** 本記事は、Cyber Insurance and Cyber Defenses 2024: Lessons from IT and Cybersecurity Leaders の翻訳です。最新の情報は英語記事をご覧ください。**
サイバーリスクは避けられません。今日のビジネス環境では、リスクを根絶することではなく、リスクを可能な限り効率的に管理することが目標です。主なアプローチは、サイバー管理の導入およびユーザー行動の変更によるリスクへの対処と、サイバー保険によるリスク移転の 2 つです。この 2 つのアプローチは相互に関連しています。強力な管理策はリスクを低減し、保険へのアクセスを容易にする一方、脆弱な管理策はリスクを増加させ、適切な保険を入手することを困難にします。
本日、ソフォスはこの関係を詳細に調査した新たなレポートを発表しました。5,000 人の IT リーダーを対象とした独自の調査に基づき、中堅企業におけるサイバー保険の導入状況、加入促進要因、防衛投資が保険への加入に与える影響、サイバーインシデントのコストが必ずしも全額カバーされない理由などを明らかにしています。
エグゼクティブサマリー
避けられないサイバー攻撃に直面した場合、サイバー攻撃対策とサイバー保険の相互作用を活用し、サイバーリスク管理の全体的なアプローチを採用することで、組織は重大なインシデントに見舞われる可能性を低減すると同時に、サイバーリスク管理の総所有コスト (TCO) を削減できます。
また、サイバー攻撃対策への投資は、保険加入をより簡単かつ安価にするだけでなく、防御力を向上させ、IT 作業の負荷を軽減することも明らかになりました。この調査結果は、サイバーリスクへの投資を単一のコンポーネントとしてではなく、総合的に検討することの重要性を明らかにしています。
今回の調査で浮き彫りになった懸念事項の 1 つは、加入している保険がビジネスのニーズとずれている可能性です。サイバー保険は投資であるため、適切なリスクをカバーしている必要があります。すべてのステークホルダー、特に IT とサイバーセキュリティチームは、保険が組織のニーズに合っていることを確認するために、加入する保険の選択に関与する必要があります。
サイバー保険の普及
今回の調査では、サイバー保険の導入が従業員数 100 ~ 5,000 人の組織で広がっており、90% の組織が何らかの形でサイバー保険に加入していることが確認されました。50% はスタンドアロン型のサイバー保険に加入しており、40% は一般賠償責任保険など、より広範なビジネス保険契約の一部としてサイバー保険に加入しています。調査対象となった 14 か国すべてで加入率は高く、中でもシンガポールが最も高い加入率を示しています。
サイバー攻撃のビジネスへの影響に対する一般的な懸念が保険導入の主な理由
組織がサイバー保険を導入する理由は複数かつさまざまで、半数近く (48%) がサイバー攻撃のビジネスへの影響に対する懸念を主な動機に挙げています。45% はサイバーリスク軽減戦略の一環であると回答し、42% はサイバー保険を必要とする顧客やパートナーと仕事をするためにサイバー保険が必要だと回答しました。
保険の等級を最適化するためのサイバー攻撃対策への投資は一般的な慣行
昨年サイバー保険に加入した組織の 97% が、保険の等級を最適化するために防御策を改善しました。そのうちほぼ 3 分の 2 (63%) が大規模な投資を、34% が小規模な投資を行いました。
こうしたセキュリティへの投資は実を結んでいます。調査によると、サイバー攻撃対策の改善に投資したほぼすべての企業が、サイバー保険の等級に良い影響を与えたと回答しています (回答者 4,370 人中 4,351 人、99.6%) 。
サイバー保険の要件は、組織を攻撃対策の強化に駆り立てており (アメとムチの「ムチ」)、回答者の 76% は、投資によって他の方法では得られなかった補償を獲得できたと述べています。「アメ」は、3 分の 2 (67%) がより低価格の補償を得ることができ、30% が防御の改善により条件が改善 (補償限度額の引き上げなど) されたことです。
さらに、セキュリティに投資する企業には、保険以上のメリットがもたらされます。回答者の 99% が、保護機能の向上、アラートの減少、IT 作業負荷の軽減など、より広範なメリットを報告しています。
保険会社はほとんどの場合、請求に対してなんらかの補償をする
サイバー保険に投資する組織は、保険会社がほぼ常に何らかの形で保険金を支払っていることに勇気づけられるでしょう。保険金の支払いが完全に拒否されたと回答した組織は 1 組だけでした。
一方、99% の保険金請求において、保険会社はインシデント対応費用の全額をカバーしませんでした。全体として、保険会社は通常、インシデント対応費用の 63% を支払っており、その支払い率は 71~80% でした。
費用が全額カバーされない理由
今回の調査では、サイバー攻撃による復旧費用が保険の補償額を上回っていることも明らかになりました。復旧費用が全額支払われなかった最も一般的な理由 (63%) は、総費用が保険の限度額を超えたことでした。ソフォスの調査である「ランサムウェアの現状 2024 年版」によると、ランサムウェアインシデント後の復旧費用は昨年 1 年間で 50% 増加しており、保険の適用範囲と実際の費用の間にずれが生じている可能性が高いと考えられます。
サイバーインシデントが発生した場合、どの範囲で保険が適用されるのかについては不明瞭な点も少なくありません。
サイバーセキュリティ/IT リーダーの多くは、インシデント発生時に保険がカバーする範囲について確信が持てないでいます。保険に加入している組織のうち、40% は身代金の支払いをカバーしていると考えており、41% は所得損失をカバーしていると考えていますが、確証は持っていません。これらの調査結果は、以下の 2 つの点で懸念材料となります。
- 組織が必要な補償を受けられないリスクがあります。インシデント対応費用が全額補償されなかった組織の 45% が、一部の費用や損失が保険契約でカバーされなかったと回答しています。
- 組織は、保険金を請求した時点で想定していたサポートを受けられないリスクがあります。
保険の適用範囲が不明瞭なのは、少なくとも部分的には、保険に加入する側と、重大インシデントが発生した場合に最前線で対応を行う側との間に断絶があるためでしょう。
レポート全文の確認
サイバー保険の適用がランサムウェア攻撃の結果に与える影響など、より詳細な洞察については、レポート全文をダウンロードしてご確認ください。
調査方法について
本レポートは、ソフォスが米州、EMEA (欧州、中東、アフリカ)、アジア太平洋地域 14 か国のIT/サイバーセキュリティリーダー 5,000 人を対象に実施したベンダー横断型の独自の調査結果に基づいています。回答者は全員が従業員数 100~5,000 人の組織に属しています。この調査は、独立系調査機関である Vanson Bourne が 2024 年 1 月から 2 月にかけて実施したもので、回答者の過去 12 か月間の体験を反映しています。