パラダイムシフト: サイバー保険業界が予防的なセキュリティに注力すべき理由

サイバー保険に加入されていますか? 無保険状態にある組織は、総合的なセキュリティ戦略の重要な要因を欠いていることになります。 サイバー攻撃の増加とクラウドやデジタルオペレーショナルテクノロジー (OT) 資産の拡大に伴い、組織では侵害時および侵害後に生じる多額のコストに直面しています。 これは、サイバー保険会社に対する高額な保険金支払いクレームにつながり、最終的に被保険者が負担する保険料も上がっています。 

サイバー保険契約の加入と更新は、両当事者にとって信頼問題を伴う課題の多い困難なプロセスとなりえます。 組織では、膨大な証拠を提供し、コントロールを文書化するために手間のかかるプロセスを踏まなければなりません。 保険会社によっては、特定の脆弱性に対する具体的な証拠を求める場合さえあります。 この種の機密情報を保険会社と共有するのはリスクがあるとも言えますが、保険会社側も定量化できるデータに基づいて全体的なサイバーリスクを明確に評価する必要があります。 ここでの課題は、データ共有のバランスを適正に保ち、リスクを最小限に抑えながら成熟度を証明することです。

従来、サイバー保険会社は、保険契約の申し込みの際に、顧客がエクスポージャーとリスクを軽減するためにインシデント対応などの事後対応型セキュリティソリューションを確実に導入していることに注目してきました。 しかし、インシデント対応のコスト構造は予測不可能で高額なものです。 インシデント対応は包括的なサイバー保険プログラムの重要な一面ではありますが、それだけに注目すべきではありません。 そのため、そもそも侵害の機会を減らすことに着目した予防的セキュリティ対策にシフトする必要があります。 サイバー保険会社は、保険契約を結ぶにあたり、事後対応策に加えて予防的対策にも注力するよう顧客に指示する必要があります。

予防的なセキュリティ対策は、組織とサイバー保険会社のどちらにとってもリスクを最小限に抑えるのに役立ちます。 標準的なサイバーハイジーン対策は、最小限の労力でリスク緩和に大きく影響します。 この種の対策には以下のようなものがあります。

• アタックサーフェス全体 (クラウドと OT を含む) の可視性を獲得
• 重大な脆弱性をタイムリーに特定して修正
• 誤用や悪用を最小限に抑えるための、役割の評価と権限規模の適正化
• Active Directory 設定のレビューにより潜在的な攻撃経路を軽減

事前対策型のセキュリティプラットフォームは、組織で攻撃の成功を未然に防ぐだけでなく、サイバー保険会社に自社のサイバー成熟度を実証するのにも役立ちます。 また、予防的な対策は価格体系が予測可能であり、事後対応措置よりもコストを抑えることができます。 予防的対策をサイバー保険要件に合致させると、標準化レポート、ダッシュボード、リスクスコアなどを使用して保険加入プロセスの簡素化も図れます。 これは諸刃の剣かもしれませんが、長期的にはメリットがデメリットを上回ります。メリットには契約更新プロセスの迅速化、保険会社が信頼できる忠実度の高いデータ、サイバーセキュリティ基準の相互理解、保険料の引き下げなどがあります。

このようなサイバーセキュリティ企業とサイバー保険会社のコラボレーションにより、サイバー保険会社はポートフォリオのリスクをより適切に定量化して管理できるようになるので、サイバー保険料の引き下げと顧客の契約更新プロセスの短縮の可能性につながります。 たとえば、Measured Insurance では、Tenable を使用したリスクベースのサイバープログラムを実証する組織に対して、保険料を最大 20% 割引しています。 サイバー保険を選択する際には、保険の適用範囲、サイバーセキュリティについての理解、組織の予防型対策との整合性を考慮することが大切です。 サイバー保険契約とサイバーセキュリティのベストプラクティスを合致させることは、正味リスクの削減の促進に役立ちます。 Tenable では、今後サイバー保険会社と予防型セキュリティベンダーの間のパートナーシップが増えるに連れて購入プロセスが簡素化され、組織のリスクを正確に把握できる高精度データも増え、サイバー成熟度を証明できる組織の保険料は引き下げられると考えます。

予防的なセキュリティを優先することは、サイバー保険会社にとっても、組織にとっても同じように重要です。 予防的セキュリティ対策を導入し、必要なサイバーハイジーン対策を実施すれば、サイバーリスクが軽減され、包括的なサイバー保険の条件を満たし、費用が節約できる可能性があります。 先行型のセキュリティは、攻撃の成功を未然に防ぐのに役立つだけでなく、保険会社が高く評価するサイバー成熟度への取り組みを実証することにもなります。