原文のブログはこちらからご覧いただけます。
多くの企業は今、極めて危険な状況に置かれています。標的型のサイバー攻撃や侵害による被害額が増え続けている一方で、企業が起こり得るサイバー災害に備える力が弱まっているためです。BlackBerry が Corvus Insurance 社と実施した最新の調査では、「サイバー保険のギャップ」が拡大していることが明らかになっています。北米企業の大半が、勢いを増すランサムウェア攻撃やその他のサイバー脅威に対する保険に加入していないか、あるいは保険内容が十分ではないのです。
この調査の一環として、BlackBerry と Corvus 社は、米国企業とカナダ企業の IT およびサイバーセキュリティの意思決定者 450 人を対象に意見調査を行いました。その結果、保険の適用状況があまりにも不十分であることや、その潜在的な原因、そしてこのギャップを埋めるために取り得る対策が明らかになりました。
これは間違いなく、何らかの手を打たなくてはなりません。
Forrester 社の最新レポートでは、典型的なデータ侵害が発生した場合、その調査と復旧には平均 240 万ドルの費用がかかると推定されています。しかし、調査回答者のうち現在サイバー保険に加入しているのはわずか 55% で、補償額が 60 万ドル(2021 年のランサムウェアによる要求額の中央値)を超えているのは 20% 以下です。このように、多くの企業はサイバーセキュリティを「安全策なしで運用」しているに等しい危険な状態にあります。この状況は保険に加入していない中小企業で特に深刻です。中小企業においては、高騰するサイバー保険の保険料と、攻撃を受けると再起不能になるという極めて現実的なリスクとを天秤にかける必要があるためです。
サイバー保険とランサムウェア攻撃
今回の調査結果で特に大きく懸念されるのは、ランサムウェアに関する結果です。調査では以下のことがわかっています。
ランサムウェアに対する補償限度額がランサムウェアの要求額の中央値(60 万ドル)を超えているのは、調査対象の全企業のわずか 19% でした。
従業員数が 1,500 人未満の中小企業のうち、補償限度額が 60 万ドルを超えているのはわずか 14% でした。
ランサムウェア攻撃に関する保険のギャップは、これらの数字だけにとどまりません。サイバー保険に加入している回答者の 3 分の 1 以上(37%)は、ランサムウェアの支払い要求に対する補償が一切ありません。また、同回答者の 43% は、裁判費用や従業員のダウンタイムといった付随的な損失が補償の対象外となっています。
中小企業の回答者の半数が「ランサムウェア攻撃を受けた組織に対し、政府が財政支援を行うことを望む」と答えているのは、おそらくこうした要因によるものでしょう。 このリスクはまた、調査対象となった IT およびサイバーセキュリティの意思決定者の 28% が「近いうちに保険に加入するつもりである」と答えるきっかけにもなっています。
サイバー保険とビジネスリスク
サイバーセキュリティとビジネスのリーダーたちの間では、サイバーリスクはビジネスリスクに等しいとの認識が広まっています。BlackBerry と Corvus 社の調査結果は、以下に示すように、サイバー保険の有無がビジネス慣行に与える影響も浮き彫りにしています。
- 回答者の 5 人に 3 人(60%)は、相手方の企業やサプライヤーが包括的なサイバー保険に加入していない場合、パートナーシップや契約の締結を再検討すると答えています。
- IT 意思決定者の 3 分の 2 以上(68%)は、サイバーセキュリティの実践状況を理由に、パートナーやサプライヤーとの契約を見直す可能性があると答えています。
本調査ではこうしたサプライチェーンの懸念に加えて、適切なテクノロジーの導入といったサイバーセキュリティの実践状況が、組織がサイバー保険を維持できるかどうか、あるいはそもそも保険に加入できるかどうかに深く関わっていることもわかっています。
EDR の要件とサイバー保険
ここ最近でサイバー保険の適用範囲を調べたり、それについて同業者と話したりしたことのある読者は、サイバー保険の保険料が急激に上昇していることや、保険の契約内容がより規範的になっていることをご存じでしょう。多くの場合、組織が保険の適用を受けるため、あるいは既存の保険の補償額を増やすためには、主要なセキュリティベンチマークを実証する必要があります。
適切に実装されたエンドポイント検知/対処(EDR)ソフトウェアは、しばしば保険契約の締結を成功させるための鍵となっています。以下に示すように、今回の調査ではかなりの数の回答者がこれを「身をもって」学んでいました。
- 回答者の 34% は、EDR に関する資格要件を満たしていないことを理由に、過去に保険会社からサイバー保険の適用を拒否された経験があります。
サイバー保険会社の多くが EDR をサイバー保険の重要な評価指標としている理由について、Corvus Insurance 社 CTO の Vincent Weafer 氏は次のように述べています。
「直感的には理解しにくいかもしれませんが、ソフトウェアの要件を遵守し続けることは、ランサムウェアを駆使する勢力に対抗するための最善の方法の 1 つです。当社のポートフォリオだけでも、結果的に身代金要求が支払われる割合が 50% 減少しています。」Weafer 氏は続けます。「ソフトウェアの導入状況を改善することは、組織がより適切に攻撃者に対処する上で極めて重要な要素なのです。」
BlackBerry サイバーセキュリティ担当執行副社長兼 CTO の Shishir Singh は、この要件が極めて重要である理由の 1 つを次のように指摘しています。
「サイバーアンダーグラウンドは知識の共有と連携をますます強化し、脅威の効率性をできる限り高めようとしています。そのため、保険に加入していない、あるいは保険内容が十分でない組織が極めて危険な状況に陥る恐れがあります。」
「企業においては、全体的なリスクを軽減する予防ファーストのソフトウェアアプローチで保険を補完し、こうした脅威に対するセキュリティ体制を強化することが不可欠です。」
興味深いことに、今回の調査では、EDR ソリューションとサイバー保険との間に大きな相乗効果があることがわかりました。サイバーセキュリティ保険にすでに加入している企業は、EDR ソフトウェアの価値にとりわけ大きく満足していただけでなく、自組織を保護する能力により強い自信を示しているのです。
これは、サイバー保険のギャップは埋めることができ、またそうすることによって組織のセキュリティ体制を強化することができるという証左です。
BlackBerry と Corvus 社による調査のさらなる詳細と結果については、今後数週間のうちに BlackBerry ブログで公開予定です。
AI 駆動型の EDR
組織は EDR ソリューションに何を求めるべきなのでしょうか。選ぶべきは、高度な AI を活用し、クラウドに対応しており、経験豊富なサイバープロフェッショナルが常駐する 24 時間 365 日体制のサービスの一部となるような EDR です。このようなソリューションであれば、サイバー脅威が昼夜を問わず出現する状況でも、費用対効果の高い方法でチームを強化できます。
マネージド XDR サービスである CylanceGUARD® には、BlackBerry® の AI 駆動型エンドポイント保護プラットフォーム(EPP)の CylancePROTECT® と、それと連携動作するエンドポイント検知/対処(EDR)ソリューションの CylanceOPTICS® が含まれています。
調査方法
BlackBerry は TEAM LEWIS Research に調査を委託し、米国とカナダの IT/セキュリティソリューションに関するビジネス上の意思決定者 450 人を対象にオンライン調査を実施しました。フィールドワークは 2022 年 7 月 15 日から 7 月 22 日にかけて行われました。