この記事は情報システム部門・総務部門・リスク管理部門向けです。「どの証跡を・いつ・どのように整備するか」という実務手順をまとめています。サイバー保険の選定や補償範囲の判断についてはサイバー保険の選択と活用も参照してください。
2026年のサイバー保険市場では、引受審査の要件が大きく変わっています。背景にあるのは2つの変化です。
1つ目は、フロンティアAIがシステムの脆弱性を短期間で大量に発見できるようになったことです。金融庁と日本銀行が2026年5月22日に連名で発出した要請では、金融機関等に対して、脆弱性や修正パッチが短期間に集中して発見・提供される可能性を踏まえ、概ね1か月程度を目途に対応を進めることが期待されるとしています(https://www.boj.or.jp/finsys/release/frel260522a.htm)。この要請は金融機関向けですが、攻撃側の変化はすべての業種に等しく影響します。
2つ目は、ランサムウェア攻撃の二重恐喝が標準化したことで、保険会社が「事前のセキュリティ対策が実装されていたか」を証跡で確認しないと支払いを行わない、という審査が日本でも広がっていることです。申告した対策が実際には導入されていなかった場合、保険金の支払いが拒否される条項が2025年以降の契約に明記され始めています。
引受審査で問われる5つの領域
保険会社のアンケートとチェックリストは年々詳細になっていますが、問われる内容は次の5領域に集約されます。
| 領域 | 審査で問われること | 求められる証跡 |
|---|---|---|
| ID統制・MFA | 全管理者・特権IDにMFAが適用されているか | MFA設定スクリーンショット・適用率レポート・AD/IdPの設定記録 |
| エンドポイント保護 | 全端末にEDRが導入され、管理されているか | EDRコンソールの端末一覧・最終更新日・検出履歴のサマリ |
| バックアップ | ランサムウェアで暗号化されても復旧できるか | バックアップ設定・テスト復旧の実施記録・オフライン保存の証跡 |
| IR(インシデント対応)体制 | インシデント発生時に即座に動ける体制があるか | IRPの文書・訓練実施記録・連絡先一覧・外部委託先の契約書 |
| SaaS・クラウド管理 | 退職者アカウントの即時無効化・外部共有の制御ができているか | オフボーディング手順書・定期棚卸しの記録・設定変更ログ |
SECURITY OPERATION
日常の脆弱性運用、情シス1人で回せる体制にしませんか?
月次棚卸・重大度判定・パッチ適用代行まで含む「セキュリティ運用伴走」プラン。単発対応からの卒業で、止まらない運用体制を作ります。
領域1:ID統制・MFA
必要な証跡の優先順位:
- 特権ID(システム管理者・Active Directory管理者)への100% MFA適用
- 社外アクセス(VPN・リモートデスクトップ・クラウド管理コンソール)への MFA
- 一般利用者への MFA 適用率(80%以上が目安、100%で優遇審査の対象になります)
退職者・異動者のアカウントが残存していないことも確認対象です。最後の退職者オフボーディングを実施した日付と、その記録を保管しておきます。特権IDの一覧と最終レビュー日も用意します。
| 証跡の種類 | 整備方法 |
|---|---|
| MFA設定記録 | IdP(Azure AD、Google Workspace等)の管理コンソールからエクスポート |
| 特権ID一覧 | 四半期ごとにレビューし、承認者のサインを記録 |
| 退職者アカウント無効化記録 | オフボーディングチェックリストと実施日を人事と情シスで保管 |
領域2:エンドポイント保護(EDR)
2026年のサイバー保険では、アンチウイルスだけでは「対策あり」と認められないケースが増えています。EDRが必須要件になりつつあります。
審査で聞かれやすい質問:
- EDRが全端末(PC・Mac・サーバー)に導入されているか
- 最新の定義ファイル・エンジンが全端末に適用されているか(適用率が低い端末があると減点要因になります)
- 検出があった場合の対応手順があるか、直近12か月の検出件数はどのくらいか
| 証跡の種類 | 整備方法 |
|---|---|
| 端末管理台帳 | EDRコンソールの端末一覧をCSVエクスポート、月次更新 |
| 適用率レポート | 未適用端末が0件であることを確認した日付と確認者を記録 |
| 検出・対応記録 | 検出が発生した場合の対応ログと最終処置の記録 |
24時間監視(SOCまたはMDR)がある場合、審査優遇の対象になります。外部SOCと契約している場合は契約書とサービス範囲を添付します。
領域3:バックアップ
ランサムウェア攻撃は、まずバックアップを標的にして暗号化してから本体を攻撃する手順が一般化しています。保険会社は「バックアップがランサムウェアに侵されず復旧できること」を確認します。
最低限必要なバックアップ要件(証跡付き):
| 要件 | 証跡の内容 |
|---|---|
| オフライン・イミュータブルバックアップの存在 | バックアップ設定(スケジュール・世代数・保存先)のスクリーンショット |
| バックアップの隔離 | 本番環境から独立した保存先であることを示す構成図または設定記録 |
| 定期的な復旧テスト | 四半期または半年ごとに実施した復旧テストの日時・担当者・成功確認の記録 |
| 保存期間 | 最低30日、できれば90日以上のバックアップが保存されていることを記録 |
復旧テストの記録がない場合、「バックアップがある」と申告しても審査評価が下がります。テスト実施時に簡単なメモ(日時・担当者・復旧にかかった時間・結果)を残すことが重要です。
領域4:インシデント対応(IRP)体制
IRPとは、インシデント対応計画(Incident Response Plan)のことです。「何か起きたらどう動くか」を事前に文書化し、実際に機能することを訓練で確認した証跡が求められます。
IRPに含まれるべき最低限の要素:
- インシデントの定義(何がインシデントか、レベル分けの基準)
- 初動対応の手順(最初の30分・最初の2時間で誰が何をするか)
- 連絡先一覧(社内の責任者・情シス・経営・外部委託先・保険会社の窓口)
- 封じ込めの手順(感染端末の隔離・ネットワーク切断の判断基準)
- 証跡の保全手順(フォレンジック用のデータを消さないために何をするか)
- 再開の条件(いつ業務を再開してよいかの判断基準)
| 証跡の種類 | 整備方法 |
|---|---|
| IRPの文書 | 最終更新日と承認者を明記。1年以内に更新されていること |
| 訓練実施記録 | 年1回以上の机上訓練または実地訓練の日時・参加者・結果 |
| 外部委託先との契約 | セキュリティインシデント対応を委託している場合、契約書と連絡先 |
領域5:SaaS・クラウド管理
生産性ツール(Microsoft 365・Google Workspace)、業務SaaS、クラウドストレージの管理状況が審査対象になっています。特に問われるのは次の3点です。
- 退職者アカウントの即時無効化:最後に実施したオフボーディングの日付と、手順書の存在
- 外部共有の制御:クラウドストレージやSharePointで、外部に不必要な共有が設定されていないことの確認記録
- 監査ログの有効化:Microsoft 365 Audit LogやGoogle Workspace Admin Audit Logが有効化されており、保存期間が設定されていることの確認
| 証跡の種類 | 整備方法 |
|---|---|
| オフボーディング実施記録 | 人事から情シスへの通知フローと、無効化実施のチェックリスト |
| 外部共有棚卸し | 四半期ごとに外部共有設定を確認した記録と、是正内容 |
| 監査ログ設定 | ログが有効であることのスクリーンショットと保存期間の設定 |
保険申請時に証跡が必要になるタイミング
証跡の整備は、保険加入・更新のタイミングだけでなく、実際のインシデント発生時の保険金請求でも問われます。
| タイミング | 必要な証跡の使われ方 |
|---|---|
| 新規加入・更新 | セキュリティアンケートへの回答と証跡の添付 |
| 保険料の見直し | 対策水準が高いほど保険料が下がる場合があり、証跡が根拠になる |
| インシデント発生・保険金請求 | 申告した対策が実装されていたことを証明するために証跡が必要 |
| 事故調査 | フォレンジック調査で証跡が初期証拠として使われる |
被害発生後に証跡を集めようとすると、フォレンジック調査の進行と干渉します。平時に運用した記録がそのまま証跡になる仕組み(バックアップテスト記録・訓練記録・アカウント棚卸しの定例化)を先に作ることが、保険金請求のスピードを決めます。
証跡整備の優先順位マトリックス
時間と人員が限られている場合、次の優先順位で整備を進めます。
| 優先度 | 対策 | 証跡の難度 | 効果(保険・セキュリティ) |
|---|---|---|---|
| 最優先 | MFA(管理者・特権ID) | 低(設定スクリーンショット) | 高(ほぼ必須条件) |
| 最優先 | EDR全端末適用 | 低(コンソールCSV) | 高(入力必須項目) |
| 高 | バックアップ復旧テスト記録 | 中(テスト実施が必要) | 高(ランサムウェア対策の核) |
| 高 | 退職者アカウント無効化記録 | 低(手順書と記録) | 高(内部からの侵害防止) |
| 中 | IRP文書と訓練記録 | 中(文書化と訓練実施) | 中〜高(事故対応の品質) |
| 中 | 外部共有の棚卸し | 低(設定確認) | 中(情報漏えい防止) |
GXOの支援
GXOでは、サイバー保険の引受審査に対応したセキュリティ証跡パックの整備支援を行います。5領域の現状確認から、各証跡の作成・整理、保険会社向けのセキュリティアンケート回答の準備まで、情シスの作業負担を抑えながら進めます。既にセキュリティ対策はあるが「証跡の整理ができていない」という場合にも対応します。セキュリティ全体の優先課題を把握したい場合はセキュリティ診断から確認いただけます。
よくある質問
Q1. まだMFAを一部にしか入れていませんが、サイバー保険には加入できますか
加入できる保険はありますが、保険料が高くなる場合と、補償範囲の一部が除外される場合があります。管理者アカウントだけでも先にMFAを適用し、証跡を残すと審査評価が上がります。
Q2. バックアップはありますが、復旧テストを一度もやっていません。どうすればよいですか
直近の復旧テストを1回実施し、日時・担当者・結果をメモとして保管します。「今後は年2回実施する」という計画書を作成し、次回の保険更新までに実施記録を作ることで、審査評価を上げられます。
Q3. 証跡をスプレッドシートで管理するのと、専用ツールを使うのではどちらが良いですか
規模が小さいうちはスプレッドシートで十分です。重要なのはツールよりも「誰がいつ確認したか」「問題があった場合にどう対応したか」が記録に残ることです。記録の更新日が古い台帳はかえって評価を下げるため、更新できる頻度で管理できる方法を選びます。
参考情報
- 日本銀行・金融庁「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応に係る要請」(2026年5月22日):https://www.boj.or.jp/finsys/release/frel260522a.htm
- 日本損害保険協会「サイバー保険」:https://www.sonpo.or.jp/sme_insurance/cyber-hoken/
- IPA「情報セキュリティ10大脅威 2026」:https://www.ipa.go.jp/security/10threats/10threats2026.html
サイバー保険の審査に通る証跡パックを、今の体制で整備しませんか
GXOでは、引受審査の5領域に対応した証跡整備の現状確認から、MFA・EDR・バックアップ・IRP・SaaS管理の記録整備まで、情シスの負担を抑えながら支援します。