損害保険ジャパン日本興亜、SOMPOリスケアマネジメント、日立製作所の3社は2018年6月11日、産業・重要インフラ分野における適切なセキュリティ投資判断の支援を目的に、セキュリティインシデントの発生率と損害額を定量化する共同研究を実施し、「セキュリティ診断システム」と「損害発生モデルシミュレータ」の開発および技術検証を行ったと発表した。今後、3社は、新たな保険商品やセキュリティサービスの開発も視野に入れ、開発した定量的診断手法の高度化に取り組む。
3社は共同で、サイバーリスクの総合的な定量的診断手法を開発した。要素技術として、損保ジャパン日本興亜とSOMPOリスケアが損害保険事業で培ったリスク評価技術と、日立製作所が産業・重要インフラ分野のシステム構築で培ったセキュリティ対策技術および脆弱性リスクの評価手法を組み合わせた。
具体的には、企業のセキュリティ対策状況を診断するための各種規格に対応した(1)「セキュリティ診断システム」を開発するとともに、システム構成や対策状況に応じたサイバーリスクを損害額として定量的にシミュレーションできる(2)「損害発生モデルシミュレータ」を開発した。これらの技術検証も実施した。
(1)セキュリティ診断システムでは、組織の経営層・システム管理者・現場担当者それぞれに対する質問項目を生成し、回答に基づいたセキュリティ対策レベルを評価・スコア化するシステムのプロトタイプを開発した。
NIST Cybersecurity Framework(CSF)やIEC 62443など、各種のセキュリティ標準規格が求めている項目をデータベース化した。事前調査に基づいて生成した質問票では、回答する質問を対象者ごとに再構成する。
同システムによって、企業における自社のセキュリティ対策レベルの確認作業が容易になる。さらに、各種規格を網羅した質問に対して、適切な対象者が回答することになるため、より正確に対策レベルを評価できるようになる。
(2)損害発生モデルシミュレータでは、大規模生産工場を想定し、サイバー攻撃による損害発生リスクをシミュレーションできるようにした。システム構成やセキュリティ対策状況に応じたサイバーリスクを、セキュリティインシデントの発生率と損害額として算出できることを実証した。
同シミュレータとセキュリティ診断システムを組み合わせて活用することで、対策レベルにより損害発生リスクがどれだけ変動するかを可視化できるようになる。