多くの機会:リスク測定および分析ツール
会社のリスク管理は、上級管理職の最も重要なタスクです。 リスクの中で第一に、ビジネス破壊の脅威です。 ビジネスは、自然災害や政治的混乱、つまりサイバーリスクよりも理解しやすい脅威によって損なわれる可能性があります。 Allianz 2016のリスクバロメーターによると、サイバーリスクは長期的な問題の最も可能性の高い原因です。
長期(10年以上)で最も現実的なリスク
-サイバー攻撃:33%
-アクティビティの中断(供給障害によるものを含む):11%
-テロリズム:9%
サイバー攻撃は、長期的にはビジネスにとって最も深刻な脅威です。 10の特定されたリスクには、新しいデジタルテクノロジーの影響も含まれます。 (出典:Allianz Global Corporate&Specialty。回答者824人の回答率が示されています。回答者は3つの最も深刻な脅威を示しています。出典2:2016年のアリアンツ、最も深刻な長期リスク調査、800人のリスク管理専門家が参加しました40か国から)。
侵略者と不正な国の数が増えているため、企業のリスク管理者はリスクに関する立場を変えなければなりません。 通常、リスク保険は最初のステップです。 のどが渇いたバイヤーが多い場合、同様にのどが渇いたサプライヤーも多くいます。
AIG Corporationによると、保険会社が受け取った2015年の保険料の額は16億ドルでした。 アリアンツの予測によると、この金額は2025年までに200億になります。平均して、米国企業の24%がサイバー保護を必要としています(出典:2015年9月、75ブローカーの保険代理店ブローカー協議会の研究)。
フォーチュン500企業の約40%のみがサイバーリスクから保険に加入しており、考えられるすべての脅威に対する完全な保護パッケージさえ取得していません。 合計2億5,000万米ドルの収入を持つ18,000を超える中規模企業があり、プロフェッショナルサービス、小売販売、およびサイバーリスク保険を必要とするさまざまな業界に従事しています。
明らかに、新しいプレーヤーが十分な経験を持っていなくても、市場需要の力は保険市場の急速な成長を刺激します。 サイバー保護のトピックに関するオフィスでの非公式の会話は、「誰もこれを理解していないが、これは10億番目の市場です」、「これは火災の発明以来発明された最高のものです」などの声明に収束します。
法人顧客は保険を購入する準備ができていますが、どのようなリスクから身を守るのかをよく理解していません。 NetDiligenceの2015年のペイアウト調査によると、回答者の48%がサイバーリスクに精通していないため、十分に防御できないと認めています。
また、46%の企業は、こうしたリスクの価格に関するデータをまったく持っていません。 企業が答えを探している主な質問は次のとおりです。(a)正確に何が問題なのか-ビジネスの持続可能性? DDoS攻撃を受けますか? または、知的財産の盗難に直面していますか? クライアントに関する財務、医療、個人情報はありますか? (b)そのような脅威が発生する可能性はどのくらいですか? (c)潜在的な損失は何ですか?
ほとんどの開発分野の場合と同様に、特定の体系化とリスク評価のフレームワークが緊急に必要です。 米国国立標準技術研究所(NIST)が開発したスキームは出発点にすぎず、さらに多くの作業が必要です。 このようなスキームのフレームワーク内で、サイバーリスクを評価するためのさまざまなツール、テクノロジー、およびプラクティスを最適化することが可能です。 最初のイノベーションには、リスク評価マトリックスの提案と、FICOプロバイダーになろうという試みがあり、米国の潜在的な借り手の信用格付け(FICOスコア)を開発しました。 リスクマトリックスの開発を掌握しているスタートアップには、セキュリティスコアカード、BitSight、およびCyenceがあります。 リスク管理と規制コンプライアンスを専門とする企業が市場に参入し、リスク管理ツールを提供しています。 ゴールドラッシュが始まります。
機会:保険取引エンジン
莫大な需要にもかかわらず、保険会社は提案を正しく提出し、要求する金額を決定するためにかわす必要があります。 このような若い市場では、将来のサイバー災害から保護するために必要な量を決定することは言うまでもなく、製品の損失率と収益性を予測することは困難です。 過去100年間の保険金の表に基づいて、保険料の額を決定し、地震と洪水を予測できます。 しかし、AIGやAllianzのような企業は、サイバーリスクについて同様の分析をどこで得ていますか? ほとんどどこにもありません。
シマンテックは市場に参入し、主要なプレーヤーになることを目指しています。 シマンテックのCEO /ファーストバイスプレジデント、Webセキュリティ責任者、サイバーリスク保険プロジェクトのキュレーターであるRoxanne Divolによると、彼らは毎秒800,000件の情報セキュリティイベントを検出しています。 同社は、消費者の特定のニーズを満たす新しい製品を作成するために、過去の期間とリアルタイムの両方でデータを収集する統計学者を採用しています。
サイバー脅威がどのような形で、どのような規模で、いつ現れるかを予測することは非常に困難です。 これらの脅威は保険料にどのように影響し、これらのリスクはどのように進化しますか? 多くの場合、何が起こっているのか分からない-少なくとも2016年のインシデントを取り上げる。「その他のエラー」と「その他のインシデント」は、すべてのインシデントのほぼ30%を占めています。
マクロレベルでのサイバーリスクの場合、保険会社はどのようにして「最大の可能性のある損害」を評価しますか? そして、複数の関係者が影響を受ける場合、第一/第三の責任をどのように判断するのですか? 脅威を認識せずに悪意のあるファイルを反対側に転送した場合、私は危険にさらされますか? 損害賠償請求の提出期間も、被保険者にとって重要である場合があります。 ある専門家は、煙を見ると火災が発生したことを理解していると不満を漏らしました。 サイバー攻撃はどうですか? 300日を超えて攻撃を疑うことはできません。
リスク管理の専門家は、最適な保険適用範囲を選択し、保険料の額と保険適用範囲から除外する額を決定するときに、このロジックをどのように適用できますか? どの保険請求を拒否できますか? 州全体の攻撃(北朝鮮/ソニー)の結果はどうなりますか? ハノーバーリサーチセンターでのサイバーリスク保険に関する調査(2014年11月)によると、保険会社の半数にはサイバーリスクの専門家がいません。
仲介業者やブローカーでさえ苦労しています。 サイバーリスク保険市場の調査を実施した後、保険代理店およびブローカー協議会は、ブローカーの71%が何が正確に被保険者かを理解していないと結論付けました。 したがって、ブローカーは暗闇の中で行動します。
また、評議会は次のように報告しています。「落とし穴と保険の内外を評価し、関心が大きく異なるさまざまなクライアントに情報を正しく提示するブローカーの個人的な能力に大きく依存します。 主な問題は、標準化された用語の欠如と保険の例外を判断するのが難しいことです。」
一般賠償責任保険(CGL)または取締役および上級役員の責任(D&O)で十分であると判断した場合、深刻な漁獲が予想されます。 DSWの靴会社がハッキングされたとき、AIGはその主張を却下しようとし、その損失をポリシーの除外に帰しました。 しかし、訴訟の後、裁判所はDSWに支払いを命じました。
簡単に言えば、近い将来、企業はより簡単なツールを提供して、次の問題を明確にする必要があります。a)保険の対象、それがビジネスリスクとどのように関連するか、例外は何か。 b)この分野で最も経験豊富な保険会社。 c)保険料はどのように減額できますか? 時間が経つにつれて、オンライン保険市場の交換が表示される場合があります。
機会:ツールとテクノロジーの重要性
保険会社は、セキュリティツールと手段の使用をあまり重視していません。 2014年11月のハノーバー研究センターによると、興味深い傾向があります。最も重要なのはリスク管理の哲学に関する情報であり、2番目に保存される情報の性質です。
サイバーリスク保険では、どの情報が最初に重要になりますか? (N = 73)
-リスク管理の分野における会社の哲学:25%
-保存された情報/アーカイブデータの性質:23%
-セキュリティテストと監査情報:16%
-ネットワーク/ファイアウォールデータ保護の更新:15%
-自社/サードパーティITサービス:5%
-保存された情報/アーカイブデータの量:4%
コンプライアンスおよびPCIセキュリティ標準コンプライアンス:4%
-データ暗号化:3%
-その他:4%
ネットワーク/ファイアウォール上のデータ保護の更新に関する情報が占める場所は単純にばかげているだけで、残念ながら、暗号化データは非常に重要ではありません。 これは変わるはずです。 保険会社がさまざまな情報保護技術の重要性にますます注意を払うにつれて、サイバーリスク保険の基準が変わる可能性があります。 シリコンバレーでは、テクノロジーがすべての問題を解決するわけではないことを理解する必要があります。 さらに重要なのは、人、慣行、政治です。
誤算、弱点、機能に関係なく、すべてのトラブルから魔法のように私たちを守るセキュリティシステムの目に見えない操作の夢がどれほど理想的であるかを理解するまで、長い時間がかかる場合があります。 この場合、サイバーリスクに対する保険は必要ありません。 一方、19歳の子供の天才は200億番目の市場を弱体化させるでしょう。