2016-2020年の欧州でのサイバー保険の請求の1/4がランサムウェア攻撃に関連していると報じられていました。
therecord.media
保険大手のマーシュによると、2016年から2020年の間にヨーロッパ大陸全体で提起されたすべてのサイバー保険請求のほぼ4分の1がランサムウェア攻撃に関連しているとのことです。
2020年だけを分析すると、その数はさらに多く、昨年提出されたすべてのサイバー保険請求のほぼ3分の1(32%)がランサムウェアのインシデントに関連していると、同社は「サイバー請求の変化する顔2021」で報告しています。それは過去50年からマーシュサイバー保険事業をレビューしました。
市場は 2025年までに200億ドルに達すると推定されており、マーシュのデータは、サイバー保険ビジネスでランサムウェア攻撃がどれほど大きな要因を果たしているかを示しています。
新規顧客を保険会社に誘導するのはランサムウェア攻撃の恐れであることがよくありますが、ランサムウェア攻撃も保険会社側のほとんどのコストを占める主要な要因です。
これらのコストの上昇は通常、ITアップグレードのコストを延期し、サイバー攻撃の余波に対処するために保険の適用範囲に頼ることを選択した被害を受けた企業によって引き起こされます。
キタきつねの所感
サイバー保険は、セキュリティに関与している多くの方には釈迦に説法かと思いますが、リスクファイナンス(リスク移転)の主要な手法で、昨今のサイバー攻撃の脅威に対抗する有力な対策の1つとなっています。
リスクファイナンス|リスク管理Navi [用語集]
ランサム攻撃がサイバー保険に大きな影響を与えている事については、当ブログでも何度か記事に書いてきましたが、大手保険会社Marshの新しい調査でも将来企業・組織に与える『リスク』を予感させます。
サイバー保険の加入は秘匿にすべき - Fox on Security
サイバー保険に入れなくなる日 - Fox on Security
海外でのサイバー保険加入率は、日本に比べて高く、同じくMarsh社の調査データになりますが、2020年の段階で47%となっており、現時点では半分以上の企業・組織がサイバーに加入していると推測されます。
japan.zdnet.com
一方で日本は?と言うと、2020年12月に日本損害保険協会が発表したレポートでは、サイバー保険加入企業・組織はわずか「7.8%」にしか過ぎません。
www.sonpo.or.jp
日本でもランサム攻撃をはじめとしたサイバー攻撃被害は増加傾向にあるので、現在の加入率はもう少し高くなっていると思いますが、それでも大多数の企業・組織はサイバー保険に加入していない状況にある事は間違いないかと思います。
ここに海外と日本での大きなギャップがあります。
ランサム攻撃の多くは海外で、半分以上が米国企業・組織を狙ったものであるのですが、最近は日本企業・組織の被害事例も増えています。
日本でも公表されていない被害も相当数ある事を考えると、サイバー保険に入らない事が「経営リスク」にもなりかねない状況と言っても過言ではないかと思います。
実際、海外ではランサム攻撃を受けた際に、企業や組織の多くがサイバー保険を使ってランサム(身代金)の支払いをする事を選択しています。
サイバー保険会社Coalitionが今年6月に発表した レポートによると、ランサムウェアの被害者は一貫して身代金の要求を支払い、保険プランを通じて費用を賄うことを選択しています。
(The Record.記事より引用)※機械翻訳
ランサム(身代金)要求額は企業規模や、社会的影響度のあるビジネスによって左右されますが、被害を受けた際に保険に加入してない場合、経営者は厳しい選択を迫られる事になります。
しかし、ランサム攻撃が急増する中で、企業側にとっては”最後の頼り処”であったサイバー保険の支払いも急増しており、保険会社が想定していた想定を上回る状況になってきています。その結果、多くの海外保険会社は、サイバー保険料の値上げを実施(検討)している様です。
これは、今度は市場に影響を及ぼしました。 今年5月の GAOの報告によると、サイバー保険の保険料補償プランは近年増加しており、米国政府当局者がランサムウェア事件の責任の大部分を特定しています。
これらのコストもまた高くなりつつあります。先月のビデオ会議で、 AIGのCEOであるPeter Zaffino は、同社が北米全体でサイバー保険料を40%引き上げることを計画していた主な理由の1つとして、ランサムウェア攻撃についても言及しました。
1か月前の7月、保険会社ChubbのCEOであるEvan Greenbergは、 サイバー攻撃によって発生するコストをサイバー保険料でカバーできていないと述べ、 さらに値上げが行われたことを示唆しています。
(The Record.記事より引用)※機械翻訳
日本での加入率が低い事を考えると”対岸の火事”にも思えなくはありませんが、そうでもなさそうです。
保険会社は、保険を再保険する事で知られており、サイバー保険も例外ではない様です。この事から、海外で「保険料支払いが急増」している事によって、仮に国内被害が少なかったとしても、サイバー保険料が”値上がり”する可能性は高いと思われます。
英ロイズ保険組合とは 世界最大級の保険市場: 日本経済新聞
さらにやっかいなのが、ランサムオペレータ(攻撃者)が、サイバー保険加入の企業・組織を狙っている事、そして交渉時に保険支払い上限額ギリギリまでランサム(身代金)を要求してくる傾向が強い事です。
この負の循環モデル(ランサムビジネス)が回っている間は、保険会社は、例え保険料が一時的に値上げされても、サイバー保険支払いが”減らない”ので頻繁に保険料が値上げ検討がされていく事が予想されます。
国内企業・組織はサイバー保険加入を様子見している所が多い様ですが、いざ加入しようとした際に、リスク診断(プレ調査)に落ちて加入できない、あるいは当初想定以上の「保険料」を請求(保険支払いの付帯条件を)される様になってくるかも知れません。
※サイバー保険の場合は現在簡易リスク診断(問診票)が行われる事が多い様ですが、企業や組織の侵害リスクをより精度高く把握する為に、保険会社は近い将来本格的なリスク診断(脆弱性診断)に移行していく気がします。
この”未来予想”が当たるかは分かりませんが、サイバー保険に頼りきらず、自社のセキュリティを恒常的に見直していく事が、結局は「安くつく」気がします。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
