サイバー保険の「免責事項」に注意、十分な対策なしでは補償されないリスク

背景

ランサムウェア攻撃や情報漏えい事故の増加を受けて、サイバー保険に加入する企業が増えています。しかし、実際に被害が発生した際、「基本的なセキュリティ対策を怠っていた」として保険金の支払いが拒否されるケースが海外を中心に増加しており、日本国内でも同様のリスクが顕在化しつつあります。サイバー保険の多くは、多要素認証の未導入、パッチ未適用、バックアップ不備、セキュリティポリシーの未整備などを「免責事項」として明記しており、これらの基本対策を実施していない状態で被害を受けても、補償の対象外となる可能性があります。「保険に入っているから安心」という認識は危険であり、保険はあくまで「十分な対策を講じた上での最後の砦」として位置づける必要があります。

実態

サイバー保険の免責条項は、保険会社や契約内容によって異なりますが、一般的に以下のような項目が含まれています。第一に、「多要素認証（MFA）の未導入」です。特にVPNやリモートデスクトップ、クラウド管理コンソールなど、外部からアクセス可能なシステムにMFAが設定されていない場合、保険金支払いの対象外となるケースがあります。第二に、「既知の脆弱性へのパッチ未適用」です。ベンダーからセキュリティパッチが公開されているにもかかわらず、合理的な期間内に適用していなかった場合、「重大な過失」と見なされます。第三に、「バックアップの不備」です。定期的なバックアップを取得していない、またはバックアップが攻撃者によって削除可能な状態（オンラインバックアップのみ）だった場合、ランサムウェア被害時の身代金支払い費用が補償されないことがあります。第四に、「セキュリティポリシーや教育の欠如」です。従業員へのセキュリティ教育を実施していない、インシデント対応計画が未策定といった場合も、免責の理由となり得ます。実際の事例として、米国では「MFAを導入していなかった」ことを理由に数億円規模の保険金請求が拒否されたケースが報告されています。

影響と対策

サイバー保険の支払い拒否は、被害からの復旧費用を全額自己負担しなければならないことを意味し、企業の財務に深刻な打撃を与えます。また、保険会社との法的紛争に発展する可能性もあります。対策としては、まず保険契約時に免責条項を詳細に確認し、保険会社が求める「最低限のセキュリティ要件」を正確に把握することが重要です。その上で、要求される対策を確実に実施し、実施状況を文書化・証跡化します。具体的には、FortiGateやCheck Point製品によるファイアウォール・IPS・アンチマルウェアの導入記録、多要素認証の設定証明、パッチ管理台帳、バックアップログ、セキュリティ教育の実施記録などを整備します。また、定期的な脆弱性診断やペネトレーションテストを実施し、第三者による客観的な評価を受けることで、「合理的なセキュリティ対策を講じていた」ことを証明できます。保険更新時には、セキュリティ対策の実施状況を保険会社に報告し、必要に応じて契約内容を見直します。さらに、インシデント発生時には、保険会社への速やかな報告と、求められる証拠保全・調査協力を適切に行うことが、円滑な保険金支払いにつながります。

まとめ

サイバー保険は「魔法の盾」ではなく、基本的なセキュリティ対策を実施している企業に対する「追加の安全網」です。対策を怠ったまま保険だけに頼る姿勢は、いざという時に何の保護も得られないリスクを抱えています。保険契約と実際のセキュリティ対策を両輪として回すことが、真のリスクマネジメントです。PSIでは、サイバー保険の要件を満たすセキュリティ対策の設計・実装、証跡管理体制の構築、そして保険会社との円滑なコミュニケーションを支援する包括的なサービスをご提供いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp