2026年、国内大手損保各社がサイバー保険の引受条件を一斉に厳格化した。背景は明確で、2023〜2025年にかけてのランサムウェア被害件数急増により、保険金支払いが保険料収入を上回る収支悪化が発生したためだ。その結果、EDR・MFA・バックアップの3点を満たせない企業は加入そのものが困難になり、満たしていても保険料が従来の2〜3倍に跳ね上がるケースが出ている。

本記事では、中堅企業の情シス・法務・リスク管理担当者向けに、厳格化の全容と、契約更新時期までに準備すべき対策を整理する。

2026年 厳格化の実態

  • 主要損保5社のサイバー保険約款が 2025年後半〜2026年にかけて改定
  • EDR/MFA/バックアップの3点セットが新規加入・更新の事実上の前提条件
  • 引受拒否:3点セット未対応の場合、審査通過率が大幅に低下
  • 保険料2〜3倍:対応済みでも、従業員規模・業種によっては大幅値上げ

厳格化の3つの原因

原因1:ランサムウェア被害の収支悪化

国内のランサムウェア被害は年間で数百件規模が公表されており、実際はその数倍と推計される。1件あたりの復旧費用は平均数千万〜1億円超で、保険金支払いが急増した。

原因2:国際的な再保険市場の厳格化

日本の損保は海外の再保険市場でリスクを分散しているが、欧米の再保険会社がサイバーリスクの引受を絞ったことで、国内でも条件が連動して厳しくなった。

原因3:サプライチェーン攻撃の拡大

一社の被害が取引先に連鎖する サプライチェーン被害が増加。保険会社は「委託先まで管理できているか」を評価するようになった。

セクションまとめ: 厳格化は一時的なものではなく構造的。今後さらに条件が上がる方向にある。

最低限必要な3点セット

1. EDR(Endpoint Detection and Response)

  • 全従業員端末に EDR製品(Defender for Endpoint / CrowdStrike / Forticlient EMS 等)を導入
  • 24/365 の監視運用(自社SOC or MDR委託)
  • インシデント対応プレイブックが整備されている

2. MFA(多要素認証)

  • VPN / リモートデスクトップ / SaaS すべてMFA必須
  • 管理者アカウントはSMSではなく認証アプリ or ハードウェアキー
  • フィッシング耐性のあるMFAが望ましい

3. バックアップ

  • 3-2-1ルール(3コピー / 2媒体 / 1オフサイト)
  • オフライン・イミュータブルバックアップ
  • 復元テストを四半期以上の頻度で実施

セクションまとめ: 3点セットはどれが欠けても引受基準に達しない。特にバックアップは「取れているか」ではなく「戻せるか」が審査される。

「契約更新までに間に合うか」をGXOが診断します

現在のEDR/MFA/バックアップの整備状況を確認し、保険契約更新までに必要な対応と概算費用をご提示します。補助金活用の可否も含めて、現実的なスケジュールに落とし込みます。

サイバー保険対応の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

契約更新時期までの対応手順

更新3〜6ヶ月前:現状棚卸し

  • 3点セットの整備状況を情シス・現場で点検
  • 保険会社の新しいチェックリストを取り寄せる
  • 不足項目を優先度付きリストに整理

更新2〜3ヶ月前:投資決定

  • EDR未導入 → 導入ベンダー選定、Microsoft 365 E5 の活用検討
  • MFA未整備 → Entra ID / Okta / Duo などIdPの選定
  • バックアップ不備 → クラウドバックアップ + イミュータブルストレージ

更新1〜2ヶ月前:導入・運用立ち上げ

  • パイロット展開後、本番展開
  • インシデント対応プレイブックの文書化
  • 経営層へのリスク報告

更新時:保険会社への提出

  • チェックリストへの回答
  • 必要に応じて第三者認証(ISMS等)の提示
  • 保険料交渉

セクションまとめ: 更新6ヶ月前から動く。EDR/MFA/バックアップの導入には最短でも3〜4ヶ月かかる。

まとめ

  • サイバー保険は2026年に引受条件が構造的に厳格化
  • EDR/MFA/バックアップ3点セットが事実上の前提条件
  • 契約更新6ヶ月前から動き出す必要あり

FAQ

Q1. 既に契約しているサイバー保険の更新も厳格化されますか?

はい。更新時に新しい条件が適用されるのが一般的です。更新通知が届く前に、現行条件と新条件の差分を保険会社に確認してください。

Q2. 中小企業(従業員30〜50名)でもEDRとMDRが必須ですか?

EDR は必須化の方向です。MDR(運用委託)は必須ではありませんが、自社で24/365監視できない場合の代替として実質的に必要です。Microsoft 365 E3/E5 の Defender 活用が現実的です。

Q3. 対応にいくらかかりますか?

従業員100名規模で EDR: 100〜200万円/年、MFA: 50〜100万円/年、バックアップ: 100〜200万円/年 が目安です。IT導入補助金で初期投資の一部を圧縮できます。

参考情報

  • 各損保会社の約款改定発表資料
  • 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
  • IPA「情報セキュリティ10大脅威 2026」
  • 日本損害保険協会「サイバー保険ガイド」

関連記事

サイバー保険の契約更新対応はGXOにご相談ください

「更新時期が近いが現状が分からない」「保険会社のチェックリストに答えられない」——契約更新までに必要な対応を、現実的なスケジュールと補助金活用セットでご提案します。オンラインを中心に全国対応可能です。

サイバー保険対応の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK