サイバー攻撃と事業におけるレジリエンスの構築に向けて

サイバー耐性レポート2023

本レポートは、あらゆる規模の企業にとって、2023年以降のサイバーリスクに関する意思決定に役立つ情報とツールです。サイバー耐性の構築は長期的な取り組みとなりますが、社内外の関係者と協力して進めることが大切です。

詳細をみる

エグゼクティブからのご挨拶

この4年間、各企業はサイバー脅威とランサムウェア攻撃の多発と深刻化、保険市場における保険料及び免責金額の上昇、保険引受の大幅な厳格化に直面しました。お客さまとのやりとりの中で気づいた点があります。それは、サイバー攻撃がビジネスのあらゆる領域に影響を及ぼす可能性があることを各社の経営幹部が痛感しているという点です。その結果、取締役会での議論では、サイバー耐性の実現が繰り返しテーマとして取り上げられるようになり、その脅威はついに総合的なリスクの観点から検討されるようになっています。

2020年から2022年にかけて、保険会社は大規模なサイバーリスクに対応する一方、自社の収益性確保にも迫られました。

サイバー保険市場とE&O保険市場では、保険引受の厳格化が進み、その結果、セキュリティ管理体制に対する監視が強化され、ガイドラインがより厳格になり、サイバーリスク全体に対する再評価が行われるようになりました1。エーオンのお客さまから報告されたデータによると、各企業はこのような引受の厳格化に対応し、保険会社によって「重要」または「レッドフラグ」と指定された管理体制のリスク成熟度の向上に一層注力するようになりました。

本レポートは、サイバーリスク、オペレーショナルリスク、サプライチェーンリスク、内部者リスク、風評リスク、システミックリスクという6つのリスクテーマについて、企業のリスク成熟度を同業他社と比較評価し、サイバーリスク管理に関する価値のある決断を支援するための経営者向けのガイドとなっています。本レポートは、エーオンがグローバルに展開するeSubmission(デジタル見積もり依頼ツール)およびリスク評価プラットフォームであるCyber Quotient(以下CyQu)から、地域、業種、収益規模を問わず2,000社を超えるエーオンのお客さまからグローバルに収集したデータに基づいて作成されています。このCyQuのデータを補完するものとして、エーオンのランサムウェアに関する補足情報質問書とオペレーショナルテクノロジーに関する補足情報質問書からのインプットがあり、保険会社が重要視するセキュリティ管理体制がどのようなものか幅広く情報提供しています2。お客さまからのインプットとサイバー保険事故の情報と組み合わせ、さらにエーオンのサイバーアドバイザリーチームとデジタルフォレンジックインシデントレスポンスチームからの情報を元にレポートを拡充させ、サイバー耐性とサイバーリスクに関して包括的に考察しています。CyQuのデータは、保険市場がサイバーセキュリティの成熟度を高めるための重要な牽引役となっていることを明らかにしています。2020年から2022年にかけてサイバー成熟度と準備体制が向上し、世界平均で「基礎的段階」のサイバー成熟度から「管理段階」への移行を実現したことが分かっています。一般的に企業は、アクセス管理や多要素認証(MFA)戦略の強化など、保険会社が重要であると判断したセキュリティ領域や管理体制を強化するための対策を採用しました。これに関連して、2022年にはランサムウェアによる保険事故が32%減少し、サイバー保険の保険金支払件数が14%減少しました3

これとは対照的に、データによると、すべての業種の企業がサプライヤーのリスク管理に苦戦しており、「管理段階」の評価を報告した業種はありませんでした。この結果は驚くべきものではありませんが、企業のサプライチェーン全体にもたらされるリスクは複雑であり、テクノロジースタック間の相互接続の深化により、サプライヤーリスクを大幅に増大させるという、サイバー業界内で高まりつつあるテーマを裏付ける傾向にあります。直近では配信プラットフォームのデータ流出に象徴されるように、このようなリスクの高まりの結果、今年は多くの保険会社がシステミックリスクと相関リスクのエクスポージャーと影響に重点を置き換えていくことが予想されています。

このデータは、本レポートを通して提供される洞察の一端を示すものです。本レポートは複数の個別の記事で構成されています。金融・保険、医療関連、製造業の業種別分析に加え、北米地域、ヨーロッパ・中東及びアフリカ地域、英国、中南米地域、アジア太平洋地域の地域別分析が提供されています。

サイバー、ひいては事業のレジリエンスを構築するための道筋をつけることは、いかなる企業にとっても重要な課題です。耐性構築は、財務、業務、風評の観点からリスクを最小化するために不可欠な要素です。そのためには、事前予防的なリスク管理、対応準備、リスク移転の仕組みを全て連携させる総合的な視点が必要です。リスク移転は、耐性構築の基本要素であり、伝統的な保険契約への加入だけに限定されるものではありません。キャプティブや代替資本の活用は、バランスシート保護のために検討すべき効果的な選択肢でもあります。フォーチュン100社の経営者であれ、同様のリスクに直面しながらも市場から十分なサービスを受けていないと感じている中小企業の経営者であれ、本レポートがお客さまの2023年以降の意思決定に役立つ情報やツールになることを願っています。サイバー耐性の構築は長期的な取り組みとなりますが、社内外の関係者と協力して進めることが最善の方法です。

クリスチャン E ホフマン
グローバルサイバー責任者

 

参考文献

1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com) 

2 エーオンのサイバー耐性レポート2023の「調査方法」記事を参照

3 出典:リスクベースセキュリティ、エーオンによる分析。データは2023年1月3日現在

セクションへ移動
  1. CyQuについて
  2. 主なリスクテーマ
  3. 産業別
  4. 地域別
  5. データ手法

サイバー耐性への旅(ジャーニー)

エーオンのサイバー指数評価(CyQu)のストーリー

サイバー耐性の構築はジャーニーです。この記事では、引受情報の収集という複雑なプロセスを年々合理化するために、CyQuがどのように改良を重ねて来たかを説明します。CyQuは、保険会社各社による情報収集プロセスを調和させることで、効率性、データに基づく意思決定、共同作業性を高めています。

詳細をみる

6つのリスクテーマでサイバーを管理する。

本レポートは、サイバーリスク、オペレーショナルリスク、サプライチェーンリスク、内部者リスク、風評リスク、システミックリスクという6つのリスクテーマについて、企業のリスク成熟度を同業他社と比較評価し、サイバーリスク管理に関するより良い意思決定を支援するための経営者向けのガイドとなっています。

ビジネスリスクのほぼすべての側面に影響を及ぼすサイバーリスク

サイバー保険およびE&O保険市場における引受厳格化が進み、2022年の全ての業界および全ての収益規模におけるサイバーリスクの成熟度の成長を後押ししました。

詳細をみる
内部者によるサイバー脅威は、拡大中のビジネスリスク

悪意ある攻撃者は、人間が誤りを犯しやすいことを知っています。2022年には、40%の企業がセキュリティオペレーションセンター(以下SOC)の管理体制に不備があると回答し、内部者リスクの悪化を招いています。

詳細をみる
オペレーショナルリスクを軽減するための3つの方法

保険会社は2022年に、オペレーショナルリスクに関する管理体制に重点を置き、お客さまもそれに合わせた対応を行いました。ランサムウェア攻撃によるデータ漏えいは短期的に減少したものの、2023年第1四半期には増加し、フィッシングやスピアフィッシングによるリスクが高まりをみせました。

詳細をみる
風評リスクに備えるための計画づくり

サイバー攻撃は株主価値を損なう可能性があります。しかし、サイバー攻撃が原因で、すべての企業が株主価値を失うわけではありません。調査結果によると、サイバー攻撃発生後の株主価値への影響度は、市場平均を上回る平均18%増、総額4,450億ドルであると17社が明らかにしました。

詳細をみる
広範囲に影響を及ぼすサプライチェーンに対するサイバー攻撃

サイバー脅威により、サプライチェーンリスクが何倍も複雑化しています。企業を防御する上で不可欠となるサプライヤーリスク管理は、9つの領域の中で最も低いCyQuスコアとなりました。

詳細をみる
サイバー攻撃によるシステミックリスクへの影響を軽減する方法

システミックリスクの管理が保険業界にとって最優先事項として浮上してきた背景には、システミックリスクは深刻かつ広範囲に影響を及ぼす可能性があることが、重大なサイバー攻撃により鮮明になったためです。

詳細をみる

業種を超えたサイバー耐性を構築する。

各業種は、グローバルに相互接続された複雑なリスク状況に直面することが多く、経営者は迅速な分析と実行が求められる判断を下す必要があります。

金融・保険業

バックアップセキュリティは、引き続きこの業種において脆弱性の残る領域であり、米国企業は重要なIT管理体制のほぼ40%に不備があると報告しています。この領域は2023年の重点領域となる必要があります。

詳細をみる

医療関連業

医療関連業ほど、患者の安全と健康に影響を与えかねないセキュリティ上の決断を迫られる業界はありません。中堅・中小企業および大企業やグローバル企業の医療関連のお客さまは、サイバーリスク評価の改善を報告しており、その大半が「基礎的段階」から「管理段階」に移行しています。

詳細をみる

製造業

2020年から2022年にかけて、製造業では全体的なサイバーリスク評価の着実な改善がみられました。しかし、耐性構築はまだ発展途上であり、特に米国の製造業では、事業のレジリエンスを高める IT管理体制に大幅な不備が見られています。

詳細をみる

地域別のサイバー成熟度

企業の総合的なサイバー成熟度は地域によって異なります。サイバーと事業のレジリエンスを構築するために、経営者が講じるべきステップのご提案も含めた、相違点や課題、可能性について解説します。

アジア太平洋地域 - 脅威の状況の変化

アジア太平洋地域におけるビジネスリスクのランキングトップ5に初めてサイバーがランクイン。コーポレートガバナンス、データ保護、サプライチェーン管理におけるサイバー成熟度は改善の傾向。

詳細をみる
中南米地域:成熟期への到達

中南米地域の企業の全体的なサイバー成熟度は、欧州・中東及びアフリカ地域や英国の成熟度に近いものの、サプライヤー管理、事業のレジリエンス、アプリケーションセキュリティという3つの領域で深刻な不備が表面化しています。

詳細をみる
北米地域:サイバー耐性は向上した一方、改善の余地あり

北米地域の企業では、サイバー耐性の重要な領域で広範囲な改善が見られました。しかし、バックアップ戦略や多要素認証(以下MFA)といった重要な領域では、特に中小企業にとって改善の余地があります。

詳細をみる
欧州・中東及びアフリカ地域:前進への動きが示す企業姿勢の変化

ウクライナとロシアの紛争の影響もあり、欧州・中東及びアフリカ地域の企業は2022年、データセキュリティの向上と企業データの保護に注力。

詳細をみる
脅威の状況の変化

リスクを認識していても、リスクに対応できる態勢が整っているとは限りません。2020年から2022年にかけて、英国企業におけるサイバーリスク成熟度は全体的にわずかに低下し、一部のセキュリティ領域は極めて良好なスコアを示しましたが、他の領域では低下が見られました。

詳細をみる
Two people collaborating over a single laptop by the bannister of the sixth floor.

データ手法

データ手法

サイバー耐性レポート2023は、エーオンのサイバー成熟度指数診断(CyQu)およびエーオンのランサムウェアに関する補足情報質問書とオペレーショナルテクノロジーに関する補足情報質問書から収集したエーオンのお客さま独自のデータに基づいて作成されています。

詳細をみる