7月20日、世界保険大手スイスのチューリッヒ保険とスイス連邦工科大学チューリッヒ校（ETH）の研究者は、最も一般的なサイバー攻撃の被害者となるリスクを最大70％低減できる10の管理策を特定した。共同研究では、中小企業がデジタル侵入者を寄せ付けないために、注意が必要な分野を特定し、ソリューションを迅速に導入する方法を分析した。

新興テクノロジーやクラウドサービスへの移行、リモートワークなど、デジタルトランスフォーメーションの加速により、サイバー犯罪者がますます洗練されたテクニックを使って悪用できる新たな脆弱性が生まれている。2022年、世界のサイバー攻撃は2021年に比べて38％増加し、データ侵害の平均コストは435万米ドルだったことを紹介した。

中小企業にとって、複雑なサイバーリスクの管理は、リソースやノウハウが不足しているために困難な場合がある。この問題に対処するため、チューリッヒ保険はチューリッヒ工科大学の研究者と共同で、最も一般的なサイバーリスクの66％を軽減する5つのコントロールと、リスクの70％をカバーする10のコントロールを特定した。

同社は、特定された管理策を、中小企業の顧客アンケートから収集した情報、およびグローバルな顧客評価と保険金請求のベンチマーク・データと照合し、検証した。

最も一般的な中小企業のサイバーリスクの70％を軽減する10の管理策は以下の通りである。

1. システム監視
2. 構成設定
3. 悪意のあるコードの保護
4. ベースライン構成
5. 最小機能
6. 連続モニタリング
7. 最小権限
8. アクセス強制
9. アカウント管理
10. ソフトウェア、ファームウェア、情報の完全性

これらの技術的コントロールをチューリッヒのサイバーリスク評価および定量化サービスと組み合わせることで、中小企業はサイバーエクスポージャーの定量化、対策の優先順位付け、必要な予算の決定を行うことができる。実施後は、チューリッヒのサイバーレジリエンス専門家が、サイバー侵入テストサービスを通じて管理策の有効性を検証することができる。

チューリッヒはまず、スイスとフランスの中小企業にこのソリューションを提供する。また、チューリッヒのサイバー保険引受チームが中小企業向けのサイバー保険をよりカスタマイズできるよう、これらの知見を活用する予定である。

【参照ページ】
（原文）The 10 cyber controls that will help SME thwart 70% of cyberattacks
（日本語訳）チューリッヒ保険、中小企業向けサイバー対策を開始。サイバー攻撃リスクを70%低減