サイバー保険の引受厳格化が進行、「加入すれば安心」の時代は終焉

背景

ランサムウェア攻撃の激増により、サイバー保険の保険金支払額が急増した結果、保険会社は保険料の大幅値上げと引受条件の厳格化に踏み切っています。従来は「サイバー保険に入っていれば万が一の際も安心」という認識がありましたが、現在では多要素認証の導入、定期的なバックアップの実施、EDRの導入、脆弱性管理体制の整備など、具体的なセキュリティ対策の実施を証明できなければ、保険の新規加入や更新が拒否されるケースが増加しています。また、保険料は業種や企業規模によっては年間数百万円から数千万円に達し、中小企業にとっては大きな負担となっています。さらに、身代金支払い費用を補償対象から除外する保険商品も登場しており、「保険に入っているから攻撃されても大丈夫」という考え方は完全に時代遅れとなりました。

実態

サイバー保険市場の変化は劇的です。2020年頃までは比較的緩やかな引受条件で加入できましたが、2021年以降のランサムウェア被害急増を受け、保険会社の収支が悪化しました。その結果、2022年から2024年にかけて、保険料は平均で大幅に上昇し、一部の高リスク業種（医療、製造、金融）では従来の数倍の保険料を提示されるケースも報告されています。引受審査では、セキュリティ質問票（100項目以上に及ぶこともある）への詳細回答が求められ、多要素認証（MFA）の導入率、バックアップの頻度と保管方法、EDRの導入状況、パッチ適用のプロセス、セキュリティ教育の実施記録などが厳格にチェックされます。これらの要件を満たせない企業は、保険加入自体を拒否されるか、極めて高額な保険料を提示されます。また、既存契約の更新時にも再審査が行われ、前年は加入できていた企業が更新を拒否される事例も発生しています。さらに、保険金の支払い条件も厳格化されており、「基本的なセキュリティ対策を怠っていた」と判断されれば、免責条項により保険金が支払われないケースも増えています。

影響と対策

サイバー保険の引受厳格化により、保険に頼れない企業が増加し、自力での対策強化が必須となっています。対策としては、まず保険加入の有無にかかわらず、「保険会社が求めるレベルのセキュリティ対策」を実装することが重要です。具体的には、FortiGateやCheck Pointによるネットワーク防御、EDRによるエンドポイント保護、多要素認証の全社展開、3-2-1ルールに基づくバックアップ体制、定期的な脆弱性診断とパッチ適用プロセスの確立です。これらの対策は保険加入要件であると同時に、実際の攻撃を防ぐための必須対策でもあります。保険申請時には、これらの対策実施を証明できる文書（設定画面のスクリーンショット、ログ記録、教育実施記録など）を準備します。また、保険ブローカーやセキュリティコンサルタントと連携し、保険会社が重視するポイントを事前に把握し、対策の優先順位を決定することも有効です。さらに、保険だけに依存せず、インシデント対応計画の整備、復旧手順の文書化と訓練、法務・広報との連携体制など、保険でカバーできない部分の自衛策も強化する必要があります。

まとめ

サイバー保険は「最後の砦」であって「第一の防御」ではありません。保険会社が求める対策レベルは、実際の攻撃を防ぐために必要な対策と一致しています。保険加入のためではなく、事業を守るために、本質的なセキュリティ対策を実施することが重要です。保険市場の変化は、企業に「より高いセキュリティ基準」を求めるメッセージでもあります。PSIでは、サイバー保険の引受要件を満たすセキュリティ対策の設計・実装支援と、保険申請に必要な証跡整備のサポートを通じて、お客様のリスクマネジメント体制強化をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp