サイバー保険は、サイバー賠償責任保険またはサイバーセキュリティー保険とも呼ばれ、サイバー・インシデントによって生じた経済的損失を補償します。 自動車保険が事故発生の場合に車両の損害と身体の傷害に対して支払うのと同じように、サイバー保険はコンピューター・システムの損傷、収益の損失、訴訟費用、およびその他のサイバー攻撃によるコストに対して支払います。
セキュリティー侵害はますます一般的になり、よりコストがかかるようになってきています。 IBMのデータ侵害のコストレポートによると、組織の83%が複数のデータ侵害を経験しており、平均の侵害コストは435万米ドルです。 サイバー保険はこれらの侵害による財務への影響を軽減できるため、現代の企業のリスク管理の重要な一端を担っています。
カスタマー情報を保管している会社、またはテクノロジーに依存している会社(多くの企業がこれに含まれます)は、サイバー・リスクに直面しています。 セキュリティー・チームはサイバー脅威の軽減策を講じることができますが、それらを完全に防ぐことはできません。 Travelers社のリスク・インデックス(ibm.com外部へのリンク)によると、ビジネス・リーダーの57%がサイバー攻撃は避けられないと考えています。
一般賠償責任保険や過失怠慢責任保険のような標準的な事業保険商品は、通常はサイバー・イベントによる損失を補償しないため、企業はランサムウェア攻撃、ビジネス・メール侵害詐欺、その他のサイバー犯罪の総コストに対して脆弱なままになります。 これらの攻撃による財務面での被害は、重大なものになる可能性があります。 たとえば、ランサムウェア攻撃は平均で454万米ドルのコストがかかり、これには身代金の支払いコストは含まれていません。
この補償範囲のギャップを埋めるために、サイバー保険が生まれました。 身代金の支払い、マルウェア修復、その他のコストを補償することにより、サイバー保険は企業が損害を抑え、より迅速に復旧し、サイバー・レジリエンスの全体的なレベルを向上させるのを支援します。
サイバー保険の補償範囲は、企業が必要とするもの、企業が保管するデータの種類、企業の業種に基づいて異なる場合があります。 多くのサイバー保険は、ファースト・パーティーとサード・パーティーの補償範囲のオプションを提供します。 ファースト・パーティーの補償範囲では、データの回復やシステムの復元の費用など、企業の直接損失に対して支払います。 サード・パーティーの補償範囲では、データが盗まれた消費者など、企業の外部の当事者が受けた損害に対して支払います。
特定の損失に関しては、多くのサイバー保険は以下のようなものに対して支払いを行います。
サイバー攻撃によりコンピューター・システムがオフラインになっために会社が収益を失った場合、サイバー保険はその損失の一部またはすべてを補償する場合があります。
インシデント対応、システム修復、フォレンジック調査、サイバー・イベント後に必要なその他のサービスに対して、保険金が支払われる場合があります。
サイバー保険は、顧客が提訴した訴訟など、サイバー攻撃から生じる訴訟への支払いを支援する場合があります。 一部の保険会社は、被保険会社の法的代理人を提供する場合があります。
ハッカーが個人情報(PII)またはその他の機密情報(クレジット・カード番号または社会保障番号など)を盗んだ場合、サイバー保険は顧客への通知やクレジット・モニターなどのサービス提供の費用の補償を支援することがあります。
サイバー攻撃は、医療や金融サービスなどの高度に規制された分野においては特に、規制調査につながる可能性があります。 サイバー保険は、会社が支払わなければならない罰金を含め、これらの監査に準拠するための費用を補償する場合があります。
会社は攻撃を受けた後でブランドを修復するために、広告会社を雇うか、その他の手段を講じる必要がある場合があります。 一部のサイバー保険は、これらの費用を支払うのを支援します。
多くのサイバー保険はランサムウェアの支払いを補償しますが、一部の保険業者は、身代金の費用が高いために、この補償を終了または制限しています。
サイバー保険は多くのものを補償できますが、補償されないインシデントが一部あります。 これらは「適用除外事項」と呼ばれます。 一般的な適用除外事項には以下のものが含まれます。
会社はベンダーや他のパートナーが侵害されたときに、データが盗まれたり、サービスが中断されたりする可能性があります。 サイバー保険はこれらの損失を必ずしも補償するとは限りませんが、一部の保険会社は、追加費用でサード・パーティーの侵害に対する補償を提供します。
フィッシングなどのソーシャル・エンジニアリング攻撃は、人を操って社内からサイバーセキュリティーを侵害させるため、サイバー保険は必ずしもこれらの損失を補償するとは限りません。 ただし、ソーシャル・エンジニアリングに対する補償は、追加費用で選択できる場合が多いです。
悪意のある従業員または不注意な従業員などの内部脅威により生じた損失が補償されることは、めったにありません。
多くのサイバー保険は、これらの攻撃を戦争行為と見なし、そこから生じた損失を補償しません。
会社が知っていたが修正していなかった欠陥をハッカーが悪用した場合、多くのサイバー保険は請求を却下します。
ほとんどの保険プランでは、構成ミスやその他の社内エラーが原因で起きた停止は補償されません。
サイバー保険の需要が高い一方で、サイバー保険の費用が上昇しているため、企業(特に小企業)は補償を見つけることが難しくなっています。 Marsh McLennan社によると(ibm.com外部へのリンク)、サイバー保険の価格は2022年の第一四半期で110%上昇しました。
451 Research社(ibm.com外部へのリンク)によると、サイバー保険はランサムウェア攻撃の増加の一因となっている可能性があります。 より多くの企業がサイバー保険を購入するにつれて、身代金が保険で補償されるため、企業は支払うことを厭わないようになってきています。 一方ハッカーは、勢いづいて身代金を要求し続ける気になってしまいます。 ランサムウェアの新しいひずみのひとつとして、HardBit(ibm.com外部へのリンク)は、ハッカーが保険によって補償される身代金を計算できるように、被害者にサイバー保険の詳細を共有するよう求めることまでしています。
サイバー保険が他の保険商品に比べて比較的新しいという事実も、価格の乱れに拍車をかけています。 保険会社が持っているサイバー攻撃のコストに関する履歴データが限られているため、正確なリスク・モデルを作成して、安定した価格を設定することが困難になっています。
保険会社は損失が上昇するのを見て、保険料を引き上げ、補償範囲を制限することで対応しています。 保険会社AXAは、フランスで発行された保険において、ランサムウェア支払いの補償を停止しました(ibm.com外部へのリンク)。 Lloyd’s of London(ibm.com外部へのリンク)は、大きな損失のもう1つの原因である、国家支援のサイバー攻撃を補償しなくなりました。
保険会社も、より厳しいネットワーク・セキュリティー要件を被保険会社に設定しています。 一部の保険業者は、会社が多要素認証、データ暗号化、ゼロトラスト、または類似のポリシーを持っていない限り、保険の見積もりを提供さえしません。 一部の保険会社は、よりコンサルティング的な役割を担い、保険契約者とビジネス・オーナーにセキュリティー・ツールとサービス・プロバイダーへのアクセスを提供し、セキュリティー体制の向上を支援しています。 一部の専門家は、NISTサイバーセキュリティー・フレームワークのような基準を施行する上で、サイバー保険会社が重要な役割を果たす可能性があると予測しています。これらの基準に従う会社は、保険に加入する費用が安くなるためです。
複数の環境にわたって企業データを保護してプライバシー規制を満たし、複雑な運用を簡素化します。
IBM® Securityは、不確実性の中でも成功できるようにエンタープライズ向けサイバーセキュリティー・ソリューションを提供します。
IBM QRadarを使用して、高度な脅威やマルウェアからネットワーク・インフラストラクチャーを保護します。