サイバー保険：貴社に必要な補償額は？

マーシュ・マクレナングループの再保険仲介のガイ・カーペンターによると、2024年に発生したクラウドストライク社の大規模システム障害では、世界中で3億から10億米ドルに及ぶ保険損失が生じています。直後のパニック時に多くの企業が抱いたのは「このような事故で被る莫大な損失や和解金、損害賠償を、現在契約しているサイバー保険で十分に補填できるのだろうか？」という不安でした。

昨今、アジア地域ではデジタルトランスフォーメーション（DX）が急速に進んでおり、サイバーリスクの脅威が増大しています。2024年度第2四半期に発生したサイバー攻撃の件数も、組織ごとに週次で前年同期比23％増となりました。¹ 事業中断や情報漏洩、ランサムウェア攻撃などに伴う損失を軽減させるサイバー保険を見直して、貴社のニーズに合ったサイバーリスク対策を強化しませんか？

適切なサイバー保険の補償額を見極める

貴社に最適なサイバー保険の補償額を決定するには、以下2つのアプローチをご検討ください。

1. 貴社のリスクプロファイルを同業他社と比較する

サイバーリスクのプロファイルを同業他社と比較することで、どの程度サイバー保険を契約すべきかの目安を理解することができます。マーシュのBlue[i]サイバーリスク分析ツールは、各社の実情に沿ってサイバー脅威情報をカスタマイズし、下記の方法でサイバーセキュリティ投資に関する意思決定をサポートします。

800を超えるセキュリティコントロールと110件に及ぶ個別のサイバーイベントシナリオを駆使して、貴社固有のサイバー脅威、事業への影響、現行のサイバーセキュリティコントロールを評価
従業員数、収益、過去のインシデントといった標準的な指標に基づき、サイバーインシデントがもたらす潜在的な損失を算出

2．貴社のサイバーリスクを定量化する

サイバーリスクの定量評価が不十分であれば一部保険の状況に陥りかねず、サイバー保険の保険料や契約条件にも悪影響が及び、インシデント発生時に補償ギャップが生じる恐れがあります。サイバーリスクの定量化には、専門的なスキルが必要です。マーシュは以下のように貴社を支援いたします。

コンサルタントが主導する6段階の定性的・定量的アプローチ：既契約の保険条件との補償ギャップを総合的に分析します。また、貴社のサイバー保険に関してトータル・コスト・オブ・リスクを算定します。
貴社が直面する脅威を総合的に分析：貴社のデジタルフットプリントおよびサイバー攻撃シナリオに基づいて、貴社を取り巻く脆弱性を評価します。
専門家による助言：フォレンジック会計、保険金請求、保険数理分析などに精通した専門家が損失の算定と最適な保険ストラクチャーを見極めるサポートします。
貴社の予想損失額を算定：貴社の脆弱性に、サイバーインシデントによる潜在的な最大損失額を加味して、予想損失額を算定します。このとき、現行のサイバーセキュリティ対策によるリスクプロファイル分は減算します。

最適なサイバー保険を選ぶためのアプローチとは？

「サイバーベンチマーキング」と「サイバーリスク定量化」を活用することで、サイバー保険の補償額に関して、十分な情報に基づいて意思決定を進めやすくなります。

サイバーセキュリティ体制の整備に着手したばかりの企業には、サイバーリスク全般のエクスポージャー量を迅速かつ的確に定量化するサイバーベンチマーキングが有効です。

一方、既にサイバー保険に加入済みの大企業で補償の拡充と最適化を図りたい場合は、サイバーリスク定量化は適したアプローチです。また、自社のサイバーセキュリティコントロールとリスクの定量評価を徹底的に見直し、セキュリティ対策を改善したい企業にも最適です。

ケーススタディ（事例）：サイバー保険を初めて導入する大規模な多国籍企業のサイバーリスクを定量化

あるアジアの世界的な自動車メーカーは、多様な小売業者やサプライヤーと取引していました。同社からマーシュに、事業中断や機密情報の漏えいを引き起こす恐れのある大規模サイバー攻撃に遭うリスクを定量化すると共に、加入しているサイバー保険の補償条件が十分かを精査したい旨の要望が寄せられました。同社の複雑なエコシステムは、製造工場などの物理的な運用面とクラウド環境などのデジタルシステム面の両方を抱えており、そのリスク水準を定量化する取り組みが困難なことはわかっていました。

しかし、そのような状況でも、マーシュは以下のアプローチで顧客の要望に応えました。

同社の重要なオペレーショナルテクノロジー（OT）およびITアプリケーションを対象に、想定されるサイバーリスクイベントが発生した場合の影響を明確化
潜在的なリスクがもたらす補償ギャップやインシデントシナリオを経営陣に報告し、それらのリスクエクスポージャーを定量化
リスク軽減策の一貫として同社が選択し得る保険の補償内容を精査

マーシュは顧客との連携で得た実用的な情報を活かして、顧客を取り巻くリスク環境を戦略的に見極め、契約済み保険の有効性を精査することに成功しました。

貴社のするサイバー保険の補償対象は明確ですか？また、補償額は十分でしょうか？

マーシュのスペシャリストへご連絡ください。貴社を取り巻くサイバーリスクを定量化し、十分な情報に基づく意思決定とセイバーセキュリティ投資の最適化を支援します。

¹ Check Point (2024), Check Point Research Reports Highest Increase of Global Cyber Attacks seen in last two years – a 30% Increase in Q2 2024 Global Cyber Attacks. https://blog.checkpoint.com/research/check-point-research-reports-highest-increase-of-global-cyber-attacks-seen-in-last-two-years-a-30-increase-in-q2-2024-global-cyber-attacks