45％の企業がサイバー保険に未加入、ビジネスリスクに直結も

サイバー保険の加入状況などについて、調査結果が発表されています。今回は、サイバー保険で補償できることと、補償できないことについて説明します。 早速ですが、宮本さんは個人で生命保険や損害保険には加入していますか？

生命保険や自転車の保険などに加入しています。他にも車や火災、旅行の時の保険など様々な種類がありますが、やっぱり保険があると万が一の時に安心ですよね。

そうですね。そんな、個人の生活にも必要不可欠とされている保険ですが、今回は主に企業が加入を検討する、サイバー攻撃に対する保険の話題です。

今回の調査は、米国及びカナダ企業の IT 及びサイバーセキュリティの意思決定者450人を対象にサイバー保険に関するオンライン調査を実施したものです。

サイバー保険があることを初めて知ったのですが、どのようなものか教えていただけますか？

サイバー保険とは、サイバー攻撃によるインシデントの被害を補償する保険です。保険会社や保険商品によって補償内容は異なりますが、損害賠償やインシデント対応に必要となる費用の全部や一部を補償してくれる保険です。

ありがとうございます。このサイバー保険の加入状況はどうなっていますか？

同調査によると、現在サイバー保険に加入中と回答したのは55％で、対象企業の45％がサイバー脅威に対する保険に未加入であることが明らかになっています。

ランサムウェアに関する結果では、補償限度額がランサムウェア要求額の中央値である60万ドル超の回答者は調査対象のわずか19％で、従業員数1,500人未満の中小企業ではさらに少ない14％となりました。

加入率はそれほど高くないんですね。一方で、サイバー保険に加入しているか否かがビジネスに及ぼす影響についても調査結果が出ているようなので、解説いただけますか？

サイバー保険がビジネスに与える影響について、取引先が包括的なサイバー保険に未加入の場合は、契約の締結を再検討すると60％が回答しました。よって、サイバー保険の加入状況がビジネスリスクに直結することを示す結果となっています。

サイバー攻撃による被害額の大きさ、また保険に加入しているかどうかが契約の検討条件にも関わってくることを考えると、確かに保険の加入は大切だなと思いますが、保険の必要性というのはどれくらいあるのでしょうか。

金銭的な費用をサポートするために、サイバー保険は有効な手段の一つであると言えます。インシデント対応時にかかる一時的な費用として、具体的には、フォレンジック調査や脆弱性診断などの費用が挙げられます。システム規模によって、数百万から数千万円の費用がかかる場合もありますので、大企業にとってもインパクトは大きいですね。ただし、すべての被害が補償されるわけではありません。

すべてが補償されるわけではないという点が気になりますが、これから保険の加入を考える時に気を付けるべきことがあれば教えてください。

インシデント対応に必要なログが適切に保存されていなかった場合は、補償の対象にならない場合があるようです。今回の調査でも、EDRの適切な実装が保険契約の締結を左右することも多く、回答者の34％はEDRに関する資格要件の不備を理由に、保険会社からサイバー保険適用を拒否された経験があったということです。

また、金銭的な補償だけでは取り戻せないものがあります。それは、その企業やサービスがインシデントで失った信用です。セキュリティ対策が十分ではなく、個人情報を大切にできないというイメージによって棄損された信用は、サイバー保険では補償することができないと言うことができます。

ありがとうございます。 万が一に備えたサイバー保険も大切ですが、やはりセキュリティ対策をして被害を受けないようにすることも合わせて必要と理解できました。事前の対策と万が一の対策、両輪で備えていきたいですね。