保険業界に影響を及ぼす侵害の59%はサードパーティへの攻撃ベクトルに起因：SecurityScorecard、米国保険業界に関するサイバーセキュリティリスクレポートを発表

※本リリースは、米国時間2025年2月6日に米国SecurityScorecardより発表されたプレスリリース ( https://securityscorecard.com/company/press/securityscorecard-report-59-of-breaches-impacting-insurance-sector-caused-by-third-party-attack-vectors/ ) の抄訳です。

SecurityScorecard株式会社 ( https://securityscorecard.com/jp/ ) （本社：米国、ニューヨーク州、CEO：アレクサンドル・ヤンポルスキー、以下SecurityScorecard、日本法人代表取締役社長　藤本 大）は、「米国保険業界のサイバーセキュリティリスク」に関する最新レポート（英文のみ）を発表（ https://securityscorecard.com/research/insurance-carriers-face-unprecedented-supply-chain-cyber-threats/ ）しました。調査によれば、米国の保険会社上位150 社が経験したサイバー侵害の 59%がサードパーティへの攻撃ベクトルに起因しており、同業界のサプライチェーンにおける深刻な脆弱性が浮き彫りになりました。保険業界は、機密性の高い金融情報や個人情報を守る責任を負っており、その重要性がますます高まる中、今回の結果はサイバー攻撃の脅威の深刻さと業界全体のリスクを強調しています。

本調査レポートによると、保険会社や再保険会社からブローカー、請求処理業者、業界に特化した IT プロバイダーに至るまで、保険業界全体を支える相互接続されたネットワークは、何億人もの人々にサービスを提供する上で不可欠である一方、重大なサイバーリスクを伴っています。

サイバー保険担当シニアディレクターのアンドリュー・コレルは、次のように述べています。
「保険会社は日常業務の管理をテクノロジーに依存していますが、そのセキュリティ対策が追いついていないのが現状です。サイバーリスクは、第一防御層のみで食い止められるものではなく、サプライチェーンの奥深くまで入り込むため、脆弱性の特定はますます困難且つその緩和も一層複雑化しています。こうしたリスクに対処するには、業界がサードパーティのセキュリティ対策を最優先課題とし、従来のアプローチを抜本的に見直す必要があります」

主な調査結果

• 28%の企業が侵害を報告：S&P 500（21%）（ https://securityscorecard.com/company/press/securityscorecard-threat-research-21-of-sp-500-companies-reported-breaches-in-2023/ ） を上回り、米国エネルギー業界（14%）（ https://securityscorecard.com/company/press/67-of-energy-sector-breaches-linked-to-software-and-it-vendors-securityscorecard-reports/ ） の2倍に


• 侵害の59%はサードパーティへの攻撃ベクトルに起因：過去最高の割合となっており、世界の業界平均（29%）の2倍以上に。これらの侵害うちの50%は、サードパーティのソフトウェアや IT が原因


• サードパーティによる侵害の影響が増大：保険会社は、サンプル全体の約27%を占めるだけにもかかわらず、サードパーティによるインシデントの被害を受けた企業では50%を占める


• 56%の企業が、過去 2 年間に少なくとも 1件の認証情報の侵害を経験、17%の企業がマルウェア感染やデバイスの侵害による影響を受ける


• 保険業界で最もスコアが低いサイバーリスク要因は、アプリケーションセキュリティ、DNS の健全性、ネットワークセキュリティ：特にDNS の健全性は、通常リスク要因の中で重視されることがほとんど無い

保険業界向けの推奨事項
SecurityScorecard STRIKE チームは、以下の推奨事項を示しています。

• サードパーティリスク管理の強化：保険会社は、IT ベンダーやブローカーなど、サイバーリスクに対する態勢の評価が低い業界に依存していることからサードパーティリスクが深刻化しているため、リスクの高いパートナーに焦点を当て、脆弱性を軽減し、頻発する侵害や認証情報の漏洩に対応することが重要


• TPRM（サードパーティリスク管理）プログラムの導入徹底：ベンダーのサプライヤーに起因するフォースパーティリスクは重大である一方、見落とされがちです。ベンダーが強力な TPRM プロセスを確立し、サプライ チェーンの脆弱性を緩和することで、MOVEit キャンペーンのような侵害を防ぐ体制を構築


• ランサムウェアの要求に応じた身代金の支払いを禁止：身代金を支払うことで攻撃が助長され、法的リスクが高まり、復旧も保証されません。支払いを避けることで、犯罪者を抑止し、より広範なエコシステムの保護を促進

調査方法
本調査は、米国保険業界上位150社に対するSecurityScorecardのサイバーセキュリティリスクに関する評価と公開されている侵害履歴を基に分析し、保険業界全体のサイバーセキュリティの現状について明確な洞察を提供します。保険業界のサプライ チェーンを 保険会社、再保険会社、代理店およびブローカー、サードパーティの請求処理業者および管理者、保険業界に特化したソフトウェアと IT 製品およびサービスという5つの主要セグメントに分類しています。上位150社は、信頼性の高い保険業界の出版物とランキングに基づき慎重に構成され、調査結果の正確性と深度が保証されています。

参考情報；

• 「米国保険業界のサイバーセキュリティリスクレポート」のダウンロードへ （ https://securityscorecard.com/research/insurance-carriers-face-unprecedented-supply-chain-cyber-threats ）（英文のみ）


• SecurityScorecardの脅威インテリジェンスの詳細については、当社のウェブサイト（ https://securityscorecard.com/platform/ ）（英文のみ）をご覧ください。

SecurityScorecard のThreat Research, Intelligence, Knowledge, and Engagement(STRIKE) チームについて
独自の脅威インテリジェンス、インシデント対応の経験、サプライチェーンのサイバーリスクに関する専門知識を兼ね備えています。SecurityScorecardのテクノロジーに支えられたSTRIKEチームは、世界中のCISOの戦略的アドバイザーとなり、STRIKE チームによる脅威調査を基に、組織にサプライ チェーンのサイバー リスクと攻撃者の特性に関してアドバイスを行っています。

SecurityScorecardについて
Evolution Equity Partners、Silver Lake Partners、Sequoia Capital、GV、Riverwood Capitalなど、世界トップクラスの投資家から出資を受けたSecurityScorecardは、サイバーセキュリティ レーティングにおけるグローバルリーダーであり、Supply Chain Detection and Response（SCDR・サプライチェーンにおける検知・対応）ソリューションのパイオニアです。
セキュリティとリスクの専門家であるアレクサンドル・ヤンポルスキー博士とサム・カッスーメによって2013年に設立されたSecurityScorecardの特許取得済みセキュリティレーティングテクノロジーは、企業のリスク管理、サードパーティリスク管理、取締役会報告、デューデリジェンス、サイバー保険の引き受け、規制当局の監視のために25,000以上の組織で使用されています。
SecurityScorecardは、企業におけるサイバーセキュリティ・リスクの理解、改善を促進し、取締役会、従業員、ベンダーに伝える方法を変革することで、世界をより安全にすることを目指します。https://jp.securityscorecard.com/

日本法人社名 ： SecurityScorecard株式会社（セキュリティスコアカード）
本社所在地 ： 東京都千代田区丸の内一丁目 1 番 3 号
代表取締役社長 ： 藤本 大


本件に関するお問合わせ先
【本件に関する連絡先】
SecurityScorecard
広報代理店 株式会社プラップジャパン
担当: 菊池(080-6628-9424)、牟田(090-4845-9689)、冨安(070-2161-6963)
Email: securityscorecard@prap.co.jp