損害を十分カバーできない「サイバー保険」 最大の理由は？

サイバー保険の価格が下がっており、サイバー攻撃に備えて加入しやすい条件がそろってきた。問題はいざ攻撃に遭った場合に保険の補償が不十分なことだ。

[Alexei Alexis，CFO Dive]

　保険を契約する場合、被害が発生する確率や被害額の想定、想定した被害を十分に補償できるかどうかが投資判断になる。

なぜサイバー保険の補償が不十分なのか

　被害が発生する確率は上がり続けている。では、いざというときサイバー保険で被害をまかなうことができるのだろうか。調査によると保険金の支払いが不十分な場合が多いことが分かった。どのような理由があるのだろうか。

　英国を拠点とするサイバーセキュリティ企業のSophosが発表した調査結果によると、ほとんどのサイバー保険は、保険金請求後に発生する侵害のコストを完全にはカバーできていないという。

　2024年6月26日に発表された調査結果によると（注1）、2023年にサイバー保険の請求を行った企業や組織のうち、インシデント対応にかかった全コストを保険でカバーできたのは「わずか1％」だった。2024年1月〜同2月に、世界中のテクノロジーリーダーとサイバーセキュリティのリーダー5000人を対象にSophosが実施した調査の結果だ。

　報告書には、次のような記載がある。

　「現在、ランサムウェア攻撃に関連するコストの平均は273万ドルに達している。そのため、組織は重大なインシデントに遭遇した場合に、保険契約が十分な補償を提供するかどうかを確認すべきだ」。これは1ドル145円で換算した場合、4億円に相当する。

　保険ブローカーのMarshが2024年6月に発表した報告書によると（注2）、2023年にサイバー攻撃関連の恐喝に直面した米国やカナダの企業は過去最多となり、過去にないほどに高額な身代金請求があった。2023年にMarshに報告された恐喝事件は合計282件で、2022年と比較して64％増加した。

金銭的なコストが発生するのはランサムだけではない

　ランサムウェア攻撃による身代金請求だけを想定していてはいけない。金銭が要求されるタイプのサイバー攻撃のうち、ランサムウェア攻撃が占めるに割合は17％だからだ。しかし、ランサムウェアは、頻度や巧妙さ、潜在的な深刻さから、組織にとって最大の懸念事項だ。

　ランサムウェア攻撃では、犯罪者は悪質なソフトウェアを使用して、企業が自社のPCやサーバ、データ、ネットワークにアクセスできないようにする。そして、アクセスを回復させる対価として身代金を要求する。機密データを公共のインターネットに流出させるという脅迫が伴っている場合もある。

北米でも保険金を支払う企業が減少

　Marshの調査によると、サイバー犯罪者の要求が大胆になるにつれ、支払いを拒否する企業が増えた。2023年にサイバー攻撃に関連する恐喝の標的となったMarshの顧客のうち、身代金の支払いを拒否したのは77％だった。これは2021年の37％から大幅に増加している。

　Marshのメレディス・シュナー氏（米国とカナダにおけるサイバーブローカーリーダー）によると、身代金を支払わない場合でも、攻撃に関連して多大なコストが発生する恐れがあるという。

　シュナー氏は次のように述べた。

　「ランサムウェア攻撃に対応する企業は、身代金交渉人などの第三者のサービスプロバイダーの協力を得なければならない場合がある。また、侵害されたデータの再構築が必要な場合、やはりコストとなる」

保険に加入するためには事前の投資が必要

　Sophosによると、ランサムウェアインシデント後の復旧コストは2023年と比較して50％増加し、平均273万ドルに達した。調査によると、多くの組織がサイバー保険を利用しており、重大な侵害が発生した場合の潜在的な財務リスクを最小限に抑えようとしている。

　Sophosによれば従業員数が100〜5000人の企業の90％は「何らかの形でサイバー保険に加入している」と回答した。そのうちの半数はサイバー攻撃に特化した保険に加入しており、40％は広範なビジネス保険のパッケージの一部としてサイバー保険に加入している。

　サイバー保険に加入している企業の97％は、保険に加入するための前提条件となるサイバー防御の強化に投資しており、そのうちの67％は「投資により保険料の支払いを下げることができた」と回答した。さらに30％は「これらの取り組みによって保険条件の改善を実現できた」と回答した。

なぜサイバー保険では不十分なのか

　サイバー保険が侵害に関連するコストを完全にカバーできない理由は、主に4つある。

・総コストが保険契約の限度額を超えたため（63％）
・保険企業の許可を経ていない費用が発生したため（58％）
・一部の費用や損失が保険契約でカバーされていなかったため（45％）
・保険金の請求が認められる前提条件となるサイバー防御を企業側が備えていなかったため（14％）

　サイバー保険で損害を十分カバーできない最大の理由は、保険契約の限度額について、事前に交渉できていなかったことだと分かる。2〜4位の理由も事前の準備不足が一因だ。

　報告書によると、サイバー保険は投資であり、重大なインシデントが発生した場合に保険契約によって必要な補償を受けられるかどうかを企業側があらかじめ確認すべきだという。これはどのような保険であっても必要だが、サイバー保険は新しい分野のために、企業側が十分対応できていない。

　そのためにはインシデントが発生した場合に最前線で活動することになるITチームやサイバーセキュリティチームを含む全ての関係者が保険契約の決定に関与し、投資が組織のニーズを満たすことを確認する必要がある。法務部門や財務部門だけでサイバー保険の可否を判断してはいけないということだ。

出典：Cyberattack costs outpace insurance coverage: Sophos（CFO Dive）
注1：Cyber Insurance and Cyber Defenses 2024: Lessons from IT and Cybersecurity Leaders（Sophos）
注2：Cyber Insurance and Cyber Defenses 2024: Lessons from IT and Cybersecurity Leaders（Marsh）