サイバー保険料が200%高騰——ランサムウェア除外条項の衝撃
サイバー保険料が2020年比で200%以上高騰し、それでもカバレッジは縮小している——Munich Reの2026年グローバルサイバー保険レポートが、保険市場の「持続不可能性」を警告しています。損害率が105%に達し(保険料収入より保険金支払いが多い赤字状態)、保険会社はランサムウェア身代金の支払いを除外する条項を標準化し始めました。
サイバー保険は「最後の砦」として期待されてきましたが、2026年の市場は「保険があっても守られない」「保険に入れない」企業が続出する異常事態に陥っています。
サイバー保険市場の現状
保険料の高騰
この図は、2020年から2026年にかけてのサイバー保険料と損害率の推移を示しています。
2026年のサイバー保険市場の主要指標は以下の通りです。
- 市場規模: $18B(約2.7兆円)、前年比+22%
- 平均保険料: 2020年比で200〜300%増(企業規模・業種により異なる)
- 損害率: 105%(保険料収入 < 保険金支払い)
- 中小企業の加入率: 35%(前年40%から低下——保険料高騰で断念する企業が増加)
- 保険引受拒否率: 申請企業の28%が引受を拒否される
なぜ保険料が高騰しているのか
ランサムウェア被害の増大: 平均身代金要求額$2.7M、事業中断による間接被害を含めると一件あたりの平均総損害額は$5.3M。大型案件では$100Mを超えるケースも発生しています。
攻撃の高度化: AIフィッシング、ディープフェイク詐欺、サプライチェーン攻撃など、従来の防御策では防ぎきれない攻撃が増加。保険会社にとってリスク評価が困難になっています。
システミックリスク: CrowdStrikeの2024年7月のインシデント(不具合のあるアップデートにより世界中の850万台のWindowsが停止)のように、単一の原因で大規模な損害が同時発生する「システミックリスク」が現実化しました。
カバレッジの縮小
この図は、2024年と2026年のサイバー保険カバレッジの変化を示しています。
ランサムウェア除外条項
2026年に入り、主要保険会社がランサムウェア関連のカバレッジを縮小または除外する動きが加速しています。
- Lloyd's of London: 2023年から国家支援攻撃の除外を開始、2026年にはランサムウェア身代金支払いの除外を標準約款に含める方針を発表
- AXA: フランスでのランサムウェア身代金カバレッジを完全除外(2022年から)、他市場でも段階的に拡大
- Zurich: 「壊滅的なサイバー事象」を保険対象外とする条項を2026年から標準化
戦争除外条項の拡大解釈
従来の保険では「戦争」による損害は除外されていましたが、国家支援サイバー攻撃をこの「戦争除外条項」に含めるかが大きな争点になっています。
2024年のNotPetya訴訟(Merckが保険会社を提訴)では、NotPetyaがロシアの国家支援攻撃であったことを理由に保険会社が支払いを拒否し、最終的に$1.4Bの和解に至りました。この判例を受け、保険会社は「国家支援攻撃」の除外範囲を明確化・拡大しています。
セキュリティスコア連動型保険
新しい保険モデル
2026年に登場した新しいトレンドが「セキュリティスコア連動型保険」です。企業のサイバーセキュリティ対策のレベルに応じて保険料を変動させるモデルで、自動車保険の安全運転スコア連動型保険に似ています。
主な評価項目は以下の通りです。
| 評価カテゴリ | 主な評価項目 | 保険料への影響 |
|---|---|---|
| 認証・アクセス管理 | MFA導入率、パスワードマネージャー利用、PAM | 最大30%割引 |
| エンドポイント保護 | EDR/XDR導入、パッチ適用頻度 | 最大20%割引 |
| バックアップ | 3-2-1-1ルール準拠、テスト頻度 | 最大25%割引 |
| インシデント対応 | IR計画の存在、テーブルトップ演習の実施 | 最大15%割引 |
| 従業員教育 | フィッシング訓練の実施頻度・結果 | 最大10%割引 |
| ネットワーク分離 | セグメンテーション、ゼロトラスト | 最大20%割引 |
1Passwordのようなパスワードマネージャーの全社導入は、認証・アクセス管理カテゴリで高いスコアを獲得でき、保険料の大幅な割引につながります。
主要保険会社の動向
| 保険会社 | スコア連動 | ランサムウェア対応 | 最低セキュリティ要件 | 日本対応 |
|---|---|---|---|---|
| Coalition | あり(独自スコア) | 条件付きカバー | MFA必須・EDR必須 | なし |
| Corvus | あり(Corvus Score) | 上限付きカバー | MFA必須 | なし |
| Munich Re | あり(パートナー連携) | 条件付き | 包括的評価 | あり |
| AIG | 検討中 | 除外拡大中 | MFA必須 | あり |
| 東京海上日動 | 一部導入 | カバー | 基本的要件 | あり |
企業が取るべき対策
保険契約の見直し
- 約款の詳細確認: 特にランサムウェア除外条項、戦争除外条項、システミックリスク除外の有無を確認
- カバレッジギャップの特定: 何が保険でカバーされ、何がカバーされないかを明確にマッピング
- 自己負担額の確認: 免責金額(デダクティブル)が上がっていないか、支払い限度額が下がっていないか確認
セキュリティ投資による保険料削減
保険料の高騰に対する最も効果的な対策は、セキュリティ対策を強化して保険料の割引を獲得することです。
- MFAの全社導入: 1Passwordでパスワード管理を一元化し、全アカウントにMFAを適用。多くの保険会社がMFA導入を加入の最低条件としている
- EDR/XDRの導入: エンドポイント保護は保険引受審査の重要評価項目
- バックアップの強化: オフラインバックアップの存在と定期的な復旧テストが、保険料割引の大きなファクター
- VPNの導入: NordVPN等でリモートアクセスを保護し、RDP直接露出を排除
自家保険(キャプティブ)の検討
保険料が高騰し続ける中、大企業を中心に自家保険(キャプティブ保険会社の設立)を検討する動きが広がっています。自社でリスクを引き受けることで、保険料の外部流出を抑え、リスク管理のインセンティブを高めることができます。
日本ではどうなるか
日本のサイバー保険市場は、欧米と比べてまだ発展途上ですが、急速に変化しています。
市場規模: 日本のサイバー保険市場は2025年に約800億円、2026年には1,000億円を超える見通しです。ただしグローバル市場($18B = 約2.7兆円)と比較すると、まだ小規模です。
加入率の課題: 大企業のサイバー保険加入率は60%程度ですが、中小企業は10%未満。保険料の高騰に加え、「うちは大丈夫」という正常化バイアスが加入を妨げています。
国内損保の動向: 東京海上日動、三井住友海上、損保ジャパンの3社がサイバー保険を積極的に展開。2026年度からはセキュリティスコア連動型の保険料設定を一部導入する方針です。
ランサムウェア対応: 日本の保険会社は現時点ではランサムウェア身代金の支払いをカバーする商品を提供していますが、欧米の動向を受けて、2026年度中に約款の見直しが行われる見込みです。
経済産業省のガイドライン: 2026年度に「サイバーセキュリティ保険に関するガイドライン」を策定予定。企業がサイバー保険を選ぶ際のチェックリストと、保険加入の前提となるセキュリティ基準を提示する方針です。
まとめ:今すぐ取るべき3つのアクション
サイバー保険は「入れば安心」の時代は終わりました。保険に頼るのではなく、保険が適切に機能する状態を作ることが重要です。
- 現在のサイバー保険契約を精査する: 約款のランサムウェア除外条項、戦争除外条項、システミックリスク除外の有無を確認。カバレッジのギャップを特定し、追加の対策(自家保険含む)を検討する
- セキュリティ対策で保険料を下げる: 1PasswordによるMFA全社導入、EDR導入、オフラインバックアップの構築を実施し、保険会社のセキュリティ評価でのスコアアップを目指す。これらの投資は保険料削減で回収できるケースが多い
- 保険に頼らない防御体制を構築する: 保険はリスク移転の手段であり、リスク削減の手段ではない。インシデントレスポンス計画の策定・テスト、従業員教育、ゼロトラストアーキテクチャの導入で、そもそも被害を最小化する体制を構築する
保険があっても防御は必要です。防御があれば保険料は下がります。この好循環を作ることが、2026年のサイバーリスク管理の鍵です。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星