ハッカーが儲かれば、サイバーセキュリティ保険の市場がにわかに景気づく。防御策にどれだけ費用をかけても不法侵入される可能性はなくならないと気づいた企業は、そのコストを分担してくれる相手を探し始めた。しかし、リスクを評価することは難しい(「なぜ損保会社はサイバー災害保険の商品化に苦慮しているのか?」参照)。そこで自社製品の保証に自信を持つセキュリティ会社に新たなチャンスが生まれた。
世界4大会計事務所の1つプライスウォーターハウスクーパース(PwC)の最近の予測によると、サイバーセキュリティ保険市場は2015年の推定25億ドルから増加し、2020年には75億ドルに達する見込みだ。サイバーセキュリティ保険市場の成長は、サイバー犯罪がいかに一般的になってきたか、また、問題が生じたときにサイバーセキュリティ会社が金銭的な責任を負っていないことを意味している。
マルウェア対策システムを販売しているセンチネルワン(SentinelOne)のジェレミア・グロスマン セキュリティ戦略責任者は、そうした現状を変えるべきだという。センチネルワンは、顧客企業がランサムウェア攻撃に合い、ハッカーによって暗号化されたデータの暗号解除のために身代金を要求された場合、最大100万ドルを支払うと保証している。今ではシマンテックやマカフィーのような大手のサイバーセキュリティ企業だけでなく、他のスタートアップ企業も、自社の製品やサービスが防御に失敗した場合、同様に損害の支払いを約束している。
センチネルワンが10カ月前に開始した保証プログラムは、すでに競合企業よりも好評だと、グロスマン責任者はいう。
情報セキュリティのリスク管理の方法を提案、勧告する非営利団体、情報セキュリティ・フォーラム(ISF、Information Security Forum)のスティーブ・ダービン理事長は、サイバーセキュリティ会社の保証プログラムが、単なるマーケティング戦術以上の価値があるかどうかはまだ分からないと述べる。しかし、いくつかのセキュリティベンダーは、長年にわたって製品の性能をモニタリングして貴重な情報を収集しており、保険市場で「従来の保険会社との、ほんの少しギャップ」を埋める強力な立場にあるという。
サイバーセキュリティのリスクを評価するにあたり、サイバーセキュリティ会社は、自社が経験した情報漏洩などの実際の出来事の分析によってのみ得られる重要なデータを保有しており、従来の保険会社に対して優位な立場にある。対照的に従来の保険会社は、サイバー空間でビジネスするリスクを評価し始めたところだ。
こうした事情は、セキュリティベンダーが始めた保証プログラムの背後になぜAIGなどの保険会社がいるのかを説明するのに役立つ(AIGはサイバーセキュリティ会社を支援している理由についてコメントを拒否した)。
センチネルワンは、自社のシステムがランサムウェア攻撃を見逃すリスクについて独自のデータを持っている。それらのデータは、センチネルワンが契約する損害保険会社(契約の一部として、センチネルワンはこの会社の名前を公開していない)を説得するのに役立つ。
情報漏洩の多くは、企業がシステムに適切にパッチを利用していれば避けられた。たとえば、5月に始まったワナクライ・ランサムウェアは、パッチを適用していない古いマイクロソフトのOSが攻撃された。したがって、サイバーセキュリティ保証の対象企業は、企業として適切なセキュリティ対策を実践している場合にのみ、支払いを受けられる。
セキュリティ会社アズテック・コンサルティング(AsTech Consulting)の保証プログラムには、企業のソースコードを分析して脆弱性を特定するサービスが含まれている。企業と協力して脆弱性を修正し、従業員が再び脆弱性のあるプログラムを使用しないように訓練する。最近になって、そのプロセスに従っているのに情報漏洩の被害を受けた顧客企業には、最高百万ドルまで償う保証を始めた。
もし、企業のセキュリティリスクが、アズテックのプロセスが過去20年間で上げてきた実績どおりに「激減する」のなら、保険会社を惹きつけることになるだろう。保険会社はサイバーセキュリティのリスクについてよりよく知り、管理できるようになるからだとアズテックのグレッグ・リーバーCEOは話す。「サイバーセキュリティ保険はとても良い市場ですよ」。