サイバー保険とは？保険料と適用範囲

サイバー保険は、サイバーセキュリティの事象に関連するリスクやそれによって生じるコストに対応するための保険です。サイバー保険（サイバーリスク保険とも呼ばれる）は、ランサムウェア、情報漏洩、ネットワーク侵害などのサイバーセキュリティイベントのコストを最小限に抑え、企業が深刻な財政負担に見舞われないようにするものです。

機密情報を保管または保存するすべてのビジネスは、サイバー保険からベネフィットを得ることができます。ネットワークにリスクがあるのであれば、ネットワークが侵害された場合のコストを低減するために、サイバー保険への加入を検討することは重要です。サイバー脅威が情報窃取につながった場合、組織はインシデント対応、対処、ブランド毀損、訴訟、コンプライアンス罰金、顧客賠償の可能性などの費用を支払わなければなりません。サイバー保険は、このようなコストの一部を軽減するのに役立ちます。

ネットワークやデータの破壊もまた、侵害によるリスクであり、サイバー保険はこうしたサイバーセキュリティの事象から派生する費用をカバーします。例えば、ランサムウェアの攻撃を受けた場合、ディザスタリカバリを使用してネットワークを修復するのに数週間かかる可能性があり、サイバー保険はこれらのコストの一部をカバーします。

サイバーセキュリティインシデントが発生した後、組織は、その後の対応のために費用を負担しなければなりません。インシデント対応、封じ込め、フォレンジックと調査、訴訟、コンプライアンス監査、セキュリティインフラの追加、ポリシーの変更などは、ネットワーク侵害の後に発生するいくつかの後発的なイベントに過ぎません。

データ損失、調査、およびコスト関連の結果をもたらすあらゆるサイバーイベントは、保険契約の対象となり得ますが、補償範囲はサイバー保険会社と組織が選択する補償の種類に依存します。保険の種類によって保険料が決まるため、多くの場合、コスト基準で保険を選択しています。ほとんどの保険は、クレデンシャル(認証情報)窃取、フィッシング、ランサムウェア、マルウェア、 内部脅威などに関連するコストをカバーしています。

多くの保険契約では、サイバーインシデントは補償対象から除外されています。一般的な保険の賠償責任保険では、ハッキングやその他のデジタルデータの窃取は対象外とされているため、経営者は別途、サイバー保険に加入しなければならないのが通例です。

サイバーセキュリティの事故は1件発生するだけでも数万ドルかかるため、一般的な賠償責任保険に含めるにはコストがかかりすぎるのです。また、リスクの発生数は保険料の大きな要因となるため、組織が成長し、環境にインフラを追加するにつれて保険料が変化する可能性があります。

それぞれの企業は、それぞれ抱えているリスクも補償してほしい範囲も異なるため、サイバー保険の費用は決して「一律」な構造にはなっていません。事業規模や年間売上高も保険料に影響を与える要因です。医療や金融といった業種は大きな標的となるため、この要素も補償内容やコストに影響を与える可能性があります。

また一般的な保険と同様に、過去に発生したインシデントも保険料に影響を与えます。過去にハッキングの被害に遭ったことのある組織は、サイバー脅威からの防御に成功している組織よりも保険料が高くなる可能性が高くなります。

サイバー保険費用は、組織が選択した補償範囲などいくつかの要因に依存します。ほぼすべての保険会社が独自のパッケージやポリシーを提供しています。保険販売代理店では、さまざまな補償オプションの見積もりを作成してくれますので、契約者は、補償する範囲やポリシーが異なるいくつかの選択肢から選ぶことができます。

一般的に、サイバー保険は以下の範囲を補償します：

• データの損失とそれに伴う復旧
• サイバーセキュリティのインシデントによる事業の中断による収益損失
• 詐欺やソーシャル・エンジニアリングなどのイベントに起因する送金資金の損失
• コンピュータ詐欺や恐喝による資金損失

上記のリストの通り、サイバー保険は実際のサイバーイベント自体の損失をカバーしていますが、通常、データ侵害に関連する余波による影響やフォローアップのイベントもカバーします。

情報窃取の被害を受けた後、サイバー保険がカバーする可能性が高いものは以下の通りです：

• 通知費用: 被害者を特定し、侵害について通知を送ることに関連する費用。この活動は、多くの場合、コンプライアンス上、対応が必須と定義されています。
• 信用調査: データ損失や個人情報が窃取された後、被害者（顧客）の信用調査に関連する費用。
  民事訴訟。訴訟や顧客への賠償に関連するコスト。
• フォレンジック: 被害とその原因を分析するためのコンサルタントやフォレンジック専門家の雇用にかかる費用。
• ブランド毀損: 組織の評判へのダメージを修復するための広報活動に関連する費用。

サイバー保険の契約を考える場合、攻撃を事前に阻止するための費用負担について、保険会社に確認する必要があります。保険会社は、フィッシングやソーシャル・エンジニアリングに対する予防トレーニングを支援してくれる場合もあります。

組織は、サイバーセキュリティの事象が発生した際の金銭的損失をカバーするためにサイバー保険に加入しますが、保険ですべてがカバーされるわけではありません。例えば、サイバー保険は、将来予測される収益損失をカバーするものではありません。データ侵害による知的財産の損失は、別の特注保険でカバーする必要があります。

また外国の攻撃者による戦争行為は通常カバーされません。また、侵害の前後にサイバーセキュリティ・インフラを構築することに関連する費用は、カバーされない場合があります。通常通り、保険会社と保険証券を確認し、補償の除外事項がないかどうかを確認してください。

他の保険と同じように、サイバー保険にも免責額がありますが、保険契約時に免責額を選択することができます。保険会社は組織に免責金額の選択肢を与え、免責金額によって保険料が決定されます。免責金額が低ければ低いほど、組織はより多くの保険料を支払うことになります。

サイバー保険はサイバーインシデントに対する特効薬のように思えるかもしれませんが、あくまでサイバーセキュリティ戦略の補足として利用すべきであり、決して戦略の全てではありません。情報保護に必要なインフラをカバーするプランなど、すべての条件が満たされていることを確認するために、サイバー保険の規約を読むことが重要です。

データ損失の影響は費用に関すると高額となり、サイバー保険では新しく発売する製品やビジネスの成長による将来の収益をカバーするものではありません。このように、ブランドの毀損や情報漏洩に伴う収益の損失は、将来の収益に恒久的な影響を及ぼしかねません。組織が持続するためには、リスクを低減し、侵害を回避するためのサイバーセキュリティ戦略を持つ必要があります。

2017年に発生したいくつかの大規模なサイバー攻撃により、世界中の大規模な組織や政府機関のデータを破壊しました。 WannaCry、Petya、NotPetyaは、大小さまざまな組織に影響を与えた破壊型サイバー攻撃、またはランサムウェア攻撃の一部です。これらのランサムウェア攻撃の被害はサイバー保険でカバーされるように思えますが、フォレンジックの専門家は、これらの攻撃が特定の国を標的にしている可能性を示唆しています。

前述の通り、「戦争行為」はほとんどのサイバー保険でカバーされていません。2017年に多数のランサムウェア攻撃が発生した後、一部の保険会社は、ランサムウェアの被害は戦争行為と見なされるため、保険金を支払う必要はないと主張しました。このため、最も高額な攻撃の一つであるサイバー攻撃による被害後の費用を負担しなければならない組織があったことには注意する必要があります。

サイバー保険の取得に向けた最初のステップは、現在のインフラを監査し、サイバーセキュリティの方針と実施中のシステムを文書化することです。サイバー保険会社は、補償とコストを決定するために、現在どのようなシステムが導入されているかを知る必要があります。どの保険会社でもそうですが、サイバー保険会社は、サイバーセキュリティ戦略やインフラが整備されていない組織はカバーしません。なぜなら、そのような組織は近い将来、データ侵害の被害者となる可能性が高いからです。

サイバーセキュリティ・インフラの監査が済んだ後は、いくつかの保険会社に連絡し比較、そして保険契約を結びます。各社とも、独自の保険基準、例外、料金を設定しているため、保険契約に同意する前に、必ず保険契約条件を確認してください。保険会社は、現在のサイバーセキュリティ戦略を確認し、保険契約を結ぶかどうかを決定します。

サイバーセキュリティのインシデントは、毎年、組織に数十億円の損害を与えています。サイバー脅威の阻止、脆弱性の修正、フォレンジックの費用、そしてブランドへのダメージやコンプライアンス違反による金銭的損失など、1つの事象で数千万円を超える費用が発生することもあります。サイバーセキュリティの事象や情報漏洩に関連する膨大なコストを認識する組織が増えるにつれ、これらの事象による損害や金銭的損失をカバーする保険に加入することを望むようになるでしょう。

保険会社は、保険料で儲かるように保険をカスタマイズするため、組織は常に契約に書かれている免責事項に注意する必要があります。保険会社にとって多額の支払いは高額であるため、組織が必要なサイバーセキュリティ・インフラを整備し、侵害を阻止するために必要なことをすべて行った場合にのみ補償の対象となるよう、制限を加えているのです。

保険会社は、サイバーセキュリティ管理が不十分な組織に対する保険契約の締結については、より慎重になっているため、保険会社を探す前に、具体的な戦略とインフラの整備をおこなう必要があります。サイバーセキュリティ管理が優れていれば、リスクも低減されるため、保険料や補償にかかるコストも削減されます。保険を探す前に、組織は、環境全体に効果的なサイバーセキュリティのインフラを導入することで、保険料の支払いを抑えることができます。