つい最近まで、サイバーインシデントによる財務リスクを軽減するために保険加入を検討する企業はほとんどなく、検討した企業にとっても、申込書に記入して小切手を切るだけで簡単に保険に加入できました。しかし、そんな時代は完全に過去のものとなりました。今日、世界中の企業がサイバー保険への加入を急いでいます。世界のサイバー保険市場は2022年に133億3000万ドルに達し、2030年には846億2000万ドルにまで急成長すると予測されています。
しかし、保険契約数の増加と高額な攻撃の急増が相まって、サイバーセキュリティ保険会社のコストは上昇しました。損失を抑えるため、保険会社は保険加入の資格を得るために、組織が様々なセキュリティ対策を実施していることの証明を求めることが多くなりました。
IT リーダーは、潜在的なサイバー保険ベンダーからのリスク評価に抵抗したり憤慨したりするのではなく、それを組織のセキュリティ体制を強化する機会と捉えるべきです。
サイバー保険にはリスク評価が含まれる
保険業界全体では、リスク評価に応じて保険契約の要件と保険料が異なります。例えば、盗難防止システムを設置すると、高価なスポーツカーの保険料が下がる可能性があります。洪水氾濫原に住む人は、高台にある同様の住宅に住む人よりも住宅所有者保険の支払額が高くなる可能性があります。あるいは、フロリダ州などの州の住宅所有者が直面しているように、そもそも保険に加入できない場合もあります。
サイバー保険も同様です。保険会社は、大量の個人識別情報(PII)を保有する企業に対し、同規模でPIIの保有量がはるかに少ない企業よりも厳しいセキュリティ要件を課す可能性があります。また、保険会社が許容できるレベルまでリスクを低減するための十分なセキュリティ対策を欠いている組織は、いかなる価格であっても保険契約の対象とならない可能性があります。
サイバー保険が実際にカバーするもの
サイバー保険の主な焦点は、言うまでもなく、インシデントによる財務リスクの補償です。通常、サイバーイベントの直接的な結果として企業に発生する以下のような直接的なコストが保険でカバーされます。
- フォレンジック分析とインシデント対応。一部の保険会社では、特定のマネージドインシデント対応サービスの利用を義務付けています。
- 実際の損失や破壊によって引き起こされたデータとシステムの回復。
- サイバーイベントによるダウンタイムのコスト。
- PR 活動の処理、影響を受けたクライアントへの通知、さらには顧客への信用監視サービスの提供など、機密データの漏洩によって発生するコスト。
- 民事訴訟の費用負担を含む、規制対象データに関する法的サービスおよび特定の種類の責任。
保険では、知的財産の盗難による将来の利益損失や、イベント後のサイバーセキュリティ プログラムの改善への投資の必要性など、イベントの長期的な影響の一部がカバーされることはほとんどないか、まったくないことに留意することが重要です。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
身代金の支払いに対する補償については、コンセンサスが得られていません。すべての保険会社がこの種の費用をカバーしているわけではありません。一部の専門家は、身代金の支払いがさらなる攻撃を助長し、犯罪活動の資金源となる可能性があると主張しています。一部の法域では、身代金の支払いを全面的に禁止すべきかどうかについて議論が続いています。
他の保険契約と同様に、追加条項が適用される場合があります。これには、補償額の上限、法執行機関との適正手続きの義務、専門の身代金交渉サービスへの参加などが含まれる場合があります。
サイバー保険に必須のセキュリティ対策
Netwrixによる最近の調査では、今日のサイバー保険の加入資格取得プロセスに関する有益な情報が明らかになりました。サイバー保険に加入している組織の50%が、選択した保険の要件を満たすため、あるいは単に保険に加入するために、追加のセキュリティ対策を実施していることがわかりました。以下の図は、これらの組織が満たすべきと報告した具体的な要件を示しています。
このリストを包括的または権威あるものと捉えないでください。例えば、MFA を実装するということは、必ずしもすべてのユーザーに MFA を要求することを意味するわけではありません。保険会社は、機密データやシステムへの特権アクセスを持つユーザーのみに追加の認証を要求するかもしれません。さらに、これらの制御は相互に関連していることに留意してください。例えば、特定の種類のデータへのアクセスに MFA を要求するには、機密データや規制対象データがどこに保存されているかを把握し、ユーザー権限と管理者権限を管理する必要があります。
最後に、セキュリティ対策はすべての組織に平等に義務付けられるとは限りません。例えば、すべての組織が堅牢なパッチ管理プロセスを備えるべきですが、保険会社では、中小企業向けのアップデートの適用速度に関する基準が、多国籍企業に比べて緩い場合があります。
しかし、根本的な原則は次のとおりです。保険会社は、各顧客が「注意義務」を履行することを期待しています。適用される注意義務は、組織の規模、業界、取り扱うデータの種類、求められる補償レベルなどの要因によって異なります。
機会を活かす
サイバー保険への投資は、経営幹部から強く推奨されるリスク判断ですが、保険契約の取得要件を満たすのはITリーダーの責任です。保険会社によるセキュリティ評価(リスクアセスメント、従業員アンケート、文書レビューなど)を、単なる煩雑な作業リストを生み出すだけの煩わしさと捉えるITチームもいるかもしれません。しかし、このプロセスは、組織のセキュリティ体制に関する新たな知見を得る絶好の機会となります。
実際、サイバー保険会社ほどITリスクに関する知識が豊富な組織は他にほとんどありません。彼らのチームは数多くの顧客、保険金請求、そしてリスク評価に対応しているため、現代の脅威情勢を深く理解し、セキュリティ上の弱点を発見・修正するためのベストプラクティスに関する最新の知識を有しています。実際、多くの保険会社がサイバーセキュリティ研修や脅威インテリジェンスフィードなど、リスク軽減を支援するサービスを提供しています。組織がサイバー保険を検討しているなら、彼らの豊富な知見と専門知識を活用してサイバーセキュリティを向上させる絶好の機会となります。これは、業界および法規制の要件へのコンプライアンスの達成と維持にも役立ちます。
もちろん、保険会社はあなたの事業の細部まで全てを把握しているわけではないので、提案の中には、あなたの状況に多少(あるいは大きく)的外れなものもあるかもしれません。それでも、すべての提案は慎重に検討し、敬意を持って検討すべきです。意見の相違があれば、保険会社と話し合うことができます。
ただし、保険会社の推奨事項を、サイバーセキュリティ強化のための包括的なリストと捉えるべきではありません。保険会社のリストにあるすべての項目にチェックを入れたからといって、組織が自動的に安全になるわけではありません。保険会社は、最新の攻撃手法の緩和にのみ焦点を絞ったり、セキュリティの基本について一般的な前提を設けたりする場合があります。保険会社の推奨事項は、サイバーセキュリティ戦略の代替としてではなく、情報の一つとして活用してください。
サイバー保険は成熟産業である
サイバー保険業界はまだ発展の初期段階にあり、多くの要素が進化を続けていることを念頭に置くことが重要です。例えば、控訴裁判所は最近、製薬大手メルクに対し、大きく報道されたNotPetyaインシデントによる経済的損失に対し、保険会社から14億ドルの支払いを命じました。この訴訟は2018年8月に提起されたもので、メルクの保険会社は保険契約の「戦争行為」の免責条項に基づき支払いを拒否しました。この判決は間違いなく業界に影響を与え、ITセキュリティ管理に対する要件がさらに厳格化される可能性が高いでしょう。
サイバー保険の加入資格取得プロセスを進めることで得られるメリットは、保険証券の発行だけにとどまりません。組織は、世界トップクラスのリスクおよびセキュリティ専門家による評価を受けていることを忘れないでください。その評価結果を活用し、サイバーセキュリティとコンプライアンス体制を強化してください。
