マーケッツアンドマーケッツ社によると、サイバーセキュリティ保険市場は2020年の78億米ドル(1兆1,076億円、1ドル142円換算)から、2022年の119億2,400万米ドル(1兆6,932億800万円)、2027年には292億1,400万米ドル(4兆1,483億8,800万円)規模に達すると予想されています。予測期間中にCAGR19.6%で成長する予測です。
出典:MarketsandMarkets
サイバーリスク保険の現状
日本は、ICTの発展が最も進んでいる国の1つであり、高度にインターネットに接続され、デジタル環境に依存した国となっています。日本政府はICTを経済成長の潜在的な源泉と認識していますが、同時にICTに関連するリスクや不安要素も認識しています。
サイバーセキュリティ保険市場において、日本はアジア太平洋地域で2番目に大きなシェアを占めています。2027年には11億9,400万米ドル(約1695億4,800万円)規模に達し、23.7%のCAGRで成長すると予想されています。
日本は技術的に高度な産業基盤を有しており、サイバー攻撃に対する脆弱性が高まっています。このことは、サイバーセキュリティ保険市場に多くの成長機会をもたらしています。また、市場規模はテクノロジープロバイダーがCAGR16.8%、保険プロバイダーがCAGR24.1%と急成長しています。
インターネット利用者の増加やデジタル技術の導入により、日本では政府機関や民間企業のさまざまな個人情報、財務データ、機密情報などを保護するためのサイバーセキュリティ保険の需要が急増しています。
サイバー攻撃の増加により、企業は貴重なデータを保護するためにサイバーセキュリティ保険ソリューションの導入を余儀なくされています。
サイバーリスク保険の必要となる組織
サイバーリスク保険が必要かどうかをチェックする項目を以下に挙げます。ぜひ参考にしてください。
01
規模の大きい取引先がある
02
個人情報を取り扱っている
03
企業の機密情報を取り扱っている
04
市場での認知度がある
05
内部留保が潤沢ではない
大企業と中小企業
IT企業と開発企業の関係は、中小企業と大企業の関係にも、あてはまるといっても過言ではないでしょう。自社には失う資産や個人情報はないという理由から、セキュリティ対策を後回しにしている中小企業は非常に多いです。これらの企業を「踏み台」にして、その取引先である大企業が被害にあうケースが増えてきています。いわゆる「サプライチェーン攻撃」といわれる攻撃です。
大企業は、自社��の被害について、その原因となった中小企業に、責任を問う可能性が出てきます。中小企業は、自社が意図して引き起こした事象ではないことから、加害者という感覚はないかもしれませんが、知らないうちに加害者になってしまうリスクがあるわけです。中小企業にとって取引先を失うことは、死活問題となりますから、セキュリティで責任を問われないように最低限のセキュリティ対策を実施するなど、自社の企業規模、業種に相応のセキュリティ対策を励行する必要があるのです。
ソフトウェアサプライチェーン攻撃
不正なプログラムを含めた「正規のソフトウェア」をターゲット組織に配布(アップデートなど)する手法
サービスサプライチェーン攻撃
MSPサービス事業者等のサービス事業者を侵害し、サービスを通じて顧客に被害を及ぼす攻撃
ビジネスサプライチェーン攻撃
標的組織の関連組織や子会社、取引先などを侵害し、業務上の繋がりを利用して標的組織へ攻撃
サプライチェーンサイバー攻撃対策
各業界でサプライチェーンにおけるサイバーセキュリティガイドラインの策定
昨今のサイバー攻撃は、自社内環境だけでなくサプライチェーンを狙った攻撃が増加しており、自動車産業を取り巻くサイバーセキュリティリスクは深刻化しています。このような環境の中で安全・安心で豊かなモビリティ社会と自動車産業の持続可能な発展を実現するためには、業界を取り巻くサイバーセキュリティリスクを正確に理解しながら業界全体でサイバーセキュリティリスクに適切な対処を行うことが必要不可欠です。
大企業の場合
サイバーリスク保険への加入検討も一部の大企業を中心に始まりつつあるが、これまで大企業で検討が進まなかった要因の一つに、企業の保険を所管する総務部門と、サイバーセキュリティを所管する IT 部門の情報の分断がある。保険を付保する以前にセキュリティ対策に資金を投下すべきであり、保険付保の妥当性を正しく経営に付議できない実態がある。
完全にリスクをゼロにすることは不可能という事実を経営が正しく理解し、セキュリティ対策とリスク移転策である保険をセットで考えることが今後は必要になる。
日本企業は一般的に、自社のシステム運用に加えてセキュリティについてもシステムベンダーに一任しているケースが多い。自社がサイバー被害に遭った場合、セキュリティを一任しているシステムベンダーに対応を依頼することから、自社でサイバーリスク保険を手配することの優先順位が下がっている可能性がある。
客先企業の被害に対する責任まで問われる事象が発生しており、システムベンダーがこのリスクに対応するための保険加入を積極的に行っている傾向
中小企業の場合
中小企業のサイバーリスク保険の普及率は極めて低い。その背景には、
「自社には狙われるような情報資産はない」
「攻撃を受けても特段被害は発生しない」
という中小企業特有の先入観があるように思う。
セキュリティ対策の必要性が理解できない場合、保険加入の優先順位が上がるはずもない。
中小企業向けにサイバーセキュリティの取組みを積極推進する大阪商工会議所と神戸大学、東京海上日動の3者で「中小企業を狙ったサイバー攻撃の実態を調査・分析する実証事業」を実施した。本実証事業では、関西の中小企業 30 社にサイバー攻撃を検知する機器を実際に設置し、数か月間中小企業内の通信データを収集、分析した。結果、全ての参加企業において、何らかの不正な通信記録が検出されるなど、中小企業の実態が明らかになり、大きな反響があった。