保険業界では、保険料の上昇に伴って保険の能力が低下することが厳しい市場となります。 2022 年にサイバー保険の購入または更新を試みた人ならご存知のとおり、サイバー保険硬い状態から脆くなって、壊れる寸前まで来ました。

サイバー保険のサプライサイドの縮小

サイバー市場のコンバインド・レシオは、わずか 3 年間で 2017 年の 60 パーセントをわずかに超える水準からわずか 3 年間で加速しました。—保険会社は、3 年前には非常に収益性が高かった商品で保険引受利益を上げられなくなる危険にさらされているということ。

これに応じて、保険会社は保険料を値上げし、サイバー保険が儲からなくなる前にサイバー保険金請求を事実上排除し、出血を食い止めるのに十分な成熟したサイバー防御を備えた顧客を厳選している。サイバー保険市場から完全に撤退した保険会社もあれば、補償範囲を縮小し、サブリミットを課し、全体の限度額を完全に引き下げている保険会社もある。一方、保険料は上昇し続けています。前年比は増加しており、一部の顧客の保険料引き上げ額は前年比 2 倍、さらには 3 倍となっています。

多くの保険会社は、「現実の」サイバーセキュリティの微妙な違いを適切に評価して理解するには経験が不十分であり、保険会社と被保険者の両方に重大な混乱を引き起こしています。従来の損害保険と比較してサイバー保険の性質は急速に変化しているため、いつになるかは不明です。サイバー業界では、引受業務の収益性の高い基盤を確立するために使用できる、数十年にわたる損失データや実証済みの予測モデルは存在しません。損失ベースのモデルが作成された場合、脅威が進化し、攻撃者が戦術を変更するため、数年後には価値がなくなる可能性があります。

従来の保険会社は紙や PDF の申請書に依存しているため、引受申請書も厳格すぎる場合があります潜在的な顧客のサイバー リスクについて。これは、引受会社が屋根に対する雹による建物の潜在的リスクを評価しているのと同じアプローチを利用しています。

これらの包括的な質問の 1 つの例は、よく知られている「すべてのアカウントに多要素認証 (MFA) がありますか?」という質問です。これには、顧客が他の多層防御保護を使用する可能性があるレガシー アカウントやサービス アカウントの場合など、ニュアンスや説明の余地がありません。 1 つの重要な質問に対して「いいえ」を選択した顧客は補償を拒否されますが、「はい」を選択した顧客は、ニュアンスや解釈の余地のない真実かつ正直な回答であると確信する方がよいでしょう。

最後に、サイバー保険の存在自体が、攻撃者がより高い保険補償範囲でより大きなターゲットを攻撃し続けるよう動機付け、ターゲットが単に保険を持っているだけであることを知りながら、ランサムウェアの火に油を注ぐというリスクが高まっています。。この脅威は、保険のモラルハザード原則の延長であり、被保険者が「保険を購入した」ために警戒心が薄れるというものであり、サイバー犯罪の収益性の向上により、すべての人にとってオンラインの安全性が低下しています。この傾向が、保険会社による止血活動の一環として、ランサムウェア条項の削除やランサムウェアの支払い制限の引き下げにつながったことは間違いありません。

しかし、市場への新規参入企業のいくつかは、サイバーセキュリティの専門家がより信頼できると認識している方法、つまり脆弱性スキャン、侵入テスト、現実世界の実用的なデータを使用してリアルタイムのリスクを評価することで、サイバー リスクを評価し始めています。データを使用してリスクを予測することが保険のすべてである場合、サイバー専門家は、リアルタイムの脆弱性スキャンや脅威インテリジェンスの代わりに、単純なチェックボックスを備えたフォームを使用してリスクを適切に評価できないことを知っています。将来は、サイバーセキュリティ ツールを利用してリスクを予測するためのデータを取得し、顧客を第一に保護するリスク軽減ツールと連携するサイバー保険会社に生まれるでしょう。

クレームとリスクの軽減

請求側の最大の落とし穴は、プロセスと結果に対する顧客の認識です。サイバー保険の請求は、インシデント対応計画と同じものではありませんが、すべてのインシデント対応計画は、請求プロセスを並行して行う必要があるため、考慮する必要があります。 

サイバー保険は、何が起こっているか、何が起こるかではなく、何が起こったかに重点を置いています。これは、将来の攻撃を防ぐことは言うまでもなく、システムを回復し、進行中の侵害を軽減するという被保険者のニーズとは対照的です。実際、サイバー請求プロセスは第三者の責任を中心に設計されており、おそらく保険会社にとってはより大きなコストがかかり、第一者による損害は後回しにされています。

さらに、保険会社は戦争法条項とそれが外国の脅威行為者とどのように関連するかをますます再評価しています。 2017 年の NotPetya ランサムウェアでは、これらの条項に基づいて 2 つの異なる請求が拒否され、その結果として生じた訴訟は、つい最近裁判所によって決定されました。今年初めにメルク対エースらニュージャージー州裁判所は、被保険者に有利な判決を下し、イリノイ州の事件は適用されなかったモンデリーズ v. チューリッヒ事件は係争中である。

上記の事件は顧客に関するものでしたが、つい最近の 8 月保険会社に対し、将来の政策文言で国家ベースのサイバー攻撃に対する補償を免除するよう要求した。業界に対するこのシグナルは、振り子が保険会社に有利な方向に戻る可能性があることを示しています[6]。国家規模の脅威アクターがサイバー活動をエスカレートし続けているため、数年後には、これらの新たな適用除外がサイバー保険の顧客にとって深刻な脆弱性となる可能性があります。

最後に、トラベラーズは、上記の厳格な PDF 適用範囲申請に同意して、今年 7 月にイリノイ州に本拠を置く国際管理サービス (ICS) に対して訴訟を起こし、裁判所に保険契約の取り消しを求めました。 ICS は、管理または特権アクセスに MFA を使用していることを保険申請書に記載していました。 ICS の 5 月のランサムウェア イベントの後、トラベラーズの調査により、いくつかの重要なシステムが MFA によって保護されていないことが明らかになり、アプリケーションの回答は重大な虚偽表示であると述べられました。この種のものとしては初めてのもので、より多くの顧客を無保険のままにし、保険業界をさらに揺るがす可能性があります。

何をすべきですか?

サイバー保険はサイバー リスク管理者にとって依然として貴重なツールですが、それだけが唯一のツールというわけではありません。サイバー保険の購入には、保険金請求の拒否、申請に関する問題、費用の高騰などが伴います。より優れたリスク管理ツールと併せて、リスクを評価するためのより優れたツールを提供する新興保険会社が市場に参入しており、その結果、今後 10 年間で私たち全員をより良い商品に移行させながら、継続的に強化される市場で生き残る可能性が高くなります。

それまでの間、顧客は与えられた選択に直面しなければなりません。補償を受けるのが困難な保険に多額の投資をするか、そもそも攻撃から身を守るためにそれらの資金の少なくとも一部を使用するかです。サイバー保険は優れたサイバー防御と衛生状態を補うものですが、代替手段としては非常に不十分です。

CISSP の Kevin Sesock は、オクラホマ市の損害保険、一般賠償責任保険、自動車保険、労働者災害補償を担当するオクラホマ州の主要な地方保険リスクプールであるオクラホマ市保険グループの最高情報責任者です。 Sesock は、サイバーセキュリティ、開発、データ ウェアハウジング、IT 監査、品質保証などの専門的な情報技術分野で 21 年以上の経験があります。