我々が進む道には次々と障害物が現れます。予想できるものもありますが、曲がり角のすぐ先に深刻で予期せぬ危険が現れ、困難が長引く可能性が常にあります。事業や人生にリスクが付き物であることを我々は受け入れており、それを軽減する手段となるのが、保険です。保険と言えば、車、健康、ビジネスなどをすぐに思い付きますが、最近の情勢を反映し、サイバーセキュリティの保険も登場しています。

サイバー犯罪のニュースは大々的に報道されるようになりましたが、サイバー保険の存在を知る人はおそらく少数であり、どのような保険で何を目的とし、どういった補償内容なのかを知る人はさらに少ないはずです。たった一度のデータ漏えいがビジネスに大打撃を与えます。企業の防衛の防御が悪意あるハッカーに狙われる状況を想定して予行演習を行ったとしても、実際の攻撃を回避できるわけではありません。

ウォッチガードのテクニカルプロダクトマネージャであり、ThreatSync のグルである Ricardo Arroyo, Sr. が Intelligent CISO の読者に対し、サイバー保険と企業にとっての必要性、さらには利用する際の注意点などを解説しています。この記事の内容を要約して以下にご紹介します。

他のあらゆる保険と同様、サイバー保険の場合も、サイバー犯罪発生時の主として金銭的な救済を保険契約者に提供することを目的としています。サイバー保険によっては、既存の保険契約の追加補償として提供されるものもありますが、単独のサイバー保険もあります。いずれの保険契約も、契約者のニーズに合わせたカスタマイズが可能であり、もちろん、補償内容によって保険料も大きく異なります。サイバー保険の中核部分は、サイバー攻撃に対処するための費用を補償するものです。これには、一般的に次のような内容が含まれますが、これに限定されるものではありません。

• データプライバシー
  個人データ損失の費用を補償
• データの損失や違反
  企業の機密データ損失の費用を補償
• 修復費
  顧客への通知や原因調査などの、サイバー犯罪への対応に伴って必要となる費用を補償
• データ侵害に関連する罰金や罰則
  データ侵害に対して、国、地方自治体、地域の法律によって課せられる罰金や罰則の費用を補償
• データ侵害を伴わないサイバーセキュリティインシデント
  データ侵害以外のサイバーインシデントの費用を補償
• ビジネスや付随的なビジネスの中断
  サイバー犯罪によって発生した何らかのサービス中断（サイトがオフラインになるなど）の費用を補償
• サイバー恐喝
  盗まれた知的財産や個人データと引き換えにサイバー犯罪者に支払った費用を補償
• メディア賠償責任
  知的財産の侵害、著作権／商標権侵害、名誉毀損、誹謗中傷の費用を補償

Intelligent CISO の Ricardo の記事全文(英文)でサイバー保険の詳しい解説をお読みいただき、サイバー保険が必要とされるであろう、これ以外の理由については、今年のセキュリティ業界を予測した セキュリティニュースのこちらの記事を参照してください。