** 本記事は、Quantifying ROI: Understanding the impact of cybersecurity products and services on cyber insurance claims の翻訳です。最新の情報は英語記事をご覧ください。**
サイバー保険の請求額は、サイバー攻撃が組織に及ぼす影響を定量化する効果的な方法です。保険金の請求額が大きければ大きいほど、被害者が攻撃によって財務上および業務上多大な影響を受けたことを示し、一方、請求額が小さければ被害が限定的であったことを示します。
サイバー保険の請求額を減らすことは、誰にとっても有益です。保険加入者にとっては、保険金請求額の減少はサイバーレジリエンスの向上を証明することになり、保険会社にとっては、保険金支払額の減少は利益の増加を意味します。また、保険会社が保険金の支払いにかける費用を削減できれば、保険料を引き下げることができるため、加入者にさらなるメリットがもたらされるという好循環も生まれます。
より強固な防御がサイバー攻撃による財務上および業務上の影響と、その結果発生する損害賠償請求の金額を軽減させるという点については広く合意が得られているものの、その定量化 には誰も成功していませんでした。これまでは。
ソフォスは最近、サイバー保険の保険金請求額に対するさまざまなサイバーコントロールの財務的影響を定量化するため、ベンダー横断型の調査を依頼しました。この調査により、エンドポイント保護ソリューション、EDR/XDR テクノロジー、MDR サービスが攻撃に関連する保険金請求に与える影響の違いが明らかになり、保険会社や組織にとって貴重な知見が得られました。
主な調査結果は以下の通りです。
- MDR サービスを利用する組織は、エンドポイント保護のみを利用する組織よりも 97.5% 請求額が少ない (75,000 ドル対 300 万ドル)
- EDR/XDR ソリューションを利用する組織の請求額は、エンドポイント保護のみを利用する組織の 6 分の 1 (50 万ドル対 300 万ドル)
- MDR サービスを利用する組織は請求額が最も予測しやすく、EDR/XDR ツールを利用する組織は、請求額が最も予測しにくい
- MDR サービスを利用する組織は、重大なサイバー攻撃から最も早く復旧している。 エンドポイント保護のみを利用する組織ではわずか 18%、EDR/XDR ソリューションを利用する組織では 27% であるのに対し、MDR サービスを利用する組織はほぼ半数 (47%) が 1 週間以内に完全に復旧
- MDR サービスを利用する組織は、ランサムウェアインシデントからの復旧時間を最も予測しやすく、EDR/XDR ユーザーは最も予測しにくい
本調査が重要である理由
企業・組織は毎年、膨大な金額をサイバーセキュリティに費やしています。本調査はサイバーコントロールがサイバー攻撃の結果に与える影響を定量化するものであり、その結果として組織は最大の見返りが期待される箇所に投資を集中できます。
さらに、保険会社は補償の条件として特定のセキュリティ対策を要求したり、他の対策を導入する組織に対して割引を提供したりすることで、サイバーセキュリティの支出に大きな影響を与えられます。本調査により、保険会社は、インシデントの結果やその後の保険金請求額に好ましい変化をもたらす投資にインセンティブを与えていることを確認できます。
調査の枠組み
本調査プログラムの調査対象は、従業員数 50~3,000 人の計 232 の組織から発された 282 件の保険金請求イベントです。回答者は、エンドポイント保護ベンダー 19 社と MDR サービスプロバイダー 14 社を含む、幅広いプロバイダーのサイバーセキュリティソリューションを使用していました。すべての組織が、保険金請求の原因となるサイバー攻撃を受けた時点で多要素認証 (MFA) を使用していました。本調査は、Vanson Bourne がソフォスの依頼を受けて実施したものです。
回答は、保険金請求の原因となる攻撃を受けた時点で導入していたサイバー防御策に基づいて、統計的に有意な以下の 3 グループに区分されました。
- エンドポイントユーザー: エンドポイント保護ソリューションを 1 年以上使用しているが、EDR (Endpoint Detection and Response) ツール、XDR (eXtended Detection and Response) ツール、または MDR サービスを使用していないグループ (n=63 の組織、83 件の保険金請求)
- EDR/XDR ユーザー: エンドポイント保護ソリューションと EDR/XDR ツールを 1 年以上使用しているが、MDR サービスを使用していないグループ (n=109 の組織、129 件の保険金請求)
- MDR ユーザー: エンドポイント保護ソリューションと MDR サービスを 1 年以上使用 (n=60 の組織、70 件の保険金請求)
報告書全体を通じて、これらのグループを指す用語を使用しています。
誤解を避けるため、本調査はサイバー攻撃を原因とする保険金請求のみに焦点を当てており、その他の理由 (たとえば、サイバーセキュリティベンダーの機能停止や偶発的なデータ損失による事業への影響) によるサイバー保険契約に基づいた請求は除外しています。
調査結果 #1: MDR サービスを利用する組織は、エンドポイント保護のみを利用する組織よりも 97.5% 請求額が少ない
調査の結果、MDR サービスを利用する組織の請求額の中央値は、エンドポイントユーザーのそれよりも 97.5% 小さいことが明らかになりました。エンドポイントユーザーの請求額が 300 万ドルであるのに対し、MDR ユーザーの平均請求額(中央値)はわずか 7万 5,000 ドルでした。 言い換えると、エンドポイントユーザーのサイバー攻撃を原因とする保険金請求額は、MDR ユーザーの 40 倍です。請求額が小さいのは、MDR サービスが悪意のある活動を迅速に検出して無効化し、深刻な被害が発生する前に攻撃を排除できることを反映していると考えられます。
このデータは、エンドポイント保護に加えて EDR または XDR ツールを使用することの利点も示しています。EDR/XDR ユーザーの平均請求額は、エンドポイントユーザーの 6 分の 1 (50 万ドルに対して 300 万ドル) でした。
調査結果 #2: MDR ユーザーの請求額は最も予想しやすく、EDR/XDR ユーザーは最も予測不能
請求額の予測可能性は、サイバー攻撃の影響を軽減するサイバーコントロールの一貫性と信頼性を示す重要な指標です。さまざまなコントロール間の違いを理解するために、年間売上高 1 億ドルの組織の請求例を仮定し、各セグメントについてモデル化しました。分析に使用した多変量回帰モデルから生成された出力結果に基づいてます (詳細は本記事末尾の「調査方法について」を参照してください)。
本分析から、2 つの重要な知見が明らかになりました。
- MDR ユーザーの請求額は最も予測しやすい
- EDR/XDR ユーザーの請求額は最も予測しにくい
MDR ユーザーによる請求額の予測可能性は、MDR プロバイダーが脅威を迅速に検出し、無力化する一貫性を反映しています。MDR サービスではセキュリティオペレーションのスペシャリストによる 24 時間 365 日体制の監視、調査、対応が提供されており、昼夜を問わず迅速な対応が可能です。
多くの攻撃者が、目的を達成するまで検出を遅らせようとして、業務時間外を狙って攻撃を行うことを考えると、継続的なセキュリティ対策は特に重要です。Sophos X-Ops による分析では、ランサムウェア攻撃の 91% は、標準的な業務時間 (月曜日から金曜日の午前 8 時~午後 6 時) 外に開始されています。
EDR/XDR ユーザーによる請求の予測の難しさは、大きな被害が出る前にサイバー攻撃を阻止するのに用いられるツールの有効性が、ユーザーのスキルと対応力に完全に依存していることを示しています。EDR/XDR ツールを使用して大きな効果を上げ、攻撃を迅速かつ効果的に阻止している組織もありました。しかし、EDR/XDR テクノロジーに投資したにもかかわらず、効果的なセキュリティオペレーションを実現できていない組織もあります。フィードバックによると、多くの場合、24 時間 365 日をカバーする能力の欠如や専門知識の不足が原因であることが示唆されています。
EDR/XDR ユーザーの請求額がエンドポイントユーザーの請求額よりも広範囲に及んでいることは、これらのツールの不適切な使用が、実際には状況を悪化させる可能性があることも示唆しています。たとえば、組織は自ら状況を改善しようとするあまり、外部のインシデント対応エキスパートに支援を依頼するのを遅らせる場合があります。
調査結果 #4: MDR ユーザーはランサムウェアインシデントからの復旧時間を最も予測しやすく、EDR/XDR ユーザーは最も予測しにくい
大規模なランサムウェア攻撃を経験した組織を仮定して復旧時間をモデル化したところ、使用したセキュリティ対策によってかなりのばらつきがあることが明らかになりました。本分析では、復旧時間枠 (復旧に要した最短時間と最長時間の差) と、報告された平均復旧時間に基づく予測復旧時間の両方をモデル化しました。
- エンドポイントユーザーは、復旧時間枠が 40 日間で予測復旧時間が 40 日間の「普通のユーザー」
- EDR/XDR ユーザーは、復旧に最も時間がかかり、復旧時間枠 (66 日) と予測復旧時間 (55 日) の両方が最長
- MDR ユーザーは最も早く復旧し、復旧時間枠は 5 日間、予測復旧時間はわずか 3 日間
これらの調査結果は、MDR サービスを利用することで、サイバー攻撃が組織に与える影響を大幅に軽減できることをさらに実証しています。また、EDR/XDR ユーザーの復旧が非常に予測不能であることも明らかになりました。EDR/XDR ソリューションはツールであり、その有効性と影響は、いかに上手に利用されるかにかかっていることを肝に銘じるべきです。
結論
本調査により、「使用されるサイバーコントロールの種類がサイバー保険の請求額に重大な影響を与える」という多くの人が直感的にわかっていたことが裏付けられました。 MDR ユーザーは、保険金請求額が最も低く、また最も予測可能です。 エンドポイントユーザーの平均保険金請求額が最大であり、EDR/XDR ユーザーは保険金請求額の予測可能性が最小でした。
サイバー攻撃は避けられませんが、組織が取れる防御策は選べます。これらの調査結果は、サイバー防御の最適化とサイバーセキュリティの投資収益率 (ROI) の向上を目指す組織や、エクスポージャーの削減と加入者に適切なサイズの保険を提供することを目指す保険会社にとって有益なツールです。
調査について
本調査は 2024 年後半にソフォスの依頼を受けて Vanson Bourne が実施したもので、過去 12 か月以内に発生したサイバー攻撃による保険金請求が対象です。すべての調査結果は、多変量回帰モデルを使用した厳密かつ堅牢な統計的検証を受けています。
これらのモデルは、主要変数 (この場合は使用したセキュリティソリューション) を取り上げ、他の主要変数 (請求額や復旧時間など) にどのような影響を与えるかを比較します。コントロール変数 (組織の業界、組織の規模、サイバー保険の種類、攻撃時のセキュリティポスチャのレベル、クレームの状況) もモデルに組み込まれています。本記事で概説する知見は、これらの分析の結論です。
