メルクはNotPetyaサイバー攻撃後に700億ドルの損害賠償を請求したが、保険会社はこれをロシア政府の攻撃としてカバーしないと主張した。サイバー保険バックストップは、保険会社が巨額のサイバー攻撃損害をカバーできない場合に、連邦政府からの財政支援を受ける手段である。これは、テロリズムリスク保険法(TRIA)に基づくモデルとして提案されている。
サイバー攻撃の予測やモデル化は困難であり、保険会社はカバー範囲の拡大が難しい。国家主導のサイバー攻撃や複数のエンティティに影響を与える攻撃は、保険ポリシーで明示的に除外されることが増えている。
サイバー保険バックストップの実現には、対象となる攻撃の基準設定、攻撃特徴や加害者の特定、データ不足の解消が課題である。サイバー攻撃の影響を軽減するためには、効果的なセキュリティ対策とデータ収集が必要である。保険会社や政府は、セキュリティ対策の効果を把握するために、クレームデータベースや報告要件を活用する方法を模索している。
サイバー保険バックストップの実現に向けては、データ収集と研究が必要であり、政府は保険会社や企業に対してセキュリティ対策の具体的な指針を示す必要がある。この取り組みは、組織のサイバーセキュリティ向上と財政支援の両方を目指している。
【ニュース解説】
メルク社は2017年に発生したNotPetyaサイバー攻撃の影響で、約700億ドルの損害を受けました。この攻撃はロシア政府によるものと広く認識されており、メルク社の保険会社はこれを「敵対的または戦争行為」とみなし、標準的な財産および事故保険のカバー範囲外であると主張しました。この問題を巡る訴訟は長年にわたり続きましたが、最終的には和解に至りました。
この事件を背景に、サイバー攻撃による巨額の損害をどのように補償するかという問題が浮上しています。元国土安全保障省長官のマイケル・チャートフ氏は、連邦政府がサイバー保険の最終的な支援者として機能する「サイバー保険バックストップ」の構想を提案しました。これは、保険会社が巨大なサイバー攻撃による莫大な損害を単独でカバーできない場合に、連邦政府から財政支援を受ける仕組みです。このアイデアは、2002年に制定されたテロリズムリスク保険法(TRIA)に基づいており、テロ攻撃による損害をカバーするための公私パートナーシップモデルを提供しています。
サイバー攻撃は予測が難しく、保険会社にとってはカバー範囲の設定やリスク評価が困難です。特に国家が関与する攻撃や複数の組織に影響を与える攻撃は、保険ポリシーで明示的に除外されるケースが増えています。しかし、このような攻撃の特徴や加害者を特定することは極めて難しく、どの攻撃が政府の支援対象となるかを決定することも困難です。
サイバー保険バックストップの実現には、どのような攻撃が対象となるかの明確な基準設定、攻撃の特徴や加害者の特定、そして何よりもデータ不足の解消が必要です。サイバー攻撃の影響を軽減するためには、効果的なセキュリティ対策の実施と、それらの対策がどの程度効果的であるかを示すデータの収集が不可欠です。保険会社や政府は、セキュリティ対策の効果を把握するために、クレームデータベースや報告要件を活用する方法を模索しています。
サイバー保険バックストップの実現に向けては、データ収集と研究が必要であり、政府は保険会社や企業に対してセキュリティ対策の具体的な指針を示す必要があります。この取り組みは、組織のサイバーセキュリティ向上と財政支援の両方を目指しています。サイバー攻撃による損害が増加する中で、このようなバックストップ制度は、企業や社会全体のリスク管理において重要な役割を果たす可能性があります。
from A Cyber Insurance Backstop.
