英国の組織によるサイバー保険の成功した請求件数が昨年急増したことが、業界の業界団体の最新データで明らかになりました。
英国保険協会(ABI)によると、2024年に被害を受けた組織に対して支払われたサイバー保険金は1億9700万ポンド(2億5900万ドル)で、2023年の5900万ポンド(7700万ドル)から大幅に増加しました。
サイバー保険会社はセキュリティ市場の中でも議論の的となっています。契約者に課す最低基準がセキュリティ水準を引き上げると主張する人もいれば、ランサムウェア集団への支払いによって犯罪者の恐喝を助長していると非難する声もあります。
ABIのデータによると、2024年に英国の組織によって行われた請求の51%がランサムウェアやマルウェア感染によるものでした。この割合は前年比で大きく増加しており、2023年には全請求の32%がランサムウェアやマルウェアによるものでした。
ABIは、保険金支払いにつながる攻撃の急増は、サイバー攻撃の高度化と企業への被害の拡大を示していると述べています。
「サイバー保険は単なる金銭的な安全網ではありません」とABIの一般保険政策責任者であるジョナサン・フォン氏は述べています。「適切な保険は、事故後の企業を支援するだけでなく、専門家のアドバイス、脅威の監視、インシデント対応計画へのアクセスを通じて、攻撃の予防にも役立ちます。」
「サイバー脅威が規模・高度化を続ける中、サイバー保険はすべての組織の現代的なリスク管理戦略において不可欠な要素となるべきです。」
ABIの最新データは、今年始まった英国の大手企業への一連のデジタル強盗が始まる前の期間に関するものです。
これには小売業者マークス&スペンサーも含まれており、同社は先週、最大1億ポンド(1億3100万ドル)のサイバー保険請求を行ったことを投資家に再確認しました。これにより、2025年のデータでは総支払い額がさらに増加する可能性が示唆されています。
同じく攻撃を受けた小売業者Co-opの関係者は、9月に、4月の攻撃時点で包括的なサイバー保険に加入しておらず、限定的な範囲の保険で請求を行わないことを確認しました。
CFOのレイチェル・イザード氏はロイターに対し、「第三者向けの技術分野における即時対応能力という観点ではサイバー保険のフロントエンド要素はありましたが、バックエンドの損失に関しては保険請求を行う予定はありません」と述べました。
ジャガー・ランドローバーも、今年発生した非常に高額なサイバー攻撃時にサイバー保険に加入していなかったと報じられています。The Regがこの件について同社に問い合わせたところ、JLRの広報担当者は「このような商業的な事柄についてはコメントしません」と回答しました。最終的に英国政府が画期的な支援策を講じ、自動車メーカーおよびそのサプライチェーン全体の中小企業の財政的回復を支援しました。
仮にJLRが当時サイバー保険に加入していたとしても、その内容がどれほど包括的であったとしても、ダウンタイムに伴う莫大なコストが保険金支払いによって実質的に軽減されたかどうかは不明です。
同社の約20億ポンド(26億ドル)に及ぶ被害額は、米国のChange Healthcareが2024年に受けたALPHVランサムウェア攻撃による20億ドル超のコストと比較されます。
業界関係者の間では、サイバー保険の役割と有効性について長年議論が続いています。
今年初めに開催された英国国家サイバーセキュリティセンター(NCSC)の年次会議では、サイバー保険の問題がトップ専門家パネリスト全員の一致した話題のひとつとなり、その役割がセキュリティ基準の向上に寄与していると支持されました。
CYBERUKセッションでの主な結論は、保険会社がリスク評価において数十年の専門知識を持ち、現代組織に影響を与える最も関連性の高い脅威インテリジェンスにアクセスできるため、それが保険契約の要件に反映されているというものでした。
組織がこれらを満たせない場合、つまり現代の最も成功した攻撃に対抗するための基本的な基準を実施しない場合、保険契約は得られません。
一方で、保険会社が身代金の支払いを助長していると考える人々もいます。
バイデン政権のサイバー担当責任者アン・ノイバーガー氏は昨年、保険会社が恐喝支払いを補償することを禁止するよう主張し、現行の保険契約が支払いを促進し、それがサイバー犯罪活動を助長していると述べました。
当時The Registerに話した他の専門家はこれに同意しませんでした。
Google Cloudのビジネスリスクおよび保険責任者であるモニカ・ショクライ氏は、「サイバー保険による身代金支払いを禁止しても問題が解決するとは思いません」と述べています。
「大企業の場合、サイバー保険は依然としてインシデントのコストをカバーしますし、身代金自体は特に大企業が直面する事業中断のコストと比べると重要ではないことが多いです。
「したがって、保険でカバーされていなくても大企業が身代金を支払い続ける場合、保険補償禁止の影響は限定的になります。」
他の専門家は、支払い禁止はあまりに単純な対策だとし、支払い増加の根本原因は「広範なデジタルの脆弱性」にあると指摘しました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/11/ransomware_surge_fuels_230_increase/
