マーケッツアンドマーケッツ社によると、サイバーセキュリティ保険市場は2020年の78億米ドル(1兆1,076億円、1ドル142円換算)から、2022年の119億2,400万米ドル(1兆6,932億800万円)、2027年には292億1,400万米ドル(4兆1,483億8,800万円)規模に達すると予想されています。予測期間中にCAGR19.6%で成長する予測です。
サイバーリスク保険の現状
日本は、ICTの発展が最も進んでいる国の1つであり、高度にインターネットに接続され、デジタル環境に依存した国となっています。日本政府はICTを経済成長の潜在的な源泉と認識していますが、同時にICTに関連するリスクや不安要素も認識しています。
サイバーセキュリティ保険市場において、日本はアジア太平洋地域で2番目に大きなシェアを占めています。2027年には11億9,400万米ドル(約1695億4,800万円)規模に達し、23.7%のCAGRで成長すると予想されています。
日本は技術的に高度な産業基盤を有しており、サイバー攻撃に対する脆弱性が高まっています。このことは、サイバーセキュリティ保険市場に多くの成長機会をもたらしています。また、市場規模はテクノロジープロバイダーがCAGR16.8%、保険プロバイダーがCAGR24.1%と急成長しています。
インターネット利用者の増加やデジタル技術の導入により、日本では政府機関や民間企業のさまざまな個人情報、財務データ、機密情報などを保護するためのサイバーセキュリティ保険の需要が急増しています。
サイバー攻撃の増加により、企業は貴重なデータを保護するためにサイバーセキュリティ保険ソリューションの導入を余儀なくされています。
サイバーリスク保険のターゲット業界
ーUSの場合ー
ヘルスケアおよびライフサイエンス
ヘルスケア業界は、規制政策の変動やサイバー攻撃の脅威拡大など、いくつかの課題に直面しています。米国では、法律であるHIPAA(Health Insurance Portability and Accountability Act)法やHITECH(Health Information Technology for Economic and Clinical Health Act)法といったプライバシーおよびデータセキュリティの要件に準拠する必要があるため、医療機関は違約金をカバーするためにサイバーセキュリティ保険を導入する必要があります。サイバーセキュリティ保険は、サイバー犯罪、ランサムウェアの脅威、データ侵害から生じる金銭的損失から医療機関を保護するのに役立ちます。
ITおよびITeS
BYOD(私的デバイスの業務活用)および在宅勤務のトレンドが高まっているため、ITおよびITeS(IT活用サービス)業界ではサイバーセキュリティ保険を導入する企業が増加しています。企業ではCOVID-19の感染拡大を抑制するため、在宅勤務制度を導入する傾向が強まっています。
この業界の企業は、技術面で常に進化を続けています。革新的な技術だけでなく、ソリューションやサービスにも絶えず注目しているため、ITおよびITeS業界は革新的な技術ソリューションをいち早く導入しています。
小売業とEC
サイバー攻撃は、この業界を最大の標的としています。なぜなら、この業界においては、VISA、MasterCard、その他のクレジットカードによる膨大な金銭取引の決済処理が行われるため、サイバー攻撃者にとって、攻撃対象とするに値する大きな経済的メリットがあるからです。
日本企業は、AI、IoTなどテクノロジーやデジタル技術の導入によるビジネスモデルの変革を推進しており、IT利活用はもはや必須条件となっています。IT運用規模が拡大している中、ITの専門人材を増やすことが難しいのが現状であり、その運用をアウトソースする割合が増えているのです。言葉を選ばずに言うならば、日本企業はIT事業者に自社システム運営を「丸投げ」しているのが実態です。セキュリティについてもその傾向は同様であります。
このような状況下において、日本企業がまさにサイバー攻撃のターゲットになり始めています。攻撃者にとって従来存在していた「日本語の壁」が取り払われ、日本企業をターゲットにする優先順位が高まっていると同時に、サイバー攻撃の被害を認識する日本企業が増えてきています。
サイバー攻撃の被害を認識した日本企業は、実際にどのような行動をとるでしょうか。もちろん、自社で能動的にインシデント対応を行うことができる企業も多いですが、まずはシステム運用を任せているIT事業者に問い合わせをするのが、一般的ではないでしょうか。IT事業者にとっては、被害の原因特定を行うことは言うまでもなく、場合によっては客先が被害に遭ったことに対する責任まで問われることもあるかもしれません。実際に、このような事象が、日本のあらゆる企業間で発生していてもおかしくはないのです。
先進的なテクノロジーやITの導入がアメリカよりも3年~5年遅れていると言われている中で、サイバーリスク保険の世界でも、日本は徐々にその認知度も高まりつつあり、2020年で既に50%近くがサイバーリスク保険を導入していたアメリカにいずれは、数年遅れとはなるもののその数字に匹敵することになると考えられいずれは追いつくことでしょう。
サイバーリスク保険の加入時期について、3割(29.4%)が直近1年以内に加入している。
2020 日本損害保険協会より
サイバーリスク保険の必要となる組織
サイバー保険が必要かどうかをチェックする項目を以下に挙げます。ぜひ参考にしてください。
01
規模の大きい取引先がある
02
個人情報を取り扱っている
03
企業の機密情報を取り扱っている
04
市場での認知度がある
05
内部留保が潤沢ではない
訴訟事案(*2)(東京地方裁判所判決/平成23年(ワ)第32060号)があります。この事案は、通信販売事業を営むA社と、A社からウェブサイトの設計、開発、保守等を受託したIT事業者X社との間で発生した損害賠償請求訴訟です。原告であるA社は、X社の開発したアプリケーションが脆弱であったことが原因で、自社の顧客情報が流出しています。A社には顧客への謝罪費用等、約数千万円の損害が発生し、これらの損害についてX社に賠償請求を行い、結果A社が勝訴しています。この事案では、A社ウェブサイトに行われたSQLインジェクションというサイバー攻撃が、当時既知の攻撃として経済産業省や独立行政法人情報処理推進機構(以下「IPA」)が注意喚起を行っていた事実があり、X社は当該対策を行わなかった場合、情報漏えい等が発生することを予見することができたにもかかわらず、開発段階でその対策等を講じなかったという重過失を問われたものであります。
現在のIT業務委託契約において、約8割の企業がセキュリティに係る責任範囲を明確に記載していないというデータが判明しています。サイバー攻撃に関する責任関係を契約書上で明確にすれば良いことかもしれませんが、これは想像以上に難しい問題を含んでいるように思われます。おそらく、こととなり、開発側は契約を受注できなくなるかもしれません。また、どこまで対セキュリティに関する責任を契約書上で明確にすれば、開発側のセキュリティに対する対策コストが確実に増える策を講じたとしてもサイバー攻撃は100%防げるという確証がない中で、すべての責任を契約書上で明確化することは開発側にとってリスクであります。現時点では、何かが発生した段階でその都度責任関係を協議していくというのが実態なのです。
では、この事案のように、自社のシステム運用を全面的にIT事業者に依存している日本企業は、一切自社に非はないのでしょうか。今回の事案では、たまたまSQLインジェクションという攻撃が既知の攻撃であり、開発側がその対策を行わなかったという過失を問われています。では仮に予見不可能な未知の攻撃であった場合は、どうなるのでしょうか。さすがに、このような場合にはIT事業者側が全面的に責任を問われることは少ないと思われます。
ではどのような場合に過失を問われるのかを判断できる明確な基準は存在するのでしょうか。サイバー攻撃は時代とともに日々変化するものです。現時点で未知の攻撃であったとしても、時間の経過とともにその対策が普及し、その攻撃は既知情報として認知されることになります。その時点では、その攻撃については一定の対策を取っておかなければ過失を問われることになるのです。
つまり、時間の経過とともに、責任を問われる基準は変化することになるのです。
ITユーザー側の企業も、IT開発側の企業も、常に最新の攻撃情報や対策情報を入手し、手を打ち続けなければ、いつ何時、他人から対策の不備を原因に責任を問われるかわからない時代になっているのです。
大企業と中小企業
IT企業と開発企業の関係は、中小企業と大企業の関係にも、あてはまるといっても過言ではないでしょう。自社には失う資産や個人情報はないという理由から、セキュリティ対策を後回しにしている中小企業は非常に多いです。これらの企業を「踏み台」にして、その取引先である大企業が被害にあうケースが増えてきています。いわゆる「サプライチェーン攻撃」といわれる攻撃です。
大企業は、自社の被害について、その原因となった中小企業に、責任を問う可能性が出てきます。中小企業は、自社が意図して引き起こした事象ではないことから、加害者という感覚はないかもしれませんが、知らないうちに加害者になってしまうリスクがあるわけです。中小企業にとって取引先を失うことは、死活問題となりますから、セキュリティで責任を問われないように最低限のセキュリティ対策を実施するなど、自社の企業規模、業種に相応のセキュリティ対策を励行する必要があるのです。
ソフトウェアサプライチェーン攻撃
不正なプログラムを含めた「正規のソフトウェア」をターゲット組織に配布(アップデートなど)する手法
サービスサプライチェーン攻撃
MSPサービス事業者等のサービス事業者を侵害し、サービスを通じて顧客に被害を及ぼす攻撃
ビジネスサプライチェーン攻撃
標的組織の関連組織や子会社、取引先などを侵害し、業務上の繋がりを利用して標的組織へ攻撃
サプライチェーンサイバー攻撃対策
各業界でサプライチェーンにおけるサイバーセキュリティガイドラインの策定
昨今のサイバー攻撃は、自社内環境だけでなくサプライチェーンを狙った攻撃が増加しており、自動車産業を取り巻くサイバーセキュリティリスクは深刻化しています。このような環境の中で安全・安心で豊かなモビリティ社会と自動車産業の持続可能な発展を実現するためには、業界を取り巻くサイバーセキュリティリスクを正確に理解しながら業界全体でサイバーセキュリティリスクに適切な対処を行うことが必要不可欠です。
大企業の場合
サイバー保険への加入検討も一部の大企業を中心に始まりつつあるが、これまで大企業で検討が進まなかった要因の一つに、企業の保険を所管する総務部門と、サイバーセキュリティを所管する IT 部門の情報の分断がある。保険を付保する以前にセキュリティ対策に資金を投下すべきであり、保険付保の妥当性を正しく経営に付議できない実態がある。
完全にリスクをゼロにすることは不可能という事実を経営が正しく理解し、セキュリティ対策とリスク移転策である保険をセットで考えることが今後は必要になる。
日本企業は一般的に、自社のシステム運用に加えてセキュリティについてもシステムベンダーに一任しているケースが多い。自社がサイバー被害に遭った場合、セキュリティを一任しているシステムベンダーに対応を依頼することから、自社でサイバー保険を手配することの優先順位が下がっている可能性がある。
客先企業の被害に対する責任まで問われる事象が発生しており、システムベンダーがこのリスクに対応するための保険加入を積極的に行っている傾向
中小企業の場合
中小企業のサイバー保険の普及率は極めて低い。その背景には、
「自社には狙われるような情報資産はない」
「攻撃を受けても特段被害は発生しない」
という中小企業特有の先入観があるように思う。
セキュリティ対策の必要性が理解できない場合、保険加入の優先順位が上がるはずもない。
中小企業向けにサイバーセキュリティの取組みを積極推進する大阪商工会議所と神戸大学、東京海上日動の3者で「中小企業を狙ったサイバー攻撃の実態を調査・分析する実証事業」を実施した。本実証事業では、関西の中小企業 30 社にサイバー攻撃を検知する機器を実際に設置し、数か月間中小企業内の通信データを収集、分析した。結果、全ての参加企業において、何らかの不正な通信記録が検出されるなど、中小企業の実態が明らかになり、大きな反響。
大阪商工会議所による中小企業に対するサイバー攻撃実情調査
調査報告書(令和元年) 大阪商工会議所、神戸大学、東京海上日動火災保険株式会社
中小企業におけるサイバー攻撃が危惧される現在において、その現状を把握することは重要かつ危急の問題となっている。本調査では中小企業の社内ネットワークに出入りするパケットを直接調べることによって、その現状を把握することが目的である。
調査対象は大阪市内を中心とした多種多業種の中小企業30社に協力を依頼し、約4ヶ月という長期間、しかも各中小企業の社内ネットワークにセンサを設置し、出入りしているパケットを全て観測するという過去に例を見ない調査を実施した。
それぞれの企業に到達したパケットのIPアドレスに着目した分析を行い、いかなるIPアドレスから、いつ、 どれだけ、どのようなパケットが到達し、そのパケットによる脅威を分析した。
大阪商工会議所による中小企業に対するサイバー攻撃実情調査
アンケートに回答した1/4の事業所が少なからず何等かのサイバー攻撃を受けたことを自覚しており、特にランサムウェアによる被害が7%に及んだことで、その実態が明らかになった。
ただし、目に見えるランサムウェア等の被害ではなく、目に見えないサイバー攻撃の被害、たとえば情報流出やバックドア等の設置、あるいはBot等のリモート操作の被害については企業の自覚がないゆえに実数に現れないことが予想されていた。セキュリティ関連会社の技術者、有識者の知識、経験から、中小企業の少なくとも1割はすでにサイバー攻撃の被害、つまり不正アクセスに遭遇しているということが言われているものの、実際の調査事例はなく、その実態は不明のままであった。
ハッキングツールを利用した高度な攻撃手法も観測され、中小企業だからと言って決して攻撃されていないわけではなく、また、常に高度な手法を用いた攻撃にさらされている実態も明らかになった。
https://www.osaka.cci.or.jp/Chousa_Kenkyuu_Iken/press/20190703cyber_h30.pdf
サイバーリスク保険のターゲット業界
ー日本の場合ー
トップ5の業種をみても、日本では米国で加入率の高い教育機関や医療機関などはトップ5にすら入っていません。
加入割合トップの業種は意外にも「情報サービス業」なのです。しかも、加入件数全体の約40%を占めるなど突出して高い加入率を示しています。もちろん、情報サービス業には、データセンターや市場調査などのように多くの個人情報を取り扱う場合もありますし、ソフトウェアやシステム開発など、ビジネス環境がまさにサイバー空間であることから、サイバーリスクに関する意識が高い業種であるということも言えるかもしれません。ただ、このデータの裏側を紐解いてみると、日本企業がサイバーセキュリティをどのようにとらえているのかについて、非常に興味深い示唆を得ることができます。
<業種別ランキング トップ5>
日本市場において、サイバー保険加入に最も積極的なのはどの業種なのでしょうか。
東京海上日動のサイバーリスク保険の加入データを分析してみると、その加入業種の傾向は米国と
異なります。