日立製作所は6月11日、損保ジャパン日本興亜およびSOMPOリスケアマネジメントと共同で実施しているセキュリティインシデントの発生率と損害額を定量化する研究の成果などを発表した。
この研究は、産業・重要インフラ分野における適切なセキュリティ投資判断の支援を目的に行われている。今回、「セキュリティ診断システム」と「損害発生モデルシミュレータ」の開発および技術検証が実施された。
これらのソリューションは、セキュリティ対策への投資を検討する際に、対策の必要性、費用対効果、対策導入の優先順位に関する判断材料を提供し、適切なセキュリティ投資をサポートする。また、現行のシステムをもとにした定量的なリスク評価を実施することで、各企業の実情に合わせた適切な保険金額の検討が可能となり、保険手配の最適化を図ることができる。
「セキュリティ診断システム」は、組織の経営層・システム管理者・現場担当者へのセキュリティに関する質問を行い、その回答に基づいてセキュリティ対策レベルを評価・スコア化する。米国立標準技術研究所(NIST)のサイバーセキュリティフレームワークやIEC 62443など各種セキュリティ標準規格で求められている項目をデータベース化し、事前調査に基き生成される質問票は対象者ごとに質問項目を再構成できる。企業における自社のセキュリティ対策レベルの確認作業が容易になるほか、各種規格を網羅した質問に対し適切な対象者に回答してもらえるため、より正確に対策レベルを評価することが可能となる。
セキュリティ診断システムの利用イメージ
「損害発生モデルシミュレータ」は、システム構成や対策状況に応じたサイバーリスクを損害額として定量的にシミュレーションするもの。今回は大規模生産工場を想定し、サイバー攻撃による損害発生リスクをシミュレーションで定量化する検証を行った。その結果、システム構成やセキュリティ対策状況に応じたサイバーリスクを、セキュリティインシデントの発生率と損害額として算出できることが実証された。同シミュレータとセキュリティ診断システムを組み合わせて活用することで、対策レベルにより損害発生リスクがどれだけ変動するかを可視化することも可能となる。
予想損害額と1年間に予想損害額を超過してしまう確率の関係を示す曲線
今回の成果を踏まえて損保ジャパン日本興亜は、新しいサービスや保険商品を検討していく。またSOMPOリスケアは、1月に開始したサイバーセキュリティ事業において、サイバーリスク定量化手法を活用したコンサルティングサービスを提供していく。
また日立は、セキュリティ投資対効果を考慮した適切なセキュリティソリューションを提供していく。さらにさまざまなステークホルダーとのオープンな「協創関係」を通じて、サイバーセキュリティ強化に取り組んでいく。