サイバー保険は、企業がランサムウェア攻撃を受けた場合に発生した損失の一部を取り戻す方法の一つで、「ランサムウェア時代」とも呼べる今の状況において、理想のソリューションであるかのように思えます。2022年に地政学的リスクの高まりから世界情勢が緊迫したことも相まって増加したサイバー攻撃などリスクの高まりによって、サイバー保険市場は世界規模で拡大しており、日本でも現在は、大手損害保険会社を中心に取り扱いが増えています。
Veeam Softwareでもデータ保護とランサムウェアリカバリソリューションを補完するサービスとして、ランサムウェア被害時のデータ復旧費用を保障する「Veeam Ransomware Warranty」の提供を2023年2月に開始しました。このような背景を踏まえて本連載は、バックアップやデータ保護戦略の視点から、サイバー保険の現状や課題を整理し、データ保護やサイバーセキュリティ戦略における効果的な活用方法や導入ステップについて、Veeam Softwareで製品戦略担当シニアディレクターを務めるRick Vanoverと共に考察していきます。
まず前提として、依然深刻化するサイバー攻撃の問題に対して迅速な解決策が求められる状況では、サイバー保険による補償だけではカバーし切れない範囲があるのも事実です。サイバー保険は、どのようにハッキングされたか、将来的に発生する可能性のあるハッカーをどのように阻止するかといった問題には対応しておらず、また、データを保護したり、データをすぐに利用できる状態にしたりすることはできません。最終的には、サイバー保険の活用に加えて、サイバー脅威を回避すること、データをバックアップするといったある種別視点での「保険」を強化することが企業に求められます。
第1回では、企業のデータ保護戦略を補完するサイバー保険について、その歴史からひも解いていきましょう。
サイバー保険とは?
サイバー保険は比較的新しい分野で、保険会社が2000年代に、マルウェア、ランサムウェア、分散型サービス妨害(DDoS攻撃)などのサイバー攻撃に対する対策手段を提供するために包括的なサイバーポリシーを初めて展開したことが始まりです。日本では、2015年ごろから普及が始まりました。各社のさまざまな保険契約が第三者の情報盗難、事業中断により生じる損害費用・侵害の発生源を調査するフォレンジックサービスなどの賠償責任をカバーしています。
サイバー保険は有効です。例えば、某総合電機メーカーは個人情報漏えい事件を発端とした訴訟を解決するために費やした100億円以上の費用を緩和するために、サイバー関連に特化した補塡(ほてん)を望みました。しかし裁判所は、加入していた保険契約が物的損害のみを対象としたものだったため、サイバー関連費用は対象外であるとの判決を下しました。
