ニュース

損保ジャパン日本興亜と日立、セキュリティインシデントの発生率と損害額を定量化する診断手法を共同開発

 損害保険ジャパン日本興亜株式会社(以下、損保ジャパン日本興亜)とSOMPOリスケアマネジメント株式会社(以下、SOMPOリスケア)、株式会社日立製作所(以下、日立)は11日、産業・重要インフラ分野における適切なセキュリティ投資判断の支援を目的として、セキュリティインシデントの発生率と損害額を定量化する共同研究を実施し、「セキュリティ診断システム」と「損害発生モデルシミュレータ」の開発および技術検証を行ったと発表した。

 3社では、サイバー攻撃の脅威が工場・プラントなどの産業設備だけでなく、エネルギー、交通、金融といった社会を支える重要インフラにも拡がるなど、さまざまな分野でサイバーセキュリティ対応の重要性が増していると説明。一方、セキュリティインシデントは発生リスクや投資対効果の定量的な算出が困難なため、事業者はどこまでコストをかけて対策をとるべきかの判断が難しいといった背景をふまえ、日本の産業・重要インフラにおけるサイバーセキュリティ対応の促進を目的に共同研究を実施した。

 共同研究では、損保ジャパン日本興亜およびSOMPOリスケアが損害保険事業で培ったリスク評価技術と、日立が産業・重要インフラ分野のシステム構築で培ったセキュリティ対策技術や脆弱性リスクの評価手法を組み合わせ、サイバーリスクの総合的な定量的診断手法の開発を行った。

 具体的には、企業のセキュリティ対策状況を診断するための各種規格に対応した「セキュリティ診断システム」と、システム構成や対策状況に応じたサイバーリスクを損害額として定量的にシミュレーションできる「損害発生モデルシミュレータ」の開発および技術検証を実施した。

 セキュリティ診断システムについては、組織の経営層・システム管理者・現場担当者それぞれに対する質問項目を生成し、その回答に基づいたセキュリティ対策レベルを評価・スコア化するシステムのプロトタイプを開発した。NIST Cybersecurity FrameworkやIEC 62443など、各種セキュリティ標準規格で求められている項目をデータベース化するとともに、事前調査に基づいて生成される質問票では対象者ごとに回答してもらう質問を再構成する。

 このシステムにより、企業における自社のセキュリティ対策レベルの確認作業が容易になるほか、各種規格を網羅した質問に対し適切な対象者に回答してもらうことで、より正確な対策レベルの評価を可能にする。

 損害発生モデルシミュレータについては、大規模生産工場を想定し、サイバー攻撃による損害発生リスクをシミュレーションで定量化する検証を共同研究で行った結果、システム構成やセキュリティ対策状況に応じたサイバーリスクを、セキュリティインシデントの発生率と損害額として算出できることを実証したと説明。シミュレータとセキュリティ診断システムを組み合わせて活用することで、対策レベルにより損害発生リスクがどれだけ変動するかを可視化することも可能になるとしている。

 今回開発した定量的診断手法により、セキュリティ対策への投資を検討する際に、対策の必要性ならびにその費用対効果、対策導入の優先順位に関する判断材料を提供することで、適切なセキュリティ投資をサポートする。

 また、従来、サイバー保険検討の際の適切な保険金額の設定は、同種同規模の企業における罹災事例の情報や取り扱う個人情報件数などから検討されることが一般的だが、今回の技術により、現行のシステムをもとにした定量的なリスク評価を実施することで、各企業の実情に合わせた適切な保険金額の検討が可能となり、保険手配の最適化を図れるとしている。

 今後、3社では新たな保険商品やセキュリティサービスの開発も視野に入れ、開発した定量的診断手法のさらなる高度化に取り組んでいくとしている。

 損保ジャパン日本興亜では、サイバーリスク定量化手法を活用し、新しいサービスや保険商品を検討していく。また、SOMPOリスケアは、2018年1月から開始したサイバーセキュリティ事業において、サイバーリスク定量化手法を活用したコンサルティングサービスを提供していく。

 日立では、今回の成果を活用し、セキュリティ投資対効果を考慮した適切なセキュリティソリューションを提供するとともに、今後もさまざまなステークホルダーとのオープンな協創関係を通じて、サイバーセキュリティ強化に取り組んでいくとしている。