サイバー保険はセキュリティの向上にどう役立つのか？

機密情報を保険会社に開示すること自体がリスクになり得ますが、このようなデータがないと、企業の全体的なサイバーリスク対策の実態を把握できません。

従来、企業はサイバー保険に加入するために、インシデント対応などの受け身の対策を実施していました。しかし、インシデント対応にかかるコストは予測不可能かつ高価である場合が多く、インシデント対応はサイバーセキュリティにとって重要ではありますが、それが唯一のリスク軽減策であってはなりません。

では、どうすればよいのでしょうか。そもそも侵害を避けることに焦点を当てた、予防的なセキュリティ対策に移行する必要があります。事後対応型の対策に加えて、予防的な対策を講じることをサイバー保険会社が顧客に推奨すれば、両者が功を奏してリスクを効果的に最小化できるでしょう。
予防的なセキュリティ対策のポイントとは

予防的なセキュリティ対策に相当する標準的なサイバー衛生対策は、最小限の労力でリスク軽減に大きな効果がある方法です。ここで重要なのは、以下の4点です。

クラウドとOTを含むアタックサーフェス全体を完全に可視化すること
深刻な脆弱性を特定して、修正作業の優先順位付けを素早く行えること
人とマシン両方のユーザーとアイデンティティを評価して、適切なレベルに権限を設定し、誤用や悪用を最小限に減らすこと
Active Directoryの設定ミスを修正して潜在的な攻撃経路を塞ぐこと

予防的なセキュリティ対策を講じていれば、攻撃を防ぎ、サイバー対策に関して十分な対策が実行されていることを保険会社に証明できます。多くの場合、予防的なセキュリティは事後対策に比べて経費がかかりません。

予防的な対策とサイバー保険の条件を整合すると、保険の契約にあたって通常のレポート、ダッシュボード、リスクスコアなどを利用できるので、手順を簡略化できます。更新にかかる時間も短縮され、保険引き受け業者が信頼できる精度の高いデータを提供でき、保険料が下がり、高度なセキュリティが得られます。

整合性があると保険会社はポートフォリオのリスクを管理しやすくなるので保険料を下げられる可能性が高まり、顧客はより早急に保険を更新でき、双方にメリットがあります。サイバー保険の選択には、カバレッジ、サイバーセキュリティへの理解、被保険者の予防的なセキュリティ対策との整合性を考慮することが重要です。

予防的なセキュリティを最優先とすることは、サイバー保険会社にとっても、被保険者となる企業にとっても非常に重要です。サイバー保険契約をサイバーセキュリティのベストプラクティスに整合させることは、企業にとって予防的なアプローチを採用してリスクを最少化するインセンティブにもなります。