ATT&CKを始めよう：アセスメントとエンジニアリング / Getting Started with ATT&CK: Assessments and Engineering（転載）

Getting Started with ATT&CK: Assessments and Engineering

ここ数週間、ATT&CKを使った脅威インテリジェンス、検知・分析、敵のエミュレーションなど、ATT&CKを使いこなすための記事を掲載してきました。ミニシリーズのパート4では，評価とエンジニアリングについて，ATT&CKを使ってどのように防御力を測定し，改善できるかをご紹介します。この記事は多くの点で過去の記事を基にしていますので、まだご覧になっていない方はぜひチェックしてみてください。 

このプロセスをよりわかりやすくするために、また、他の記事と同様に、この記事を洗練度とリソースの有無に応じて3つのレベルに分けています。

• レベル1は、リソースをあまり持たない始めたばかりのチーム向け。
• レベル2は、成熟し始めた中レベルのチーム向け
• レベル3は、より高度なサイバーセキュリティ・チームとリソースを持つ企業向けです。

評価を始めることは、最初は恐ろしく聞こえるかもしれません-誰が評価されることを喜ぶでしょうか？- しかし、ATT&CKのアセスメントは、セキュリティエンジニアやアーキテクトが脅威に基づくセキュリティの改善を正当化するための有用なデータを提供するための、より大きなプロセスの一部です。

1. ATT&CKに登場する技術や敵に対して、現在の防御力がどのようになっているかを評価。
2. 現在のカバー範囲の中で最も優先度の高いギャップを特定。
3. それらのギャップに対処するために、自社の防御力を修正したり、新たな防御力を獲得。

アセスメントとエンジニアリングのレベルは累積的であり、互いに積み重ねられていきます。自分たちが高度なサイバーセキュリティチームであると考えている場合でも、レベル1から始めて、より大規模なアセスメントに移行するためのプロセスを踏むことをお勧めします。

多くのリソースを利用できない小規模なチームで作業していて、完全な評価を行おうと考えているならば、やめた方がいい。すぐにATT&CKマトリックスの色分けされたヒートマップを作成してカバレッジを可視化するというアイデアは魅力的ですが、ATT&CKを使うことに興奮するよりも、ATT&CKに燃え尽きてしまう可能性の方が高いでしょう。その代わり、小さなことから始めましょう。焦点を当てるべき1つの技術を選び、その技術に対するカバレッジを決定し、それを検出するために適切なエンジニアリングの強化を行います。このように始めることで、より大規模な評価を行う方法を練習することができます。

ヒント：どの手法から始めるべきかわからない？ケイティのブログ記事では、ATT&CKやスレットインテリジェンスをどのように使ってスタート地点を選ぶかのヒントを紹介しています。

テクニックを選んだら、そのテクニックをどのようにカバーするかを考えてみましょう。独自のルーブリックを使用しても構いませんが、まずは以下のカテゴリーでカバーすることをお勧めします。

• 既存のアナリティクスでその手法を検出できる可能性が高いカテゴリ。
• アナリティクスでは検出できないが、検出するために適切なデータソースを使用しているカテゴリ。
• 現在、そのテクニックを検出するための適切なデータソースを利用していないカテゴリ。

ヒント：最初に始めるときには、スコアリングのカテゴリーをシンプルにしてください。

カバー率の測定を始めるための素晴らしい方法は、ある技術をすでにカバーしている可能性のあるアナリティクスを探すことです。SOC の多くは、本来は ATT&CK に対応するように設計されていなくても、ATT&CK に対応する可能性のあるルールやアナリティクスをすでに持っています。多くの場合、テクニックに関する他の情報が必要になりますが、それはテクニックのATT&CKページや外部ソースから得ることができます。

例として、Remote Desktop Protocol（T1076）を調べていて、以下のようなアラートがあったとします。

1. ポート22を介したすべてのネットワークトラフィック。
2. AcroRd32.exeによって生成されたすべてのプロセス。
3. tscon.exeという名前のすべてのプロセス。
4. ポート 3389 を介したすべての内部ネットワーク トラフィック。

ATT&CKのテクニックページのRemote Desktop Protocolのページを見ると、ルール#3が "detection "ヘッダで指定されている内容と一致しており、ウェブ検索をすると、ルール#4で指定されているポート3389もこのテクニックに対応していることがわかりました。

Remote Desktop Protocolの検出用テキスト。

もし、アナリティクスがすでにそのテクニックをピックアップしているなら、素晴らしいことです。そのテクニックをカバーしていることを記録し、新しいテクニックを選んで再度プロセスを開始してください。しかし、それをカバーしていない場合は、テクニックのATT&CKページに記載されているデータソースを見て、新しい分析を構築するのに適したデータをすでに取り込んでいるかどうかを判断します。もしそうであれば、あとは構築するだけです。

しかし、正しいデータソースを引き込めていない場合、どうすればいいのでしょうか？ここでエンジニアリングの出番です。技術のATT&CKページに掲載されているデータソースを参考にして、それぞれのデータソースを収集することの難しさと、そのデータソースを利用することの有効性を比較してみてください。

ヒント データソースとしてよく挙げられるのが、Windowsのイベントログで、多くのATT&CKテクニックを可視化することができます。イベントログを使い始めるのに適したリソースは、Malware ArchaeologyのWindows ATT&CK Logging Cheat Sheetで、Windowsイベントとそれを使って検出できるテクニックをマッピングしています。

プロセスのコマンドラインパラメータで検出可能な244種類のATT&CK
技術のうち97種類を、Windowsイベント4688を介して取り込みます。

次のレベルへの卒業：このプロセスを何度か繰り返し、その都度、各戦術にまたがる新しいテクニック（または2つ）を選んでください。ATT&CK カバレッジのヒートマップを作成できる ATT&CK ナビゲーターを使って、結果を記録しましょう。プロセスに慣れてきたら、データソースの分析を行い、データソースからどのテクニックを検出できるかをヒートマップで表示します。Olaf Hartong氏のATT&CK Datamapプロジェクト、DeTT&CT、MITREのATT&CKスクリプトなどがありますので、参考にしてください。

Level 2

このプロセスに慣れ、より多くのリソースを利用できるようになれば、ATT&CK マトリックスの適度に大きなサブセットにまで分析を拡大することが理想的です。さらに、より高度なカバレッジスキームを使用して、検出の忠実性も考慮したいと思うでしょう。ここでは、SOC内のツールや分析ツールがその技術について警告を発する信頼性が低い、ある、高いのいずれかにカバレッジを分類することをお勧めします。

最終的にどのような評価をするかのサンプル。

ヒント カバレッジを評価する際には、ピンポイントの精度を気にする必要はありません。評価の目的は、技術を一般的に検出するためのエンジニアリング能力があるかどうかを理解することです。より正確な評価を行うためには、敵のエミュレーション演習を行うことをお勧めします。

このように範囲が広がったことで、アナリティクスの分析はやや複雑になっています。各アナリティクスは、以前のように1つのテクニックだけでなく、多くの異なるテクニックに対応する可能性があります。さらに、ある分析手法がカバーされている場合、その分析手法の忠実度も調べる必要があります。

ヒント 各アナリティクスについて、何をキーにしているかを調べ、それがATT&CKにどのように対応しているかを確認することをお勧めします。例えば、Windowsの特定のイベントに注目しているアナリティクスがあるとします。このアナリティクスのカバレッジを判断するには、Windows ATT&CK Logging Cheat SheetなどでイベントIDを調べることができます。また、ATT&CKのウェブサイトを利用して分析を行うこともできます。下図は、ポート22の検出を検索した例ですが、これは「Commonly Used Port ATT&CK technique」に表示されています。

ATT&CK site search for port 22

もう一つの重要な点は、テクニックと一緒に掲載されているグループやソフトウェアの例です。これらは、敵対者がテクニックを使用する際の手順や具体的な方法を示しています。多くの場合、これらの例は、既存の分析でカバーされているか否かにかかわらず、テクニックのバリエーションを示しており、テクニックをどれだけカバーしているかという信頼性評価に織り込む必要があります。

Examples section of Windows Admin Shares

分析結果を見るだけでなく、ツールの分析にも着手しましょう。そのためには、各ツールのヒートマップを作成し、次のような質問を繰り返し行うことをお勧めします。

• ツールはどこで実行されますか？ツールがどこで実行されているか（例えば、境界や各エンドポイント）によって、特定の戦術でうまくいったり、うまくいかなかったりします。
• ツールはどのように検出しますか？既知の悪い指標の静的なセットを使用していますか？それとも、何か行動的なことをしているのでしょうか？
• そのツールはどのようなデータソースを監視していますか？ツールが監視しているデータソースを知ることで、どのようなテクニックを検出するかを推測することができます。

これらの質問に答えるのは大変です。すべてのベンダーがこの種の情報を公開しているわけではありませんし、探してもマーケティング資料になってしまうことがよくあります。このような質問に答えるのは大変です。

カバレッジの最終的なヒートマップを作成するには、ツールと分析のヒートマップをすべて集約し、各手法で最も高いカバレッジを記録します。これができたら、次は改善に向けて動き出します。最初のステップとして、前述の分析開発プロセスのより高度なバージョンをお勧めします。

1. 短期的に注力したい優先度の高い技術のリストを作成する。
2. 重点的に取り組む技術の分析を始めるために、適切なデータを集めていることを確認する。
3. アナリティクスの作成とカバレッジチャートの更新を開始する。

現在の補償内容から始めて、アナリティクスを追加し、それに応じて補償内容を更新していきます。

また、ツールのアップグレードも必要かもしれません。ドキュメントを分析する際には、カバー率を高めるために使用できる可能性のあるオプションのモジュールを追跡してください。そのようなモジュールが見つかった場合には、それをネットワーク上で有効にするために必要なものを調べ、そのモジュールが提供するカバー率とのバランスを取ってください。ツールの追加モジュールが見つからない場合は、代替のデータソースとして利用することもできます。例えば、各エンドポイントにSysmonをインストールすることはできないかもしれないが、既存のソフトウェアが、他の方法ではアクセスできないような関連するログを転送できるかもしれない。

次のレベルへの卒業：これらの変更を実施してカバレッジを向上させたら、次のステップとして、敵対者のエミュレーション、特にアトミックテストを導入します。新しい分析手法を試作するたびに、それに対応するアトミックテストを実行して、その結果を確認します。捕まえられれば上出来です。捕まえられなかった場合は、何を見逃したのかを確認し、それに応じて分析手法を改良します。このプロセスの詳細については、当社の論文「ATT&CKベースの分析でサイバー脅威を発見する」を参照してください。

Level 3

より高度なチームの場合、評価を強化するための素晴らしい方法として、ミティゲーションを含めることができます。これにより、ツールやアナリティクスの検出内容だけを見るのではなく、SOC全体を見て評価を行うことができます。

技術をどのように緩和しているかを確認する良い方法は、SOC の各ポリシー、予防ツール、セキュリティコントロールを確認し、それらが影響を与える可能性のある ATT&CK 技術にマッピングして、それらの技術をカバー範囲のヒートマップに追加することです。最近、ミティゲーションを再構築したことにより、各ミティゲーションを見て、それがマッピングされている技術を確認することができます。ミティゲーションが適用された技術の例としては、以下のようなものがあります。

ブルートフォース(左)とWindows Admin Shares(右)の緩和策。

アセスメントの範囲を広げるもう一つの方法は、SOCで働いている人にインタビューしたり、非公式に話を聞いたりすることです。これは、ツールがどのように使用されているかをよりよく理解するのに役立つだけでなく、他の方法では考えられないギャップや強みを明らかにすることができます。例えば、以下のような質問が考えられます。

• 最もよく使うツールは何ですか？その長所と短所は何ですか？
• 見ることができないデータソースで、見ることができたらいいなと思うものは何ですか？
• 検知の観点から見た、あなたの最大の強みと弱みはどこですか？

これらの質問への回答は、先に作成したヒートマップを補強するのに役立ちます。

例：以前、ATT&CK関連の機能を多く持つツールを見つけたが、人事はWindowsのレジストリを監視するためだけに使用している場合、そのツールのヒートマップを修正して、使用方法をよりよく反映させる必要があります。

同僚と話しながら、以前に作成したツールのヒートマップを見てみましょう。自分が使っているツールのカバレッジにまだ満足していないのであれば、新しいツールを評価する必要があるかもしれません。新しいツールを検討する際には、それぞれのツールのカバレッジのヒートマップを作成し、そのツールを追加することでどのようにカバレッジが向上するかを確認します。

ヒント：特にリソースに余裕がある場合は、代表的なテスト環境を立ち上げて、そのツールをライブでテストし、うまくいったところ、うまくいかなかったところ、そのツールを追加した場合に既存のカバレッジにどのような影響があるかなどを記録することができます。

最後に、より多くのミティゲーションを導入することで、ツールやアナリティクスへの依存度を下げることができるかもしれません。ATT&CKに掲載されているミティゲーションを見て、実際に導入できるかどうかを判断します。このプロセスの一環として、検出ヒートマップを参照してください。検出がうまくいっている技術を妨げる高コストの緩和策があれば、それは良いトレードオフではないかもしれません。一方で、分析結果を書くのに苦労している技術に対して、低コストの緩和策があれば、それを実施することでリソースを有効に活用できるかもしれません。

ヒント： ミティゲーションのために検出を取り除くことを検討する際には、可視性が失われる可能性を常に考慮してください。ミティゲーションやコントロールがバイパスされる可能性がある場合には、それらのイベントが見逃される可能性が低くなるように、ある程度の可視性を確保してください。検知とミティゲーションは、どちらも効果的なカバレッジのためのツールとして使用する必要があります。

クロージング： アセスメントとエンジニアリングの関係

アセスメントを行うことで、現在のカバレッジがどこにあるのかを理解し、それを脅威インテリジェンスで補強してギャップを優先し、アナリティクスを書くことで既存の防御を調整することができます。

長期的には、毎週、あるいは毎月、アセスメントを実施することは想定していません。その代わりに、前回のアセスメントの内容を記録し、新しい情報を得るたびに更新し、定期的に敵のエミュレーション演習を行って結果をスポットチェックする必要があります。時間の経過とともに、ネットワークや収集された情報に変化が生じ、以前にテストした防御の効果が低下することがあります。ATT&CK を活用して実際の脅威に対する防御力を示すことで、防御態勢の理解を深め、改善の優先順位を決めることができます。

ATT&CKのユースケースを可視化

スマホリプレース～さらばXPERIA～

現在使っているスマホが購入から3～4年経過し、リプレースを検討している。

現在使用しているのは「docomo」と落書きの入ったXPERIA X Compact(SO-02J)を使っている。

実はスマホが世の中に登場した時からずっとXPERIAを愛用している。

XPERIAは寿命が近づいてくると出てくる傾向みたいのがあって、

まずSDカードが突然認識できなくなる。

その後、しばらくするとOSの挙動がおかしくなる。

先日SDカードが突然認識できなくなり、いよいよ後継を検討しなければならなくなったというわけである。

回線はIIJ mioを使っているため、XPERIAは使いたいものの、「docomo」とか「au」とか「Softbank」とか落書きの入った機種は本当は使いたくない。

そのため、海外モデルも検討してみたのだが、海外モデルはおサイフケータイが使えない。

一時期Google Payとかで対応できるんじゃないかと思ったが、いろいろ調べるとそうではないことが分かった。

おサイフケータイの件は対応するNFCの規格と関連する。

NFCの規格にはTypeA、TypeB、TypeFの3種類ある。

一般的に搭載されているのはTypeA/Bであり、TypeFというのが所謂おサイフケータイ対応の規格となる。

そもそもTypeFのFはFelicaからきているようで、Suicaの様に通勤ラッシュでも問題なく使えるように処理が高速化された規格となっており、その分コストも高くつく結果となっている。

海外ではSuicaのような高速な処理を求められるシーンがないため、必然的にコストアップの要因になるTypeFは搭載されない。

結局ガラパゴス仕様で日本国内向けのXPERIAにしか搭載されないというわけである。

で、国内で販売されるXPERIAを検討するのだが、困ったことが起きた。

何なんだ、この縦横比が大きく崩れた無駄な縦長画面は・・・

ダサイ

ソニーは一般人が理解できない際どいエリアを攻めに行ってしまったのだろうか？

正直XPERIAに欲しい機種がなく、しばらく悩んでいたところ、なんとGoogleから希望する画面サイズ感で、しかも手ごろな値段でスマホ「Google Pixel 4a」が発売されていることが分かった。

更にしばらく悩んだ結果、Googleストアで決済する運びとなった。

XPERIA以外のスマホを使うのは何気に人生初の経験である。

とりあえず後継のスマホが決まったことに安堵するとともに、ソニーのモノ作りがおかしな方向に進んでいないか若干気になる今日この頃。

さらばXPERIA。ありがとうXPERIA。

ランサムウェアREvilの中の人とRecorded Futureとのインタビュー / ‘I scrounged through the trash heaps… now I’m a millionaire:’ An interview with REvil’s Unknown（転載）

ランサムウェアREvilの中の人とRecorded Futureとのインタビュー ‘I scrounged through the trash heaps… now I’m a millionaire:’ An interview with REvil’s Unknown therecord.media/i-scrounged-th…: ランサムウェアREvilの中の人とRecorded Futureとのインタビュー
‘I scrounged through the trash heaps… now I’m a millionaire:’ An interview with REvil’s Unknown therecord.media/i-scrounged-th…

インターネットに晒されている機器を調べるサイト【ZoomEye】

こちらはZoomeyeでの調査。実はヘッダにこうやってバージョンが載ってきてしまうようで、この情報を分析すればターゲットを絞れる可能性があります。もっとも、脆弱性自体は1年前…orz:

こちらはZoomeyeでの調査。実はヘッダにこうやってバージョンが載ってきてしまうようで、この情報を分析すればターゲットを絞れる可能性があります。もっとも、脆弱性自体は1年前…orz

世界に羽ばたく”国際信州学院大学”～Le jour du poisson d'avril aujourd'hui～

 国際信州学院大学をご存じだろうか？

長野県にある大学とのことで、しっかりとしたWebサイトも作られている。最近開校した大学だろうか？

学長の言葉がなかなか素晴らしい。

JNSAの損害賠償額算出式は正しいのか？～実際の判例をもとに検証してみる～

 企業が情報漏洩を起こした際、JNSAの損害賠償額算出式を用いた想定損害賠償額を算出しているが、これって妥当なのだろうか？

先日、とある判例の話を聞けたので、それを基に検証してみたい。

【インシデント概要】
・不正アクセスによる個人情報流出

　-最大1万6798件の個人情報、うち7316件はクレジットカード情報

・流出した情報（赤字個所は特に損害賠償額に大きく響く項目）

-名前

-住所

-電話番後

-メールアドレス

-クレジットカード番号（番号、名義、有効期限、セキュリティコード含む）

-性別

-生年月日

-パスワード

【JNSAの損害賠償額算出式を用いた想定損害賠償額】

・カード流出に関わる1件当たりの想定損害賠償額：78,000円
　⇒7,316件なので、計570,648,000円(約5.7億円)

【流出企業における実際の損害額】

・SQLインジェクションを抱えたポンコツシステムの開発費：約2,100万円

・顧客への謝罪費用(クオカード)：約1,900万円

・顧客からの苦情処理費用：約500万円

・調査費用(主にフォレンジック)：約400万円

・営業損失：約6,000万円

・その他：約50万円

------------------------------

計約1.1億円

ん～。損害賠償額算出式の方がかなり上振れているな。。。

とはいえ、クレジットカードの有効期限とセキュリティコードまで流出しているので、この金額で済んだのは不幸中の幸いともいえるかもしれない。

裁判になるといろいろと細かいことが明らかになるので、興味深い。

ちなみに判例の詳細はこちら(バックアップ)

シングルサインオン(SSO)とは～概要と実装方法を簡単に整理してみる～

 先日、「こんなシングルサインオンの実装を検討しているのだが意見が欲しい」と言われ、資料を見ていたのだが、その内容はシングルサインオンとは遠くかけ離れた、ただの認証省略の仕組みだった。苦言を呈すことになったのは言うまでもないが、そんこともあり、簡単にシングルサインオンについて整理してきたい。

シングルサインオン（SSO）とは？

シングルサインオン（SSO）とは、1組のID・パスワードによる認証を1度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組み。

パソコンやスマートフォン、インターネットが普及し、1人でいくつものWebサービスやクラウドサービスを利用する方が増えています。以前は、これらを利用する際、サービス・アプリケーションごとに認証を行っていました。一方、これらのサービス・アプリケーションがシングルサインオンに対応していれば、認証が1回ですむようになります。

シングルサインオン（SSO）を実現する方法

代行(代理)認証方式

クライアントのパソコンにインストールした専用のエージェントが、ユーザーの代理でID・パスワードを打ち込む方式です。エージェントはパソコンに常駐し、各サービス・アプリケーションのログイン画面が起動するのを検知し、自動的にID・パスワードを入力します。

リバースプロキシ方式

リバースプロキシと呼ばれる中継サーバー上で認証を行う方式です。リバースプロキシ上で認証を追加した場合に、その後ろにあるサービスにログインができるようになります。

エージェント方式

Webサービスの専用のエージェントモジュールを組み込んで、シングルサインオンを実現する方式です。エージェントはシングルサインオン用の外部サーバーと連携し、認証やアクセス権限のチェックを行います。

SAML認証方式

SAML（Security Assertion Markup Language）認証では、IdP（Identity Provider）とSP（Service Provider）と呼ばれる2つの構成要素で、シングルサインオンを実現する方式です。

ユーザーが対象のWebサービス（SP）へアクセスすると、SPはIdPへ認証要求（SAML）を送信します。すると、IdPがユーザーのパソコンやスマートフォンに専用のログイン画面を表示させ、認証を促します。認証が成功すれば、IdPはSPに対して認証応答（SAML）を送信し、SPがそれを受け取ると自動ログインを実行するという流れです。これによって1度認証が成功すれば、SAMLに対応する別サービスへ自動でログインできるようになります。

メリット

メリット1.利便性が向上する

たくさんのWebサービス・アプリケーションを使っていると、認証の際に利用するID・パスワードの組み合わせもそれだけ増えることになり、管理に手間もかかります。また、各サービス・アプリケーションを利用する際に、いちいちログイン作業をしなくてはなりません。

一方、利用するWebサービス・アプリケーションがシングルサインオンに対応していれば、ID・パスワードの組み合わせは1つですむようになります。その上、それらWebサービス・アプリケーションの認証は1回だけ行えばよいので、より便利に利用できるようになるのです。

メリット2.パスワード漏洩のリスクが低くなる

利用すべきID・パスワードの組み合わせが増えると、その管理がおろそかになるものです。たとえば複数のサービス・アプリケーションで同じID・パスワードを使い回したり、付箋などに書いてパソコンに貼ったりする方も多いでしょう。覚えるのが面倒になり、推測されてしまいやすい簡単なパスワードを設定している方もいます。

一方、シングルサインオンを利用すれば、管理すべきID・パスワードの組み合わせは1つだけですむので、覚えるのも簡単になり管理の手間もかからなくなるわけです。そのため付箋に書いたメモを誰でも見られるようなところに置いたりすることはなくなり、適切に管理されやすくなります。ある程度複雑なパスワードを作成したとしても、1つだけなら覚えるのは苦ではないでしょう。

これらのことから、シングルサインオンを導入することによって、パスワード漏洩のリスクが減るわけです。

デメリット

デメリット1.パスワードが漏えいすると重大なセキュリティリスクにつながる

シングルサインオンで利用するID・パスワードが万が一漏洩してしまうと、そのID・パスワードを利用するサービス・アプリケーションが全て不正利用されるリスクにさらされることになります。

デメリット2.システムが停止すると関連するサービスにログインできなくなる

シングルサインオンは、特定のシステムによって認証情報が管理されています。そのため仮にその管理システムがダウンした場合、シングルサインオンでログインできるように設定している全てのサービス・アプリケーションが使用できなくなる可能性があります。

デメリット3.コスト

シングルサインオンを実現するためには、自社サーバーに専用のソフトウェアをインストールするオンプレミス型のタイプと、専用のクラウドサービスを利用するタイプがあります。オンプレミス型は特に初期導入時のコストが高額となる可能性がある一方、クラウド型は導入時のコストは少なくてすむものの、毎月の費用がかかるため利用期間が長くなれば、それだけコストがかさむことになります。

保険見直し～がん治療は通院がメインなので通院保障が重要！？～

 昔、保険会社による保険金未払い事件が多発した影響からか、毎年契約しているすべての保険会社から、現在の保険内容の確認やら、見直しやら、住所が変わっていないかやらの手紙が送られてくる。

そんな中、医療保険を契約している会社から保険内容の見直しの案内があり、がん保険の通院保障オプションの案内を見て、2019年に参加したお金のEXPOのことを思い出した。

がん保険は、昔は長期入院の伴う長い闘病生活のイメージだったが、今は長期入院せず、通院による治療がメインとなっていることから、入院保障だけではなく、通院保障が重要だという話を元SKE48の矢方 美紀さんが自身の闘病経験を踏まえて話してくれていたのだった。

やばい。今2021年なので、2年も放置してしまっていた。

幸いまだガンにはなっていない模様なので、とっとと入っておこう。

さっそく保険会社に電話して、契約内容見直しの依頼をかけた。

人生40年近く生きてきて、何となく保険との付き合い方が分かってきた気がする。

保険は早く入っておいたほうがいいとか、生涯で払う保険金は同じなのでいつでもいいとか、そもそも入る必要がないとか、いろいろ意見があるが、個人的な今のスタンスは下記である。

ちなみに掛け捨ての医療保険の話ね。

保険は若いうちに(安い保険に)入るべきである。

保険は若いうちに入ったほうが良い。高齢になってから入っても生涯で払う保険金は同じだが、若いうちに入ったほうが保険料が安く、精神的な負担額は軽く済む。

保険は入る必要がないという人がいるが、そういう意見もアリだと思う。個人的にはお守り替わりで済む程度の金額にし、万一保険料が支払われない事態になっても「しゃーない」と思える金額(=月額2000円以下)で保険に入った。

また、当然ながら保険会社の選択に際してはネットライフ生命のようなオンライン保険会社にするべきである。

テレビで有名人を起用したCMを放送しているような保険会社は厳禁である。

理由は簡単で、CM代金や有名人のギャラが保険料の跳ね返って非常に割高だからである。

かしこい人はオンラインの保険会社を選択し、情弱者はCM等で知名度の高い(割高な)保険会社を選択するのである。

諸々の情勢変化で年1.5%の保険料増加は見込むべき

医療は進歩している。

それに伴い、保険は変わる。

自分が初めて保険に入った際には無かったが、その後出てきたキーワードとして、「先進医療」とか「通院保障」がある。

これらは保険加入時には無かったため、結果として追加の保険料を払って追加する形態となる。

最初の保険加入時は1,800円/月くらいだったが、先進医療特約を付けたり、がん通院保障をつけたり、必要なオプションを追加していった結果、約15年の時を経て2,500円/月となった。

オプションで保険料が上がっていくことを考慮し、最初の保険加入時は必要最小限の保険にしておいたほうが良い。

保険は保険料控除の枠で十分

自分は若い頃にバイクで事故った際、保険が期待した働きをしなかったことから、基本的には保険に対して懐疑的な立場である。

そのため、最初の保険に入る際、どの程度の掛け金にすべきを考えた際に、たどり着いた一つの結論が「保険料控除の枠で十分」である。

つまり、介護医療保険、生命保険、年金保険、共に、それぞれ80,000円/年で十分である。

これ以上は保険料控除の枠から外れるし、保険料を払いすぎていると考えてもよいのではと思っている。