ランサムウェア攻撃は二重恐喝（暗号化＋データ窃取）が標準となり、被害コストは事業中断と情報漏えいの二重構造に膨張しました。IPA「情報セキュリティ10大脅威 2026」の組織の部1位はランサム攻撃による被害で、警察庁の被害統計でも令和6年では、対価要求手口を確認した134件中111件（82.8%）が二重恐喝型です（全報告件数222件に対する割合ではありません）。

中堅エンタープライズ（従業員1000名以上）の情報システム部門責任者やCISOから多く伺うのは、「サイバー保険でランサム被害をどこまで補えるのか」「身代金は払えないと聞くが、では何が降りるのか」「次回更新で保険料が高騰すると言われた」「保険会社のチェックリストがMFAやEDRだけでは済まなくなった」といった声です。

補償範囲と限界、引受審査で問われる5領域、申請プロセスでの証跡整備、更新時の自己点検、そしてSaaS管理プラットフォームを含む隣接施策との一体設計までを、中堅エンタープライズの実装プレイブックとして整理しました。

ランサムウェア対策におけるサイバー保険の役割と限界

サイバー保険はランサムウェア対策の文脈において、「リスク移転」のための仕組みであり、防御策（リスク低減）の代替にはなりません。攻撃を防ぐ・拡げない・早く検知するための統制は、保険の有無にかかわらず整える必要があります。

保険は最後の砦であり防御策の代替ではない

経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」も、リスク移転（保険）はリスク低減（統制実装）と組み合わせて初めて機能すると整理しています。サイバー保険を「これさえあれば安心」と位置づけてしまうと、引受審査の通過難度を見誤り、保険料の高騰を招き、被害発生時には補償対象外で躓く事態にもつながりかねません。

二重恐喝時代の被害構造に対する保険の射程

二重恐喝で生じる被害は、暗号化による業務停止、データ流出による訴訟・賠償、監督官庁通知や顧客対応の費用、事業再開までの逸失利益に分解できます。サイバー保険は事故対応費用・賠償責任・逸失利益の三本柱を中心に補償する一方、身代金の支払いそのものは原則として補償対象外となります。ここでは保険を軸にした実装論に絞って解説します。

参考:日本損害保険協会 サイバー保険ページ

参考:経済産業省 サイバーセキュリティ経営ガイドライン Ver3.0

ランサム被害でサイバー保険が補償する3つの費用カテゴリ

国内の主要サイバー保険商品は、ランサム被害に対しておおむね3つの費用カテゴリで補償を提供しています。

事故対応費用（フォレンジック・法務・PR・通知）

事故対応費用は、インシデント直後の初動から原因究明・通知対応までの実費を広くカバーします。代表例はフォレンジック調査委託、法律相談、広報・PRコンサル、コールセンター設置、漏えい通知の郵送費、監督官庁や取引先への報告対応です。事故の「おそれ」が発見された段階での調査委託まで対象に含む商品もあり、初動の意思決定を加速する役割を担います。

賠償責任（顧客・取引先への損害賠償）

顧客の個人情報や取引先の機密情報が漏えいした結果として法的賠償責任を負った場合、その賠償金や争訟費用が補償対象となります。BtoBの中堅エンタープライズでは、取引先の業務停止に伴う損害が賠償請求として跳ね返ってくるケースが代表的です。サプライチェーン経由で波及するリスクを金銭面で受け止める備えになります。

逸失利益・営業継続費用

業務システム停止による売上機会損失や、営業継続のために必要な代替設備・外部委託費がカバーされます。大規模ランサム被害では復旧費用と逸失利益の合計が10億円規模に達した事例も報じられており、補償額の設計はこの規模感を踏まえて検討する必要があります。

参考:東京海上日動 サイバーリスク保険

参考:三井住友海上 サイバープロテクター

参考:日経ビジネス ランサム攻撃で17億円被害、10億円を賄う例も

身代金とOFAC｜サイバー保険で支払いが補償されない理由

「身代金支払いは保険でカバーできるのか」という問いに対しては、国内市場では原則として補償対象外と回答するのが現実的な水準です。背景には法的・国際政治的な複合要因があります。

国内サイバー保険における身代金補償の標準スタンス

国内の主要損害保険会社が提供するサイバー保険では、ランサム対応のフォレンジック・法律相談・復旧・営業継続費用は補償される一方、攻撃者への身代金そのものは支払対象になりません。資金洗浄防止やテロ資金供与防止の観点に加え、支払いが新たな攻撃を誘発する「モラルハザード」を避ける狙いも反映されています。

米国OFAC アドバイザリーが及ぼす実務インパクト

米国財務省外国資産管理室（OFAC）はランサム支払いに関するアドバイザリーで、制裁対象グループへの支払いは制裁違反となり得ると警告しています。被害企業本体だけでなく、支払いを仲介・促進する保険会社・交渉支援ベンダー・フォレンジック企業・金融機関にも制裁リスクが及び得ます。OFAC規制は米国子会社を持つ企業だけでなく、米国人・米国金融機関を介した取引、ドル決済、制裁リスト登録組織との関与を通じた支払いも射程に入るため、グローバルなビジネスを行う中堅エンタープライズほど影響を真剣に検討する必要があります。

支払い意思決定で確認すべきコンプライアンス論点

国内では、身代金支払いは日本法上ただちに一律禁止とはなっていませんが、善管注意義務違反・反社／犯罪組織支援・OFAC等の制裁リスクといった複合的な法的リスクがあるため、慎重な判断が必要です。暴力団排除条例や反社会的勢力排除条項、各社の内部統制規定との関係も論点になります。最終判断は弁護士や所管官庁との事前合意が前提となり、平時から「身代金は払わない」原則と例外条件を経営層・法務・監査・情シスの四者で握っておく運用が望まれます。なお具体的な法的判断には弁護士による助言が必要です。

参考:米国OFAC ランサム支払いに関するアドバイザリー

参考:日経クロステック「身代金はサイバー保険で払えるのか」

参考:Unitis 弁護士解説 ランサム支払い判断基準

引受審査で問われる5領域｜MFA・EDR・バックアップ・IR体制・SaaS管理

ランサム被害の高頻度化と支払額の増加を受けて、サイバー保険の引受審査は年々厳格化しています。SophosやNRIセキュアの解説でも示されるとおり、MFA未導入や旧来型バックアップだけでは加入や更新が困難になりつつあります。

引受審査が厳格化する背景

国内市場では加入需要が増加し、引受審査が厳格化しています。損保大手の保険料収入は2025年度上半期に前年比5%増と成長していますが、料率は個別要因（統制レベル・業種・事故歴等）で異なり、一概に上昇とはいえません。引受側は「すでに統制が効いている企業」を選別し、リスクの低い被保険者を優遇する方向に動き始めています。

必ず問われる5領域チェック項目

SaaS管理が引受審査で評価される理由

引受審査の現場では、ID統制とSaaS管理が連動して評価される傾向が強まっています。SaaSアカウントの棚卸し・即時オフボーディング・監査ログ収集が運用に乗っている企業ほど、退職者アカウント経由の侵入リスクが低く、保険料水準でも有利になりやすい構造です。シャドーIT検出力や条件付きアクセスの整備状況を問う質問項目も増えています。

参考:NRIセキュア サイバー保険を活用するための7つのポイント

参考:Sophos サイバー保険とは

参考:NIST Cybersecurity Framework

参考:Josys：SaaSセキュリティのベストプラクティス

参考:Josys：シャドーITとは

中堅エンタープライズの保険料・補償額の実情と市場動向

国内サイバー保険市場は加入需要が増加し、審査が厳格化しています。保険料・補償額の感覚値を持っておくと、社内の予算交渉でも説明がしやすくなります。

国内サイバー保険市場の足元動向

日本経済新聞の報道によれば、損保大手4社のサイバー保険料収入は2025年4〜9月で前年比5%増の水準まで成長しました。日本損害保険協会の調査では、中小企業のサイバー保険加入率は1割未満にとどまる一方、サイバーリスクの認識率は3割超に達しており、認知と加入のギャップが残っています。中堅エンタープライズではこの加入率を大きく上回りますが、業種別・拠点配置で差が大きいのが実情です。

中堅エンタープライズの保険料・補償額の目安

中堅エンタープライズの年間保険料は数十万〜数百万円のレンジで、補償額は数億〜十数億円が一般的な水準です。年商規模・取り扱う個人情報量・海外子会社の有無・統制レベルによって大きく変動します。ランサム被害の総コストが10億円規模に達した報道事例もあり、補償額の設計は被害規模の上限を意識して検討する必要があります。

保険料を抑えるために整えるべき統制の優先順位

保険料の低減には、引受審査5領域のうちID統制・エンドポイント・バックアップを優先して整えるのが効率的です。なかでもMFA徹底とEDR導入は費用対効果が高く、引受側の評価も得やすい組み合わせとなります。SaaS管理は更新時の継続的なスコア改善に効きます。

参考:日本損害保険協会 中小企業におけるリスク意識・対策実態調査2025

参考:日本経済新聞 サイバー保険、4〜9月の保険料収入5%増

保険申請プロセスとフォレンジック証跡の整え方

被害発生後に保険金請求が滞る最大の要因は、証跡不足による損害確定の遅延です。平時の運用で証跡を整えておくことが、いざという時の支払いスピードを決めます。

事故発生から保険金支払いまでのフロー

典型的な流れは「事故覚知 → 保険会社への事故報告 → 保険会社指定アジャスター・フォレンジック企業の関与 → 原因究明と損害額確定 → 保険金支払い」です。商品によっては事故の「おそれ」が発見された段階での調査委託費用も補償対象となります。初動を保険会社と共有するスピードが、対応費用全体の最適化に直結します。

保険会社・アジャスターが必ず求める証跡

申請可能性を高める平時の運用

ログの保管期間は最低6ヶ月、可能なら1年以上をベースラインとし、SIEMや監査ログ集約基盤に集めておくと有効です。SaaS監査ログは標準保管期間が短い製品も多いため、独立したアーカイブ運用を別途設計する必要があります。アカウントの入退場記録（プロビジョニング・オフボーディング履歴）が整理されていれば、侵害経路の特定とログ証跡の照合も滑らかに進みます。

参考:損保ジャパン サイバー保険約款

参考:個人情報保護委員会 漏えい等の対応

参考:サイバー保険ガイド：身代金補償解説

参考:Josys：アカウントプロビジョニング自動化

保険更新時の自己点検と統制レベル向上の実装プレイブック

更新時に保険料が上がる主因と、半年〜1年単位で実施すべき自己点検テンプレート、統制レベルを引き上げるクイックウィンを整理します。

更新時に保険料が上がる主因

主因は3つに集約されます。第1に自社のインシデント発生履歴、第2に業界全体の損害率悪化、第3に統制レベルの未強化です。前2つは個社で制御しにくい一方、第3の統制レベルは継続的な改善で評価を引き上げられます。

半年に一度実施したい自己点検テンプレート

引受審査5領域に沿った10項目を半年に一度自己採点する運用が現実的です。

1. 全アカウントのMFA有効化率
2. 特権ID（管理者権限）の保有者数とローテーション運用
3. EDR導入カバレッジと未管理端末の検出状況
4. バックアップの3-2-1-1-0適合度と復旧テスト記録
5. IRプレイブックの最新化日付と机上訓練実施記録
6. SaaSアカウントの棚卸し頻度と棚卸し誤差率
7. 退職者アカウントの平均無効化リードタイム
8. シャドーIT検出の運用状況
9. SaaS監査ログの集約・保管期間
10. 主要委託先（フォレンジック・法務・PR）との事前契約有無

統制レベルを引き上げるクイックウィン

短期で効きやすいのは、MFA徹底・EDR導入・退職者アカウントの即時オフボーディング自動化・特権ID見直し・SaaS監査ログ集約の5点です。なかでもオフボーディング自動化はSaaS管理プラットフォームの活用で大幅に省力化でき、引受審査と申請証跡の両方で評価される実装となります。

ジョーシスのプラットフォームは、SaaSアカウントの棚卸し・プロビジョニング・オフボーディングを統合的に管理し、引受審査で問われるSaaS統制を一気通貫で支援します。詳細はジョーシス紹介資料（5-minute-josys）からご確認いただけます。

参考:経済産業省 サイバーセキュリティ経営ガイドライン Ver3.0

参考:IPA 情報セキュリティ10大脅威 2026

隣接施策との一体設計｜BCP・IRプレイブック・SaaS管理プラットフォーム

サイバー保険は単独では機能しません。BCP・IRプレイブック・SaaS管理プラットフォームと一体で設計することで、引受審査も保険申請も対外説明も滑らかに回り始めます。

4施策の役割分担マップ

一体設計が引受審査と保険申請の両方を強くする

平時のSaaS管理プラットフォームで攻撃面を縮小しておくと、引受審査スコアが上がり保険料を抑えられます。事故発生時はIRプレイブックに沿って初動を取り、BCPで事業継続を担保しつつ、保険会社へ早期に事故報告して証跡を提示します。4施策の連携はリスク移転とリスク低減の両輪として機能するわけです。

中堅エンタープライズの縦割りをどう解消するか

中堅エンタープライズでありがちな縦割り（保険＝経営企画／BCP＝総務／IR＝セキュリティ部門／SaaS管理＝情シス）は、引受審査と申請プロセスで弱点として露呈します。CISO主導でクロスファンクショナルなレビュー会を四半期に一度設定し、引受審査の結果と統制実装の進捗を一元管理する運用が現実解となるでしょう。

統制設計の具体についてはジョーシス紹介資料（5-minute-josys）で詳述しています。実装相談はデモ・無料相談からお気軽にご連絡ください。

参考:NIST Cybersecurity Framework

参考:Josys：SaaSセキュリティのベストプラクティス

参考:Josys：ITガバナンスとSaaS管理戦略

参考:Josys：SaaS管理とは

よくある質問（FAQ）

Q1. サイバー保険があればランサムウェア対策は十分ですか？

サイバー保険は「リスク移転」の手段で、防御策（リスク低減）の代替にはなりません。多層防御・SaaS統制・BCPと組み合わせて初めて機能します。

Q2. 身代金が補償されないなら、保険に入る意味は何ですか？

事故対応費用（フォレンジック・法務・PR・通知）、賠償責任、逸失利益が補償されます。中堅エンタープライズの実損は事業中断と漏えい対応で大半を占めるため、これらの補償が経営インパクトを大きく緩和してくれます。

Q3. MFAが一部システムだけ未導入でもサイバー保険には加入できますか？

加入できる場合もありますが、保険料が高くなったり、更新時に条件が付いたりするケースが増えています。重要システム・特権アカウントから順にMFAを徹底するのが現実解です。

Q4. 保険申請時にバックアップが古い・監査ログが不十分だとどうなりますか？

損害確定が遅れ、支払いまでの期間が伸びます。場合によっては「重過失」と評価されて補償が制限されるリスクもあります。平時のログ集約とバックアップ世代管理が肝要です。

Q5. 中堅エンタープライズはどの程度の補償額を目安にすべきですか？

業種・年商・取扱データ量で大きく変動するものの、ランサム被害が10億円規模に達した事例も報じられているため、数億〜十数億円のレンジで設計するケースが多く見られます。具体額は保険ブローカーや弁護士と相談して決めるのが安全です。

Q6. SaaSアカウント管理が引受審査で見られるのは本当ですか？

近年、引受側の質問項目にSaaSアカウントライフサイクル管理・監査ログ・シャドーIT対策が含まれることが増えています。SaaS管理プラットフォームでの統制実装は、引受審査と保険料水準の両方に影響します。

参考:日本損害保険協会 サイバー保険ページ

参考:Josys：SaaS管理とは

まとめ｜サイバー保険を「強くする」のは平時のSaaS統制

サイバー保険は二重恐喝時代の事業中断・情報漏えい・賠償をカバーする重要な備えですが、身代金は補償対象外であり、引受審査では5領域（ID／エンドポイント／バックアップ／IR体制／SaaS管理）の統制レベルが厳しく問われます。

更新時の保険料を抑え、申請プロセスを滑らかにし、隣接施策と一体で機能させるには、平時のSaaS管理プラットフォームによる攻撃面縮小が最も効率の良い投資となります。MFA徹底・退職者アカウント自動オフボーディング・SaaS監査ログ集約は、保険コストと被害コストの双方を下げる「二重の効き目」を持つ施策です。

ジョーシスのプラットフォームは、引受審査で問われるSaaS統制を一気通貫で実装する基盤を提供します。

• ジョーシス紹介資料（5分でわかるJosys）をダウンロードする
• デモ・無料相談を予約する