サイバー保険の過信は禁物 インシデントコストと補償額の間にある“深い溝”：Cybersecurity Dive

ランサムウェアをはじめとしたサイバー脅威が激化する中、企業はサイバー保険への加入を検討しているが、インシデント対応にかかるコストとサイバー保険の補償額との間には大きなギャップがある。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティ企業のSophosと調査企業のVanson Bourneが2024年6月26日（現地時間）に発表した報告書によると（注1）、サイバー保険の加入資格を得るために、約4分の3の企業がサイバー防御に投資している

インシデント対応コストとサイバー保険の補償額の間にある“深い溝”

　これらの投資は保険に加入するために必要であったり、企業の保険料を下げるのに役立ったり、保険プランにおける補償条件の改善につながったりするようだ。この研究は、米国やアジア太平洋地域、欧州、中東、アフリカにおける14カ国のITおよびセキュリティリーダー5000人を対象とした調査に基づいている。

　Sophosによると、投資されているにもかかわらず、保険企業が提供する補償範囲と復旧費用との間には、依然として大きなギャップが存在している。

　サイバーリスクは財務に影響を与える。特にランサムウェアの脅威が衰えることなく急増する中、企業は事業継続を維持するための包括的な戦略を策定する必要がある。

　Sophosの調査「2024年ランサムウェアの現状」によると（注2）、ランサムウェアの復旧費用は過去1年間で50％以上増加し、1つのインシデント当たり平均273万ドルとなっている。そしてこれらの復旧費用は、保険によって企業が受け取る補償額を上回っている。

　保険企業は企業に対して、サイバー防御に関する最低基準の充足を求めるのみではない。その基準の維持と、保険料や補償範囲の広さに関連性を持たせ、企業がサイバー防御を向上できるようなインセンティブを提供している。

　Sophosのチェスター・ウィスニエフスキ氏（ディレクター兼グローバルフィールドCTO《最高技術責任者》）は、電子メールで次のように述べた。

　「専門家から『最低基準の引き上げが不十分だ』との批判を受けている。しかし、『PCI-DSS』のような要件において、時間をかけて最低基準を徐々に改善する取り組みが、長期間にわたる望ましい効果をもたらすケースを何度も目にしてきた。

　PCI-DSSは企業がカード決済のセキュリティを強化するための基準である。カードデータは悪質なハッカーによって盗まれ、不正取引のためにしばしば転売される。

　このような追加投資にもかかわらず、復旧費用と保険企業が支払う補償額には依然としてギャップが存在する。

　世界的な保険ブローカーであり、リスクアドバイザリー企業でもあるMarshのメレディス・シュヌア氏（地域サイバープラクティスリーダー）によると、2022〜2023年にかけてのMarshの保険金回収率は約80％だった。リテンションを考慮すると、その割合はさらに高くなる。

　シュヌア氏は「サイバー保険が支払いに有効なのは間違いないが、無制限で補償を提供するものではない」と指摘した。

　サイバーセキュリティ事業を営むCYEの先行調査によると、保険加入者は、攻撃によって発生する実際のコストとサイバー保険契約によって提供される補償額の間に大きなギャップを感じ、戸惑う場合があるという。その報告書によると、平均的なインシデントでは2700万ドル以上のギャップがあった（注3）。

（注1）Cyber Insurance and Cyber Defenses 2024: Lessons from IT and Cybersecurity Leaders（SOPHOS）
（注2）The State of Ransomware 2024（SOPHOS）
（注3）Cyber insurance gaps stick firms with millions in uncovered losses（Cybersecurity Dive）

原文へのリンク