エグゼクティブからのご挨拶
この4年間、各企業はサイバー脅威とランサムウェア攻撃の多発と深刻化、保険市場における保険料及び免責金額の上昇、保険引受の大幅な厳格化に直面しました。お客さまとのやりとりの中で気づいた点があります。それは、サイバー攻撃がビジネスのあらゆる領域に影響を及ぼす可能性があることを各社の経営幹部が痛感しているという点です。その結果、取締役会での議論では、サイバー耐性の実現が繰り返しテーマとして取り上げられるようになり、その脅威はついに総合的なリスクの観点から検討されるようになっています。
2020年から2022年にかけて、保険会社は大規模なサイバーリスクに対応する一方、自社の収益性確保にも迫られました。
サイバー保険市場とE&O保険市場では、保険引受の厳格化が進み、その結果、セキュリティ管理体制に対する監視が強化され、ガイドラインがより厳格になり、サイバーリスク全体に対する再評価が行われるようになりました1。エーオンのお客さまから報告されたデータによると、各企業はこのような引受の厳格化に対応し、保険会社によって「重要」または「レッドフラグ」と指定された管理体制のリスク成熟度の向上に一層注力するようになりました。
本レポートは、サイバーリスク、オペレーショナルリスク、サプライチェーンリスク、内部者リスク、風評リスク、システミックリスクという6つのリスクテーマについて、企業のリスク成熟度を同業他社と比較評価し、サイバーリスク管理に関する価値のある決断を支援するための経営者向けのガイドとなっています。本レポートは、エーオンがグローバルに展開するeSubmission(デジタル見積もり依頼ツール)およびリスク評価プラットフォームであるCyber Quotient(以下CyQu)から、地域、業種、収益規模を問わず2,000社を超えるエーオンのお客さまからグローバルに収集したデータに基づいて作成されています。このCyQuのデータを補完するものとして、エーオンのランサムウェアに関する補足情報質問書とオペレーショナルテクノロジーに関する補足情報質問書からのインプットがあり、保険会社が重要視するセキュリティ管理体制がどのようなものか幅広く情報提供しています2。お客さまからのインプットとサイバー保険事故の情報と組み合わせ、さらにエーオンのサイバーアドバイザリーチームとデジタルフォレンジックインシデントレスポンスチームからの情報を元にレポートを拡充させ、サイバー耐性とサイバーリスクに関して包括的に考察しています。CyQuのデータは、保険市場がサイバーセキュリティの成熟度を高めるための重要な牽引役となっていることを明らかにしています。2020年から2022年にかけてサイバー成熟度と準備体制が向上し、世界平均で「基礎的段階」のサイバー成熟度から「管理段階」への移行を実現したことが分かっています。一般的に企業は、アクセス管理や多要素認証(MFA)戦略の強化など、保険会社が重要であると判断したセキュリティ領域や管理体制を強化するための対策を採用しました。これに関連して、2022年にはランサムウェアによる保険事故が32%減少し、サイバー保険の保険金支払件数が14%減少しました3。
これとは対照的に、データによると、すべての業種の企業がサプライヤーのリスク管理に苦戦しており、「管理段階」の評価を報告した業種はありませんでした。この結果は驚くべきものではありませんが、企業のサプライチェーン全体にもたらされるリスクは複雑であり、テクノロジースタック間の相互接続の深化により、サプライヤーリスクを大幅に増大させるという、サイバー業界内で高まりつつあるテーマを裏付ける傾向にあります。直近では配信プラットフォームのデータ流出に象徴されるように、このようなリスクの高まりの結果、今年は多くの保険会社がシステミックリスクと相関リスクのエクスポージャーと影響に重点を置き換えていくことが予想されています。
このデータは、本レポートを通して提供される洞察の一端を示すものです。本レポートは複数の個別の記事で構成されています。金融・保険、医療関連、製造業の業種別分析に加え、北米地域、ヨーロッパ・中東及びアフリカ地域、英国、中南米地域、アジア太平洋地域の地域別分析が提供されています。
サイバー、ひいては事業のレジリエンスを構築するための道筋をつけることは、いかなる企業にとっても重要な課題です。耐性構築は、財務、業務、風評の観点からリスクを最小化するために不可欠な要素です。そのためには、事前予防的なリスク管理、対応準備、リスク移転の仕組みを全て連携させる総合的な視点が必要です。リスク移転は、耐性構築の基本要素であり、伝統的な保険契約への加入だけに限定されるものではありません。キャプティブや代替資本の活用は、バランスシート保護のために検討すべき効果的な選択肢でもあります。フォーチュン100社の経営者であれ、同様のリスクに直面しながらも市場から十分なサービスを受けていないと感じている中小企業の経営者であれ、本レポートがお客さまの2023年以降の意思決定に役立つ情報やツールになることを願っています。サイバー耐性の構築は長期的な取り組みとなりますが、社内外の関係者と協力して進めることが最善の方法です。
クリスチャン E ホフマン
グローバルサイバー責任者
参考文献
1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com)
2 エーオンのサイバー耐性レポート2023の「調査方法」記事を参照
3 出典:リスクベースセキュリティ、エーオンによる分析。データは2023年1月3日現在
