サイバー保険：リスクと動向 2021

2020年の展開は、様々な影響と共に、予測不可能な状況でした。明らかに、パンデミックだけでなく、サイバーセキュリティの状況に関しても同じだ。これは多くの統計や調査、トレンド予測に反映されているだけでなく、過去1年間のサイバー攻撃の頻度と重大度にも同じことを見えています。一部の専門家は、新型コロナとその影響を「史上最大のサイバーセキュリティ脅威」として分類しています。

新型コロナ大流行が克服されるかもしれないという希望の兆しがある一方で、デジタルオペレーションやビジネスモデルを保護するための万能ワクチンは、決して実現しないでしょう。デジタル化が急速に進んでいる中、サイバーリスクと損害のシナリオは急速に変化し続けます。そこで、すべてのリスク所有者にとって、過去のインシデントから学び、今後のサイバーセキュリティのトレンド、脅威、脆弱性を特定することがより一層重要になります。サイバー保険会社は、あらゆる業界で回復力と準備態勢を構築する際に、ソリューションの一員になれることをすでに証明しています。それぞれの対策と管理を実施することは、一種の「デジタルワクチン」と見なすことができます。しかし、これらの「ワクチン」だけでは「サイバー免疫システム」への攻撃を回避するのに必ずしも十分ではないかもしれないため、保険を使ってが残存リスクをカバーすることが可能になります。

Munich Reが発表した“ Global Cyber Risk and Insurance Survey“に示したように、5G、クラウドコンピューティング、人工知能が回答者のトップランキングになっています。全員がデジタル化を信じていますが、経営幹部レベルの回答者の81％は、自社がサイバー脅威から適切に保護されていないと考えています。これらのサイバーセキュリティの脅威の中で、詐欺、データ漏洩、ランサムウェア攻撃が、経営幹部たちが最も恐れている3つの現象です。

また、経営幹部レベルの回答者の35％がサイバー保険に加入することを検討していますが、これらの回答者のうち保険会社と連絡を取ったのは34％だけで、17％は市場にある商品やサービスの概要すら知っていません。

これらの結果は、サイバー保険がまだ従来の保険商品と同程度に認識されていないことを示しています。同時に、サイバー保険の将来性を裏付けています。したがって、保険業界一つの課題としては、補償内容やその付随サービスの透明性を提供することとなっています。エンドユーザーが求めているランキング上位の侵害防止対策サービスは、ネットワークセキュリティ、重要システムとデータのバックアップ、マルウェア対策ツール、IDやアクセス管理、ITセキュリティコンサルティングなどです。これらのサイバーセキュリティ対策に加えて、インシデント対応もサイバーセキュリティリスク管理の1つの主要な柱と見なされます。

新型コロナはデジタルトランスフォーメーションを加速しています。こうした中、脅威と脆弱性が完全に新しいものではないことを認識することが重要です。その中には、パンデミックが発生するずっと前から存在し、悪用されていたものもあります。例えば、Google surveyによると、65％の人が複数またはすべてのアカウントでパスワードを再利用しています。別の統計によると、全Windows PCのうち18%でいまだに古いWindows 7オペレーティングシステムが使用されています。つまり、ドイツだけでも、約400万台のデバイスがもうサポートされなくなっている可能性があります。Munich Reのデータによると、これらの不十分なサイバーセキュリティの例は、すでに重大なサイバーインシデントをもたらす可能性があります。 

新型コロナと事業運営とプロセスをデジタル化する必要性は、重大性と攻撃対象領域の劇的な加速をもたらしました。さらに脅威の幅広さとそれらがどのように攻撃に利用されるかを示しています。FBIは、2020年4月にサイバー犯罪300％の増加を報告しました。3月だけでも、ランサムウェア攻撃は148％増加しました。2020年2月から4月の間に、フィッシングは600％増加し、4月には、Googleが毎日1800万通を超える新型コロナ関連のフィッシングメールをブロックしました。

Munich Reは、リモートワークで、多くの組織が脅威や脆弱性を監視または特定する準備がまだできていないことを確認しています。不正なリモートアクセス、脆弱なパスワード、セキュアでないネットワーク、個人用デバイスの誤用など、これらはほんの一部の例にすぎません。同様に、世界中の４億を超える企業や消費者 が使用している仮想プライベートネットワーク（VPN）への攻撃の成功が増加することが予想できます。インサイダーの脅威がさらに急増し、攻撃者が特権アクセスを持つ従業員に報酬を提供して、アクセス情報を共有または「誤って」漏洩させることも予想されます。

昨年と同様に、ランサムウェア攻撃、データ漏洩、およびビジネス電子メール詐欺（BEC）などの不正行為が再びサイバー犯罪リストのトップとなりました。サイバー犯罪による世界全体の経済的損害が争点になるでしょう。Cybersecurity Venturesは、世界経済のサイバー犯罪コストが今後5年間で年間15％増加し、2025年までに年間10.5兆ドルに達すると予測しています。2021年には、その数字は2015年の3兆ドルから6兆ドルまで上がると予想されています。サイバー犯罪者たちの世界は、お互い協力したり、自動化や人工知能を利用して、弱点をより早く、より有利にするための相乗効果を生み出すなど、急速に進歩しているので、これは驚くことではありません。

サイバー犯罪活動のほかにも、国家がこれほどまでに活発になったことはなく、今後もこの動きが鈍化する気配はありません。その点では、コロナワクチンと治療に関与する企業、研究機関、政府機関は犯罪者からも国家からも激しい攻撃を受けるため、パンデミックは重要な役割を果たすことでしょう。

Munich Reは、国家に由来する可能性のある脅威を十分に認識しています。最近の国家がスポンサーだと思われるサイバー攻撃が示しているように、従来の戦争免責事項には、サイバー（再）保険のための調整が必要になるかもしれません。当社は、クライアントやGeneva Association、London Market Associationなどの他の業界作業部会と協力して、サイバー戦争の具体的な除外事項の開発を支援してきました。Munich Reは、これらの議論に積極的な役割を果たし、新しい条項に確実に対応するよう、良いフィードバックを提供していきます。2021年中に市場標準が明らかになることを期待しています。

データ漏洩：

数年前と同様に、2020年にも数億個のデータが被害を受けるデータ漏洩が世界で目撃されました。Munich Reは、リスク評価において、リスク所有者のサイトで個人を特定できる情報が増加しているだけでなく、金融、医療、子供関連、または生体情報などのデータの重要性が高まっていることに気付いています。IBMの報告によると、2020年には、200日未満で漏洩を食い止めることで節約できる平均コストは100万ドルであったにもかかわらず、漏洩を特定するまでの平均時間は280日で、2020年のデータ漏洩の世界平均総コストは386万ドルであったと結論づけています。

世界は2025年までに約200 zettabyteのデータを保存することになるので（Cybersecurity Venturesによる）、状況緩和の兆しはありません。

ランサムウェア：

今後もランサムウェアの急増が予想されています。暗号化だけでなく、データ流出も増えていくでしょう。頻度が高くなり、身代金の要求も急激に増加します。IBM Security X-Forceによると、4,000万ドル身代金を超える恐喝が発生しています。

ダウンタイムによるコストは、身代金の支払いと同じくらい高くなる可能性があります。2020年の平均ダウンタイムコストは総計で283,000ドルでした。これは2019年からほぼ100％増です。Munich Reは、ランサムウェア攻撃からの復旧費用がさらに増加する可能性があると推定しています。外部に情報を漏洩して恥辱を与えると脅す「リーク・アンド・シェイム」戦術に伴う「復号化および削除」ビジネスも、この傾向に繋がるでしょう。また、、ITシステムがさらに重要インフラやオペレーショナルテクノロジーシステムに普及していくため、ランサムウェアは今後も増やしていくと考えられます。Munich Reは、電力網や医療システム、交通管理などの資源が標的になってサイバー攻撃が成功した場合、より多くのデータやデバイス、さらには人命が危険にさらされることを懸念しています。このようなシナリオは、2020年のランサムウェア攻撃後に救急患者を受け入れることができなかったデュッセルドルフの病院の事例で既に知られました。32km離れた別の施設への再搬送を必要とした患者は命を落としました。このため、私たちはさらに積極的になり、ポートフォリオをさらに選択的に更新し、お客様に最高のセキュリティ基準を求めるか、適切な予防措置を統合してお客様をサポートしています。

ビジネス電子メール詐欺（BEC）

BEC詐欺などの不正行為は増加しています。フィッシング対策作業部会の数字によると、BECの平均損失は第2四半期に80,183ドルと、第1四半期の54,000ドルから増加しました。さらに費用コストの例として、2020年にプエルトリコが政府機関への3回のBEC攻撃で400万ドル以上を失ったり、犯罪者がBEC詐欺でノルウェーの国営投資ファンドから1,000万ドルを盗むことに成功したりといったことがありました。

Munich Reのサイバーリスク専門家によると、BECのような詐欺を見つけることはリモートワーク環境ではより困難になるといいます。例えば、ディープフェイク音声と映像技術の併用によりこの問題に役に立つことがあります。

上記状況の変遷およびサイバーインシデントの発生頻度と重大度の上昇は、サイバー保険への需要の増加に繋がるでしょう。Munich Reは、世界のサイバー保険市場が2025年までに約200億米ドルの価値になると予想しています。デジタル化促進の結果として、この仮定を超える可能性があります。特に中小企業がサイバーインシデントの影響を大きく受け、サイバー保険の需要がさらなる促進されるとMunich Reが予想しています。

医療、専門サービス、小売、製造、政府機関（教育機関を含む）、および金融サービス分野は、最もリスクエクスポージャーが高い業界であると予想されます。そのため、今後サイバー保険需要の大部分は、これらの業界から出で来る可能性が非常に高い。こうしたビジネス主導の需要に加えて、Munich Reは個人や家族向けのサイバー保険の成長も期待しています。

デジタル化と損害に加えて、規制も引き続きサイバー保険の主要な推進力となるでしょう。2020年には、データ保護法の執行機関からの、犯罪者への課徴金に関する新記録がニュースとなりました。EUの一般データ保護規則（GDPR）に違反したとして、全体で315件の罰金が課せられました。Googleに対するGDPR罰金の5000万ユーロは、2020年にフランスの最高裁で確定しており、EUでこれまで最大の罰金となっています。その他の罰金については、各社への経済的な影響や費用負担能力から、2020年には大幅に減額されています。194か国中128か国がデータとプライバシーの保護を確保するための法律を制定し、154か国がサイバー犯罪法を制定したため（2020年12月現在、国連）、法執行の強化が世界中で予想されています。

データ保護規制は広く採用されていますが、コネクテッドデバイスやIoT世界の規制がまだ不十分です。Munich Reは、各規制に従って、お客様がコネクテッドデバイスやサイバーセキュリティサービスの品質をより適切に評価するような役立つ分類スキームをサポートしています。

「パンデミックのような大規模なイベントは、リスク管理の重要性に根拠を与えます。これはサイバーリスクにも当てはまります。弊社ではこれを、累積管理、データ分析、サイレントサイバーなどの重要なテーマへの取り組みの確認と理解しています。根底であるリスクとは何か、何をカバーし、何をカバーできるのかを明確に理解しておくことが重要です。そのため、サイバーに関する専門知識とパートナーシップへの投資を継続し、効果的なリスク管理を確保するために、お客様を集中的にサポートしていくことで再確認しています」とMunich Reのサイバー最高引受責任者であるユルゲン・ラインハルトは述べ、エクスポージャーと各リスクアペタイトを継続的に再評価する必要性を強調しています。さらに、ユルゲン・ラインハルトは、保険金請求の増加と需要の増加の影響の1つとして、2021年の市場状況のハード化も予想しています。これは2020年の後半にすでに見られました。

損害頻度と重大度の上昇が予測されるため、市場では引受管理の強化が避けられず、複数の保障項目を誘因する可能性のあるランサムウェアイベントに重点を置くことになるでしょう。特にランサムウェアの損害請求は、保険会社がリスクアペタイトを再評価するため、ビジネス規模の縮小につながる可能性があります。

サイバー累積の監視は、業界全体にとって重要なタスクです。Munich Reは、効果的なサイバーリスク管理プロセスを実施しており、独自の高度な累積モデルに依拠しています。それでも、最先端の累積管理を保証するためには、市場を監視し、さまざまなベンダーから外部の専門知識を得ることが重要です。保険会社が使用する累積モデルは急速に改善されており、現在の状況はさらなる投資の重要性を強調しています。

保険会社とその顧客にとってのもう1つの重要な問題は、ポートフォリオからサイバーに関して「サイレント（明言していない）」保障内容を切り出し、そのような「サイレント」な保障内容を大幅にアファーマティブなものに変換するという目標を進めることです。従来の損害・災害保険で、望ましくないサイバー・エクスポージャーを除外することで、すべての市場参加者の成長と透明性が促進される可能性があります。特にヨーロッパでは、すでにいくつかの規制当局が、保険会社のポートフォリオに含まれる「サイレント」または「非アファーマティブ」なサイバー・エクスポージャーについて、保険会社に定性的・定量的な情報を求めているほか、規制当局は保険会社に対し、サイバーに関する保障内容の除外や確認を行うよう義務づけています。ほとんどの市場とLoBにはポジティブな勢いがあり、さまざまなレベルの複雑さで継続的な議論が行われています。この傾向は2021年も続くと予想されます。

財産保険に関しては、サイバーエクスポージャーの適用範囲を明確にする条項がすでに制定されています。新しいLMA条項は、市場でより頻繁に採用されてきています。2020年12月、ロンドン市場の損害賠償ライン事業に対して、いくつかのサイバー除外が発表されました。  Munich Reは、英国を拠点とする主要な再保険会社、出再者、ブローカーからこのような条項を求める声が高まっていることを見ています。

Munich Reのアプローチは、リスクの複雑さとリスクに見合った価格設定のニーズに対応しています。そのためには、業界や市場の垣根を越えて協力し合うトップクラスのサイバーチームが必要です。弊社は、これらのリスクを管理するためのノウハウや専門知識、社内プロセス、ツール、ネットワーク、明確なガイドラインを構築するために、当初から多大な投資を行ってきました。保険によるリスク移転に加えて、リスク管理サービスやセキュリティ対策などの提供も充実させています。これらの措置により、Munich Reは、世界をリードするサイバー保険とソリューションのプロバイダーになるという目標を明確に示しています。

「サイバーはMunich Reグループ全体にとって極めて重要な成長分野です」と、Munich Re 再保険部門CEOであるトールステン・イェヴォレクは述べています。「デジタル化の加速とそれに伴うリスクは、サイバーの課題に取り組むことに貢献するというごく当初からの弊社のアプローチと戦略を裏付けるものです。弊社のサイバーポートフォリオは、ここ数年、利益の高い成長軌道をとり続けています。この勢いを目の当たりにした保険業界が正しい結論をこれからも導き続けるならば、今後数年間は単に現在の成長性に沿うだけでなく、それを上回る成長が期待できると考えています。」

弊社は、クライアントやパートナーとともに、持続可能で利益の高い成長にしっかりと重点を置きながら、保険引受能力範囲を拡大していきます。