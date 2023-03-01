サイバー保険は、サイバー賠償責任保険またはサイバーセキュリティー保険とも呼ばれ、ランサムウェア攻撃やデータ侵害、その他のサイバー・インシデントによって企業が被る金銭的損失を補償するものです。
自動車保険が事故の際に車両損害や人身傷害を補償するのと同様に、サイバー保険は、コンピュータ・システムの損害、収益損失、訴訟費用、その他のサイバー攻撃にかかる費用を補償します。
セキュリティー侵害はますます増加しており、その費用も増大しています。IBMの「データ侵害コスト・レポート」によると、83%の組織が複数の データ侵害を経験しており、侵害にかかった平均コストは435万米ドルです。サイバー保険は、こうした侵害による金銭的影響を軽減できるため、今日の企業にとってリスク管理上重要な要素となっています。
顧客情報を保管する企業や、テクノロジーに依存する企業（ほとんどの企業がこれに該当）は、サイバー・リスクに直面しています。セキュリティー・チームはサイバー脅威を軽減するための対策を講じることはできますが、完全に防ぐことはできません。トラベラーズ・リスク・インデックスにいよると、ビジネスリーダーの57％がサイバー攻撃は避けられないと考えます。
一般賠償責任保険や過失および不作為保険などの標準的な事業保険商品は、通常、サイバー・イベントによる損失を補償しないため、企業はランサムウェア攻撃、ビジネス・メール侵害詐欺、その他のサイバー犯罪にかかった全費用を負担するリスクがあります。こうした攻撃は、多額の金銭的損害をもたらす可能性があります。たとえば、ランサムウェア攻撃の平均被害額は454万米ドルですが、身代金の支払いは含まれていません。
この補償のギャップを埋めるためにサイバー保険が誕生しました。サイバー保険は、身代金の支払いやマルウェアの修復、その他の費用を補償することで、企業の被害を最小限に抑え、より迅速な復旧とサイバー・レジリエンス全体のレベルアップに貢献します。
サイバー保険の補償内容は、企業のニーズ、企業が保管するデータの種類、企業の業種・業務によって異なります。多くのサイバー保険には、第一当事者補償と第三者補償のオプションが用意されています。第一当事者補償は、データの復旧やシステムの復元にかかる費用など、企業が直接被った損失を補償するものです。第三者補償は、データを盗まれた消費者など、企業外部の関係者が被った損害を補償するものです。
具体的な損失に関しては、多くのサイバー保険では以下のようなものが補償の対象となります。
サイバー攻撃によってコンピュータ・システムがオフラインになり、企業が収益を失った場合、サイバー保険によってその損失の一部またはすべてが補償される場合があります。
サイバー・イベントの発生後、インシデント対応、システム修復、フォレンジック調査、その他必要なサービスに保険金が支払われる場合があります。
サイバー保険は、サイバー攻撃に起因する訴訟、たとえば顧客による訴訟にかかる費用に充当できる可能性があります。一部の保険会社は、被保険会社に法的代理人を立てる場合があります。
ハッカーが個人情報（PII）やクレジットカード番号や社会保障番号などの機密情報を盗んだ場合、サイバー保険は顧客への通知や信用監視などのサービスの提供にかかる費用を賄うのに役立ちます。
サイバー攻撃は、特に医療や金融サービスなどの規制の厳しい分野では、規制当局による調査につながる可能性があります。サイバー保険は、企業に支払い義務のある罰金を含め、これらの監査への準拠にかかる費用を補填する場合があります。
企業は、攻撃を受けた後のブランド・イメージ回復のために、広報会社との業務提携や、その他の対策が必要になる場合があります。サイバー保険の中には、こうした費用を補填するものもあります。
多くのサイバー保険はランサムウェアの支払いが補償の対象となっていますが、保険会社によっては、身代金の高額化を理由にこの補償を打ち切ったり制限したりしているところもあります。
サイバー保険は多くのことを補償の対象としていますが、補償の対象とはならないインシデントもあります。これらは除外事項と呼ばれています。一般的な除外事項には、以下ようなものがあります。
ベンダーやその他のパートナーが侵害された場合、企業はデータの盗難やサービスの混乱に見舞われる可能性があります。サイバー保険がこうした損失を必ずしも補償するわけではなく、一部の保険会社では追加料金で第三者の侵害を補償する保険を提供しています。
ソーシャル・エンジニアリング攻撃（フィッシング攻撃など）は、サイバーセキュリティーを内部から危険にさらすように人を操るため、サイバー保険がこうした損失を常に補償できるとは限りません。ただし、多くの場合、ソーシャル・エンジニアリングにかかる補償は追加料金で利用できます。
悪意のある従業員や過失のある従業員などの内部脅威によって生じた損失は、ほとんど補償の対象外になります。
多くのサイバー保険では、こうした攻撃を戦争行為とみなし、補償の対象外としています。
企業が把握していたにもかかわらず修正プログラムを適用しなかった脆弱性をハッカーがエクスプロイトした場合、多くのサイバー保険ではその請求を拒否します。
ほとんどのプランでは、設定ミスやその他の内部エラーによるサービス停止は補償の対象外になります。
サイバー保険への需要は高いものの、サイバー保険料の上昇により、企業、特に中小企業にとっては保険への加入が難しくなっています。Marsh McLennan社によると、2022年第1四半期におけるサイバー保険の保険料は110%上昇しました。
451 Researchによると、サイバー保険はランサムウェア攻撃の増加の一因となっている可能性があります。サイバー保険に加入する企業が増えるにつれ、ランサムウェア攻撃は保険で補償されることから、身代金を支払うことに抵抗がなくなっていきます。ハッカーは逆に、身代金を要求し続けることを奨励されていると感じています。ランサムウェアの新種「HardBit」は、被害者にサイバー保険の詳細を共有するよう要求し、その保険でカバーできる身代金をハッカーが計算できるようにしています。
サイバー保険が他の保険商品と比べて比較的新しいという事実も、価格の混乱を助長しています。保険会社はサイバー攻撃にかかる費用に関する過去のデータが限られているため、正確なリスク・モデルを作成して安定した価格を設定することが難しいのです。
保険会社は損失が増えるにつれて、保険料の引き上げや補償範囲の制限を行うことで対応しています。保険会社のAXAは、フランスで発行された保険契約に対するランサムウェアの支払いを補償することを停止しました。Lloyd’s of Londonは、もう一つの大きな損失要因である、国が支援するサイバー攻撃を補償対象外にする予定です。
保険会社も、被保険企業に対してより厳格なネットワーク・セキュリティー要件を設定しています。保険会社によっては、企業が多要素認証、データ暗号化、ゼロトラストなどのポリシーを導入していない限り、保険の見積もりさえ提示しないところもあります。保険会社の中にはよりコンサルティング的な役割を担っている会社もあり、保険契約者や事業主にセキュリティー・ツールやサービス・プロバイダーへのアクセスを提供し、セキュリティー体制の向上を支援しています。一部の専門家は、サイバー保険会社がNISTサイバーセキュリティー・フレームワークなどの基準の適用において重要な役割を果たすようになると予測しています。これらの基準に従う企業は、保険の加入にかかる費用が抑えられるためです。
IBMのサイバーセキュリティー・サービスは、アドバイザリー、統合、マネージド・セキュリティー・サービスに加え、攻撃および防御機能を提供します。弊社は、専門家からなるグローバルチームと独自のパートナー・テクノロジーを組み合わせて、リスクを管理するカスタマイズされたセキュリティ・プログラムを共創します。