石油・ガス、石油化学、化学、製薬、鉄鋼などの産業製造部門や電力、ガス、水処理、交通など重要社会インフラ施設のサイバーセキュリティ対策の重要性が強調されるようになって久しいが、サイバーセキュリティ担当者が直面している難題のひとつが投資対効果(ROI)の問題である。市場にはすでに、サイバー攻撃に対するさまざまな防御技術や製品が提案されてきている。しかし、見えないサイバー攻撃に対抗する対策の必要性が日々増大する一方で、この対策を経営層への説得を含めて具体的な投資案件にするための有効な材料が余りに少ない、というのがセキュリティ担当者の実感ではなかろうか。
このほどイスラエル企業ウォーターフォール・セキュリティ・ソリューションズ(Waterfall Security Solutions)が英ロンドンに本社を置くロイド(Lloyd’s)系列の保険会社CNA ハーディ(CNA Hardy)と保険ブローカのTHB の2社と提携して、製造業をはじめとする世界の産業市場向けに新サイバーセキュリティ防護パッケージを販売開始するという発表を行った(3月28日付既報)。この発表が注目されるのは、まさにサイバーセキュリティ製品が、これを実装する製造プラント事業を対象とするサイバーセキュリティ保険の30%割引をともなう商品として、ROI に有効な検討材料を提供するからである。
ウォーターフォール・セキュリティは、産業制御セキュリティ専業のソリューション企業であり、ARC 東京フォーラムでは2015年、2016年の2年連続で講演しているから、同フォーラム参加者にはお馴染みの企業である。同社独自の一方向セキュリティ・ゲートウェイ(Unidirectional Security Gateway)は、産業用ネットワークとコーポレート・ネットワーク、あるいは産業用ネットワークとIIoTクラウド・サービス・プロバイダを単方向で結ぶハードウエア構成のセキュリティ専用製品である。同製品は、高い攻撃潜在性に対する耐力を示すコモンクライテリアEAL4+ 認証を取得しており、すでに米国の原子力発電所や石油・ガス開発会社など世界数百サイトで採用されている。
発表後、このニュースを数多くの保険専門ニュースサイトが速報しているのは興味深い。保険業界にとっても、産業制御セキュリティ製品と保険プログラムを連携したのは今回が初めてである。また同業界がこれまでサイバーセキュリティ保険市場の潜在性に注目しながら、サイバーインシデントに関するデータ不足などサイバーリスクに関して未知の要素が多く、高額商品となるため、契約者増が頭打ちになっている、という事情もある。では、プラント保険との連携は、サイバーセキュリティ対策で認証を受けた他の産業用制御システム、例えば、ISAsecure のEDSA 認証を取得したDCS 製品にも広がる可能性があるだろうか。
先鞭をつけたウォーターフォール・セキュリティの場合、特に2010年以降、北米電力信頼度協議会(NERC)、米国土安全保障省(ICS-CERT)、米国原子力規制委員会(NRC)および原子力エネルギ協会(NEI)、アメリカ国立標準技術研究所(NIST)、欧州ネットワーク情報セキュリティ庁(enisa)など規制監督機関と共同で豊富なベストプラクティスの実証、開発作業を積み重ねてきた経験がある。保険業界が着目しているのも「ウォーターフォール・セキュリティと組むことは、われわれの顧客のセキュリティに関する長期間の信頼を得ることに他ならない。パイロット段階に続く顧客へのプログラムのコンセプト紹介の時点でも顧客からのフィードバックは非常に積極的」(THB)という実績を踏まえている。
すべてのソフトウエアはハッキングが可能であるという認識を基にすれば、セキュリティ対策は、どれだけ攻撃者が越えられないような高さにハードルを設定できるか、という問いになる。ウォーターフォールが実現しているハードルの高さに較べると、EDSA認証を取得したDCS 製品がもつハードルの高さは、まだ市場でこれを評価する実践データが不足している、といえるかもしれない。
いずれにしても、プラントのサイバー保険とサイバーセキュリティの認証制度やセキュリティ製品との連動には、これまで以上に注目が集まることが期待される。