出典:Travelinglight / Alamy Stock Photo
サイバーリスクの責任者は、現在のサイバー保険市場の力学にあまり安住しないほうがよいかもしれない。数年にわたる保険料率の軟化と熾烈な競争を経て、保険料率の引き下げペースには鈍化の兆しが見え、保険会社は契約を引き受けたり保険金を支払ったりする前に、ベストプラクティスの実施をより多く証明するよう求めている。
取締役会やエンタープライズ・リスク管理の関係者は、サイバー保険をサイバーリスク管理戦略の不可欠な要素としてますます捉えるようになっている。しかし、今は補償を得やすく、費用も抑えられるかもしれない一方で、巨大損失イベントが1〜2件起きるだけで状況は一変し得る。サプライチェーンの問題やAI関連インシデントがたった1件起きるだけでも、引受姿勢が劇的に変わる可能性がある。
市場が軟調であっても、証拠に基づくサイバー保険を求める声は強まっている。マネージング・ジェネラル・エージェント(MGA)や保険会社は、最低限のセキュリティ統制の実装について顧客に責任を負わせる姿勢をより真剣にしている。また、セキュリティ業界と保険業界の双方のプレイヤーが、引受時および保険金請求時に、顧客が自社のセキュリティ態勢をより高度に証明できる仕組みの実装を着実に進めている。
「申込書に何かを書いて、統制が整っていると小指で約束するだけではなく、もっと証拠を求めているのです」と、ForresterのSecurity & Riskチームの主任アナリスト、Heidi Sheyは言う。
サイバーセキュリティとサイバー保険の専門家によれば、だからこそCISOは、2026年のロードマップにサイバー保険の観点をどう組み込むかを、引き続き綿密に考える必要がある。これには、統制と保険水準のバランスをどう取るか、保険約款の文言をどう精査するか、更新時や損失イベント発生時に保険適格性をどう証明するかを慎重に戦略化することが含まれる。
以下は、2026年の意思決定に影響を与えるべき最も重要な要因の一部である。
サイバー保険料率は依然として軟調だが、販売は堅調
たとえば2023年の空気感と比べると、現在のサイバー保険業界は買い手にとってかなり有利になっている。中小企業向けに注力するMGAであるCowbellの米国中部地域アンダーライティング担当リージョナルVP、John Hennessyによれば、近年はより多くの保険会社やMGAがこの分野に参入したことで市場が軟化し、保険料が下がったという。競争に加え、近年の損失の深刻度が低下したことが、より有利な料率と条件を後押しした。
「MGA保険会社の視点からすると、(軟化の)こうした理由は望ましいものです」と彼は言う。「キャパシティは潤沢にあり、被保険者の一般的なサイバーセキュリティ態勢は強化されています」
保険会社は依然として十分な収益機会があると見ており、市場は拡大している――ただし、5年前ほどの急速さではない。とはいえ、業界関係者は、料率が安定するにつれて来年は市場の拡大ペースが上がると見込んでいる。
先月公表されたForresterのレポートは、世界のサイバー保険料の増加率が来年は倍増し、2026年には15%上昇すると予測している。これは必ずしも料率そのものへの上昇圧力を反映するものではなく、その大半は依然として契約件数が増えることによるものだ。
しかし、保険大手Swiss Reによる分析では、平均料率が2年連続で12%低下した後、2025年には下落幅が6%に鈍化したことが示されている。同社の専門家は、脅威環境の変化に伴い、保険料や保険条件に関する譲歩を業界が減速させざるを得なくなる可能性があると警告する。レポートは、大規模イベントをカバーし長期的な補償を維持するために、市場は料率を安定させる必要があるとしている。
保険業界向けにサイバー態勢の記録プラットフォームを提供するスタートアップSpektrum Labsの創業者J.J. Thompsonは、ここ数年の引受の緩さについて、保険会社は「まだ財務的に罰を受けていない」と言う。いずれ避けられないいくつかの極端なイベントが保険会社の損失を積み上げるとき、清算の時が来るという。
「それによって保険会社側には課題が生じますし、それが起き始めると、被保険者にとってはより難しくなるでしょう」と彼は言う。
取締役会は、バランスの取れたサイバーリスク・プログラムに保険を求める
過去10年で市場が浮き沈みする中、経営層の間でのサイバー保険に関する通説は大きく成熟した。2026年、CISOは、サイバー戦略の不可欠な一部としてサイバー保険を求める企業の要請がこれまで以上に強まることを想定すべきだ。
「何年も前は、サイバー保険を『どちらか一方』の選択肢として捉える人にまだ出会うことがありました」とForresterのSheyは言う。意思決定者の中には、保険契約を購入することを、最も基本的な統制への投資と等価交換だと見なす人もいたが、 「それはもう起きません。統制と保険は表裏一体だと理解しています」
最終的に、取締役会と経営陣は、サイバー保険とサイバーセキュリティ統制を、同じリスク管理のコインの両面として捉えている。規律ある企業は、リスク低減のための統制と、リスク移転のための保険の両方が必要だと認識している。これは、企業が建物に消火設備を導入しつつ、火災に備えて保険で補償を確保するのと同じだ。
「CISOはCFOと連携し、サイバー保険をコンプライアンスのチェックボックスではなく、より広範なリスク資金調達ポートフォリオの一要素として扱っています」と、Qualysの最高リスク・テクノロジー責任者Rich Seiresenは言う。
全米企業取締役協会(NACD)が今年初めに公表したレポートによると、サイバーに精通した取締役会は、自社のサイバー保険の補償内容を綿密に把握している。過去1年でサイバーセキュリティへの理解を深めた取締役会は、理解が深まっていない取締役会に比べ、保険補償の範囲を見直した可能性が高い――75%対46%だった。
買い手市場に甘んじるのではなく、CISOはこのタイミングを、リスク上の立ち位置を強化する好機と捉えるべきだ。「多くの組織が急速なデジタル変革やAI主導の変革を進める中、リスク移転とリスク低減のバランスを再評価する理想的な時期かもしれません」とSeiresenは言う。
強固で、かつ証明可能なセキュリティ態勢を持つ企業は、市場を自社に有利に活用できる。「買い手にとっては、軟化局面の間に経済的に補償を増やす余地が生まれ、同時にレジリエンスも高められます」とSeiresenは言う。
必要なのは質問票ではなく、確かなテレメトリ
こうしたレジリエンス投資は、市場が保険会社有利に転じたときに真価を発揮する。組織はリスクを低減する統制を実質的に強化することを考えるべきであるだけでなく、自社の態勢を保険会社に対してより証明可能にする方法の実装も検討すべきだ。
「市場が徐々に引き締まるにつれ、透明性と測定可能なセキュリティ態勢に早期投資した組織は、2026年以降に補償を求める際、より多くの選択肢と交渉力を得られる可能性があります」とSeiresenは言う。
Thompsonは、Spektrum Labsの事業上の利害があるため自己都合に聞こえるかもしれないと認めつつも、引受担当者はまもなく、曖昧な質問票回答の約束以上のものを求めるようになるというForresterの見立てに同意する。基準は申込プロセスにおけるセキュリティ・テレメトリの証明へと移り、その情報は保険金請求プロセスを円滑にするうえでも同じくらい重要になる、と彼は言う。
「それが大きな変化になるでしょう」と彼は予測する。「約束したことを実際にやっていると証明できる企業を、迅速に審査し、インセンティブを与える方向へ移行し、それが来年にはますます実質的に報われるようになります」
ある程度、市場はすでにこの方向へ進んでいるとCowbellのHennessyは言う。スキャン情報は、引受担当者が見積もり、条件、そして含めるべき主観的要素を判断するのに役立つという。「このセキュリティ・テレメトリは、取引がこの段階に至るまでのプロセスを確かに形作っています」と彼は言う。
より大きな進化は、保険会社が有利な条件のために一時点のスキャンを求める段階から、被保険者が継続的なテレメトリ・フィードへのアクセスを提供することに対してインセンティブを提示する段階へ移るときに起こる。サイバー・コンサルティング企業CinderLabsのCEOでベテランCISOでもあるJeromie Jacksonは、保険会社は「年に一度分析するだけ、といったことではなく」、より継続的な評価を採用し始めるだろうと言う。
その移行が進むにつれ、CISO、CFO、そして取締役会は、その種の可視性を保険会社にいつ、どのように与えるかについて、リスクとリターンのトレードオフを慎重に考えなければならない。
「私たちの立場としては、保険会社がそれを使ってリスクを評価し、適切な補償を提示するのに役立つのは確かですが、最終的には、組織としてこれにどう取り組むかはあなた方の選択です」とSheyは言う。これは、マネージド検知・対応(MDR)サービス提供者や他のベンダーなど、第三者との共有を伴う場合には特に重要だという。
「有利に働くこともありますが、別のケースでは不利に働くこともあります」とSheyは説明する。「何を共有するかをどう決めるか、そしてその条件や影響を理解することには注意してください」
約款の標準化には大きな余地がある
2026年の更新時においても、相当の注意を払うことはCISOにとって主要な検討事項であり続ける。それは、組織のエクスポージャー水準について保険会社にどれだけの可視性を与えるかを決めることだけでなく、約款文言、補償水準、そしてその間にあるあらゆる点にも及ぶ。
市場は多くの面で成熟してきたとはいえ、サイバー保険約款の標準化にはまだ大きな余地があるとHennessyは言い、来年にはそれが進むことを期待している。ただし当面は、買い手が注意すべき状況だと警告する。
「被保険者は、基本的で常識的な補償が、現在の市場ではそれほど一般的ではないことを認識すべきです。最も安い選択肢で契約を成立させる前に、買い手は、不正収集、条件付事業中断、全世界の規制対応コストといった補償が約款に含まれているかを確認すべきです」と彼は言う。「最も重要なのは、経験豊富で信頼できる保険金請求対応チームがその約款を支えていることを、買い手が確実にすることです」
翻訳元: https://www.darkreading.com/endpoint-security/cisos-face-tighter-insurance-market
