サイバー攻撃の急増に伴い、保険会社は保険料を引き上げる傾向にあり、サイバー保険に加入する企業にとって、状況はより厳しくなっています。また、サイバー保険に加入している場合でも、企業のセキュリティとデータ保護戦略が最低限の要件を満たしていなければ、保険加入のメリットは少ないです。むしろ保険は、デジタルレジリエンス(回復)のツールボックスのほんの一部として認識する必要があります。第2回では、サイバー保険の全体像から企業におけるベストプラクティスについて考察します。
サイバー保険は未開拓の分野なのか?
2022年後半から2023年にかけて、サイバーセキュリティの中でも、サイバー保険が世界的にホットワードになりました。企業は、サイバー攻撃が完全には避けられないものと判断し、被害に直面した場合の補償を求める傾向が高まりました。
Veeam Softwareが2023年1月に発表した「2023 データプロテクションレポート」によると、2022年にランサムウェア攻撃による被害に遭った組織は、世界で85%(日本国内では84%)と、前年の76%から増加しています。同時に保険業界は、まだ完全に理解していないサイバー脅威に対応しようと奔走しています。世界的に見ると、サイバー保険の価格設定は、前四半期の53%増に続き、2022年第4四半期には28%増となり、徐々に高額になっています。
保険料の上昇と並行して、保険会社は保険をかける相手とかけない相手を見極める目を養っており、保険に加入するために必要な組織の保護体制に関する最低基準を引き上げています。同様に、どのような種類の事故を保険の対象とするかというスタンスも変化しています。
2022年8月には、英国ロンドンの大手保険会社が、国家が関与するサイバー戦争由来の事故を保険対象から除外すると発表しました。サイバー保険に関する業界の知見は未開拓であると感じるかもしれませんが、それは仕方のないことかもしれません。この領域はまだ日が浅く刻々と状況が変わり、また、サイバー攻撃による事故には独特の複雑さがあるため、保険会社や企業は、まだ全体像を把握し切れていないのです。企業がサイバー保険を検討する際には、保険金の請求が複雑で、「Insurers are in the business of not paying(保険会社はお金を払わないのが仕事)」ということわざがあるように、保険金の請求が複雑だということを念頭に置いておく必要があります。保険金の請求には時間がかかり、また多くの証拠が必要であることに加え、サイバーインシデントの後には資産がひっ迫する可能性があります。
サイバー保険を活用したベストシナリオ
企業は、保険金の請求がたとえ受理されたとしても、ランサムウェアのようなサイバー攻撃そのものに対する解決策にはならないことを理解しなければなりません。どのような種類の保険でも同じことが言えますが、お金で損失をカバーすることはできても、事故が及ぼすもっと大きな影響を解決することはできないのです。サイバー攻撃では、お金で解決できない影響はより特異で複雑です。深刻なセキュリティ事故が発生したことに変わりはなく、資金面で補償があっても、それだけで起きてしまった火事を消せるわけではありません。
ランサムウェアのようなサイバーインシデントが発生した直後は、システムを復旧させなくてはなりませんが、多くの場合、犯罪捜査と保険金請求を並行して進めます。企業にとって、データ、アプリケーション、システムの可用性を回復することは非常に重要であり、その損失は1秒ごとに何千万円にも及ぶ可能性があります。さらに、以前システムを管理していた場所(攻撃が発生した場所)は、捜査現場として扱われるだけでなく、安全で問題のない環境であることを保証できないため、データが戻せないという課題もあります。例えば、一晩でオフィスが焼け落ちたとしても、すぐに同じ場所に新しいオフィスを建てることはできません。オフィスが安全になるまで、社員のために代替の労働環境を用意する必要があるということです。
このほかにも、サイバー事故により起こり得る「二次災害」が幾つか想定できます。データのクオリティは最大の懸念事項の一つであり、データセットを監査し、破損がないかどうかを確認することは非常に重要です。旧バージョンのデータやシステムを使用して復旧する場合は、できるだけ早くアップデートする必要があります。基本的には、全てが正しく機能し、統合されて動作していることを確認することが重要です。一方で、システム上に残っているマルウェアに再感染したり、二重、三重に脅迫を受けたりする危険性が高いため、サイバー攻撃が終わったかどうかを知ることは困難です。
もちろん、以上のことは全てランサムウェアの要求を支払うことなく事業が復旧した場合を想定しています。もし組織が身代金の要求を受け入れた場合(おそらくサイバー保険がその費用を補償してくれると考えた)、依然多くの問題点が残ります。最も重要なのは、身代金を支払ったにもかかわらずデータを復元できない可能性があることです。なお、サイバー攻撃者から提供された復号キーを使用して、暗号化の解除に成功したとしても、その処理には非常に時間がかかる可能性があります。また、身代金を支払う企業は、「攻撃が繰り返される」というリスクを抱えています。サイバー攻撃者たちは、彼らやほかのハッカーグループがもう一度身代金を要求するチャンスを得るために、支払った人をマークしていることが多いのです。