サイバー保険でシステム障害に備える：マーシュの分析ツールで最適な補償範囲や保険料を精査

2024年7月、クラウドストライク社のソフトウェア更新が原因で世界的に大規模なシステム障害が発生し、輸送や小売、医療をはじめ、広範な業界で業務が混乱に陥りました。¹ マーシュのお客様も500社超が影響を受け、うち375社以上から保険金請求が発生しました。

このクラウドストライク社の事象は、比較的早く収束したものの、デジタル化が進むサプライチェーン全体にシステム障害がもたらす影響の大きさを浮き彫りにしました。サイバーリスク対策を新たに導入する場合や既契約のサイバー保険を見直す場合は、自社を経済的損失から守るサイバー保険の仕組みを理解することが、テクノロジーリスクへのレジリエンスを高める上で非常に重要です。

サイバー保険の補償対象となる事例

サイバー保険では、IT関連のインシデントに起因して事業が中断した場合に、その損失と関連費用が補償されます。 具体的には、ランサムウェア攻撃や大規模な情報漏洩のほか、クラウドストライク社のソフトウェア更新に起因して発生した直近のシステム障害なども該当します。

サイバー保険の補償範囲

サイバー保険は、被保険者である企業等（ファーストパーティ）が被った損害と取引先などの第三者（サードパーティ）に与えた損害を幅広く補償するように設計されています。

ファーストパーティ型保険の補償範囲：

• 事業中断（BI）または構外利益（CBI）：システム障害等により直接的または（ベンダーなどを介して）間接的な損害を受けた被保険者に対し、事業収入の損失や追加費用を補償します。
• サイバー恐喝やランサムウェア攻撃：サイバー恐喝やランサムウェア攻撃を受けた場合に、調査、証拠の収集や分析、身代金の支払いにかかる費用を補償します。
• データ復旧：損傷または紛失したデータの交換、復旧、再作成にかかる費用を補償します。
• インシデント管理や情報漏洩への対応：情報漏洩の発生を受けた証拠収集・分析、広報、コールセンターの設置、（規制当局や顧客等への）通知や信用モニタリングにかかる費用を補償します。

サードパーティ型保険の補償範囲：

• 情報漏洩賠償責任：委託された個人情報または機密情報への不正アクセスや不正開示を防止できなかったことで発生した損害賠償、弁護費用、罰金や制裁金を補償します。
• ネットワークセキュリティ賠償責任：システムにセキュリティ上の欠陥があり、それによってコンピュータへの攻撃を防止または軽減できなかった場合に、その結果として発生した損害賠償や弁護費用を補償します。
• 規制対応費用：情報漏洩やデータ侵害に関して規制当局から科された罰金や制裁金を補償します。
• テクノロジー・エラーズ・アンド・オミッション（技術面の欠陥）：被保険者の技術サービスや製品に欠陥（またはその疑い）がある場合に、それによって生じた損失に関する弁護費用や損害賠償金を補償します。

ネットワークのダウンタイムに関する保険金請求では、通常、保険契約に基づく請求が可能になるまでに４時間から12時間の待機時間が設定されています。 サイバー保険の適切な補償額と貴社に適した保険条件については、信頼できる保険仲介の専門家やリスクアドバイザーまでご相談ください。

サイバーリスクの保険化を高める12の主要リスクコントロール 

現在、サイバー保険を手配するには、保険会社が指定するリスクコントロールを導入済みであることが前提条件となっています。特に多要素認証（MFA）、メールフィルター設定／Webセキュリティ、特権アクセス管理（PAM）、エンドポイント検出・対応（EDR）などの対策を講じていれば、通常は有利な条件でサイバー保険を契約することができます。

マーシュのサイバー・セルフアセスメント・ツールを利用すれば、どのような規模の組織であってもサイバーリスク対策の成熟度を見直し、同業他社と比較して対策の不備を特定しやすくなります。 サイバーリスクの保険化の可能性を高めるために強化すべき事項を洗い出し、保険料の低減にも貢献します。

サイバーインシデントからビジネスを守るには

あらゆるものがデジタルでつながる今、不可避のサイバーインシデントに対して財務面の補償と事故対応サポートの両方を提供するサイバー保険の重要性は高まる一方です。現状のサイバーヘルスチェックやおよび補償範囲の検証などをお考えの場合は、是非当社にご相談ください。