せいうちセキュリティ

研究論文からサイバー犯罪とセキュリティを考えてみる

【論文考察】保険会社はサイバーリスクの価格をどう算出しているのか

今回はこちら。ここ数年で話題にあがることが増えてきた「サイバー保険」に関する研究です。保険というビジネスモデルを考えた人はマジで天才だと思います。そんな天才たちの功績からサイバーリスクの価格付けロジックを学びましょう。

Journal of Cybersecurity, Volume 5, Issue 1, 2019, tyz002, https://doi.org/10.1093/cybsec/tyz002 

 

もくじ

 

どんな人におすすめ?

法人組織でサイバー保険に加入しようか考えなくちゃいけない担当者向けの論文です。この論文は2019年に発行されたのでもう5年も前なんですが、ある程度普遍的な考え方を提示しているのでまだまだ参考になると思います。

けっこう読み応えのある内容です。それもそのはず、もともと保険ビジネスのモデルは数理統計で成り立っている世界なので、この論文も統計学的な考え方を読者に強いてきます。脳みそが疲れます。統計学の根底にあるのは「世界で起きている出来事はランダムに発生しているただの現象。その裏には確率分布がある。世の中の現象は確率できまるんじゃい」という素敵な考え方なので、慣れない人には読み進めるのが辛いかもしれません。ですが、統計的な思考プロセスでサイバーセキュリティを考えるアプローチ、すなわち「確率論的サイバーセキュリティ」は、今後より重要性を増していくので、今から慣れておきましょう。

どんな内容?

サイバー保険会社がどういうロジックでリスク評価と補償額の算出をしているのかを調べてみたという内容です。シンプルなテーマですが、気になるところですよね。アメリカだとサイバー保険市場が大きいので、データが集まりやすいのも事実。日本だとできない研究です。

この調査では、アメリカの各州にある保険委員会に提出されたサイバー保険契約を定性的に調べて、内容分析を行っています。具体的には以下を明らかにしています:

  1. どのような損害がサイバー保険契約の対象となり、どれが除外されるのか
  2. 保険会社はリスクを評価するために申込者にどのような質問をするのか
  3. サイバー保険の保険料はどのように決定されるのか、つまり、保険料を計算するために会社とそのサイバーセキュリティ慣行に関するどのような要素が使用されるのか

私たちのイメージだと「保険会社ってリスクを商品に反映しているくらいだからサイバーリスクにもめっちゃ詳しいでしょ」という感じなんですが、実際にどういうロジックで価格が決まっているのかはブラックボックスです。じゃあどうやって調査したか。

私も初めて知ったんですが、アメリカの保険は州レベルで規制されているので、保険会社は各州の保険委員会に新しい保険商品について説明した保険証券を提出する必要があるとのこと。これらの提出書類には、保険証券の全文(補償内容、免責事項、トリガーなど)、証券申込アンケート、保険料を算出するための計算式を記載した料率表などが含まれているので、研究対象にもってこいというわけです。この研究では、ニューヨーク、ペンシルバニア、カリフォルニアの各州の保険委員会から保険証券を収集して、3つの主要な構成要素における構成とバリエーションを検証しています。

注目ポイント

いっぱいあります。ちょっと長くなるのでご了承ください。

まず市場について。アメリカの保険市場の浸透は他国よりも加速しているかもしれませんが、それでもアメリカ企業の約3分の1しか何らかのサイバー保険に加入していないとのこと(ただしこの情報は保険会社役員からの提供情報らしいので、精査は必要です)。そして産業分野によってサイバー保険の普及率には大きな差があるようで、例えば製造業でサイバー保険に加入している企業はわずか5%であるのに対して、ヘルスケア、テクノロジー、小売業では50%近い導入率に達しています。平均的な保険料は10,000ドルから25,000ドルの間で設定されていて、1,000万ドルから2,500万ドル、最高で5,000万ドルの限度額を設定している保険会社もあるようです。すげー。

次に『サイバー保険はどのような損害をカバーし、除外するのか』について。驚いたことに、カバーされる損害はすべての保険で一貫しているのに対し、除外される損害はより多様であることがわかりました。専門家の間で言う「会社ごとの特性で全然違うんですよ~」的な解釈は間違っていて、何を補償対象にするかはほぼ違いがなく、明示的に除外するリスク対象はバラバラってことです。ちなみに補償対象TOP10はこちら。さすがアメリカ。訴訟ベースっぽいラインナップです。

最も一般的な補償対象損害

そして除外対象TOP10はこちら。

最も一般的な除外事項

重要な点としては、保険会社が「ファースト・パーティ・ロス(=会社が直接負担するコスト)」と「サード・パーティ・ロス(訴訟を通じて発生するコスト)」を明確に分けていることです。これは何につながるかというとサプライチェーン・リスクマネジメントにつながるところで、今まで喧々諤々あったけれども、結局つき詰めると「ちゃんとサイバー保険に入っている会社と取引する」というポリシーがリスク対策として現実的な解かもな、と思いました。あと、明確な除外項目に「産業制御システムに起因する損害」というのがありました。次の項目にも出てきますが、保険会社としては可用性の侵害はあまり対象にしていなくて、機密性に補償の軸足を置いている傾向があります。OT環境への保険適用が難しいことを考えると、OTを守るにはリスク移転以外の方法を選ばなければならんということですね。

三点目は「保険会社はリスクを評価するために申込者にどのような質問をするのか」について。サイバー保険に加入するにはあらゆる質問に答えて「ふむ、これなら加入してよいでござんすな」と保険会社に言ってもらわなければいけません。調査で見えてきた全体の傾向は「大体聞いてる内容は一緒」というのと「聞いてる質問量にはめっちゃばらつきがある」です。興味深い。グラフを見てみましょう。

 

(右)質問内容の飽和状態度 (左)質問項目量の分布

118の質問内容を14のサブカテゴリーに整理して、そこから4つの主要テーマを作成すると「組織」「技術」「ポリシーと手順」「法務とコンプライアンスに分類されます。まず多いのが、どんなデータを管理しているかの質問です。クレジット/デビットカード番号、運転免許証、Eメールアドレス、IPアドレス、金融・銀行情報、医療記録、保護医療情報(PHI)、知的財産、企業秘密などのPII、顧客の機密情報、企業の知的財産とか。保険会社はインフラやシステムの状態よりも、データに重きを置いています。意外だったのは、インフラに関する質問がごく僅かであることです。実際の質問項目は「申請者のIPアドレスの総数を教えてください」「申請者とその子会社が利用しているウェブサイトのURLと静的IPアドレスをすべて列挙してください」「個人情報を収集、処理、または保存するシステム、アプリケーション、およびサポートインフラは、ネットワークの他の部分から分離されているか」などです。初歩的。ここは保険会社の伸びしろですね。それに引っ張られてユーザ側のレベルも上がるというサイクルになるのかなあ。一方で、データの盗難や侵入を防ぐための技術的対策に関する質問は、ほとんどのアンケートで見られました。これには、電子メール、ダウンロード、デバイスをスキャンして悪意のあるファイルやプロセスを検出するアンチウイルス・ソフトウェア、ネットワークへの侵入や異常を検出するIDS/IPS、ファイアウォールなど、申請者のネットワークやコンピュータを保護するために使用されているツールの種類に関する質問が含まれています。ゼロトラストの流れから、今の要件のほうがもっと厳しいかもですね。

最後は「保険会社はどのようにサイバーリスクを評価するのか」です。まずロジックですが、あんまり統一されていないというのが実情のようで、その理由は「まだあんまり有効なデータがないから」のようです。保険会社でもそうなのね。料金形態は大きく4種類です。以下が相対分布図です。

料金表のカテゴリー(n= 69)

意外に多いのが定額制(Flat Rate)で、中小企業向けの商品です。うーん、確かに中小企業にはフラット料金がWin-Winなのはわかる。そもそも予算も少ないし、侵害される資産量も相対的に低いので、リスクのばらつきが少ないという理屈ですね。料金計算の実例は以下の通りです。

シンプルな料金設定の例(Insurance Services Organization (ISO)が開発したCyberOne保険)

これは推測ですが、このExpected Lossがおそらくは被害額の平均値のため、サイバーリスクがパレート分布になっていることを想定していない設定になっているように見えます。より厳密には、ブラックスワン的なロングテールの事象は鼻から対象外と定義して、よくあるリスクのみを定額設定にしていると読むほうが正確かもしれません。

あまり聞かないモデルとして「ハザードグループ条件付き定額モデル」があります。これは、保険は定額保険料を定めているものの、事業タイプ別に割り当てられたハザードグループは例外として保険料に条件を付けるというものです。ちなみにハザードグループとは「被保険者がウェブサイトを通じてビジネスの大部分を行う可能性がある、または社会保障番号のような機密情報を保持している、あるいはその両方を併せ持つ」組織のことです。このモデルも中小企業向けです。

最後のモデルは「基本料金モデル」、そしてその進化版である「セキュリティ質問付き基本料金モデル」です。基本料金モデルは、組織の規模や経済状況、産業モデルやその他の企業/ビジネス特性の条件によって、階級に応じた保険料金が設定されるというものです。企業規模が大きくなれば損害額の上限も大きくなるので、実情に合わせたモデルです。そんでもってそれにセキュリティ評価を加えたのが「セキュリティ質問付きモデル」です。今回の研究で調査した 39 件(サンプルサイズの57%)の保険契約はこのモデルでした。どんな質問項目かはばらつきがあるようですが、基本項目は以下です:

基本的なセキュリティ質問カテゴリー

感想

保険は、奥が深い分野です。必ずロジックが存在する商品なので、リスク評価のプロたちがサイバーリスクをどう評価しているかのヒントになりますね。

保険料の算出に使用された最初の、そして最も重要な企業特性は、特定の技術やガバナンス管理ではなく、企業の資産価値(または収益)ベースレートでした。これは企業規模や収益状態がサイバーリスクの多いな変数であるということです。リスクは「脅威」「脆弱性」「資産」の掛け算で決まります。その中でも「資産」は相対的な重要度が高いということです。これ大事。

保険料見積りのための高度なアルゴリズムを持つ保険会社もあるりますが、中小企業向けの保険は非常にシンプルです。加えて、第三者の損害(すなわち賠償責任補償)を捕捉する保険料は、一般に第一当事者の損害に関連する保険料よりも割高になります・これは、保険会社が、被保険者が被った直接的な損害よりも、被害後に発生する事後処理(法的措置など)がより高額になることを示唆しています。現代のサイバーリスクマネジメントの肝は、やっぱり「起きてしまったあとの対応」なんですね。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり

ランキング参加中
セキュリティ