サイバーセキュリティ保険を利用する際の注意点:Gartner Insights Pickup(358)
サイバーセキュリティインシデントの発生頻度とコストが上昇を続ける中、再びサイバーセキュリティ保険への関心が高まっている。サイバーセキュリティ保険は企業のセキュリティを高めるわけではないが、包括的なサイバーセキュリティプログラムの重要な一部になる。
サイバーセキュリティ保険の大きな課題の一つは、ほとんどの保険が複雑で例外だらけであることだ。そのために、企業がサイバーセキュリティ保険の趣旨や関連コスト、補償の限界を理解することは難しい。
サイバーセキュリティ保険は、セキュリティインシデントが発生した場合に企業が支払わなければならない復旧費用を相殺できるように設計されている。また、風評被害や弁護士費用など、サイバー攻撃に関連するIT以外のさまざまなビジネスコストを相殺するための利用もできる。
さらに、サイバーセキュリティ保険で定性的なメリットが得られる場合も多い。それは、専門家の力を借りて既存チームの体制強化や対応力、復旧力の向上を図れることだ。保険会社を通じて、インシデント対応やフォレンジックサービスの他、計画、対応、復旧戦略、または法務、広報、法執行分野の専門知識やノウハウを利用できる可能性がある。
何がカバーされ、何がカバーされないか
保険会社の補償範囲と顧客の期待は、どんなインシデントがカバーされ、どんなインシデントが適用外になるかという点で、食い違いがあることが多い。現実には、顧客がカバーされると期待する事象の一部(規制当局に科される罰金、不正送金詐欺、知的財産(IP)の窃盗など)は、全ての保険でカバーされるとは限らない。
ここで重要なことは、どんな事象に保険が適用されないかを詳細に把握することだ。補償の限界を厳密に理解するために、一連の質問をするとよい。この質問には、具体的なシナリオや技術的条件に沿って、さまざまな「もしもの状況」を想定したものを含めなければならない。
こうした一連の質問の目的は、補償の穴がどこにあるのか、その可能性を完全に理解することにある。これにより、そのレベルのリスクを受け入れるか、あるいは対策を導入してそのリスクを最小化するか、もしくは解消するかを決められる。
未熟なセキュリティプログラムの代わりにはならない
サイバーセキュリティ保険を契約することは、リスクを移転することだ。契約したからといって、企業が適切なセキュリティ対策プログラムに投資しないで済むわけではない。サイバーセキュリティ保険は、予防と復旧への投資を不要にするものではなく、純粋に受動的なインシデント対応だ。
適切なセキュリティプログラムを実施していない場合は、保険を探す前に、まず適切なプログラムに投資する必要がある。保険会社は、許容可能な最低限のセキュリティ対策がなされていないことを理由に、企業に保険を販売しない場合があることが知られている。
関連するビジネスステークホルダーと連携を取る
十分な補償を確保し、ビジネスリスクに完全に対処するには、社内のさまざまなグループから意見や協力を得る必要がある。コンプライアンスや法務、リスク管理、財務などのステークホルダーに関与を呼びかける。
サイバーセキュリティ保険の契約プロセスでは、自社のサイバーセキュリティ能力に関する説明を求められる。監査報告書やコンプライアンス報告書、侵入テスト報告書を用意しておき、既存のポリシーやガバナンス体制、意識向上トレーニングの成果、サードパーティーリスクの管理プロセスについて、実証的に説明する。サイバーセキュリティ侵害が発生した後に、説明が不正確だったことが判明した場合、保険会社は保険金の支払いを拒否する可能性がある。
保険会社と面談する
自社のセキュリティロードマップと、実施中の改善策に関する説明を準備する。そうすることで、保険会社からのアンケートでの「はい/いいえ」の単純な回答に、具体的な肉付けをすることができる。
保険会社は、企業がセキュリティ態勢の改善のために何をしているかや、過去の監査や評価で特定された欠陥や脆弱(ぜいじゃく)性を修正するために何をしているかを知ろうとする。こうした追加の詳細情報を提供すれば、保険料に影響する可能性がある。
十分な時間をかける
プロセスを急がないようにする。保険の購入や更新は、実行日の90〜120日前から開始すべきだ。そうすることで、十分な時間をかけて複数の見積もりを入手し、十分な情報に基づいて意思決定を行える。
インシデント対応計画を保険会社の期待に沿って作成、実行する
保険会社は、インシデントが発生した際に企業が補償を受けるために満たすべき条件を設定する。保険金の支払いを拒否される事態を避けるため、これらの条件を満たせるようにインシデント対応計画を策定し、保険要件に従って実行に移す必要がある。
一部の保険会社は保険の一環として、インシデント対応サービスを提供している。これらはセキュリティインシデントの発生時に、時間を節約できる有益なリソースになる場合がある。だが、こうしたサービスの実務担当者の業務範囲と、これらの担当者が保険会社とどんな情報を共有する可能性があるかを、十分に理解する必要がある。保険金額の算定に、悪影響を及ぼす可能性もあるからだ。
保険会社のこうした付帯サービスを利用する場合は、インシデント対応計画を更新し、保険会社がサービスを委託するインシデント対応/フォレンジックサービス企業の有効な連絡先情報を明記しておく必要がある。
出典:Understanding the nuances of cybersecurity insurance(Gartner)
※この記事は、2024年4月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.