出典:Jimmie Tolliver / Alamy Stock Photo
アジア太平洋(APAC)地域では、サイバー保険を利用している組織は比較的少ないが、その状況は緩やかに変わりつつあると見られている。
サイバー保険は、保険の一分野であり、ランサムウェア攻撃が常態化するにつれて近年急速に普及してきた。サイバー保険は、サイバー攻撃によって生じる損失を補填することを目的としており、場合によっては保険加入者がサイバー犯罪者へ身代金を支払うケースも対象に含まれる。
保険ブローカーのUIBとサイバーリスク分析ベンダーのCyberCubeは今週、アジアにおけるサイバー保険の現状に関するレポートを公表した。「アジアのサイバー保険機会の解放:成長におけるブローカーの役割」と題されたこのレポートは、多数の人口と無数の組織が存在するにもかかわらず、日本・韓国・香港・シンガポールといった先進経済圏においてさえ市場浸透率は低水準にとどまっていると指摘している。
これらの経済圏では、「数十億ドル規模の収益を持つ大企業でさえ、リスクエクスポージャーに対して控えめなサイバー補償限度額しか設定していないことが多い」とレポートは述べており、多くの市場で中小企業のうちスタンドアロン型サイバー保険を購入しているのは5%未満にとどまっている。リスク管理会社のAonは昨年のレポートで、サイバー保険はアジアの潜在市場のわずか約6%にしか普及していないと報告した。
アジアでサイバー保険の導入が遅れる理由
UIBとCyberCubeのレポートによれば、アジアの組織がサイバー保険の加入で出遅れた要因は複数あり、主にサイバーセキュリティ態勢のばらつき、近年の急速なデジタル化、そしてそのデジタル化と歩調を合わせて激化した脅威の状況が挙げられている。
脅威アクターが攻撃をより巧妙化し、被害者から要求する金額を高度に算出するようになったことで、顧客のセキュリティ態勢などに関するアンダーライティング要件は厳格化した。ただし、レポートが指摘するように、すべてのケースでそうとは限らない。
「ソフト市場において、サイバー(再)保険会社が高まり続ける複雑な脅威の世界に対応する中、APACの市場未開拓という状況はビジネスチャンスを提供している。競争の激化により、保険の供給が需要を上回り続けており、サイバー保険は世界的に3年連続で保険料が低下している」とレポートは述べている。「このダイナミクスは、保険料率の悪化による最近のエクスポージャーの拡大を相殺しており、保険料・補償内容・セキュリティコントロールに関するさらなる譲歩を促している。」
こうした成長「機会」と並行して、UIBとCyberCubeはアジアの主要組織が注目度の高いサイバーインシデントを相次いで報告していることから、脅威の状況が悪化していると指摘している。中国銀行のシンガポール支店は2025年4月にランサムウェア攻撃を受けた。日本のビールメーカー・アサヒは同年9月にランサムウェアグループ「Qilin」による攻撃を受け、数日間にわたる生産停止を余儀なくされた。
サイバーコンサルタント会社のS-RMは1月に公表したリサーチで、前年比で2倍以上の組織がランサムウェアのリークサイトに名前を掲載されるなど、地域全体でランサムウェア攻撃が急増していることを報告した。
Qilinは昨年アジアの組織を標的にした最も活発なグループだったが、その状況は変わりつつある可能性がある。Cybleの観測によれば、「The Gentlemen」がランサムウェア攻撃の約4件に1件を占めた。Cybleの2026年第1四半期APACレポートはさらに、インドでランサムウェアの標的が急増しており、2025年第1四半期から2026年第1四半期にかけてインシデント件数が165%増加したことを指摘している。
ラテンアメリカ(LATAM)や中東・アフリカ(MEA)地域と同様に、アジアのセキュリティ態勢は組織・国によってまちまちであり、地域全体で見られる急速なデジタル拡大がその問題をさらに深刻化させている。例えば、近年急速なデジタル拡大を遂げているベトナムは、ランサムウェア攻撃の標的として最も急成長している国の一つになっている。
前向きな側面としては、Aonの前述のレポートでAPAC地域の組織のサイバー成熟度が全体的に改善されていることが観察された。
QualysのチーフリスクテクノロジーオフィサーであるRich Seiersenは、アジアが特別に標的にされているわけではないとしながらも、急速にデジタル化が進む市場では攻撃対象領域が拡大し、日和見的なサイバー犯罪と国家支援型の活動の双方を引き寄せることになると、Dark Readingに語った。
「経済がよりコネクテッドになり、クラウド対応、モバイルファースト、デジタルシステムへの運用依存が進むにつれて、自然と攻撃者にとって魅力的な標的環境になっていく」と彼は述べる。「地域の多くの地域では急速な経済・デジタル拡大が進んでおり、エクスポージャーと攻撃者の関心がともに高まっている。一部の国では、規制の不均一さ、サイバー成熟度のばらつき、重要インフラ・通信・製造・サプライチェーンをめぐる地政学的な注目の高まりがそれに拍車をかけている。」
アジアのサイバー保険業界、成長の態勢が整いつつある
レポートの中心的な主張は、アジア市場は急速なデジタル化とセキュリティ態勢のばらつきによって出遅れていたが、それゆえに多くの組織が脅威の状況に迫られるまで保険を検討しなかったという経緯があり、まさにその要因によって成長の余地が生まれているというものだ。
「拡大は、サイバー脅威に対する真の財務エクスポージャーを明確に把握していないことが多いアジア企業によって牽引されると予想される」とレポートは述べている。「こうした組織の多くは、社内にサイバーセキュリティのリーダーシップを持たず、専任のIT セキュリティチームも不在で、リスクファイナンスへの体系的なアプローチをまだ導入していない。サイバー保険は、業務中断・ランサムウェア攻撃・事業中断に伴うコストや費用に対する比較的手頃な財務的セーフティネットとして機能する。」
実際に成長は見られたようだ。レポートによれば、あらゆる規模のアジア企業でサイバー保険の導入率が2024年から2025年にかけて100%以上増加した。
サイバー保険を検討しているアジアの組織は、セキュリティロードマップに補償要件を組み込んでおくことが望ましい。保険会社の顧客基盤が拡大するにつれて、要件がさらに厳格化する可能性があるためだ。なお、サイバー保険はあくまでセーフティネットであり、優れたセキュリティ態勢に取って代わるものでは決してないことを強調しておく必要がある。組織は常に、脆弱性のパッチ適用、厳格な認証の実践、そしてフィッシングなどのソーシャルエンジニアリング戦術を回避するための従業員への指導を優先すべきである。
翻訳元: https://www.darkreading.com/cybersecurity-operations/asias-cyber-insurance-market-signs-of-life
