サイバー保険：
リスクとトレンド ２０２０

ランサムウェア

2019年、ランサムウェアは、最大限の損害をもたらし、それに応じた高い金額を手に入れるために、明らかに、より標的を絞って使用されました。攻撃者はすでに被害者のシステム内に入っていることが多く、それからマルウェアを利用してデータやコンピューターシステムをロックし、アクセスを妨げます。彼らはロック解除のために、たいていは仮想通貨で、身代金（ランサム）を要求します。攻撃の標的は、企業以外にも、昨年は役所や医療機関などの公共生活における重要な分野が増えています。身代金請求額は、5,000米ドルから500万米ドルに達しました。これはしばしば、被害者の資金力に合わせて個々に調整されます。知られている最大の経済的損害は2019年にスカンジナビアの企業2社が被りました。約7,000万米ドルの被害にあったのはノルウェーのアルミニウム製造会社で、主に操業停止によるものでした。約9,500万米ドルが、ランサムウェア攻撃によりデンマークの補強機メーカーにかかりました。操業中止はもちろん、ITシステムの復旧にも費用がかかりました。

データ漏洩

特定されたデータ窃盗件数および権限のない者のデータへの不正アクセスの件数は、昨年は約3分の1上昇し、世界中で85億件のデータセットが被害を受けました。データ漏洩1件当たりの平均の経済的損害は、世界的に見ておよそ400万米ドルに上りました。これには当局および関係者への報告、インシデントの調査、被害を最小限に抑える対策、データの復旧、罰金や裁判費用などのコストが含まれます。その中で、ヘルスケア領域における平均コストは、約650万米ドルと最高でした。これは定期的に重要なデータが集められ、保存されているためです。さらに、データ窃盗は恐喝にも利用されます。支払わない場合、企業や顧客の機密データを公開すると脅すのです。この場合ランサムウェア攻撃の場合と同様の金額が要求されます。

ビジネスメール詐欺（BEC)

偽のビジネスメールによる詐欺 (BEC: Business Email Compromise) は、昨年非常に増加しました。攻撃者は企業のEメールのアカウントへのアクセスを入手したり、正規の企業のアドレスに非常に似たEメールアカウントを作成したりします。企業や顧客、従業員をだます目的で、攻撃者は盗んだり偽造したりしたアイデンティティを使って行動します。2018年5月から2019年7月までに 世界中で発見されたインシデントは倍増し、その経済的損害は平均して270,000米ドルでした。とりわけ中小企業がこの形態の詐欺メール攻撃を受けています。2019年に知られた最大の単独の被害は自動車業界の企業が受けたもので、その額は3,700万米ドルでした。このトレンドはまた、サイバー損害保険金の統計でも明らかです。ある市場では、ビジネスメール詐欺がすでに最高の損害保険額を引き起こしています。

技術は効率を高める―サイバー犯罪の効率も然り

ランサムウェアは依然として、特に操業停止が起こり得ることで、大きな脅威となっています。同様にビジネスメール詐欺およびデータ窃盗による損害も高いレベルにとどまると見込まれます。サイバー犯罪の世界はますます目標を絞り、ネットワーク化し、共同で行われるようになっています。最新の技術が攻撃のあらゆる段階で利用されることでしょう。例えば、目標を特定したり、脆弱な個所を検出したり、また痕跡を消去したりするために、AIがますます使用されるでしょう。それにより攻撃者は自動化と効率の度合を高め、結果としてより高い損害が発生するでしょう。声や人物をほぼ完ぺきに再現する、いわゆるディープフェイクがフィッシング詐欺に登場し、アイデンティティの窃盗、企業や個人の恐喝に今後ますます使用されることでしょう。

ネットワーク化がサプライチェーン全体に沿ったリスクを高くする

デジタルへの依存と、どんどん新しくなるネットワークデバイスやアプリケーションの使用の増大は、企業に限ったことではありません。クラウドベースのサービスや、携帯通信の標準である5Gの導入がこの発展を支えています。高性能の技術により、産業界だけでなく、家庭の機械やデバイスも、残念ながら常に適切に保護されているわけではありませんが、集約的なネットワーク化と自動化が可能です。しかしこれは連続するデータフローを指数関数的に高めるばかりでなく、インフラストラクチャやデバイス、データへの激しい自動化された攻撃の可能性も拡大します。多くの企業が依存する近代的なサプライチェーンは、そのためますます複雑になります。これにより、予想される増大した攻撃も考慮すると、リスクマネジメントの必要性は明らかに高まります。

世界中で強化される規制

特に、増大するサイバーリスクの脅威への対応として、世界中でデータ保護の法的要件が高くなっています。100か国以上の国で、データの喪失または乱用が起こった場合に、法律が消費者を保護しています。2018年5月のEU一般データ保護規則（GDPR）の導入がデータセキュリティの意識を促進したのはヨーロッパだけではありませんでした。これは部分的に他の国々の規制の青写真となっています。攻撃とデータ漏洩の公開に関する詳細な規則をしばしば含む規制が強化された結果、サイバー攻撃の範囲とコストがより頻繁に公表されています。それに加え、企業が被害にあった場合、評判の悪化と罰金に対処しなければならない可能性があり、ときには損害額がドルで億単位になることもあります。2019年のイギリスでの最高額の罰金は、航空会社に対して課されたもので、およそ2億3,400万米ドルでした。データセキュリティの分野でのガバナンスに対する要件は、複雑かつ拘束力を持ちます。それは各企業を緊張させ、被害防止対策および保険による保護の需要をもたらします。

全体として、世界のサイバーセキュリティへのIT投資は著しく増大しています。専門家は2025年にはこれが4,000億米ドルになると見積もっています。これは10年間で4倍に相当します。その一部は保険によるソリューションとサービスとして実現するでしょう。Munich Reは、世界的なサイバー保険市場の総額は2025年までに200億米ドルを超えるまでに成長し、それにより2018年と比べて4倍になると推定しています。2020年には世界のサイバー保険市場は総額70億米ドルとなり、その中で北米は53億米ドルと、引き続き好調な市場となるとMunich Reは見積もっています。Munich Reは、アジアとヨーロッパでの高い伸びを見込んでいます。ヨーロッパでは2020年のサイバー市場の総額が10億米ドルを超えると推定されます。

攻撃に特に影響を受ける分野からは、サイバー保険に対して非常に大きな需要があります。医療施設、製造業、ITや金融、サービス業などの企業がそうです。メディアの報道は、サイバー被害だけでなく、リスク意識に関しても増えています。それに加え、強化された規制により高まる要件と、それに関するビジネスパートナーによる義務が寄与して、リスクの補償とそれに応じた予防措置がますます求められています。サイバー保険市場の継続的な成長に伴い、昨年はソリューションの提供も質的に向上しました。商業分野における補償内容はますます標準化されています。大きな事業会社に対する個別のソリューションが主流です。操業停止やデータ窃盗に対するカバーが依然として中心となります。中小企業においては、自社の、しばしば相当な金額にもなり得るエクスポージャーに対する意識が高まっています。これらの企業はますます多くの保険カバーを購入するようになっています。サイバー商品に対する個人需要も、強く成長し始めています。

サイバーはMunich Reの戦略的成長分野です。サイバーポートフォリオは昨年さらに大きくなり、収益性が上がりつつあると予想しています。成長著しいサイバー市場において、Munich Reは自社で市場の10％のシェアを維持したいと考えています。

Munich Reは顧客のサイバーリスクマネジメントを総合的なアプローチでサポートします。これは、リスクを理解し、既存の保険契約書にある隠れたサイバーリスク（サイレントサイバー）を透明化し、リスクを特異的にではなくポートフォリオ全体の共同作業で適切に評価することによって、保険付保を可能にできるという考えに基づいています。保険会社により使用された蓄積モデルは急速に改良されつつあります。さらに、リスクの複雑さとリスクに合わせた価格設定により、分野と国を超えて協力するトップクラスのサイバーチームが必要となります。Munich Reは継続的に自社のノウハウに投資し、保険業界および技術パートナーの専門スタッフの緊密な協力により新しいソリューションを開発しています。保険としてのリスク移転以外に、この商品にリスクマネジメントサービスやセキュリティ対策も含んでいます。