CFC社のマネージングディレクター(プロアクティブ・グローバルセキュリティサービス担当)ジェイソン・ハート氏。
最初の最高情報セキュリティ責任者(CISO)がその座に就いてから30年が経過した。当時、デジタルリスクはニッチな懸念事項であり、サイバーセキュリティは取締役会の議題にほとんど上がることはなかった。
長年にわたり、CISOの役割は現代ビジネスにおける最も重要な(そして容赦のない)職務の一つへと成長してきた。今日、彼らはデジタルインフラの守護者として、エスカレートするサイバー脅威を予測し、防止し、そこから回復するための取り組みを主導することが期待されている。
最近のScattered Spiderグループに関連する高プロファイルの攻撃は、その職務がいかに困難であるかを痛感させる。そしてこれらすべては、厳格化する規制、上昇するコスト、そしてエラーの許容範囲が消滅するという背景の中で展開している。一つのアラートの見逃し、あるいは一つの侵害の成功が、ビジネスにとって重大かつキャリアを左右する結果をもたらす可能性がある。
したがって問題は、何かが間違う可能性があるかどうかではなく、間違った時に何が起こるかである。
責任リスクと補償の重要性
今日のCISOにかかるプレッシャーは、単に職業上のものにとどまらない。サイバー攻撃がより破壊的で広範囲に及ぶようになり、業務だけでなくビジネスの存続自体を脅かすようになるにつれ、CISOへの注目はこれまで以上に厳しくなっている。彼らはビジネスを守る責任があるだけでなく、最悪の事態が発生した場合には責任を問われる可能性がある。それは、彼らが発した警告の数や、彼らが推進したより強力な管理策の数に関係なく起こりうる。
その意味で、今日のCISOはこれまで以上に重要でありながら、同時により脆弱な立場にある。過去数年間、侵害の後に罰金、訴訟、さらには禁固刑に直面するCISOの高プロファイルな事例を目にしてきた。この役割は、技術的なサイバー防御を構築することと同様に、リスクエクスポージャーを管理することに関わるようになっている。
この急速に進化する状況において、CISOは自身と組織を守るためにサイバー保険を含むあらゆる可能なツールを必要としている。私は以前、懐疑的だったことを公言している。最高技術責任者だった当時、サイバー脅威に対する唯一の防御は強力なセキュリティ体制だと信じていた。しかしそれは物語の半分に過ぎない。当時私が十分に理解していなかったのは、CISOの役割にどれだけの個人的リスクが伴うか、そしてサイバー保険の付加価値だった。
サイバーインシデント後の個人的責任は非常に現実的なものだ。ほとんどの人にとって、それは不眠の夜を引き起こすのに十分である。このように、サイバー保険はビジネスだけでなく、強いプレッシャーの下で重大な決断を下す個人も保護することを目的としている。
もし当時、今知っていることを知っていたら—補償がCISOを個人的な法的リスクから守る方法について—サイバー保険を最後の手段としてではなく、不可欠なサポートとして見ていたかもしれない。CISOが侵害後の法的措置で個人的に名指しされた場合、効果的な保険は彼らが費用を負担したり、一人で戦ったりすることがないよう支援できる。
コスト削減とビジネス継続性
もちろん、サイバー保険は個人補償にとどまらない。私が話すほとんどのCISOは、縮小する予算、拡大する脅威の表面、高まる期待の中で、より少ないリソースでより多くのことを行うという絶え間ないプレッシャーにさらされている。侵害が発生した場合、サイバー保険はビジネス継続性ツールとして機能し、突然の計画外の費用に直面した際にバランスシートを保護し、キャッシュフローを維持するのに役立つ。
さらに、一部の保険は専門のインシデント対応チームと連携し、侵害を封じ込め、ダウンタイムを最小限に抑え、ビジネスを立て直すのを支援する準備ができている。中断の1時間1時間が重要であり、そのレベルのサポートがあることが、大惨事を防ぐ違いとなりうる。
適切なサイバー保険ポリシーの選択
もちろん、すべてのサイバー保険ポリシーが同等に作られているわけではない。これは、組織をデジタル脅威から保護しようとする人に最初に伝えることだ。どのポリシーでも良いと思いがちだが、実際には、包括的でなければ、最も重要な時に無防備になる可能性がある。
強力なサイバー保険ソリューションは、基本的なカバレッジを超えるべきだ。データ侵害、ランサムウェア、ビジネス中断に対する広範な保護を含む必要がある。しかし同様に重要なのは、それに付随するサービスだ:専任のインシデント対応チームへのアクセス、迅速かつ効率的な請求プロセス、そして攻撃が発生する前に防止するのに役立つプロアクティブなサイバーセキュリティサポートである。
とはいえ、サイバー保険はサイバーセキュリティの代替ではない。両者は連携して機能する必要がある。優れたサイバー衛生、強力な内部プロトコル、そして回復力のある防御は依然として不可欠だ。私は常に明確なインシデント対応計画を策定することを推奨している—侵害のタイプに応じて何をすべきか、そして重要なのは、保険会社にどのように通知するかを正確に概説するものだ。その早期通知が大きな違いをもたらし、彼らが迅速に介入して被害を抑えるのに役立つ。
サイバー保険をツールキットに追加する
今日の脅威環境において、サイバー保険はCISOにとって重要なツールとなっている。ビジネスがデジタルインフラへの依存度を高めるにつれ、サイバーリスクへのエクスポージャーも並行して増加する。しかし保険は回復力のための強力なツールになりうるが、特効薬ではない。それはサイバーリスクに対するより広範な戦略的アプローチを補完する必要がある。
サイバー保険は、脆弱性がどこにあるか、チームがどの程度準備ができているか、そしてインシデントを防ぐためにどのような措置を講じているかについての内部対話を促すべきだ。それはポリシーを持つことだけではない。そのポリシーが何をカバーしているか、リスクプロファイルとどのように一致しているか、そして必要な時にどれだけ迅速にサポートを活性化できるかを理解するために時間をかけよう。
その理解の基盤があれば、サイバー保険はあらゆるビジネス—そしてCISO—が行える最良の投資の一つになると私は信じている。
