国内企業のサイバー保険加入率はまだ8%
サイバー保険は1990年代には保険商品として存在していた。既存の保守契約や企業資産(データ・ハードウェア・ソフトウェア含む)にかける保険との切り分けは難しいが、2000年に入ると、サイバー攻撃被害を想定した特約などが増えていった。
日本損害保険協会が、さまざまな業種の1500社に対して実施した企業のサイバーリスクに関する意識調査(2020年)によれば、国内のサイバー保険加入率はおよそ8%。加入予定ありの20%弱を加えても37%台だ。国内ではまだメジャーな存在ではないが、アメリカでは加入率で35%前後という統計もある。
サイバー攻撃でもっとも非難すべき相手、排除すべきは犯罪者・実行者である。だが、攻撃を受けた企業の金銭的な被害は免れない時代だ。業務のITシステムやサイバー空間への依存度が高まるほど、サイバー攻撃の被害は大きくなる。
とくに近年は、ランサムウェアが猛威を振るっているため、さらにサイバー保険に注目が集まっている。その他のサイバー攻撃でも業務が止まるなど金銭的な損害は発生するが、ランサムウェアの場合、身代金という形で犯人側に現金や仮想通貨を支払うため、損害額が可視化されやすいことも影響している。
もちろん、ランサムウェアの身代金は払ってはいけないのが原則である。この点は最後に改めて解説する。警察庁のデータによれば日本でのランサムウェア被害の復旧にかかる費用は1000万円から5000万円の間がもっとも多い。企業規模にもよるが、サイバー攻撃を受けた場合、対策や復旧に使える予算を数千万円規模で準備しておく必要がある。この対策の一つとしてサイバー保険が候補に挙げられる。
損害保険とサイバー保険の違い
日本損害保険協会によるとサイバー保険は次のように説明されている。
サイバー保険はサイバーリスクに起因して発生する様々な損害に対応するための保険です。
サイバー保険は、サイバー事故により企業に生じた第三者に対する「損害賠償責任」のほか、事故時に必要となる「費用」や自社の「喪失利益」を包括的に補償する保険です。
この説明によると、サイバー保険はサイバー攻撃やウイルス被害といった状況を限定した保険ではなく、サイバー空間の事象に起因する事故や事件に対して金銭的な保障を行う保険ということになる。ただし、一般的なサーバーの故障、自然災害、火災等による被害、操作ミスによる障害とは区別されるはずだ。システム障害の保障は、メーカーやベンダーとのサービス契約、保守契約などで本来カバーされる。
「サイバーリスク」「サイバー事故」という表現を使っていることから、やはりネットやウェブなどサイバー空間を利用した攻撃を対象として想定した保険であることがわかる。また、事故という言葉は、意図的な攻撃以外のシステム障害も排除していないからだろう。
現実にはサイバー攻撃とシステム障害の明確な切り分けが難しい場合も存在する。たとえば、内部犯行による情報漏洩やサイバー攻撃、原因不明だがサイバー攻撃が疑われる障害などだ。そのため、サイバー保険と既存のIT資産に関係する損害保険の間には若干のグレーゾーンが存在する。詳細は要件ごとに保険会社(引受先)と企業が調整する必要がある。
サイバー保険はどこまで保証してくれるのか
一般的なサイバー保険は、大きく分けるとサイバー攻撃などサイバー事故によって発生する損害を保証する損害賠償と、関連して発生する各種コストを保証する事故対応費用、そしてシステム停止、サービス停止などによる売り上げの補填、運転資金など利益損害・営業継続費用があると考えられる(日本損害保険協会)。
https://www.sonpo.or.jp/cyber-hoken/
- 損害賠償責任
- 事故対応費用
- 利益損害・営業継続費用
損害賠償責任として、法的に負担が発生する損害賠償金や訴訟費用などがある。
事故対応費用は、事故の原因調査、専門家への相談、コンサルなどへの支払い、再発防止策のコスト、顧客等への見舞金、さらにコールセンターの設置や記者会見など当局および社会への説明・情報公開の費用などが考えられる。サイバー保険の基本を成す保証内容だ。
最後の利益損害については、逸失利益や対応コストに補填して、業績、決算等への影響を小さくするための保険となる。
サイバー保険は、パッケージ化した保険商品が作りにくい。セキュリティ対策が、業務やシステムごとに変える必要があるように、保証内容の詳細は、契約ごとに異なる。企業によって守るべき資産や価値は異なる。個人情報などをあまり扱わない企業なら、データよりもサーバーハードウェアやサービスの継続のための保証を強くしたいかもしれない。サービス形態や業務によってサイバー攻撃のリスクも異なる。
したがって、ここでは個々の契約内容や保険料、保険金については取り上げない。
サイバー保険の特徴
サイバー保険は、いまのところほぼ個別見積による個別契約になることが多い。そのため、保険料も巨額になりがちだ。中小規模の企業は、高額のサイバー保険を検討するよりも、メーカーやベンダーの保守契約や既存の損害保険の中でサイバー事故に適用できるものを精査してみるとよいだろう。
だが、大手企業やグローバル企業なら、サイバー保険を利用する意義は高いといえる。関連して発生するコストや損失は、前述保険内容はほぼフルセットで発生する項目といっていい。上場企業や重要インフラ産業は、国や当局の規制を受けている部分もある。サイバー攻撃に対する管理義務や報告義務だ。これらに違反すると、罰金や制裁が科せられることがある。攻撃の発生頻度は低くても発生時のインパクトは計り知れない。
サイバー保険は、自動車事故や生命保険と違い船舶等の保険に近いという専門家もいる。海運保険のリスク評価は積み荷や航路、経済情勢、社会情勢を都度判断する必要がある。荷主は事故時にどれくらいの保証が必要かを判断したうえで保険組合やシンジケートと保険料、保険金、支払い条件を決める。
サイバー保険を契約するなら、まずどんな攻撃や事故が想定され、リスクがあり守るべき資産は何かを絞り込む必要がある。運転資金補助を手厚くしたいのか、専門家の分析やアドバイスを保険で賄えるようにしたいのか、といった方針と戦略を明確にする。そして、いくらぐらいの保証が必要なのか、それに掛けられるコストはどれくらいかを用意したうえで、保険会社との打ち合わせ・交渉に入る。
とはいえ、実際にはすでにサイバー保険の見積もり・比較サイトも存在している。パッケージ化が難しいとはいえ、保険会社も商品化する程度のデータを持っており、サイバー事故に対する一定のリスク評価や分析を行っている。要件を伝えれば保険料の見積もりや最適な保険内容や特約を作ってくれるはずだ。
サイバー保険のもうひとつの特徴として、セキュリティベンダーも提供しているという点を挙げたい。サイバー保険は保険の歴史としては浅い部類に入る。サイバー攻撃やサイバー事故のリスク評価や分析は、セキュリティベンダーやセキュリティアナリストに分がある(あった)。ソフトウェアやセキュリティシステムのアフターケアとして、インシデント対応支援、専門家派遣、定期的なセキュリティ診断などを行っていた経緯もあり、セキュリティベンダーの中には、サイバー保険を付加価値として提供しているところがある。
保険会社にいきなり相談するより、付き合いのあるベンダーに相談するというハードルの低さもある。ベンダーのポートフォリオを今一度調べておくのもよいだろう。
ランサムウェア(身代金)とサイバー保険
ランサムウェアの身代金に保険を使うべきか(使ってもいいのか)、という議論がある。原則として身代金の支払いはNGだ。上場企業や重要インフラ企業、政府系外郭団体は法的な制限の中でサイバー攻撃の報告義務が課せられていることがある。また、国際金融ではマネーロンダリング対策、テロ対策といった理由から、特定の国や口座への送金は違法となることがある。このリストには、過去にサイバー攻撃や身代金支払いに利用された口座、仮想通貨ウォレット、APTグループ、RaaSプラットフォームなども含まれる。
サイバー保険も、身代基金特約はおそらく存在しない。犯罪者やテロリストに活動資金を与えることになり、さらなるテロやランサムウェア被害を生むだけである。保険金が身代金に直接充当された場合、保険会社にも同義的な責任を問う声があるかもしれないからだ。
しかし、アメリカ・イギリス、オーストラリア、ドイツ、ブラジルなどは、身代金の支払い率は60%を超えている(2022年のプルーフポイントの調査)という。被害にあっても報告していない事例もあるとすれば、現実には身代金の支払いは割と普通に行われている可能性が高い。
https://www.proofpoint.com/jp/blog/threat-insight/Japans-Ransomware-Payment-Result-2023
身代金を支払っても、最近増えているデータ暴露型(二重脅迫型)ランサムウェアの場合、盗まれたデータの拡散は止められない。その意味でも、身代金の支払いは明らかに推奨できないが、一方で、病院などの攻撃で人命にかかわる場合は、身代金の支払いも緊急避難的なオプションとして禁止すべきではない。
サイバー保険が有効なケースとそうでないケースを分類し、それぞれの対策を事前に準備しておく必要があるだろう。
