メインコンテンツへスキップ
DMARCとサイバー保険

DMARCとサイバー保険

2021年12月17日
エコシステムニュースセキュリティ・インサイト

世界中でランサムウェアやサイバー攻撃が相次いでいることを受け、サイバー保険への需要が高まっているほか、保険金請求件数も増加しており、その結果、コストも上昇しています。

そして、コストの上昇は誰にでも等しく及ぶものです。ノースカロライナ州西部の小さな地方学区は、2020年のリモート授業による新学年の開始直後にランサムウェア攻撃を受けました。 幸い、生徒たちの授業が休講になったのは1日だけであり、学校にはサイバー保険が加入されていた。その年の保険料は6,653ドルだった。今年、教育委員会がサイバー保険契約を承認した際、その費用は22,318ドルとなり、前年比で235%の増加となった。

サイバー保険がDMARCの導入を後押し

サイバー攻撃、保険金請求、コスト、および支払額の増加に伴い、保険各社は収益性を維持するための対策を講じています。サイバー保険の申込手続きにおいて、引受担当者は基本的なサイバーセキュリティ対策について質問しており、その中にはDMARCも含まれています。一部の保険会社は、セキュリティソリューションプロバイダーと提携し、サイバー保険の顧客、ひいては自社自身のリスクを軽減するため、場合によっては無償でリスク管理サービスを提供しています。以下に、サイバー保険の申込書に記載されている質問例を示します:

  • フィッシングメール対策として、SPFDKIMDMARCのいずれかを実装していますか?
  • メールの認証において、多要素認証(MFA)を義務付けていますか?
  • クラウドプロバイダーのサービス(AWS、Azure、Google Cloud)で多要素認証(MFA)を利用していますか?
  • エンドポイント検知・対応ツールをご利用ですか?
  • 管理者のアクセスについて、異常な行動パターンがないか積極的に監視していますか?もし「はい」の場合、使用している監視ツールの名称は何ですか?
  • 御社では、重要度「Critical」および「High」のパッチをどのくらいの頻度で全社的に適用していますか?
  • すべてのエンドポイントで、エンドポイントアプリケーションの分離および封じ込め技術を利用していますか?
  • セキュリティオペレーションセンター(SOC)をご利用ですか?
  • セキュリティ情報イベント管理(SIEM)システムをご利用ですか?

        まだまだ続く……

その結果、dmarcianには、セキュリティ基準を満たすためにDMARCを導入する支援を求めて、顧客から頻繁に問い合わせが寄せられています。フィッシング攻撃が過去最高水準に達しているため、サイバー保険の申込書でDMARCの項目にチェックを入れないことは、保険会社からリスク要因と見なされます。DMARCやその他のセキュリティ対策・システムが整備されていない場合、保険料が高額になるほか、情報漏洩が発生した際に保険金を受け取れない可能性もあります。 保険会社は、DMARCや従業員研修、多要素認証などのセキュリティ対策の導入を促進する、基本的なサイバーセキュリティ対策の実施を義務付けることで、リスクを低減しています。

サイバー保険の変貌

サイバーセキュリティ情勢およびサイバー保険市場が激動していることを受け、米国議会は2021年国防権限法において、市場の動向と課題を調査するため、米国のサイバー保険市場に関する調査を要請した。政府監査院(GAO)が実施したこの調査では、以下の主要な傾向が明らかになった:

  • 加入率の増加。あるグローバル保険ブローカーのデータによると、同社の顧客におけるサイバー保険の加入率(既存の顧客のうち保険加入を選択した割合)は、2016年の26%から2020年には47%へと上昇した。
  • 保険料の値上げ。業界関係者によると、保険料の上昇は、需要の増加に加え、サイバー攻撃の頻度と深刻化に伴う保険会社のコスト増と時期を同じくしているという。保険ブローカーを対象とした最近の調査では、回答者の半数以上が、2020年後半に顧客の保険料が10~30%上昇したと回答した。
  • 保険金額の上限引き下げ。業界関係者はGAOに対し、サイバー攻撃の増加を受けて、保険会社が医療や教育などの一部の業界において保険金額の上限を引き下げたと述べた。
  • サイバーリスクに特化した保険商品。保険会社は、サイバーリスクを他の補償内容と組み合わせたパッケージ商品に含めるのではなく、サイバーリスクに特化した保険商品をますます提供するようになっている。この変化は、補償範囲の明確化や、サイバーリスクに特化した補償限度額の引き上げを求める声の高まりを反映している。

保険業界は、増加・多様化するサイバー攻撃や保険金請求の増加に対応するため、変革の時期を迎えています。しかし、その道のりは容易ではありません。GOAは、保険会社がサイバー攻撃による損害額に関する過去のデータがほとんどない中で、新たなサイバー保険商品を開発しなければならない状況にあると指摘しています。さらに、「サイバーテロリズム」といった用語について業界全体で統一された定義が欠如しているため、補償範囲や保険金額の上限を決定することも困難です。

多くの企業が、ビジネスのより多くの部分をオンラインで行うことを余儀なくされています。その結果、金融口座情報のオンライン移行が進み、オンラインでの決済処理も増加しています。全体として、機密性の高い個人を特定できる情報のオンライン上での収集・保管が大幅に増加しています。この状況により、企業は保険会社にとって高リスクなカテゴリーに分類されるようになっています。DMARCのような効果的な対策を導入しておくことで、万が一情報漏洩が発生した場合でも、保険の適用を受け、保険金を受け取れる可能性が高まります。

サイバー保険の更新や新規加入の際にDMARCに関するサポートが必要な場合は、当社のナレッジベースやその他の無料のDMARCリソースをご活用ください。

また、無料トライアルを開始して、その過程で当社の専門アナリストやサポートスタッフによるサポートを受けることもできます。

この件について議論を続けたいですか?ぜひdmarcianのフォーラムへお越しください。

コンプライアンスサイバーセキュリティDMARCDMARCのメリット

関連記事