サイバー保険に頼らなければ被害をカバーできない だが保険料は現実的なのか

企業を狙うサイバー攻撃が激化し、ランサムウェアによって多額の損失を出す企業が目立ってきた。このため、サイバー保険の保険料は高止まりしていた。この状況は今後どうなるのだろうか。

[David Jones，Cybersecurity Dive]

　信用格付け機関のMoody's Investors Serviceは、2023年6月6日（注1）、サイバー保険市場に関する需要と将来見通しを発表した。

サイバー保険に未来はあるのか

　同社によればサイバー保険に対する需要は依然として高い。では保険料は高くなる一方なのだろうか。

　未保険の損失が大きいため、サイバー保険は今後数年にわたる成長が続き、業界は安定する兆しを見せているという。

　サイバー保険業界がより利益を上げるようになり、保険の供給に対する以前の制約が緩和されたため、これまでの急激な価格上昇は落ち着きを見せている。

　保険料は落ち着きを見せるが、企業に要求される内容が厳しくなっている。その一例として、サイバーハイジーンの実践の強化を企業が余儀なくされている。守りが薄い企業は攻撃されやすく、これはサイバー保険業界の支払いを増やすからだ。

安定の兆しを見せるサイバー保険市場

　保険料が激しく上昇し、供給が制限された状態が数年間続いていた。多くの企業は補償を受けることが困難だった。だが、現在、市場は安定しつつある。

　Moody's Investors Serviceのマイケル・ディオン氏（バイスプレジデント）は次のように述べる。「サイバー保険の需要は引き続き高い。1年前と比べて料率の上昇がかなり抑えられているため、今後も需要が高まるだろう」

　ディオン氏によるとランサムウェアに関連する支払いやデータ漏えいのコストをカバーするための保険金の支払いが十分かどうかは、次のような条件で決まる。ポリシーの条件とサイバー保険の補償範囲がどれほど包括的かによる。

　ロシアによるウクライナ侵攻によって高度なサイバー攻撃の脅威が増え、（電力やガス、鉄道、空港などの）重要インフラを提供する組織やその他の民間企業の間で市場の不安定さが懸念事項になった。ランサムウェア攻撃は大手企業や中堅・中小企業の間で引き続き問題になっている。

　重要インフラを提供する多くの組織にとって、リスクプロファイルは変化する。特に攻撃のリスクが数日間または数週間にわたって運用を妨げる可能性がある場合はなおさらだ。

　ディオン氏によると、製造業や工業系の企業はリスク転嫁、すなわち保険会社などに金銭を支払うことで、リスクが生じた際の損失を金融機関に補填（ほてん）してもらう慣行が強い。この種の企業の多くは、しばしば従来の保険契約でサイバー関連の損害をカバーすることに加えて、さらに独立したサイバー保険にも加入する。

　グローバルリスクと再保険のスペシャリストでMarsh & McLennan Companiesの傘下にあるGuy Carpenterの報告書では（注2）、米国内のサイバー保険市場を約90億ドルと評価している。2019年時点の同市場は約26億ドルに過ぎなかった。

出典：Cyber insurance market is stabilizing as growth remains certain, Moody’s says（Cybersecurity Dive）

注1：Moody's - credit ratings, research, and data for global capital markets（Moody's）

注2：THROUGH THE LOOKING GLASS:INTERROGATING THE KEY NUMBERS BEHIND TODAY’S CYBER MARKET（Guy Carpenter）