ENISA サイバー保険 - モデルと手法、AIの活用

こんにちは、丸山満彦です。

ENISAからサイバー保険 - モデルと手法、AIの活用という報告書が公表されていますね...

興味深い内容だと思います。ぜひ、損害保険会社の人に解説をしてもらいたいです...

研究トピックとして 23の項目が挙げられています。。。

1	IMPROVING THE PROCESS OF CYBER RISK ASSESSMENT	サイバーリスク評価のプロセスを改善する
2	IDENTIFYING RELEVANT CO-VARIABLES / IMPROVING INDIVIDUAL PRICING	関連する共同変数を特定する／個々の価格設定を改善する
3	MODELLING AND ESTIMATING LOSS FREQUENCY AND SEVERITY	損失頻度と重大性のモデル化と推定
4	MODELLING OF SYSTEMIC RISK IN NETWORK MODELS	ネットワーク・モデルにおけるシステミック・リスクのモデル化
5	MODELLING DYNAMIC STRATEGIC INTERACTION	ダイナミックな戦略的相互作用のモデル化
6	UNDERSTANDING MULTILAYER NETWORKS	多層ネットワークを理解する
7	PRICING IDIOSYNCRATIC, SYSTEMATIC, AND SYSTEMIC RISK	特異リスク、システマティック・リスク、システミック・リスクのプライシング
8	DATA FOR SYSTEMIC CYBER RISK	システミック・サイバーリスクに関するデータ
9	ADAPTING EXISTING ML METHODS TO THE SPECIFIC STYLIZED FACTS OF CYBER	既存のML手法をサイバー犯罪特有の様式化された事実に適応させる。
10	ESTIMATION OF MODELS FOR CYBER RISK (E.G. COMBINING STATISTICAL ESTIMATION AND EXPERT OPINION)	サイバーリスクに関するモデルの推定（統計的推定と専門家の意見の組合わせ等）
11	CYBER ASSISTANCE	サイバーアシスタンス
12	HEDGING ACCUMULATION RISKS	累積リスクのヘッジ
13	CYBER RISK AS AN ASSET CLASS	資産クラスとしてのサイバーリスク
14	CLOSING THE CYBER-INSURANCE GAP	サイバー保険ギャップを埋める
15	OPTIMAL CONTRACT DESIGN	最適な契約設計
16	BEHAVIORAL CHALLENGES	行動上の課題
17	CYBER INSURANCE FOR THE PRIVATE CUSTOMER SEGMENT	個人顧客向けサイバー保険
18	RESILIENCE OF SYSTEMS	システムの回復力
19	ROBUSTNESS OF MODELS	モデルの堅牢性
20	DATA COLLECTION	データ収集
21	WELFARE AND REGULATORY IMPLICATIONS	福祉と規制への影響
22	EXPLAINABLE AI FOR CYBER RISK	サイバーリスクに対する説明可能なAI
23	VISION: AUTONOMOUS CYBER RISK MANAGEMENT	ビジョン：自律的なサイバーリスク管理

 

● ENISA

・2024.02.21 Cyber Insurance - Models and methods and the use of AI

・[PDF]

・[DOCX] 仮訳

・[PDF] 仮訳

 

 

目次...

EXECUTIVE SUMMARY	エグゼクティブサマリー
1. INTRODUCTION	1.はじめに
1.1 PROBLEM DESCRIPTION	1.1 問題の説明
1.2 AIMS AND SCOPE	1.2 目的と範囲
1.3 METHODOLOGY AND SOURCES	1.3 方法論と情報源
1.4 REPORT STRUCTURE	1.4 レポートの構成
2. CYBER RISK AND CYBER INSURANCE	2.サイバーリスクとサイバー保険
2.1 BACKGROUND	2.1 背景
2.2 TASKS OF THE CYBER-INSURANCE INDUSTRY	2.2 サイバー保険業界の課題
2.2.1 Pricing	2.2.1 価格設定
2.2.2 Portfolio-risk management / regulatory capital	2.2.2 ポートフォリオ・リスク管理／規制資本
2.2.3 Reserving	2.2.3 予約
2.2.4 Reinsurance	2.2.4 再保険
2.2.5 Prevention of future losses	2.2.5 将来の損失防止
2.3 CHALLENGES AND IMPLICATIONS	2.3 課題と意味合い
2.3.1 Challenges	2.3.1 課題
2.3.2 Implications for cyber insurance	2.3.2 サイバー保険への影響
3. CONTEXT OF DATA	3.データの文脈
3.1 CYBER-RELATED DATA CURRENTLY AVAILABLE AND USED	3.1 現在入手可能で利用されているサイバー関連データ
3.1.1 Attacks on IT-systems	3.1.1 ITシステムへの攻撃
3.1.2 Data breaches	3.1.2 データ侵害
3.1.3 Cyber loss data (financial consequences)	3.1.3 サイバー損害データ（経済的影響）
3.1.4 Meta-information on insured companies (idiosyncratic, systematic, and systemic)	3.1.4 被保険者に関するメタ情報（特異的、システマティック、システミック）
3.2 STYLIZED FACTS AND CHALLENGES OF DATA ON CYBER LOSSES	3.2 サイバー損害に関するデータの様式化された事実と課題
3.2.1 (Non-) availability of data	3.2.1 データの（非）入手可能性
3.2.2 Technological progress; non-stationarity of data	3.2.2 技術進歩；データの非定常性
3.2.3 Accumulation of losses	3.2.3 損失の累積
3.2.4 Diversity of risks	3.2.4 リスクの多様性
3.2.5 Information asymmetries	3.2.5 情報の非対称性
3.3 VISION: POOLING DATA FROM DIFFERENT SOURCES	3.3 ビジョン：異なるソースからのデータをプールする
4. TYPES OF CYBER RISK / MODELLING APPROACHES	4.サイバーリスクの種類／モデル化アプローチ
4.1 IDIOSYNCRATIC RISK, SYSTEMATIC RISK, AND SYSTEMIC RISK	4.1 特異的リスク、システマティック・リスク、システミック・リスク
4.2 CLASSICAL ACTUARIAL APPROACHES	4.2 古典的な保険数理アプローチ
4.3 CONTAGION MODELS	4.3 伝染モデル
4.4 STRATEGIC INTERACTION	4.4 戦略的相互作用
4.5 KEY MODELLING CHALLENGES AND PRICING TECHNIQUES	4.5 主要なモデル化の課題と価格設定手法
5. STATISTICAL METHODS, MACHINE LEARNING, AND AI	5.統計的手法、機械学習、AI
5.1 STATUS QUO OF STOCHASTIC METHODS USED IN CYBER	5.1 サイバー分野で使われる確率的手法の現状
5.2 OVERVIEW ON ML AND AI METHODS	5.2 ML/AI法の概要
5.3 METHODS OF ML/AI USED IN THE INSURANCE INDUSTRY	5.3 保険業界で使われているMI/AIの手法
6. VISION FOR FUTURE RESEARCH	6.将来の研究ビジョン
7. CONCLUSION	7.結論
8. GLOSSARY ON INSURANCE TERMINOLOGY	8.保険用語集
9. BIBLIOGRAPHY	9.参考文献

 

エグゼクティブサマリー

 

EXECUTIVE SUMMARY	エグゼクティブサマリー
Research and innovation (R&I) are important indicators for a society to measure progress, growth and development in any field. But progress and growth in our increasingly digital society cannot be achieved without trust. Investing in cybersecurity R&I is key to increasing knowledge about new and emerging threats and developing new technologies, tools and strategies to protect systems, networks and data. Failure to do so can have devastating consequences for building trust in the use of digital technologies by individuals, organisations and society as a whole.	研究・イノベーション（R&I）は、社会があらゆる分野における進歩、成長、発展を測る重要な指標である。しかし、ますますデジタル化する社会における進歩と成長は、信頼なくしては達成できない。サイバーセキュリティR&Iへの投資は、新しく出現する脅威に関する知識を増やし、システム、ネットワーク、データを保護するための新しい技術、ツール、戦略を開発するための鍵となる。これを怠れば、個人、組織、社会全体によるデジタル技術の利用に対する信頼構築に壊滅的な結果をもたらしかねない。
The main objective of this report is to introduce cyber risk and cyber insurance, provide an overview of existing research and modelling approaches, and identify gaps for upcoming research projects. The key findings from this report are as follows:	本報告書の主な目的は、サイバーリスクとサイバー保険を紹介し、既存の研究とモデル化アプローチの概要を提供し、今後の研究プロジェクトのギャップを明らかにすることである。本レポートの主要な発見は以下の通りである：
·        The current state of the cyber insurance industry is critically reviewed and the academic literature on cyber-risk modelling is summarized;	·        サイバー保険業界の現状を批判的にレビューし、サイバーリスク・モデリングに関する学術文献を要約する；
·        We argue that among the most challenging parts of this interdisciplinary modelling task are (i) the solid understanding of the specific vulnerability of an individual firm on the one hand, and (ii) the interrelationships between firms on the other side, the latter resulting in systemic and systematic risks;	·        我々は、この学際的なモデリング作業で最も困難なのは、(i)一方では個々の企業の具体的な脆弱性をしっかりと理解することであり、(ii)他方では企業間の相互関係であり、後者はシステミック・リスクやシステマティック・リスクをもたらすものであると主張する；
·        We show that advanced statistical methods from ML/AI have the potential to be used in cyber-risk modelling and cyber insurance;	·        我々は、ML/AIによる高度な統計手法がサイバーリスク・モデリングやサイバー保険に利用できる可能性があることを示す；
·        A major obstacle to the further development and use of advanced statistical tools is the lack of publicly available data. We therefore advocate the creation of publicly available cyber-related data pools to foster research;	·        高度な統計ツールのさらなる開発と利用を阻む大きな障害は、一般に利用可能なデータが不足していることである。そこで我々は、研究を促進するために、一般に利用可能なサイバー関連データプールの創設を提唱する；
·        Cyber losses exhibit statistical properties that have to be accounted for in modelling: in particular non-linear dependencies leading to accumulation risk in portfolios, non-stationary loss processes resulting from technological progress and human interaction, and heavy tailed loss distributions;	·        サイバー損害は、モデル化において説明しなければならない統計的特性を示している。特に、ポートフォリオにおける累積リスクにつながる非線形依存性、技術進歩や人的相互作用に起因する非定常な損害プロセス、重い尾を引く損害分布などである；
·        We argue that cyber insurance, especially when combined with appropriate cyber assistance services, can enhance both the benefits to individual companies and the resilience of the global IT infrastructure;	·        サイバー保険は、特に適切なサイバー支援サービスと組み合わせることで、個々の企業にとっての利益とグローバルなITインフラの回復力の両方を高めることができると主張する；
·        A long list of specific challenges and issues for further research is given.	·        具体的な課題や今後の研究課題については、長いリストが挙げられている。
In 2023, ENISA produced a report analysing the current perspectives and challenges of operators of essential services (OESs)[1] in relation to the subscription of cyber insurance services. The report provides information and statistics on the selection, purchase and use of cyber insurance as a tool to mitigate cyber risks in daily business life. While this report provides an overview of the demand side and in particular the requirements of OESs for the use of cyber insurance, this present study highlights what is needed to address some of the challenges from a technical (actuarial) perspective to make cyber insurance more effective from the supply side. For example, how to increase the efficiency of cyber risk assessment and analysis to make cyber insurance more affordable and more suitable as a risk mitigation strategy for OESs. In addition, this current study also provides some practical recommendations on how to improve the maturity of risk management practises in terms of identifying, mitigating and quantifying risk exposure. The combined reading of these two reports will lead to a better understanding of how cyber insurance can be made more effective as a tool to mitigate cyber risks.	2023年、ENISAはサイバー保険サービスの加入に関連する重要サービス事業者（OES）[1] の現在の展望と課題を分析した報告書を作成した。本レポートは、日常業務におけるサイバーリスクを軽減するツールとしてのサイバー保険の選択、購入、利用に関する情報と統計を提供している。この報告書は、需要側、特にOESがサイバー保険を利用する際の要件についての概要を提供しているが、本研究では、供給側からサイバー保険をより効果的なものにするために、技術的（保険数理的）観点からいくつかの課題に対処するために必要なことを強調している。例えば、サイバー保険をより手頃なものにし、OESのリスク軽減戦略としてより適切なものにするために、サイバーリスクの評価と分析の効率を高める方法である。加えて、本研究では、リスク・エクスポージャーの特定、軽減、定量化という観点から、リスク管理実務の成熟度をいかに向上させるかについて、実践的な提言も行っている。これら2つの報告書を合わせて読むことで、サイバーリスクを軽減するツールとしてサイバー保険をより効果的にする方法についての理解が深まるだろう。

 

 

---

 

こちらも是非...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.03 ENISA EUにおけるサイバー保険の需要サイド (2023.02.23)

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇？

・2021.02.16 ニューヨーク州金融サービス局（NYDFS）サイバー保険リスクフレームワーク （保険通達2021年第2号）at 2021.02.04