欧州 ENISA サイバー・ストレステストのためのハンドブック (2025.05.15)
こんにちは、丸山満彦です。
ENISAが、サイバー・ストレステストのためのハンドブックを公表していますね...
EUでは、サイバーレジリエンス関係でいえば、NIS2指令により、重要インフラに対する包括的(水平的)な規制がかかっていることに加え、金融セクターに対するDORAのようなセクター毎の規制の2階建ての規制が特徴ですね。。。
このような背景もあって、ENISAがサイバーレジリエンス強化のためサイバー・ストレステストのハンドブックを作成し、公表していますね...
ストレステストは金融機関では10年以上前から行われていると思います。ストレステストは、極端な変動等のストレスが生じた場合、個別の組織、業界全体等がそのストレスに耐えられるかを確認するための演習という感じですかね...
例えば、リーマンショックのような大規模な株価の下落とそれに続く景気後退や、広域大規模災害、世界的なパンデミックと景気後退が同時に生じた場合に、個別の金融機関、国の金融システム全体がもつか?ということを個別企業ごとに、あるいは国として、演習を行うというかんじだと思います。
それを、サイバー起因のストレスが生じた場合に適用しようというのが、サイバー・ストレステストという感じでしょうかね...
この文書では、次のように説明していますね...
cyber stress test | サイバー・ストレステスト |
a cyber stress test is a targeted assessment of the resilience of individual entities and their ability to withstand and recover from significant cybersecurity incidents, ensuring the provision of critical services, in different risk scenarios. | サイバー・ストレステストは、個々の事業体のレジリエンスと、さまざまなリスクシナリオにおいて、重要なサービスの提供を確保しつつ、重大なサイバーセキュリティインシデントに耐え、そこから回復する能力に関する的を絞ったアセスメントである。 |
金融機関や一部の重要インフラ業界においては、すでに実施がされているかもしれませんが、他の業界、事業体において、実施する際の参考になりそうですね...
● ENISA
・2025.05.15 Handbook for Cyber Stress Tests
目次...
1. INTRODUCTION | 1. 序論 |
1.1 SCOPE AND TARGET AUDIENCE | 1.1 スコープと対象読者 |
1.2 POLICY CONTEXT | 1.2 政策の背景 |
2. STRESS TESTING FOR CYBERSECURITY AND RESILIENCE | 2. サイバーセキュリティとレジリエンスのためのストレステスト |
2.1 DEFINING CYBER STRESS TESTS | 2.1 サイバー・ストレステストの定義 |
2.2 CYBER STRESS TESTS AS PART OF THE SUPERVISION TOOLKIT | 2.2 監督ツールキットの一部としてのサイバー・ストレステスト |
3. STEP-BY-STEP GUIDE FOR CYBER STRESS TESTING | 3. サイバー・ストレステストのためのステップバイステップ・ガイド |
4. NATIONAL, REGIONAL AND UNION CYBER STRESS TESTS | 4. 国、地域、連合のサイバー・ストレステスト |
5. CONCLUSIONS | 5. 結論 |
ANNEX A: HEALTH SECTOR EXAMPLE | 附属書A:医療セクターの例 |
ANNEX B: CASE STUDIES – FINANCE AND ENERGY | 附属書B:ケーススタディ-金融とエネルギー |
FINANCIAL SECTOR – ECB’S 2024 CYBER RESILIENCE STRESS TEST | 金融セクター - 欧州中央銀行(ECB)の2024年サイバーレジリエンス・ストレス・テスト |
ENERGY SECTOR – 2024 HYBRID THREAT STRESS TEST | エネルギーセクター - 2024年ハイブリッド脅威ストレステスト |
REFERENCES | 参考文献 |
エグゼクティブサマリー...
EXECUTIVE SUMMARY | エグゼクティブサマリー |
Stress tests became well-known in the wake of the global financial crisis of 2007–2009, when banking regulators, under the Basel Committee on Banking Supervision, wanted to supervise the asset portfolios of banks more closely and analyse if they were sufficiently strong to withstand financial shock scenarios. | ストレステストが有名になったのは、2007年から2009年にかけての世界的な金融危機の後である。バーゼル銀行監督委員会の下、銀行規制当局が銀行の資産ポートフォリオをより綿密に監督し、金融ショックシナリオに耐えるだけの十分な強度があるかどうかを分析しようと考えたからである。 |
Stress tests have been recently used to test cybersecurity, offering a new, lightweight and targeted method for assessing cybersecurity and resilience. For example, in 2022 the Bank of England did a cyber stress test of retail payment services in the United Kingdom and, in 2024, the European Central Bank (ECB) carried out a large cyber resilience stress test of EU banks. Last year the European Commission supported the EU Member States in conducting an EU coordinated stress test of the resilience of the EU’s energy sector focusing on physical threats in scope of the Critical Entities Resilience (CER) Directive. | ストレステストは最近、サイバーセキュリティのテストに利用されるようになり、サイバーセキュリティとレジリエンスを評価するための軽量で的を絞った新しい手法を提供している。例えば、2022年にはイングランド銀行が英国のリテール決済サービスのサイバー・ストレステストを実施し、2024年には欧州中央銀行(ECB)がEUの銀行の大規模なサイバーレジリエンスストレステストを実施した。昨年、欧州委員会はEU加盟国を支援し、重要事業体レジリエンス(CER)指令の範囲内で、物理的脅威に焦点を当てたEUのエネルギー部門のレジリエンスに関するEU協調ストレステストを実施した。 |
In this handbook, we define a cyber stress test as ‘a targeted assessment of the resilience of individual organisations and their ability to withstand and recover from significant cybersecurity incidents, ensuring the provision of critical services, in different risk scenarios.’ Stress tests focus on resilience, use resilience metrics and can be used to test both preparedness measures and responsive recovery measures. | 本ハンドブックでは、サイバー・ストレステストを「個々の組織のレジリエンスと、さまざまなリスクシナリオにおいて、重要なサービスの提供を確保しつつ、重大なサイバーセキュリティインシデントに耐え、そこから回復する能力を対象としたアセスメント」と定義している。ストレステストはレジリエンスに焦点を当て、レジリエンスの評価指標を使用し、準備対策と対 応回復対策の両方をテストするために使用できる。 |
This handbook contains a simple, five step guide to cyber stress testing (see illustration): | 本ハンドブックには、サイバー・ストレステストの簡単な5ステップガイドが含まれている(図参照): |
1. defining the test scope and objectives, engaging with stakeholders; | 1. テスト範囲と目的を定義し、利害関係者と関わる |
2. designing the test, choosing the methodology, refining the scenarios; | 2. テストの設計、手法の選択、シナリオの洗練 |
3. execution of the cyber stress test; | 3. 実施 |
4. analysing results and identifying gaps; | 4. 結果を分析し、ギャップを特定 |
5. following up on gaps and issues identified in the stress test. | 5. ストレステストで特定されたギャップや問題をフォローアップする。 |
We also apply this step-by-step guide to a practical example, explaining how a cyber stress test could be done in the health sector. We also explain how cyber stress tests can be carried out at the national, regional and EU levels. | また、このステップバイステップのガイドを実際の例に当てはめ、医療セクタ ーでどのようにサイバー・ストレステストを実施できるかを説明する。また、国、地域、EUレベルでどのようにサイバー・ストレステストを実施できるかも説明する。 |
For authorities, cyber stress tests can be a good way to start a dialogue with the sector, about both strategic and systemic risks, as well as more technical issues. Gaps revealed by stress tests can be discussed openly in collaborative and voluntary settings, but can also be followed up in a stricter supervision context. | 監督機関にとって、サイバー・ストレステストは、より技術的な問題だけでなく、戦略的リスクとシステミックリスクの両方について、セクターとの対話を開始する良い方法となり得る。ストレステストによって明らかになったギャップは、協調的かつ自主的な場においてオープンに議論することができるが、より厳格な監督の状況においてもフォローアップすることができる。 |
Considering the current EU policy context – with the European Union focusing more on preparedness and resilience, and with the transposition of the NIS2 Directive concluding – cyber stress tests can become an important new tool in the toolkit of the NIS authorities in the coming years. At ENISA, we look forward to supporting national authorities and agencies, at the national and EU levels, with carrying out national-, regional- and EU-level cyber stress tests. | EUが準備態勢とレジリエンスにより重点を置き、NIS2指令( )の移管が完了しつつある現在のEUの政策状況を考慮すると、サイバー・ストレステストは今後数年間、NIS当局のツールキットにおける重要な新たなツールとなる可能性がある。ENISAでは、国レベル、地域レベル、EUレベルのサイバー・ストレステストの実施において、国およびEUレベルの監督機関や機関を支援することを楽しみにしている。 |
参考文献は役立ちそうなので...
- ストレステスト・ベストプラクティス:https://www.hvst.com/posts/stresstesting-best-practices-X7QTObdl
- イングランド銀行、2024年英国銀行システムのストレステストに対するイングランド銀行のアプローチ。https://www.bankofengland.co.uk/stress-testing/2024/boes-approach-tostress-testing-the-uk-banking-system
- バーゼル銀行監督委員会、2018年。サイバーレジリエンス:実践の範囲。https://www.bis.org/bcbs/qis/biiiimplmoninstr_oct18.pdf
- 連邦準備制度理事会、2021 年。ドッド・フランク法ストレステスト2021:Supervisory Stress Test Methodology. https://www.federalreserve.gov/publications/files/2021-april-supervisory-stress-testpdf
- 中央計画局、2020年オランダ中小企業のストレステスト。https://www.cpb.nl/sites/default/files/omnidownload/CPB-Background-Document-June2020-Astress-test-of-Dutch-pdf
- サイバーセキュリティ・インフラセキュリティ庁(CISA), 2024.インフラレジリエンス計画枠組み(IRPF) https://www.cisa.gov/resourcestools/resources/infrastructure-resilience-planning-framework-irpf
- デンマーク金融監督庁、2024年サイバー・ストレステストは金融セクターのオペレーショナル・レジリエンスを強化する。https://www.dfsa.dk/news/2024/nov/cyber-stress-testing
- 国防総省、2018年。サイバーセキュリティ試験評価ガイドブック。https://www.dau.edu/sites/default/files/Migrated/CopDocuments/Cybersecurity-Test-and-Evaluation-Guidebook-Version2-change-1.pdf
- ESMA - 欧州証券市場庁、2017年。Methodological Framework - 2017 EU-Wide CCP Stress Test Exercise. https://www.esma.europa.eu/document/methodological-framework-2017-ccp-stress-testexercise
- Esposito, S., Stojadinovic, B., Babic, A., Dolsek, M., Iqbal, S., Selva, J., Broccardo, M., Mignan, A., Giardini, D., 2018.A Risk-Based Multi-Level Methodology to Stress Test Critical Infrastructure Systems. https://www.earth-org/server/api/core/bitstreams/b5ca3c77-578d-4a2d-a70f-030765db93fb/content
- 欧州銀行監督機構、2020年。2023 EU 全体のストレステスト。https://www.eba.europa.eu/risk-and-data-analysis/risk-analysis/eu-wide-stress-testing
- 欧州中央銀行(ECB)、2024年。「ECB to Stress Tests Banks' Ability to Recover from Cyberattack" - プレスリリース.https://www.bankingsupervision.europa.eu/press/pr/date/2024/html/ssm.pr240103~a26e1930 。 ja.
- 欧州中央銀行(ECB)、2023年。2023年ユーロ圏銀行のストレステスト-最終結果。https://www.bankingsupervision.europa.eu/ecb/pub/pdf/ssm.Report_2023_Stress_Test~96bb5 en.
- 欧州中央銀行(ECB)、2023年。Supervisory Review and Evaluation Process (SREP) available at: https://www.bankingsupervision.europa.eu/banking/srep/2023/html/ssm.srep202302_supervis ja.
- 欧州中央銀行(ECB)、2021年。コロナウイルス(COVID-19)パンデミックにおけるユーロ圏銀行システムのマクロプルーデンス・ストレステスト。https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4112397。
- 欧州中央銀行(ECB)、2021年。ECBエコノミーワイド気候ストレステスト。https://www.ecb.europa.eu/pub/pdf/other/castmanual201408en.pdf
- 欧州中央銀行、2018年TIBER-EU枠組み。https://www.ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf
- 欧州中央銀行(ECB)、2015年。包括的アセスメントストレステストマニュアル。https://www.ecb.europa.eu/pub/pdf/other/castmanual201408en.pdf
- 欧州委員会共同研究センター(JRC), 2016.Harmonized approach to stress tests for critical infrastructural 重要インフラに対するストレステストのための調和されたアプローチ Available at: https://publications.jrc.ec.europa.eu/repository/bitstream/JRC104663/jrc104663_online_05_01
- 欧州委員会、2016年自然災害に対する重要インフラのストレステストの調和されたアプローチ https://op.europa.eu/en/publicationdetail/-/publication/aa009c90-d6ff-11e6-ad7c-01aa75ed71a1/language-en
- 欧州委員会、2014年重要インフラのレジリエンス改善のためのストレステストの開発:A Feasibility Analysis.https://ec.europa.eu/jrc/en/publication/developing-stress-tests-improve-resilience-criticalinfrastructures-feasibility-analysis。
- 欧州保険・職業年金機構、2019年。2019 年職業年金ストレステスト。https://www.eiopa.europa.eu/browse/financialstability/occupational-pensions-stress-test/occupational-pensions-stress-test-2019_en
- 欧州原子力安全規制機関グループ(ENSREG)、2011年。EU「ストレステスト」仕様書。https://www.ensreg.eu/sites/default/files/EU 。 %20Stress %20Test %20Peer %20Review %20Final %20Report_0.
- 欧州システミック・リスク委員会、2025年。金融セクターにおけるサイバーレジリエンスのシナリオテストに関するハンドブック。
- 欧州連合(EU)、2019年。高度道路交通システムのセキュリティに関する規則(C-ITS)。https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=PI_COM %3AC %282019 %
- 欧州連合(EU)、2022年デジタルサービス法(DSA)。https://eurlex.europa.eu/legal-content/EN/TXT/?uri=CELEX
- 欧州連合(EU)、2019年サイバーセキュリティ法(CSA)。https://eurlex.europa.eu/EN/legal-content/summary/the-eu-cybersecurity-act.html
- 金融安定理事会、2020年。Cyber Incident Response and Recovery Toolkit. https://www.fsb.org/2020/10/cyber-incident-response-and-recovery-toolkit/
- 国際通貨基金(IMF)、2023年。マクロ・プルデンシャル・ストレス・テスト・モデル:A Survey. https://www.imf.org/en/Publications/WP/Issues/2023/08/25/Macro-PrudentialStress-Test-Models-A-Survey-537990
- KPMG、2024年。Cyber Resilience Stress Test (CRST). https://kpmg.com/xx/en/ourinsights/ecb-office/hacking-the-2024-ecb-cyber-stress-html
- Linkov, I., Trump, B. D., Trump, J., Pescaroli, G., Hynes, W., Mavrodieva, A., Panda, A., 2022.重要インフラのレジリエンス・ストレス・テスト。 https://www.sciencedirect.com/science/article/abs/pii/S2212420922005428?via %3Dihub
https://doi.org/10.1016/j.ijdrr.2022.103323 - 国立標準技術研究所、2020年。情報システムと組織のためのセキュリティとプライバシー管理。https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
- Pendleton, J., Levite, A., Kolasky, B., 2024.クラウドの安心感:レジリエンスと信頼を強化する枠組み。https://carnegieendowment.org/research/2024/01/cloudreassurance-a-framework-to-enhance-resilience-and-trust?lang=en
- リスクビジネス、2024年備え続ける:ストレステストの世界の動向。https://riskbusiness.com/wp-content/uploads/2024/01/Stress-Testing-Report-Janpdf
- Seðlabanki Íslands, 2023.TIBER-IS 実施ガイド。https://www.sedlabanki.is/library/Skraarsafn/Fjarmalainnvidir/TIBER-IS-Implementationpdf
- パキスタン国立銀行、2020年ストレステストに関するガイドライン2020(FSD Circular No 01 of 2020の付属書A)。https://lsecentralbanking.medium.com/anintroduction-to-stress-testing-15d7e933dfc1
- Tan, M., Sung Jae, P., Hazarudin, H. A., 2021.LSE SU Central Banking Society - ストレステスト序論.
- De, R., Taft, J. P., Webster, M. S., Forrester, J. P., Bisanz, M., 2020.米国の銀行規制当局が発表した「オペレーショナル・レジリエンスのための健全な慣行」。https://lsecentralbanking.medium.com/anintroduction-to-stress-testing-15d7e933dfc1
- 投資協会、2021年シナリオテスト:シビアだが可能性はある。https://www.theia.org/node/32166
Recent Comments