サイバー保険請求から学ぶ教訓(2025年7-8月号)

  2. サイバー保険請求から学ぶ教訓(2025年7-8月号)

サイバー保険請求から学ぶ教訓(2025年7-8月号)

ジェレミー・ギトラー(訳:鈴木英夫)[*]

2025年7月-8月web特別版

 一つひとつのサイバー保険請求案件の背後には、何が起こっていたのか、どのように始まったのか、そしてどれだけの経済的損失が発生したのか、それぞれのストーリーがある。サイバー保険請求事案を見ることにより、企業などの組織が将来の損失を軽減するのに役立つ洞察が得られる。脆弱性と改善の余地を示すことで、請求は最終的に組織のレジリエンス(回復力)への道を示すことにつながる。

 最近のサイバー保険請求の傾向を見ると、サイバー事案に関連する多くの種類のコストそして費用の合計であるインシデントコストが、あらゆる規模の企業で驚くほど高いことが示されている。
例えば、NetDiligence社のサイバー保険請求調査の最新版では、中小企業(年間売上高20億ドル未満)の5年間平均インシデントコストは93万7000ドル(約1億3千万円)、大企業(売上高20億ドル以上)では3610万ドル(約50億円)に及んでいる。

 企業などの組織におけるインシデントコストの発生源としては、自家保険による維持費・事業中断・侵害コーチング、フォレンジック・通知・広報などの危機管理サービス費用、訴訟費用・和解金・規制罰金などの法務・規制関連費用などが挙げられる。

 過去5年間、全ての規模の企業において、ランサムウェアが損害賠償請求の最大の要因であり、次いでビジネスメール詐欺とハッキングが続く。NetDiligence社の調査によると、全ての規模の組織において、事業中断はインシデントコストの大きな割合を占めている。中小企業における5年間の平均事業中断コストは46万4,000ドル(約6500万円)で、平均インシデントコスト93万7,000ドル(約1億3千万円)のほぼ50%を占めている。大企業では、5年間の平均事業中断コストは2,610万ドル(約36億円)で、平均インシデントコスト3,610万ドル(約50億円)の72%以上を占めている

 こうしたコストとサイバーリスクの展開の下では、リスク管理の専門家は、組織がシステムと業務オペレーションにおけるリスクを特定し、対処できるよう支援することが不可欠となる。そのための効果的な方法は、過去のサイバー保険金請求から学び、その教訓を将来のインシデントに対する組織のレジリエンス(回復力)に活かすことである。

2つの保険金請求事例

 実際のサイバー保険金請求事例を2つ考察してみよう。2025年初頭、異なる業界の2つの組織が同じ週にランサムウェア攻撃の被害に遭った。攻撃には、当時としては新しい形態のマルウェアであったCHAOS亜種が使用されていた。両組織は同額のサイバー保険に加入しており、自家保険による積立て額も同等であった。また、両組織は数百万ドルの身代金要求に直面したが、両組織ともそれを支払う意向であった。類似点はここまでである。
(*訳者注:「CHAOS」とは、サイバーセキュリティ分野における悪意のあるソフトウェアの一種で、特に「Chaos RAT」として知られている。これは、WindowsやLinuxシステムに感染し、ボットネットを形成してDDoS攻撃や仮想通貨の不正採掘などの活動を行うマルウェアである。)

 最初の被害組織であるビジネスサービス企業は、顧客にとって重要な要件である機密保持を懸念し、脅威アクターによる機密データの漏洩を防ぐために身代金の支払いを検討した。この対応戦略は「データサプレッション」と呼ばれ、脅威アクターが漏洩した情報をすべて削除したことを確認する効果的な方法がないため、推奨はできない。身代金として支払う資金を、代わりに機密データの漏洩が訴訟に発展した場合の法的防衛費用に充てる方が合理的だ。それでもなお、この組織は脅威アクターとの交渉を試みた。
(*訳者注:脅威アクター(Threat Actor)とは、サイバー攻撃やその他の不正行為を企てる個人やグループのこと)
(*訳者注:データサプレッションとは、特定のデータをシステムから削除したり、表示されないようにしたりする行為を指す。)

 組織にとって有利に働いた要因の一つは、データの有効なバックアップを維持していたことだ。有効なバックアップがあったおかげで、組織は最小限のダウンタイムで業務を継続することができた。そのため、攻撃者から復号鍵を要求する必要がなかった。組織は交渉プロセスに時間をかけることができ、最終的に身代金要求額を引き下げるのに優位な立場に立てた

 2つ目の組織である製造業者は、異なる状況にあった。データのバックアップが侵害され、業務に大幅な遅延が発生したため、復号鍵が必要であったのだ。この組織は増大する費用を懸念し、恐喝要求を早急に解決したいと考えた

 サイバー恐喝をめぐる脅威アクターとの交渉は、法執行機関や人質交渉のスキルを持つ専門家が行う繊細なプロセスである。ランサムウェア攻撃に使用されたマルウェアの亜種に関する知識は、脅威アクターの傾向を掴む手がかりとなり、交渉戦術を策定する上で役立つ。

 しかし、これまでの事例では、CHAOS亜種やそれを使用している可能性のあるランサムウェアグループに関する情報は存在しない。実際、被害組織への連絡に対する応答時間はそれぞれ異なっていたため、それぞれの攻撃の背後にいる脅威アクターは異なる人物だった可能性がある。例えば、ある組織は脅威アクターから迅速に返答を受けたのに対し、別の組織は数日間も返答がなかった。

 最初の被害組織は10日間の交渉の後、脅威アクターによる恐喝の要求額を当初の要求額の15%に減額し、脅威アクターは保有するデータを破棄することに同意した。2つ目の被害組織は、当初の要求額の3分の1未満で恐喝を解決し、復号鍵を受け取り、データへのアクセスを回復するのに4日間の交渉で済ませたのだ。

 2件のランサムウェア被害に対する請求はそれぞれ異なるアプローチで解決されたが、それぞれの当事者はサイバー保険契約と関連リソースのおかげで、好ましい結果を得て事業を再開することができた。

根本原因の検証

 リスク管理の担当者は、リスクベースの視点からサイバーインシデントを考察し、損失の根本原因を特定する必要がある。脅威アクターがどのようにしてマルウェアを仕掛け、サイバー攻撃を実行したのか、つまり失敗した諸点を把握することは、損失抑制の取組みにおいて非常に重要だ。

 上記2件の保険金請求事案において、それぞれの組織はサイバーリスク管理プログラムを詳細に見直した。問題のCHAOSランサムウェアは従業員が意図せずにフィッシング/ソーシャルエンジニアリングの手口を通じてインストールされたことを突き止めた。攻撃者は、電話やオンラインビデオ会議を装ったなりすましの手法を用いて、被害組織の従業員に「ITチームのメンバーと通信している」と信じ込ませた。その後、なりすまし犯は、攻撃を開始するマルウェアを「ダウンロードしてインストールするよう」従業員に指示を送ったのである

 これらの事案により、被害組織はインシデント対応計画・脆弱性・セキュリティ対策を見直すことになった。攻撃者が攻撃を開始するためにどのようにアクセスを獲得したかを踏まえ、従業員への追加トレーニングも必要であった。

 リスク専門家がサイバー保険金請求を分析する際に考慮すべき質問には、次のようなものがある:

  • インシデントはどのようなものであったか?悪意のあるものだったか、それとも悪意の見えないものだったか?
  • 失敗のポイントはどこにあったか?
  • サイバーセキュリティまたは組織プロセスのどのような弱点が、インシデントの発生、あるいはその影響の拡大につながったのか?
  • インシデントの実際の影響はどのようなものであったか?
  • 組織はインシデントにどのように対応したか?
  • インシデントをどのように軽減または防止できたか?
  • 改善の余地はどこにあり、組織はどのようにすべきか?まだ、どれを優先すべきであるか?
効果的な保険の確保

 サイバー保険請求を経験した組織は、自社の人員とプロセスを理解するのに最も有利な立場にあるが、リスクおよび保険アドバイザーは、請求の分析と、請求に至った状況への対処を支援することもできる。

 多くのサイバー保険では、フォレンジック・侵害コーチング・危機管理コミュニケーション、データ復旧といった専門サービスを提供している。幅広い潜在的損失シナリオに適用される幅広い補償範囲は貴重だ。リスク管理の担当者は、資格のあるリスクおよび保険アドバイザーの支援を受けながら、組織のニーズに合った、利用可能な最も広範なサイバー補償範囲を探すべきである。

 例えば、サイバー恐喝(Cyber Extortion)に対する保険は存在するが、その条項がすべてのサイバー保険に含まれているわけではない。リスク管理の担当者は、サイバー恐喝を「データの改ざん・破壊・損傷・削除、または破損、コンピュータシステムへの不正アクセスまたは不正使用、コンピュータシステムまたはデータへのアクセスの妨害、データ・個人識別情報または第三者情報の盗難・悪用または公開、コンピュータシステムまたは第三者のコンピュータシステムへの悪意のあるコードの導入やコンピュータシステムの中断または停止」と定義し、それらをカバーしている保険契約を探すべきである。
(*訳者注:我が国でもサイバー保険は販売されており、インシデントにかかわる各種の費用(フォレンジックや復旧費用)も補償されている。しかしながら、身代金の部分の補償は、恐喝者への支払いを助長しかねないモラルリスクへの観点等から補償されないとされている。)

 恐喝による損失を補償するための保険契約は、保険会社の事前の書面による同意を得て、恐喝の脅威を防止または対応するために発生した合理的かつ必要な費用を補償するものでなければならない。

 また、請求が発生する前に、インシデント対応計画の強化を支援できる個人や企業を特定しておくことも重要だ。賢明なリスク管理担当者は、サイバーインシデント対応を改善し、サイバー保険から最大限の利益を得るために、こうした関係構築に時間を割くべきである。

トピック
サイバー恐喝、保険、リスクマネジメント、セキュリティ、CHAOS

注意事項:この記事は、“Learning Lessons from Cyber Insurance Claims,” Jeremy Gittler | July 24, 2025, Risk Management site:
https://www.rmmagazine.com/articles/article/2025/07/24/learning-lessons-from-cyber-insurance-claims)
)をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジェレミー・ギトラーは、サイバーリスクマネジメント会社であるResilience社のグローバル保険金請求責任者。
鈴木英夫は、RIMS日本支部の主席研究員。