サイバー保険とは？

サイバー保険は、サイバー攻撃によって生じる様々な損失からビジネスを保護するために開発された特別なタイプの保険です。この保険の重要性は、ビジネスの大きさに依存しません。また、サイバーセキュリティ対策を完璧に行っていても、保険は実際に必要なのか？気になるところですよね。

ここでは実際に、どのような事例がサイバー保険の適用範囲内なのか、サイバー保険を選ぶ上でのポイントやどの会社がサイバー保険を出しているのかなど紹介します。 

主要なサイバー保険の適用範囲

ここでは実際にサイバー保険が補償してくれる範囲内の事例を紹介します。しかし、実際に全ての保険屋さんが同じカバー範囲内ではないので必ず、保険屋さんに問い合わせしましょう。

顧客への通知

機密性の高い顧客の個人を特定できる情報が影響を受けるような侵害が発生した後、ビジネスや企業はデータ侵害について顧客に通知することが義務付けられています。このプロセスは、通知と報告と呼ばれ、サイバー保険に含まれることがあります。

顧客の個人情報の回復

サイバー保険が補償するもう一つのプロセスは、データ侵害の結果、個人情報が漏洩した顧客の身元を回復することです。これには、運転免許証やパスポートなど、顧客の身分証明書を変更または更新することが含まれます。

コンピューターシステムの修復

サイバー攻撃によってコンピューターシステムやITインフラが損害を受けた場合、サイバー保険は、損害を受けた機器の修理や交換にかかる費用をカバーすることができます。また、コンピュータシステムの喪失により重要なデータへのアクセスができなくなった場合の費用や、喪失・破損したデータの復旧にかかる関連費用もカバーすることができます。

攻撃からの回復

攻撃からの回復は、データ侵害の後始末をするために第三者の専門家を雇う費用を相殺し、企業の評判を回復するのに役立ちます。サイバー保険は、侵害されたシステムを修復し、失われたデータや盗まれたデータへのアクセスを回復するための専門家とあなたの会社をつなぐのに役立ちます。

これらは、サイバー保険があなたのビジネスに提供できる補償のほんの一部です。しかし、すべての保険が同じように作られているわけではないので、異なる提供者のさまざまな保険を比較し、ニーズと予算に合ったものを選ぶことが重要です。 

よくあるサイバー保険の適用範囲外

サイバー保険対象は数多くある一方で、その保険が適応されないものもいくつか存在します。ここでは、ビジネスの補償プランにおいて、サイバー保険がカバーしない範囲をいくつか紹介します。会社によっては補償してくれる範囲内もありますが、一般的には下記のような部分は範囲外であることが多いです。

過去の漏洩

漏洩やサイバー攻撃が会社がサイバー保険証券に加入する以前のものであれば、それらは補償されません。サイバー保険は保険加入中に発生した損害しか補償しません。サイバー攻撃を受けている只中で保険証券が期限切れになった場合、保険会社はその攻撃に関連する損失を保証することができないかもしれないことを覚えておきましょう。

人為的なミスが原因の攻撃

人間である以上、企業システムのセキュリティ侵害を引き起こしてしまうようなミスをする可能性は誰にでもあります。人為的なミスの代表例は、テキストメッセージによる同僚への重要な情報のパスワードの共有や、フィッシングメールによる悪質なソフトの誤ダウンロードなどがあります。 

不十分なセキュリティ対策

サイバー保険は、あなたの会社がデータとシステムを保護するために適切な措置を講じている場合にのみ、サイバー攻撃による被害を補償します。つまり、ソフトウェアの定期的な更新、サイバー犯罪者からデータを保護するための暗号化やその他のセキュリティプロトコルの使用、さらにサイバーセキュリティのベストプラクティスに関する従業員のトレーニングなどを指します。

既存の脆弱性

保険契約開始前に存在した脆弱性は補償されません。つまり、あなたのビジネスが侵害に遭い、再発防止のための予防措置を講じていなかった場合、その結果被った損害は保険で補償されないのです。

これらは、サイバー保険が補償しないいくつかの分野です。ビジネスに適した保険を選ぶ際には、何が保険範囲内外かを調べておくことが重要で、将来的に予期せぬ出費を避けることができます。

サイバー保険の必要性は？

サイバー保険は、個人情報を扱う全ての企業にとって、検討すべき重要な保険オプションです。従業員への教育、アクセス管理、セキュリティソフトウェアの導入といった対策は、サイバー攻撃のリスクを低減させるのに役立ちますが、これらの対策だけでは被害を受けるリスクを完全に排除することは不可能です。そこで、万が一のサイバー攻撃やデータ漏洩が発生した場合の影響を軽減するためには、サイバー保険の加入が極めて重要になります。

またパンデミック以降のリモート勤務も増えたことによって、その脆弱性を狙ったサイバー攻撃の被害件数は年々増えています。

サイバー攻撃は、公的機関や大手企業だけでなく、中小企業もターゲットにされています。実際、特定の大企業や組織を攻撃するための踏み台として、中小企業が利用されるケースがしばしば見られます。中小企業のシステムには脆弱性が存在しやすく、攻撃者はこれらの弱点を突いて、サイバー攻撃の対象とすることがあります。

このため、規模に関わらずすべての企業がサイバーセキュリティを重視し、万が一に備えて保険に加入する重要性は高まっていると言えるでしょう。

サイバー保険の費用はいくらかかるのか

ビジネスのサイバー保険をどこから選ぶかによって、サイバー保険の費用は異なることがあります。AdvisorSmithが行った調査によると、リスクが中程度の企業のサイバー保険の保険料は、年間650ドルから2,357ドルに上ったと報告されています。サイバー保険の保険料には、所在地、会社が導入しているセキュリティ防御の種類、クレジットカード番号などの機密性の高い顧客データの量など、さまざまな要因が絡んできます。

あなたのビジネスのための保険を選ぶとなると、どのようなタイプの補償が必要で、それぞれのタイプの請求に対してどれだけの補償を支払うことができるかも決めなければなりません。最終的に、サイバー保険の費用は企業によって異なります。

サイバー保険を取り扱う会社は？

サイバー保険を取り扱う会社は近年のサイバー攻撃の被害の増加に合わせて増えています。

例えば以下のような会社では、サイバー保険を取り扱っています。

1. 三井住友海上「サイバー保険」
2. 東京海上日動火災「サイバーリスク保険」
3. 大同火災「情報漏えい賠償責任保険～サイバーリスク補償型」
4. 損保ジャパン「サイバー保険」
5. あいおいニッセイ同和損保「サイバーセキュリティ保険」
6. 共栄火災「サイバーリスク保険（K-Biz）」
7. AIG損保「CyberEdge2.0」
8. 大同火災「情報漏えい賠償責任保険～サイバーリスク補償型」

主に上記で挙げたような会社がサイバー保険を日本では販売されています。

サイバー保険の最大の注意点：日本ではランサムウェアの身代金は補償してくれない

近年、猛威を振るっているランサムウェアの被害報告ですが、日本ではランサムウェアの身代金は補償してくれないことを頭に入れておきましょう。

海外の機関が作成したランサムウェアの被害に関する報告書を閲覧したことのある人々は、サイバー保険を利用して身代金を支払ったケースについて目にしたこともある人は多いのではないでしょうか。これらの報告書では、サイバー攻撃に対して保険を通じて身代金を支払う事例が記載されていることがあります。しかし、日本のサイバー保険の利用に際して重要な注意点の一つは、「ランサムウェアによる被害で支払われた身代金は補償の対象外である」という事実です。経済産業省の「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」では、サイバー攻撃者に金銭を支払うことは避けるべきだと強く勧めています。これは、サイバー犯罪の助長を防ぐための方針であり、保険の利用者はこの点を十分に理解し、注意する必要があります。

まとめ：サイバー保険はサイバーセキュリティの解決策にはならない

サイバー保険に関して理解すべき重要な点は、サイバー保険が主にサイバー攻撃の被害を軽減するために設計されており、攻撃を予防するための手段ではないということです。実際には、多くの保険会社は予防策やセキュリティポリシーを適切に実施していない組織に対しては保険を提供しない傾向にあります。そのため、保険に加入する前には、自社のデータセキュリティを強化し、不正アクセスや悪用から守るために必要な措置を講じていることを確認する責任が組織にあります。これは、サイバー保険が万能の解決策ではなく、リスク管理の一環として機能することを意味します。

組織のセキュリティ態勢を強化するためにビジネスが導入すべき数多くのサイバーセキュリティの解決策の1つが、ビジネスパスワード管理ソリューションです。ビジネス用パスワードマネージャーは、従業員がパスワードを効率的に追跡、保存、共有、保護し、管理するのを支援します。このツールは、アクセスを適切に制御することで、サイバー犯罪者が機密情報にアクセスするのを防止する役割を果たします。また、従業員がパスワードを忘れたり、デバイスを失くしたりした際には、企業のデータを保護するための信頼できるバックアップソリューションとしても機能します。

Keeperの企業向けパスワードマネージャーは、ゼロトラスト、ゼロ知識で、当使用者以外の誰もKeeper ボルト（安全な保管庫）内の平文データを見ることができません。ビジネス用のパスワードマネージャーを持つことの利点は、従業員のパスワードの実践を完全に可視化すること、安全なパスワードの共有など、いくつかありますが、その他にも多様な機能があります。

この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。