テクノロジー周りのリスクは予測できない。新しいタイプの保険が必要
―どのような経緯でビジネスを始めたのですか。
私はイスラエル軍の情報機関で5年働いており、テクノロジーユニットのキャプテンを務めていました。その後大学でコンピュータエンジニアリングを学びながらソフトウェアエンジニアをしていたので、エンジニアのバックグラウンドがあります。2009年から2年半マッキンゼーでコンサルタントとして働き、ハーバードビジネススクールにも通ったので、そこでビジネスの訓練もしました。
2014年からサイバーセキュリティのベンチャー企業、K2 Intelligenceという会社で働きました。保険会社のAIGがこの会社に投資をしていて、サイバー領域での保険について学ぶ非常に貴重な機会を得ました。これがきっかけで、新しいタイプの保険会社、サイバーセキュリティや新しいリスクモデルを盛り込んだ保険商品が必要だと思うようになり、起業に至りました。
保険の契約内容は1年間有効で本当にいいのか
―既存の保険にはどのような課題があったのですか。
今日、多くのビジネスが、テクノロジーに依拠するようになっていますよね。これは、ビジネスをするうえでテクノロジーまわりのリスクが増大しているということでもあります。サイバーリスクが伝統的なリスクと異なる点があるとすれば、それはものすごいスピードで変化し続けているということです。
通常は、これまでの損失がどれくらいだったかの履歴を調べて、典型的な保険金を計算します。保険のための「リスク」というのは、ある程度、統計的である必要があったわけです。ところが、サイバー領域では、毎年どこから攻撃されるか、次に何がくるのか全く予想が付きません。3年前はIoTもクラウドもありませんでした。しかし、テクノロジーは日々進化をしていて、企業が導入している数百ものソフトウェアは年に4回も更新されていることだってあります。
ここで2つの疑問がわきます。1つ目は、ヒストリカルデータは未来を予測するのに本当に役立つか。2つ目はもっと根本的なもので、保険の契約の文面は通常、最低でも1年有効ですが、それでいいのか。1年のうちに新たなリスクが発見されても「これまでのものだと対応できないので、保険料を倍いただいでもいいですか?」というわけにはいかないですよね。でも年に5回も技術的な変化が訪れていたら?初日に決めた契約内容で、次の12か月を対応できる自信が持てますか?
今後何が起こるかわからない中で、保険会社は、同じエクスポージャーレベルの人の保険料は皆同じ値段にしようと考えました。企業の大きさはリスクレベルに影響しますが、すでにどんなセキュリティ対策をしていようが関係なく同じ値段にするのです。でも、それでいいのでしょうか。私はここにビジネスチャンスを見出しました。
Image: At-Bay
ハッカー側の立場で企業をスキャン
―どのように問題を解決するのでしょうか。
通常の保険会社は、どんなセキュリティ対策をしているかを聞いて、それを査定しようとします。でも私たちは、ハッカー側の立場になって企業をチェックします。技術的な情報を集め、システムをスキャンし、脆弱性を調べます。自動の機械によって30秒で終わります。そのうえで、セキュリティに問題がある企業には、その問題を伝えたうえで、カバレッジに入れません。
保険会社は、1つ1つの企業を見るのではなく、ポートフォリオで見ますから、優秀な企業ばかりが集まれば保険料が低く抑えられます。そのうえで、新しい脅威が現れたときには、それが損失をもたらしたときに支払うのは保険会社側なので、事前に無料で対処をしにいきます。こんなことをする保険会社は他にありません。すべての攻撃を防ぐことは難しいかもしれませんが、こうした予防措置をすることで全体としての損失を減らし、保険料を低く抑えられて利益を出すことができます。
米国から世界へ
―海外展開についてはどう考えていますか。
現状では世界のサイバー保険の9割が米国なので、次の1年から1年半は、ここで私たちのやり方が通用することを示したいと思っています。そのあとは、ヨーロッパやアジアでもサイバー保険領域は非常にホットになっていくと思うので、どこの国かというのは関係なく進めていきたいと思っています。
