サイバーリスクのモデリング－相互に接続されたシステミックリスクをどうモデリングする?

保険研究部主席研究員兼気候変動リサーチセンターチーフ気候変動アナリスト兼ヘルスケアリサーチセンター主席研究員篠原拓也

1――はじめに

サイバーリスクの脅威が拡大している。マルウェアによるウイルス感染により、ネットワーク端末の機能を使用不能にしたり、ファイルを暗号化して使用できなくしたりして、それらを使用可能とするための身代金を要求する、ランサムウェア攻撃¹。別人のふりをしてメールを送信したり電子掲示板に書き込みを行ったりする、なりすまし。実在の金融機関等を装ったメールを送付してクレジットカード番号などの情報を入力させて詐取する、フィッシング詐欺。その他、DDoS攻撃、不正アクセス、パスワードクラッキングなど、企業や個人を問わず、日常的にサイバーリスクにさらされている。

損保会社は、サイバー保険の開発や引き受けを通じて、サイバーリスクへの補償を行っている。その前提となるサイバーリスクの定量化、保険料設定に関して、リスクのモデリング手法についての議論が世界的に行われている。欧米のアクチュアリー会では、このテーマに対する報告書が公表されている。本稿では、その中から、2023年にヨーロッパアクチュアリージャーナルに掲載された報告書²(以下、「報告書」と呼ぶ)をもとに、その議論を概観していくこととしたい。

¹ ランサムウェア攻撃では、身代金が支払われても、端末やファイルが使用可能になるとは限らず、それどころか保存データを公開すると再び脅迫して、被害が二重、三重に拡大するケースもある。
² “Modeling and pricing cyber insurance - Idiosyncratic, systematic, and systemic risks” Kerstin Awiszus, Thomas Knispel1, Irina Penner, Gregor Svindland, Alexander Voß, Stefan Weber (European Actuarial Journal (2023) 13:1–53, https://doi.org/10.1007/s13385-023-00341-9)

2――サイバーリスクの分類

モデリングを行うためには、それに見合うよう、リスクを適切に分類することが必要となる。まずは、その分類から見ていこう。

1｜サイバーリスクには、特異的、システマティック、システミックの3つのタイプがある
ひとくちにサイバーリスクといっても、さまざまなものがある。モデリングにあたっては、被害の規模や拡大に応じて、3つのタイプ(特異的、システマティック、システミック)に分類されることが一般的とされる。

(1) 特異的リスク
企業や個人に個別に影響を与える独立したサイバーリスクを指す。例えば、企業内のネットワークのエラーによって引き起こされるものが該当する。

典型的な特異的リスクは、古典的な保険数理手法の適用が可能となる大規模な保険プールにおける独立したリスクである。

(2) システマティックリスク
異なる企業に同時に影響を与える企業体共通の脆弱性に起因するサイバーリスクである。例えば、同じ業種や地域に属する企業、同じソフトウェア、サーバ、コンピュータ・システムを利用する企業などである。これらのリスクは、共通のリスク要因によってモデル化できる。

古典的な保険数理および金融数学の観点からは、システマティックリスクには金融市場リスク、国民の死亡率の変動リスクなどが含まれる。

(3) システミックリスク
相互に接続されたシステムにおける局所的またはグローバルな感染、あるいは相互作用によって引き起こされるサイバーリスクである。例えば、ワーム型マルウェアやサプライヤー攻撃がある。

これらのリスクは、金融危機において観察される重要なフィードバックメカニズムに類似している。例えば、取引相手のネットワークにおける感染や、流動性の低い市場におけるストレスを受けた市場参加者の投げ売りなどである。システミックリスクには、古典的な保険数理や金融数学とは別の、相互接続性に焦点を当てたモデルの構築が必要となる。

2｜モデリングには、CROフォーラムのサイバーリスク分類は用いにくい
サイバーリスクの分類として、さまざまなものが公表されている。そのなかで、よく知られているものとして、CROフォーラムが2016年に示した分類が挙げられる。この分類は、データを取得したり、仕分けしたりするにはよい。だが、前節の3タイプに区分しづらく、モデリングには不向きとされる。

3｜インシデントを特異的やシステミックなどのリスクに区分することが望ましい
サイバーリスクのモデリングのためには、インシデントを特異的やシステミックなどのリスクに区分することが望ましい。例えば、次表のZeller氏とScherer氏の論文によるものが考えられる。

3――サイバーリスクの特徴

サイバーリスクにはいくつかの特徴がある。

(1) サイバーリスクの発生や被害額のデータは、十分な量または必要な粒度で利用できない
データが望ましい量と粒度で利用可能であれば、統計学の最尤法によって、サイバーインシデントの発生を推定することができる。しかし、実際には、利用可能なデータは限られる。これは、インシデントが発生しているが検知されていないケースや、発生して被害が出ているが被害額がわからないケースなどがあるためだ。さらに、被害を受けた企業や個人が、被害を受けたことを公表しない可能性もあるため、データは不十分なものになりがちとされる。

(2) テクノロジーとサイバーの脅威は急速に拡大しており、サイバー環境は非定常な状態にある
サイバー環境は変化が激しい。過去のデータと将来のリスク発現の関連性は、時間とともに低下する可能性が高い。このため、高度なモデリング技術に支えられた専門家の意見とデータの統計的評価を組み合わせることが重要である。

(3) サイバーインシデントには、独立性の仮定は成り立たない
サイバーインシデントは、複数の保険契約者に同時にもしくは連鎖的に影響を及ぼす可能性がある。これは、サイバーリスクの依存関係という特徴を示している。依存関係には、契約者間の依存性の他に、発生するインシデントの頻度と深刻度の間の依存関係も加味する必要があるとされる。

(4) サイバーインシデントには、地理的な制約がない
サイバーリスクは、突然発生して、甚大な被害をもたらす地震などの自然災害と似ている面がある。しかし、一つ大きな違いがある。自然災害のような発生地域の地理的な制約がない点である。サイバーリスクは、国境や地形などと無関係に発現する。複数の地域、場合によっては全世界で一斉に起こる可能性もある。

日付	タイトル	執筆者	媒体
2025/04/28	リスクアバースの原因－やり直しがきかないとリスクはとれない	篠原拓也	研究員の眼
2025/04/22	審査の差の定量化－審査のブレはどれくらい?	篠原拓也	研究員の眼
2025/04/15	患者数:入院は減少、外来は増加－2023年の「患者調査」にコロナ禍の影響はどうあらわれたか?	篠原拓也	基礎研レター
2025/04/08	センチネル効果の活用－監視されていると行動が改善する?	篠原拓也	研究員の眼

日付

タイトル

執筆者

媒体

2025/04/28

リスクアバースの原因－やり直しがきかないとリスクはとれない

篠原拓也

研究員の眼

2025/04/22

審査の差の定量化－審査のブレはどれくらい?

篠原拓也

研究員の眼