JP2009140362A - Security level evaluation device and security level evaluation program - Google Patents
Security level evaluation device and security level evaluation program Download PDFInfo
- Publication number
- JP2009140362A JP2009140362A JP2007317598A JP2007317598A JP2009140362A JP 2009140362 A JP2009140362 A JP 2009140362A JP 2007317598 A JP2007317598 A JP 2007317598A JP 2007317598 A JP2007317598 A JP 2007317598A JP 2009140362 A JP2009140362 A JP 2009140362A
- Authority
- JP
- Japan
- Prior art keywords
- security
- list
- question
- level evaluation
- security level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、評価対象の装置のセキュリティレベルを評価するセキュリティレベル評価装置およびセキュリティレベル評価プログラムに関する。 The present invention relates to a security level evaluation device and a security level evaluation program for evaluating the security level of a device to be evaluated.
近年、情報システムの普及が進んでいる。それと共に、情報システムの脆弱性をついた攻撃も広がってきており、情報システムに適切なセキュリティ対策が施されていることが重要となっている。情報システムに適切なセキュリティ対策を施すためには、評価者が情報システムのセキュリティレベルを評価し、現状を把握することが必要となる。 In recent years, information systems have been widely used. At the same time, attacks with vulnerabilities in information systems are spreading, and it is important that appropriate security measures are taken for information systems. In order to take appropriate security measures for an information system, it is necessary for an evaluator to evaluate the security level of the information system and grasp the current state.
セキュリティレベルの評価については、例えば特許文献1に開示されるように、評価者が高度な専門知識を有していなくとも、システムのセキュリティ状態を評価したり、セキュリティ対策の作成を支援したりするセキュリティ評価装置がある。
As for security level evaluation, as disclosed in, for example,
具体的には、このセキュリティ評価装置は、評価者が評価対象システムとその構成機器を指定すると、機器ごとに施すべきセキュリティ対策のリストを表示し、評価者がこのリストに対して実際のセキュリティ対策の有無を入力すると、評価対象システムのセキュリティ状態の評価処理を行なって結果を表示する。
セキュリティレベルを評価する際には、セキュリティ対策が適切なバランスで配備されているか、および個々のセキュリティ対策が適切に実現されているかの2通りの観点で評価する必要がある。しかし、従来の技術では、セキュリティ対策の有無のみを評価しており、そのセキュリティ対策がどの程度有効に機能しているかまでは評価することができなかった。 When evaluating the security level, it is necessary to evaluate from the two viewpoints of whether security measures are deployed in an appropriate balance and whether each security measure is properly realized. However, in the conventional technology, only the presence or absence of security measures is evaluated, and it cannot be evaluated to what extent the security measures are functioning effectively.
また、従来の技術では、セキュリティ対策が適切なバランスで配備されているかの評価についても、評価する情報システムごとに施すべきセキュリティ対策を事前に登録する必要がある。そのため、システムや機器構成を正しく抽出できないとセキュリティレベルを評価できない。 Further, in the conventional technology, it is necessary to register in advance the security measures to be taken for each information system to be evaluated for evaluating whether the security measures are deployed in an appropriate balance. Therefore, the security level cannot be evaluated unless the system and device configuration can be correctly extracted.
そこで、本発明の目的は、セキュリティレベル評価対象の装置のセキュリティレベル評価の精度を向上させることが可能になるセキュリティレベル評価装置およびセキュリティレベル評価プログラムを提供することにある。 Therefore, an object of the present invention is to provide a security level evaluation apparatus and a security level evaluation program that can improve the accuracy of security level evaluation of a security level evaluation target apparatus.
すなわち、本発明に係わるセキュリティレベル評価装置は、セキュリティレベル評価対象装置の各評価要素および当該評価要素について実現されるべき各セキュリティ対策事項を関連付けたセキュリティ対策情報を取得する取得手段と、セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の雛形に、セキュリティレベル評価対象装置の各評価要素についての各セキュリティ対策事項の実現の網羅性の貢献度の定義値および当該セキュリティ対策事項が実現されている場合の有効性を示すセキュリティ性の貢献度の定義値を関連付けたテンプレート情報を記憶するテンプレート記憶手段とを備え、取得手段により取得したセキュリティ対策情報において関連付けられる評価要素およびセキュリティ対策事項をテンプレート情報の質問項目の雛形に反映させることで、セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の一覧である質問リストを生成し、この生成した質問リストにおける各質問事項への回答の入力を受け付け、セキュリティ対策情報における各評価要素および当該評価要素に関連付けられるセキュリティ対策事項の組み合わせについて、質問リストにおける組み合わせが含まれる質問事項の生成のために用いられたテンプレート情報上の雛形に対して当該テンプレート情報上で関連付けられる網羅性の貢献度の定義値、セキュリティ性の貢献度の定義値および質問事項への回答の入力結果をもとに、セキュリティ対策事項の網羅性への貢献度およびセキュリティ性への貢献度を計算することで、セキュリティレベル評価対象装置のセキュリティレベル評価情報を生成することを特徴とする。 That is, the security level evaluation apparatus according to the present invention includes an acquisition means for acquiring security measure information in which each evaluation element of the security level evaluation target apparatus and each security countermeasure item to be realized for the evaluation element are associated, and security level evaluation The definition of the contribution level of completeness of the implementation of each security countermeasure item for each evaluation element of the security level evaluation target device and the corresponding security countermeasure item are realized in the template of the questionnaire used for evaluating the security level of the target device. Template storage means for storing the template information in which the definition value of the security contribution level indicating the effectiveness of the security information is associated, and evaluation factors and security countermeasure items associated with the security countermeasure information acquired by the acquisition means are stored. By reflecting the rate information question item model, a question list that is a list of question items used for security level evaluation of the security level evaluation target device is generated, and answers to each question item in the generated question list For the combination of each evaluation element in the security countermeasure information and the security countermeasure items associated with the evaluation element, the template on the template information used to generate the questionnaire that includes the combination in the question list The contribution level to the comprehensiveness of the security countermeasures based on the input value of the definition value of the coverage level, the definition level of the security level contribution level, and the answer to the questionnaire. Security is calculated by calculating the contribution to security. And generating a security level evaluation information level evaluation target apparatus.
本発明によれば、セキュリティレベル評価対象の装置のセキュリティレベル評価の精度を向上させることができる。 ADVANTAGE OF THE INVENTION According to this invention, the precision of the security level evaluation of the apparatus of security level evaluation object can be improved.
以下図面により本発明の実施形態について説明する。
本発明の実施形態では、セキュリティレベル評価対象装置と、評価者が操作するセキュリティレベル評価装置とが存在する。
セキュリティレベル評価対象装置とは、セキュリティレベルの判定対象となる装置やシステムである。評価者とは、セキュリティレベル評価装置を操作してセキュリティレベル評価対象装置のセキュリティレベルを評価する者である。
Embodiments of the present invention will be described below with reference to the drawings.
In the embodiment of the present invention, there are a security level evaluation target device and a security level evaluation device operated by an evaluator.
The security level evaluation target device is a device or system that is a security level determination target. The evaluator is a person who operates the security level evaluation apparatus and evaluates the security level of the security level evaluation target apparatus.
図1は、本発明の実施形態にしたがったセキュリティレベル評価装置のシステム構成の概要を示すブロック図である。
図1に示すように、セキュリティレベル評価装置は、基本モデル選択部1、記憶装置2、インスタンス入力部3、セキュリティ対策リスト生成部4、質問リスト生成部5、回答入力部6、レベル評価情報生成手段である回答集計部7、キーボードやマウスといった入力装置8、ディスプレイ装置といった表示装置9を備え、それぞれがバス10を介して相互に接続される。
FIG. 1 is a block diagram showing an outline of a system configuration of a security level evaluation apparatus according to an embodiment of the present invention.
As shown in FIG. 1, the security level evaluation apparatus includes a basic
記憶装置2は、例えばハードディスクドライブや不揮発性メモリ装置などのハードウェアで構成された記憶媒体であり、基本モデル選択部1、記憶装置2、インスタンス入力部3、セキュリティ対策リスト生成部4、質問リスト生成部5、回答入力部6、回答集計部7による動作のための制御プログラムを記憶する他、基本モデル記憶手段である基本モデル記憶部11、インスタンスリスト記憶部12、セキュリティ対策リスト記憶部13、テンプレート記憶手段である質問テンプレートリスト記憶部14、質問リスト記憶部15、回答リスト記憶部16、レベル評価結果記憶部17およびセキュリティレベル結果記憶部18を有する。
The
基本モデル記憶部11は、複数種類の基本モデルを記憶する。基本モデルとは、セキュリティレベル評価対象装置のモデルとなる一般的なシステム構成とそこで施されるべきセキュリティ対策とを関連付けた情報である。基本モデル中の一般的なシステム構成とは、特定のシステム形態や特定の分野におけるシステムの構成要素群のことであり、例えば、Webアプリケーション、クライアントサーバシステム、人事システムが挙げられる。この構成要素は、例えばシステムの機能、システムのハードウェアが挙げられる。
The basic
このように一般的なシステム構成を定義した基本モデルは様々なシステムに対して汎用的に適用できる。基本モデル記憶部11に記憶された基本モデルは、後述するインスタンスリストおよびセキュリティ対策リストの生成に利用される。
The basic model that defines a general system configuration in this way can be applied universally to various systems. The basic model stored in the basic
図2は、本発明の実施形態にしたがったセキュリティレベル評価装置の記憶装置に記憶される基本モデルの一例を表形式で示す図である。
図2に示した基本モデルは、当該基本モデルを識別する基本モデルIDと、基本モデルの各行を識別する構成・対策IDと、前述した構成要素と、前述したセキュリティ対策と、構成要素およびセキュリティ対策との組み合わせが後述する貢献度にどの程度影響を与えるかを定義する重要度とが関連付けられて管理される。
FIG. 2 is a diagram showing an example of a basic model stored in the storage device of the security level evaluation apparatus according to the embodiment of the present invention in a table format.
The basic model shown in FIG. 2 includes a basic model ID for identifying the basic model, a configuration / measure ID for identifying each row of the basic model, the above-described constituent elements, the above-described security measures, the constituent elements, and the security measures. And the degree of importance that defines how much the combination will affect the degree of contribution to be described later.
図2に示した基本モデルでは、重要度の値は「0」から「3」の値をとる。「0」は該構成要素について該セキュリティ対策が不要であることを示し、以下、数値が大きいほど貢献度に影響を与える度合いが大きくなる。 In the basic model shown in FIG. 2, the importance value ranges from “0” to “3”. “0” indicates that the security measure is not necessary for the component, and hereinafter, the greater the numerical value, the greater the degree of influence on the contribution.
基本モデル選択部1は、セキュリティレベル評価時に利用する基本モデルの一覧を評価者に提示し、評価者による入力装置8への入力操作に従って基本モデルを選択する。
インスタンス入力部3は、基本モデル選択部1が選択した基本モデルを利用し、評価者によるインスタンスの定義のための入力装置8への入力操作にしたがってインスタンスリストを作成する。
The basic
The
インスタンスリスト記憶部12は、作成済みのインスタンスリストを記憶する。インスタンスリストとは、基本モデルで提示された構成要素においてセキュリティレベル評価対象装置に依存するインスタンスを抽出した一覧情報である。インスタンスリスト中のインスタンスとは、セキュリティレベルを評価する際に評価者がセキュリティレベル評価対象装置について実際に確認できる構成要素である。
The instance
評価者は、セキュリティレベル評価対象装置のセキュリティレベルを評価する際には、各インスタンスについて評価を行う。評価者は、基本モデルの構成要素を事前に決めておき、この基本モデルからセキュリティレベル評価対象装置のインスタンスを定義することで、抽象的なレベルからセキュリティレベル評価対象装置の各構成要素に施すべきセキュリティ対策の全体を網羅できる。よって、インスタンスの定義の抜け漏れが発生することを防止できる。インスタンスリスト記憶部12に記憶されたインスタンスリストは、セキュリティ対策リストの生成に利用される。
The evaluator evaluates each instance when evaluating the security level of the security level evaluation target device. The evaluator should determine the components of the basic model in advance and define an instance of the security level evaluation target device from this basic model, so that it should be applied to each component of the security level evaluation target device from the abstract level. The entire security measures can be covered. Therefore, it is possible to prevent the omission of definition of the instance. The instance list stored in the instance
図3は、本発明の実施形態にしたがったセキュリティレベル評価装置の記憶装置に記憶されるインスタンスリストの一例を表形式で示す図である。
図3に示したインスタンスリストは、評価者が図2に示した基本モデルを選択した際のセキュリティレベル評価対象装置でのインスタンスを定義したものである。図3に示すように、評価者が評価したいセキュリティレベル評価対象装置は、個人情報入力画面、経営情報入力画面、個人情報出力画面、経営情報出力画面、および個人情報変更通知機能を持つものとする。
セキュリティ対策リスト生成部4は、基本モデル選択部1が選択した基本モデルと、インスタンス入力部3で定義されたインスタンスとに基づいて、セキュリティ対策リストを生成する。
FIG. 3 is a diagram showing an example of an instance list stored in the storage device of the security level evaluation apparatus according to the embodiment of the present invention in a table format.
The instance list shown in FIG. 3 defines an instance in the security level evaluation target device when the evaluator selects the basic model shown in FIG. As shown in FIG. 3, the security level evaluation target device that the evaluator wants to evaluate has a personal information input screen, a management information input screen, a personal information output screen, a management information output screen, and a personal information change notification function. .
The security countermeasure
セキュリティ対策リスト記憶部13は、生成済みのセキュリティ対策リストを記憶する。セキュリティ対策リストとは、セキュリティレベル評価対象装置のインスタンスと当該インスタンスについて実装されているべきセキュリティ対策とを関連付けた情報である。
The security countermeasure
一般的には、評価者は、セキュリティレベルを評価する際には何もないところからセキュリティ対策を作成していたが、評価者にとってシステム全体を把握することは難しいため、作成されたセキュリティ対策に抜け漏れが発生しやすかった。そこで、基本モデルとインスタンスリストを事前に作成することで、セキュリティ対策の抜け漏れの防止を図っている。セキュリティ対策リスト記憶部13に記憶されたセキュリティ対策リストは、質問リストおよびレベル評価結果テーブルの生成に利用される。
In general, the evaluator created security measures from nothing when evaluating the security level. However, it is difficult for the evaluator to grasp the entire system, so it is difficult to understand the prepared security measures. Leakage was easy to occur. Therefore, the basic model and the instance list are created in advance to prevent omission of security measures. The security countermeasure list stored in the security countermeasure
質問テンプレートリスト記憶部14は、質問テンプレートリストを記憶する。この質問テンプレートリストは、後述する質問リストおよびレベル評価結果テーブルの生成に利用される。
The question template
質問リスト記憶部15は、質問リストを記憶する。質問リストとは、評価者がセキュリティレベル評価対象装置を評価する際に利用する質問を記述した情報である。評価者は質問リストの質問を見て、セキュリティレベル評価対象装置がその質問内容を満たしているかを判定し、その結果を質問への回答として入力装置8を用いて入力することができる。
The question
回答リスト記憶部16は、質問リストに回答を加えた情報である回答リストを記憶する。回答リスト記憶部16に記憶された回答リストは、レベル評価結果テーブルの生成に利用される。
レベル評価結果記憶部17は、レベル評価結果テーブルを記憶する。このレベル評価結果テーブルはセキュリティレベル評価対象装置のセキュリティレベル結果の生成に利用される。
セキュリティレベル結果記憶部18は、セキュリティレベル評価対象装置のセキュリティレベル結果を記憶する。質問テンプレートリスト、質問リスト、回答リスト、レベル評価結果テーブルおよびセキュリティレベル結果の詳細については後述する。
The answer
The level evaluation
The security level
次に、図1に示した構成のセキュリティレベル評価装置の動作について説明する。図4は、本発明の実施形態にしたがったセキュリティレベル評価装置の処理動作の一例を示すシーケンス図である。
前提条件として、セキュリティレベル評価対象装置のセキュリティレベルを評価する前に、基本モデルと、質問リストの雛形となる質問テンプレートリストとを事前に定義して、基本モデル記憶部11と質問テンプレートリスト記憶部14とにそれぞれ記憶されるとする。
Next, the operation of the security level evaluation apparatus configured as shown in FIG. 1 will be described. FIG. 4 is a sequence diagram showing an example of the processing operation of the security level evaluation apparatus according to the embodiment of the present invention.
As a precondition, before evaluating the security level of the security level evaluation target device, a basic model and a question template list serving as a template for the question list are defined in advance, and the basic
これにより、評価者がセキュリティレベル評価装置のセキュリティレベル評価を行う作業期間を短縮することができる。また、基本モデルと質問テンプレートリストは汎用的なものとすることにより、多種のシステムや機器構成などについてセキュリティレベルの効率な評価が可能となる。 Thereby, it is possible to shorten the work period in which the evaluator performs the security level evaluation of the security level evaluation apparatus. Further, by making the basic model and the question template list general-purpose, it is possible to efficiently evaluate the security level for various systems and device configurations.
始めに、評価者は、入力装置8への操作を行なうことで基本モデル選択部1に基本モデル選択要求を行なう(ステップS1)。
基本モデル選択部1は、選択要求にしたがって、複数の基本モデルを基本モデル記憶部11から読み出して、表示装置9に表示させる(ステップS2,S3)。
First, the evaluator makes a basic model selection request to the basic
In accordance with the selection request, the basic
評価者は、表示された複数の基本モデルのうち選択対象の基本モデルを入力装置8への操作により選択する(ステップS4)。
基本モデル選択部1は、この選択された基本モデルを基本モデル記憶部11に記憶し、当該選択された基本モデルを表示装置9に表示する(ステップS5,S6)。
The evaluator selects a basic model to be selected from the displayed basic models by operating the input device 8 (step S4).
The basic
続いて、インスタンス入力部3は、選択された基本モデルの構成要素のそれぞれに対するインスタンスの入力要求画面を表示装置9に表示させる。例えば、選択された基本モデルが図2に示した構成である場合には、構成要素は「入力機能」、「出力機能」および「通知機能」であるので、「入力機能」のインスタンス、「出力機能」のインスタンスおよび「通知機能」のインスタンスの入力が評価者に要求されることになる。
Subsequently, the
評価者は、要求されたインスタンスを入力装置8への操作により定義する(ステップS7)。単一の構成要素に対するインスタンスは単一であっても複数であってもよい。
図3に示した例では、構成要素「入力機能」および「出力機能」についてインスタンス「個人情報入力画面」および「経営情報入力画面」がそれぞれ定義され、構成要素「通知機能」についてインスタンス「個人情報変更通知機能」が定義される。
The evaluator defines the requested instance by operating the input device 8 (step S7). There may be a single instance or multiple instances for a single component.
In the example shown in FIG. 3, the instance “personal information input screen” and the “management information input screen” are defined for the components “input function” and “output function”, respectively, and the instance “personal information” for the component “notification function”. "Change notification function" is defined.
インスタンス入力部3は、基本モデル上の構成要素と、当該構成要素について定義されたインスタンスとを関連付けたインスタンスリストを作成し、このインスタンスリストをインスタンスリスト記憶部12に記憶する(ステップS8)。
The
続いて、評価者が入力装置8への操作によりセキュリティ対策リストの生成をセキュリティ対策リスト生成部4に要求すると(ステップS9)、セキュリティ対策リスト生成部4は、基本モデル記憶部11に記憶された選択済み基本モデルと、インスタンスリスト記憶部12に記憶されたインスタンスリストとを取得し(ステップS10,S11)、これらの選択済み基本モデルおよびインスタンスリストをもとにセキュリティ対策リストを生成する(ステップS12)。
Subsequently, when the evaluator requests the security countermeasure
ここで、セキュリティ対策リストの生成処理の詳細を説明する。図5は、本発明の実施形態にしたがったセキュリティレベル評価装置によるセキュリティ対策リストの生成処理の一例を示すフローチャートである。
まず、セキュリティ対策リスト生成部4は、選択済みの基本モデルの未選択の行のうち最上段の行を選択して(ステップS41)、当該選択行の構成・対策ID、構成要素、セキュリティ対策および重要度を取り出す(ステップS42)。
Details of the security countermeasure list generation process will be described here. FIG. 5 is a flowchart showing an example of security countermeasure list generation processing by the security level evaluation apparatus according to the embodiment of the present invention.
First, the security countermeasure
セキュリティ対策リスト生成部4は、取り出した重要度が「0」でなければ(ステップS43のNO)、取り出した行の構成要素に該当するインスタンスを生成済みのインスタンスリストから取得する(ステップS44)。
If the extracted importance is not “0” (NO in step S43), the security countermeasure
セキュリティ対策リスト生成部4は、セキュリティ対策リストの各行を識別する新規の「セキュリティ対策ID」、ステップS42の処理で基本モデルから取り出した「構成要素」をステップS43の処理でインスタンスリストから取得済みのインスタンスに置換した「インスタンス」、ステップS42の処理で基本モデルから取り出した「セキュリティ対策」および「重要度」でなる追記用情報を生成対象のセキュリティ対策リストのフォーマットに追記する(ステップS45)。セキュリティ対策IDの初期定義値は「1」であり、新たな追記用情報の生成のたびに1増やして更新される。
The security countermeasure
また、セキュリティ対策リスト生成部4が基本モデルから取り出した行の構成要素についてインスタンスリストで定義済みのインスタンスが複数種類存在すれば、前述した追記用情報はインスタンスごとに別途生成される。
Further, if there are a plurality of types of instances already defined in the instance list for the constituent elements of the row taken out from the basic model by the security countermeasure
つまり、基本モデルから選択した構成要素が「入力要素」で、この構成要素に対するセキュリティ対策が「主体認証」で、当該構成要素についてインスタンスリストで定義したインスタンスが図3に示すように「個人情報入力画面」および「経営情報入力画面」である場合には、インスタンス「個人情報入力画面」およびセキュリティ対策「主体認証」を含む追記用情報が生成された後、セキュリティ対策IDが一つ後でインスタンス「経営情報入力画面」およびセキュリティ対策「主体認証」を含む追記用情報がさらに生成される。 That is, the component selected from the basic model is “input element”, the security measure for this component is “subject authentication”, and the instance defined in the instance list for the component is “personal information input” as shown in FIG. In the case of “screen” and “management information input screen”, additional information including the instance “personal information input screen” and the security measure “subject authentication” is generated, and the security measure ID is one instance later. Additional information including a management information input screen and a security measure “subject authentication” is further generated.
そして、セキュリティ対策リスト生成部4は、選択済みの基本モデルに次の行が存在していれば(ステップS46のYES)、この行を選択して(ステップS47)、ステップS42の処理に戻る。
また、セキュリティ対策リスト生成部4は、選択済みの基本モデルに次の行が存在していなければ(ステップS46のNO)、セキュリティ対策リストの生成を終了する。
If the next line exists in the selected basic model (YES in step S46), the security countermeasure
If the next line does not exist in the selected basic model (NO in step S46), the security countermeasure
図6は、本発明の実施形態にしたがったセキュリティレベル評価装置により生成したセキュリティ対策リストの一例を表形式で示す図である。
図6に示したセキュリティ対策リストは、図2に示した基本モデルと、図3に示したインスタンスリストとから作成されるリストである。図6に示したセキュリティ対策リストは、セキュリティ対策IDと、インスタンスと、セキュリティ対策と重要度とが関連付けられる。
FIG. 6 is a table showing an example of a security countermeasure list generated by the security level evaluation apparatus according to the embodiment of the present invention.
The security countermeasure list shown in FIG. 6 is a list created from the basic model shown in FIG. 2 and the instance list shown in FIG. In the security countermeasure list illustrated in FIG. 6, a security countermeasure ID, an instance, a security countermeasure, and an importance level are associated with each other.
セキュリティ対策リスト生成部4は、生成したセキュリティ対策リストをセキュリティ対策リスト記憶部13に記憶し、このセキュリティ対策リストを表示装置9に表示させる(ステップS13,S14)。
The security countermeasure
この表示されたセキュリティ対策リストを参照した評価者による入力装置8への操作により質問リストの生成が質問リスト生成部5に要求されると(ステップS15)、質問リスト生成部5は、セキュリティ対策リスト記憶部13に記憶されるセキュリティ対策リストと、質問テンプレートリスト記憶部14に記憶される質問テンプレートリストとを取得し(ステップS16,S17)、これらセキュリティ対策リストおよび質問テンプレートリストをもとに質問リストを生成する(ステップS18)。つまり、質問リスト生成部5はセキュリティ対策情報を取得する取得手段である。
When the evaluator who refers to the displayed security countermeasure list operates the
質問テンプレートリストとは、評価者がセキュリティレベルを評価する際に利用する質問を質問リスト生成部5が生成する際の基となるデータである。この質問テンプレートリストを予め用意することで、多種のシステムや機能に合わせた質問を自動的に生成することが可能となる。
The question template list is data used as a basis when the question
質問テンプレートリストでは、質問と貢献度との関係が定義される。貢献度とは、質問の内容を満たしている場合に該当するセキュリティ対策がセキュリティレベル評価対象装置のセキュリティレベルにどの程度貢献するかを示す値である。 In the question template list, the relationship between the question and the degree of contribution is defined. The degree of contribution is a value indicating how much the security measure corresponding to the contents of the question contributes to the security level of the security level evaluation target device.
貢献度は、大きく分けて2つの評価軸があり、ひとつは網羅性であり、もうひとつはセキュリティ性である。網羅性とは、セキュリティレベル評価対象装置に必要とされているセキュリティ対策がどの程度実現されているかを評価する指標であり、セキュリティ性とは、実現されているセキュリティ対策がどの程度有効であるかを評価する指標である。 The degree of contribution can be broadly divided into two evaluation axes, one is comprehensiveness and the other is security. Comprehensiveness is an index that evaluates the degree to which the security measures required for the security level evaluation target device have been realized, and security is how effective the implemented security measures are. It is an index to evaluate.
セキュリティ性には複数の評価軸が存在してよい。このように複数の評価軸が存在する場合、これら評価軸の評価結果を総合してセキュリティ性を評価する。セキュリティレベル評価装置は、網羅性、セキュリティ性の2つの評価軸を利用することで、セキュリティ対策が適切なバランスで配備されているか、および個々のセキュリティ対策が適切に実現されているかの2通りの観点でセキュリティレベル評価対象装置のセキュリティレベルを評価できる。 There may be multiple evaluation axes for security. Thus, when there are a plurality of evaluation axes, the evaluation results of these evaluation axes are combined to evaluate security. The security level evaluation device uses two evaluation axes of completeness and security, so that security measures are deployed in an appropriate balance and individual security measures are realized appropriately. From the viewpoint, the security level of the security level evaluation target device can be evaluated.
このセキュリティレベル評価装置は、セキュリティ対策が適切なバランスで配備されているかを評価するために網羅性のセキュリティレベルを計算し、個々のセキュリティ対策が適切に実現されているかを評価するためにセキュリティ性のセキュリティレベルを計算する。 This security level evaluation device calculates the security level of completeness in order to evaluate whether security measures are deployed in an appropriate balance, and in order to evaluate whether each security measure is properly realized. Calculate the security level.
図7は、本発明の実施形態にしたがったセキュリティレベル評価装置の記憶装置に記憶される質問テンプレートリストの一例を表形式で示す図である。
図7に示した質問テンプレートリストは、評価者に提示する質問の基となる質問テンプレートについて、その内容を満たしている場合の網羅性およびセキュリティ性の貢献度を定義した情報である。
FIG. 7 is a diagram showing an example of a question template list stored in the storage device of the security level evaluation apparatus according to the embodiment of the present invention in a table format.
The question template list shown in FIG. 7 is information that defines the contribution of coverage and security when the content of the question template that is the basis of the question presented to the evaluator is satisfied.
図7に示した質問テンプレートリストは、質問テンプレートリストの各行を識別する質問テンプレートIDと、評価者に提供する質問を生成する際の基となる文である質問テンプレートと、網羅性およびセキュリティ性のそれぞれの貢献度とが関連付けられる。 The question template list shown in FIG. 7 includes a question template ID that identifies each row of the question template list, a question template that is a sentence used as a basis for generating a question to be provided to the evaluator, and comprehensiveness and security. Each contribution is related.
図7に示した例では、セキュリティ性は4つの評価軸で評価される。また、図7に示した例では、各評価軸に対する貢献度の合計が1になるように貢献度を定義しており、さらに、1つの質問が複数の評価軸の貢献度に加算されるようになっている。 In the example shown in FIG. 7, security is evaluated on four evaluation axes. Further, in the example shown in FIG. 7, the contribution is defined so that the total contribution to each evaluation axis becomes 1, and one question is added to the contributions of a plurality of evaluation axes. It has become.
また、図7に示した質問テンプレートにおいて括弧で囲まれた記述である[インスタンス]、[セキュリティ対策]は、質問リスト生成時に、それぞれセキュリティ対策リストで定義されるインスタンスおよびセキュリティ対策の具体的な名称に置き換わる。 In addition, [Instance] and [Security Measure], which are the descriptions enclosed in parentheses in the question template shown in FIG. 7, are specific names of instances and security measures defined in the security measure list, respectively, when the question list is generated. Is replaced.
次に、質問リストの生成処理の詳細を説明する。図8は、本発明の実施形態にしたがったセキュリティレベル評価装置による質問リストの生成処理の一例を示す第1のフローチャートである。図9は、本発明の実施形態にしたがったセキュリティレベル評価装置による質問リストの生成処理の一例を示す第2のフローチャートである。 Next, details of the question list generation process will be described. FIG. 8 is a first flowchart showing an example of a question list generation process by the security level evaluation apparatus according to the embodiment of the present invention. FIG. 9 is a second flowchart showing an example of a question list generation process by the security level evaluation apparatus according to the embodiment of the present invention.
まず、質問リスト生成部5は、生成済みのセキュリティ対策リストの行数を取得し(ステップS51)、当該セキュリティ対策リストの行の選択のループを開始する(ステップS52)。
First, the question
そして、質問リスト生成部5は、取得済みの質問テンプレートリストの最初の行を選択し(ステップS53)、未選択の行のうち最上段の行の質問テンプレートIDおよび質問テンプレートを取り出す(ステップS54,S55)。
Then, the question
質問リスト生成部5は、新規の「質問ID」、ステップS54の処理で質問テンプレートリストから取得済みの「質問テンプレートID」、およびステップS54の処理で質問テンプレートリストから取り出した「質問テンプレート」である「質問」でなる追記用情報を生成対象の質問リストのフォーマットに追記する(ステップS56)。質問IDの初期定義値は「1」であり、新たな追記用情報の生成のたびに1増やして更新される。
The question
そして、質問リスト生成部5は、選択済みの質問テンプレートリストに次の行が存在していれば(ステップS57のYES)、この行を選択し(ステップS58)、ステップS54の処理に戻る。図7に示した例では質問テンプレートリストの行数は4であるので、セキュリティ対策リストの一行分についてステップS54からS56の処理は4回なされることになる。
If the next line exists in the selected question template list (YES in step S57), the question
そして質問リスト生成部5は、取得済みのセキュリティ対策リストの次の行の処理に移る(ステップS59)。質問リスト生成部5は、セキュリティ対策リストの全ての行の処理が終了した時点で、質問リストのフォーマットに追記用情報が追記された情報を質問リスト生成のための中間データとして記憶装置2に記憶する。
Then, the question
図10は、本発明の実施形態にしたがったセキュリティレベル評価装置による質問リスト生成のための中間データの一例を表形式で示す図である。
ステップS59までの処理がなされることで図10に示した中間データが生成され、この中間データをもとに質問リストが生成される。
FIG. 10 is a diagram showing an example of intermediate data for generating a question list by the security level evaluation apparatus according to the embodiment of the present invention in a table format.
By performing the processing up to step S59, the intermediate data shown in FIG. 10 is generated, and a question list is generated based on the intermediate data.
そして、質問リスト生成部5は、取得済みのセキュリティ対策リストの最初の行を選択し(ステップS61)、当該選択行のインスタンスおよびセキュリティ対策を取得する(ステップS62,S63)。
Then, the question
質問リスト生成部5は、前述した中間データ上の各行のうち、未選択の行のうち最上段の行から質問テンプレートリストの行数分連続した行を選択し、これらの行の「質問」のうち括弧で囲まれた記述である[インスタンス]、[セキュリティ対策]をセキュリティ対策リストから取得したインスタンスおよびセキュリティ対策にそれぞれ置き換える(ステップS64)。
The question
セキュリティ対策リストが図6に示した構成である場合には、最初の行のインスタンスは「個人情報入力画面」で、セキュリティ対策は「主体認証」であるため、ステップS64の処理の結果、中間データ上から選択された行の「[インスタンス]」が「個人情報入力画面」に置き換わり、中間データ上から選択された行の「[セキュリティ対策]」が「主体認証」に置き換わる。 When the security countermeasure list has the configuration shown in FIG. 6, the instance in the first row is “personal information input screen” and the security countermeasure is “subject authentication”. “[Instance]” in the row selected from above is replaced with “personal information input screen”, and “[Security Measure]” in the row selected from the intermediate data is replaced with “subject authentication”.
そして、質問リスト生成部5は、セキュリティ対策リストに次の行が存在していれば(ステップS65のYES)、この行を選択し(ステップS66)、ステップS62の処理に戻る。
また、質問リスト生成部5は、セキュリティ対策リストに次の行が存在していなければ(ステップS65のNO)、中間データを最終的な質問リストとする。
If the next line exists in the security countermeasure list (YES in step S65), the question
If the next line does not exist in the security countermeasure list (NO in step S65), the question
図11は、本発明の実施形態にしたがったセキュリティレベル評価装置により生成した質問リストの一例を表形式で示す図である。
図11で示した質問リストは、図6のセキュリティ対策リストと、図7に示した質問テンプレートリストとを組み合わせて作成されたものである。また、図11に示した質問リストは、質問リストの各行を識別するための質問IDと、質問がどの質問テンプレートから生成されたかを識別する質問テンプレートIDと質問とを持つ。
FIG. 11 is a diagram showing an example of a question list generated by the security level evaluation apparatus according to the embodiment of the present invention in a table format.
The question list shown in FIG. 11 is created by combining the security countermeasure list shown in FIG. 6 and the question template list shown in FIG. The question list shown in FIG. 11 has a question ID for identifying each row of the question list, a question template ID for identifying from which question template the question is generated, and a question.
質問リスト生成部5は、生成した質問リストを質問リスト記憶部15に記憶して、この質問リストを表示装置9に表示させる(ステップS19)。
そして、表示装置9に表示された質問リストを参照した評価者による入力装置8への操作により質問リスト上の質問に対する回答入力の要求がなされると(ステップS20)、回答入力部6は、質問リスト記憶部15に記憶された質問リストを取得し(ステップS21)、このリストに質問の回答の入力欄を加えた回答入力用情報を表示装置9に表示させる(ステップS22)。
The question
Then, when an evaluator who refers to the question list displayed on the
評価者は、回答入力用情報で示された質問を参照し、この質問事項が満たされているかどうかを判定し、その回答を入力装置8を用いて入力する。
回答入力用情報で示された質問に対する回答、つまりセキュリティレベル評価対象装置への評価が回答の入力欄へ入力されると(ステップS23)、回答入力部6は、回答が入力された回答入力用情報を回答リストとして回答リスト記憶部16に記憶して、この回答リストを表示装置9に表示させる(ステップS24)。
The evaluator refers to the question indicated by the answer input information, determines whether or not this question is satisfied, and inputs the answer using the
When an answer to the question indicated by the answer input information, that is, an evaluation of the security level evaluation target device is input to the answer input field (step S23), the
回答リストとは、前述した質問リストに評価者の回答の情報を付加したものである。図12は、本発明の実施形態にしたがったセキュリティレベル評価装置により生成した回答リストの一例を表形式で示す図である。
図12に示した回答リストは、回答リストの各行を識別する質問IDと、質問がどの質問テンプレートから生成されたかを識別する質問テンプレートIDと、質問と、セキュリティレベル評価対象装置が質問内容を満たしているかどうかの入力結果である回答とをもつ。図12に示した例では、質問内容を満たしていると評価者が判定した場合には「○」が、質問内容を満たしていないと評価者が判定した場合には「×」が回答として入力されている。
The answer list is obtained by adding evaluator's answer information to the above-described question list. FIG. 12 is a diagram showing an example of a reply list generated by the security level evaluation apparatus according to the embodiment of the present invention in a table format.
The answer list shown in FIG. 12 includes a question ID for identifying each row of the answer list, a question template ID for identifying from which question template the question is generated, the question, and the security level evaluation target device satisfy the question content. And an answer that is an input result of whether or not. In the example shown in FIG. 12, “○” is input as an answer when the evaluator determines that the question content is satisfied, and “X” is input as an answer when the evaluator determines that the question content is not satisfied. Has been.
回答を入力した評価者が入力装置8を操作して回答の集計を要求すると(ステップS26)、回答集計部7は、セキュリティ対策リスト記憶部13に記憶されたセキュリティ対策リストと、質問テンプレートリスト記憶部14に記憶された質問テンプレートリストと、回答リスト記憶部16に記憶された回答リストとを取得する(ステップS27,S28)。
When the evaluator who inputs the answer operates the
回答集計部7は、取得した回答リストの回答結果と、取得済みのセキュリティ対策リストのインスタンスとセキュリティ対策と、重要度と、取得済みの質問テンプレートリストで定義された貢献度とを照らし合わせてレベル評価結果テーブルを生成する(ステップS29)。
The
レベル評価結果テーブルとは、セキュリティレベル評価対象装置のセキュリティレベルを表形式で纏めたものである。具体的には、セキュリティレベル評価対象装置の各インスタンスで実現されるべきセキュリティ対策と、当該セキュリティ対策の重要度と、当該セキュリティ対策がどれだけ有効であるかを貢献度で数値化した情報が関連付けられる。 The level evaluation result table is a table in which the security levels of the security level evaluation target devices are summarized in a table format. Specifically, the security measures that should be implemented in each instance of the security level evaluation target device, the importance of the security measures, and the information that quantifies the effectiveness of the security measures by the degree of contribution are related. It is done.
評価者は、このレベル評価結果テーブルを分析することで、セキュリティレベル評価対象装置のセキュリティレベルを知ることができるとともに、セキュリティレベル評価対象装置のどのインスタンスに何をすればセキュリティレベルを向上できるかを示す情報を得ることができる。 By analyzing this level evaluation result table, the evaluator can know the security level of the security level evaluation target device, and what should be done to which instance of the security level evaluation target device to improve the security level. Information can be obtained.
ここで、レベル評価結果テーブルの生成処理の詳細について説明する。図13は、本発明の実施形態にしたがったセキュリティレベル評価装置によるレベル評価結果テーブルの生成処理の一例を示すフローチャートである。
まず、回答集計部7は、生成済みのセキュリティ対策リストの未選択の最上段の行を選択して(ステップS71)、当該選択行のセキュリティ対策ID、インスタンス、セキュリティ対策、および重要度を取得する(ステップS72)。
Here, details of the generation processing of the level evaluation result table will be described. FIG. 13 is a flowchart showing an example of level evaluation result table generation processing by the security level evaluation apparatus according to the embodiment of the present invention.
First, the
回答集計部7は、この取り出したセキュリティ対策IDを引用した新規のID、インスタンス、セキュリティ対策および重要度でなる追記用情報を生成対象のレベル評価結果テーブルのフォーマットに追記する(ステップS73)。IDの初期定義値は「1」であり、新たな追記用情報の生成のたびに1増やして更新される。
The
回答集計部7は、回答リスト上の質問のうち、ステップS71の処理でセキュリティ対策リストから選択した行のインスタンスおよびセキュリティ対策をともに含む質問を回答リスト上で関連付けられる質問テンプレートIDや回答とともに取り出す(ステップS74)。
The
セキュリティ対策リストが図6に示した構成で質問テンプレートリストが図7に示した構成であって、セキュリティ対策リストの選択行が最上段の行である場合には、回答リスト上の質問のうち、当該選択行のインスタンス「個人情報入力画面」、およびセキュリティ対策「主体認証」をともに含む質問、つまり回答リストの最上段から4行分の質問が取り出される。 When the security countermeasure list is the configuration shown in FIG. 6 and the question template list is the configuration shown in FIG. 7 and the selected row of the security countermeasure list is the top row, among the questions on the answer list, Questions including both the instance “personal information input screen” of the selected row and the security measure “subject authentication”, that is, questions for four rows are extracted from the top row of the answer list.
回答集計部7は、回答リストから取り出した情報のうち、回答が「○」である情報の質問テンプレートIDを取得する(ステップS75)。
そして、回答集計部7は、この取得した質問テンプレートIDに質問テンプレートリスト上で対応する貢献度の定義値を評価軸ごとに集計し(ステップS76)、この集計値を最終的な貢献度の値としてレベル評価結果テーブルのフォーマット上の該当行に追記する(ステップS77)。
The
Then, the
回答リストが図12に示した構成で質問テンプレートリストが図7に示した構成である場合には、回答リストから取得した質問テンプレートIDは上4行分の「1」、「2」、「3」、「4」であって、これらのIDのうち回答が「○」である質問テンプレートIDは1、3、4行目の「1」、「3」、「4」である。よって、貢献度が関わる各評価軸のうち、網羅性の貢献度の合計は1となり、セキュリティ性の性質Aの貢献度の合計は0となり、性質Bの貢献度の合計は1となり、性質Cの貢献度の合計は1となり、性質Dの貢献度の合計は0.4となる。 When the answer list has the configuration shown in FIG. 12 and the question template list has the configuration shown in FIG. 7, the question template IDs acquired from the answer list are “1”, “2”, “3” for the top four lines. ”,“ 4 ”, and among these IDs, the question template IDs for which the answer is“ ◯ ”are“ 1 ”,“ 3 ”, and“ 4 ”in the first, third, and fourth lines. Therefore, among the evaluation axes related to the contribution, the total contribution of the comprehensiveness is 1, the total contribution of the security property A is 0, the total contribution of the property B is 1, and the property C The sum of contributions of 1 is 1, and the sum of contributions of property D is 0.4.
そして、回答集計部7は、セキュリティ対策リストに次の行が存在していれば(ステップS78のYES)、この行を選択し(ステップS79)、ステップS72の処理に戻る。
If the next line exists in the security countermeasure list (YES in step S78), the
また、回答集計部7は、セキュリティ対策リストに次の行が存在していなければ(ステップS78のNO)、レベル評価結果テーブルの生成を終了し、このレベル評価結果テーブルをレベル評価結果記憶部17に記憶する。
If the next line does not exist in the security countermeasure list (NO in step S78), the
図14は、本発明の実施形態にしたがったセキュリティレベル評価装置により生成したレベル評価結果テーブルの一例を表形式で示す図である。図14に示したレベル評価結果テーブルは、図6に示したセキュリティ対策リストと、図7に示した質問テンプレートリストと、図12に示した回答リストとを組み合わせて生成されたものである。 FIG. 14 is a table showing an example of a level evaluation result table generated by the security level evaluation apparatus according to the embodiment of the present invention. The level evaluation result table shown in FIG. 14 is generated by combining the security countermeasure list shown in FIG. 6, the question template list shown in FIG. 7, and the answer list shown in FIG.
このレベル評価結果テーブルでは、各インスタンスにおける各セキュリティ対策が網羅性とセキュリティ性とについてどの程度貢献しているかが、セキュリティ対策リストで定義された重要度と質問テンプレートリストで定義された貢献度の定義値とを利用して計算した貢献度で表される。 In this level evaluation result table, how much each security measure in each instance contributes to completeness and security is defined by the importance defined in the security measure list and the contribution defined in the question template list. It is expressed by the contribution calculated using the value.
また、回答集計部7は、レベル評価結果テーブルをもとに網羅性とセキュリティ性のセキュリティレベルをそれぞれ計算する(ステップS30,31)。
ここで、網羅性のセキュリティレベルの計算処理の詳細を説明する。図15は、本発明の実施形態にしたがったセキュリティレベル評価装置による網羅性のセキュリティレベルの計算処理の一例を示すフローチャートである。
図16は、本発明の実施形態にしたがったセキュリティレベル評価装置によるセキュリティ性のセキュリティレベルの計算処理の一例を示すフローチャートである。
まず、回答集計部7は、レベル評価結果テーブル上の各行の重要度を合算することで網羅性の最大貢献度を計算する(ステップS81)。
Further, the
Here, details of the calculation process of the security level of completeness will be described. FIG. 15 is a flowchart illustrating an example of a security level calculation process for completeness by the security level evaluation apparatus according to the embodiment of the present invention.
FIG. 16 is a flowchart illustrating an example of security level calculation processing by the security level evaluation apparatus according to the embodiment of the present invention.
First, the
そして、回答集計部7は、レベル評価結果テーブル上の行ごとに、重要度と網羅性の貢献度の値の積を計算して、各行の計算結果を合算することで網羅性の貢献度合計を求める(ステップS82)。
Then, the
貢献度合計とは、評価者が回答した結果を基に回答集計部7が計算した貢献度を評価軸ごと、または網羅性ごとまたはセキュリティ性ごとに合計した値であり、最大貢献度とは、質問すべてについて質問内容を満たしている場合の貢献度をセキュリティレベル評価対象装置が評価軸ごとまたは網羅性ごとまたはセキュリティ性ごとに合計した値である。
The total contribution is a value obtained by summing up the contribution calculated by the
回答集計部7は、網羅性の最大貢献度に対する網羅性の貢献度合計の割合を計算することで網羅性のセキュリティレベルを求め、この求めた結果をセキュリティレベル結果記憶部18に記憶する(ステップS83)。
The
レベル評価結果テーブルが図14に示した構成の場合、最大貢献度は「31」となり、貢献度合計は「25」となるので、網羅性のセキュリティレベルは約81%となる。 When the level evaluation result table has the configuration shown in FIG. 14, the maximum contribution level is “31” and the total contribution level is “25”, so the security level of completeness is about 81%.
次に、セキュリティ性のセキュリティレベルの計算処理の詳細を説明する。図16は、本発明の実施形態にしたがったセキュリティレベル評価装置によるセキュリティ性のセキュリティレベルの計算処理の一例を示すフローチャートである。
まず、回答集計部7は、レベル評価結果テーブル上のセキュリティ性に関わる評価軸の選択のループを開始する(ステップS91)。ここでは「性質A」が最初に選択され、以後、「性質B」、「性質C」、「性質D」が順に選択される。
Next, details of security level calculation processing will be described. FIG. 16 is a flowchart showing an example of security level calculation processing by the security level evaluation apparatus according to the embodiment of the present invention.
First, the
回答集計部7は、前述したように計算された網羅性の貢献度合計を取得し、この貢献度合計を各評価軸の最大貢献度とする(ステップS92)。
回答集計部7は、レベル評価結果テーブル上の行ごとに、同じ行の重要度とセキュリティ性の貢献度の定義値の積を計算して、この結果を合算することで各評価軸のセキュリティ性の貢献度合計を求め(ステップS93)、次の評価軸の処理に移る(ステップS934。
The
For each row in the level evaluation result table, the
レベル評価結果テーブルが14に示した構成の場合、セキュリティレベル性の第1の評価軸である「性質A」の貢献度合計は「20」となり、第2の評価軸である「性質B」の貢献度合計は「25」となり、第3の評価軸である「性質C」の貢献度合計は「20」となり、第4の評価軸である「性質D」の貢献度合計は「21」となる。 When the level evaluation result table has the configuration shown in 14, the total contribution of “property A” that is the first evaluation axis of the security level is “20”, and “property B” that is the second evaluation axis. The total contribution is “25”, the total contribution of “property C” as the third evaluation axis is “20”, and the total contribution of “property D” as the fourth evaluation axis is “21”. Become.
各評価軸についてステップS92,S93の処理がなされると、回答集計部7は、各評価軸の最大貢献度を集計して、セキュリティ性の最大貢献度を求める(ステップS95)。
さらに、回答集計部7は、各評価軸の貢献度合計を集計して、セキュリティ性の貢献度合計を求める(ステップS96)。
When the processing of steps S92 and S93 is performed for each evaluation axis, the
Furthermore, the
そして、回答集計部7は、セキュリティ性の最大貢献度に対するセキュリティ性の貢献度合計の割合を計算することで、セキュリティ性のセキュリティレベルを求め、この求めた結果をセキュリティレベル結果記憶部18に記憶する(ステップS97)。
Then, the
レベル評価結果テーブルが14に示した構成の場合、各評価軸の最大貢献度の和であるセキュリティ性の最大貢献度は「100」となり、各評価軸の貢献度合計の和は「86」となるので、セキュリティ性のセキュリティレベルは86%となる。 When the level evaluation result table has the configuration shown in 14, the maximum security contribution that is the sum of the maximum contributions of each evaluation axis is “100”, and the sum of the contributions of each evaluation axis is “86”. Therefore, the security level of security is 86%.
図17は、本発明の実施形態にしたがったセキュリティレベル評価装置による網羅性とセキュリティ性とのセキュリティレベルの計算結果の一例を表形式で示す図である。
図17に示した例は、図16に示したレベル評価結果テーブルの情報から、網羅性とセキュリティ性とのそれぞれについて、貢献度合計と最大貢献度とを求められてセキュリティレベルが計算されたものである。
FIG. 17 is a diagram showing an example of a security level calculation result of coverage and security by the security level evaluation apparatus according to the embodiment of the present invention in a table format.
In the example shown in FIG. 17, the security level is calculated by calculating the total contribution and the maximum contribution for each of the completeness and security from the information of the level evaluation result table shown in FIG. It is.
回答集計部7は、生成済みのレベル評価結果テーブルと、網羅性とセキュリティ性とのセキュリティレベルとを表示装置9に表示することで評価者に提示する(ステップS32)。
The
図18は、本発明の実施形態にしたがったセキュリティレベル評価装置により生成した網羅性のレーダーチャートの一例を示す図である。
図19は、本発明の実施形態にしたがったセキュリティレベル評価装置によるにより生成したセキュリティ性のレーダーチャートの一例を示す図である。
図18は、図16で示したレベル評価結果テーブルにおいて、網羅性についての貢献度をセキュリティ対策ごとに集計し、当該セキュリティ対策についての最大貢献度に対する割合をレーダーチャートで表したものである。図19は、図16で示したレベル評価結果テーブルにおいて、セキュリティ性についての貢献度を評価軸ごとに集計し、当該評価軸についての最大貢献度に対する割合をレーダーチャートで表したものである。
レーダーチャートなどのグラフを利用することで、評価者はセキュリティレベルやセキュリティレベル評価対象装置でセキュリティ対策が不足している部分をより直感的に把握できる。
FIG. 18 is a diagram showing an example of a radar chart of completeness generated by the security level evaluation apparatus according to the embodiment of the present invention.
FIG. 19 is a diagram showing an example of a security radar chart generated by the security level evaluation apparatus according to the embodiment of the present invention.
FIG. 18 is a table in which contributions with respect to comprehensiveness are tabulated for each security measure in the level evaluation result table shown in FIG. 16, and a ratio to the maximum contribution with respect to the security measure is represented by a radar chart. FIG. 19 shows the level evaluation result table shown in FIG. 16, in which contributions regarding security are tabulated for each evaluation axis, and the ratio of the evaluation axis to the maximum contribution is represented by a radar chart.
By using a graph such as a radar chart, the evaluator can more intuitively grasp the security level and the portion of the security level evaluation target device that lacks security measures.
以上のように、本発明の実施形態にしたがったセキュリティレベル評価装置では、評価者への質問の雛形を含む質問テンプレートリストを各質問に対するセキュリティ対策の網羅性およびセキュリティ性の貢献度の定義値とともに予め定義しておき、この質問テンプレートリストとセキュリティ対策リストをもとに質問リストを生成し、当該質問リストの回答を加えた回答リスト、セキュリティ対策リストおよび質問テンプレートリスト上の貢献度の定義値をもとに、網羅性およびセキュリティ性のセキュリティレベルを計算する。よって、セキュリティ対策が適切なバランスで配備されているかの評価だけではなく、個々のセキュリティ対策が適切に実現されているかをより正確に評価できる。 As described above, in the security level evaluation apparatus according to the embodiment of the present invention, the question template list including a template of questions to the evaluator is displayed together with the definition values of the comprehensiveness of security measures and the contribution degree of security for each question. Create a question list based on this question template list and security countermeasure list in advance, and define the contribution value on the answer list, security countermeasure list, and question template list to which the answers of the question list are added. Based on the above, calculate the security level of completeness and security. Therefore, it is possible not only to evaluate whether security measures are deployed in an appropriate balance, but to more accurately evaluate whether individual security measures are properly realized.
また、このセキュリティレベル評価装置では、基本モデルを予め定義しておき、この基本モデルとインスタンスリストをもとにセキュリティ対策リストを生成するので、セキュリティ対策リスト自体の生成が評価者にとって容易となる。よって、評価者が精通していないシステムや機器構成についてのセキュリティレベルの評価の精度が向上する。 In this security level evaluation apparatus, since a basic model is defined in advance and a security countermeasure list is generated based on the basic model and the instance list, it is easy for the evaluator to generate the security countermeasure list itself. Therefore, the accuracy of security level evaluation for systems and device configurations that are not familiar to the evaluator is improved.
なお、セキュリティレベル評価対象装置としては、例えば、Webアプリケーション、クライアントサーバシステム、これらを複合的に組み合わせた情報システムが挙げられる。また情報システムだけに囚われず、例えば、サーバルーム、企業組織など情報システム以外を評価対象としてもよい。 Examples of the security level evaluation target device include a Web application, a client server system, and an information system in which these are combined. Moreover, it is not restricted to only an information system, For example, it is good also considering an object other than information systems, such as a server room and a corporate organization.
また、評価者については、1人でも複数人でもよく、また、セキュリティレベル評価対象装置のセキュリティレベル評価において人と同様に振舞うエージェントのようなものでもよい。また、基本モデルにおける重要度の定義の方法については、本実施形態で制限するものではなく、例えば0から1までの数値で定義してもよい。 Further, the evaluator may be one person or a plurality of persons, or may be an agent that behaves like a person in the security level evaluation of the security level evaluation target device. Further, the method of defining the importance in the basic model is not limited in the present embodiment, and may be defined by a numerical value from 0 to 1, for example.
また、基本モデルの構成要素は機能構成だけではなく、ハードウェアなどを構成要素としてもよい。また、インスタンスリストのインスタンスは、画面だけではなく、例えば装置、機能を定義してもよい。
また、質問テンプレートリストにおける貢献度の定義の方法については、本実施形態で制限するものではなく、例えば0から10までの10段階で数値を指定してもよい。
Further, the components of the basic model may be not only functional configurations but also hardware or the like. Further, an instance of the instance list may define not only a screen but also, for example, a device and a function.
Further, the method of defining the contribution in the question template list is not limited in the present embodiment, and for example, numerical values may be designated in 10 levels from 0 to 10.
また、評価者が質問内容を満たしているかを判定する方法については、本実施形態で制限するものではなく、例えば実際にセキュリティレベル評価対象装置を操作して判定する、およびセキュリティレベル評価対象装置のマニュアルや仕様書を見て判定することなどが挙げられる。 In addition, the method for determining whether the evaluator satisfies the question content is not limited in the present embodiment, for example, by actually operating the security level evaluation target device and determining the security level evaluation target device. For example, judging by looking at manuals and specifications.
また、セキュリティレベルの表現方法については、図17で示したような百分率を利用した表現だけではなく、閾値を利用して5段階評価で表現するなど他の表現方法を利用してもよい。 As for the expression method of the security level, not only the expression using the percentage as shown in FIG. 17, but also other expression methods such as expression with a five-level evaluation using a threshold value may be used.
また、各記憶部における情報の記憶方法については、本実施形態で制限するものではなく、それぞれの記憶部で指定した情報以外の情報を含んでもよい。例えば、各リストにIDを割り振ることで、複数の評価者が同時にセキュリティレベル評価装置を利用できるようにすることなどが挙げられる。 In addition, the information storage method in each storage unit is not limited in the present embodiment, and information other than information specified in each storage unit may be included. For example, by assigning an ID to each list, a plurality of evaluators can use the security level evaluation apparatus at the same time.
なお、この発明は前記実施形態そのままに限定されるものではなく実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、前記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を省略してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。 The present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be omitted from all the components shown in the embodiment. Furthermore, you may combine suitably the component covering different embodiment.
1…基本モデル選択部、2…記憶装置、3…インスタンス入力部、4…セキュリティ対策リスト生成部、5…質問リスト生成部、6…回答入力部、7…回答集計部、8…入力装置、9…表示装置、10…バス、11…基本モデル記憶部、12…インスタンスリスト記憶部、13…セキュリティ対策リスト記憶部、14…質問テンプレートリスト記憶部、15…質問リスト記憶部、16…回答リスト記憶部、17…レベル評価結果記憶部、18…セキュリティレベル結果記憶部。
DESCRIPTION OF
Claims (4)
前記セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の雛形に、前記セキュリティレベル評価対象装置の各評価要素についての各セキュリティ対策事項の実現の網羅性の貢献度の定義値および当該セキュリティ対策事項が実現されている場合の有効性を示すセキュリティ性の貢献度の定義値を関連付けたテンプレート情報を記憶するテンプレート記憶手段と、
前記取得手段により取得したセキュリティ対策情報において関連付けられる前記評価要素および前記セキュリティ対策事項を前記テンプレート情報の質問項目の雛形に反映させることで、前記セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の一覧である質問リストを生成する質問リスト生成手段と、
前記質問リスト生成手段により生成した質問リストにおける各質問事項への回答の入力を受け付ける回答入力手段と、
前記セキュリティ対策情報における前記各評価要素および当該評価要素に関連付けられる前記セキュリティ対策事項の組み合わせについて、前記質問リストにおける前記組み合わせが含まれる質問事項の生成のために用いられた前記テンプレート情報上の雛形に対して当該テンプレート情報上で関連付けられる網羅性の貢献度の定義値、セキュリティ性の貢献度の定義値および前記質問事項への回答の入力結果をもとに、前記組み合わせのセキュリティ対策事項の網羅性への貢献度およびセキュリティ性への貢献度を計算することで、前記セキュリティレベル評価対象装置のセキュリティレベル評価情報を生成するレベル評価情報生成手段と
を備えたことを特徴とするセキュリティレベル評価装置。 An acquisition means for acquiring security countermeasure information in which each evaluation element of the security level evaluation target device and each security countermeasure item to be realized for the evaluation element are associated;
A definition value of the degree of contribution of the coverage of the implementation of each security countermeasure item for each evaluation element of the security level evaluation target device and a template of the question items used for the security level evaluation of the security level evaluation target device and the security Template storage means for storing template information associated with definition values of security contributions indicating effectiveness when countermeasures are realized;
A question used for evaluating the security level of the security level evaluation target device by reflecting the evaluation element and the security countermeasure item associated in the security countermeasure information acquired by the acquiring unit in the template of the question item of the template information. A question list generation means for generating a question list which is a list of matters;
An answer input means for accepting an input of an answer to each question item in the question list generated by the question list generating means;
About the combination of each evaluation element in the security countermeasure information and the security countermeasure item associated with the evaluation element, the template on the template information used for generating the question item including the combination in the question list On the other hand, the comprehensiveness of the security countermeasure items of the above combination based on the definition value of the contribution level of comprehensiveness, the defined value of the contribution level of security, and the input result of the answer to the questionnaire, which are associated with the template information. A security level evaluation apparatus comprising level evaluation information generation means for generating security level evaluation information of the security level evaluation target apparatus by calculating a contribution level to the security level and a contribution level to security.
前記基本モデルの構成要素に該当する前記セキュリティ評価対象装置の評価要素の入力を受け付ける評価要素入力手段と、
前記基本モデルにおける構成要素を前記入力した評価要素に置換することで前記セキュリティ対策リストを生成するセキュリティ対策リスト生成手段と、
前記セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の雛形に、前記セキュリティレベル評価対象装置の各評価要素についての各セキュリティ対策事項の実現の網羅性の貢献度の定義値および当該セキュリティ対策事項が実現されている場合の有効性を示すセキュリティ性の貢献度の定義値を関連付けたテンプレート情報を記憶するテンプレート記憶手段と、
前記セキュリティ対策リスト生成手段により生成したセキュリティ対策情報において関連付けられる前記評価要素および前記セキュリティ対策事項を前記テンプレート情報の質問項目の雛形に反映させることで、前記セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の一覧である質問リストを生成する質問リスト生成手段と、
前記質問リスト生成手段により生成した質問リストにおける各質問事項への回答の入力を受け付ける回答入力手段と、
前記セキュリティ対策情報における前記各評価要素および当該評価要素に関連付けられる前記セキュリティ対策事項の組み合わせについて、前記質問リストにおける前記組み合わせが含まれる質問事項の生成のために用いられた前記テンプレート情報上の前記雛形に対して当該テンプレート情報上で関連付けられる網羅性の貢献度の定義値、セキュリティ性の貢献度の定義値および前記質問事項への回答の入力結果をもとに、前記組み合わせのセキュリティ対策事項の網羅性への貢献度およびセキュリティ性への貢献度を計算することで、前記セキュリティレベル評価対象装置のセキュリティレベル評価情報を生成するレベル評価情報生成手段と
を備えたことを特徴とするセキュリティレベル評価装置。 Basic model storage means for storing a basic model associating a component of a model of a security level evaluation target device, a security countermeasure matter to be realized for the component,
An evaluation element input means for receiving an input of an evaluation element of the security evaluation target device corresponding to a component of the basic model;
Security countermeasure list generating means for generating the security countermeasure list by replacing components in the basic model with the input evaluation elements;
A definition value of the degree of contribution of the coverage of the implementation of each security countermeasure item for each evaluation element of the security level evaluation target device and a template of the question items used for the security level evaluation of the security level evaluation target device and the security Template storage means for storing template information associated with definition values of security contributions indicating effectiveness when countermeasures are realized;
By reflecting the evaluation elements and the security countermeasure items associated in the security countermeasure information generated by the security countermeasure list generating means in the template of the question items of the template information, it is possible to evaluate the security level of the security level evaluation target device. A question list generating means for generating a question list which is a list of questions to be used;
An answer input means for accepting an input of an answer to each question item in the question list generated by the question list generating means;
About the combination of each evaluation element in the security countermeasure information and the security countermeasure item associated with the evaluation element, the template on the template information used for generating the question item including the combination in the question list Coverage of the security measures for the combination based on the definition value of the contribution level of comprehensiveness, the definition value of the contribution level of security, and the input result of the answer to the question. Security level evaluation apparatus comprising level evaluation information generation means for generating security level evaluation information of the security level evaluation target apparatus by calculating a contribution to security and a contribution to security .
ことを特徴とする請求項1に記載のセキュリティレベル評価装置。 The security level evaluation apparatus according to claim 1, wherein the definition value of the security contribution degree in the template information is defined for each of a plurality of properties of the security subordinate concept.
前記セキュリティレベル評価対象装置の各評価要素および当該評価要素についての各セキュリティ対策事項を関連付けたセキュリティ対策情報を取得する取得手段、
前記取得手段により取得したセキュリティ対策情報において関連付けられる前記評価要素および前記セキュリティ対策事項を前記テンプレート情報の質問項目の雛形に反映させることで、前記セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の一覧である質問リストを生成する質問リスト生成手段、
前記質問リスト生成手段により生成した質問リストにおける各質問事項への回答の入力を受け付ける回答入力手段、および
前記セキュリティ対策情報における前記各評価要素および当該評価要素に関連付けられる前記セキュリティ対策事項の組み合わせについて、前記質問リストにおける前記組み合わせが含まれる質問事項の生成のために用いられた前記テンプレート情報上の前記雛形に対して当該テンプレート情報上で関連付けられる網羅性の貢献度の定義値、セキュリティ性の貢献度の定義値および前記質問事項への回答の入力結果をもとに、前記組み合わせのセキュリティ対策事項の網羅性への貢献度およびセキュリティ性への貢献度を計算することで、前記セキュリティレベル評価対象装置のセキュリティレベル評価情報を生成するレベル評価情報生成手段
として機能させるようにしたコンピュータ読み取り可能なセキュリティレベル評価プログラム。 In the template of the questions to be used for the security level evaluation of the security level evaluation target device, the definition value of the contribution degree of completeness of the implementation of each security countermeasure item to be realized for each evaluation element of the security level evaluation target device, and A computer comprising template storage means for storing template information that associates definition values of security contributions indicating effectiveness when the security countermeasure items are realized,
Acquisition means for acquiring security measure information in which each evaluation element of the security level evaluation target device and each security measure item for the evaluation element are associated;
A question used for evaluating the security level of the security level evaluation target device by reflecting the evaluation element and the security countermeasure item associated in the security countermeasure information acquired by the acquiring unit in the template of the question item of the template information. A question list generating means for generating a question list which is a list of matters,
Answer input means for accepting input of an answer to each question item in the question list generated by the question list generation means, and each security element in the security countermeasure information and a combination of the security countermeasure items associated with the evaluation element, The definition value of the contribution level of comprehensiveness associated with the template information on the template information used for generating the question items including the combination in the question list, the contribution level of security The security level evaluation target device by calculating the contribution to the comprehensiveness and the contribution to the security of the security countermeasure items of the combination based on the input value of the definition value and the answer to the question The security level evaluation information of A computer-readable security level evaluation program configured to function as level evaluation information generation means.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007317598A JP4607943B2 (en) | 2007-12-07 | 2007-12-07 | Security level evaluation apparatus and security level evaluation program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007317598A JP4607943B2 (en) | 2007-12-07 | 2007-12-07 | Security level evaluation apparatus and security level evaluation program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009140362A true JP2009140362A (en) | 2009-06-25 |
| JP4607943B2 JP4607943B2 (en) | 2011-01-05 |
Family
ID=40870879
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007317598A Active JP4607943B2 (en) | 2007-12-07 | 2007-12-07 | Security level evaluation apparatus and security level evaluation program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4607943B2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010211657A (en) * | 2009-03-12 | 2010-09-24 | Mitsubishi Electric Information Systems Corp | Security evaluation apparatus, method and program |
| JP2013141949A (en) * | 2012-01-12 | 2013-07-22 | Denso Corp | On-vehicle system and relay device |
| KR20200075429A (en) * | 2018-12-18 | 2020-06-26 | 대한민국(환경부 화학물질안전원장) | System of security level assessment for chemcial facility |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001101135A (en) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | Method and device for evaluating security and method and device for aiding preparation of security measure |
| JP2002024526A (en) * | 2000-07-10 | 2002-01-25 | Mitsubishi Electric Corp | Device for evaluating information security, method for the same and recording medium with information security evaluation program recorded |
| JP2002247033A (en) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | Security management system |
| JP2004126874A (en) * | 2002-10-01 | 2004-04-22 | Nec Corp | Security level diagnostic method, diagnostic program, diagnostic device, and diagnostic system for public server |
| JP2005135239A (en) * | 2003-10-31 | 2005-05-26 | Fujitsu Social Science Laboratory Ltd | Information security management program, device and method |
| JP2007226618A (en) * | 2006-02-24 | 2007-09-06 | Fuji Xerox Co Ltd | Social research design unit and method |
-
2007
- 2007-12-07 JP JP2007317598A patent/JP4607943B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001101135A (en) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | Method and device for evaluating security and method and device for aiding preparation of security measure |
| JP2002024526A (en) * | 2000-07-10 | 2002-01-25 | Mitsubishi Electric Corp | Device for evaluating information security, method for the same and recording medium with information security evaluation program recorded |
| JP2002247033A (en) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | Security management system |
| JP2004126874A (en) * | 2002-10-01 | 2004-04-22 | Nec Corp | Security level diagnostic method, diagnostic program, diagnostic device, and diagnostic system for public server |
| JP2005135239A (en) * | 2003-10-31 | 2005-05-26 | Fujitsu Social Science Laboratory Ltd | Information security management program, device and method |
| JP2007226618A (en) * | 2006-02-24 | 2007-09-06 | Fuji Xerox Co Ltd | Social research design unit and method |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010211657A (en) * | 2009-03-12 | 2010-09-24 | Mitsubishi Electric Information Systems Corp | Security evaluation apparatus, method and program |
| JP2013141949A (en) * | 2012-01-12 | 2013-07-22 | Denso Corp | On-vehicle system and relay device |
| KR20200075429A (en) * | 2018-12-18 | 2020-06-26 | 대한민국(환경부 화학물질안전원장) | System of security level assessment for chemcial facility |
| KR102239376B1 (en) * | 2018-12-18 | 2021-04-12 | 대한민국 | System of security level assessment for chemcial facility |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4607943B2 (en) | 2011-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lempert | Robust decision making (RDM) | |
| Xu et al. | Analytic provenance for sensemaking: A research agenda | |
| Rijsdijk et al. | Understanding a two‐sided coin: Antecedents and consequences of a decomposed product advantage | |
| Jennex et al. | A knowledge management success model: An extension of DeLone and McLean's IS success model | |
| Brookes | Crisis, confidence and collectivity: Responding to the new public leadership challenge | |
| US10887338B2 (en) | Creating notes on lock screen | |
| US8799796B2 (en) | System and method for generating graphical dashboards with drill down navigation | |
| Nasab et al. | A delphi study of the important factors for BI system implementation in the public sector organizations | |
| CN104881350B (en) | For determining user experience and assisting the method and apparatus for determining user experience | |
| WO2016205152A1 (en) | Project management with critical path scheduling and releasing of resources | |
| Rahman et al. | The experimental hand: How platform-based experimentation reconfigures worker autonomy | |
| JP4607943B2 (en) | Security level evaluation apparatus and security level evaluation program | |
| Chiam et al. | Applying a selection method to choose Quality Attribute Techniques | |
| JP2010186283A (en) | Information processor, information processing method, and information processing program | |
| EP3834079A1 (en) | Multi-question multi-answer configuration | |
| Al-rousan et al. | A New Maturity Model for the Implementation of Software Process Improvement in Web-Based Projects. | |
| EP1959382A1 (en) | Organisation representational system | |
| Beck | Evaluating human-computer interfaces for specification and comprehension of transient behavior in microservice-based software systems | |
| Davies et al. | The Theory of constraints and system dynamics: A suitable case for multi-methodology | |
| Saroja et al. | Functional and Non‐Functional Requirements in Agile Software Development | |
| Salmela et al. | Micro-level legitimacy in new industry creation–the role of media in legitimacy construction | |
| Rodríguez et al. | A framework for positioning and assessing innovation capability from an organizational perspective | |
| JP7412585B1 (en) | Logic model creation support device, logic model creation support method, and logic model creation support program | |
| US9195731B2 (en) | System and method for data provision | |
| JP7390337B2 (en) | Digital solution selection device and method for selecting digital solutions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100518 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100720 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100914 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101007 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4607943 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131015 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |