Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

サイバー保険加入に多要素認証が必須となっていく

日本国内では”まだ”多要素認証(MFA)の導入がサイバー保険加入に大きく影響する事は無いかと思いますが、米国では一足先に”必須化”に向かっている様です。

www.infosecurity-magazine.com

新しいレポートによると、米国のサイバー保険会社は、補償範囲の前提条件としてより厳格なセキュリティ管理を義務付けているにもかかわらず、保険料を引き上げ、補償範囲の制限を引き下げています

米国のサイバー市場の見通し 卸売保険ブローカーリスクの配置サービスからは、プロバイダは、より高い予想よりも、最近の損失によって「連打」されており、現在は一般的にはあまり報道のためにはるかに充電されていると警告しています。

「過去1年間、COVID-19のパンデミックの課題と、ランサムウェア攻撃の頻度と深刻さが米国のサイバー責任市場に圧力をかけているのを見てきました」と、RPSの全国サイバープラクティスリーダーであるスティーブロビンソンは述べています。

「この市場のダイナミクスは急速に発展しましたが、数か月以内に、この市場での長年の引受問題、およびエクスポージャーと引受のミスマッチが拡大していたことが、現在の状況とカバレッジの需要と供給の不均衡を生み出すのに役立ちました。」 

教育、政府、医療、建設、製造などのセクターは、過去1年間に大きな打撃を受け、更新時に保険料が300%以上増加しました。これは、企業の保険契約者が適切なセキュリティ管理策を講じている場合でも同様です。

RPSによると、このような制御はますます普及しつつあります。多要素認証(MFA)はカバレッジの対象となるためにも「必須」として説明されるようになりました。

 

元ソース

U.S. Cyber Market Outlook (Risk Placement Services)

 

 

キタきつねの所感

このブログでは何度かサイバー保険の記事を書いていますので、既に”聞き飽きた”方もいらっしゃるかも知れません

記事を書いていた当時の”予想”は比較的当たっていた様で、世界的なサイバー保険加入条件はより厳しくなる方向に向かっており、その影響はすぐに日本にも及ぶものと予想されます。

 

記事を書いてた頃にも”危なさ”は認識していたつもりですが、正直に言えば、海外状況は、思っていたよりも早いペースで変化しています。

 

サイバー保険を使う”羽目”に陥った企業や組織は、多くの場合その事を外部に公表する事はない様ですので、保険会社以外はサイバー保険の懐具合についてうかがい知る事は難しいのですが、”更新時に保険料が300%増”、あるいは多要素認証が”必須”という様な調査レポートの内容を見ると、サイバー保険がかなり『役立っている』事が分かります。

調査レポートは米国のものですが、保険(再保険)は、一定のリスク計算の元で、お財布に貯めている保険金を被害に遭った企業・組織に分け与えるモデルですので、米国で激しい勢いでお財布からランサムやCOVID-19 詐欺などに保険金が支払われていけば、プールしている資金が”枯渇”していくのは当然の事と言えます。

 

一方で、ランサムの脅威に対して多くの企業が(未だに)インシデント対応計画が無いか、テストをした事がないという直近記事も出ています。

ランサム脅威はまだまだ高い状態である事を併せて考えると、サイバー保険を最後の砦として考える企業・組織も多いかと思いますが、「最低限レベル」のセキュリティ対策の閾値が変わってきている事には留意が必要です。

www.zdnet.com

 

現在の流れのままだとすると、保険会社のサイバーセキュリティ体制へのチェックはより厳しくなり、サイバー保険の加入や継続時の、アンケート中心の”健康診断”「人間ドック」要求される様になってくるのではないかと思います。

 

参考:

サイバー保険に入れなくなる日 - Fox on Security

サイバー保険の加入は秘匿にすべき - Fox on Security

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

契約を断られるお年寄りのイラスト

 

更新履歴

  • 2021年10月12日 AM