日立製作所、損害保険ジャパン日本興亜、SOMPOリスケアマネジメントは6月11日、セキュリティーインシデントの発生率と損害額を定量化する共同研究を実施し、「セキュリティ診断システム」と「損害発生モデルシミュレータ」の開発および技術検証をしたと発表した。研究は産業・重要インフラ分野における適切なセキュリティー投資判断の支援を目的としている。
共同研究では、損保ジャパン日本興亜およびSOMPOリスケアのリスク評価技術と、日立のセキュリティー対策技術や脆弱性リスクの評価手法を組み合わせ、サイバーリスクの総合的な定量的診断手法の開発をしたという。
セキュリティ診断システムは、組織の経営層・システム管理者・現場担当者それぞれに対する質問項目を生成し、その回答に基づいたセキュリティー対策レベルを評価/スコア化するシステムのプロトタイプ。
NISTCybersecurity FrameworkやIEC 62443など各種セキュリティー標準規格で求められている項目をデータベース化し、事前調査に基づいて生成される質問票では対象者ごとに質問を再構成する。
これにより、企業における自社のセキュリティー対策レベルの確認作業が容易になるほか、各種規格を網羅した質問に対し適切な対象者に回答してもらうため、より正確に対策レベルを評価できるとしている。
損害発生モデルシミュレータは、セキュリティ診断システムを組み合わせて活用することで、対策レベルにより損害発生リスクがどれだけ変動するかを可視化できるとのこと。
活用例として、セキュリティー対策への投資を検討するときに、対策の必要性ならびに費用対効果、対策導入の優先順位に関する判断材料を提供することで、適切なセキュリティー投資をサポートする。
また、現行のシステムをもとにした定量的なリスク評価を実施することで、各企業の実情に合わせた適切な保険金額の検討が可能となり、保険手配の最適化を図ることもできるとしている。
今後3社は、新サービスの開発など新たな協創ビジネスも視野に入れ、セキュリティ診断システムの共同利用や損害発生モデルシミュレータの適用分野拡大など、今回開発した定量的診断手法のさらなる高度化に取り組んでいくとのこと。