企業が保険の購入や更新から遠ざかっているサイバーセキュリティ保険の格差拡大を解決するには、AI を活用したリアルタイムの洞察に基づくリスク評価から始める必要がある。

サイバー保険会社は、サイバーセキュリティ戦略を継続的に改善・強化することで、顧客が侵害の可能性を低減できるよう支援することに注力している。リアルタイムのリスク評価、アンダーライティングの改善、クレーム処理の合理化、レジリエンスプランニングはすべて、AI がそれぞれに確実な利益をもたらすことで改善される必要がある。

AXA XL のコマーシャルライン担当グローバル・チーフ・サイバー・アンダーライティング・オフィサー Anthony Dagostino 氏は、最近のインタビューでこう語っている。

保険金請求コストを削減し、保険料を引き下げることができます。エンドポイントの検出と対応（EDR）を確実に実施することで、より有利な価格設定とより良い補償を提供することができます。このような小規模な組織にとって、EDR をより利用しやすくし、全体的な認知度を高めることが望みです。

サイバー保険の現状

ランサムウェア、ソーシャルエンジニアリング、フィッシング、特権アクセス・クレデンシャル攻撃は保険料を引き上げ、多くの企業にとってサイバー保険を手の届かないものにしている。ランサムウェア攻撃は2024年初頭のサイバー保険請求の主な原動力であり、サプライチェーン攻撃とビジネス電子メール侵害（BEC）攻撃がこれに続く。Verizon によると、BEC 攻撃は2023年に倍増した。サプライチェーン攻撃は増加の一途をたどっており、2023年には過去3年間の合計の2倍の件数が発生している。ソフトウェアサプライチェーンは2023年に460億米ドルの損害を企業に与えた。

Dagostino 氏は VentureBeat にこのように語っている。

サイバー保険は、任意加入の保険とみなされることがあります。州の労災保険や財産のように義務付けられているわけではありません。つまり、インシデントが発生し、保険が必要であることが分かっている場合、あるいは競合他社がインシデントを起こし、保険が必要であることが分かっている場合のどちらかです。

AI による改善が必要な業界

保険料が高騰しているため、ほぼすべての組織がサイバー保険を購入するのに苦労しており、中小企業（SMB）は特に影響を受けている。調査対象となった中小企業の4社に1社以上の28％が保険加入を拒否されている。保険契約が認められたとしても、中小企業は重大な補償除外に直面する可能性が高く、複数の保険金請求が必要となる。

全体として、67％の組織が昨年の保険契約の申し込み時または更新時に保険料が50～100％上昇したと回答している。最近の調査では、全回答者が保険契約に新たな免責事項を設けており、攻撃関連費用の一部が補償の対象外となっていた。

組織はしばしば、サイバー保険に加入するか、攻撃を防御するためにアプリケーションやサービスを追加するかというトレードオフを迫られる。

Resilience Insurance のチーフ・データサイエンティスト兼プロダクトマネジメント担当バイスプレジデント Ann Irvine 氏は、VentureBeat に次のように語っている。

私たちは顧客と協力して、より安全性を高めるために本当にエネルギーを注ぐべき場所について、投資収益率（ROI）を見積もっています。これにより、新しいツールに投資すべきか、既存のツールの管理を改善すべきかを判断する手助けをすることができます。

顧客がどのようなツールをどのように導入しているかを理解すればするほど、保険契約期間中にサイバーリスクを確実に軽減できるよう、継続的に顧客と関わることができます。

サイバー保険会社はまた、1回の査定に1万～5万米ドルかかり、完了までに4～6週間かかるリアルタイムのリスク査定にかかる時間とコストを削減するために、AI に注目している。AI はまた、引受プロセスを合理化し、典型的なワークフローを数週間から数日に短縮し、効率を最大70%改善している。従来の保険金請求処理では、手作業による処理で1件当たり平均1万5,000米ドルのコストがかかり、最大6カ月かかることもある。

AI ベースのシステムは、クレーム処理時間を80％以上削減している。At-Bay、Corvus Insurance、Cowbell Cyber、Paladin Cyber、Resilience Insurance  は、サイバー保険の合理化を支援する AI ベースのソリューションを提供している。

保険加入率向上のための CrowdStrike のプラットフォーム戦略

CrowdStrike の Falcon for Insurability のローンチは、AI と LLM がサイバー保険にどのような革命をもたらすかという新時代を定義するものである。この新しいプログラムは、サイバー保険会社が CrowdStrike Falcon サイバーセキュリティプラットフォームを使用した AI ネイティブなサイバー保護を、顧客や見込み客に優先料金で提供するために必要な柔軟性を提供するように設計されている。CrowdStrike の最高事業責任者である Daniel Bernard 氏は、最近のインタビューで VentureBeat に対し、保険料の削減幅は10～30％程度になると予測している。

この取り組みによって、サイバー保険に加入できなかった市場の膨大な範囲が加入できるようになります。Falcon を持つ企業にとっては、必要なサイバー保険に加入するためのコストが削減されます。保険会社は、これまでできなかった方法でリスクを定量化できるようになり、より賢い引き受け判断ができるようになりました。（Bernard 氏）

IDC によると、企業は Falcon プラットフォームを利用することで、他のベンダーと比較して半分の時間で96％多くの脅威を検知し、66％速く調査を実施することができるという。CrowdStrike が Falcon for Insurability を提供する目的は、Ascot Group、AXA XL、Beazley Insurance、Berkley Cyber Risk Solutions、Coalition、Resilience などの保険会社が、被保険者が市場で実証済みの AI プラットフォームを利用していることを認識し、保険引受リスクを低減できるようにすることだ。

私たちが今見出しているのは、このようなパートナーシップを結びつけることです。保険金請求コストを削減し、保険料を引き下げることができます。保険会社が優れた EDR を導入していることを確認することで、より有利な価格設定とより良い補償を提供することができます。そして、このような小規模な組織でも EDR をより利用しやすくし、全体的な認知度を高めたいのです。誰もインシデントを起こしたくはないのです。（Dagostino 氏）

サイバー保険で AI を正しく活用するには、まず人間から始める必要がある

サイバーセキュリティにおける AI ワークフローとアーキテクチャは、人が介在することが不可欠となっており、それはサイバー保険にも浸透している。CrowdStrikes のマネージド・ディテクション＆レスポンス（MDR）サービスは、ヒューマン・イン・ザ・ミドルが不可欠である理由の一例である。

AI を駆使した防御と人間の専門知識を組み合わせることで、すべてが継続的に改善される無限ループが生まれます。これが、サイバー保険会社が当社への参入を熱望する理由です。（Bernard 氏）

Resilience の Irvine 氏も同意見だ。

専門家から情報を引き出すために、実に構造的なアプローチを取っています。専門家が確率論的な思考をできるようにするために、ある種の、つまり専門家を校正するための演習を行っています。そして、彼らの回答が我々のモデルに影響を与えるデータとして直接利用できるような、非常に的を絞った質問をするのです。（Irvine 氏）

CrowdStrike の CTO  Elia Zaitsev 氏は、VentureBeat に次のように語っている。

サイバー保険が、他のあらゆる種類の保険とは異なる業界として非常にチャレンジングであることのひとつは、保険数理計算です。伝統的な保険が機能する理由は、リスクを社会化できるからですよね？すべてのリスクが一度に発火することはありません。しかし、サイバー保険がどのように機能するかを考えるなら、WannaCry や NotPetya のような、よりグローバルで組織的な問題を考えてみてください。すべての人が一度に同じランサムウェアに感染すれば、サイバー保険の保険数理が崩壊する可能性があります。

攻撃経路の予測がカギ

リスクを社会化し、孤立したインシデントをカバーする従来の保険モデルは、サイバー保険には通用しない。必要なのは、組織のインフラ内の脆弱性を悪用するために攻撃者が取り得る潜在的な経路を特定し、予測するのに役立つ高度な AI と大規模言語モデル（LLM）技術だ。Zaitsev 氏は VentureBeat に対し、攻撃経路の予測はサイバー保険会社にとってゲームチェンジャーになると語った。

攻撃経路予測は、攻撃のリスクと確率を低減するために必要なリアルタイムの洞察を提供する。リスクを軽減することで、保険料を手頃に抑え、幅広い顧客層が契約できるようになる。また、同時多発的に発生する大規模なサイバーイベントの潜在的なリスクを軽減することで、サイバー保険会社に大きな安定性をもたらす。

Falcon for Insurability は、侵害を阻止するために AI を活用してきた同社の長年の経験を活かし、こうした課題に挑む。Zaitsev 氏は VentureBeat にこう語った。

CrowdStrike のようなテクノロジーを使っている場合は、保険料を大幅に引き下げるつもりです。そうでない場合は、システマティックなリスクによって、率直に言って、一般企業にとって手の届く保険契約を結ぶことが非常に難しくなるからです。

サイバー保険をもっと身近に

企業はサイバー保険に加入するために何カ月も申請手続きに費やし、何の説明もなく断られることもある。すべてのベンダーに共通するビジョンは、過去に保険加入を拒否された企業の前に立ちはだかる障壁を取り除くことである。侵害の可能性を減らすために顧客が必要とするツール、アプリ、プラットフォームを特定することが目標だ。

VentureBeat は、より多くのサイバーセキュリティ・プラットフォームベンダが Falcon for Insurability を模倣し、保険料コストを押し下げながら、チャネルを通じてサービスを提供し、サイバー保険会社と共有する中小企業、中堅企業、およびエンタープライズ顧客全体の市場シェアを拡大し、侵害のリスクを低減するという Win-Win を目指すだろうと考えている。

【via VentureBeat】 @VentureBeat

【原文】