サイバー保険でより良い補償を得るには？ KnowBe4が企業に戦略を提言：セキュリティニュースアラート

KnowBe4 Japanは、サイバー保険の重要性とセキュリティ対策の必要性に関するレポートを公開した。企業がより良い補償を得るためにはどのようなセキュリティ戦略を取ればいいのか。

[後藤大地，有限会社オングス]

　KnowBe4 Japanは2025年2月4日、最新レポート「サイバー保険とセキュリティ:高まる脅威への対応」を公開した。

　同レポートはサイバー保険の重要性と保険会社を巻き込んだ包括的なセキュリティ対策の必要性を指摘する報告書だ。サイバー攻撃の増加に伴いサイバー保険の請求件数が大幅に増加している現状を分析し、企業がより良い補償を得るための戦略を提示している。

サイバー保険でより良い補償を得るために企業がすべきこと

　同レポートの主なハイライトは以下の通りだ。

• サイバー攻撃の被害コスト：　サイバー攻撃の影響と被害コストは、サービス中断やデータ流出など目立つものばかりでなく、民事訴訟や規制当局からの罰金、風評被害、競争力低下などの発生の可能性を考慮するとコストが膨む一方だ
• 保険業界が見たサイバーリスクの現状：　データ流出の増加により、個人情報の侵害を主張する集団訴訟も急増している。特に米国で顕著で、包括的なデータプライバシー（個人情報保護）法を制定した州は2023年に入ってから5州から13州に増加した。アジア太平洋地域でもデータプライバシー（個人情報保護）法は大きな進展が見られ、日本や韓国、インド、中国で、個人情報流出に対する訴訟への道が開かれている
• 中堅・中小企業が直面する課題：　中堅・中小企業のサイバーインシデントによる被害額は、企業存続の危機を招くほどの甚大な影響を及ぼす可能性がある
• 複雑性を増す法規制：　複雑化するデータプライバシー（個人情報保護）法の影響で、特に米国では集団訴訟が急増しており、欧州でも同様の増加が予想されている。この状況を受けて世界中の組織は法規制の順守を最優先事項として取り組む必要に迫られている
• 人的要素（ヒューマンファクター）：　人は依然としてサイバーセキュリティの最も脆弱（ぜいじゃく）な側面であり、データ侵害の75％を占めている

　最近、サイバー攻撃による被害は多様化し、被害コストが増加している。単なるデータ流出やシステム停止にとどまらず、集団訴訟や規制当局による罰則、風評被害などの二次的影響が企業経営に深刻なダメージを与えている。特に米国では個人情報保護法の制定が進む中、個人情報の流出に関する集団訴訟が急増している。アジア太平洋地域でも日本や韓国、インド、中国などで同様の訴訟リスクが拡大している。

　サイバー攻撃による被害は大企業だけでなく、中堅・中小企業にとっても大きな脅威となっている。レポートでは適切なサイバー保険に加入していない企業では、インシデント発生時の対応コストが大きな負担となることが予想されている。さらにサイバー攻撃の75％が人的ミスに起因していることから、従業員へのセキュリティ教育や意識向上トレーニングが不可欠であることも強調している。

　KnowBe4の創立者兼CEOであるストゥ・シャワーマン氏は「デジタルシステムへの依存度が増す現代のエコシステムでは、ITインフラの停止や侵入のリスクを無視することは、企業規模を問わず深刻な損害を招く可能性がある。こうしたリスクを考慮すれば、セキュリティ対策を強化しない、対策が失敗した場合に備えたサイバー保険を否定するということは、もはや許される選択肢ではない」と語った。

　急速に変化するサイバー脅威の中で企業は技術的な対策だけでなく、人的リスク管理や適切なサイバー保険の活用を含めた包括的な対策を講じることが求められている。報告書では企業が直面するリスクに備えるための指針が示されており、サイバーセキュリティを強化するためにフィッシング耐性のある多要素認証（MFA）の導入やソフトウェアの定期的なアップデート、模擬フィッシング訓練を含むセキュリティ意識向上トレーニングの実施、定期的な脆弱性評価と侵入テスト、保険会社との連携によるリスク管理強化といった対策が推奨されている。