ランサムウェアの影響で加入困難なサイバー保険、どうしたら契約できるか？

●
日々横行しているランサムウェア攻撃が深刻化していることから、サイバー保険は経営幹部の優先事項の一つとなっており、サイバー保険の加入率は増加傾向にある。また、2022年の個人情報保護法改正後、被害報告が義務化されたことを受け、さらに注目されている。

こうした危機意識の高まりとは裏腹に、保険契約の成立・更新はますます困難になってきている。なぜなら、悪質なサイバー攻撃の被害が保険会社にとって圧力となっており、リスクの軽減を目指す各社は、保険料のさらなる引き上げや加入条件をさらに厳格化してきているからだ。すなわち、2022年の加入条件が2023年も同じとは限らないのだ。

したがって、サイバー保険に加入を検討している企業ができることとは、強固な防衛戦略をもとにセキュリティ体制を整備し、保険会社からの質問に回答できるよう監査前に十分に準備することである。
現在のサイバー保険市場における最大の課題

サイバー攻撃、特にランサムウェア攻撃は、高頻度化と巧妙化が進んでいることから深刻な被害をもたらし、多くの保険企業が補償請求の対応におわれている。前述したように、多くのサイバー保険会社は、単独契約で甚大な損害率を報告している。各社はこうしたコストの上昇に翻弄され悪戦苦闘しており、状況は刻一刻と変化している。

例えば、アメリカ大手保険グループであるマーシュ・アンド・マクレナンが発行した調査レポート「グローバル・インシュランス・マーケット・インデックス」によると、2022年第2四半期の米国のサイバー保険料は前年同期比79％増と急騰しており、その2四半期前にも2倍以上の伸びを記録している。

さらに2022年、セキュリティ プロフェッショナル認定資格制度（CISSP）と公認情報システム監査人（CISA）の有資格者でもあるCJ Dietzman氏はこの状況をみて、以下のように述べている。

「ランサムウェアの蔓延により、サイバー保険の収益性は完全に損なわれた5～7年前であれば、たった1ページのサイバー保険申請書に記入し、いくつかの質問に答えるだけで良かった。しかし、端的に言って、世界は変わったのだ。今となっては、有利な条件、価格補償、低い免責金額で保険を獲得するのは困難になった」

保険会社は、ランサムウェアのリスクだけを考慮して条件を厳しくしているわけではない。計算時は、その時々の市場の価格変動の大きさを示す指標である「ボラティリティ」や地政学的緊張状況も考慮している。

SolarWindsをはじめ、KaseyaやLog4jなどの有名なインシデントにより、ソフトウェア・サプライチェーンのリスクに関する懸念は高まり、累計エクスポージャー（Aggregation exposure）や全体的な損失について、新たな疑問が湧き上がっている。一方、世界的なプライバシー規制はつぎはぎ状態で進化を続けており、訴訟や罰金も増加していることから、保険加入時の審査における確認事項はますます多くなっている。

そのため、米サイバーセキュリティ専門ニュースメディアであるHelpNetSecurityによると、保険料が高額になった結果、「サイバー保険を支払う余裕がない」「あるいは加入を断られる」「補償範囲が制限される」企業の数は、2023年に2倍に上る見通しだという。
2023年に求められるのは詳細な説明

保険会社と企業の双方にとって、適切な条件による保険契約の成立・更新は困難と思われるが、不可能ではない。前述のDietzman氏によると、堅牢なセキュリティ・コントロールとインシデント・レスポンス計画を導入している企業をはじめ、サイバーセキュリティのアーキテクチャとロードマップ計画について詳細な説明ができれば、保険会社や保険引受会社の対応は好意的であるとしている。

Dietzman氏は、「重要なのは、サイバーセキュリティに対するリスクベースの適切なアプローチの明確化である。これができれば、加入しやすくなるだろう」と説明している。

多くの保険引受会社は、加入者のセキュリティシステムおよび実際のインシデント対応の審査の際、外部のサイバーセキュリティ会社と提携している。保険引受会社は主に、OpenVASやOpenSCAPなどのオープンソースのスキャンツール、SecurityScorecard、BitSightなどのセキュリティ評価サービスを使用して申請企業のリスクや脆弱性を評価する。

こうした審査では、特定のサイバーセキュリティ管理とその実践の証拠が求められ、来たる2023年の審査では、特定分野についてこれまで以上に綿密な検証が行われる可能性が高い。

●
2023年に予測されるサイバー保険加入時の審査内容の変化

ランサムウェア攻撃は通常、ワークステーションやサーバから開始されることから、エンドポイント・セキュリティがますます詳細な分析対象となる見込みである。

そのため、これまで保険会社が企業に求めていたのは、フィッシングや認証情報窃盗の手法のトレーニングを従業員に実施しつつ、エンドポイントの検知・応答（EDR/XDR）ソリューションを使用することで、疑わしいアクティビティの特定・修正に役立てることだった。

しかしながら、攻撃者は臨機応変に戦術を変更していることか、ら従業員が新たな攻撃手法を確実に認識することは極めて難しい。SolarWindsのインシデントからも分かる通り、高度な攻撃者は管理者の認証情報を悪用し、EDR/XDRを無効化および迂回する方法を特定している。

この結果、保険引受時にはエンドポイントの特権コントロールの精査、中でも上級システム管理者、開発者、さらには、管理者権限が必要なレガシー・アプリケーションの使用者を含む、あらゆるユーザーを対象としたローカルの管理者権限の削除が必要となってくる。その際、企業にとっての大きな課題は、最小特権コントロールと運用効率の適切なバランスを見つけることである。

最近まで保険会社の確認事項の1つにすぎなかった多要素認証（MFA）についても、要件は高まっている。ヘルスケアと高等教育の分野を中心に、MFAが十分に活用されていなかった事実が支払後の分析で判明したため、保険会社はより詳細な調査に着手した。

さらに、保険会社は、特権アカウントについて大きな補償内容の差があることを発見した。この特権アカウントは特定の人物とはひもづかないものの、共有されシステム管理者や他の特権ユーザーによって機密データの保護に使用されていた（例: すべてのサーバ上にビルトインで存在するシステム管理者アカウント）。

その結果、高価値の資産を隔離しつつMFAを実現するため、保険引受会社は個人にひもづかない特権アカウント（例: Administrator、root、サービスアカウント）を対象とする特権アクセス管理（PAM）を義務付けるようになった。

上記に加えて、機密データや企業システムへのアクセスを必要とするベンダー企業のサードパーティ特権ユーザーの認証方法も、保険会社は注目している。自社システムと同じセキュリティ対策をベンダーにも要求している一方で、自社従業員と同じセキュリティ考慮事項が適用されるケースはあまりない。

例えば、2週間の短期契約などでベンダーのオンボーディングを実施する際、リスクを最小限に抑えるためには、オンボーディング/オフボーディングの作業は新入社員と同等のプロセスを経る必要がある。

このような特権アクセス管理を重視する体制は、人間にひもづいているアイデンティティ（ID）だけではなく、人間にひもづかないマシンID にも及ぶ。マシンIDは平均で人間のIDの45倍の数にも及ぶとされるが、その具体例としては、サービスアカウント、ハードコードされたシークレット、機能の実行に強力な認証情報が必要なソリューション（例:構成管理データベース・プラットフォーム、DevOpsオーケストレーション・ツール）のほか、ロボティックプロセスオートメーション（RPA）などの自動化プロセスが挙げられる。

こうした取り組みの一環として、保険会社は自動パッチ管理システム、脆弱性スキャナーなど、攻撃者が無効化しようとする可能性がある既存のセキュリティツールを中心に、特権コントロールの強化を目指している。

保険会社は技術的な安全策だけでなく、サイバーセキュリティの意識向上に関する継続的なトレーニングの実施など、十分な人事体制も考慮している。さらに、攻撃発生時の業務の復旧速度を割り出すため、今後は企業のデータバックアップ・プラクティスとインシデント・レスポンス計画も審査の対象になると考えられる。
正しい方向への一歩

サイバー保険の加入を検討している企業に求められるのは、急ピッチで変化するデジタルビジネスの世界に対応するため、セキュリティの要件も進化していることへの認識である。

しかし、変化への順応を加速させることは、組織や文化的な観点から難航することも多く、恐怖や不安をかき立てる可能性がある。これを最小限に抑える最善策は、人々にその「理由」と、これらのリスク軽減策が業務効率に影響を及ぼさないことを理解してもらうことである。重要なのは、企業がセキュリティ対策への理解と従業員の教育に時間を費やすことである。将来を視野に入れつつ、現在の要件への対応に各社が取り組む中、ビジネスに影響を出さずに、サイバーリスクを効果的に軽減することは、企業が今後も重視すべき点である。

ランサムウェアの防御策の強化に向けて、各社が積極的に取り組んでおり、適切な対策を講じている点は朗報といえる。より強力なセキュリティ・コントロールを導入し、より効果的に活用することで、保険会社の損失は安定化しつつあり、市場は若干軟化しつつある。我々はいまだに取り組みの途中ではあるが、正しい方向へと進み始めている。

○著者プロフィール

斎藤 俊介（さいとう　しゅんすけ）

○CyberArk Software株式会社　ソリューションズ・エンジニアリング本部　第一SE部 部長

入社以来、CyberArk日本オフィス立ち上げ時からファーストエンジニアとして活躍。現在はソリューションズ・エンジニアリング本部第一SE部 部長として、15年以上におよぶ業界での経験を活かし、特権アクセス管理/アイデンティティセキュリティマーケットの啓蒙と拡大に従事。CyberArk入社前はCA Technologiesにてセキュリティプリセールスを通して事業成長に貢献した。