1992年、フロリダ南岸を襲ったハリケーン・アンドリューは数十名の死者を出し、250億ドル以上の損害を与えた。この嵐では、損害保険会社による自然災害の被害額の算定方法に重大な欠点があることが明らかになった。多くの保険会社は嵐の後の数カ月で巨額の損失を出し、破綻した会社まであったのだ。
現在、保険会社は新たな災害の可能性に対して、経済的な観点で予測しようとしている。人災、つまり破壊的サイバー攻撃だ。1992年の災害による教訓も生かせるが、自然災害とは違って、解決がとても難しい問題でもある。
大手保険会社(AIGやチャブ等)は1990年代後半からサイバー保険を提供しており、現在約80社がサイバー保険(多くはデータ漏洩が対象)を販売している。サイバー保険市場は急拡大しており、最近頻繁に発生している高度な攻撃のせいで、企業幹部もハッカーを深刻な懸念と認識するようになった。プライスウォーターハウスクーパース(PwC)の予測では、2020年には、企業はサイバー保険に75億ドル(2015年の概算は27億5000万ドルから大きく伸びる)を支払うことになる。
それでも、保険会社はサイバーリスクの正体を把握しかねている。壊滅的な損害によって、保険会社自身が危うくならないような保険構造を確立する方法も不明のままだ。
サイエンス(Cyence、保険会社のサイバーリスクモデル構築を支援する設立3年目の企業)のアービンド・パルタサラティCEOは、サイバー・セキュリティは、システム障害に代わる事業リスクと見られ始めている、という。つまり、発生を完全に防げないにしても、明確な解決策によって管理できるリスクだとサイバーリスクを認識すれば問題はないのだ。パルタサラティCEOは現在、経営者から「安心できるにはいくら必要か?」と尋ねられるという。
保険会社は、サイバー・セキュリティ保険の新商品の値段をどう決めればいいかにも同様の疑問を抱いている。最新のサイバー環境への脅威は複雑で急速に進化 …