サイバーリスクの変容と保険対応－サイバー保険はランサムウェアの進化にどう対応してきたか?　|ニッセイ基礎研究所

1――はじめに

近年、サイバーリスクが増大している。実在の金融機関等を装ったメールを送付してクレジットカード番号などの情報を入力させて詐取する、フィッシング詐欺。別人のふりをしてメールを送信したり電子掲示板に書き込みを行ったりする、なりすまし。他にもDDoS攻撃、不正アクセス、パスワードクラッキングなど、企業や個人を問わず、多様なサイバー攻撃にさらされている。

ここ数年、特に深刻化しているのが企業等へのランサムウェアによる攻撃だ。攻撃者は、まず、ウイルス感染により、端末の一部機能を使用不能にしたり、ファイルを暗号化して使用できなくしたりする。そして、それらを使用可能とするための、身代金を要求する。身代金が支払われても、端末やファイルが使用可能になるとは限らず、それどころか保存データを公開すると再び脅迫して、被害が二重、三重に拡大するケースもある。

損保会社は、サイバー保険の開発や引き受けを通じて、ランサムウェアによる攻撃を含めて、サイバーリスクへの補償を行っている。米国のアクチュアリー会は、サイバー保険を通じたこのリスクへの対応について継続的に議論を行っている。日本でも、ランサムウェアによる被害事案が増加しており、対策が求められる。本稿では、その議論や対策など、サイバーリスクの動向を見ることとしたい。

2――日本でのサイバーリスクの顕在化

まず、日本で、警察庁が今年公表したサイバー事案に関する資料¹から見ていく。

¹ 「令和4年におけるサイバー空間をめぐる脅威の情勢等について」(警察庁, 令和5年3月16日) および「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁, 令和5年9月21日)

1｜被害業種は製造業とサービス業で過半を占め、規模では中小企業に多い
2022年に検挙されたサイバー犯罪の件数は、12,369件で、前年よりも160件増加した。2023年上期は5,715件で、前年同期に比べてやや減少した。しかし、長期的な観点からは、増加傾向が続いており、サイバー犯罪の拡大が見てとれる。注意したいのは、この件数には、検挙に至っていないケースは含まれていない点だ。ここにあらわれている件数は、氷山の一角、という可能性もある。

2｜ランサムウェアの被害件数は急増
つづいて、ランサムウェアによる被害を見てみる。警察庁への報告件数は、2022年に230件、2023年上期に103件で、近年、急増している。特徴として、身代金の要求と、保存データ公開の脅迫という二重恐喝(ダブルエクストーション)による被害が多くを占めること(2022年に手口が確認できた182件のうち119件(65%))。暗号資産による対価の要求が多くを占めること(2022年に直接的な対価の要求が確認できた54件のうち50件(93%))の2点が挙げられている。

3――サイバーリスクの分類

次に、アメリカのアクチュアリー会(SOA)でのサイバーリスク管理に関する議論の様子を、同会の研究所のペーパー(以下「ペーパー」と呼称)²をもとに見ていく。アメリカでも、サイバーリスクが高まっており、サイバー保険の開発やその価格設定を含めて、リスク管理の議論が続いている。

² “Setting the Scene: Framing Catastrophic Cyber Risk An Expert Panel Discussion”(SOA Research Institute, Jan. 2023)

1｜一般社会と保険業界では、「壊滅的なサイバーリスク」の定義がやや異なっている
一般に、サイバー攻撃には、時間の経過とともに被害が拡大していくものが多い。特に、ランサムウェアのようなマルウェアへの感染を伴う攻撃では、感染したネットワーク内で被害が拡大していくケースがよく見られる。ペーパーでは、危機的なリスクを管理するうえで、被害が極大となる「壊滅的なサイバーリスク」とはどういう状態か、についての議論が示されている。

(1) 一般社会にとっての「壊滅的なサイバーリスク」
一般社会にとっての壊滅的なサイバーリスクには、様々な定義が考えられる。例えば、経済的影響、ネットワーク効果、深刻度の3つの尺度で判断するという考え方がある。ここで、経済的影響は、ネットワークやデータが利用できないことによるビジネス上の損失。サイバー問題の理解、制御等に必要となる労働力の急増に伴う支出増加。売上の減少をもたらす、ビジネスまたは評判への影響。供給側と需要側の連鎖的な影響の合計とされている。また、ネットワーク効果は、ソフトウェアの大規模再利用、オペレーティングシステムの標準化、ネットワーク構成の類似性であり、ビジネスや業界全体の高レベルの接続性と組み合わされて捉えられる。深刻度は、文字通り、発生する事象の深刻さの度合いだ。これらの尺度のどのレベルより上を「壊滅的」とするかについては、議論が分かれる。

この他に、攻撃対象による定義もある。攻撃の主な対象が単一の組織ではなく、ネットワークを介して伝播し、他の企業に影響を与える攻撃であれば、壊滅的なサイバーリスクとするというものだ。これも、人によって細部の見方が異なるため、定義は一様ではない。ただ、多くの人に共通する定義として、エネルギー、交通、医療などの社会の重要インフラへの大規模な攻撃が行われれば、壊滅的なサイバーリスクとみなされるとしている。

(2) 保険業界にとっての「壊滅的なサイバーリスク」
保険業界にとっての壊滅的なサイバーリスクは上記のものとやや異なる。一般に、保険会社にとっては、保険金支払いの件数や金額の増加につながるシステムの脆弱性が、壊滅的なサイバーリスクと捉えられる。ただし、その具体的な測定方法については議論が定まっていない。

特に、サイレントサイバーリスクについては、保険業界独自のリスクとして注目されている。サイバーリスク保険以外の一般の保険契約(自動車保険、火災保険など)では、契約規定のなかにサイバーリスクが明示的に含まれていない場合や、明確に免責とされていない場合がある。こうした場合、サイバー事件による損害保険の補償(損害賠償補償など)の範囲があいまいになる。保険会社側からみると、補償を提供する意図がなかった保険契約からも、サイバー攻撃によって、保険金請求が発生する恐れがある。これが、(サイバー保険以外の)従来の損害保険に潜在する、サイレントサイバーリスクとなる。³

³ 詳しくは、「サイレントサイバーリスクの増大－サイバーリスクの引き受けは、サイバー保険にとどまらない!?」篠原拓也(保険・年金フォーカス, ニッセイ基礎研究所, 2022年10月11日)をご参照いただきたい。

2｜サイバーリスクには、特異的、システマティック、システミックの3つのタイプがある
サイバーリスクのモデリングに関するペーパー(以下「モデリングペーパー」と呼称)⁴によると、ひとくちにサイバーリスクといっても、被害の内容や規模に応じて、次表の通り、3つのタイプ(特異的、システマティック、システミック)に分類されるという。壊滅的なサイバーリスクは、システミックタイプのリスクが極大化したものと見ることができるだろう。

ランサムウェアによる攻撃のリスクも、これをもとに分類することができる。

⁴ “Cyber Risk Modeling Methods and Data Sets: A Systematic Interdisciplinary Literature Review for Actuaries”(SOA Research Institute, Sept. 2022)

3｜ランサムウェア攻撃の進化により、保険業界の変化が促された
近年、サイバーリスクの高まりを受けて、アメリカでは、サイバー保険の補償内容の見直しや料率の引上げが行われている。これは特に、ランサムウェアの進化に対応する意味合いが強いとされる。ランサムウェアの進化に伴って、保険業界が変化した点として、次のものが挙げられている。

・保険会社は、これまで以上に多額のサイバー保険金支払いを行っている。

・保険会社の多くは、引き受け時に保険の適格性を見るために、長期のサイバーリスク評価を実施している。

・サイバー保険の引き受けの焦点は、サードパーティの責任の評価から、事象が発生した被保険者の被害対応費用の評価に移行した。

・保険会社は、様々な安全策(多要素認証、オフラインでのバックアップ、特権管理者のアクセス、特権の昇格付与等)と、多くのサイバーリスク技術管理を要求することにより、引受ガイドラインを見直することで対応した。

・ビジネスメール詐欺が出現していることで、ランサムウェアに関する議論がさらに進んでいる。ただし、被害者が形式上「進んで」金銭を提供してしまった事象は保険の支払い対象とはなっていなかった。ソーシャルエンジニアリング詐欺(情報通信技術を使用せずに、電話で聞き出す、肩越しに画面をのぞき見る、ゴミ箱に捨てられた資料を漁るといった方法で、パスワードなどを盗み出す方法)の保障も、ビジネスメール詐欺の出現後に、始まっている。