サイバー保険の現状:ウクライナ侵攻と戦争免責の関係は慎重に考えるべき

Cyber Insurance and War Exclusions

2022/03/24 DarkReading — サイバー保険は、通常、「戦争排除」または「敵対行為排除」の文言を組み込んでいる。基本的に保険会社は、戦争行為を防御できないという文言である。2022年 Q1 において、すでにサイバー保険市場は戦争排除条項を強化し、補償を拒否するようになっていた。ロシアによるウクライナ侵攻、そして予想されるサイバー攻撃の影響を考慮し、セキュリティ専門家は補償のギャップを判断するために、サイバー保険の補償内容を見直す必要がある。

戦争排除の歴史

ロシアのウクライナ侵攻がもたらすサイバー・リスクを探る前に、サイバー戦争の免責事項の歴史を理解することが重要である。ウクライナに対して、2017年に NotPetya が大々的に仕掛けられた際に、数多くの企業が巻き添えをくった。保険会社は、NotPetya マルウェア感染に対する補償を除外しようと、保険契約に「戦争排除」条項を活用し始めたのだ。NotPetya は、他国政府に危害を加えるための戦争行為として、どこかの政府が設計したものであり、保険会社は損害賠償責任を負うべきでないというのが、その理由である。

新たな戦争排除条項

今年の初めに Lloyd’s of London は、サイバー戦争およびサイバー作戦の除外条項について、被保険者が利用できる補償のレベルに関する、4つのバリエーションを加えた。他のサイバー保険会社も、これに追随したことで、現在のサイバー保険における戦争排除は、より厳格な契約文言と見なすことができる。

これらの免責条項 (Lloyd’s 免責条項第1号を参照) によると、「保険会社は、戦争またはサイバー作戦により直接または間接的に発生した、または発生した損失/損害/責任をカバーしない」ことを定めている。戦争とは「宣戦布告の有無にかかわらず、国家が他国に対して物理的な武力を行使することを意味する。サイバー作戦という用語は、「国家により、または、国家に代わるものにより、コンピュータ・システムが使用され、他国または他国のコンピュータ・システムの情報を、破壊/拒否/劣化/操作/破壊すること」と定義されている。

そこで問題になるのは、サイバー作戦/戦争が他の国家に起因することを、どのように判断するのかという点である。Lloyd’s の方針では、「国家政府 (その情報機関やセキュリティ・サービスを含む) 」に「他国または、その代理で行動する者」が帰属するかどうかを判断する方法などが示されている。したがって、新しいマルウェアの脅威が政府に帰属し、そのようなマルウェアの封じ込めが困難であり、企業などが打撃を受けた場合において、サイバー保険会社が補償を拒否する可能性がある。

サイバー保険の現状を把握する方法

以下は、サイバー保険を効果的に利用するためのアドバイスである。

  1. 憶測で物を言わないこと

    クレームを報告する際には、分かっていることだけを報告するように注意すること。たとえば、あなたの会社がランサムウェアの被害を受けた場合において、脅威アクターが誰なのか分からないで、憶測で判断しないことだ。また、新たな脅威の原因が特定されていない場合において、それが現在進行中の世界的な紛争に起因すると推測しないように注意してほしい。すべてのサイバー保険において、言葉は重要である。特に、保険金請求に携わるセキュリティ専門家の言葉は重要となる。推測/報告/憶測したことが、保険金支払いの拒否の根拠として使用される可能性がある。

  2. 自社で独立した専門家を確保する

    サイバー・セキュリティ弁護士である私が、新種のマルウェアやランサムウェアに感染した企業に対して推奨するのは、保険会社が指定する弁護士とは別に、独立した弁護士を雇用することである。保険会社から任命されたサイバー保険弁護士は、あなたの代理人ではあるが、倫理的な面において、その保険会社に対する訴訟を起こすことは難しく、その保険会社に反する立場を容易に取ることはない。たとえ会社が、別の弁護士の費用を負担するとしても、独立した弁護士があなたの側にいて、このプロセスを支援することが最善である。

  3. カバレッジ・レターを受け取るまで何も想定しないこと

    被保険者に対して正しい行動を取り、保険を適用したいと考えるサイバー保険会社は数多く存在する。しかし、保険ブローカーの言葉に頼ることなく、保険会社自身から補償レターを受け取るまでは、完全な補償が受けられると思い込まないことだ。

  4. 準備:事前に補償内容を確認して計画を立てる

    ロシアによるウクライナへ侵攻が引き起こした世界的な大混乱により、補償をめぐる数多くの争いが生み出されると思われる。今こそ備えるべき時であり、サイバー・パネルでプロセスを眺めるだけではなく、弁護士と一緒に補償内容を見直すことで、その準備を進める必要がある。

    結論

    ロシアが起こしたウクライナ侵攻と、それに伴う世界的な厳しい対ロシア制裁により、サイバー・セキュリティのリスクと利害関係が、かつてないほど高まっている。サイバー攻撃に備えるために、サイバー保険に頼る組織は、実際に保護されているかどうかを確認するために、補償内容を慎重に見直す必要がある。組織は、サイバー保険戦争の先行きを、前もって知るべきである。脅威に遭遇するまで、それを待つべきではない。

2021年6月29日に「ランサムウェアによる損失がサイバー保険のコストを押し上げている」という記事をポストしましたが、サイバー保険における料率と補償のバランスは、ランサムウェアの身代金などもあり、いろいろと複雑なのでしょうね。そこへ、ロシアのウクライナ侵攻が起こり、戦争排除という要素が加わってしまいました。流れ弾が飛んでくる範囲に、物理的/地理的な制約は無いわけですから。

%d bloggers like this: