DMARCとサイバー保険

DMARC
この記事は約4分で読めます。

世界中でランサムウェアやサイバー攻撃が多発する中、サイバー保険への需要は高まっており、保険金請求の件数やそれに伴う費用も増加している。

ノースカロライナ州西部の小さな田舎町の学区では、2020年の遠隔地の学年の始まりにランサムウェア攻撃を受けた。幸い、生徒が授業を休んだのは1日だけで、学校はサイバー保険に加入していた。その年の保険料は6,653ドルであったが、今年、教育委員会がサイバー保険契約を承認したところ、保険料は22,318ドルとなり、前年比235%増となった。

サイバー保険がDMARC導入を促進

攻撃、クレーム、コスト、支払額が増加する中、保険会社は利益を維持するための動きを見せている。サイバー保険の申込書では、アンダーライターは基礎的なサイバーセキュリティ管理について質問し、その中にDMARCを含めている。また、セキュリティ・ソリューション・プロバイダーと提携し、サイバー保険の顧客、ひいては保険会社自身のリスクを軽減するために、リスク管理サービスを、時には無償で提供しているところもある。以下は、サイバー保険の申込書からの質問の例である。

  • フィッシングメッセージから保護するために、以下のいずれかを導入していますか?SFPDKIMDMARC?
  • 電子メールに多要素認証(MFA)を導入していますか?
  • クラウドプロバイダーサービス(AWS、Azure、Google Cloud)にMFAを使用していますか?
  • エンドポイント検出・対応ツールを使用していますか?
  • すべての管理者アクセスについて、異常な行動パターンがないか積極的に監視していますか?はい」の場合、監視ツールの名前は何ですか?
  • 企業全体で、重要度の高いパッチをどのくらいの頻度でインストールしていますか?
  • すべてのエンドポイントで、エンドポイントアプリケーションの分離と封じ込め技術を使用していますか?
  • セキュリティオペレーションセンター(SOC)を使用していますか。
  • セキュリティ情報・イベント管理(SIEM)システムを使用していますか?

さらにリストは続く……

その結果、dmarcianは、セキュリティのしきい値を満たすためにDMARCの導入を支援する必要があるという理由で、顧客から定期的に話を聞いている。フィッシング詐欺の被害はかつてないほど急増しているため、サイバー保険の申し込み時にDMARCのチェックボックスにチェックを入れないことは、保険会社にとって負債とみなされます。DMARCやその他のセキュリティ管理およびシステムの欠如は、保険料が高くなったり、侵害後に保険会社から保険金が支払われなかったりする可能性がある。保険会社は、DMARCや、従業員トレーニングや多要素認証のような他のコントロールの採用を推進している基本レベルのサイバーセキュリティの実践を要求することによってリスクを減らしている。

サイバー保険を取り巻く環境の変化

激動するサイバーセキュリティ情勢とサイバー保険市場のため、議会は2021年国防授権法において、市場動向と課題を調査するため、米国のサイバー保険市場の調査を要請した。政府説明責任局(GAO)が実施したこの調査では、以下のような重要な傾向が判明した:

  • 取り組みの増加:グローバルな保険ブローカーのデータによると、そのクライアントのサイバー保険の加入率(既存のクライアントがカバレッジを選択する割合)は、2016年の26%から2020年には47%に上昇しました。
  • 価格の上昇:業界の情報源によると、価格の高騰は需要の増加と、より頻繁で深刻なサイバー攻撃による保険会社のコスト増加と一致しています。最近の保険ブローカーの調査では、回答者の半数以上が、2020年後半に10~30%の価格上昇を経験したと報告しています。
  • カバレッジ限度の低下:業界の代表者は、サイバー攻撃の増加により、保険会社が医療や教育などの特定の業界セクターのカバレッジ限度を減少させたとGAOに伝えました。
  • サイバー専用ポリシー:保険会社は、他のカバレッジとパッケージに含めるのではなく、サイバーリスクに特化したポリシーを提供することが増えています。このシフトは、何がカバーされているかについての明確さと、サイバー専用のカバレッジ限度の増加を望む反映です。

保険市場は、高まりつつあるサイバー攻撃と増加する請求に対応するための変革期にありますが、それは容易なことではありません。GOAは、保険会社がサイバー攻撃のコストに関する多くの歴史的データがない中で新しいサイバー保険製品を構築することに直面していることに注意を促しています。さらに、サイバーテロリズムのような用語に業界全体で標準化された定義がないため、カバレッジや限度を決定することは難しいです。

多くの企業がビジネスの大部分をオンラインで行うようになり、その結果、より多くの財務アカウント情報がオンラインに移行され、より多くの支払いがオンラインで処理されるようになりました。全体として、機密性の高い個人識別情報のオンラインでの収集と保管が大幅に増加しています。これにより、企業は保険提供者にとって高リスクなカテゴリーに置かれています。DMARCのような効果的なコントロールを導入することで、カバレッジを取得し、違反が発生した場合に支払いを受ける可能性が高まります。

私たちがお手伝いします

Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様...のサポートを行っています。

お気軽にご連絡ください

無料相談開催中!

出典元

DMARC and Cyber Insurance

タイトルとURLをコピーしました