« 自工会/部工会・サイバーセキュリティガイドライン、解説書、チェックシートの改訂 (version2.1) (2023.09.01) | Main | 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05) »

2023.09.07

EU 欧州保険・企業年金監督局 (EIOPA) サイバーリスクに関する保険ストレステストの方法論的原則に関する文書 (2023.07.11)

こんにちは、丸山満彦です。

欧州保険・企業年金監督局 (European Insurance and Occupational Pensions Authority; EIOPA) サイバーリスクに関する保険ストレステストの方法論的原則に関するペーパ を2023.07.11に公表していましたね。。。

保険の基本的な知識がないので、よくわからない部分もあるのですが、興味深い文書だと思います。。。

 

European Insurance and Occupational Pensions Authority; EIOPA

・2023.07.11 EIOPA publishes paper on methodological principles of insurance stress testing of cyber risks

EIOPA publishes paper on methodological principles of insurance stress testing of cyber risks EIOPA、サイバーリスクに関する保険ストレステストの方法論的原則に関するペーパーを公表
The European Insurance and Occupational Pensions Authority (EIOPA) published today its fourth paper in a series of papers on methodological principles of insurance stress testing. The paper focuses on the cyber risk component, and it is a further step in enhancing EIOPA’s bottom-up insurance stress testing framework. 欧州保険・職業年金機構(EIOPA)は本日、保険ストレステストの方法論的原則に関する一連のペーパーの4本目となるペーパーを公表した。このペーパーはサイバーリスクの要素に焦点を当てており、EIOPAのボトムアップの保険ストレステストの枠組みを強化するためのさらなる一歩である。
The aim of the paper is to set the ground for an assessment of insurers’ financial resilience under severe but plausible cyber incident scenarios. The methodological principles cover insurers’ own cyber resilience and the vulnerabilities related to cyber underwriting risk. Overall, the principles should help in the design phase of future insurance stress tests with focus on cyber risks. Operational resilience testing, as required under the Digital Operational Resilience Act (DORA), is not in the scope of the current paper. 本稿の目的は、深刻ではあるが、もっともらしいサイバーインシデント・シナリオの下で保険者の財務レジリエンスを評価するための基礎を確立することである。方法論の原則は、保険会社自身のサイバー・レジリエンスとサイバー保険引受リスクに関連する脆弱性をカバーしている。全体として、この原則はサイバー・リスクに焦点を当てた将来の保険ストレステストの設計段階で役立つはずである。デジタル・オペレーショナル・レジリエンス法(DORA)で義務付けられているオペレーショナル・レジリエンス・テストは、今回の論文の範囲には含まれていない。
The principles are built on relevant and still evolving regulation and supervisory experience in this area. Hence, the proposed framework might evolve in the future to reflect developments in the assessment of cyber risks at European and global level. 本原則は、この分野における関連し、かつ現在も発展途上にある規制と監督上の経験に基づき構築されている。したがって、提案されたフレームワークは、欧州および世界レベルでのサイバーリスクのアセスメントの進展を反映し、将来的に進化する可能性がある。
The paper also took into account the feedback provided by stakeholders during the public consultation. また、本ペーパーは、パブリックコンサルテーションにおいて関係者から提供されたフィードバックも考慮に入れている。
Background 背景
In 2019, EIOPA initiated a process to improve its methodology for bottom-up stress testing. The first paper of the series set out the methodological principles of insurance stress testing while the second paper focused specifically on methodological principles that can be used to design exercises assessing insurers’ vulnerability to liquidity shocks. The third paper outlined the methodological principles for stress testing of climate change risk. 2019年、EIOPAはボトムアップストレステストの手法を改善するプロセスを開始した。このシリーズの最初のペーパーは、保険ストレステストの方法論的原則を示したものであり、2番目のペーパーは、流動性ショックに対する保険者の脆弱性を評価するエクササイズを設計するために使用できる方法論的原則に特に焦点を当てたものであった。第3 のペーパーでは、気候変動リスクのストレステストの方法論的原則について概説した。

 

 

・2023.07.11 Methodological principles of insurance stress testing - cyber component

Methodological principles of insurance stress testing - cyber component 保険ストレステストの方法論的原則 - サイバーコンポーネント
Description 説明

This paper aims to set the ground for an assessment of insurers’ resilience under severe but plausible cyber incident scenarios, focusing mostly on the financial consequences of such scenarios. It elaborates on two main aspects:

本稿の目的は、厳しくももっともらしいサイバーインシデント・シナリオの下での保険会社のレジリエンスを評価するための基盤を構築することであり、主にそのようなシナリオがもたらす財務的影響に焦点を当てる。本稿では、主に2 つの側面について詳しく説明する:
Cyber resilience, intended as the capability of an insurance undertaking to sustain the financial effect of an adverse cyber-event. The economic impacts should be informed by more operational oriented data on a firm’s capability to restore its operations at a sufficient level and in a time horizon which do not generate potential systemic effects on the financial sector and eventually on the real economy; サイバー・レジリエンスとは、保険事業者が不利なサイバー事象による財務的影響を維持する能力である。経済的影響は、金融部門、ひいては実体経済にシステミックな影響を及ぼさないような十分な水準と時間軸で業務を復旧させる会社の能力に関する、より業務指向のデータによって知らされるべきである;
Cyber underwriting risk, intended as the capability of an insurance undertaking to sustain by a capital and solvency perspective the financial impact of the materialization of an extreme but plausible adverse cyber scenario impacting the insurance coverages contained in the liability portfolios. サイバー保険引受リスクとは、保険会社が資本と支払能力の観点から、賠償責任ポートフォリオに含まれる保険カバーに影響を与える、極端だがもっともらしい不利なサイバーシナリオの実現による財務的影響を維持する能力を意味する。
The purpose of the paper is two-fold. Firstly, it sets the stage for a discussion on the assessment of the exposure of insurers towards cyber risk. Secondly, it lays down the approaches to design and operationalise a cyber risk assessment in the context of the EIOPA bottom-up stress testing framework. The paper benefits from the engagement with stakeholders during a public consultation that took place between November 2022 and February 2023. 本稿の目的は2つある。第一に、サイバーリスクに対する保険会社のエクスポージャーのアセスメントに関する議論の舞台を整えることである。第二に、EIOPAのボトムアップストレステストフレームワークの文脈におけるサイバーリスクアセスメントを設計し、運用するためのアプローチを示している。本ペーパーは、2022年11月から2023年2月にかけて実施されたパブリックコンサルテーションにおける利害関係者とのエンゲージメントから得られたものである。

 

・[PDF]

20230907-65107

・[DOCX] 仮訳

 

目次...

1  Introduction 1 はじめに
2  Cyber risk for insurers 2 保険会社のサイバーリスク
2.1  Cyber risk: main concepts 2.1 サイバーリスク:主な概念
2.2  Cyber resilience: insurers as direct targets of cyber attacks 2.2 サイバー・レジリエンス:サイバー攻撃の直接の標的としての保険会社
2.2.1  Motivation of cyber attacks against insurers 2.2.1 保険会社に対するサイバー攻撃の動機
2.2.2  Perpetrators of cyber attacks against insurers 2.2.2 保険会社に対するサイバー攻撃の加害者
2.2.3  Types of cyber attacks against insurers 2.2.3 保険会社に対するサイバー攻撃の種類
2.2.4  Impact of cyber attacks against insurers 2.2.4 保険会社に対するサイバー攻撃の影響
2.3  Cyber underwriting: insurers exposed through underwritten products 2.3 サイバー保険引受保険会社は引受商品を通じてリスクにさらされる
2.3.1  Cyber insurance market 2.3.1 サイバー保険市場
2.3.2  Affirmative cyber 2.3.2 明示的サイバー
2.3.3  Silent cyber 2.3.3 黙示的サイバー
2.3.4  Accumulation risk 2.3.4 蓄積リスク
3  Key assumptions 3 主要前提
4  Scope 4 スコープ
4.1  Criteria 4.1 基準
5  Scenarios 5 シナリオ
5.1  Scenario selection 5.1 シナリオ選択
5.2  Scenario narratives and specifications 5.2 シナリオシナリオと仕様
5.2.1  Data Center/Infrastructure Damage (cloud outage) 5.2.1 データセンター/インフラ被害(クラウド停止)
5.2.2  Ransomware 5.2.2 ランサムウェア
5.2.3  Denial of Service (DoS) 5.2.3 サービス拒否
5.2.4  Data Breach 5.2.4 データ漏洩
5.2.5  Power outage 5.2.5 停電
5.3  Scenarios not retained for the purpose of this paper 5.3 本稿の目的のために保持していないシナリオ
6  Cyber underwriting: shocks, specifications and metrics 6 サイバー・アンダーライティングショック、スペック、指標
6.1  General guidance 6.1 一般指導
6.2  Shocks 6.2 ショック
6.3  Metrics 6.3 測定基準
6.4  Examples of applications 6.4 応用例
6.4.1  Ransomware 6.4.1 ランサムウェア
6.4.2  Cloud outage 6.4.2 クラウド停止
6.4.3  Power Outage 6.4.3 停電
6.5  Silent cyber: additional guidance 6.5 黙示的サイバー:追加ガイダンス
6.6  Data elements 6.6 データ要素
7  Cyber resilience: shocks, specifications and metrics 7 サイバー・レジリエンス:ショック、仕様、測定基準
7.1  General guidance 7.1 一般指導
7.2  Shocks 7.2 ショック
7.3  Metrics 7.3 測定基準
7.4  Examples of applications 7.4 応用例
7.4.1  Cloud outage 7.4.1 クラウド停止
7.4.2  Ransomware 7.4.2 ランサムウェア
7.4.3  Denial of Service (DoS) 7.4.3 サービス拒否
7.4.4  Data breach 7.4.4 データ漏洩
7.4.5  Power outage 7.4.5 停電
7.5  Data elements 7.5 データ・エレメント
8  Communication of results 8 結果の伝達
9  Annexes 9 附属書
9.1  ANNEX: Glossary of cyber risk terms 9.1 附属書:サイバーリスク用語集
9.2  ANNEX: MITRE ATT&CK 9.2 附属書:MITREアタック 
9.3  ANNEX: Cyber insurance coverages 9.3 附属書:サイバー保険の補償内容 
9.4  ANNEX: Example of data templates for cyber underwriting 9.4 附属書:サイバー保険引受のためのデータ・テンプレートの例
9.4.1  Example template for impact of cyber scenarios per product 9.4.1 製品ごとのサイバーシナリオの影響に関するテンプレートの例
9.4.2  Example template for impact of cyber scenarios per economic sector 9.4.2 経済分野ごとのサイバーシナリオの影響に関するテンプレートの例
9.4.3  Example template for accumulation exposure cyber insurance per IT service provider 9.4.3 ITサービス・プロバイダーごとの累積エクスポージャー・サイバー保険のテンプレート例

 

関連

ニッセイ基礎研究所

・2023.09.01 サイバーリスクへの保険会社の対応(欧州)-EIOPAのレポートの公表

・[PDF] サイバーリスクへの保険会社の対応(欧州)

 

Munichi Re

サイバー保険:リスクと動向 2021

 

 ・サイバーリスク

Munich Re Global Cyber Risk and Insurance Survey 2022

・[PDF]

20230907-94848

 

 

|

« 自工会/部工会・サイバーセキュリティガイドライン、解説書、チェックシートの改訂 (version2.1) (2023.09.01) | Main | 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 自工会/部工会・サイバーセキュリティガイドライン、解説書、チェックシートの改訂 (version2.1) (2023.09.01) | Main | 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05) »