英国のサイバーセキュリティ庁が、ハッキングやランサムウェア攻撃を対象にした保険の契約を検討している企業に向けたガイダンスを発表している。
サイバー保険は、ランサムウェア攻撃やデータ流出事件が発生した場合、被害の復旧に向けた経済的支援を提供することで事業の回復を支援できるとともに、事件に伴って発生する法律面や規制面での頭の痛い問題を解消するためにも役立てられる。
しかし、英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)の新たなガイダンスが指摘しているように、この種の保険はセキュリティ問題を修正してくれるわけではなく、情報漏えいや攻撃の発生を防いでくれるわけでもない。同ガイダンスには「自宅のために損害保険を掛ける際に適切なセキュリティ対策が必要となるように、組織は重要なものを保護する対策を講じ続ける必要がある」と記されている。
英国企業のほぼ半数が過去1年の間にサイバー攻撃を受けたと報告しているが、サイバー保険を掛けている企業の数は依然として少ないままだ。NCSCの経済/社会エンゲージメント担当次長であるSarah Lyons氏によると、サイバー保険はあらゆる組織にとって適切なものとならないかもしれず、優れたセキュリティプラクティスを置き換えられるものでは絶対にないという。
NCSCは、サイバー保険を検討している組織の上級幹部に向けて、問いかけるべき7つのポイントを挙げている。
- どのようなサイバーセキュリティ防御策を既に講じているか?
- どのようにして、契約を評価するための専門家を手当てするのか?
- サイバーインシデントによって生じる可能性のある影響を完全に理解しているか?
- サイバー保険の契約は何を対象としている(あるいはしていない)のか?
- 契約にはどのようなサイバーセキュリティサービスが含まれているのか、またそうしたサービスは必要なものなのか?
- 契約にはサイバーセキュリティインシデント中(あるいはその後)のサポートが含まれているのか?
- サイバー保険の契約で請求(あるいは契約の更新)をしようとした場合、どのようなことを実施しておく必要があるのか?
