米国におけるサイバー保険の動向予測2024年

サイバー攻撃による被害増により、サイバー保険を選択する組織が増えています。米国会計検査院（GAO）が2021年に公開したレポートによると、調査対象となった米国に本社を置く大手保険会社（Marsh & McLennan）において、同社の顧客のサイバー保険加入率が2016年の26％から2020年に47％に上昇したことが報告されています。日本国内においても、注目されるサイバー保険の動向について、米国の例をもとに今後の動向予測を紹介します。
※Cyber Insurance：nsurers and Policyholders Face Challenges in an Evolving Market（2021/5/20）

2023年7月に発表されたSEC（米国証券取引委員会）のRule 106（Regulation S-K Item 106）は、SEC登録企業に対して、インシデントを迅速に公表し、セキュリティリスク管理、戦略、ガバナンスに関する年次報告を求める新たな義務を課しました^※1。ウォールストリートジャーナルは、2023年8月の四半期報告で、サイバー保険の適用範囲が拡大し、保険価格が若干下がっている米国の状況を指摘し、保険会社は、Rule106が組織にセキュリティ強化を要請していることを評価していることから、この新しい規制が、今後サイバー保険にも大きな影響をもたらすと予想しています^※2。

米国におけるサイバー保険の市場が発展し続け、組織を取り巻く脅威などのセキュリティ状況も変化している中、2024年の動向についてトレンドマイクロの見解をご紹介します。
※1 SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies（2023/7/26）
※2 Quarterly Cyber Insurance Update: August 2023（2023/8/25）

予測1：保険会社は最新のアタックサーフェスマネジメントを求めるようになる

SECのRule 106に伴い、2024年は、最新のアタックサーフェスマネジメント（ASM：Attack Surface Management、攻撃対象領域管理）がサイバー保険の必須要件として、一層重要視されるでしょう。最新のASMは、Rule 106を順守するために必要な継続的な可視性と監視機能を提供します。また、保険会社が重視する項目にも対応しています

これまでのASMは、組織のIT環境の一部分にのみ焦点を当て、かつある時点でのリスク評価のみを提供する傾向がありました。しかし、最新のASMは、統合されたセキュリティプラットフォームの機能として、オンプレミスおよびクラウドに広がる組織のデバイス、アカウント、アプリケーション全体にわたり可視性をリアルタイムで提供します。

従来のASMと最新のASMの間でのもう1つの大きな違いは、最新のASMは継続的にリスクを評価する点です。これにより、アタックサーフェスの常時監視が可能となり、組織のセキュリティチームが早期に脅威を捉える能力が格段に向上します。

また、最新のASMでは、分析に高度なインテリジェンスを取り入れることで、攻撃の可能性、潜在的影響、資産の重要性なども考慮されています。これにより、リスクの効果的な優先順位付けが容易になり、緩和措置の迅速化を図り、プロアクティブなサイバーセキュリティ体制へと導くことができます。

今後、さらに一歩進んで、保険会社が、最新のASMに関する“証明”を求めることも想定されます。最新のASMを提供にするプラットフォームを持っていることを、単に申請するだけでは不十分となり、セキュリティスタックの全ての部分が実際に統合されていることを示すことも求められるかもしれません。自組織のセキュリティプラットフォームが、継続的なリスク評価やレポート機能により、こうした保険会社の要請に対応可能かどうか確認することが必要になるでしょう。

関連記事：アタックサーフェスリスクマネジメント（ASRM）を活用して企業のサイバーセキュリティを強化する方法（2023/5/22）

予測2：保険のリスク評価に脆弱性の優先順位付けを利用するようになる

サイバー保険会社において、契約内容や金額の査定を行うアンダーライター（保険引受人）は、セキュリティ侵害の原因となる脆弱性に関して、とくに最も深刻で悪用されやすい脆弱性を注視し、それらを、彼らのリスク評価に大きく考慮するようになるでしょう。

このため、組織には、脆弱性の優先順位付けを行う能力を備え、さらにそれを効果的に実行できることを、保険会社に示すことが求められます。深刻度の高い脆弱性を迅速に修正できるためのツールの導入も求められることになるでしょう。

今後、組織で必要な予防措置が講じられているかを確認するため、保険会社が「抜き打ち検査」を行うことも考えられます。組織がこうした検査を受け入れるかどうかという問題はありますが、前述の最新のASMが浸透していくことで、それに組み込まれたリスク優先順位付けの機能により、継続的なリスク評価のためのモニタリングデータも利用可能になってくるでしょう。

参考：脆弱性とは？セキュリティリスクと対策の基本～深刻度の高いソフトウェア脆弱性が発生したら？（2023/11/14）

予測3：保険会社は製造業のセキュリティ侵害をカバーしない可能性がある

インダストリー4.0により推進されてきたDX化に伴い、これまで数十年にわたりサイバーの脅威から守られてきたOT環境においても、セキュリティリスクが増大しています。多くの製造業者やその他の産業関係者は、増大するリスクによる被害から、自組織を保護するためにサイバー保険を利用することが予想されています。しかし保険会社は、これら製造業が損害を受けた場合、保険料の支払いを拒否する可能性があります。

製造業は、その国のインフラや経済、また国際的なサプライチェーン、取引パートナーの経済圏にとって極めて重要な産業の一つです。このため、製造業者への攻撃は、特定のビジネスに損害を与えるだけでなく、その国や地域、また関連する国際的なサプライチェーンに経済的な混乱を引き起こす可能性もあります。こうした状況において、特に複数の製造業者が同時に攻撃された場合、保険会社は、こういった攻撃をサイバー犯罪ではなく戦争行為と見なす可能性があり、戦争行為は通常、保険の対象外とされるからです。

これらの組織は、サイバー保険に依存せず、OT環境に対する包括的なセキュリティ戦略を確立することが極めて重要となるでしょう。

参考：OTセキュリティの動向調査2023年：第2回「OTセキュリティの最大の課題は『検出』」

予測4：インシデント対応（IR）計画の導入が義務化される

組織のサイバー保険への依存度が増し、一部では、インシデント対応（IR）計画の代わりとして扱うようになっています。しかし、サイバー保険のポリシーでは、IR計画の具体的な手順や対応方法、行動のタイミングを詳しく定めていないため、セキュリティ侵害が発生した場合、重大なセキュリティギャップが生じる可能性があります。保険会社は、こうしたリスクを認識し、文書化かつ実際にテストされたIR計画をサイバー保険の必須要件とすることで、現状のリスクの高い状況を阻止する可能性が考えられます。

サイバー保険における契約期間も、2024年に変更が入る可能性があります。セキュリティ環境は絶えず変化しており、一年の間にポリシーが現実の状況と大きく乖離することもあります。こうした状況が考慮され、保険会社は、契約期間を短くし、進化するセキュリティ環境に適応できているか、より頻繁に組織に確認する方針を取る可能性もあります。

参考：セキュリティインシデント対応における5つの重要ステップ～仮想事例でみるXDRの効果～

セキュリティ対策では、潜在的な脅威をすべて完全に阻止することは不可能であり、保険会社もこれを理解しています。他方、SECのような規制機関からの組織への要件では、取締役会にセキュリティの専門家を配置すべきといったレベルが求められています。このような動きを受け、サイバー保険の要件も変化し、クライアントである組織のセキュリティに関する最新の規制や見解が反映されるようになるでしょう。組織的には、セキュリティリスクを経営レベルのビジネスリスクの一つとして捉え、IT部門に依存しない体制を整備し、技術面では、単体のツールベースから、組織全体のセキュリティリスクマネジメントを可能にするセキュリティプラットフォーム、またそれを通じた最新のASMのアプローチを採用することで、規制機関やサイバー保険が求める継続的なセキュリティ体制を維持することができるでしょう。

本記事は、2024年1月9日にUSで公開された記事Cyber insurance requirements: What’s in store for 2024を編集したものです。