サイバー保険の今 料金や限度額はどうなっている？

サイバー保険は特殊で高価な保険だという認識があった。2024年時点でこれは正しいのだろうか。

[David Jones，Cybersecurity Dive]

　信用格付け機関S＆P Global Ratings（以下S＆P）は2024年5月6日週にサイバー保険市場の現状を発表した。サイバー保険が各社から発表された当初、料金が比較的高く、補償限度額が低いという声があった。現状はどうなっているのだろうか。

サイバー保険業界はどう変わったのか

　サイバー保険は被害額を予想した上で加入を検討する必要がある。日本ネットワークセキュリティ協会が2024年2月に発表した「インシデント損害額調査レポート 第2版 別紙 被害組織調査」によればランサムウェア感染被害を受けた組織の平均被害金額は2386万円だった。サイバー保険はこの被害金額に見合うのだろうか。

　S＆Pによれば、かつて（料金や限度額などの条件が）不安定だったサイバー保険市場は安定してきた。これは、競争が激化する市場に新規参入した保険企業が、保険料のコストの引き下げと補償限度額の引き上げに貢献したためだ。保険企業は潜在的なサイバーリスクを評価するための高度なツールを取り入れることで、柔軟かつ個別化された引受方法を実現しつつある。

　S＆Pによると、自治体もサイバーリスクの管理能力や悪質な攻撃への対応能力を大幅に向上させた。自治体は長年にわたり高額な商業保険を見送ってきた。だが、現在はサイバーリスク補償を取り入れており、多くの場合、小規模な自治体はサイバーリスクプールに参加している。プールとは、複数の保険会社が協力して、特定の種類のリスクや災害に関連する保険金の支払い責任を共有する仕組みだ。

　サイバー保険市場が立ち上がった当初、コストの高騰や競争の制限、将来のリスクを正確に予測することへの多大な圧力があったが、現在は異なる。

　S&Pのアナリストは四半期ごとに行うサイバーリスクアップデートの中で、サイバー保険業界の進化について論じた。

　S＆Pによると、サイバーリスク保険は保険分野で最も急速に成長している分野の一つだ。全世界の保険料は2023年の約150億ドルから、2025年には200億ドルを超えるという。

　信用格付け機関A.M. Bestのスリダール・マニーム氏（業界の調査と分析を担当するシニアディレクター）は「ランサムウェアに対する懸念と保険ブローカーからの専門的なアドバイスにより、中小企業がサイバー保険に加入するケースが増えた」と述べた。

　長年にわたりサイバー補償を付加的なものとして提供してきた保険企業は、サイバー領域に特化した保険が必要だということを認識しつつある。

　「サイバー領域の商品は保険企業に必要なものになりつつある」（マニーム氏）

保険会社の審査や行動が変化した

　近年、保険企業は保険に加入しようとする組織がどの程度サイバー防御を固めているのかを審査して、引き受け基準として扱うようになった。多要素認証の使用や定期的なソフトウェアアップデート、脆弱（ぜいじゃく）性パッチの適用、従業員のトレーニングなどの状況を見る。

　単に保険金を支払うだけでなく、顧客がランサムウェアの攻撃を受けた場合は、保険企業も身代金の支払い交渉に介入するようになった。

　リスクアドバイザリーサービスを提供するMarshは、S＆Pの調査の追加となる情報を発表した。Marshの「Q1 Global Insurance Market Index」によると（注）、サイバー保険料は第1四半期に世界全体で6％減少した。米国では、この四半期で6％減少し、これで保険料は4四半期連続で減少した。

　Marshの関係者は、新たな購入者が市場に参入していることに同意しつつ、価格環境の改善をサイバー衛生の向上に結び付けている。

　Marshのレイチェル・ラベンダー氏（米国とカナダを担当するサイバーブローカーリーダー）は、次のように述べた。

　「効果的なリスク管理のための主要な施策に対する認識の向上により、企業のリスクプロファイルが改善され、それが保険市場にさらなるキャパシティーをもたらした。新たなキャパシティーの増加が競争を促進し、その結果、顧客が支払う料金が安定した」

出典：Cyber insurance costs are stabilizing as global market grows（Cybersecurity Dive）
注：US Insurance Market Rates（Marsh）