サイバー攻撃の増加にともなってサイバー保険の重要性が高まっている。ベンチャービート誌によると、サイバー犯罪者らは人工知能を悪用して、会社や団体、組織らが使っているソフトウェアや各種システムの脆弱性を特定し、攻撃の速度を速め、手口を巧妙化させている。本稿では、高度化する犯行手口とサイバー保険の最前線について前編と後編にわけて解説する。

▽サイバー保険の基本的補償内容

標準的な商業保険は通常、サイバー攻撃やIT関連のセキュリティー問題にかかわる被害や損害を補償しない。そのため、サイバーセキュリティーに特化した保険の必要性がこれからさらに高まることが確実視される。

サイバーセキュリティー保険は、損害の最小限化や短期での復旧、全体的なサイバーセキュリティー強化に役立つとみられる。代表的な補償内容としては下記５つが挙げられる。

１）事業中断：攻撃によってシステムが稼働しなくなったあいだの逸失売り上げ
２）修正行動：事態への対応、科学捜査、システムの修理および復旧の費用
３）顧客通知と評判管理：顧客の個人情報が漏えいした可能性がある場合の自動通知、信用情報の監視サービス、相談ホットライン、評判低下に対応する広報活動の費用
４）法務：顧客や取り引き先から訴訟を起こされた場合の弁護費用
５）規制措置：調査対応のための法務サービス、罰金の費用

▽ランサムウェア被害は保険対象外に

ランサムウェアの被害に関しては、以前は保険会社が身代金の支払いを補償対象に含めていたが、最近では対象外とする事例が増えている。犯罪集団が多額の身代金を要求するようになっていることや、身代金の支払いに対して規制当局が厳しい監視の目を向けるようになっていることが要因だ。

ただ、場合によっては、金額に上限を設けて身代金被害を補償する保険もある。「しかし、過去３年ほどのあいだにランサムウェア攻撃が急増したことを受けて、補償金額の上限は下がる一方だ」「そのため、補償対象を入念に確認することがいままで以上に重要になっている」と法律事務所GB&Aは助言している。

▽加入側に落ち度があれば保険適用から外される

どんな保険商品にも共通することは、除外項目がかならず存在する点だ。たとえば、フィッシングやスミッシングといった社会工学（ソーシャル・エンジニアリング）攻撃は付保対象とならないか、追加料金での別途加入となることが多い。その種の攻撃は、利用者がうかつにも信じ込む状況や人的エラーが絡むためだ。

また、社内的な脅威、すなわち従業員の悪質または怠慢な行動によって事業におよぶ損害も、通常は除外項目としてあつかわれる。

さらに、会社らが脆弱性を知っていながら対応しなかった場合、また、通信網の設定やそのほかのエラーによって通信網が不具合を起こした場合も、通常は対象外だ。

保険かけ金を下げる方法

サイバー保険会社のなかには、加入会社らが強力なセキュリティー対策を講じていないかぎり、見積もりすら提示しない会社もある。そういった保険会社は、ゼロ・トラスト環境や多要素認証、エンドポイント検出、緻密なリスク評価、インシデント対応計画、セキュリティー認識向上を目的とした研修の定期的な実施といった条件を加入希望会社に義務づけている。

サイバーセキュリティー保険料を低めに抑えるには、リスク低減のための対策をセキュリティー担当者が保険会社に詳細に説明しなければならない。また、NIST（National Institute of Standards and Technology）やISO 27001といった業界標準の枠組みに準拠する必要もある、と専門家らは助言している。

「それらの遵守を証明できる会社に対してだけ、保険かけ金の減額や割り引きを提供している保険会社もある」と、セキュリティー会社のポートノックス（Portnox）は指摘する。また、リスク評価に関しては、「特に第三者によってリスク評価が行われている場合に、保険かけ金引き下げの理由になることが多い」という。

▽サイバー保険用語の定義に留意

サイバーセキュリティー保険契約で使われる用語にも注意する必要がある。「攻撃」や「不正取得」といった言葉が、次のような攻撃を含むよう広義に定義されていることを確認しなければならない。

１）データ、ソフトウェア、ハードウェア、プログラムの改ざん、損傷、破壊
２）情報のアクセス、販売、開示
３）ディードス（DDoS＝distributed denial-of-service）攻撃
４）顧客や取り引き先へのフィッシングやそのほかのスパム
５）会社のネットワークやウェブサイトを介した悪質コードの第三者への送信

また、具体的にどのシステムが保険適用対象かをハードウェアやソフトウェア、ファームウェア、OS、仮想マシン、無線機器といった非常にこまかいレベルで理解しておく必要がある。さらに、対象となる損失と復旧経費も明確に定義されていなければならない。

▽2024年のサイバー保険請求３大原因

2024年のサイバー保険金請求では、ビジネス電子メール詐欺（business email compromise＝BEC）と送金詐欺（funds transfer fraud＝FTF）、ランサムウェアが３大原因だった。請求額は1000ドルから５億ドル以上までと非常に幅広く、また不正アクセスされた記録の件数は100万件から１億4000万件までだった。

保険コンサルティング会社のウッドラフ・ソイヤー（Woodruff Sawyer）では、その種のサイバー保険の保険料がこれから上がると予想する。また、2024年に多くの契約で交渉が必要になった項目は、本人の同意を得ない個人情報の収集だったが、それは2025年も契約交渉に際して協議される可能性が高いという。

▽セキュリティー責任者の個人責任に対する補償

さらに、最高情報セキュリティー責任者の個人責任に対する補償も継続または拡大するとみられる。

ソフトウェア会社ソーラーウィンズ（SolarWinds）が、約２年におよんだ攻撃についての情報を十分に開示しなかった件に関して、米証券取引委員会は2023年に、セキュリティー責任者の個人責任を認めた。その結果、セキュリティー責任者の個人責任に関するサイバー保険への関心が一気に高まった。

最高情報セキュリティー責任者の責任を補償する条項は、サイバーセキュリティー保険に組み込まれている場合とそうでない場合の両方がある。含まれていない場合には追加料金での別途加入の必要がある。

▽第三者リスク評価の強化を求める動き

第三者リスク評価の強化を保険会社が求めることも増えている。サイバーセキュリティー保険や技術的なエラーズ・アンド・オミッション（E&O）保険の購入を取り引き先に義務づけることを付保に際しての条件とすることがそのなかに含まれる。

クラウドストライク（CrowdStrike）のセキュリティー技術の脆弱性を悪用した2024年７月の攻撃は広範の業界を揺るがした。保険会社らはそれを受けて、第三者リスク評価の取り組みをますます真剣にとらえるようになっている、とウッドラフ・ソイヤーは指摘した。

（Gaean International Strategies, llc社提供）