「サイバー保険」が企業評価の基準に？ もはや“保険はお守り”では済まない訳：特に中小企業で加入の遅れ

サイバー攻撃のリスクが高まる中、サイバー保険への加入が企業にとって必須となりつつあるが、英国とアイルランドの中小企業で普及が遅れている実態が明らかになった。保険未加入の“真のリスク”とは何か。

[Simon Quicke，TechTarget]

　サイバー保険は、企業がサイバー攻撃の被害に備えるための重要な手段だ。しかし、保険契約を媒介する保険ブローカーを対象にセキュリティベンダーArctic Wolf Networksが実施した調査「The 2025 Cyber Insurance Outlook」によると、英国とアイルランドの中小企業のうち、サイバー保険に加入しているのはわずか半数にとどまった。つまり、残りの半数に当たる未加入の企業は、平均9万ポンド（約1740万円）にも上るサイバー攻撃の被害額を、自力で負担するリスクにさらされている。

“保険はお守り”はもう古い　「サイバー保険が企業評価の基準になる」

併せて読みたいお薦め記事

サイバー保険を理解する

• サイバー保険は脅威の激化でどう変わる？　契約者が得する「CATボンド」とは
• 「“補償のない”サイバー保険」に加入する意味はあるのか

　Arctic Wolf Networksのインシュランスアライアンス戦略担当シニアディレクターを務めるケビン・カイザー氏は、サイバー保険に対する認識を改めるよう中小企業に勧める。「人工知能（AI）技術や大規模言語モデル（LLM）の悪用、ランサムウェア（身代金要求型マルウェア）の巧妙化など、攻撃は激しくなる一方だ。“加入したら安心”ではなく、企業のリスク管理の柱として、サイバー保険を戦略的に組み込む必要がある」と、同氏は語る。

　同社のレポートによると、過去1年間に顧客企業が攻撃を受けたと回答した保険ブローカーの割合は18％に上った。被害額は平均で約8万7000ポンド（約1680万円）だが、大企業に限定すると平均63万3641ポンド（約1億2200万円）となった。70％の保険ブローカーが、今後1年間、サイバー保険の請求件数がさらに増加すると予測している。

　「保険業界は顧客企業と協力してセキュリティの強化に取り組んでいるが、企業の被害は一向になくならない。サイバー保険への加入は、事業を運営していくために不可欠だ」とカイザー氏は語る。

保険加入が評価基準に

　英国およびアイルランドの保険ブローカーは、セキュリティベンダーとの連携を強化している。これは顧客企業のリスク軽減のためだけではない。“企業のリスクレベルを評価する基準”の策定のためでもある。

　近年はITシステムの運用・管理を請け負うマネージドサービスプロバイダー（MSP）に対するサイバー攻撃が増えており、サイバー保険会社が、MSPとの契約を理由にリスクレベルが高いと判断された企業との保険契約を控える例が報告されている。

　MSPであるEspriaでコンプライアンス部門の責任者を務めるリッチー・パッキー氏は、サイバー保険を軽視する姿勢が、中小企業の経営者にしばしば見られると警告する。「保険は単なる“お守り”という状況はすでに終わっていることに気付くべきだ。サイバー保険に加入しているかどうかでその企業の評価が決まる。つまりサイバー保険は企業にとっての新たなコンプライアンスであり、差別化要因なのだ。中小企業は、サイバー保険に加入することにより、リスクを管理しているという姿勢を明確に示す必要がある」

翻訳・編集協力：雨輝ITラボ（リーフレイン）