- シンクタンクならニッセイ基礎研究所 >
- 保険 >
- 保険会社経営 >
- サイバーリスクへの保険会社の対応(欧州)-EIOPAのレポートの公表
サイバーリスクへの保険会社の対応(欧州)-EIOPAのレポートの公表
保険研究部 主任研究員 年金総合リサーチセンター・気候変動リサーチセンター兼任 安井 義浩
1――ストレステスト4つめの方法論
この報告書をもとに、保険会社のサイバーリスクの特徴などを要約する形で紹介する。
1 Methodological Principles of Insurance Stress Testing (EIOPA 2023.7.11)
https://www.eiopa.europa.eu/system/files/2023-07/Methodological%20principles%20of%20insurance%20stress%20testing%20-%20Cyber%20component.pdf
(報告書の翻訳や内容の説明は、筆者の解釈や理解に基づいている。)
2――保険会社に対するサイバー攻撃の特徴
・金銭を得る目的
不正行為、詐欺行為、機密データの販売、会社の評判やシステム環境を背景とした脅迫
・スパイ活動
機密データへの侵入、将来の破壊活動に使えるような情報の入手
・妨害工作
機密データの削除や変更、極端な場合はその産業全体に及ぶ影響もありうる。一般に保険会社のような金融機関は、サイバー攻撃の「よい目標」である。保険会社は多くの取引記録、顧客データ等を保有しており、その中には個人の健康などのセンシティブ情報も含まれている。悪意ある攻撃者にとってはいい「カネヅル」である。
そうした悪意を持つ攻撃者は誰かというと、以下のような者が考えられる。
・犯罪組織
通常は金銭目的であり、サイバー攻撃の大部分の目的はこれであろう。この種の組織は今や国際化し、技術的能力も専門分野ごとに分業化するなど、高度化してきている。
・国家
諜報機関によるスパイ活動やサイバー攻撃に注力する国家もありうる。
・ハッカー
特定のイデオロギーに基づいて組織を破壊しようとする者もあるが、そうした目的であれば、保険会社を標的にすることは少ない。
・内部関係者
これについては、金銭的な要求、何らかの復讐のための妨害工作、など様々な動機がありうる。内部関係者は既になんらかのアクセス特権を持っている者が多く、通常はこうした者によるダメージは大きい傾向がある。
これについては、欧州ネットワーク・情報セキュリティ機関(European Union Agency for Cybersecurity :ENISA)の年次報告書(ENISA Threat Landscape 2021)に従って、以下のようなものが想定されている。
・ランサムウェア
ファイルを暗号化することで利用不可能とし、もとに戻すことと引き換えに金銭を要求する。
・マルウェア
プログラムの改ざん、問題ない文書のふりをして内部に侵入し、個人情報等を収集する。
・クリプトジャッキング
標的のパソコンを使用して、仮想通貨による不正なマイニング(取引、採掘とも呼ばれる)を行う。データの損傷・被害はないが、大きな電力の使用、メモリやCPUなどに多大な負荷をかけることになる。
・電子メール関連の脅威
・データ侵害
・可用性と統合性に反する脅威(Denial of Services : DoS)
大量のデータを送り付けること等により、正常な業務運営を妨害すること
・ディスインフォメーション
ニセ情報の流布により判断を誤らせること
・悪意のない脅威
ヒューマンエラーやシステム設定のミスを誘発すること
・サプライチェーン攻撃
・直接的な経済的損失
IT機器の損傷、盗難。身代金の支払いなど
・可用性の喪失による経済的損失
事業の損失 労働時間の損失 システムが利用できなくなることによる損失
・復旧作業の手間・コスト
追加の労働時間 対処するための外部サポートの取り入れ
・法的な影響
顧客データ流出等、管理責任を問われることによる罰金など
・風評リスクの現実化
3――保険を引受けていることによる、隠れたサイバーリスク
サイバー攻撃による損失のなかでは、現時点ではむしろこちらの方の規模が大きく、サイバーリスクによる損失全体の8割を占めているという調査結果もある。
これらは非常に幅広い事象であるので、すべての保険に当てはまるが、代表的には以下のような保険種目において、影響が大きいとされる。
・損害賠償保険、火災・不動産保険、事業中断保険、信用保険
・誘拐と身代金のための保険
・海上・航空・運輸保険
・自動車保険のうち第三者損害賠償
・労災補償
・生命保険における医療保険や死亡保険の支払い
4――ストレステストに用いるシナリオの選択
具体的なシナリオを描くことは難しいが、例えば、クラウドの停止、ランサムウェア、サービス妨害、データ侵害、停電などを想定した具体的なストレステストにより、脆弱性や対応の方向性を検討しようとしている。引き続き、検討状況をみていきたい。
03-3512-1833
- 【職歴】
1987年 日本生命保険相互会社入社
・主計部、財務企画部、調査部、ニッセイ同和損害保険(現 あいおいニッセイ同和損害保険)(2007年‐2010年)を経て
2012年 ニッセイ基礎研究所
【加入団体等】
・日本アクチュアリー会 正会員
・日本証券アナリスト協会 検定会員
(2023年09月01日「基礎研レター」)
公式SNSアカウント
新着レポートを随時お届け!日々の情報収集にぜひご活用ください。
新着記事
-
2024年05月09日
フィリピン経済:24年1-3月期の成長率は前年同期比5.7%増~財輸出が回復して成長率が小幅に上昇 -
2024年05月09日
2024年4月、グローバル株式市場は反落 -
2024年05月09日
曲線にはどんな種類があって、どう社会に役立っているのか(その5)-サイクロイド(その性質等)- -
2024年05月09日
「新築マンション価格指数」でみる東京23区のマンション市場動向【2023年】(2)~コロナ禍以降、「駅近」志向が高まる一方、「住居の広さ」と「中心部までのアクセス」への評価は揺り戻しの動きも -
2024年05月09日
基礎研REPORT(冊子版)5月号[vol.326]
レポート紹介
-
研究領域
-
経済
-
金融・為替
-
資産運用・資産形成
-
年金
-
社会保障制度
-
保険
-
不動産
-
経営・ビジネス
-
暮らし
-
ジェロントロジー(高齢社会総合研究)
-
医療・介護・健康・ヘルスケア
-
政策提言
-
-
注目テーマ・キーワード
-
統計・指標・重要イベント
-
媒体
- アクセスランキング
お知らせ
-
2024年04月02日
News Release
-
2024年02月19日
News Release
-
2023年07月03日
News Release
【サイバーリスクへの保険会社の対応(欧州)-EIOPAのレポートの公表】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。
サイバーリスクへの保険会社の対応(欧州)-EIOPAのレポートの公表のレポート Topへ