損害保険会社は、サイバーセキュリティの分野において極めて特異な立場にあります。彼らはリスク評価を本業としています。保険の引受条件としてセキュリティ要件を定めており、情報漏洩がどれほどの損害をもたらすかについて、誰よりも熟知しているのです。

しかし、自国のサイバー防衛に関しては、依然として重大な課題が残っている。

これが、 『保険会社のためのサイバーセキュリティ：安全性とサービスの両立』という、保険情報研究所（Triple-I）がFenix24と共同で発表した新しい報告書です。この調査は、保険業界の経営幹部との体系的な対話を基に、彼らの実務を、自社の保険契約者に求めているベストプラクティスやセキュリティ対策と比較・評価したものです。

結論は？保険各社はサイバーセキュリティに多額の投資を行ってきた。しかし、「多額」と「十分」は同義ではない。

不足している点

同報告書は、いくつかの分野における強みとともに、保険会社がリスクにさらされる可能性のある領域を指摘した。

復旧テストの範囲は狭すぎます。多くの保険会社は不変のバックアップを導入し、最上位システムの復旧時間目標（RTO）を達成していると報告しています。しかし、こうしたテストは通常、理想的な条件下で単一のシステムに対して行われるだけで、ネットワーク全体を対象としたり、実際のインシデントのようなプレッシャー下で行われたりすることはありません。制御されたテストと実際のランサムウェア攻撃との間のこのギャップこそが、組織を窮地に追い込む原因となっているのです。

Fenix24のCEOであるマーク・グラズマン氏は次のように述べています。「多くの組織は、自然災害や一般的なIT障害に対する復旧計画をテストしていますが、ランサムウェア攻撃に対するテストは行っていません。真のレジリエンスを構築するには、ランサムウェア攻撃が発生した際に実際に何が起こるかを理解することが不可欠です。危険にさらされるのはバックアップだけではありません。攻撃者は、Active Directory、ID管理システム、仮想マシン、ハイパーバイザー、さらには電子メールのような中核的な通信インフラに至るまで、体系的に標的を定め、破壊します。 レジリエンス計画には、バックアップの生存性、復旧のためのアーキテクチャ、整合性への理解に加え、包括的な資産インテリジェンス、ビジネスクリティカルなアプリケーションとその関連依存関係の優先順位付けが必要です。何を設計すべきかを知っていればレジリエンスは実現可能です。それこそが、Fenix24の知見が持つ力なのです。」

認証システムには依然として脆弱な部分が残っている。参加しているすべての保険会社は、企業用のパスワード管理ツールを導入し、パスワードの複雑性に関する厳格な基準を適用している。管理用アカウントにはすべて多要素認証（MFA）が必須とされているが、一部の会社では依然としてSMSや電子メールを利用したMFAを許可している。これらはどちらも、攻撃者が日常的に悪用する手法である。必要なツールは導入されているものの、設定が十分に厳格ではない。

セキュリティパッチの適用ペースが遅すぎる。全参加者が侵入テストを実施しており、その中にはヘルプデスク担当者を標的としたソーシャルエンジニアリングのシナリオも含まれている。毎月セキュリティパッチを適用しているのは約半数にとどまっており、悪意のある攻撃者が公開から数時間あるいは数日以内に新たに発見された脆弱性を悪用する環境においては、この対応では不十分である。

ブラウジング制御には一長一短があります。多くの保険会社はDNSフィルタリングを導入し、P2Pファイル転送やWebメールをブロックしています。これらはすべて効果的な対策ですが、VPNにおいてスプリットトンネリングを採用している企業もあり、これにより一部のインターネット閲覧が暗号化の対象外となります。これはユーザー体験を向上させる一方で、フィッシング、マルウェア、通信傍受攻撃への曝露リスクを高めてしまいます。

完璧さよりも準備

この報告書は、私たちが長年にわたり主張してきたことを改めて浮き彫りにしています。すなわち、「完璧な」セキュリティソリューションなど存在しないということです。そのようなソリューションを追い求めることは、誤った安心感を生み出すだけです。強靭な組織と脆弱な組織を分けるのは、体系的な備え、実証済みの復旧能力、そして絶えず改善を続けるという組織としての決意なのです。

保険会社も、他のあらゆる企業と同様、セキュリティと利便性、そして業務パフォーマンスのバランスをとらなければなりません。それが現実です。しかし、この報告書は、「バックアップは取っている」という状態と「ランサムウェア攻撃から復旧できる」という状態との間には、顧客のためにまさにこのリスクを評価している企業の間でさえ、依然として危険なほど大きな隔たりがあることを明らかにしています。

サイバー保険市場は拡大しています。しかし、脅威の拡大ペースはそれ以上に速いのです。

2024年のサイバー保険市場の正味保険料収入は153億ドルに達し、2025年には163億ドルに達すると予測されている。ランサムウェアは依然として保険金支払いの主な要因となっており、こうしたインシデントに伴う平均100万ドルのコストのうち、約半分が事業中断によるものである。

保険会社が自社のシステムを迅速に復旧できなければ、同社を頼りにしている保険契約者へのサービス提供ができなくなります。

回復こそが差別化要因である

本レポートの調査結果は、Fenix24が日々現場で目の当たりにしている現実を裏付けるものです。組織はセキュリティ対策に投資しています。ツールを導入し、テストを実施し、要件を満たしているかを確認しています。しかし、攻撃者が侵入に成功したとき（そしてそれは必ず起こります）、真の問題はこうなります。そこから回復できるでしょうか？

レポート全文をダウンロード：保険会社のためのサイバーセキュリティ：安全性とサービスの両立 業界の現状、課題、そしてそれらを解決するために何が必要かを確認してください。