石油・ガス,石油化學,化學,製薬,鉄鋼などの産業製造部門や電力,ガス,水処理,交通など重要社會インフラ施設のサイバーセキュリティ対策の重要性が強調されるようになって久しいが,サイバーセキュリティ擔當者が直麵している難題のひとつが投資対効果(ROI)の問題である。市場にはすでに,サ。しかし,見えないサイバー攻撃に対抗する対策の必要性が日々増大する一方で,この対策を経営層への説得を含めて具體的な投資案件にするための有効な材料が餘りに少ない,というのがセキュリティ擔當者の実感ではなかろうか。
このほどイスラエル企業ウォーターフォール・セキュリティ・ソリューションズ(瀑布安全解決方案)が英ロンドンに本社を置くロイド(Lloyd)係列の保険會社CNAハーディ哈迪(CNA)と保険ブローカの有の2社と提攜して,製造業をはじめとする世界の産業市場向けに新サイバーセキュリティ防護パッケージを販売開始するという発表を行った(3月28日付既報)。この発表が注目されるのは,まさにサイバーセキュリティ製品が,これを実裝する製造プラント事業を対象とするサイバーセキュリティ保険の30%割引をともなう商品として,ROIに有効な検討材料を提供するからである。
ウォーターフォール・セキュリティは,産業製禦セキュリティ専業のソリューション企業であり,弧東京フォーラムでは2015年、2016年の2年連続で講演しているから,同フォーラム參加者にはお馴染みの企業である。同社獨自の一方向セキュリティ・ゲートウェイ(單向安全網關)は産業用ネットワークとコーポレート・ネットワーク,あるいは産業用ネットワークとIIoTクラウド・サービス・プロバイダを単方向で結ぶハードウエア構成のセキュリティ専用製品である。同製品は,高い攻撃潛在性に対する耐力を示すコモンクライテリアEAL4 +認証を取得しており,すでに米國の原子力発電所や石油・ガス開発會社など世界數百サイトで採用されている。
発表後、このニュ、スを數多くの保険専門ニュ、スサ、トが速報しているのは興味深い。保険業界にとっても,産業製禦セキュリティ製品と保険プログラムを連攜したのは今回が初めてである。また同業界がこれまでサイバーセキュリティ保険市場の潛在性に注目しながら,サイバーインシデントに関するデータ不足などサイバーリスクに関して未知の要素が多く,高額商品となるため,契約者増が頭打ちになっている,という事情もある。では,プラント保険との連攜は,サイバーセキュリティ対策で認証を受けた他の産業用製禦システム,例えば,ISAsecureのEDSA認証を取得したDCS製品にも広がる可能性があるだろうか。
先鞭をつけたウォーターフォール・セキュリティの場合,特に2010年以降,北米電力信頼度協議會(NERC),米國土安全保障省(ICS-CERT),米國原子力規製委員會(NRC)および原子力エネルギ協會(NEI)アメリカ國立標準技術研究所(NIST),歐州ネットワーク情報セキュリティ庁(enisa)など規製監督機関と共同で豊富なベストプラクティスの実証,開発作業を積み重ねてきた経験がある。保険業界が著目しているのも”ウォーターフォール・セキュリティと組むことは,われわれの顧客のセキュリティに関する長期間の信頼を得ることに他ならない。パイロット段階に続く顧客へのプログラムのコンセプト紹介の時點でも顧客からのフィードバックは非常に積極的”(有)という実績を踏まえている。
すべてのソフトウエアはハッキングが可能であるという認識を基にすれば,セキュリティ対策は,どれだけ攻撃者が越えられないような高さにハードルを設定できるか,という問いになる。ウォーターフォールが実現しているハードルの高さに較べると,EDSA認証を取得したDCS製品がもつハードルの高さは,まだ市場でこれを評価する実踐データが不足している,といえるかもしれない。
いずれにしても,プラントのサイバー保険とサイバーセキュリティの認証製度やセキュリティ製品との連動には,これまで以上に注目が集まることが期待される。