サイバー保険を販売する保険会社がセキュリティにおける強力な新しいプレーヤーになる可能性を Black Hat USA 2024 のとある講演で感じた。
● サイバー保険はセキュリティ強化のツール?
サイバー保険の歴史は古い。1990 年代のサイバー保険は、おもにコンピュータハードウェアやソフトウェア資産に対する損害保険の域を出なかったが、2000 年代に入ると金銭被害の拡大から各種サイバー関連法が整備され、その対応を含めた保険が生まれた。
その後、サイバー保険は、2017 年の NotPetya、WannaCry(ランサムウェア攻撃)によって決定的な変化の時を迎える。
ランサムウェアの被害は個人や中小企業からすぐさま大企業とインフラ事業者に移った。身代金の請求は数百ドルから数十万ドルのレンジまで暴騰する。
すると、サイバー保険は、それまでのインシデント対応の追加コスト補填や機会損失等による遺失利益の補填だけでなく、身代金支払いのための文字通りの保険へと変わっていった。
サイバーセキュリティがサイバー保険のみならず、ひいては保険ビジネスにも影響を及ぼすようになった。この変化については、これまで多くのセキュリティスペシャリスト、アナリスト、コンサルタント、ときには法律家が講演やセミナー、レポートや論文が提出されてきた。
弁護士であり DFIR(デジタルフォレンジックとインシデント対応)の専門家でもあり、さらに保険契約査定員でもある Bridget Quinn Choi 氏は、2024 年の Blackhat USA で「サイバー保険は従来型の保険業務というよりもセキュリティ強化のツール、もしくはソリューションとして活用すべき」と述べた。保険がセキュリティ強化ツールだって? いったいなんのことだろうか。
● 保険ブローカー、アクティブ保険といったトレンド
彼女は、もともと弁護士として働いており、その後保険業界に転身した。そこでサイバー保険にかかわることになったが、実際の業務では IT やサイバー空間に関する技術的なスキルがないため、顧客を十分に守れなかった苦い経験をしたという。フォレンジックやインシデント対応について学ぶきっかけがここだった。現在は、IT およびサイバーセキュリティの知見を保険業界に展開すべく保険ブローカーとして働いている。
なお英語で「ブローカー(Broker)」とは純粋に「仲介業者」の意味で、「エージェント」などと近しい概念であり、日本語の「ブローカー」に含意されるような「情報の非対称性を悪用し」「ときに法の隙間を突いて立ち回り」「実働に到底見合わない多額の中抜きを行い」「出資者と労働者双方を不幸にしているにも関わらずまったく良心が痛まない人々」といったネガティブなステレオタイプ的なイメージはまったく含まれない。サイバー保険についてユーザー企業の仲介者として、保険会社の商品、ソリューションをマッチングさせるのが仕事だ。サイバー保険ビジネスにおいて、企業の業務、サイバーセキュリティ、行政や法律のすべてに精通した人材、調整役の存在が重要だ。
