米国市場においてサイバー保険の保険料が下落しているが、保険提供側はリスクへの露出を制限するため、保険約款の免責事項を拡大している [1, 2]。
この変化は、保険会社と企業の関係性が変わりつつあることを示している。コストの低下は一見有益に思えるが、補償範囲の格差が広がっていることは、特定の種類のセキュリティ侵害が発生した際に、企業がより多くの自己負担を強いられる可能性があることを意味する。
2024年の業界レポートによると、企業の全体的なセキュリティ体制が改善されたことで、保険料が低下している [1, 2]。防御策の向上により、多くの被保険者の一般的なリスク露出が減少したため、保険会社は基本補償の加入コストを下げた [1]。
しかし、この価格低下は、保険約款の文言の厳格化というトレードオフを伴っている。保険会社は、高リスクの損失カテゴリーに対する免責事項を増やす傾向にある [1, 2]。最も顕著な傾向は、従業員を欺いて資金を転送させたり機密情報を開示させたりする詐欺的スキームである「ソーシャルエンジニアリング攻撃」への免責拡大である [1, 2]。
補償範囲を狭めることで、保険提供者はこれらの標的型詐欺スキームに関連する巨額の支払いを回避しようとしている。この戦略により、保険会社は一般的な顧客層に対して低い保険料を維持しつつ、最も変動性が高く頻発する種類のサイバー請求から自社を保護することが可能になる [1]。
企業は現在、「保険料の安価化」と「内部セキュリティ管理の必要性の増大」という二つの現実に直面している。この傾向は、保険会社が特定の人為的ミスによるリスクを、もはや標準的な料率で保険適用できるとは考えていないことを示唆している [2]。
“米国市場でサイバー保険料は下落しているが、提供側は免責事項を拡大している。”
サイバー保険市場は、包括的なアプローチから、より詳細なリスク評価モデルへと成熟しつつある。企業がベースラインとなるセキュリティを向上させるにつれ、保険会社はフィッシング詐欺への耐性不足など、「防止可能」な人為的ミスの金銭的負担を被保険者に回し始めている。これにより、企業はソーシャルエンジニアリング詐欺に対する主要なセーフティネットとして保険に頼るのではなく、従業員トレーニングや技術的な保護策への投資をより強化せざるを得ない状況となっている。
