検索
連載

7500億円の被害をサイバー保険でまかなうことができるのか

CrowdStrikeが引き起こしたWindows停止事件は、サイバー保険業界に警笛を鳴らした。なぜだろうか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 全世界の「Windows」がブルースクリーンを表示し、起動しなくなった事件の余波はまだ続いている。サイバー保険の問題が明らかになったからだ。

7500億円の被害損害をサイバー保険でまかなうことができるのか

 信用格付け機関のMoody’s Ratingsが2024年7月29日に発表したレポートによると、今回の世界的なIT障害により、主に事業中断を原因とする保険金請求によるサイバー保険損害が発生するという。問題は請求金額が多額に上ることだ。

 この事故は犯罪者による悪質な攻撃とは見なされなかったため、企業はサイバー保険の標準的な補償となりつつある「システム障害」条項に基づいて保険金を請求すると予想される。Moody’s Ratingsによると、保険金を請求する企業は直接的な事業損失だけでなく、第三者ベンダーにおいて発生した連鎖的な損失も請求の対象にするという。

 Moody’s Ratingsは今回のシステム停止がシステム障害に焦点を当てた保険引受の見直しに拍車をかける可能性について高いと考えている。今回の障害は広範な影響力を持つ単一の組織が、産業全体の運営を停止させるリスクを持っているという単一障害点に対する懸念を引き起こしたからだ(注1)。

被害の範囲はどの程度だったのか

 2024年7月19日に発生した障害により、Windowsを搭載した約850万台のデバイスがオフラインになり、史上最大級のIT障害と広く考えられている。

 この障害により、民間航空企業の何千ものフライトがキャンセルされ、病院では手術が延期され、複数の州で911緊急サービスが一時的に中断され、金融取引にも影響が出た(注2)。

 航空企業のDelta Air Linesは、今回の障害により数千便のフライトをキャンセルし(注3)、乗客が数日間取り残されたことを原因として、運輸省による調査を受けている。

 Moody’s Ratingsのラリーン・カルヴァーリョ・ネフ氏(バイスプレジデント兼シニアアナリスト)はで次のように述べた。

 「再保険を提供する企業は複数の被保険者に影響を与える事象が発生した後、定期的に保険金請求を見直す。これらの企業は、リスクに対する価格設定を明確にするために、特にシステム障害補償に関する引受実務を再評価すると予想される」

保険業界はうまく対応できるのか

 保険企業のParametrixが2024年7月22日の週に発表した調査によると、Microsoftを除いて、Fortune 500に認定されている企業への直接の損害は54億ドル(1ドル140円換算で約7560億円)に上るという(注4)。保険でカバーできるのはそのうちの10%から20%のようだ。

 サイバーリスクに関するデータ分析サービスを提供するCyberCubeによる別の調査では、サイバー保険市場は最大15億ドルの保険損害に直面する可能性があると予測されている。

 アナリストによると、今回の障害は業界が長年心配してきたタイプの出来事であり、アグリゲーションリスク(合算リスク)の一例となった。

アグリゲーションリスクとはどのようなリスクなのか

 保険業界においてアグリゲーションリスクとは、複数の保険契約が同時に損害を被る可能性のあるリスクを指す。ある一つの事象や災害によって、多数の保険契約に同時に影響が及ぶ状況を表す。

 アグリゲーションリスクの特長は3つある。集積性と予測困難性、高額損失の可能性だ。集積性とは単一の事象が多数の保険契約に影響を与えることで、損害が集中することを言う。予測困難性により、保険会社が実行している通常の保険リスク計算では予測が難しい。高額損失の可能性は集積性によって生じる。その結果、保険会社が予想を超える高額の支払いを迫られる。

 CrowdStrikeの事例が起きるまでは、アグリゲーションリスクの代表例は自然災害やテロ攻撃、パンデミックなどだった(キーマンズネット編集部)


 信用格付け機関であるAM Bestのスリダール・マニェム氏(業界リサーチとアナリティクスを担当するシニアディレクター)は「本件により、システムの相互接続性を原因として、ビジネスがいかに突然かつ大規模に停止する可能性があるのかが明らかになった」と述べた。

© Industry Dive. All rights reserved.

ページトップに戻る