ハウデン保険ブローカーズの最新レポートによると、企業のサイバー衛生の改善により、過去2年間で世界全体のサイバー保険料が15%減少したことが明らかになった。これは、サイバー脅威、特にランサムウェア攻撃が蔓延しているにもかかわらずである。
多要素認証、EDR、クラウド バックアップなどのサイバー衛生慣行に対する認識は、2022 年以降大幅に高まっています。
ハウデンとNCCグループによると、ランサムウェア攻撃は今年18%増加しましたが、効果的なリスク管理により、企業が身代金を支払う必要性は減少しました。しかし、復旧コストは2022年に一時的に減少した後、再び上昇傾向にあります。
新型コロナウイルス感染症(COVID-19)のパンデミックにより、企業がリモートワークへの移行を急いだため、2021年と2022年には保険料が急騰しました。個人所有デバイスの使用、アクセスポイントの増加、集中管理されたデータ管理の喪失によって生じた新たなネットワークの脆弱性を、脅威アクターが積極的に悪用し、保険金請求が増加しました。
ハウデンの英国サイバーリテール部門責任者であるサラ・ニールド氏は、サイバー保険のコストが低下した理由を説明した。彼女はTechRepublicへのメールでこう語った。「執拗で注目を集める攻撃によって、リスク意識が高まったことが理由の一つです。」
「保険会社がキャパシティを確保するために企業に最低限の衛生基準を義務付けていることも大きな影響を及ぼしています。」結果として保険金請求件数が減り、保険料が安くなっています。
ニールド氏は、「企業にとって相当な投資負担にもかかわらず、この取り組みは保険契約者に切実に求められているレジリエンス(回復力)を育むのに役立っています。急速に変化する脅威環境を乗り切る中で、この取り組みは今、大きな成果を上げています」と付け加えた。
ハウデンのデータによれば、サイバーインシデントで意図的に標的とされていない第三者からの間接的な損害賠償請求の件数は、平均すると直接的な損害賠償請求よりも少ないことも示されており、企業がリスクを効果的に管理し、損失を軽減していることがさらに示唆されている。
報告書によると、サイバー保険を提供する保険会社が増えるにつれ、保険会社間の競争も激化し、顧客にとっての価格の低下につながっているという。
「攻撃の継続、地政学的不安定性の高まり、AI世代の急増にもかかわらず、サイバー保険のコストは引き続き低下しており、好ましい動向は2024年まで続く」とニールド氏はプレスリリースで述べた。
「市場が現在のような状況の組み合わせを経験したことはかつてなかった。すなわち、脅威の状況が高まっている一方で、強固なリスク管理に支えられた安定した保険市場が存在している。」
ハウデンのレポートでは、欧州におけるサイバー保険の需要は今後数年間で増加する可能性が高いことも明らかになりました。この地域におけるサイバー保険の普及率は現在低いものの、サイバーリスクに対する意識と戦略的なセキュリティ投資は高まっています。中小企業もまた、十分なサービスを受けられていない市場です。
ニールド氏は、低価格が続くと予想していると述べた。しかし、これ以上下がる可能性は低いだろう。彼女はTechRepublicに対し、「現在の需給バランス、激しい競争など、現状の動向から判断すると、買い手は引き続き有利な条件の恩恵を受けるだろう。供給力は増加しており、最近の市場の好調な動きは、補償コストが損失コストに見合っていることを示唆している」と語った。
とはいえ、2024年前半に発生した大規模な攻撃を受けて、特に医療分野において価格の下落が緩やかになりつつあります。そのため、市場環境は今後安定し、購入者と保険会社双方にとって魅力的な長期的な提案となる着地点に達すると予想しています。
サイバー保険が企業にとってますます重要になっている理由
サイバー保険は、サイバー攻撃の成功に伴うコストや、ますます厳格化するコンプライアンス規制違反に対する罰金から企業を守るのに役立ちます。IBMによると、データ漏洩コストは2023年には1件あたり445万ドルに増加しており、これは漏洩の調査に時間がかかるようになったことが一因となっています。
Splunkが先月発表したレポートによると、世界最大規模の企業における計画外ダウンタイムの最大の原因は、フィッシングリンクのクリックなど、サイバーセキュリティ関連の人為的ミスであることが明らかになりました。ダウンタイムによる損失は年間4,000億ドルに上り、これは利益の約9%に相当します。
サイバーセキュリティインシデントによるダウンタイムは、収益の損失、規制当局への罰金、問題解決にあたるスタッフの残業代など、直接的な経済的損失につながります。また、このレポートでは、株主価値の低下、開発者の生産性の停滞、評判の低下など、影響が出るまでに時間のかかる隠れたコストも明らかにされています。
関連コストの増大に加え、サイバー攻撃の成功率も高まっています。4月にカスペルスキーが実施した調査によると、データ窃盗マルウェアに感染したデバイスの数は、2020年から2023年の間に7倍に増加しました。先月、保険ブローカーのマーシュは、企業がランサムウェアの攻撃を受けたことにより、2023年に北米の顧客から1,800件を超えるサイバー保険金請求を受けたと発表しました。これは過去最高です。
参照:英国企業の87%がサイバー攻撃への備えができていない
にもかかわらず、企業がサイバー攻撃に対する防御力を強化しているという証拠があります。Mandiantの2024年レポートによると、世界中の組織における平均滞留時間(攻撃者が標的環境内で検知されずに留まる時間)は、2022年の16日から2023年には10日に減少し、現在は10年以上ぶりの低水準となっています。
