WO2022091289A1

WO2022091289A1 - セキュリティ対策支援装置、セキュリティ対策支援方法、及びプログラム

Info

Publication number: WO2022091289A1
Application number: PCT/JP2020/040607
Authority: WO
Inventors: 俊仁池西
Original assignee: 三菱電機株式会社
Priority date: 2020-10-29
Filing date: 2020-10-29
Publication date: 2022-05-05
Also published as: JPWO2022091289A1; JP7199610B2

Abstract

セキュリティ対策支援装置（１）は、外部ネットワークを介して通信を行う設備（５）に導入されたサイバーセキュリティ対策製品のセキュリティレベルを示すセキュリティレベル情報（ＳＬ）、外部ネットワークを介する設備へのサイバー攻撃に関する情報である攻撃情報（ＡＴ）、及び設備の稼働状況に関する設備情報（ＦＡ）を取得する情報取得部（３１）と、セキュリティレベル情報（ＳＬ）、攻撃情報（ＡＴ）、及び設備情報（ＦＡ）から、設備（５）へのサイバー攻撃によって失った利益を補償する保険の保険料（６）と契約補償額（７）とを算出するための第１の学習モデル（Ｍ１）を用いて、セキュリティレベル情報（ＳＬ）、攻撃情報（ＡＴ）、及び設備情報（ＦＡ）から保険料（６）と契約補償額（７）との候補を出力する推論部（３２）とを有する。

Description

セキュリティ対策支援装置、セキュリティ対策支援方法、及びプログラム

　本開示は、セキュリティ対策支援装置、セキュリティ対策支援方法、及びプログラムに関する。

　従来、設備を持つ事業者（例えば、企業）と保険会社との間の保険契約の締結を仲介するためのシステム及び方法の提案がある（例えば、特許文献１を参照）。また、ＩＴ（Ｉｎｆｏｒｍａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ）化された設備の普及に伴って、サイバー攻撃から設備を守るためのサイバーセキュリティ対策製品の導入の必要性が高まっている。このように、設備を持つ事業者は、ハードウェア又はソフトウェア又はこれらからなるサイバーセキュリティ対策製品の導入と損害を補償するための損害保険の契約との組み合わせで、サイバー攻撃に備える必要がある。

特開２００３－０２２３６８号公報

　しかしながら、サイバー攻撃の方法及びサイバーセキュリティ対策製品によって採用されるサイバーセキュリティ技術は、日々変化している。このため、設備を持つ事業者にとって、どのようなサイバーセキュリティ対策製品を導入するべきか、且つ、どのような内容の損害保険（例えば、保険料、契約補償料）を契約すべきか、を適切に決定することが難しいという問題がある。

　本開示は、設備に導入すべきサイバーセキュリティ対策製品と契約すべき保険の内容との適切な決定を容易に行うことを目的とする。

　本開示のセキュリティ対策支援装置は、外部ネットワークを介して通信を行う設備に導入されたサイバーセキュリティ対策製品のセキュリティレベルを示すセキュリティレベル情報、前記外部ネットワークを介する前記設備へのサイバー攻撃に関する情報である攻撃情報、及び前記設備の稼働状況に関する設備情報を取得する情報取得部と、前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から、前記設備へのサイバー攻撃によって失った利益を補償する保険の保険料と契約補償額とを算出するための第１の学習モデルを用いて、前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から前記保険料と前記契約補償額との候補を出力する推論部と、を有することを特徴とする。

　また、本開示のセキュリティ対策支援方法は、コンピュータによって実行される方法であって、外部ネットワークを介して通信を行う設備に導入されたサイバーセキュリティ対策製品のセキュリティレベルを示すセキュリティレベル情報、前記外部ネットワークを介する前記設備へのサイバー攻撃に関する情報である攻撃情報、及び前記設備の稼働状況に関する設備情報を取得するステップと、前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から、前記設備へのサイバー攻撃によって失った利益を補償する保険の保険料と契約補償額とを算出するための第１の学習モデルを用いて、前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から前記保険料と前記契約補償額との候補を出力するステップと、を有することを特徴とする。

　本開示の装置、方法、及びプログラムによれば、設備に導入すべきサイバーセキュリティ対策製品と契約すべき保険の内容との適切な決定が容易になる。

サイバー攻撃の対象となり得る設備と実施の形態に係るセキュリティ対策支援装置とを概略的に示すブロック図である。実施の形態に係るセキュリティ対策支援装置のハードウェア構成を示す図である。実施の形態に係るセキュリティ対策支援装置の学習装置の構成を示すブロック図である。図３に示される学習装置の動作を示すフローチャートである。実施の形態に係るセキュリティ対策支援装置の推論装置の構成を示すブロック図である。図５に示される推論装置の動作を示すフローチャートである。実施の形態１に係るセキュリティ対策支援装置の動作を示す説明図である。実施の形態１に係るセキュリティ対策支援装置の他の動作を示す説明図である。実施の形態２に係るセキュリティ対策支援装置の動作を示す説明図である。実施の形態２に係るセキュリティ対策支援装置の動作を示すフローチャートである。実施の形態３に係るセキュリティ対策支援装置の動作を示す説明図である。実施の形態１から３に係るセキュリティ対策支援装置の構成の変形例を示す図である。

　以下に、本開示の実施の形態に係るセキュリティ対策支援装置、セキュリティ対策支援方法、及びプログラムを、図面を参照しながら説明する。以下の実施の形態は、例にすぎず、実施の形態を適宜組み合わせること及び各実施の形態を適宜変更することが可能である。

　図１から図６は、実施の形態１から３に係るセキュリティ対策支援装置１に関する図である。図１は、サイバー攻撃の対象となり得る設備５とセキュリティ対策支援装置１とを概略的に示すブロック図である。

　設備５は、例えば、生産品を生産する工場の設備、生産品としてのサービスを提供する事業者（例えば、企業）のコンピュータ、生産品としての電力を供給する電力会社の発電設備、などである。設備５は、外部ネットワークとの間における通信を可能にするための通信回路を有する。外部ネットワークは、例えば、インターネット、あるいは設備５と他地点の同様の設備あるいはコンピュータとを接続するイントラネットである。セキュリティ対策支援装置１は、実施の形態に係るセキュリティ対策支援方法を実施する装置である。また、セキュリティ対策支援装置１は、実施の形態に係るプログラムを実行する装置（例えば、コンピュータ）である。

　実施の形態１に係るセキュリティ対策支援装置１ａは、例えば、設備５に対する保険の保険料及び契約補償額（すなわち、保険金）などのような保険契約の内容の候補の出力（後述の図７に示される）、サイバー攻撃によって設備５を持つ事業者が失った利益を補償するための補償額の出力（後述の図８に示される）、などを行うための装置である。

　実施の形態２に係るセキュリティ対策支援装置１ｂは、例えば、設備５に対する保険の保険料及び契約補償額などのような保険契約の内容を動的に（例えば、自動的に）変更する（後述の図９に示される）ための装置である。

　実施の形態３に係るセキュリティ対策支援装置１ｃは、例えば、サイバーセキュリティ対策製品が導入され、保険が契約された後に発見されたセキュリティホールに基づいて、新たなサイバーセキュリティ対策製品を提案する（後述の図１０に示される）ための装置である。

　図１に示されるように、設備５は、外部ネットワークに接続された中継装置であるスイッチングハブ５１と、サイバー攻撃及び不審アクセスなどを検知するための攻撃検知装置（すなわち、攻撃検知サーバ）５２と、スイッチングハブ５１に接続されたＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）などのローカルネットワーク５３とを有する。また、設備５は、消費者に販売又は提供される生産品を製造するための機器５６ａ、５６ｂ、５６ｃ、…と、機器５６ａ、５６ｂ、５６ｃ、…を制御する機器制御装置（すなわち、機器制御サーバ）５４と、復旧所要時間を記憶するための記憶部５５と、生産計画などを記憶する記憶部５７とを有する。記憶部５５には、例えば、サイバー攻撃によって設備５の稼働が停止した時点から設備５の稼働が再開する時点までの時間である復旧所要時間Ｔ１が記憶される。復旧所要時間Ｔ１は、設備５の複数の機器５６ａ、５６ｂ、５６ｃ、…の各々の稼働の停止の時点から稼働の再開の時点までの時間であってもよい。記憶部５７には、例えば、設備５によって生産される生産品の生産計画（例えば、計画された生産量）などが記憶される。

　設備５は、サイバー攻撃及び不審アクセスに基づいてユーザに警告を発する警告部５８を有する。また、設備５は、ユーザに通知を発する通知部５９を有する。設備５の構成は、図１に示されるものに限定されない。例えば、攻撃検知装置５２は、機器制御装置５４の一部であってもよい。また、機器制御装置５４は、機器５６ａ、５６ｂ、５６ｃ、…の各々に備えられてもよい。また、機器制御装置５４及び攻撃検知装置５２は、サイバーセキュリティ対策製品を備える。サイバーセキュリティ対策製品は、サイバー攻撃から設備を守るためのハードウェア又はソフトウェア又はこれらの組み合わせからなる。サイバーセキュリティ対策製品は、機器５６ａ、５６ｂ、５６ｃ、…の各々に備えられてもよい。

　セキュリティ対策支援装置１は、ローカルネットワーク５３に接続される。ただし、セキュリティ対策支援装置１は、設備５の一部であってもよい。セキュリティ対策支援装置１は、学習用データを用いた機械学習によって生成される学習モデル（「学習済モデル」とも言う。）を用いて、サイバーセキュリティ対策製品、保険契約、などに関して提案することができる推論装置３を有する。学習モデルは深層学習など人工知能を用いて生成してもよい。また、セキュリティ対策支援装置１は、推論装置３で使用される学習モデルを生成する学習装置２を有する。ただし、推論装置３と学習装置２とは、別個の独立した装置であってもよい。例えば、セキュリティ対策支援装置１は、推論装置３を有し、外部の学習装置から学習モデルを取得することも可能である。

　セキュリティ対策支援装置１は、例えば、外部ネットワークを介して通信を行う設備５に導入されたサイバーセキュリティ対策製品のセキュリティレベルを示すセキュリティレベル情報ＳＬ、外部ネットワークを介する設備５へのサイバー攻撃に関する情報である攻撃情報ＡＴ、及び設備５の稼働状況に関する設備情報ＦＡを取得する。

　サイバーセキュリティ対策製品のセキュリティレベルは、例えば、低レベルのレベル１から高レベルのレベルＮ（Ｎは２以上の整数）までの複数段階のレベルからなる。セキュリティレベルは、例えば、設備５で採用しているデータの暗号アルゴリズム、設備５で採用している物理的セキュリティ（例えば、入退室管理）、などに基づいて決められる。

　攻撃情報ＡＴは、例えば、設備５へのサイバー攻撃の発生頻度を示す情報、及び、設備５へのアクセスが許可されていない発信元からの外部ネットワークを介する設備５へのアクセスである不審アクセスの発生頻度を示す情報の一方又は両方を含む。

　設備情報ＦＡは、例えば、設備５がサイバー攻撃を受けて設備５が稼働を停止してから設備５が稼働を再開するまでの時間である復旧所要時間Ｔ１を示す情報、設備５がサイバー攻撃を受けて設備５が生産する生産品の量が生産計画で決められていた生産量より減少した場合における生産品の量の減少量を示す情報、サイバー攻撃を受けた設備５が生産する生産品の量が減少し、生産品の購入者に供給される生産品が減少したことで、購入者が受ける損害を示す情報、警告が発せられた時点からユーザが設備５のセキュリティ対応を開始する時点までの時間である対応所要時間Ｔ２を示す情報、のうちの１つ以上を含む。生産品の購入者は、例えば、生産品としての電力の供給を受ける電力使用者である。

　図２は、セキュリティ対策支援装置１のハードウェア構成を示す図である。セキュリティ対策支援装置１は、情報処理部としてのＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１１、記憶装置であるメモリ１２、情報を出力する出力部１３、及び情報が入力される入力部１４を有する。

　入力部１４は、例えば、ユーザ操作部としてのキーボード、マウス、タッチパネル、信号入力部としての入力インタフェース、などである。出力部１３は、例えば、映像出力部としてのディスプレイ、音声出力部としてのスピーカ、信号出力部として出力インタフェース、などである。

　セキュリティ対策支援装置１の各機能は、処理回路により実現される。例えば、セキュリティ対策支援装置１は、設備５に導入されたサイバーセキュリティ対策製品のセキュリティレベルを示すセキュリティレベル情報ＳＬ、外部ネットワークを介する設備５へのサイバー攻撃に関する情報である攻撃情報ＡＴ、及び設備５の稼働状況に関する設備情報ＦＡを取得し、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡから、設備５へのサイバー攻撃によって失った利益を補償する保険の保険料６と契約補償額７とを算出するための学習モデルＭ１を用いて、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡから保険料６と契約補償額７との候補を出力するための処理回路を備える。

　処理回路は、専用のハードウェアであっても、メモリ１２に格納されるプログラムを実行するＣＰＵ１１であってもよい。ＣＰＵ１１は、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサ、及びＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）のいずれであってもよい。

　処理回路が専用のハードウェアである場合、処理回路は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、又はこれらのうちのいずれかを組み合わせたものである。

　処理回路がＣＰＵ１１の場合、セキュリティ対策支援装置１の機能は、ソフトウェア、ファームウェア、又はソフトウェアとファームウェアとの組み合わせにより実現される。ソフトウェア及びファームウェアは、プログラムとして記述され、メモリ１２に格納される。処理回路は、メモリ１２に記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。すなわち、セキュリティ対策支援装置１は、処理回路により処理が実行されるときに、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡを取得するステップと、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡから、設備５へのサイバー攻撃によって失った利益を補償する保険の保険料６と契約補償額７とを算出するための学習モデルＭ１を用いて、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡから保険料６と契約補償額７との候補を出力するステップとが結果的に実行されることになるプログラムを格納するためのメモリ１２を備える。また、これらのプログラムは、セキュリティ対策支援方法をコンピュータに実行させるものであるともいえる。

　ここで、メモリ１２は、例えば、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、フラッシュメモリ、ＥＰＲＯＭ（Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＥＥＰＲＯＭ（Ｅｌｅｃｔｒｉｃａｌｌｙ　Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）などの、不揮発性又は揮発性の半導体メモリ、或いは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｃ）、などのうちのいずれかである。

　なお、セキュリティ対策支援装置１の一部を専用のハードウェアで実現し、一部をソフトウェア又はファームウェアで実現するようにしてもよい。このように、処理回路は、ハードウェア、ソフトウェア、ファームウェア、又はこれらのうちのいずれかの組み合わせによって、上述の各機能を実現することができる。

　図３は、学習装置２の構成を示すブロック図である。学習装置２は、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡを含む学習用データを取得する情報取得部２１と、取得された学習用データを用いて、好適な保険契約の内容を推論するための学習モデルを生成するモデル生成部２２とを有する。ここで、学習用データは、各入力情報を互いに関連付けたデータである。生成された学習モデルは、記憶部４ａに記憶される。記憶部４ａは、学習装置２の一部であってもよい。

　図４は、図３に示される学習装置２の動作を示すフローチャートである。ステップＳ１１において、情報取得部２１は、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡの全部又は一部を取得する。なお、セキュリティレベル情報ＳＬと、攻撃情報ＡＴと、設備情報ＦＡは同時に取得されるが、これらの情報は、互いに関連づけて入力できればよく、それぞれ別のタイミングで取得されてもよい。

　ステップＳ１２において、モデル生成部２２は、情報取得部２１によって取得されたセキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡの組合せに基づいて作成される学習用データに従って学習処理を実行して（例えば、保険契約の内容を機械学習して）、学習モデルを生成する。なお、学習モデルは、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡの実際のデータに基づいて更新されてもよい。

　ステップＳ１３において、記憶部４ａは、モデル生成部２２によって生成された学習モデルを記憶する。

　図５は、推論装置３の構成を示すブロック図である。推論装置３は、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、設備情報ＦＡのうちの１つ以上を含むデータを取得する情報取得部３１と、学習装置２によって生成された学習モデルに、取得されたデータを入力して、推論結果を出力する推論部３２とを有する。学習モデルは、記憶部４ｂに記憶されているものが用いられる。記憶部４ｂは、推論装置３の一部であってもよい。

　図６は、図５に示される推論装置３の動作を示すフローチャートである。ステップＳ２１において、情報取得部３１は、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡの全部又は一部を取得する。なお、セキュリティレベル情報ＳＬと、攻撃情報ＡＴと、設備情報ＦＡは同時に取得されるが、これらの情報は、互いに関連づけて入力できればよく、それぞれ別のタイミングで取得されてもよい。

　ステップＳ２２、Ｓ２３において、推論部３２は、記憶部４ｂに記憶されている学習モデルを利用して得られる推論結果を出力する。すなわち、この学習モデルに情報取得部３１で取得したセキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡを入力することで、保険契約の内容を推論し、推論結果を出力する。

　なお、推論装置３は、外部の学習装置から学習モデルを取得し、この学習モデルに基づいて推論結果を出力するようにしてもよい。

　学習装置２及び推論装置３は、例えば、ネットワークを介して設備５の制御システムに接続される。また、学習装置２及び推論装置３は、設備５に内蔵されてもよい。さらに、学習装置２及び推論装置３は、クラウドサーバ上に存在していてもよい。

　また、学習装置２の情報取得部２１に入力される情報は、追加したり、除去したりすることも可能である。さらに、学習装置２のモデル生成部２２は、再学習によって学習モデルを更新してもよい。

実施の形態１．
　図７は、実施の形態１に係るセキュリティ対策支援装置１ａの動作を示す説明図である。図７の例では、セキュリティ対策支援装置１ａに入力されるデータは、セキュリティレベル情報ＳＬと、攻撃情報ＡＴであるサイバー攻撃の発生頻度及び不審アクセスの発生頻度と、設備情報ＦＡである復旧所要時間Ｔ１（予測値）及び生産品の生産量の減少量（予測値）を含む。ただし、セキュリティ対策支援装置１ａに入力されるデータは、これらの全てである必要はない。また、セキュリティ対策支援装置１ａに入力される設備情報ＦＡは、生産品の購入者の損害（予測値）を含んでもよい。セキュリティ対策支援装置１ａに入力される設備情報ＦＡは、対応所要時間Ｔ２（予測値）を含んでもよい。

　この場合、セキュリティ対策支援装置１ａの推論装置３の推論部３２は、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡから、設備５へのサイバー攻撃によって失った利益を補償する保険の保険料６と契約補償額７とを算出するための学習モデルＭ１を用いて、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡから保険料６と契約補償額７との候補、すなわち、保険契約の内容の候補を出力する。

　例えば、設備５に導入されているサイバーセキュリティ対策製品のセキュリティレベルが低い場合は、サイバー攻撃によって受ける損害が大きいと予想できるので、セキュリティ対策支援装置１ａは、セキュリティレベルが低いほど、高い保険料６で高い契約補償額７の保険契約の内容を提案する。また、セキュリティ対策支援装置１ａは、セキュリティレベルが低いほど、保険料６に対する契約補償額７の比率を低く設定してもよい。

　また、例えば、設備５が受けるサイバー攻撃の発生頻度が高い場合は、サイバー攻撃によって損害を受ける可能性が高いと予想できるので、セキュリティ対策支援装置１ａは、サイバー攻撃の発生頻度が高いほど、高い保険料６で高い契約補償額７の保険契約の内容を提案する。また、セキュリティ対策支援装置１ａは、サイバー攻撃の発生頻度が高いほど、保険料６に対する契約補償額７の比率を低く設定してもよい。

　また、例えば、設備５が受ける不審アクセスの発生頻度が高い場合、サイバー攻撃の予備的な行為が発生している可能性が高いと予想できるので、セキュリティ対策支援装置１ａは、不審アクセスの発生頻度が高いほど、高い保険料６で高い契約補償額７の保険契約の内容を提案する。また、セキュリティ対策支援装置１ａは、不審アクセスの発生頻度が高いほど、保険料６に対する契約補償額７の比率を低く設定してもよい。

　また、例えば、設備５の稼働がサイバー攻撃によって停止した場合における復旧所要時間Ｔ１（予測値）が長い場合は損害額が大きいと予想できるので、セキュリティ対策支援装置１ａは、復旧所要時間Ｔ１（予測値）が長いほど、高い保険料６で高い契約補償額７の保険契約の内容を提案する。また、セキュリティ対策支援装置１ａは、復旧所要時間Ｔ１（予測値）が長いほど、保険料６に対する契約補償額７の比率を低く設定してもよい。

　また、例えば、設備５が警告を発した後のユーザの対応所要時間Ｔ２（予測値）が長い場合は設備５のサイバー攻撃に対する防御能力及び防御意識が低いと予想できるので、セキュリティ対策支援装置１ａは、対応所要時間Ｔ２（予測値）が長いほど、高い保険料６で高い契約補償額７の保険契約の内容を提案する。また、セキュリティ対策支援装置１ａは、対応所要時間Ｔ２（予測値）が長いほど、保険料６に対する契約補償額７の比率を低く設定してもよい。

　また、例えば、設備５がサイバー攻撃を受けた場合における生産品の生産量の減少量（予測値）が大きい場合は設備５のサイバー攻撃による損害が大きいと予想できるので、セキュリティ対策支援装置１ａは、生産品の生産量の減少量（予測値）が大きいほど、高い保険料６で高い契約補償額７の保険契約の内容を提案する。また、セキュリティ対策支援装置１ａは、生産品の生産量の減少量（予測値）が大きいほど、保険料に対する契約補償額の比率を低く設定してもよい。

　また、例えば、設備５がサイバー攻撃を受けた場合における生産品の購入者の損害（予測値）が大きい場合は設備５のサイバー攻撃による損害が大きいと予想できるので、セキュリティ対策支援装置１ａは、生産品の購入者の損害（予測値）が大きいほど、高い保険料６で高い契約補償額７の保険契約の内容を提案する。また、セキュリティ対策支援装置１ａは、生産品の購入者の損害（予測値）が大きいほど、保険料６に対する契約補償額７の比率を低く設定してもよい。

　図７のセキュリティ対策支援装置１ａによれば、サイバーセキュリティ対策製品のセキュリティレベルと保険契約の内容を適切に提案することができる。このため、設備５を持つ事業者は、サイバーセキュリティ対策製品と保険契約の内容を容易に決めることができる。

　また、図７のセキュリティ対策支援装置によれば、保険契約の内容を動的に変更することが可能である。このため、設備５を持つ事業者は、サイバーセキュリティ対策製品と保険契約の内容を容易に決めることができる。

　図８は、セキュリティ対策支援装置１ａの他の動作を示す説明図である。図８の例では、セキュリティ対策支援装置１ａに入力されるデータは、セキュリティレベル情報ＳＬと、攻撃情報ＡＴであるサイバー攻撃の発生頻度及び不審アクセスの発生頻度、設備情報ＦＡである復旧所要時間Ｔ１、対応所要時間Ｔ２、生産品の生産量の減少量を含む。ただし、セキュリティ対策支援装置１ａに入力されるデータは、これらの全てである必要はない。また、セキュリティ対策支援装置１ａに入力されるデータは、設備情報ＦＡとして生産品の購入者の損害を含んでもよい。

　この場合、セキュリティ対策支援装置１ａの推論装置３の推論部３２は、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡから、設備５へのサイバー攻撃によって失った利益を補償する補償額７ａを算出するための学習モデルを用いて、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡから補償額７ａを出力する。

　例えば、セキュリティ対策支援装置１ａは、設備５に導入されているサイバーセキュリティ対策製品のセキュリティレベルが低いほど、高い補償額を算出して提案する。また、セキュリティ対策支援装置１ａは、セキュリティレベルが低いほど、保険料６に対する補償額７の比率が低くなるように、補償額を算出してもよい。

　また、例えば、セキュリティ対策支援装置１ａは、現状のサイバー攻撃の発生頻度が高いほど、高い補償額を算出する。また、セキュリティ対策支援装置１ａは、現状のサイバー攻撃の発生頻度が高いほど、保険料に対する補償額の比率が低くなるように、補償額を算出してもよい。

　また、例えば、セキュリティ対策支援装置１ａは、現状の不審アクセスの発生頻度が高いほど、高い補償額を算出する。また、セキュリティ対策支援装置１ａは、現状の不審アクセスの発生頻度が高いほど、保険料に対する補償額の比率が低くなるように、補償額を算出してもよい。

　また、例えば、セキュリティ対策支援装置１ａは、現状の復旧所要時間Ｔ１が長いほど、高い補償額を算出する。また、セキュリティ対策支援装置１ａは、現状の復旧所要時間Ｔ１が長いほど、保険料に対する補償額の比率が低くなるように、補償額を算出する。

　また、例えば、セキュリティ対策支援装置１ａは、現状の対応所要時間Ｔ２が長いほど、高い補償額を算出する。また、セキュリティ対策支援装置１ａは、現状の対応所要時間Ｔ２が長いほど、保険料に対する補償額の比率が低くなるように、補償額を算出してもよい。

　また、例えば、セキュリティ対策支援装置１ａは、現状の生産品の生産量の減少量が大きいほど、高い補償額を算出する。また、セキュリティ対策支援装置１ａは、現状の生産品の生産量の減少量が大きいほど、保険料に対する補償額の比率が低くなるように、補償額を算出してもよい。

　また、例えば、セキュリティ対策支援装置１ａは、生産品の購入者の現状の損害が大きいほど、高い補償額を算出する。また、セキュリティ対策支援装置１ａは、生産品の現状の購入者の損害が大きいほど、保険料に対する補償額の比率を低くするように、補償額を算出してもよい。

　図８のセキュリティ対策支援装置によれば、サイバーセキュリティ対策製品のセキュリティレベルと設備５の現状とに基づいて現状の補償額を算出することができる。このため、設備５を持つ事業者は、サイバーセキュリティ対策製品と保険契約の内容が適切であるかどうかを容易に判断できる。

　また、図８のセキュリティ対策支援装置が、保険契約の内容を動的に変更する場合には、サイバーセキュリティ対策製品のセキュリティレベルと設備５の現状に基づいて現状の補償額を算出することができる。このため、設備５を持つ事業者は、サイバーセキュリティ対策製品と保険契約の内容が適切であるかどうかを容易に判断できる。

実施の形態２．
　実施の形態２に係るセキュリティ対策支援装置１ｂは、実行するプログラムの点が、実施の形態１に係るセキュリティ対策支援装置１ａと異なる。他の点について、実施の形態２に係るセキュリティ対策支援装置１ｂは、実施の形態１に係るセキュリティ対策支援装置１ａと同じである。

　図９は、セキュリティ対策支援装置１ｂの動作を示す説明図である。図９の例では、セキュリティ対策支援装置１ｂに入力されるデータは、セキュリティレベル情報ＳＬと、攻撃情報ＡＴであるサイバー攻撃の発生頻度及び不審アクセスの発生頻度と、設備情報ＦＡである復旧所要時間Ｔ１（予測値）及び対応所要時間Ｔ２（予測値）とを含む。ただし、入力されるデータは、これらの全てである必要はない。また、入力される設備情報ＦＡは、生産品の生産量の減少量（予測値）と生産品の購入者の損害（予測値）の一方又は両方を含んでもよい。

　この場合、セキュリティ対策支援装置１ｂの推論装置３の推論部３２は、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡから、設備５へのサイバー攻撃によって失った利益を補償する保険の保険料６と契約補償額７とを算出するための学習モデルＭ１を用いて、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、及び設備情報ＦＡから保険料６と契約補償額７とを動的に設定する。つまり、実施の形態２では、セキュリティ対策支援装置１ｂは、保険契約のうちの保険料６、保険金である契約補償額７、又はこれらの両方が、情報取得部３１に入力される情報に応じて変動する。

　図１０は、セキュリティ対策支援装置１ｂの動作を示すフローチャートである。実施の形態２では、ステップＳ３１において、セキュリティ対策支援装置１ｂは、攻撃検知装置５２からの検知信号に基づいて、セキュリティ攻撃及び不審アクセスを検出する。

　ステップＳ３２において、設備５の警告部５８は、サイバー攻撃及び不審アクセスに基づいてユーザに警告を発する。警告は、ディスプレイの表示、スピーカからの音の出力、ランプの点灯、ユーザに伝わる振動、などで行われる。

　ステップＳ３３において、セキュリティ対策支援装置１ｂは、サイバー攻撃及び不審アクセスに対応するセキュリティ対応がユーザによって行われたかどうかを判断する。

　ステップＳ３３においてセキュリティ対応が開始されていれば（判定がＹＥＳであれば）、セキュリティ対策支援装置１ｂは、ステップＳ３６において、警告からの経過時間を検出し、ステップＳ３５において、セキュリティ攻撃の発生頻度及び対応所要時間Ｔ２に応じて保険契約の内容を動的に変更し、ステップＳ３８において、現在の保険契約の内容を通知する。保険契約の内容の動的な変更は、保険料６の変動（すなわち、増加若しくは減少）、契約補償額７の変動（すなわち、増加若しくは減少）、又は、保険料６の変動と契約補償額７の変動の組み合わせである。

　ステップＳ３５において、セキュリティ対策支援装置１ｂは、例えば、現状の対応所要時間Ｔ２が長いほど、高い契約補償額を提案する。また、セキュリティ対策支援装置１ｂは、現状の対応所要時間Ｔ２が長いほど、保険料６に対する契約補償額７の比率が低くなるように、契約補償額７を算出する。

　ステップＳ３３においてセキュリティ対応が開始されていなければ（判定がＮＯであれば）、セキュリティ対策支援装置１ｂは、ステップＳ３６において、警告からの経過時間を検出し、ステップＳ３７において、基準時間Ｔ２ｒ以上セキュリティ対応が開始されていない場合、保険契約の内容を動的に変更し、ステップＳ３８において、現在の保険契約の内容を通知する。

　ステップＳ３７において、セキュリティ対策支援装置１ｂは、例えば、基準時間Ｔ２ｒ以上セキュリティ対応が開始されていない場合、セキュリティ対応があった場合よりも高い契約補償額７を提案する。また、セキュリティ対策支援装置１ｂは、例えば、現状の対応所要時間Ｔ２が長いほど、保険料６に対する契約補償額７の比率を、セキュリティ対応があった場合よりも、低くなるように契約補償額７を算出する。

　図９のセキュリティ対策支援装置１ｂによれば、不審アクセスに対するセキュリティ対応の迅速さに応じて、サイバーセキュリティ対策製品のセキュリティレベルと保険契約の内容を適切かつ迅速に提案することができる。このため、設備５を持つ事業者は、サイバーセキュリティ対策製品と保険契約の内容を容易且つ迅速に決めることができる。

　また、図９のセキュリティ対策支援装置１ｂによれば、保険契約の内容を動的に変更することができる。この場合、設備５を持つ事業者は、サイバーセキュリティ対策製品と保険契約の内容が自動的に変更されるので、サイバーセキュリティ対策製品と保険契約の内容を検討しなくてもよい。

実施の形態３．
　実施の形態３に係るセキュリティ対策支援装置１ｃは、実行するプログラムの点で、実施の形態１に係るセキュリティ対策支援装置１ａと異なる。他の点について、実施の形態３に係るセキュリティ対策支援装置１ｃは、実施の形態１に係るセキュリティ対策支援装置１ａと同じである。

　図１１は、実施の形態３に係るセキュリティ対策支援装置１ｃの動作を示す説明図である。図１１の例では、セキュリティ対策支援装置１ｃは、実施の形態１で説明した方法によって、サイバーセキュリティ対策製品と保険契約の内容とが設定されている。ここで、例えば、保険会社が、設備５のセキュリティをチェックし、サイバー攻撃に対するセキュリティホールを発見した場合には、サイバーセキュリティ対策製品又は保険契約の内容を見直す必要がある。セキュリティ対策支援装置１ｃは、発見されたセキュリティホールに基づいて、新たなサイバーセキュリティ対策製品８の候補を提案する。また、セキュリティ対策支援装置１ｃは、発見されたセキュリティホールに基づいて、新たなサイバーセキュリティ対策製品８の候補と、新たな保険契約の内容の候補の両方を提案することもできる。

　この場合、セキュリティ対策支援装置１ｃの推論装置３の推論部３２は、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、設備情報ＦＡ、及び発見されたセキュリティホールを示す情報であるセキュリティホール情報ＳＨから、設備５に導入されるべき新たなサイバーセキュリティ対策製品８を提案するための学習モデルＭ２を用いて、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、設備情報ＦＡ、及びセキュリティホール情報ＳＨから、新たなサイバーセキュリティ対策製品８の候補を提案する。

　また、セキュリティ対策支援装置１ｃは、推論装置３で使用される学習モデルを生成する学習装置２を有する。学習装置２は、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、設備情報ＦＡ、及びセキュリティホール情報ＳＨから、セキュリティレベル情報ＳＬ、攻撃情報ＡＴ、設備情報ＦＡ、及びセキュリティホール情報ＳＨを含む学習用データを取得する情報取得部２１と、取得された学習用データを用いて、好適なサイバーセキュリティ対策製品を新たに推論するための学習モデルを生成するモデル生成部２２とを有する。ここで、学習用データは、各入力情報を互いに関連付けたデータである。生成された学習モデルは、記憶部４ａに記憶される。

　図１１のセキュリティ対策支援装置１ｃによれば、新たなサイバーセキュリティ対策製品８を適切に提案することができる。このため、設備５を持つ事業者は、サイバーセキュリティ対策製品と保険契約の内容を容易に決めることができる。

変形例．
　図１２は、実施の形態１から３に係るセキュリティ対策支援装置の構成の変形例を示す図である。図３及び図５では、学習装置２と推論装置３とが別々の記憶部４ａと４ｂにそれぞれ接続された例を説明したが、図１２に示されるように、学習装置２と推論装置３とが同じ記憶部４に接続されてもよい。

　また、図１２において、情報取得部２１と情報取得部３１とを共通化して、１つの情報取得部にすることも可能である。

　１、１ａ、１ｂ、１ｃ　セキュリティ対策支援装置、　２　学習装置、　３　推論装置、　４、４ａ、４ｂ　記憶部、　５　設備、　６　保険料、　７　契約補償額、　８　サイバーセキュリティ対策製品、　１１　ＣＰＵ、　１２　メモリ、　１３　出力部、　１４　入力部、　２１　情報取得部、　２２　モデル生成部、　３１　情報取得部、　３２　推論部、　５２　攻撃検知装置、　５４　機器制御装置、　５６ａ、５６ｂ、５６ｃ　機器、　５８　警告部、　５９　通知部、　ＳＬ　セキュリティレベル情報、　ＡＴ　攻撃情報、　ＦＡ　設備情報、　ＳＨ　セキュリティホール情報。

Claims

　外部ネットワークを介して通信を行う設備に導入されたサイバーセキュリティ対策製品のセキュリティレベルを示すセキュリティレベル情報、前記外部ネットワークを介する前記設備へのサイバー攻撃に関する情報である攻撃情報、及び前記設備の稼働状況に関する設備情報を取得する情報取得部と、
　前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から、前記設備へのサイバー攻撃によって失った利益を補償する保険の保険料と契約補償額とを算出するための第１の学習モデルを用いて、前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から前記保険料と前記契約補償額との候補を出力する推論部と、
　を有することを特徴とするセキュリティ対策支援装置。
　前記攻撃情報は、前記設備への前記サイバー攻撃の発生頻度を示す情報を含む
　ことを特徴とする請求項１に記載のセキュリティ対策支援装置。
　前記攻撃情報は、前記設備へのアクセスが許可されていない発信元からの前記外部ネットワークを介する前記設備へのアクセスである不審アクセスの発生頻度を示す情報を含む
　ことを特徴とする請求項１又は２に記載のセキュリティ対策支援装置。
　前記設備情報は、前記設備が前記サイバー攻撃を受けて前記設備が稼働を停止してから前記設備が稼働を再開するまでの時間である復旧所要時間を示す情報を含む
　ことを特徴とする請求項１から３のいずれか１項に記載のセキュリティ対策支援装置。
　前記設備情報は、前記設備が前記サイバー攻撃を受けて前記設備が生産する生産品の量が減少した場合における前記生産品の量の減少量を示す情報を含む
　ことを特徴とする請求項１から４のいずれか１項に記載のセキュリティ対策支援装置。
　前記設備情報は、サイバー攻撃を受けた前記設備が生産する生産品の量が減少し、前記生産品の購入者に供給される前記生産品が減少したことで、前記購入者が受ける損害を示す情報を含む
　ことを特徴とする請求項１から５のいずれか１項に記載のセキュリティ対策支援装置。
　前記設備は、前記サイバー攻撃及び前記設備へのアクセスが許可されていない発信元からの前記外部ネットワークを介する前記設備へのアクセスである不審アクセスに基づいてユーザに警告を発する警告部を有し、
　前記設備情報は、前記警告が発せられた時点から前記ユーザが前記設備のセキュリティ対応を開始する時点までの時間である対応所要時間を示す情報を含む
　ことを特徴とする請求項１から６のいずれか１項に記載のセキュリティ対策支援装置。
　前記推論部は、前記対応所要時間に応じて前記保険料及び前記契約補償額を増加又は減少させる
　ことを特徴とする請求項７に記載のセキュリティ対策支援装置。
　予め決められた基準時間内に前記セキュリティ対応が行われない場合に、前記推論部は、前記保険料及び前記契約補償額の変更を示す変更情報を出力する
　ことを特徴とする請求項７又は８に記載のセキュリティ対策支援装置。
　前記情報取得部によって取得された前記攻撃情報が前記設備への現在のサイバー攻撃の発生を示す場合、
　前記推論部は、前記保険料、前記契約補償額、前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から、現在の補償額を算出する
　ことを特徴とする請求項１から９のいずれか１項に記載のセキュリティ対策支援装置。
　前記保険料、前記契約補償額、前記攻撃情報、前記設備情報、前記設備に導入された現状のサイバーセキュリティ対策製品を示す情報、及び前記設備のセキュリティホールを示す情報であるセキュリティホール情報から、新たなサイバーセキュリティ対策製品の候補を提案するための第２の学習モデルを用いて、前記保険料、前記契約補償額、前記攻撃情報、前記設備情報、前記現状のサイバーセキュリティ対策製品を示す情報、及び前記セキュリティホール情報から、前記新たなサイバーセキュリティ対策製品を提案する
　ことを特徴とする請求項１から１０のいずれか１項に記載のセキュリティ対策支援装置。
　前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から、前記保険料と前記契約補償額とを算出するための前記第１の学習モデルを生成するモデル生成部を更に有する
　ことを特徴とする請求項１から１１のいずれか１項に記載のセキュリティ対策支援装置。
　前記保険料、前記契約補償額、前記攻撃情報、前記設備情報、前記設備に導入された現状のサイバーセキュリティ対策製品を示す情報、及び前記セキュリティホール情報から前記新たなサイバーセキュリティ対策製品を決定するための前記第２の学習モデルを生成するモデル生成部を更に有する
　ことを特徴とする請求項１１に記載のセキュリティ対策支援装置。
　コンピュータによって実行されるセキュリティ対策支援方法であって、
　外部ネットワークを介して通信を行う設備に導入されたサイバーセキュリティ対策製品のセキュリティレベルを示すセキュリティレベル情報、前記外部ネットワークを介する前記設備へのサイバー攻撃に関する情報である攻撃情報、及び前記設備の稼働状況に関する設備情報を取得するステップと、
　前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から、前記設備へのサイバー攻撃によって失った利益を補償する保険の保険料と契約補償額とを算出するための第１の学習モデルを用いて、前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から前記保険料と前記契約補償額との候補を出力するステップと、
　を有することを特徴とするセキュリティ対策支援方法。
　外部ネットワークを介して通信を行う設備に導入されたサイバーセキュリティ対策製品のセキュリティレベルを示すセキュリティレベル情報、前記外部ネットワークを介する前記設備へのサイバー攻撃に関する情報である攻撃情報、及び前記設備の稼働状況に関する設備情報を取得するステップと、
　前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から、前記設備へのサイバー攻撃によって失った利益を補償する保険の保険料と契約補償額とを算出するための第１の学習モデルを用いて、前記セキュリティレベル情報、前記攻撃情報、及び前記設備情報から前記保険料と前記契約補償額との候補を出力するステップと、
　をコンピュータに実行させることを特徴とするプログラム。