サイバー保険市場の拡大とランサムウェアが生む「システミックリスク」論争

はじめに

世界のサイバー保険市場は過去20年間で40倍超に拡大し、2025年時点で市場規模は160億ドルに達したとされる。2032年には120億ドルから推計機関によっては数百億ドルの水準まで成長するとの予測もあり、デジタル経済の拡大とともに保険需要は構造的に高まっている。しかしこの成長が急な市場では、同時に深刻な問題が浮上している。ランサムウェア攻撃の大規模化・組織化、国家支援型サイバー攻撃の増加、クラウドやサプライチェーンを通じた攻撃の連鎖——これらが引き受けリスクの予見困難性を高め、保険業界の内外で「サイバーリスクは本当に保険可能か」という根本的な問いが提起されている。

Munich Reの試算によれば、世界のサイバー犯罪のコストは2028年に14兆ドルに達する見込みであり、この損失の大部分はまだ保険でカバーされていない。すなわち「市場の巨大な成長機会」と「保険会社が引き受けを拒む保険不能リスクの問題」が表裏一体として存在するのが、現在のサイバー保険市場の実態だ。日本企業を標的にしたランサムウェアと対応体制が示す日本固有の課題と、本稿が論じるグローバルなシステミックリスク論争は、連続した問題として理解する必要がある。本稿では、サイバー保険市場の構造、ランサムウェアが生むシステミックリスクの論点、保険会社によるセキュリティ要件強化の動き、そして国際的な官民協調の必要性を分析する。

サイバー保険市場の規模と構造

急成長の実態と加入率の低さ

世界のサイバー保険市場は2000年代に産業賠償責任保険の特約として生まれ、2010年代後半から独立した保険商品として急速に拡大した。ランサムウェア被害の増加が保険認知度を高め、企業のリスク管理担当者がサイバー保険を必須のリスク移転手段として位置づけるようになったことが成長を加速させた。

しかしMunich Reのグローバルサイバーリスク・保険調査2026では、C-suiteの約9割が「自社は十分に保護されていない」と感じていると報告されており、市場規模が拡大するなかでもリスク認識と実際の保険加入の間には大きなギャップが残っている。企業の規模別では、大企業（Fortune 500クラス）のサイバー保険加入率は比較的高いが、中小企業の加入率は依然として低水準にあり、実際のリスク曝露と保険カバーのミスマッチが顕著だ。

保険料は2020〜2022年のランサムウェア攻撃急増期に大幅に上昇したが、2024〜2026年にかけては一定の安定化が見られる。これは引き受け条件の厳格化と被保険者側のセキュリティ対策向上が組み合わさった結果だ。ただし「安定化」は市場全体の平均であり、セキュリティ態勢の優れた企業への保険料引き下げと、対策が不十分な企業への保険料据え置きまたは引き受け拒否という二極化が同時に進行している。

請求の増加と重症化

2026年に公表されたInsurSec Reportは、2025年通期の保険請求件数が前年比7%増加し、平均請求重症度が221,000ドルという過去最高を記録したと報告している。2025年前半のランサムウェア関連インシデントは、全損失の90%超を占めた。特に注目されるのはAkiraランサムウェアの急増で、2025年Q3〜Q4に攻撃頻度が364%上昇したと記録されている。

請求の重症化には複数の要因がある。第一に攻撃者の戦術高度化だ。単純な暗号化から「二重恐喝」（データ暗号化と流出の両方）、さらに「三重恐喝」（取引先・顧客への直接脅迫）へと進化した手法が、一度の攻撃で生じる損失を拡大させている。第二にランサムウェア・アズ・ア・サービス（RaaS）モデルの普及で、技術スキルの低い攻撃者でも高度な攻撃ツールを利用できる市場が形成され、攻撃の量と多様性が拡大した。第三に企業のデジタル依存度の高まりで、クリティカルシステムのダウンタイムコストが増大している。

ランサムウェアとシステミックリスクの本質

デジタルサプライチェーンの脆弱性

現代のサイバーリスクにおいて最も深刻な問題の一つが、デジタルサプライチェーンを通じたリスクの連鎖だ。2025年11月に発生したCloudflareの大規模障害は、単一インフラプロバイダーへの依存がいかに広範な被害を生みうるかを示した実例となった。この障害のコストは推計50億〜150億ドルとされ、Cloudflareのサービスに依存する企業・サービスが世界規模で業務停止に追い込まれた。

Munich Reのシステミックサイバーリスク報告（CyberCubeとの共同）は、「大型組織の3分の2以上が過去12ヶ月間に少なくとも1件のサードパーティサイバーインシデントを経験した」と報告している。ソフトウェアの共通コンポーネント（OSS、共通APIライブラリ等）への攻撃、主要クラウドサービスプロバイダーの機能停止、広く使われる企業向けソフトウェアへのサプライチェーン攻撃——これらが連鎖した場合、被害は保険市場の引き受け能力を超える規模に達しうる。

2020年に発覚したSolarWinds攻撃、2021年のKaseya経由のランサムウェア攻撃は、1つの侵害が何千もの組織に連鎖する「サプライチェーン型攻撃」の脅威を世界に認識させた。これ以降、保険会社はサプライチェーンを通じたリスクの「累積（アキュムレーション）」を保険ポートフォリオ全体での集計リスクとして分析する「累積管理」の重要性を認識するようになった。

国家支援型攻撃とサイバー戦争の境界問題

Munich Reを含む主要再保険会社が特に警戒しているリスクは、国家支援型の攻撃行為者と民間の犯罪集団の境界が曖昧化している点だ。Munich Reの分析では、スパイ活動・妨害工作・サービス停止・資金窃取という動機が重なりあうかたちで、国家機関・国家に容認された犯罪集団・独立した攻撃者が「可変的で専門特化した俊敏なエコシステム」を形成していると指摘する。

世界経済フォーラム（WEF）の調査では、64%の組織が「地政学的動機によるサイバー攻撃の潜在的ターゲットになりうる」と感じていると報告されている。特に防衛・エネルギー・金融・通信・重要インフラを運営する企業への攻撃が、利益動機と地政学的目的を同時に持つ行為者によって増加しており、「誰が攻撃しているか」の帰属（アトリビューション）問題が保険請求の認定に複雑な問題を持ち込む。

多くのサイバー保険契約には「戦争行為（Acts of War）除外条項」が存在する。しかし「国家支援型攻撃」と「国家が黙認する犯罪集団による攻撃」の間の法的・事実的境界は曖昧であり、保険会社が「これは戦争行為だから支払い免責」と主張し、被保険者が争うケースが現実に生じている。ロイズ・オブ・ロンドンを含む主要保険市場では、こうした境界問題への対応として契約条件の明確化と標準化の議論が進んでいる。

保険会社によるセキュリティ要件強化

アンダーライティングの変革

ランサムウェア被害の拡大と損害率上昇を受けて、主要サイバー保険会社は引き受け基準（アンダーライティング基準）を大幅に厳格化した。2021〜2022年頃には「自己申告のチェックリストを提出するだけで保険加入できた」状況から、現在は詳細な技術的評価が求められるようになっている。

標準的なアンダーライティング要件として定着しつつある項目には、多要素認証（MFA）の全社的実装、特権アクセス管理（PAM）の導入、バックアップの3-2-1-1ルール（3コピー・2種類の媒体・1オフサイト・1オフライン）への準拠、エンドポイント検出・応答（EDR）の展開、ネットワークのセグメンテーション、インシデント対応計画（IR Plan）の整備と定期的な演練などが含まれる。

より先進的な保険会社は、申し込み企業のシステムをリアルタイムにスキャンする技術的評価ツールを活用しており、自己申告と実態の乖離を検証する能力が高まっている。保険加入の条件として改善措置の実施を求め、定期的な再評価を通じて保険料に差を設ける「ダイナミックプライシング」の実験も行われている。

「インシュアテック」とセキュリティのバンドル

保険会社とサイバーセキュリティベンダーの境界が溶解しつつある。Resilience・Coalition・At-Bayなど「インシュアテック」と呼ばれる新興サイバー保険会社は、保険加入企業に対してセキュリティモニタリング・脅威インテリジェンス・インシデント対応支援を保険商品と一体として提供する「セキュリティ＋保険のバンドル」モデルを展開している。

このモデルの背後にある論理は明確だ——保険会社がリスクを引き受けるだけでなく、被保険者のリスクを積極的に低減することで損害率を抑制し、長期的な保険料収益の安定化につなげるというものだ。セキュリティ投資と保険料低減を連動させることで、企業のセキュリティ強化インセンティブを高める効果も期待されている。従来の保険は「損害発生後の補償」だったが、新モデルは「損害発生前の予防支援」を組み込んでいる。

「保険不能リスク」論争と公的介入の議論

引き受け拒否の増加と「保険不能」の議論

気候保険市場での引き受け撤退と同様に、サイバー保険においても一部リスクへの引き受け拒否・制限が拡大している。気候変動による保険市場の引き受け撤退問題と並行して、サイバーリスクの「保険不能リスク」問題は保険監督当局・金融安定機関の関心を引き始めている。

特に問題視されるのは「カタストロフィックなシステミックサイバーイベント」のリスクだ。一つの大規模攻撃が金融システム全体・エネルギーインフラ・医療システムに同時に打撃を与えるシナリオは、損害が保険市場全体の引き受け能力（約1,200億ドル規模とされる全世界の保険引き受け能力）を超えうる。München Re は「大規模なサイバー戦争や重要インフラの壊滅的なシステム障害から生じる損害は、業界の能力をはるかに超える可能性があり、マクロ経済的安定への脅威となる。そのため、政府の関与なしには管理できない」と明示的に述べている。

テロリスト攻撃に対して多くの国が「政府再保険」の仕組み（例：米国のTRIP、英国のPool Re）を設けているように、カタストロフィックなサイバー攻撃に対しても公的な最後の貸し手・保険人としての政府関与の必要性が議論されている。

国際的な官民協調の模索

各国政府・規制当局も対応を模索している。米国では財務省・国土安全保障省がサイバーレジリエンスの最低基準設定や、連邦サイバーインシデント報告法（CIRCIA）に基づく強制報告義務の整備を進めている。EUではNIS2指令により重要インフラ・必須サービス事業者のサイバーセキュリティ要件が強化されており、違反には最大1,000万ユーロまたは年間売上高の2%というGDPR類似の制裁が設けられている。

クラウド主権とデータローカライゼーション規制の台頭が示す規制環境の複雑化とあいまって、多国籍企業のサイバーリスク管理は国ごとに異なる法的要件への対応が増大するという課題を抱えている。グローバルに統一された標準的なサイバーインシデント報告・対応の枠組みがないため、国際的なサイバー攻撃への対応調整が困難になっているという批判も根強い。

NATOのサイバー防衛政策、G7サイバーグループ、そしてICPOL（国際刑事警察機構）によるランサムウェア犯罪者の追訴連携など、国際的な官民協調の枠組みは少しずつ整備されているが、「攻撃者の行動スピードと国際協調のスピードの非対称性」という根本問題は解消されていない。

保険会社の視点から見た市場の将来

価格と引き受けの二極化

保険市場の見通しとして、2026年以降も市場規模の拡大は続くと見られているが、その中身は「賢い引き受け（intelligent underwriting）」によって精緻化される見通しだ。セキュリティ態勢の優れた企業・産業向けには競争的な価格設定が維持される一方、重要インフラを運営する企業・規模の大きい企業・セキュリティ対策が遅れている企業については、保険料の上昇または引き受け制限という圧力が続く可能性がある。

AIの活用もアンダーライティングのあり方を変えつつある。保険会社はAIを使って申し込み企業の外部に露出した攻撃表面（Attack Surface）を自動スキャンし、脆弱性の程度をスコアリングする技術を活用している。機械学習による攻撃パターンの予測や、保険ポートフォリオ全体の累積リスクのリアルタイムモニタリングも実用段階に入りつつある。

ランサムウェア身代金支払いと保険の複雑な関係

ランサムウェア保険とサイバー攻撃者のエコシステムとの間には、倫理的・実際的な複雑さがある。保険がランサムウェアの身代金支払いをカバーすることで、身代金の支払いが容易になり、攻撃者の経済的インセンティブを高めているという批判が根強い。英国・EU・米国の当局者の間には、身代金支払いを保険カバーから除外すること、または特定の禁止対象組織（制裁対象団体）への身代金支払いを法律で禁止することを検討する動きがある。

しかし一方で、身代金支払いがなければ被害企業の業務停止が長期化し、より大きな経済的・社会的損害が生じるという現実論もある。適切な法的・制度的対応策のないまま単純に「保険による身代金カバーを禁止する」ことが最善策かどうかについては、政策論として結論が出ていない。

注意点・展望

サイバー保険市場は急速に進化しており、現在の分析は半年後には更新が必要になりうるダイナミックな領域だ。いくつかの観点からの留意点を示す。

第一に、AIが攻撃側・防御側の双方で活用が進んでいる点だ。攻撃側では、AIを使ったフィッシングメールの精度向上、コード脆弱性の自動探索、ソーシャルエンジニアリングの自動化が進む。防御側では、AIによる異常検知・自動対応が高度化している。この技術的軍拡競争が今後のリスク環境を大きく左右する。

第二に、量子コンピューティングが現行の暗号化を理論的に無効化する「Q-Day（量子コンピューター脅威の日）」への備えが、長期的なサイバーリスク評価において無視できない要素となりつつある点だ。NIST（米国国立標準技術研究所）は耐量子暗号の標準化を進めているが、既存システムの移行には長期間を要する。

第三に、地政学的緊張の高まりが国家支援型サイバー攻撃の頻度と規模に与える影響だ。米中・米ロ関係の緊張が続く限り、重要インフラへのサイバー攻撃は「平時の常態」として経営リスクに組み込まれる必要がある。

まとめ

世界のサイバー保険市場は構造的な成長局面にあるが、その成長の内実は単純な楽観を許さない。ランサムウェアの高度化・組織化・国家支援との融合は、個別損害の増大にとどまらず、保険市場全体の引き受け能力を超えうる「システミックリスク」を生みつつある。保険会社は引き受け基準の厳格化とセキュリティ要件のバンドル化によって個別損害率の管理を試みているが、大規模なカタストロフィックイベントへの対応には業界単独では限界がある。

「保険不能リスク」の議論は、サイバーリスクに対する公的な最後の支援者（Government Backstop）の必要性を浮上させており、テロ保険における政府再保険の枠組みに類似したメカニズムの設計論が現実の政策課題として登場しつつある。国際的な官民協調は緒についたばかりであり、攻撃者のスピードに追いつくには規制・法執行・保険・セキュリティが一体となった新たなガバナンス構造が不可欠だというのが、業界の共通認識となりつつある。