損害保険ジャパン日本興亜とSOMPOリスケアマネジメント、日立製作所は6月11日、産業・重要インフラ分野における適切なセキュリティ投資判断の支援を目的に、セキュリティインシデントの発生率と損害額を定量化する共同研究を実施したと発表した。

今回の共同研究では、損保ジャパン日本興亜およびSOMPOリスケアが損害保険事業で培ったリスク評価技術と、日立が産業・重要インフラ分野のシステム構築で培ったセキュリティ対策技術や脆弱性リスクの評価手法を組み合わせ、サイバーリスクの総合的な定量的診断手法を開発。具体的には、企業のセキュリティ対策状況を診断するための各種規格に対応した「セキュリティ診断システム」と、システム構成や対策状況に応じたサイバーリスクを損害額として定量的にシミュレーションできる「損害発生モデルシミュレータ」の開発および技術検証を実施した。

「セキュリティ診断システム」は、組織の経営層・システム管理者・現場担当者それぞれに対する質問項目を生成し、その回答に基づいたセキュリティ対策レベルを評価・スコア化するシステム。今回はそのプロトタイプを開発した。NISTCybersecurity Framework(CSF)やIEC62443など各種セキュリティ標準規格で求められている項目をデータベース化するとともに、事前調査に基づいて生成される質問票では対象者ごとに回答してもらう質問を再構成する。

同システムにより、企業における自社のセキュリティ対策レベルの確認作業が容易になるほか、各種規格を網羅した質問に対し適切な対象者に回答してもらうため、より正確に対策レベルを評価することが可能になるという。

  • セキュリティ診断システムの利用イメージ

    セキュリティ診断システムの利用イメージ

「損害発生モデルシミュレータ」では、大規模生産工場を想定し、サイバー攻撃による損害発生リスクをシミュレーションで定量化する検証を行った結果、システム構成やセキュリティ対策状況に応じたサイバーリスクを、セキュリティインシデントの発生率と損害額として算出できることを実証した。

同シミュレータとセキュリティ診断システムを組み合わせて活用することで、対策レベルにより損害発生リスクがどれだけ変動するかを可視化することが可能だという。

  • 予想損害額と1年間に予想損害額を超過してしまう確率の関係を示す曲線

    予想損害額と1年間に予想損害額を超過してしまう確率の関係を示す曲線

今後3社は、新サービスの開発など新たな協創ビジネスも視野に入れ、セキュリティ診断システムの共同利用や損害発生モデルシミュレータの適用分野拡大など、今回開発した定量的診断手法のさらなる高度化に取り組んでいくとしている。