- シンクタンクならニッセイ基礎研究所 >
- 保険 >
- 保険会社経営 >
- サイバーリスクの変容と保険対応-サイバー保険はランサムウェアの進化にどう対応してきたか?
サイバーリスクの変容と保険対応-サイバー保険はランサムウェアの進化にどう対応してきたか?
保険研究部 主席研究員 兼 気候変動リサーチセンター チーフ気候変動アナリスト 兼 ヘルスケアリサーチセンター 主席研究員 篠原 拓也
このレポートの関連カテゴリ
1――はじめに
ここ数年、特に深刻化しているのが企業等へのランサムウェアによる攻撃だ。攻撃者は、まず、ウイルス感染により、端末の一部機能を使用不能にしたり、ファイルを暗号化して使用できなくしたりする。そして、それらを使用可能とするための、身代金を要求する。身代金が支払われても、端末やファイルが使用可能になるとは限らず、それどころか保存データを公開すると再び脅迫して、被害が二重、三重に拡大するケースもある。
損保会社は、サイバー保険の開発や引き受けを通じて、ランサムウェアによる攻撃を含めて、サイバーリスクへの補償を行っている。米国のアクチュアリー会は、サイバー保険を通じたこのリスクへの対応について継続的に議論を行っている。日本でも、ランサムウェアによる被害事案が増加しており、対策が求められる。本稿では、その議論や対策など、サイバーリスクの動向を見ることとしたい。
2――日本でのサイバーリスクの顕在化
1 「令和4年におけるサイバー空間をめぐる脅威の情勢等について」(警察庁, 令和5年3月16日) および 「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁, 令和5年9月21日)
3――サイバーリスクの分類
2 “Setting the Scene: Framing Catastrophic Cyber Risk An Expert Panel Discussion”(SOA Research Institute, Jan. 2023)
一般に、サイバー攻撃には、時間の経過とともに被害が拡大していくものが多い。特に、ランサムウェアのようなマルウェアへの感染を伴う攻撃では、感染したネットワーク内で被害が拡大していくケースがよく見られる。ペーパーでは、危機的なリスクを管理するうえで、被害が極大となる「壊滅的なサイバーリスク」とはどういう状態か、についての議論が示されている。
(1) 一般社会にとっての「壊滅的なサイバーリスク」
一般社会にとっての壊滅的なサイバーリスクには、様々な定義が考えられる。例えば、経済的影響、ネットワーク効果、深刻度の3つの尺度で判断するという考え方がある。ここで、経済的影響は、ネットワークやデータが利用できないことによるビジネス上の損失。サイバー問題の理解、制御等に必要となる労働力の急増に伴う支出増加。売上の減少をもたらす、ビジネスまたは評判への影響。供給側と需要側の連鎖的な影響の合計とされている。また、ネットワーク効果は、ソフトウェアの大規模再利用、オペレーティングシステムの標準化、ネットワーク構成の類似性であり、ビジネスや業界全体の高レベルの接続性と組み合わされて捉えられる。深刻度は、文字通り、発生する事象の深刻さの度合いだ。これらの尺度のどのレベルより上を「壊滅的」とするかについては、議論が分かれる。
この他に、攻撃対象による定義もある。攻撃の主な対象が単一の組織ではなく、ネットワークを介して伝播し、他の企業に影響を与える攻撃であれば、壊滅的なサイバーリスクとするというものだ。これも、人によって細部の見方が異なるため、定義は一様ではない。ただ、多くの人に共通する定義として、エネルギー、交通、医療などの社会の重要インフラへの大規模な攻撃が行われれば、壊滅的なサイバーリスクとみなされるとしている。
(2) 保険業界にとっての「壊滅的なサイバーリスク」
保険業界にとっての壊滅的なサイバーリスクは上記のものとやや異なる。一般に、保険会社にとっては、保険金支払いの件数や金額の増加につながるシステムの脆弱性が、壊滅的なサイバーリスクと捉えられる。ただし、その具体的な測定方法については議論が定まっていない。
特に、サイレントサイバーリスクについては、保険業界独自のリスクとして注目されている。サイバーリスク保険以外の一般の保険契約(自動車保険、火災保険など)では、契約規定のなかにサイバーリスクが明示的に含まれていない場合や、明確に免責とされていない場合がある。こうした場合、サイバー事件による損害保険の補償(損害賠償補償など)の範囲があいまいになる。保険会社側からみると、補償を提供する意図がなかった保険契約からも、サイバー攻撃によって、保険金請求が発生する恐れがある。これが、(サイバー保険以外の)従来の損害保険に潜在する、サイレントサイバーリスクとなる。3
3 詳しくは、「サイレントサイバーリスクの増大-サイバーリスクの引き受けは、サイバー保険にとどまらない!?」篠原拓也(保険・年金フォーカス, ニッセイ基礎研究所, 2022年10月11日)をご参照いただきたい。
4 “Cyber Risk Modeling Methods and Data Sets: A Systematic Interdisciplinary Literature Review for Actuaries”(SOA Research Institute, Sept. 2022)
近年、サイバーリスクの高まりを受けて、アメリカでは、サイバー保険の補償内容の見直しや料率の引上げが行われている。これは特に、ランサムウェアの進化に対応する意味合いが強いとされる。ランサムウェアの進化に伴って、保険業界が変化した点として、次のものが挙げられている。
・保険会社は、これまで以上に多額のサイバー保険金支払いを行っている。
・保険会社の多くは、引き受け時に保険の適格性を見るために、長期のサイバーリスク評価を実施している。
・サイバー保険の引き受けの焦点は、サードパーティの責任の評価から、事象が発生した被保険者の被害対応費用の評価に移行した。
・保険会社は、様々な安全策(多要素認証、オフラインでのバックアップ、特権管理者のアクセス、特権の昇格付与等)と、多くのサイバーリスク技術管理を要求することにより、引受ガイドラインを見直することで対応した。
・ビジネスメール詐欺が出現していることで、ランサムウェアに関する議論がさらに進んでいる。ただし、被害者が形式上「進んで」金銭を提供してしまった事象は保険の支払い対象とはなっていなかった。ソーシャルエンジニアリング詐欺(情報通信技術を使用せずに、電話で聞き出す、肩越しに画面をのぞき見る、ゴミ箱に捨てられた資料を漁るといった方法で、パスワードなどを盗み出す方法)の保障も、ビジネスメール詐欺の出現後に、始まっている。
このレポートの関連カテゴリ
保険研究部 主席研究員 兼 気候変動リサーチセンター チーフ気候変動アナリスト 兼 ヘルスケアリサーチセンター 主席研究員
篠原 拓也 (しのはら たくや)
研究・専門分野
保険商品・計理、共済計理人・コンサルティング業務
03-3512-1823
- 【職歴】
1992年 日本生命保険相互会社入社
2014年 ニッセイ基礎研究所へ
【加入団体等】
・日本アクチュアリー会 正会員
公式SNSアカウント
新着レポートを随時お届け!日々の情報収集にぜひご活用ください。
新着記事
-
2024年05月09日
2024年4月、グローバル株式市場は反落 -
2024年05月09日
曲線にはどんな種類があって、どう社会に役立っているのか(その5)-サイクロイド(その性質等)- -
2024年05月09日
「新築マンション価格指数」でみる東京23区のマンション市場動向【2023年】(2)~コロナ禍以降、「駅近」志向が高まる一方、「住居の広さ」と「中心部までのアクセス」への評価は揺り戻しの動きも -
2024年05月09日
基礎研REPORT(冊子版)5月号[vol.326] -
2024年05月09日
そもそも何が「保険業」?-保険業該当性に関するQ&A
レポート紹介
-
研究領域
-
経済
-
金融・為替
-
資産運用・資産形成
-
年金
-
社会保障制度
-
保険
-
不動産
-
経営・ビジネス
-
暮らし
-
ジェロントロジー(高齢社会総合研究)
-
医療・介護・健康・ヘルスケア
-
政策提言
-
-
注目テーマ・キーワード
-
統計・指標・重要イベント
-
媒体
- アクセスランキング
お知らせ
-
2024年04月02日
News Release
-
2024年02月19日
News Release
-
2023年07月03日
News Release
【サイバーリスクの変容と保険対応-サイバー保険はランサムウェアの進化にどう対応してきたか?】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。
サイバーリスクの変容と保険対応-サイバー保険はランサムウェアの進化にどう対応してきたか?のレポート Topへ