サイバー保険＋IR＋EDR＋バックアップ統合コスト試算 2026｜中小企業向け 4 社比較・引受要件・支払実績

独立行政法人情報処理推進機構（IPA）「情報セキュリティ10 大脅威 2025」では、組織向け脅威の第1 位にランサムウェア攻撃が5 年連続で選ばれた。警察庁「令和6 年におけるサイバー空間をめぐる脅威の情勢等について」によると、2024 年のランサムウェア被害報告件数は222 件で、被害企業の約6 割が中小企業という結果が出ている。

「サイバー保険に入っていれば安心」は、半分正しく半分誤り。保険単体では機能せず、IR（インシデントレスポンス）体制・EDR・バックアップが揃って初めて支払いが受けられる構造になっている。MFA 未導入や脆弱性放置で被害が拡大した場合、保険金は大幅減額または不払いになる条項が主要4 社で定着している。

本記事は (1) 主要4 社の補償範囲比較、(2) 引受要件チェックリスト、(3) 保険金支払実績の傾向、(4) 保険＋IR＋EDR＋バックアップを統合した年額500 万〜1,500 万円の防御パッケージ設計、を中堅企業（100〜1,000 名）の経営層・情シス向けに整理する。

なぜサイバー保険「単体」では機能しないのか
主要4 社のサイバー保険商品比較
保険会社の引受要件：審査で確認される13 項目
保険金支払実績の傾向：何が支払われ、何が削られるか
統合コスト試算：保険＋IR＋EDR＋バックアップで年500〜1,500 万円
保険料の相場と免責5 項目
導入ロードマップ：8 週間で契約締結まで
FAQ
まとめ

なぜサイバー保険「単体」では機能しないのか

技術対策だけではカバーできない3 つのリスク

リスク種類	技術対策	サイバー保険でカバーされる範囲
システム復旧費用	バックアップで部分対応	データ復旧・フォレンジック調査費用を実損てん補
第三者賠償	対策困難	個人情報漏えい慰謝料・取引先損害賠償
事業中断損失	BCP で部分対応	サイバー攻撃起因の休業損失を日額ベースで補償

EDR や MFA を導入してもサプライチェーン経由の侵入やゼロデイ脆弱性は技術的に100% 防げない。対策の最終ラインとして保険が位置づけられる。

保険「単体」では機能しない3 つの理由

理由1：引受拒否される 2023〜2025 年にかけて主要保険会社の引受審査が厳格化。MFA 未導入、EDR なし、オフラインバックアップなしの企業は、そもそも保険契約を結べないか保険料が大幅に引き上げられるケースが増えている。

理由2：免責で支払われない 「セキュリティ基本対策の未実施」を免責事由に明記する条項が標準化。MFA 未設定アカウントから侵入されたランサムウェア被害は、保険金が大幅減額または不払いになる事例が報告されている。

理由3：IR 体制なしでは封じ込めが間に合わない 保険金は「合理的な範囲の損害」しかカバーしない。インシデント発生から封じ込めまでの時間が長引くと事業中断損失が膨らみ、保険契約上限を超える損害が発生する。24 時間以内の初動対応ができる IR 体制（自社 or 外部委託）が前提となる。

中小企業がサイバー保険を軽視する3 つの誤解

「自社は狙われない」 — 警察庁統計で被害の約6 割が中堅・中小企業。攻撃者はむしろセキュリティ投資が薄い企業を狙う傾向
「個人情報賠償は少額で済む」 — JNSA 調査で1 件あたり想定損害賠償額は平均6,000 円超、1 万件規模漏えいで6,000 万円以上
「保険料が高い」 — 従業員300 名規模で年間30〜80 万円レンジが主流で、復旧費用と比較すると桁違いに安価

結論：サイバー保険は「お守り」ではなく「BCP の財務的裏付け」。EDR・MFA・バックアップ・IR を整備したうえで保険を組むのが標準設計だ。

主要4 社のサイバー保険商品比較

損保ジャパン・東京海上日動・あいおいニッセイ同和・三井住友海上の比較

各社の公式商品ページおよびパンフレット（2025 年12 月時点）をもとに主要項目を整理する。具体的な保険料は業種・売上高・既存セキュリティ対策水準で大きく変動するため、各社要見積である。

項目	損保ジャパン「サイバー保険」	東京海上日動「サイバーリスク保険」	あいおいニッセイ同和「タフ・サイバーセキュリティ保険」	三井住友海上「サイバープロテクター」
第三者賠償	あり	あり	あり	あり
事故対応費用	あり（調査・コールセンター等）	あり	あり	あり
事業中断損失	あり	あり	あり（オプション）	あり
データ復旧費用	あり	あり	あり	あり
身代金補償	付保可能（条件あり）	付保可能（条件あり）	要相談	付保可能（条件あり）
インシデント初動支援	24 時間窓口・専門ベンダー派遣	24 時間窓口・専門ベンダー派遣	24 時間窓口	24 時間窓口
サプライチェーン起因事故	あり	あり	あり	あり
想定保険料レンジ（300 名規模・標準補償）	60〜130 万円/年	60〜130 万円/年	50〜120 万円/年	60〜120 万円/年

※上記は各社公開情報をもとに整理した一般的な補償項目で、個別契約では適用範囲が異なる。身代金支払いの補償は法的・倫理的観点で付保可否が分かれるため、必ず各社公式確認が必要。保険料は2025 年公開情報および業界ヒアリングからの目安であり、正確な数字は必ず保険会社要見積。

パターン別の選び方

パターンA：IT・Web サービス業 個人情報取扱件数が多いため、第三者賠償の支払限度額を厚くする設計。東京海上・損保ジャパンの大型プランが適合。

パターンB：製造業・建設業 事業中断リスクが大きいため、休業損失補償と工場ラインの復旧費用を重視。あいおいニッセイ同和・三井住友海上が製造業向け特約を充実させている。

パターンC：小売・飲食 POS システム・顧客カード情報の PCI DSS 関連リスクへの備え。カード情報漏えい時のフォレンジック費用特化プランを選ぶ。

保険会社の引受要件：審査で確認される13 項目

主要4 社の引受審査で2024〜2026 年に実際に確認される項目を整理する。これらが揃わないと契約拒否、または保険料が30〜100% 引き上げになるケースが増えている。

必須要件（これがないと引受拒否のリスク高）

#	項目	確認方法
1	MFA（多要素認証）	リモートアクセス・特権アカウント・クラウドサービス全てに導入されているか
2	EDR（次世代エンドポイント保護）	サーバ・PC に EDR が展開されているか（製品名と展開率）
3	バックアップのオフライン保管	3-2-1 ルール準拠（3 部、2 種媒体、1 部オフライン）
4	重要システムのパッチ適用状況	90 日以上未適用の重要パッチがないか
5	メールセキュリティ	スパムフィルタ・添付ファイル分析・URL チェック

強く推奨される要件（あると保険料割引）

#	項目	効果
6	特権アカウント管理（PAM）	保険料5〜15% 割引
7	ネットワークセグメンテーション	事業中断損失の補償増額
8	インシデント対応計画の文書化	事故対応費用の上限引き上げ
9	年1 回のセキュリティ教育	保険料5% 割引
10	脆弱性診断（年1 回以上）	保険料5〜10% 割引

あると望ましい要件

#	項目	効果
11	SOC / MDR 契約	保険料10〜20% 割引、引受限度額拡大
12	ISMS / ISO 27001 認証	保険料割引、引受審査短縮
13	CSIRT 設置	大型補償プランの引受可能

引受要件への対応コスト試算

対策	年額（300 名規模）	備考
MFA 導入	50〜200 万円	Microsoft Authenticator 等
EDR 導入	100〜400 万円	CrowdStrike Falcon、Defender for Endpoint 等、台数依存
バックアップ強化	50〜200 万円	オフライン保管、Immutable Storage
パッチ管理ツール	50〜150 万円	WSUS、Intune、自動化ツール
メールセキュリティ強化	50〜150 万円	Proofpoint、Mimecast 等
必須要件 5 項目合計	300〜1,100 万円

保険金支払実績の傾向：何が支払われ、何が削られるか

各保険会社の公開情報および業界レポートから、近年の支払実績の傾向を整理する。個別契約の支払可否は契約条件と事故状況で変わるため、参考情報として捉えてほしい。

支払われやすい項目

項目	支払傾向	理由
フォレンジック調査費用	ほぼ支払	事故原因特定が保険金算定の前提
データ復旧費用	概ね支払	実費精算で見積取得が容易
コールセンター設置	支払	個人情報漏えい時の標準対応
顧客通知費用（郵送・告知）	支払	法令対応
弁護士費用（事故対応）	概ね支払	規程の範囲内

削られる・揉めやすい項目

項目	削減・不払いの理由
事業中断損失	「合理的な復旧期間」を超える分は対象外。バックアップ不備で復旧が長引いた場合、その期間分は否認
第三者賠償	過失割合・因果関係で算定が割れやすい。慰謝料部分は減額されることがある
身代金支払	制裁対象国・テロ組織関連は支払不可。警察協議が前提
逸失利益	直接損害に限定。ブランド毀損による将来逸失利益は対象外
設備の物理的損害	サイバー起因の物理損害（ICS 攻撃等）は適用範囲が個別判断

不払いのケース

ケース	不払い理由
MFA 未導入アカウントから侵入	基本セキュリティ対策不実施の免責
既知の重要パッチ未適用（90 日超）が原因	既知の脆弱性由来の免責
保険契約前から既に侵害されていた（潜伏）	既存事故の免責
戦争・国家主体攻撃と認定	戦争免責（NotPetya 訴訟以降の標準条項）

支払実績データの確認方法

保険会社 IR 資料：損保ジャパン・東京海上等のサステナビリティ／統合報告書に件数・金額の概況が掲載されることがある
業界統計：日本損害保険協会、JNSA のレポート
個別ヒアリング：契約検討時に「当社業種・規模での過去3 年の支払事例（一般化された形で）」を保険会社に確認

統合コスト試算：保険＋IR＋EDR＋バックアップで年500〜1,500 万円

サイバー保険を「機能させる」には、保険単体ではなく以下4 要素の統合パッケージで予算化する必要がある。

想定：従業員300 名・年商30〜50 億円・標準補償（賠償3 億円・休業補償付帯）

要素	年額（標準ライン）	役割
サイバー保険（標準補償）	60〜120 万円	金銭的ヘッジ
EDR（300 端末）	100〜400 万円	攻撃検知・遮断
MFA + ID 管理	50〜200 万円	侵入防止
バックアップ強化（Immutable Storage、3-2-1）	100〜300 万円	復旧保証
IR（インシデントレスポンス）リテイナー契約	100〜300 万円	24h 初動対応
脆弱性管理＋セキュリティ教育	100〜200 万円	引受要件維持
統合年額目安	510〜1,520 万円

グレード別パッケージ

ライトパッケージ（年500〜700 万円）：従業員100〜300 名

保険：基本補償（賠償1 億円）
EDR：Microsoft Defender for Endpoint
MFA：Microsoft Authenticator
バックアップ：オンプレ + クラウド2 箇所、週次オフライン
IR：保険付帯の24 時間窓口を活用、社内 CSIRT 1 名

スタンダードパッケージ（年800〜1,200 万円）：従業員300〜700 名

保険：標準補償（賠償3 億円・休業補償）
EDR：CrowdStrike Falcon Pro
MFA：Okta or Microsoft Entra ID P1
バックアップ：Immutable Storage、3-2-1 完全準拠
IR：外部 IR ベンダーリテイナー契約（年200 万円）

プレミアムパッケージ（年1,500〜3,000 万円）：従業員700〜1,500 名・規制業種

保険：手厚い補償（賠償5 億円・身代金含む）
EDR：CrowdStrike Falcon Complete（MDR 込み）
MFA + PAM：Okta + CyberArk
バックアップ：Immutable + Air-gapped、地理冗長
IR：MDR 24/365 + IR リテイナー + 年1 回机上訓練

投資対効果

ランサムウェア1 件の被害額平均は身代金要求・システム復旧・逸失利益を合わせると2,000 万〜数億円のレンジ（警察庁・JNSA 調査をもとに業界で広く引用される試算）。年500〜1,500 万円の統合パッケージは、1 件のインシデント回避で十分回収できる水準だ。

「サイバー保険 + EDR + バックアップ + IR、いくらで組めるか試算してほしい」

GXO のサイバー保険・セキュリティ統合無料相談では、貴社の従業員数・業種・既存対策をヒアリングし、(1) 引受要件ギャップ分析、(2) 保険＋ EDR ＋ MFA ＋バックアップ＋ IR の年額試算、(3) 主要4 社の見積取得サポートまで提示します。代理店ではない中立的な立場で、最適な統合防御パッケージをご提案します。

サイバー保険＋セキュリティ統合無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

保険料の相場と免責5 項目

保険料の目安レンジ（従業員300 名・年商30〜50 億円を想定）

補償設計	年間保険料目安
基本補償（賠償1 億円・復旧費用5,000 万円）	30〜60 万円
標準補償（賠償3 億円・休業補償付帯）	60〜120 万円
手厚い補償（賠償5 億円・身代金含む）	120〜300 万円

※各社公式見積もりで大きく変動。上記は複数社からの公開情報と業界ヒアリングからの目安であり、正確な数字は必ず保険会社要見積。

見積依頼前に整理しておく情報

業種・売上高・従業員数・保有個人情報件数
既存セキュリティ対策（EDR / MFA / バックアップ / SOC 有無）
海外拠点・海外売上比率
過去のインシデント履歴
Web サイト数・EC サイト有無

保険料は既存セキュリティ水準で20〜40% 変動するため、IPA「サイバーセキュリティ経営ガイドライン」に沿った対策実施状況をまとめておくと割引適用が受けやすい。

免責事項で必ず確認すべき5 項目

基本セキュリティ対策未実施時の免責（MFA 未導入・パッチ未適用での事故は減額・免責となる条項）
既存事故・既知の脆弱性由来の免責
戦争・テロ・国家主体攻撃の免責（NotPetya 訴訟以降、適用範囲が細分化）
身代金支払いの法令違反該当時の免責
事業中断補償の待機期間（事故発生から補償開始までの時間、8〜72 時間が一般的）

導入ロードマップ：8 週間で契約締結まで

週	作業内容	担当
W1	経営層への必要性提起・予算枠取り	CISO・情シス
W2	既存セキュリティ対策の棚卸し（EDR / MFA / バックアップ / IR）	情シス
W3	想定補償額の算出（売上・個人情報件数ベース）	経営企画
W4〜W5	引受要件ギャップ分析と必要な追加対策の見積	情シス・購買
W6	複数社から保険見積取得（最低3 社推奨）	総務・情シス
W7	補償範囲・免責の横並び比較、IR ベンダー選定	リスク管理担当
W8	役員承認・契約書レビュー・社内周知（インシデント時の連絡フロー）	法務・経営層

ポイント：保険代理店経由のほうが複数社横並び比較が容易。直接各社を回ると営業プロセスに3〜4 ヶ月かかる場合がある。

FAQ

Q1. ランサムウェアの身代金はサイバー保険で支払われますか？

多くの保険会社で条件付きで付保可能。ただし制裁対象国・テロ組織関連の支払いは法令上不可で、警察・弁護士との協議必須。身代金は支払っても復号されない事例もあるため、IPA・警察庁は支払わない方針を推奨している。

Q2. EDR が無いと本当に保険に入れませんか？

主要4 社とも引受審査の必須項目になりつつある（2024〜2025 年に厳格化）。ただし「全端末への展開100%」までは求められないケースもあり、サーバ・特権端末への優先展開＋年内の全端末展開計画があれば引受可能なケースもある。契約前に保険会社・代理店に必ず確認してほしい。

Q3. 既にクラウドサービスの利用規約で補償があります。重複しませんか？

クラウド事業者の補償は「自社サービス起因の停止」に限定されるのが通例で、顧客側のデータ漏えい責任は利用企業側に残る。重複せず補完関係と考えるのが実務。

Q4. 情報漏えい1 件もない状態で保険だけ入るのは無駄では？

統計的に中堅企業の年間インシデント発生率は1〜3%。発生時の平均損害額が数千万〜億単位のため、期待損失額で計算すると保険料を十分上回る。

Q5. IR（インシデントレスポンス）リテイナー契約は本当に必要ですか？

事故発生から24 時間の対応速度が損害額を大きく左右する。社内 CSIRT が成熟していない場合、外部 IR ベンダーとリテイナー契約（年100〜300 万円）を結ぶことで、事故時に即座に対応開始できる。リテイナーなしだと、事故発生時にゼロから契約交渉が始まり、対応開始が48〜72 時間遅れることがある。

Q6. 保険料の引受審査で実際に何が見られますか？

(1) MFA 導入率、(2) EDR 展開率、(3) バックアップのオフライン保管、(4) 重要パッチの適用状況、(5) 過去のインシデント履歴、(6) 業種・売上規模、の6 項目が中心。質問票（数十項目）に回答する形式が一般的で、虚偽回答は告知義務違反として保険金不払いの理由になる。

Q7. 保険を更新する際に注意すべきことは？

(1) 直近の被害事例で免責条項が改訂されていないか、(2) 保険料の引上げが妥当か、(3) 引受要件が厳しくなり継続更新できるか、(4) 同条件で他社と比較してどうか、の4 点。毎年の更新時に他社見積を取ることが推奨される。

まとめ

ランサムウェア被害の約6 割は中堅・中小企業で、技術対策だけでは100% 防げない
保険「単体」では機能しない。MFA / EDR / バックアップ / IR が揃って初めて引受・支払が成立
主要4 社（損保ジャパン・東京海上・あいおい・三井住友海上）とも基本補償は横並び、差は付帯サービス・免責条項・保険料で出る
従業員300 名規模で年間30〜300 万円レンジ、既存セキュリティ対策水準で20〜40% 変動するため複数社見積が必須
統合パッケージ（保険＋ EDR ＋ MFA ＋バックアップ＋ IR）で年500〜1,500 万円が中堅企業の標準ライン

「保険＋セキュリティ統合パッケージ、自社規模だといくらか確認したい」

GXO では、サイバー保険の選定支援＋セキュリティ対策（EDR・MFA・バックアップ・IR 体制設計）を組み合わせた無料相談を受け付けています。引受要件ギャップ分析、4 社見積比較、年額統合試算、IR ベンダー選定までワンストップで支援。