損保ジャパン日本興亜、SOMPOリスケア、日立の3社、セキュリティインシデントの発生率と損害額を定量化するサイバーリスク診断手法を共同研究
- 2018/06/12 11:00
- SecurityInsight
損害保険ジャパン日本興亜(以下、損保ジャパン日本興亜)とSOMPOリスケアマネジメント(以下、SOMPOリスケア)、日立製作所(以下、日立)は6月11日、産業・重要インフラ分野における適切なセキュリティ投資判断の支援を目的に、セキュリティインシデントの発生率と損害額を定量化する共同研究を実施し、「セキュリティ診断システム」と「損害発生モデルシミュレータ」の開発および技術検証を行なったことを発表した。今後3社は、新たな保険商品やセキュリティサービスの開発も視野に入れ、今回開発した定量的診断手法のさらなる高度化に取り組んでいくとしている。
■共同研究の概要・成果
今回の共同研究では、損保ジャパン日本興亜およびSOMPOリスケアが損害保険事業で培ったリスク評価技術と、日立が産業・重要インフラ分野のシステム構築で培ったセキュリティ対策技術や脆弱性リスクの評価手法を組み合わせ、サイバーリスクの総合的な定量的診断手法の開発を行なった。
具体的には、企業のセキュリティ対策状況を診断するための各種規格に対応した「セキュリティ診断システム」と、システム構成や対策状況に応じたサイバーリスクを損害額として定量的にシミュレーションできる「損害発生モデルシミュレータ」の開発および技術検証を実施した。
「セキュリティ診断システム」
組織の経営層・システム管理者・現場担当者それぞれに対する質問項目を生成し、その回答に基づいたセキュリティ対策レベルを評価・スコア化するシステムのプロトタイプを開発。NISTCybersecurity FrameworkやIEC 62443など各種セキュリティ標準規格で求められている項目をデータベース化するとともに、事前調査に基づいて生成される質問票では対象者ごとに回答する質問を再構成する。
このシステムにより、企業における自社のセキュリティ対策レベルの確認作業が容易になるほか、各種規格を網羅した質問に対し適切な対象者に回答してもらうため、より正確に対策レベルを評価することが可能となる。
「損害発生モデルシミュレータ」
この共同研究では、大規模生産工場を想定し、サイバー攻撃による損害発生リスクをシミュレーションで定量化する検証を行なった結果、システム構成やセキュリティ対策状況に応じたサイバーリスクを、セキュリティインシデントの発生率と損害額として算出できることを実証した。このシミュレーターとセキュリティ診断システムを組み合わせて活用することで、対策レベルにより損害発生リスクがどれだけ変動するかを可視化することも可能となる。