Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

サイバー保険に入れなくなる日

つぶやいてみた。

自動車保険では事故率の低い40代、50代の保険料を安くする事を売りにした商品がありますが、サイバー保険もそう遠くない将来、事故リスクの高い企業や組織が入れなくなる可能性がありそうです。www.infosecurity-magazine.com

サイバー保険の加入率は過去 4 年間でほぼ 2 倍になりましたが、新しい議会報告によると、2020 年には攻撃の頻度が増加したため、保険料が急上昇しました。

Watchdog the Government Accountability Office (GAO) は、2021 会計年度の国防権限法で業界を調査するよう命じられました。

GAO は、世界的な保険会社Marsh McLennan のデータを引用して、サイバー固有の保険に加入することを選択した顧客の割合が 2016 年の 26% から 2020 年には 47% に増加したことを明らかにしました。

ただし、最近成功したサイバー攻撃の急増は、2 つの負の結果をもたらしました。保険料の上昇と、一部のセクターのカバレッジ制限の縮小です。

(Infosecurity Magazine記事より引用)※機械翻訳

 

キタきつねの所感

全世界でのサイバー攻撃被害増加の傾向から考えると、そう遠くない将来、サイバー保険に加入する為の「健康診断」が厳しくなると共に、保険料が上がる事が予想されます。

 

日本のサイバー保険の加入率は、日本損害保険協会が2020年12月に発表したデータでは、7.8%でしかありません。

www.sonpo.or.jp

 

海外と比べて大企業でも加入率が低く、ましてや中小企業はサイバー保険に加入する余裕が無いと考えている事が、このデータからも分かりますが、今後加入予定も含めても3割弱という状況においても、私は、サイバー保険料金は近い将来値上がりすると思います。

 

日本国内のサイバー攻撃の被害状況を考えると、値上がりになる程には被害を受けている様には思えませんが、「インシデントとして未発表」なケースは、その規模は別として増えているかと思います。

データがある訳ではないのですが、例えばランサム被害(公表されたケース)は、2019年と2020年~2021年辺りを比べると、国内企業の被害が明らかに増えています。

もちろんこの多くのケースが「身代金」を支払わないという選択をしたものと思いますが、それでも復旧費用がかかる訳であり、(加入していれば)サイバー保険が使われたケースは一定数以上あったかと思います。

 

しかし、個人的に「問題」だと思うのは、海外のインシデント増加傾向です。

GAO は、保険ブローカーの最近の調査によると、価格は 2020 年後半に 10 ~ 30% 上昇したと主張しました。

アップデートでは名前が挙げられていませんが、ランサムウェアはこれらのトレンドを推進する重要な要因です。保険会社の Coalitionによると、これは 2020 年上半期の保険金請求の最大のソースでした。

多くの人々が、保険会社の継続的な補償は、ランサムウェアの問題を永続させると主張しています.身代金がプロバイダーによって払い戻されることを知って、より多くの攻撃者が組織を標的にすることを奨励するからです.

Axa は最近、フランスでのこの傾向に反対し、攻撃によって被ったその他の損失は引き続きカバーするものの、攻撃者への支払いの払い戻しを停止することを決定しました。

(Infosecurity Magazine記事より引用)※機械翻訳

 

記事にもありますが、海外では事件が増えている事もあってサイバー保険の「値上げ」や免責範囲の拡大が、徐々に実施されています。

 

※日本のサイバー保険の実態を理解している訳ではないので、以下間違っている部分が含まれるかも知れません

一般論ですが、保険会社は、保険金請求が莫大になる地震などのケースでは、リスク回避の為に再保険に加入しています。国内ではトーア再保険会社がありますが、海外だと英国のロイズが有名です。

仮に国内のサイバー保険がロイズ等の再保険を使っていた場合、日本国内で大きなインシデントが無くても、海外インシデントが増加すると、いわば「お財布」を使ってしまう事になるので、ロイズの再保険料が上がる傾向になり、必然的に国内のサイバー保険価格も値上げの方向になっていきます。

これが国内の再保険会社を利用していたのだとすれば、海外の傾向がそのまま反映される事はありませんが、国内でもサイバー攻撃(ランサム被害)は増加傾向にあるかと思いますので、”時間の問題”だと思います。

 

※先日、ソフォスのランサム攻撃を受けた被害の復旧費用について書かれた記事が出ていましたが、(海外も含めたデータですが)2021年の復旧コスト平均は、185万ドル(約2億円)となっており、2020年に比べて倍以上となっています。

news.mynavi.jp

 

こうしたサイバー保険の支払いが増加していく傾向の場合、前述の記事にもありましたが、保険会社はサイバー保険の加入料金を値上げするか、加入前の「セキュリティチェック(健康診断)」を厳しくする、あるいはランサム(身代金)を除外する、又は限度額を低くする、といった保険の適用範囲を狭めるといった事を検討する様になってくると思います。

あまりセキュリティ体制が良く無いと判断された企業は、サイバー保険に「加入できない」、そうした事態になってしまう事も十分に考えられます。

セキュリティは経営責任である。この言葉が現実味を帯びるのが「サイバーインシデント」が発生した際かと思いますが、リスクファイナンス=責任回避の重要な施策の1つがサイバー保険かと思います。

保険会社の「ハードル」が上がる前に加入するというのも、そろそろ現実解になりつつある気がします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 保険証券のイラスト

 

更新履歴

  • 2021年6月1日 AM