サイバー保険が抱える「致命的な欠陥」 特定市場に集中する単一障害点リスクの正体
サイバー保険には、「単一障害点」によって起こる保険会社側に響くリスクが潜んでいる。保険会社はポートフォリオの分散を、企業側はパッチ管理やデータバックアップなどのリスク緩和策が求められる。
サイバー攻撃に備えるためには、事後の対策も欠かせない。その一つがサイバー保険への加入だ。
だが、サイバー保険には「欠点」があるという。保険を契約する企業にとっての課題ではなく、保険を提供する保険会社側に響いてくる課題だ。
サイバー保険が抱える「致命的な欠陥」 特定市場に集中する単一障害点リスクの正体
サイバー保険業界向けのリスク分析プラットフォームを提供するCyberCubeは2025年9月25日(現地時間、以下同)、サイバー保険市場がはらむ特有のリスクとその軽減策についてまとめた「Reducing Cyber Catastrophe Risk: Diversification and Mitigation in Action」を発表した(注1)。報告書が言及した特有のリスクとは、多数の保険契約者が単一のイベントによって同時に影響を受けて、保険金を請求する可能性があるような相関性の高い大規模な損失イベントから生じるリスクだ。
CyberCubeでアナリティクス業務を担当するジョン・ロックス氏(バイスプレジデント)は『Cybersecurity Dive』に、次のように語った。
「リスクが集中しているため、米国に影響を及ぼすサイバー攻撃は被害の深刻度が極めて高くなる可能性がある」
報告書によると、現在のサイバー保険市場の約3分の2を米国が占めており、特に運用サービス企業や主要なクラウドサービスプロバイダーとの関係で単一障害点になるリスクが米国市場に集中しているという。単一障害点とは特定の箇所に障害が発生すると、全体に影響が及ぶようなポイントをいう。
報告書には自然災害による単一障害点への懸念への言及もある。フロリダ州のハリケーンリスクは自然災害の中で最も大きな単一のリスクだが、報告書によると、フロリダ州の住宅所有者が支払う保険料は米国全体の住宅保険料のわずか11%にとどまっているとのことだ。これは未来のサイバー保険にとって望ましい状態を示している。
一方、テクノロジー分野における集中リスクは性質が全く異なる。報告書によると、「Microsoft Windows」がデスクトップ向けOSの市場の72%を占め、「Amazon Web Services」(AWS)がクラウドサービス市場の30%超を占めている。このような状況を受けて、CyberCubeは主要企業への依存を避けてポートフォリオを十分に分散させるのは難しいとした。
報告書によると、それでも包括的なパッチ管理やネットワークセグメンテーション、堅固なデータバックアップなどのより効果的なリスク緩和策を導入することで、損失を最大で57%低減できる可能性があるという。地域や業種、売上規模、テクノロジーといった要素を組み合わせてポートフォリオを多様化させる必要がある。
企業側には何が求められるのだろうか
これはサイバー保険を申し込む企業に跳ね返ってくる対応策だ。優れたパッチ管理を実行している企業はリスクが下がる。つまり、現在はそうなっていないとしても将来は企業側にそのような対応が求められる可能性がある。分かりやすく言えば、喫煙歴がない人は生命保険の保険料が下がるという話と似ている。
報告書が発表されたのは、サイバー保険市場における懸念が高まっているタイミングだった。再保険企業のSwiss Reは保険料率が悪化する可能性を警告しており(注2)、市場では単一障害点に関連する事故への懸念が一段と強まっているという。
近年では、壊滅的なサイバー攻撃などの大規模災害が発生した際に、業界を支援するための政府による支援制度の導入についても議論がなされている(注3)。
出典:Cyber insurance could greatly reduce losses from diversification, mitigation measures(Cybersecurity Dive)
注1:Reducing Cyber Catastrophe Risk: Diversification and Mitigation in Action(CyberCube)
注2:Swiss Re warns of rate deterioration in cyber insurance(Cybersecurity Dive)
注3:Cyber commission seeks detailed plan to secure high-risk infrastructure(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
サイバー保険の需要は増えているのか 問題はサードパーティーリスク
ランサムウェア攻撃の急増などにより、サイバー保険の保険金支払いが増え、総額が増えてきた。この傾向は現在も変わらないのだろうか。保険関連の信用格付機関の報告書を紹介しよう。
激化するサイバー保険の「消耗戦」 ユーザー企業にはどのような影響があるのか
再保険会社が発表したレポートによると、サイバー保険市場は過当競争で保険料率が下落し停滞している。サイバー保険を契約しようとしている企業にはどのような影響があるのか。
7500億円の被害をサイバー保険でまかなうことができるのか
CrowdStrikeが引き起こしたWindows停止事件は、サイバー保険業界に警笛を鳴らした。なぜだろうか。