ESET/サイバーセキュリティ情報局
大企業の約6割がサイバー保険に加入、それでも「安全」とは言い切れない現実
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「大企業の約6割がサイバー保険に加入している現状、それでも安心・安全と言えるのか?」を再編集したものです。
サイバー攻撃は年々巧妙化・凶悪化し、企業規模や業種を問わず被害が拡大している。万一被害を受けた場合、情報漏えいや業務停止によって多額の損失に発展するケースも少なくない。こうしたリスクに備える手段として、サイバー攻撃による損害を補償するサイバー保険への注目が高まり、大企業ではすでに約6割が加入しているという調査結果もある。しかし、サイバー保険はあくまで金銭的な補填が中心であり、信用失墜や被害拡大そのものを防ぐことはできない。本記事では、サイバー保険の役割と注意点を整理した上で、企業が本当に備えるべきセキュリティ体制について解説する。
サイバー攻撃による甚大な被害を軽減するサイバー保険
サイバー攻撃は年々高度化・大規模化が進み、ゼロデイ攻撃のように検知の難しい手法も増えている。リモートワークやクラウド利用の拡大により攻撃対象領域(アタックサーフェス)が広がったことで、サイバー攻撃への対策はより一層難しくなっている。
こうした攻撃を受けた場合、企業は事業停止や情報漏えいなど深刻な影響を受ける可能性がある。企業規模やシステム構成などによって被害額は異なってくるが、中小企業でも数千万円から数億円規模の損失につながるとの推定もある。
WTW社が90カ国で実施した調査では、サイバー攻撃に伴う保険金請求額の平均は240万ドル(3億7,500万円相当)、中央値は49万6,500ドル(7,773万円相当)と報告されている。特に、情報漏えいは発生頻度が最も高く、総請求額も最大となっている。一方、ランサムウェアは発生頻度こそ2番目だが、1件あたりの請求額は高水準であった。
こうした予期せぬ損失を軽減する手段として生まれたのがサイバー保険である。サイバー攻撃を受けた際に発生する、さまざまな費用を補償し、企業の経済的ダメージを抑える役割を担う。
一般的には、以下のような費用が補償対象となる。
・事故対応費用(自社負担の軽減)
・事故原因・被害範囲調査費用、フォレンジック費用
・システム復旧・再構築費用、再発防止費用
・顧客や関係者への通知、緊急のコールセンター設置・運用費用
・広報対応コンサルティング費用
・業務中断による利益損害
・賠償責任費用(第三者への損害)
・顧客や取引先に対する損害賠償金、見舞金
・訴訟対応費用
・緊急時サポートサービス
・専門業者(フォレンジック業者、法律事務所、広報コンサルタントなど)の手配
・相談窓口の提供
さらに近年では、金銭的な補償にとどまらず、インシデントの予防支援や攻撃検知・対応をサポートするサービスを組み合わせたサイバー保険も増えている。
サイバー保険はランサムウェア被害の備えになるか?
https://eset-info.canon-its.jp/malware_info/special/detail/230125.html
サイバー保険に対するニーズの高まり
サイバー攻撃の深刻化により、企業の間でサイバー保険の必要性が急速に高まっている。KPMGジャパンが2024年8月から10月に実施した調査によると、国内上場企業および売上400億円以上の未上場企業の57.9%がサイバー保険に加入済みであった。
実際、市場規模の拡大も、このニーズを裏付けている。日本のサイバー保険市場は2024年に8億3,980万ドル(131億5,000万円相当)に達しており、2025年から2033年にかけて年率19.75%で成長し、2033年には42億5,260万ドル(6,658億円相当)に達するとの予測もある。
こうした動きは大企業に限らない。日本損害保険協会が2024年11月に中小企業を対象に行った調査では、「今後損害保険でカバーしたいリスク」としてサイバーリスクを挙げた企業が前年の16.5%から32.8%へと倍増した。また、「これから加入したい損害保険」としてサイバー保険を選んだ割合は28.7%で最も高かった。
中小企業でも数千万円から数億円規模の損失が発生し得る現状を踏まえると、サイバー保険への関心やニーズは今後さらに高まることが予想される。
サイバーセキュリティ保険への加入は必要なのか?必要なセキュリティ対策は?
https://eset-info.canon-its.jp/malware_info/special/detail/191106.html
サイバー保険加入時の注意点
サイバー保険は金銭的損害の一部を補填するものであり、それだけで安心や安全が確保されるわけではない。加入にあたっては、補償の限界や注意点を理解しておく必要がある。
1)信用の低下
顧客向けWebサービスや基幹システムがサイバー攻撃によって停止すれば、業務が中断し、通常のサービス提供が困難になる。その結果、社会的信用の低下を招く恐れがある。さらに、個人情報やクレジットカード情報の漏えいを伴う場合には、金銭的損害にとどまらず、ブランドイメージへの深刻な打撃も避けられない。
サイバー保険で経済的損失が補填されたとしても、失われた信用がすぐに回復するわけではない。信用低下が長引けば、受注停止や顧客流出、株価下落といった事態に発展し、長期的な経営リスクとなる可能性がある。
2)補償対象範囲
サイバー保険は幅広い損害を補償するが、すべてのインシデントが対象になるわけではない。免責事項や支払い条件を事前に確認しておかないと、想定外の不支給に見舞われる恐れがある。
例えば、従業員や役員の犯罪行為・過失、法令違反、委託先の管理不備、戦争・自然災害に起因する被害などは対象外となる場合がある。ランサムウェアの身代金支払いも、犯罪組織への資金供与とみなされる可能性があるため、基本的に補償外となる。
3)サイバー保険の種類
自社の規模や業種、個人情報の取り扱い状況に応じて、必要な補償内容を見極めることが重要だ。補償範囲や上限額を必要以上に広げると保険料が高額になり、予算を圧迫する可能性がある。
また、サイバー保険は単体契約だけでなく、セキュリティソリューションに付帯される形で提供されるものもある。既存のクラウドサービスやネットワークサービス、業務ソフトにサイバー保険が含まれている場合もあるため、契約内容を一度確認しておくとよいだろう。
さらに、情報漏えいに特化した保険や、損害賠償責任保険・PL保険・企業総合賠償責任保険など、ほかの保険との補償の重複がないかも確認しておきたい。
サイバー保険加入の前提となるセキュリティ対策
サイバー保険は“最後の備え”であるため、多くの保険会社は適切なセキュリティ管理体制の整備を加入条件としている。セキュリティ対策が不十分な場合には、保険料が割り増しになったり、そもそも加入できなかったりするケースもある。
加入時には、一般的なセキュリティ対策の実施状況がヒアリングの対象となる。ウイルス対策ソフトの導入、FW(ファイアウォール)やUTM(統合脅威管理)の設置、パッチ適用体制、従業員教育、インシデント対応体制、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)の整備など、基本的な管理体制が求められる。
そのため、サイバー保険の加入を検討する際には、同時にセキュリティ対策の整備を進め、サイバー攻撃に対する予防・検知・対応の仕組みを構築しておくことが重要だ。以下では、加入の前提として有効な代表的ソリューションを紹介する。
1)CSIRTサービス(インシデント発生時の対応・復旧を強化)
CSIRTは、インシデント発生時に迅速な対応と復旧を行う専門組織を指す。アウトソーシングサービスを利用すれば、専門人材の確保が難しい企業でも、監視体制や対応プロセスを整備できる。
「セキュサポ」はサイバー保険が付帯されているCSIRTサービスの一例で、中小・中堅企業に必要十分な運用体制を月額固定で提供する。サイバー攻撃における予防・検知・対応の各フェーズをカバーできる点が特長だ。セキュリティ人材の不足や予算に制約のある企業にとって、現実的な選択肢となる。
2)MDRソリューション(日常的な監視・検知・初動対応を強化)
MDR(Managed Detection and Response)は、専門家が24時間365日体制で脅威を監視し、検知・初動対応まで行うサービスである。EDR/XDRを活用し、エンドポイントからメール、ネットワーク、クラウドまで幅広くカバーする。
MDRソリューションの1つとして「ESET PROTECT MDR」が挙げられる。予防・検知を行うツールと専門家による運用サービスを組み合わせたソリューションで、検知したインシデントに対して駆除やネットワーク隔離などの初動対応を迅速に実施できる。
MDRの導入により、セキュリティ運用体制が整備されるため、サイバー保険の加入審査で有利になり、保険料が抑えられる可能性もある。
未来の組織をランサムウェアから保護するXDRとMDRの活用方法
https://eset-info.canon-its.jp/malware_info/special/detail/240709.html
保険に加えた予防、対応、検知のプロセスにより安心・安全な体制を実現
サイバー攻撃への対策は、業種や規模を問わず、あらゆる企業にとって重要な経営課題となっている。特に中小・中堅企業では、「自社は狙われないだろう」といった思い込みや、予算・人材不足から対策が後回しになりがちだ。しかし、セキュリティ対策が不十分な取引先を踏み台に大企業を狙うサプライチェーン攻撃が増加しており、あらゆる企業が攻撃対象になり得る現実を踏まえた対応が求められる。
サイバー攻撃を完全に防ぐことは難しく、経済的損失を軽減する手段としてサイバー保険は有効だ。大企業ではすでに半数以上が加入しており、今後は中小・中堅企業にも広がると見込まれている。数億円を超えるような損失は、中小企業にとって経営を揺るがす可能性があり、こうしたリスクに備える手段としてサイバー保険への関心が高まっている。
一方で、サイバー保険は短期的な経済的損失を補填するものに過ぎず、業務停止や情報漏えいによって失われた社会的信用やブランドイメージをすぐに回復するのは難しい。競争力低下といった長期的な影響は、経営に深刻なダメージを与える可能性がある。そのため、サイバー保険とあわせて、予防・検知・対応を実現するセキュリティ対策を整備することが不可欠だ。
サイバー攻撃を受けてから慌てて対策を講じても、取り返しのつかない事態になりかねない。事前の備えと事後の迅速な対応を組み合わせ、万一の際にも被害を最小限に抑える仕組みを構築することが重要である。こうした体制づくりを支援するサービスとして、総合的なセキュリティ運用とサイバー保険を組み合わせた「セキュサポ」がある。予算や人材に制約のある中小・中堅企業にとって、現実的かつ導入しやすい選択肢となるだろう。
また、サイバー保険の加入条件として一定のセキュリティ対策が求められるケースも多いため、ESET PROTECT MDRのような運用を含めた高度な検知・対応ソリューションを導入し、セキュリティ体制を強化しておくことも重要である。