日々横行しているランサムウェア攻撃が深刻化していることから、サイバー保険は経営幹部の優先事項の一つとなっており、サイバー保険の加入率は増加傾向にある。また、2022年の個人情報保護法改正後、被害報告が義務化されたことを受け、さらに注目されている。

こうした危機意識の高まりとは裏腹に、保険契約の成立・更新はますます困難になってきている。なぜなら、悪質なサイバー攻撃の被害が保険会社にとって圧力となっており、リスクの軽減を目指す各社は、保険料のさらなる引き上げや加入条件をさらに厳格化してきているからだ。すなわち、2022年の加入条件が2023年も同じとは限らないのだ。

したがって、サイバー保険に加入を検討している企業ができることとは、強固な防衛戦略をもとにセキュリティ体制を整備し、保険会社からの質問に回答できるよう監査前に十分に準備することである。

現在のサイバー保険市場における最大の課題

サイバー攻撃、特にランサムウェア攻撃は、高頻度化と巧妙化が進んでいることから深刻な被害をもたらし、多くの保険企業が補償請求の対応におわれている。前述したように、多くのサイバー保険会社は、単独契約で甚大な損害率を報告している。各社はこうしたコストの上昇に翻弄され悪戦苦闘しており、状況は刻一刻と変化している。

例えば、アメリカ大手保険グループであるマーシュ・アンド・マクレナンが発行した調査レポート「グローバル・インシュランス・マーケット・インデックス」によると、2022年第2四半期の米国のサイバー保険料は前年同期比79%増と急騰しており、その2四半期前にも2倍以上の伸びを記録している。

さらに2022年、セキュリティ プロフェッショナル認定資格制度(CISSP)と公認情報システム監査人(CISA)の有資格者でもあるCJ Dietzman氏はこの状況をみて、以下のように述べている。

「ランサムウェアの蔓延により、サイバー保険の収益性は完全に損なわれた5~7年前であれば、たった1ページのサイバー保険申請書に記入し、いくつかの質問に答えるだけで良かった。しかし、端的に言って、世界は変わったのだ。今となっては、有利な条件、価格補償、低い免責金額で保険を獲得するのは困難になった」

保険会社は、ランサムウェアのリスクだけを考慮して条件を厳しくしているわけではない。計算時は、その時々の市場の価格変動の大きさを示す指標である「ボラティリティ」や地政学的緊張状況も考慮している。

SolarWindsをはじめ、KaseyaやLog4jなどの有名なインシデントにより、ソフトウェア・サプライチェーンのリスクに関する懸念は高まり、累計エクスポージャー(Aggregation exposure)や全体的な損失について、新たな疑問が湧き上がっている。一方、世界的なプライバシー規制はつぎはぎ状態で進化を続けており、訴訟や罰金も増加していることから、保険加入時の審査における確認事項はますます多くなっている。

そのため、米サイバーセキュリティ専門ニュースメディアであるHelpNetSecurityによると、保険料が高額になった結果、「サイバー保険を支払う余裕がない」「あるいは加入を断られる」「補償範囲が制限される」企業の数は、2023年に2倍に上る見通しだという。

2023年に求められるのは詳細な説明

保険会社と企業の双方にとって、適切な条件による保険契約の成立・更新は困難と思われるが、不可能ではない。前述のDietzman氏によると、堅牢なセキュリティ・コントロールとインシデント・レスポンス計画を導入している企業をはじめ、サイバーセキュリティのアーキテクチャとロードマップ計画について詳細な説明ができれば、保険会社や保険引受会社の対応は好意的であるとしている。

Dietzman氏は、「重要なのは、サイバーセキュリティに対するリスクベースの適切なアプローチの明確化である。これができれば、加入しやすくなるだろう」と説明している。

多くの保険引受会社は、加入者のセキュリティシステムおよび実際のインシデント対応の審査の際、外部のサイバーセキュリティ会社と提携している。保険引受会社は主に、OpenVASOpenSCAPなどのオープンソースのスキャンツール、SecurityScorecard、BitSightなどのセキュリティ評価サービスを使用して申請企業のリスクや脆弱性を評価する。

こうした審査では、特定のサイバーセキュリティ管理とその実践の証拠が求められ、来たる2023年の審査では、特定分野についてこれまで以上に綿密な検証が行われる可能性が高い。