どの業界にも衝撃的なニュースはたくさんあるが、英国のサイバー保険業界は常にそのトップを走ると言っても過言ではない。
先日、ある英国の中堅企業が、攻撃者に非常に重要なデータを盗まれた後、100万ポンドという途方もない身代金要求に直面しました。これは紛れもない恐喝行為ですが(あなたのファイルは私たちが持っています)、攻撃者がたとえ半分本気であっても、高額の身代金を要求できると感じていたという事実は、何かを物語っています。
サイバー攻撃のほとんどは非個人的、匿名、遠隔的であり、その動機は推測するしかないが、恐喝は常に最初から人々の顔を突きつける心理学的要素を帯びている。つまり、金を出さなければ何もできない、というものだ。
この事件で本当に目立ったのは、身代金要求額の途方もない額というだけでなく、その金額が途中でサイバー保険の引受人の請求トレイに流れてしまったことだ。ここには大きな痛みがあり、複数の企業がそれを感じていた。
この話の情報源は、CFC Underwriting の Graeme Newman 氏です。同社の創業は 20 年前に遡り、コンピューター恐喝のようなものが発明される何年も前からサイバー保険の先駆者であったことを誇りにしています。
CFCは、最近、標的型恐喝や、サイバーセキュリティ界で今話題のもう一つの現象であるビジネスメール詐欺(BEC)に関連した被害の増加の一環であるとして、顧客から10万ポンドや20万ポンドの身代金要求が寄せられ始めていると述べている。
Equifaxの顧客1億4500万人分の情報漏洩:2億4000万ドル。訴訟費用:2890万ドル。保険:無価
続きを読む
「これは英国でこれまでに見た中で最大の身代金要求であり、ますます標的を絞った恐喝要求と、ますます高額な要求額という現在の傾向に沿ったものだ」とニューマン氏は言う。
「こうしたことの多くは舞台裏で起こっており、語られることもありません。5月25日(GDPR施行日)以降に何が起こるのか、興味深いところです。実際にどれほどのことが起きているのか、明らかになると思います。」
企業が保険を購入する理由はさまざまですが、通常は法律、規制、常識でそうすべきと定められているためです。しかし、サイバー保険は、特に WannaCry や NotPetya などの現実世界の出来事によって推進されています。
「今のところ、犯罪者にとってはあまりにも簡単すぎるのに、誰も何もしていない」とニューマン氏は考える。
ニューマン氏によれば、英国の保険業界は規模が小さく、わずか20社の引受業者とブローカーがおり、年間保険料はおそらく5千万ポンド程度だという。
確かに成長はしているものの、米国での販売額(推定25~30億ドル)に比べれば、まだ取るに足らない額にしか見えません。確かに米国はもっと規模が大きいはずですが、それでも世界のサイバー保険販売額の約85%を占めています。一部のアナリストにとって、米国こそが市場なのです。
より深く掘り下げてみると、米国市場の大部分は、単一のリスク、つまりデータ侵害に関連するコストに結びついています。米国には厳格な侵害通知法と厳しい規制があるため、ハッカーが侵入経路を見つけた場合、情報を受け取る側の企業は多額の小切手を切ることになることを承知しています。幸いなことに、主に通知、信用調査、フォレンジック、そして評判の回復にかかるコストは予測可能です。侵害があまりにも一般的になったため、過去の請求額に対するリスクプレミアムの価格設定は、いくつかのアルゴリズムを用いて行うことができます。
ロンドン大火
火に投げ込む資金を持つ大企業にとっては素晴らしいことですが、セキュリティエンジニアすら雇っていない中小企業はどうでしょうか? ここで、サイバー保険の役割、そしてそれがもたらす予期せぬ結果がより複雑かつ興味深いものになります。
ニューマン氏は次のように述べています。「多くの中小企業は、サイバー攻撃を受けた場合、どこにも頼れる場所がないことに気づき始めています。ランサムウェアに感染した場合、999番に電話してもサポートは期待できません。」
こうした顧客にとって、サイバー保険は危機的状況における支援への近道です。サイバー保険プロバイダーが関与することで、「弁護士、フォレンジック会社、通知プロバイダー、PRコンサルタント、そしてプロジェクト全体をエンドツーエンドで管理できるインシデント対応マネージャーが常駐します。頼れる人がいるという安心感です。」
ニューマンは、1666年のロンドン大火を例に挙げています。当時は国営の消防署は存在していませんでした。17世紀の解決策は、民間の消防サービスを提供する企業で、その費用は今日で言う保険料で賄われていました。当時の破壊的な要因は火災でしたが、今日の災害はデジタル災害である可能性が高いのです。
世界最大の広告会社、NotPetyaの打撃にいまだに苦悩
続きを読む
しかし、こうした支援には条件が付く場合があります。マネージドセキュリティサービスプロバイダー(MSSP)が保険をオプションとして販売するか、サイバー保険ブローカーから直接購入するかは関係ありません。トラブルが発生した場合、対応の主導権はアンダーライターにあります。なぜなら、対応費用は保険会社が負担するからです。
これはサイバー保険の進化の核心です。サイバー保険の普及が進むほど、業界全体がセクター全体における対応のあり方に大きな影響を与えることになります。
セキュリティ機器メーカー、ウォッチガードの最高技術責任者、コーリー・ナクライナー氏も、これが必ずしも良いことだと誰もが確信しているわけではないと同意する。彼が懸念しているのはサイバー保険そのものではなく、恐喝やランサムウェアに起因する損害賠償請求への影響だ。
保険会社の視点から見ると、身代金を支払うことはシステムを手動で復旧するよりも安価であるため、好ましい選択肢だとナクライナー氏は主張する。「中小企業がデータを失い、バックアップは取っていなくてもサイバー脅迫保険に加入している場合、保険会社の戦略は身代金を支払うことです。」
ニューマン氏は、自社が顧客に身代金の支払いを強制することは決してないと断言しているが、すべての引受保険会社がそうであるとは限らない。結局のところ、保険会社は自社のリスクを最小限に抑えることに関心がある。これは数学であって、コンピューターサイエンスではない。
ナクライナー氏は、「保険会社が身代金を支払っているという事実は、ランサムウェアの蔓延、あるいは攻撃者がその情報に基づいてどのように標的を定めるかに、必然的に影響を及ぼすだろう」と主張する。「誰が身代金を支払う意思があるかを見極めるには、その人物が恐喝の補償対象であり、最悪のシナリオでは保険会社が支払う可能性があるかどうかを知ること以上に良い方法はないだろう」
これは悲観的な分析だ。恐喝保険は、企業が攻撃を受ける可能性を高めるだけでなく、他者への標的型攻撃の餌食にもなりかねない。ナクライナー氏は、昔ながらの代替案があると語る。「ランサムウェアに関して私がアドバイスしたいのは、決して支払わないことだ。白か黒かという判断ではないが、支払うたびに、この悪意あるビジネスケースを助長していると私は強く信じている。これはランサムウェアが効果的であり、事態を悪化させるという証拠だ。」
NHSは「簡単な手順」を踏むことでWannaCryを「撃退」できたはずだと報道
続きを読む
もちろん、サイバー保険を購入するということは、恐喝やランサムウェアからの保護以外にも多くのことを意味します。これは、この分野が2022年までに140億ドルの世界市場に成長するというアライド・マーケット・リサーチ社の明るい予測を裏付けています。
こうした成長の一部は確実に進むように見えます。サイバー攻撃の増加や、GDPRなどの規制によって不安レベルが高まっているため、サイバー保険に加入していないことがより大きな問題と見なされる日が来るかもしれません。
しかし、多くの顧客は依然として警戒を強めています。コストだけでなく、リスクを理解することで利益を得ている人々に、その力を与えることになるかもしれないからです。だからこそ、少なくとも英国では、テクノロジー業界の常套手段であるFUDに頼ることなく、販売活動を行う大きなチャンスがまだ残っているのです。
ニューマン氏は、保険業界の弱点として「業界として、私たちは販売している商品を明確に伝えるのが苦手です」と語る。®
