損保ジャパン日本興亜、重要インフラを対象にしたサイバーリスクの診断手法を日立と共同開発

　損害保険ジャパン日本興亜（損保ジャパン日本興亜）が開発したのは、発電所や鉄道などの重要インフラを対象にした「セキュリティ診断システム」と「損害発生モデルシミュレータ」の2種類。SOMPOグループでリスク関連のコンサルティングを手がけるSOMPOリスケアマネジメント（SOMPOリスケア）と、日立製作所と共同で研究し開発した。SOMPOグループがリスク評価技術を、日立はセキュリティ対策技術や脆弱性リスクの評価手法を提供した。

　セキュリティ診断システムは、重要インフラを持つ組織のセキュリティ対策レベルを診断するもの（図1）。組織の経営層やシステム管理者、現場の担当者を対象にアンケート調査を実施して診断する。アンケート調査の質問票を、対象者のそれぞれに求められる役割に応じて個別に設定することで、診断精度を高めたという。

図1：「セキュリティ診断システム」は関係者へのアンケート結果から、組織のセキュリティ対策レベルを評価する

　個別の質問票を作成するたために、質問項目を蓄積したデータベースを構築した。米国立標準技術研究所（NIST：National Institute of Standards and Technology）の「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」や、国際電気標準会議（IEC：International Electrotechnical Commission）が制御システムセキュリティ基準として定めた「IEC 62443」などに準拠しながら質問を蓄積した。このデータベースを使い、事前の調査に基づき、質問表は自動生成する。

　一方の損害発生モデルシミュレータは、攻撃によって被害を受ける確率と想定損害額を算出するためのシステム。組織のシステム構成やセキュリティ対策の内容から算出する。セキュリティ診断システムと組み合わせれば、対策の程度によって、被害を受ける確率がどのように変動するかを可視化することができる（図2）。

図2：サイバー攻撃が原因の予想損害額と、1年間にその額を超えてしまう確率を示す曲線。実線が比較的高度なセキュリティ対策を施した場合で、破線がセキュリティ対策の程度が低い場合

　3社が、今回の研究開発に取り組んだのは、需要インフラ分野にもIoT（Internet of Things：モノのインターネット）の考え方が広がり、ネットに接続するケースが増え、サイバー攻撃の対象になってきたため。一方で、サイバー攻撃の発生リスクや、それを防ぐセキュリティシステムの効果の定量化が難しく、どんなセキュリティ対策を、どれだけのコストをかけて実施すべきかの判断を下しにくいという状況もある。

　そうした課題に対し、今回の研究開発結果は、（1）サイバーセキュリティ対策のための投資対効果の可視化、（2）サイバーセキュリティに対するリスクファイナンスの最適化に活用できるとしている。現行のシステムや体制を元に、定量的なリスク評価を実施できるため、実情に合わせた対策や、その際の保険金額の検討が可能になるためである。

　今後3社は、さらなる研究開発に取り組みながら、事業に活用していく。損保ジャパン日本興亜は、新しい保険商品やサービスの開発を、SOMPOリスケはセキュリティのコンサルティングに本システムを活用する。日立は、顧客へのセキュリティシステムの提案時に活用するという。