今回の共同研究では、損保ジャパン日本興亜、SOMPOリスケアマネジメントが損害保険事業で培ったリスク評価技術と、日立が産業・重要インフラ分野のシステム構築で培ったセキュリティ対策技術や脆弱性リスクの評価手法を組み合わせ、サイバーリスクの総合的な定量的診断手法を開発した。
具体的には、企業のセキュリティ対策状況を診断するための各種規格に対応した「セキュリティ診断システム」と、システム構成や対策状況に応じたサイバーリスクを損害額として定量的にシミュレーションできる「損害発生モデルシミュレータ」の開発および技術検証を実施した。
セキュリティ診断システムでは、組織の経営層・システム管理者・現場担当者それぞれに対する質問項目を生成し、その回答に基づいたセキュリティ対策レベルを評価・スコア化するシステムのプロトタイプを開発。「NIST Cybersecurity Framework(CSF)」や「IEC 62443」など各種セキュリティ標準規格で求められている項目をデータベース化するとともに、事前調査に基づいて生成される質問票では対象者ごとに回答する質問を再構成する。
損害保険ジャパン日本興亜によると、このシステムにより、企業における自社のセキュリティ対策レベルの確認作業が容易になる。さらに、各種規格を網羅した質問に対し適切な対象者に回答いただくため、より正確に対策レベルを評価することが可能になる。
損害発生モデルシミュレータの共同研究では、大規模生産工場を想定し、サイバー攻撃による損害発生リスクをシミュレーションで定量化する検証を行った結果、システム構成やセキュリティ対策状況に応じたサイバーリスクを、セキュリティインシデントの発生率と損害額として算出できることを実証した。このシミュレータとセキュリティ診断システムを組み合わせて活用することで、対策レベルにより損害発生リスクがどれだけ変動するかを可視化できる。
今回開発した定量的診断手法については、サイバーセキュリティ対策の費用対効果の可視化やサイバーセキュリティに対するリスクファイナンスの最適化などに活用することを想定している。
今後、3社は、新サービスの開発など新たな協創ビジネスも視野に入れ、セキュリティ診断システムの共同利用や損害発生モデルシミュレータの適用分野拡大など、今回開発した定量的診断手法の高度化に取り組む計画。