サイバー保険とは?

サイバー保険とは、サイバー攻撃やデータ侵害をはじめとするサイバー関連のインシデントによって発生した損失に対して、金銭的な保護を提供する保険のことです。

他の種類の保険と同様、サイバー保険にも保険会社が契約者に対して法的な支払い義務を負う保険金に関する規定があります。

サイバー保険は包括的なデータセキュリティとデータ管理戦略において重要な要素となっており、暗号化やロールベースアクセス、フィッシング制御、AIやMLを活用した異常検知、セキュリティポリシーといったハードウェアやソフトウェアのデータ保護機能を補完しています。

サイバー保険は、組織がサイバー脅威から身を守る上で有益なツールです。サイバー保険は組織を対象として、組織がサイバー脅威から身を守るのを支援します。その人気は、1990年代から高まり始めました。これは、企業が顧客データや機密データの安全性を維持する上で、より多くの規制やリスクに直面したためです。

サイバー保険はなぜ重要なのか?

ランサムウェアなどのサイバー攻撃における巧妙性と頻度が高まる状況で、サイバー保険は復旧を加速させるツールとして、取締役会や経営幹部に安心感を与えることができます。サイバー保険では特に、経済的損失、評判への悪影響、法的責任から身を守ることができます。これは金銭的なリスクを保険会社に負担させ、さらにはデジタルビジネスのリスクを減らすことができる方法なのです。

ランサムウェア攻撃がブランドの収益、評判、従業員の生産性に及ぼす悪影響は甚大で、致命的になる場合もあります。Cybersecurity Ventures社によれば、サイバー攻撃に関連するコストは2023年に8兆ドルに到達すると予測されました。同社はこのコストが今後3年間で年間15%ずつ上昇し、2025年には10.5兆ドルに達すると予測しています。

Cohesityが実施した近年の調査では、現代の深刻化するサイバー脅威に対処して事業継続性を維持するために必要なサイバーレジリエンス戦略やデータセキュリティ機能が、ほとんどの企業に存在しませんでした。サイバーギャップが露呈しているため、このような企業が攻撃を受ける可能性は高まっており、サイバー保険に加入することも難しくなっています。

サイバー保険の加入要件とは?

ランサムウェアが蔓延しているため、保険会社によるサイバー保険金の支払額は増加しています。その結果、保険会社はガイドラインを厳格化し、組織に特定の保険適用条件を満たすよう要求しています。ベンダーやポリシーに違いはありますが、どの保険会社も、セキュリティ担当者を雇用する、もしくは悪意ある行為者に対抗するための実証済みのポリシー、テクノロジー、トレーニングを導入することで、組織が脆弱性に対して十分に対処しているという保証を求めています。

一般的に保険会社は、申込者のデータセキュリティ対策 (データバックアップの手順やパスワードに関するポリシーなど)、データ漏洩の履歴、収集・保管しているデータの種類について尋ねたり、確認を行ったりします。なお、保険会社によっては一定の収益を挙げている、特定の地域に所在している、特定の種類の事業を行っている企業のみと契約する場合もあるため注意が必要です。堅牢な社内セキュリティ制御の導入や、信頼性の高いバックアップと復旧ソリューションの運用という観点において、厳格な要件を満たせない組織は珍しくありません。

だからこそ、サイバー保険に加入する前に保険会社が求める基準を満たすことを支援する、Cohesityのようなデータセキュリティとデータ管理ソリューションが注目されています。

サイバー保険の補償範囲は?

サイバー保険は、財務情報、保護対象保健情報(PHI、個人を特定できる情報 (PII)) といった顧客、従業員、パートナーの機密情報がデータ漏洩で失われた場合の、企業のサイバー賠償責任を補償するものです。このような保険には通常、ファーストパーティの直接的な損失と、サードパーティの損失の両方の補償が含まれています。ファーストパーティの損失としては、収益の損失やデータ復旧にかかる費用、サードパーティの損失としては調査会社や訴訟のための法的代理人を雇う費用が挙げられます。また、サイバー保険では、収入減、ブランドへの影響管理、データ漏洩の影響を受けた顧客のクレジットモニタリングサービスにかかる費用も補償されます。

サイバー保険の補償対象外になるものは?

侵入が組織に影響を及ぼす方法は多岐にわたるため、保険会社はすべてのシナリオや費用を補償してはいません。一般的に、予防可能な問題、人為的ミスや怠慢 (軟弱なセキュリティプロセスや内部からの攻撃など) によって引き起こされた問題に関わる費用は補償されません。

恐喝に関連するランサムウェア攻撃に対して保険金を支払う保険会社もあります。しかしその一方で、攻撃者に資金を提供した組織は補償しない保険会社もあります。巧妙なソーシャルエンジニアリングスキームで従業員が欺かれた場合など、身代金などの支払いに悪意がなかったとしても、資金提供を行った組織は補償されません。さらに、侵害によって継続的な被害が生じる場合でも、これに関連する将来の収益や利益の実際または潜在的な損失についても補償されません。例えば、主な知的財産 (IP) の損失に繋がる侵害の後は、競争力の維持やビジネスの継続自体にも苦労する場合があります。しかし、多くのサイバー保険ではこのような金銭的損害が補償されません。サイバー戦争や国家によるサイバー攻撃に関連する免責条項を記載したサイバー保険が増加しています。例えば、国家主導のグループが高度兵器に関わる知的財産を窃取する攻撃を仕掛けた場合、保険会社にこれを補償する義務はありません。

サイバー保険を必要としているのは?

業界に関わらず、あらゆる規模の組織がサイバー攻撃の潜在的な標的であり、攻撃を受けやすくなっています。小売業、金融機関、医療機関、政府機関、教育機関はデータの処理と保管を行っているため、ランサムウェアに狙われやすい業界です。

サイバー保険の補償範囲は、次のことを行っている組織にとっては特に重要です:

• 顧客、従業員、パートナーの機密情報を大量に保管または処理している
• 金融取引を管理している
• 健康情報を収集している
• 日常業務でデジタルテクノロジーを活用している

サイバー保険を契約する価値はあるのか?

ランサムウェアやその他のサイバーインシデントの頻度と深刻度が上がっていることを踏まえると、サイバー保険は価値があるだけでなく、包括的なサイバーセキュリティ戦略に欠かせないものです。サイバー保険に加入していれば、インシデントが発生するよりも大幅に前から、組織の評判と財政的実行可能性に対するリスクを最小限に抑えることによって安心感が得られます。また、攻撃が発生した場合、サイバー保険によって金銭的損害を最小限に抑えることで、被害を軽減することができます。

Cohesityとサイバー保険

Cohesityのデータセキュリティソリューションは、サイバー保険加入時に必要となる主なバックアップと復旧要件に対応できるよう組織をサポートします。特にCohesity DataHawkは、脅威からの保護、サイバー保管庫、MLを活用したデータ分類によって、組織がランサムウェアから身を守り、復旧できるようにします。

Cohesityのお客様がサイバー保険を申し込む場合にクリアできる項目は次の通りです:

• バックアップが本番ネットワークから隔離された別の領域に保管されている
• バックアップが専用のクラウドバックアップサービスに保管されている
• バックアップが暗号化されている
• バックアップがイミュータブルである
• 他の管理者資格情報とは異なるアクセス資格情報で、バックアップのセキュリティが確保されている
• バックアップに対する社内と社外からのアクセスの両方に対してMFAが使用されている
• リストアを行う前にバックアップの完全性が検証され、バックアップにマルウェアが含まれないことが保証される

Cohesityの支援を受け、さまざまな組織がサイバー保険の加入資格を得たり、保険料を低減させたりしています:

• オクラホマ州を拠点とする連邦政府公認の部族Citizen Potawatomi Nationは、ランサムウェアからの保護にCohesityを利用
• アトランタのClayton County Public Schoolsは、CohesityのSaaS型データ隔離・復旧ソリューション「FortKnox」を使用してサイバーセキュリティ保険の加入要件を達成
• ドイツ・ヘッセン州のKassenärztliche Vereinigung Hessen (KVH) は、CohesityのイミュータブルバックアップとClamAVを使用してランサムウェア保険の保険料を大幅に削減

詳しくは、Cohesityのデータセキュリティソリューションをご確認ください。