英Lloyd'sが公表した「Lloyd's Emerging Risk Reports」によると、クラウドサービスプロバイダーがハッキング攻撃によって事業停止に陥った場合、推定で最大530億ドルの損失が発生する一方、サイバー保険でカバーされる損失は17%に満たないという。サイバーリスクに起因する損失への無保険状態について指摘している。
調査では、Lloyd'sがサイバーリスク分析モデリングを手掛ける米Cyenceと共同で、2つのシナリオによる推定被害損失とサイバー保険の実情について分析した。
まず、クラウドサービスプロバイダーがハクティビストによるハッキングでハイパーバイザに悪意ある変更を加えられ、事業停止に陥るというシナリオでは、経済的損失の平均値が大規模な事象で46億ドル、最大規模では530億ドルに上ると推定した。風評被害など不透明な要素も考慮した場合、推定損失は最小で150億ドル、最大では1210億ドルに達する。保険の支払い対象となる損失の平均値は、大規模な事象の場合で6億2000万ドル、最大規模でも81億ドルにとどまるという。
また、サイバーアナリストが世界の45%で稼動するOSの全バージョンに影響する脆弱性情報が入ったカバンを電車に置き忘れ、それを入手したサイバー犯罪者がOSへの脆弱性攻撃に使用したというシナリオでは、経済的損失の平均値が大規模事象の場合で97億ドル、最大規模では287億ドルになり、保険の支払い対象となる損失は7億6200万ドルから21億ドルの範囲になるとした。
Lloyd'sによれば、サイバー攻撃による企業のコストは年間4500億ドルに上ると推定される。こうした状況にサイバー保険への需要が高まり、2017年の市場規模を30億~35億ドルと推定する。しかし、被害の実情に対してまだ保険の普及が進んでおらず、保険でカバーされるのは、クラウドサービスプロバイダーへの攻撃シナリオのケースでは17%に満たず、OSへの脆弱性攻撃のシナリオでは7%になるという。
Lloyd'sは、企業にとってサイバー攻撃が大規模な自然災害に匹敵するリスクになっているとし、将来的に多数の保険金請求から保険会社の保険金コストが劇的に増加する可能性があると指摘している。