金融安全性へのサイバーリスク

Implications of Cyber Risk for Financial Stability

金融安定に対するサイバーリスクの影響

ダニー・ブランド、アントニス・コティディス、アンナ・コブナー、マイケル・リー、ステイシー・Lシュレフト1

コンピュータシステムやデジタル技術への依存による損失のリスクとして定義されるサイバーリスクは、金融システムで増加しています。サイバーイベント、特にサイバー攻撃は、米国および世界の金融安定性調査で引用されたトップリスクの1つです。2 他の金融脆弱性と同様に、サイバーリスクはミクロとマクロプルーデンシャルの両方の懸念を提示しますが、サイバーレジリエンスにかなりの技術的注意が払われていますが、金融システムに対するサイバーリスクの影響を測定することは初期段階にあります。

この記事では、サイバーリスクに対する金融システムの脆弱性を評価する方法を提案します。このアプローチは、既存の連邦準備制度理事会の金融安定フレームワークと一致しており、金融システムによってサイバーショックがどのように増幅されるか、およびその増幅につながる脆弱性を監視する方法に焦点を当てています。

私たちは3つの結論を提供します。

まず、サイバーリスクは連邦準備制度理事会の金融安定の枠組みで考慮することができますが、資本や流動性などの伝統的な緩和策は、サイバーショックの体系的な影響を制限するために他の介入によって補完する必要があるかもしれません。

第二に、サイバー脆弱性の伝送チャネルと緩和策を理解するには、より多くの研究が必要です。最後に、重大なデータギャップは、金融システムとサービスプロバイダーの両方で、サイバー脆弱性の評価と軽減を妨げます。

企業レベルのサイバーレジリエンスを向上させることは非常に重要ですが、この記事の焦点は、マイクロプルーデンシャル監督ではなく、金融の安定性と金融システムを通じた増幅の可能性です。

金融安定の脆弱性としてのサイバーリスク

金融システムのサイバーリスクは、サイバーインシデントの増加によって証明されるように、システムがよりデジタル化されるにつれて、時間の経過とともに増加しています。その成長は、サイバーリスクのユニークな特徴と、サイバーイベントが金融の安定性に影響を与える潜在的により大きな範囲を明らかにしました。資本と流動性は、金融損失を軽減するのと同じように、サイバーイベントの影響を軽減しない可能性があるため、サイバーから生じる金融安定性の脆弱性を理解することは重要です。3 たとえば、資本と流動性は、サイバーインシデントに対応するための財源を提供することができますが、システムやデータを回復するプロセスをスピードアップすることはできません。

サイバーリスクは、一般的な運用リスクよりも、体系的な影響で実現される可能性が高い。火災販売、流動性の凍結、および潜在的なソルベンシーの問題は、サイバーショックの後、異なる展開になる可能性があります。

たとえば、サイバーインシデントが金融機関のデータを侵害した場合、債権者にサービスを提供する会社の能力が損なわれる可能性があります。

撤退できないことは、影響を受ける機関への実行の影響を軽減する可能性がありますが、顧客はアカウントへのアクセスの欠如を恐れて他の機関で実行する可能性があります。

支払いシステムの営業時間の延長や清算および決済期間の短縮などのサービス提供の強化により、金融システムでは、サイバーインシデント後に運用を復元できるサービスブレークが少なくなりました。

再仮説とより複雑なデリバティブは、大量の取引が瞬間的な情報の流れに依存することを意味します。

インシデントの性質と程度に関する不確実性は、会社の事業のカウンターパーティ、競合他社、または影響を受けていないセグメントへの実行を促す可能性があります。

コロニアルパイプラインに対する2021年のランサムウェア攻撃は、金融会社ではありませんが、サイバー攻撃がどのように実行（この場合はガソリンスタンドの実行）を引き起こし、元のショック（この場合は燃料分配）をはるかに超えた影響を増幅する方法を示しています。

サイバーリスクを区別するもう1つの要因は、共有技術やサードパーティのサービスプロバイダーへのエクスポージャー層を含む、企業間の複雑でしばしば認識されていない接続を通じて、ショックが金融システム全体に広がる可能性があることです。この層は、通常、カウンターパーティリスクの尺度でキャプチャされる金融支払いとエクスポージャーからのつながりに追加されます。

規模のデジタル経済やその他の市場力による市場集中の増加は、単一またはほぼ単一障害点をもたらし、サイバーショックに対する金融システムの脆弱性が高まる可能性があります。4

たとえば、米国の銀行業界の全体的な集中の増加は、比較的少数の銀行によって提供される銀行市場と商品の増加を意味します。

さらに、デジタル統合と関連するリスクは、財務省の清算と決済、クラウドサービスの提供など、いくつかの主要サービスの提供において明らかです。中央清算カウンターパーティ（CCP）を通じた取引の増加も、集中リスクの増加を表しています。

CCPは、資本と流動性の節約を伴う透明性とネッティングを高めることで、2008-09年の金融危機で顕著だったいくつかの脆弱性を軽減しましたが、サイバーレジリエンスへの投資に応じて、単一のエンティティに活動を集中させることでサイバー脆弱性を高める可能性があります。

レジリエンスにかなりの投資をしても、国家のサイバー攻撃能力を考えると、システムの冗長性が少ない場合、金融システムはサイバー攻撃に対してより脆弱である可能性が高い。

これは、他の金融安定リスクとの最終的な、そしておそらくより重要な、サイバーリスクの違い、つまりイベントの意図的な性質を強調しています。米国の金融システムがこれまでに経験したほとんどのサイバーイベントには利益の動機がありましたが、悪意のある意図を持つ脅威アクターは、1つ以上の企業または重要なインフラストラクチャの一部を標的にし、攻撃の時間を計って脆弱性をよりよく悪用し、体系的な効果をもたらす可能性があります。

もちろん、サイバーショックと他の金融システムのショックには類似点があります。サイバーショックは、企業が同じマルウェアに感染したサードパーティのソフトウェアアップデートをロードする場合など、関連するリスクエクスポージャー（ポップコーン効果と呼ばれることもあります）により、同時に多くの企業に打撃を与える損失につながる可能性があります。そして、金融システムの相互接続性は、1つまたは複数の企業でのイベントが他の企業に広がる可能性があることを意味します（ドミノ効果）。

たとえば、単一の銀行でのサイバーイベントは、銀行の支払いを送信する能力を混乱させ、他の銀行の流動性と業務にカスケード効果をもたらす可能性があります。最後に、個々の企業（サプライチェーン内の企業を含む）は、独自の回復力に過小投資し、システムの安定性への影響を内在化できず、システムを最適よりもリスクにさらすことになります。

連邦準備制度の枠組みにおけるサイバー

連邦準備制度理事会の金融安定性監視フレームワークは、金融システムへのショックと脆弱性を区別する(連邦準備制度理事会2021)。その枠組みの中で、ショックは突然の、典型的には金融または経済状況の予期せぬ変化です。対照的に、脆弱性は時間の経過とともに徐々に構築され、ストレス時に問題を引き起こすことが最も期待される金融システムの側面です。表1は、フレームワークがサイバーリスクと財務の安定性を考慮するためのアプローチにどのように変換されるかを示しています。

表1。金融の安定性に影響を与えるサイバーショックの伝達

フルスクリーンにする

ショック脆弱性含意ファームレベルシステムレベルサイバーイベントは、悪意のあるかどうかにかかわらず、情報システムまたはネットワーク内で発生します企業の管理、防御、および回復能力の弱点は、サイバーイベントがサイバーインシデントになり、運用を損なう可能性があります（たとえば、資金やデータの損失を引き起こしたり、データを破損したり、運用を停止したり、その他の金銭的または評判の損失を引き起こしたりします）金融システムの機能（例えば、金融およびデジタルエクスポージャーからの相互接続、データと運用上の依存関係、市場の集中と重要なサービスの代替品の欠如、時間の感度、自信）は、サイバーインシデントを増幅し、拡散してシステムの機能を混乱させる可能性があります金融システムの機能を十分に混乱させるインシデントは、金融の安定性に影響を与える可能性があります(例えば、重要なサービスやデータの可用性の欠如、実行と資産の火災販売、資金調達へのアクセスの欠如、または支払いの中断や価格発見を引き起こすなど)

サイバーリスクに関連するショックは、情報システムまたはネットワークで悪意のあるかどうかにかかわらず、サイバーイベントが発生します。サイバーイベントは、外部または内部の起源にすることができます。経済的または財政的ショックと同様に、サイバーイベントは金融の安定性に影響を与える必要はありません。実際、金融会社のほとんどのサイバーイベントは、定期的なソフトウェアパッチ適用や強力なネットワークファイアウォールのメンテナンスなど、企業のコントロールと防御によって阻止されています。

サイバーイベントが財務の安定性に影響を与えるには、まず企業レベルの脆弱性を悪用して、イベントがインシデントになるようにする必要があります。企業レベルの脆弱性は、企業のサイバーセキュリティの弱点であり、損害が発生する前にサイバーイベントから回復する能力です。潜在的な企業レベルの悪影響には、資金またはデータの損失、データの破損、業務の中断、金銭的または評判のコストが含まれます。

システムレベルの脆弱性は、サイバーインシデントを増幅して拡散し、インシデントがシステムの機能を混乱させることができる金融システムの特徴です。システムレベルの脆弱性の例には、金融およびデジタルエクスポージャーからの相互接続性、データと運用上の依存関係、支配的な企業を持つ市場、重要なサービスの利用可能な代替品の欠如、支払いの時間感度、および財務関係への信頼度が含まれます。重大なサイバーインシデントは、サイバーリスクが金融システムに影響を与える追加のチャネルを明らかにする可能性があります。

金融システムの機能を十分に混乱させるサイバーインシデントは、金融の安定性に影響を与える可能性があります。結果には、重要なサービス、データ、または資金の可用性またはアクセシビリティの欠如、信頼の喪失、実行および資産の火災販売、または支払いフローまたは価格発見の中断が含まれる可能性があります。それほど重要ではないサイバーインシデントは、レバレッジやランリスクなどの他の金融システムの脆弱性と相互作用し、増幅することによって、金融の安定性に影響を与える可能性があります。この見通しは、サイバーイベントの意図的な性質によって可能性が高くなります。

最近のサイバー例

サイバーインシデントが金融システムに大きな障害を及ぼす事件はまだありませんが、サイバーインシデントがどのようにより大きな影響を与えるかを説明するために、最近のいくつかの例にフレームワークを適用します。

最初の例は、会社のデータを損なう銀行持株会社に対するサイバー攻撃です。たとえば、2019年には、攻撃者が銀行のクラウドベースのインフラストラクチャのファイアウォール構成の脆弱性を悪用した後、1億人以上のCapital One顧客のデータがアクセスされました(Barrett 2020)。

複数の大手金融機関のデータに影響を与えるサイバー攻撃は、金融セクターのセキュリティに対する幅広い信頼の喪失につながる可能性があります。攻撃中に機関のデータが破損した場合、回復プロセスは広範囲に及ぶ可能性があります。

2番目の例は、取引を混乱させる金融市場取引所へのサイバー攻撃です。2020年、分散型サービス拒否攻撃は、2020年にニュージーランドの取引所(NZX)のウェブサイトを圧倒した。取引所は4日間、現金、債務、デリバティブの取引を停止しなければならず、取引所でのみ取引される資産の価格情報へのアクセスが中断されました。

NZXは、十分な防御と対応プレイブック（FMA 2021）を欠いていたため、脆弱でした。大規模で相互接続された金融市場取引所での取引を停止する攻撃は、価格情報だけでなく、清算や決済をより広く混乱させ、信頼の喪失を引き起こす可能性があります。

サードパーティベンダーへの攻撃は、3番目の例です。2020年、国家のアクターは、サードパーティベンダーであるSolarWindsが販売するネットワーク管理ソフトウェアの定期的なアップデートにマルウェアを挿入しました。大規模な金融機関を含むSolarWindsの顧客は、ソフトウェアアップデートをインストールしたときにマルウェアに感染しました。

この攻撃は、攻撃者が顧客のコンピュータシステムを悪用した可能性のあるバックドアを開いた。金融機関は意図されたターゲットではなかったようですが、もしそうであったならば、攻撃者がしばらくの間コンピュータシステムにアクセスしていたと伝えられているため、金融安定の結果ははるかに悪化していた可能性があります(FBI et al 2021)。

もちろん、サイバーインシデントは、デジタル運用に関連するリスクを管理するという課題を反映して、サイバーセキュリティイベントとは無関係に発生する可能性があります。広く報告された3つの事件がポイントを示しています。

クラウドサービスプロバイダーは、定期的なメンテナンス中に発生したソフトウェアと構成エラーのために、ほぼ5時間の停止を経験しました(Google 2019)。

金融機関が事業活動をクラウドに移行していたら、停電は金融システムをより広く混乱させた可能性があります。支払いおよび決済サービスを提供する大手銀行は、19時間の間、世界銀行間金融通信協会(SWIFT)の資金送金ネットワークを介して機関顧客の直接支払いにメッセージを送受信することができませんでした(Burne 2016)。

SWIFTとバックアップシステムの代替手段が使用されましたが、影響を受けた大量の支払いは、多くの支払いが遅れ、サービスが復元されると銀行がクリアするバックログを持っていたことを意味しました。停電は日曜日の午後に始まり、月曜日の早朝に解決されました。週の間に開始されたり、より長く続いたりすると、支払いフローの混乱は他の銀行に影響を与え、金融機関の資金調達を混乱させた可能性があります。最後に、大手銀行のデータセンターの煙により、センターへの電力が自動的に遮断されました。運用はバックアップデータセンターに再ルーティングされましたが、一部の顧客アカウントはオンラインまたはモバイルバンキングアプリケーションまたはATMを介してアクセスできないままでした(Moyer 2019)。

前の2つの例は、企業全体で一般的である可能性が高くなる技術システムの問題に由来していますが、データセンターでの煙は物理的な発生であり、したがって本質的により特異です。それにもかかわらず、今日の金融システムでは、物理的およびデジタル操作は大きく相互接続されており、どちらかの問題が他方に影響を与える可能性があります。

より大きな効果のための範囲

上記の例は、サイバーインシデントがこれまでに見られたよりもはるかに大きなシステム効果をもたらす可能性がある方法を説明するのに役立ちます。可能な増幅を理解するための別のアプローチは、アイゼンバッハ、コブナー、リー（2021）から来ています。これは、最も活発な5つの銀行（「トップ5」）銀行の1つが1日の支払いを送信するのを妨げる仮説的な停止の影響を定量化しようとしました。2001年9月11日頃の支払いの混乱に見られるように、1つ以上の銀行がFedwireを介して支払いを送信できない場合、他の銀行は間接的に影響を受ける可能性があります。

これらの無実の傍観者銀行は、停止を経験している銀行からの支払いが少なくなり、その結果、自分で支払いを行うのに苦労する可能性があります。2018年のデータを使用して、この調査では、平均して、資産による銀行セクター（直接影響を受ける銀行を除く）の31%が流動性の侵害に直面することがわかりました。準備金の増加により、2020年のデータを使用して推定すると、その効果は小さくなります。銀行がより多くの準備金を持っている場合、支払いを受け取らないと流動性を損なう可能性は低くなります。図1は、異なる日と異なるトップ5銀行に対する効果の分布を示しています。青いバーは、影響を受ける銀行の非加重シェアを示しています。これは、トップ5の銀行が支払いの送信を停止した場合、その銀行が準備金残高が前月の残高を2つ以上下回る標準偏差を下回る銀行の割合を意味します。灰色と赤のバーは銀行資産によって重み付けされた分布を示し、赤いバーは総効果を示し、灰色は増幅を示し、上位5つの銀行を除く影響を受ける銀行のシェアを意味します。銀行が日中に反応した場合、1日の実質国内総生産の2.5倍を超える支払いが処理されない可能性があります。見落とされた支払いの大部分は他の金融市場活動をサポートしているため、当初の混乱は上位5つの銀行をはるかに超えて広がる可能性があります。

図1。トップ5の銀行に対する仮説的なサイバー攻撃の影響を受けた銀行のシェア

この研究はまた、クリアリングハウス銀行間決済システム（CHIPS）（高額決済システム）やCLS（外国為替決済サービスの提供者）など、指定された金融市場ユーティリティ（DFMU）に対する同様の仮説的な攻撃も検討しました。図2は、銀行とDFMUの間で毎日支払われるドルを示しています。銀行がこれらの支払いをリダイレクトすることを余儀なくされ、DFMUを使用するネッティングと支払いの効率を放棄した場合、追加の必要な支払いを実行するには2〜3倍の流動性が必要になります。また、参加者は、影響を受けるDFMUによって一元的にクリアされる市場での活動を減らす可能性が高いようです。つまり、その影響は市場量を混乱させ、突然の価格変動につながる可能性があります。

図2。DFMUに対する仮説的なサイバー攻撃によるネッティング利益の推定損失

企業レベルおよびシステムレベルの脆弱性の評価

サイバー脆弱性は、企業レベルとシステムレベルの両方で測定および評価できます。企業レベルでは、企業のサイバー衛生に関するデータは、関連する脆弱性だけでなく、回復力を高めるためのリスク管理と制御の重点分野を指摘することができます。国立標準技術研究所(NIST)は、民間および公共部門の組織で広く採用されている重要なインフラストラクチャのサイバーセキュリティを改善するためのフレームワークを開発しました(NIST 2018)。このフレームワークは、サイバーセキュリティ活動を組織する5つの機能を識別し、保護し、検出し、応答し、回復します。識別機能には、重要なリソースとそのサイバーセキュリティリスクを特定することが含まれます。Protectは、潜在的なサイバーセキュリティイベントがシステムの侵害や障害に成功するのを防ぐ能力をキャプチャします。Detectは、サイバーセキュリティイベントを迅速に発見する機能をカバーしています。応答と回復機能は、サイバーイベントの影響を制限し、障害のある機能を復元します。各機能には、企業の準備状況を評価できるカテゴリとサブカテゴリがあります。時間の経時的な準備の傾向は、脆弱性の増加または減少を示している可能性があります。

システムレベルの脆弱性は、サイバーインシデントを増幅または拡散する可能性のあるシステム機能であり、一般的に企業レベルの脆弱性よりも評価が困難です。システムレベルの脆弱性の原因はいくつかあります。可用性とアクセシビリティの脆弱性は1つのソースであり、重要な金融またはITサービスとデータに関連しています。これらの脆弱性は、金融市場とサプライチェーンにおける支配的な企業の存在、特に単一障害点、および金融システム運用のデータ依存によって引き起こされます。停電は、支払いフローと価格発見を混乱させる可能性があります。データアクセスまたは整合性の喪失は、資産の保管に不確実性がある場合、取引の最終性を妨げる可能性があります。このようなインシデントは、データが企業内および企業間で複数のアプリケーションと統合する必要があるため、是正が難しいことが判明する可能性があります。冗長サービスまたはシステムはリスクを軽減するのに役立ちますが、冗長性の計画は完全な機能を欠いているか、実際には失敗する可能性があります。たとえば、プライマリシステムとバックアップシステムは同じサイバーインシデントを経験する可能性があり、バックアップシステムが利用可能な場合でも、金融機関はスムーズかつ迅速に切り替えることができなければなりません。

2番目のシステムレベルの脆弱性は、金融システムの相互接続性から生じ、デジタルオペレーションはリンケージの数と複雑さを悪化させます。金融の安定に対する従来のショックと同様に、相互接続性はリスクを軽減し、サイバーインシデントを増幅する努力を阻害する可能性があります。

第三に、情報の非対称性とギャップが存在する場合、企業はシステムの他の場所で特定されたインシデントのタイムリーな通知を欠いているため、サイバーインシデントはより長く広がり、より多くの損害を与える可能性があります。相互接続性は、これらの情報問題と相互作用する可能性があります。企業が他の場所でインシデントを知ったとしても、根本的なサイバーイベントへの自らの暴露に気づいていない可能性があります。

金融システム関係における信頼と信頼の役割は、システムの脆弱性の最後の原因です。自信の喪失は、直接影響を受けていない機関であっても、潜在的に伝染性のランと資産の火災販売を引き起こす、ドミノ効果を引き起こす可能性があります。

システム内の十分な資本と流動性、およびサイバー保険の存在は、これらのシステムレベルの脆弱性を適切に軽減できない可能性があります。

資本は、機関が失敗したときに発生するソルベンシーランやその他のスピルオーバーの可能性を減らすことができます。そのため、資本はサイバー関連の損失に対するバッファーになる可能性があるため、ある程度の増幅が含まれている可能性がありますが、復元プロセスをスピードアップするためにはあまり役にかなわないかもしれません。さらに、多くの規制枠組みは、最低資本要件にサイバーリスクを組み込んでいないため、企業はリスクに対して資本不足になる可能性があります。

脆弱性を監視するためのデータ

企業レベルのサイバーレジリエンスに対する広範な継続的な監督注意が払われていますが、特にシステムレベルの脆弱性を監視するためのデータギャップが残っています。企業レベルでは、サイバーインシデントに関する一貫したデータが必要です。システムレベルでは、デジタル相互依存の測定と、バックアップシステムとプロバイダーを迅速に有効にできる速度が有益です。連邦準備制度理事会のスタッフは、これらのデータギャップを埋め、卓上演習とサイバーイベントの死前および死後の研究を通じて増幅の理解を向上させるために取り組んでいます。

金融の安定に対するサイバーリスクのさらなる影響

ここで議論されていないサイバーリスクと金融安定性の2つの重要な側面があります。第一に、連邦準備制度理事会は金融市場と決済システムで中心的な役割を果たし、両方をサポートする重要なインフラストラクチャを提供します。したがって、サイバーイベントによるものを含む運用上の混乱は、非常に損害を与える可能性があります。第二に、金融安定性の脆弱性は技術革新から生じる可能性があります。暗号通貨やその他のフィンテックが進化するにつれて、技術への依存の増加と、考慮すべき重要な冗長性の減少から、新しい金融安定性の影響が生じる可能性があります。

この記事では、サイバー脆弱性を軽減しますが、財務安定性に焦点を当てていないサイバーリスクに対処するための企業レベルおよび業界の取り組みについても議論を省略しています。たとえば、マイクロプルーデンシャルポリシーはサイバーリスクを軽減することができ、サイバーリスクは重大な監督注意の対象となっています。さらに、多くの業界団体や公的セクターは、リスクを軽減するためにサイバーインシデントや対応に関する情報を積極的に交換しています。

結論

この記事では、連邦準備制度理事会の金融安定性レポートで使用されている金融安定性監視フレームワークにおいて、サイバーリスクがますます顕著なショックと脆弱性の原因を提示する方法について説明します。

技術的なつながりによって生み出された相互接続性と、冗長性、デジタルサプライチェーン、悪意のあるアクターの減少によって金融システムにもたらされるリスクをよりよく理解するための研究は、サイバーリスクが急速に増加し続けるにつれて、ますます重要になっています。データギャップの解消を進めることで、サイバー脆弱性の評価と緩和策の特定が改善されます。その間、より良い情報共有と成功した攻撃に対する協調的な対応は、緩和を改善することができます。公的部門内での共同作業や、産業界や学界との共同作業は、金融システムがサイバーイベントの影響を増幅する可能性や、波及効果を軽減する可能性など、サイバーリスクの体系的な側面の理解を深めることもできます。

参考文献

アフォンソ、ガラ、フィリッポ・クルティ、アタナス・ミホフ(2019)。「オペレーショナルリスクを伴う条件に来る」、ニューヨーク連邦準備銀行リバティ・ストリート・エコノミクス、1月7日、https://libertystreeteconomics.newyorkfed.org/2019/01/coming-to-terms-with-operational-risk/。

バレット、デヴリン(2020)。「キャピタルワンは2019年の1億のクレジットカード申請のハッキングで8000万ドルの罰金を科した」8月6日
https://www.washingtonpost.com/national-security/capital-one-fined-2019-hack/2020/08/06/90c2c836-d7f3-11ea-aff6-220dd3a14741_story.html

連邦準備制度理事会11月(2021年)。金融安定報告書、3ページ、https://www.federalreserve.gov/publications/files/financial-stability-report-20211108.pdf。

バーン、ケイティ(2016)。「ニューヨーク銀行は19時間支払いを処理する能力を失った」、ウォールストリートジャーナル、12月7日、https://www.wsj.com/articles/bny-mellon-outage-caused-some-swift-payments-to-fail-this-week-1481149459。

アイゼンバッハ、トーマス、アンナ・コフナー、マイケル・ジュンホ・リー(2021)。「サイバーリスクと米国の金融システム：検死前分析」、Journal of Financial Economics、近日公開予定。

連邦捜査局(FBI)、サイバーセキュリティ・インフラ安全保障局、国家情報長官室、国家安全保障局(2021)。共同声明、1月5日、https://www.cisa.gov/news/2021/01/05/joint-statement-federal-bureau-investigation-fbi-cybersecurity-and-infrastructure。

金融市場庁(FMA)(2021)。「マーケットオペレーターの義務ターゲットレビュー - NZX」、1月、https://www.fma.govt.nz/assets/Reports/Market-Operator-Obligations-Targeted-Review-NZX.pdf。

Google Cloud (2019)。Googleクラウドネットワーキングインシデント#19009、Googleクラウドステータスダッシュボード、6月6日、https://status.cloud.google.com/incident/cloud-networking/19009。

モイヤー、リズ(2019)。「ウェルズ・ファーゴは、停電が2日目に流出したため、システムを完全に復元するために取り組んでいると述べています」、2月8日、https://www.cnbc.com/2019/02/08/wells-fargo-says-working-to-fully-restore-system-as-outage-spills-into-day-2.html。

国立標準技術研究所(NIST)(2018)。「重要なインフラストラクチャのサイバーセキュリティを改善するためのフレームワーク」v.1.1、4月16日、https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf。

---

1.KotidisとSchreftは連邦準備制度理事会に所属しています。ブランド、コブナー、リーはニューヨーク連邦準備銀行に同名しています。この記事で表明された見解は著者のみであり、連邦準備制度のスタッフ、理事会、またはニューヨーク連邦準備銀行の他のメンバーの同意を示すものではありません。テキストに戻る

2.サイバーリスクは、業界参加者の調査でトップリスクとして一貫して引用されています。DTCC 2021システミックリスクバロメーター調査(https://www.dtcc.com/-/media/Files/Downloads/Thought-Leadership/26362-Systemic-Risk-2020.pdf)、イングランド銀行の2021年H2システミックリスク調査(https://www.bankofengland.co.uk/systemic-risk-survey/2021/2021-h2)、カナダ銀行の2021年春の金融システム調査(https://www.bankofcanada.ca/2021/05/financial-system-survey-highlights-spring-2021/)を参照してください。テキストに戻る

3.現在、オペレーショナルリスクのサブセットとして計上されているサイバーリスクのために特別に予約された資本については、利用可能な数字はありません。しかし、最大の銀行持株会社では、規制資本の約33%がオペレーショナルリスクに対して保有されていますが、信用リスクは66%、市場リスクは6%です。アフォンソ、クルティ、ミホフ(2019年)を参照してください。オペレーショナルリスクに固有の流動性要件はありません。テキストに戻る

4.集中力の増加は、単一の障害点が多い場合、オペレーショナルリスクイベントや流動性またはソルベンシーショックの金融システムへの潜在的な影響が大きいため、サイバーリスクに関連するものだけでなく、より一般的に金融システムの脆弱性が増加する可能性があることに注意してください。テキストに戻る