日本損害保険協会が2025年に実施した調査で、中小企業のサイバー保険加入率は8.8%という数字が明らかになった。一方で、サイバー保険の契約件数は2021年の8.2万件から2023年には18.6万件へと2.3倍に急増している。市場は確実に動いている。しかし、大半の中小企業はまだ動いていない。
本記事では、この「加入率8.8%」の背景にある構造的な問題を整理し、保険加入の前に中小企業が取り組むべき3つのセキュリティ対策を解説する。対策を先に整えることで、保険料の引き下げと確実な補償の両方を手にできる。
なぜ加入率8.8%にとどまるのか——3つの構造的要因
要因1:リスク認識の低さ
日本損害保険協会の同調査によれば、中小企業の経営者がサイバーリスクを「経営上の重大リスク」と認識している割合は32.7%にすぎない。約7割の経営者は、サイバー攻撃を「自社には関係のない話」と捉えている。
しかし現実は異なる。警察庁の統計では、ランサムウェア被害の約6割が中小企業に集中している。攻撃者は大企業よりも防御が手薄な中小企業を「効率の良い標的」として選んでいる。
要因2:「保険より対策が先」という判断の停滞
「まずセキュリティ対策を整えてから保険を検討しよう」——この考え自体は正しい。しかし、対策の着手が進まないまま保険の検討も先送りされ、結果として両方とも手つかずになるケースが多い。
要因3:保険商品の複雑さ
補償範囲、免責事項、保険料の算定基準が保険会社ごとに異なるため、「何を基準に選べばいいのかわからない」という声が中小企業の経営者から多く聞かれる。
市場の動き——契約件数2.3倍の意味
サイバー保険市場そのものは急拡大している。以下に主要な数字を整理する。
| 指標 | 数値 | 出典 |
|---|---|---|
| 中小企業のサイバー保険加入率 | 8.8% | 日本損害保険協会(2025年調査) |
| サイバーリスクを重大リスクと認識する割合 | 32.7% | 同上 |
| サイバー保険契約件数(2021年) | 8.2万件 | 日本損害保険協会 |
| サイバー保険契約件数(2023年) | 18.6万件 | 同上 |
| 契約件数の増加倍率 | 2.3倍(2年間) | 同上 |
| 米国の中小企業サイバー保険加入率 | 20〜35% | BCN |
米国では中小企業のサイバー保険加入率が20〜35%に達している。日本の8.8%との差は大きい。この差は、リスク認識の差であると同時に、取引先からの保険加入要請(サプライチェーンリスク管理)が米国では一般化していることも背景にある。
保険料はセキュリティ対策の状況で変わる——だから対策が先
サイバー保険の保険料は一律ではない。保険会社は加入時に企業のセキュリティ対策状況を審査し、対策が充実している企業ほど保険料が下がる仕組みになっている。逆に言えば、対策が不十分なまま加入すると保険料が割高になる。さらに、既知の脆弱性を放置していた場合は免責事項に該当して補償が受けられないリスクもある。
つまり、保険加入の前にセキュリティ対策を整えることは、以下の3つのメリットがある。
- 保険料が下がる(年間で数万〜十数万円の差になることもある)
- 免責に該当するリスクを減らせる(確実に補償を受けられる状態にする)
- そもそもインシデントの発生確率が下がる(保険を使わずに済む可能性が高まる)
保険加入前にやるべきセキュリティ対策3つ
以下の3つは、コストが低く、効果が高く、保険会社の審査でも評価されやすい対策だ。
対策1:多要素認証(MFA)の全面導入
なぜ最優先か: ランサムウェア被害の侵入経路で最も多いのは、VPN機器の脆弱性とリモートデスクトップの認証突破だ。パスワードだけの認証は、もはや「鍵をかけていない」のと同義である。
やること:
- メール(Microsoft 365、Google Workspace)にMFAを有効化する
- VPN接続にMFAを追加する(対応していないVPN機器は更新を検討)
- リモートデスクトップ接続にMFAを追加する
コスト: 月額500円/人程度(Microsoft Entra IDやGoogle Workspaceの標準機能で対応可能な場合は追加費用ゼロ)
導入期間: 1週間
対策2:バックアップの3-2-1ルール整備
なぜ重要か: ランサムウェアに感染した場合、バックアップから復元できるかどうかが事業継続の分かれ目になる。しかし、バックアップを取っていても「ネットワーク上の共有フォルダに保管しているだけ」では、ランサムウェアがバックアップごと暗号化する。
3-2-1ルールとは:
- 3つのコピーを保持する(本番データ + バックアップ2つ)
- 2種類の異なるメディアに保存する(クラウド + 外付けHDDなど)
- 1つはオフライン(ネットワーク非接続)で保管する
やること:
- 現在のバックアップ状況を棚卸しする
- オフラインバックアップ(外付けHDD、テープ)を追加する
- 復元テストを実施する(バックアップがあっても復元できなければ意味がない)
コスト: 月額3万〜10万円(クラウドバックアップサービス利用の場合)
導入期間: 2週間
対策3:従業員向けセキュリティ研修の実施
なぜ必要か: フィッシングメールの開封、不審なリンクのクリック、USBメモリの接続——サイバー攻撃の入口の多くは「人」だ。技術的な対策を整えても、従業員のセキュリティ意識が低ければ防御に穴が開く。保険会社も、従業員研修の実施状況を審査項目に含めているケースが多い。
やること:
- 年に1回以上、全従業員を対象としたセキュリティ研修を実施する
- フィッシングメールの模擬訓練を実施する(開封率の測定と改善)
- インシデント発生時の初動対応手順を周知する(「怪しいメールを開いてしまったらどうするか」)
コスト: 年間10万〜30万円(外部研修サービス利用の場合)。IPAの無料教材を活用すれば費用ゼロでも実施可能
導入期間: 半日/回
3つの対策と保険加入の優先順位
| 優先度 | 対策 | コスト | 期間 | 保険料への影響 |
|---|---|---|---|---|
| 最優先 | MFA全面導入 | 月500円/人〜 | 1週間 | 割引対象になりやすい |
| 高 | バックアップ3-2-1ルール | 月3万〜10万円 | 2週間 | 免責リスクの低減 |
| 高 | 従業員セキュリティ研修 | 年10万〜30万円 | 半日/回 | 審査で評価される |
| — | サイバー保険加入 | 年10万〜50万円 | 1〜2か月 | — |
まとめ:8.8%の側にいるか、残りの91.2%にいるか
サイバー保険の加入率8.8%は、裏を返せば91.2%の中小企業がサイバー攻撃の経済的リスクに対して無防備であることを意味する。契約件数が2年で2.3倍に伸びている市場の動きは、「もはや対岸の火事ではない」と認識した企業が急速に増えていることの証拠だ。
ただし、保険は「入ればいい」というものではない。セキュリティ対策が不十分な状態で加入しても、保険料は高くなり、いざというときに免責で補償されないリスクが残る。MFA、バックアップ、研修の3つを先に整えること。それが保険加入の効果を最大化する前提条件だ。