攻撃対象領域を包括的かつ完全に可視化することは、組織のセキュリティだけでなく、その保険適用性にとってもますます重要になります。これは、アイデンティティベースのインシデントに対する可視性が欠如すると、滞留時間（攻撃者がネットワーク内で検出されない時間）が増加し、損害が発生する前に、組織がインシデントを検知して修復することが困難になるためです。また、企業は、最も貴重なアセットとデータをより高いレベルで保護するための措置を講じる必要があります。

クラウドストライクが保険適用性の向上にどのように役立つか

保険適用性の向上の鍵は、包括的なセキュリティカバレッジを実証する組織の能力にあります。CrowdStrike Falcon®プラットフォームは、クライアントがリスクを軽減し、セキュリティ態勢を改善するために役立つ、高度にモジュール化された拡張可能なソリューションとして設計されています。プラットフォームには以下のものが含まれます。

• Falcon Identity Protection。認証トラフィックを分析する継続的なリスクスコアリングエンジンを中心に構築されたFalcon Identity Protectionは、よく使用される攻撃ベクトルであるアイデンティティに焦点を当て、人間やサービスアカウント（単に特権アカウントだけでなく）を含むすべてのアイデンティティに対する振る舞い分析とリスク分析を使用して、リアルタイムの脅威防御とITポリシーの適用を可能にします。
• Falcon Insight™ EDR（エンドポイント検知・対応）。Falcon Insightは、すべてのエンドポイントアクティビティを継続的にモニタリングしてデータをリアルタイムで分析し、脅威アクティビティを自動的に特定することで、発生する高度な脅威の検知および防止の両方を可能にします。
• Falcon Prevent™ NGAV（次世代アンチウイルス）Falcon Preventは、最も効果的な防御テクノロジーを攻撃の完全な可視性およびシンプルさと組み合わせて、理想的なアンチウイルス代替ソリューションを提供します。
• Falcon Spotlight™ 脆弱性管理および検知。Falcon Spotlightは、企業全体をリアルタイムで可視化し、エンドポイントに影響を与えることなく、攻撃へのエクスポージャーを減らすために必要な関連情報をタイムリーにお客様に提供します。
• Falcon OverWatch。CrowdStrike Falcon®プラットフォームに構築されたクラウドストライクのマネージド脅威ハンティングサービスです。OverWatchは、24時間365日体制の詳細で継続的なヒューマン分析を提供し、標準的なセキュリティテクノロジーを回避するように設計された特異または新規の攻撃者の手口を徹底的に探し出します。

クラウドストライクには、サイバー保険コミュニティと連携する専任のチームが存在するため、サイバー保険の複雑なニュアンスを理解しています。このチームは、以前にサイバー保険を引き受け、仲介した経験豊富な保険の専門家で構成されています。このチームは、クラウドストライクの製品とサービスの価値、および当社のソリューションがどのようにクライアントのサイバー保険への加入資格の向上に役立つかについて、保険会社やサイバー保険ブローカーを教育することに膨大な時間を費やしています。