2026年、国内大手損保各社がサイバー保険の引受条件を一斉に厳格化した。背景は明確で、2023〜2025年にかけてのランサムウェア被害件数急増により、保険金支払いが保険料収入を上回る収支悪化が発生したためだ。その結果、EDR・MFA・バックアップの3点を満たせない企業は加入そのものが困難になり、満たしていても保険料が従来の2〜3倍に跳ね上がるケースが出ている。
本記事では、中堅企業の情シス・法務・リスク管理担当者向けに、厳格化の全容と、契約更新時期までに準備すべき対策を整理する。
2026年 厳格化の実態
- 主要損保5社のサイバー保険約款が 2025年後半〜2026年にかけて改定
- EDR/MFA/バックアップの3点セットが新規加入・更新の事実上の前提条件
- 引受拒否:3点セット未対応の場合、審査通過率が大幅に低下
- 保険料2〜3倍:対応済みでも、従業員規模・業種によっては大幅値上げ
厳格化の3つの原因
原因1:ランサムウェア被害の収支悪化
国内のランサムウェア被害は年間で数百件規模が公表されており、実際はその数倍と推計される。1件あたりの復旧費用は平均数千万〜1億円超で、保険金支払いが急増した。
原因2:国際的な再保険市場の厳格化
日本の損保は海外の再保険市場でリスクを分散しているが、欧米の再保険会社がサイバーリスクの引受を絞ったことで、国内でも条件が連動して厳しくなった。
原因3:サプライチェーン攻撃の拡大
一社の被害が取引先に連鎖する サプライチェーン被害が増加。保険会社は「委託先まで管理できているか」を評価するようになった。
セクションまとめ: 厳格化は一時的なものではなく構造的。今後さらに条件が上がる方向にある。
SECURITY OPERATION
日常の脆弱性運用、情シス1人で回せる体制にしませんか?
月次棚卸・重大度判定・パッチ適用代行まで含む「セキュリティ運用伴走」プラン。単発対応からの卒業で、止まらない運用体制を作ります。
最低限必要な3点セット
1. EDR(Endpoint Detection and Response)
- 全従業員端末に EDR製品(Defender for Endpoint / CrowdStrike / Forticlient EMS 等)を導入
- 24/365 の監視運用(自社SOC or MDR委託)
- インシデント対応プレイブックが整備されている
2. MFA(多要素認証)
- VPN / リモートデスクトップ / SaaS すべてMFA必須
- 管理者アカウントはSMSではなく認証アプリ or ハードウェアキー
- フィッシング耐性のあるMFAが望ましい
3. バックアップ
- 3-2-1ルール(3コピー / 2媒体 / 1オフサイト)
- オフライン・イミュータブルバックアップ
- 復元テストを四半期以上の頻度で実施
セクションまとめ: 3点セットはどれが欠けても引受基準に達しない。特にバックアップは「取れているか」ではなく「戻せるか」が審査される。
「契約更新までに間に合うか」をGXOが診断します
現在のEDR/MFA/バックアップの整備状況を確認し、保険契約更新までに必要な対応と概算費用をご提示します。補助金活用の可否も含めて、現実的なスケジュールに落とし込みます。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
契約更新時期までの対応手順
更新3〜6ヶ月前:現状棚卸し
- 3点セットの整備状況を情シス・現場で点検
- 保険会社の新しいチェックリストを取り寄せる
- 不足項目を優先度付きリストに整理
更新2〜3ヶ月前:投資決定
- EDR未導入 → 導入ベンダー選定、Microsoft 365 E5 の活用検討
- MFA未整備 → Entra ID / Okta / Duo などIdPの選定
- バックアップ不備 → クラウドバックアップ + イミュータブルストレージ
更新1〜2ヶ月前:導入・運用立ち上げ
- パイロット展開後、本番展開
- インシデント対応プレイブックの文書化
- 経営層へのリスク報告
更新時:保険会社への提出
- チェックリストへの回答
- 必要に応じて第三者認証(ISMS等)の提示
- 保険料交渉
セクションまとめ: 更新6ヶ月前から動く。EDR/MFA/バックアップの導入には最短でも3〜4ヶ月かかる。
まとめ
- サイバー保険は2026年に引受条件が構造的に厳格化
- EDR/MFA/バックアップ3点セットが事実上の前提条件
- 契約更新6ヶ月前から動き出す必要あり
FAQ
Q1. 既に契約しているサイバー保険の更新も厳格化されますか?
はい。更新時に新しい条件が適用されるのが一般的です。更新通知が届く前に、現行条件と新条件の差分を保険会社に確認してください。
Q2. 中小企業(従業員30〜50名)でもEDRとMDRが必須ですか?
EDR は必須化の方向です。MDR(運用委託)は必須ではありませんが、自社で24/365監視できない場合の代替として実質的に必要です。Microsoft 365 E3/E5 の Defender 活用が現実的です。
Q3. 対応にいくらかかりますか?
従業員100名規模で EDR: 100〜200万円/年、MFA: 50〜100万円/年、バックアップ: 100〜200万円/年 が目安です。IT導入補助金で初期投資の一部を圧縮できます。
参考情報
- 各損保会社の約款改定発表資料
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
- IPA「情報セキュリティ10大脅威 2026」
- 日本損害保険協会「サイバー保険ガイド」
関連記事
サイバー保険の契約更新対応はGXOにご相談ください
「更新時期が近いが現状が分からない」「保険会社のチェックリストに答えられない」——契約更新までに必要な対応を、現実的なスケジュールと補助金活用セットでご提案します。オンラインを中心に全国対応可能です。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK