保険会社、被保険者がそれぞれ入手できる情報の質と量には往々にしてギャップがあります。その結果、被保険者が契約前に記入しなければならない質問書は一層長く、複雑になっており、多くは被保険者の最終的なサイバー保険適用範囲を理解する妨げになっています。
中核的な4つの領域に焦点を絞ることで、組織はリスク評価を最小限に抑え、簡素化することができます。これらの領域は、4つの核心的な質問に要約することが可能で、侵入工作が行われた際にはインシデンスレスポンス・チームから尋ねられることになる内容です。
どのようなファイアウォールを使用しているか
・いかなるサイバー防衛構造であっても、必ずファイアウォールを導入することが必要になります。ファイアウォールは城を守る吊上げ橋と要塞の扉に相当します。・同様に重要なのが、ファイアウォールのログです。少なくとも60日、可能であれば6カ月分のログが必要です。このファイアウォールのログは、防犯カメラの映像のように、サイバーインシデントの可能性がある場合に重要な証拠となります。
環境のバックアップはどのように行っているか
・質の高いバックアップに資金を投じることは、サイバー保険の保険料の支払いと同様に重要です。・バックアップは、ネットワーク経由で受ける可能性のあるあらゆる侵入や感染を防ぐことができる構成にします。
・バックアップの長さは、業界で必要とされるタイムラインと予算の点で適切な水準であることが必要です。
全ユーザーに対して多要素認証(MFA)を導入しているか
・企業のシステムにアクセスするための多要素認証要件がオプションであってはなりません。システムへの不正アクセスが発生しないように、重大な過失なく多要素認証が実行されるようにする必要があります。・多要素認証はゼロ除外ポリシーのもとで、企業のあらゆる部門とあらゆるレベルの従業員に適用する必要があります。
システムへのアクセス権を定期的に確認しているか
・パスワード変更システムだけでは不十分です。少なくとも四半期ごとに、誰がどのシステムとソフトウェアにアクセスできるかを確認する必要があります。・適切なリスク軽減を図るために、最低レベルのアクセスポリシーが必須です。最小権限の原則(POLP)モデルは、適切にリスクを軽減するために欠かせません。最小権限の原則とは、業務上必要な場合に限りユーザーのアクセス権を与えるという考え方です。
・環境内で無許可のユーザーを直ちに特定できるよう、新規アカウントが作成された際に警告するツールに費用をかけることが必要です。
サイバー保険が複雑化し、サイバー脅威の出現と変化のスピードが増しています。それでもこれらの質問に対応することは、セキュリティ担当リーダーたちにとって、さらにサイバー保険事業者にとって、保険会社と被保険者の間の知識のギャップを埋める有用な方法になります。
(この記事は、世界経済フォーラムのAgendaから転載したものです)
連載:世界が直面する課題の解決方法
過去記事はこちら>>