JP2011232874A - Method and device for information security management supporting - Google Patents
Method and device for information security management supporting Download PDFInfo
- Publication number
- JP2011232874A JP2011232874A JP2010101121A JP2010101121A JP2011232874A JP 2011232874 A JP2011232874 A JP 2011232874A JP 2010101121 A JP2010101121 A JP 2010101121A JP 2010101121 A JP2010101121 A JP 2010101121A JP 2011232874 A JP2011232874 A JP 2011232874A
- Authority
- JP
- Japan
- Prior art keywords
- data
- control flow
- activity
- control
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 117
- 230000000694 effects Effects 0.000 claims abstract description 251
- 230000006870 function Effects 0.000 claims abstract description 153
- 238000011156 evaluation Methods 0.000 claims description 76
- 238000007726 management method Methods 0.000 claims description 74
- 230000000875 corresponding effect Effects 0.000 claims description 43
- 238000013500 data storage Methods 0.000 claims description 36
- 239000013643 reference control Substances 0.000 claims description 14
- 230000002950 deficient Effects 0.000 claims description 5
- 230000007812 deficiency Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 62
- 238000012937 correction Methods 0.000 description 50
- 238000010586 diagram Methods 0.000 description 43
- 238000012545 processing Methods 0.000 description 41
- 238000005259 measurement Methods 0.000 description 33
- 238000000605 extraction Methods 0.000 description 31
- 238000013468 resource allocation Methods 0.000 description 20
- 238000012986 modification Methods 0.000 description 16
- 230000004048 modification Effects 0.000 description 16
- 238000012790 confirmation Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 8
- 230000006872 improvement Effects 0.000 description 8
- 239000000284 extract Substances 0.000 description 7
- 125000004122 cyclic group Chemical group 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000000052 comparative effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本技術は、情報セキュリティ管理支援技術に関する。 This technology relates to information security management support technology.
例えば、PC(Personal Computer)の事業所外への持出し管理基準に準じたセキュリティ対策の有効性評価及び改善を行う場合を想定する。例えば図1に示すような管理基準が文章で用意されているものとする。このような場合、事業所内の各部署では、このような管理基準を解釈して、(1)指標作成、(2)測定対象設定、(3)設定、(4)測定、(5)評価、(6)改善という手順を人手で行うことになる。しかしながら、図1からも分かるように管理基準自体が様々な点において曖昧で、且つこのような作業がこれらの作業を行う人の経験などに依存しており、どのような指標を作成すべきなのか、測定対象としてどのようなものが適切なのかがよく分からず、結果として評価及び改善がなかなかうまく進まないという問題がある。特に、管理基準自体が常識として取り扱っている部分については、経験がある人間でないと気付かない事項が存在したり、経験がないと上で述べた手順を何回も繰り返さなければ適切な指標を選定できない、測定対象も設定できないという問題は、効率上非常に大きな問題となる。 For example, a case is assumed in which the effectiveness evaluation and improvement of security measures are performed in accordance with the management standard for taking out a PC (Personal Computer) outside the office. For example, it is assumed that a management standard as shown in FIG. In such a case, each department in the office interprets such a management standard, and (1) index creation, (2) measurement object setting, (3) setting, (4) measurement, (5) evaluation, (6) The procedure of improvement is performed manually. However, as can be seen from FIG. 1, the management standard itself is ambiguous in various points, and such work depends on the experience of the person who performs these work, and what kind of index should be created. However, there is a problem that it is difficult to know what is appropriate as a measurement target, and as a result, evaluation and improvement do not progress well. In particular, for the part that the management standard itself treats as common sense, there are matters that are not noticeable unless you are an experienced person, or if you do not have experience, select the appropriate indicator unless you repeat the procedure described above many times. The problem that the measurement target cannot be set is a very large problem in terms of efficiency.
なお、IDEF(ICAM(Integrated Computer Aided Manufacturing) DEFinition)は、企業活動の様々な特性を、簡明かつ正確に分析し、伝達する手法であり、図表化の技術である。IDEF方法論は、表現しようとする特性毎に追番が付され整理されており、現在16の対象が選定されている。このうち、IDEF0、IDEFxはFIPS(Federal Information Processing Standards:連邦情報処理標準)として標準化され、広く活用されている。そして、IDEF0は、製造プロセスや事業プロセスを、機能と物(物体・情報・人・金銭などを含む)の関連で捉え、ボックスと矢印線を用い、階層的に記述する方法である。IDEF0については、以下のような文献が存在している。 IDEF (ICAM (Integrated Computer Aided Manufacturing) DEFinition) is a technique for graphically analyzing and transmitting various characteristics of corporate activities in a simple and accurate manner. The IDEF methodology is arranged and numbered for each characteristic to be expressed, and currently 16 targets are selected. Of these, IDEF0 and IDEFx are standardized as FIPS (Federal Information Processing Standards) and are widely used. IDEF0 is a method of describing manufacturing processes and business processes in a hierarchical manner using boxes and arrow lines, taking the relationship between functions and objects (including objects, information, people, money, etc.). The following documents exist for IDEF0.
上で述べたように、管理基準に準じたセキュリティ対策の有効性評価及び改善のためのこれまでの作業は、評価指標の選定などの妥当性を客観的に判断できず、全体としても非効率になっている。 As described above, the effectiveness of security measures in accordance with management standards and the previous work for improvement cannot be objectively judged on the appropriateness of selection of evaluation indicators, etc. It has become.
従って、本技術の目的は、管理基準に準じたセキュリティ対策を実施する上で必要な作業を効率化するための技術を提供することである。 Accordingly, an object of the present technology is to provide a technology for improving the efficiency of work necessary for implementing security measures in accordance with management standards.
本情報セキュリティ管理支援方法は、(A)情報セキュリティ管理基準を基にIDEF0をベースとする所定のモデル記法に従って作成された統制フローについてのデータを格納する第1統制フロー格納部に格納された統制フローについてのデータと、統制ルール格納部に格納されており且つ所定のモデル記法に従って予め作成されているルールデータを比較する比較ステップと、(B)ルールデータに含まれる機能又はアクティビティ、並びに機能又はアクティビティの入力データ、出力データ、リソースデータ、ガバナンス条件データ及びイベント条件データのうち、比較ステップによって統制フローについてのデータにおいて不足している判定されたデータを特定する特定ステップと、(C)特定ステップによって特定されたデータを、ユーザに対して提示する提示ステップとを含む。 This information security management support method includes (A) a control stored in a first control flow storage unit that stores data on a control flow created according to a predetermined model notation based on IDEF0 based on information security management standards. A comparison step of comparing the data about the flow with the rule data stored in the control rule storage unit and created in advance according to a predetermined model notation, and (B) a function or activity included in the rule data, and a function or A specific step of identifying, among the input data of the activity, the output data, the resource data, the governance condition data, and the event condition data, data determined to be insufficient in the data regarding the control flow by the comparison step; and (C) a specific step The data identified by And a presentation step of presenting to the user.
管理基準に準じたセキュリティ対策を実施する上で必要な作業を効率化することができる。 The work required for implementing security measures in accordance with the management standards can be made more efficient.
本技術の実施の形態に係る情報セキュリティ管理支援システムの機能ブロック図を図2に示す。本情報セキュリティ管理支援システム100は、統制ルール格納部110と、統制フロー編集部120と、統制ルール割当部130と、第1統制フロー格納部140と、統制リソース編集部150と、統制リソースデータ格納部160と、統制リソース割当部170と、第2統制フロー格納部180と、モニタ項目抽出部190と、評価指標候補データ格納部200とを有する。
FIG. 2 shows a functional block diagram of the information security management support system according to the embodiment of the present technology. The information security
統制フロー編集部120は、ユーザからの指示に応じて統制フローを作成・編集して第1統制フロー格納部140に格納する。統制ルール割当部130は、統制ルール格納部110に格納されているデータと第1統制フロー格納部140に格納されているデータとを用いて処理を行い、必要があれば統制フロー編集部120と連携して、統制フローの修正をユーザに促す。第1統制フロー格納部140には、最終的に基準の統制フロー(ToBe)のデータが格納される。
The control
統制リソース編集部150は、ユーザからの指示に応じて統制リソースのデータを作成・編集し、統制リソースデータ格納部160に格納する。統制リソース割当部170は、統制リソースデータ格納部160に格納されているデータと第1統制フロー格納部140に格納されているデータを用いて処理を行い、現状の統制フロー(AsIs)のデータを生成して、第2統制フロー格納部180に格納する。また、統制リソース割当部170は、統制フロー編集部120と連携して動作する。
The control
モニタ項目抽出部190は、第2統制フロー格納部180に格納されているデータと統制ルール格納部110に格納されているデータと第1統制フロー格納部140に格納されているデータとを用いて処理を行い、評価指標候補を抽出して、評価指標候補データ格納部200に格納する。
The monitor
なお、第1統制フロー格納部140及び第2統制フロー格納部180に格納されている統制フローのデータについては、例えば統制フロー編集部120によりユーザに対して提示するものとする。また、評価指標候補データ格納部200に格納されているデータについては、例えばモニタ項目抽出部190によりユーザに提示するものとする。
Note that the control flow data stored in the first control
次に、図4乃至図6に、統制ルール格納部110に予め格納される統制ルールについてのデータの一例を示す。統制ルールは、所定レベル以上のスキル及び経験を有するユーザが、以下で述べる処理において用いるために予め用意するデータである。
Next, FIG. 4 to FIG. 6 show an example of data regarding the control rules stored in advance in the control
本実施の形態では、情報セキュリティ管理上行うべき手順をモデルに当てはめてゆき、当該手順上の機能、主体、入出力及び条件を明確にする。モデルの表記には、IDEF0を拡張したESG−IDEF0という記法を採用するものとする。具体的には、図3に示すように、矩形でアクティビティを表す。アクティビティには、制約アクティビティと業務アクティビティとが含まれ、業務アクティビティについては「B」(Businessを表す)を付すものとする。また、アクティビティの矩形上方からの矢印は、当該アクティビティとは異なる管理レイヤ(セキュリティ統制の体制に基づく階層)からのデータフロー(ガバナンスデータフロー)を表し、このデータフローについての条件データが示される。さらに、アクティビティの矩形の左側からの矢印は、アクティビティと同じ管理レイヤのデータフローを表しており、実線の矢印は入力データを表し、二点鎖線の矢印は条件データを表す。また、アクティビティの矩形の右側への矢印は、出力データを表す。さらに、アクティビティの矩形の下側からの矢印は、リソース割当を表し、リソースのデータが示される。 In this embodiment, a procedure to be performed for information security management is applied to a model, and functions, subjects, inputs / outputs and conditions on the procedure are clarified. The notation of ESG-IDEF0, which is an extension of IDEF0, is adopted for the model notation. Specifically, as shown in FIG. 3, the activity is represented by a rectangle. The activity includes a constraint activity and a business activity, and “B” (representing Business) is attached to the business activity. An arrow from above the activity rectangle represents a data flow (governance data flow) from a management layer (hierarchy based on the security control system) different from the activity, and condition data for this data flow is shown. Further, the arrow from the left side of the activity rectangle represents the data flow of the same management layer as the activity, the solid line arrow represents the input data, and the two-dot chain line arrow represents the condition data. An arrow to the right side of the activity rectangle represents output data. Furthermore, an arrow from the lower side of the activity rectangle represents resource allocation, and resource data is indicated.
本実施の形態では、アクティビティを縦軸方向に連結することによって、統制や依存関係を表す。また、アクティビティを横軸方向に連結することによって、ワークフローを表す。具体的には、動作の流れや依存関係を表す。 In the present embodiment, the activities and the dependency relationships are represented by connecting the activities in the vertical axis direction. A workflow is represented by connecting activities in the horizontal axis direction. Specifically, it represents the flow of operation and dependency.
このような前提の下、第1の統制ルールとして、情報セキュリティ管理に必要な機能定義表として図4に示すようなデータが、統制ルール格納部110に用意される。
Under such a premise, data as shown in FIG. 4 is prepared in the control
図4の例では、機能毎に、機能名と、アクティビティと、入力と、出力と、ガバナンス上の条件と、リソースとを登録するようになっている。なお、機能名には一般名称を登録し、アクティビティについては基準書や現場で用いられる呼称のバリエーションを登録しておく。また、機能のうち業務に相当するものは「B」マークを付すこととする。出力のうち条件処理結果に相当するものは「C」(check)マークを付すこととする。図4において、「データ1(データ2)」形式の表記については、「データ1」は、データを含む実体(媒体)を固有名詞で示し、一般名詞の場合には<>で示すものとする。また、「データ2」は、データ(要素)を示し、要素が集まった集合名詞の場合には<>で示すものとする。例えば「(<結果>[許可/不許可、承認対象名])」については、「データ1」は存在しておらず、「結果」が要素の集合を表しており、その具体的内容は[許可/不許可、承認対象名]であることを示している。さらに、「リソース」については、統制上主体となるべき役職を記述するものとする。
In the example of FIG. 4, for each function, a function name, an activity, an input, an output, a governance condition, and a resource are registered. A general name is registered as the function name, and a standard document or a variation of the name used in the field is registered as the activity name. In addition, among the functions, those corresponding to business are given a “B” mark. The output corresponding to the condition processing result is given a “C” (check) mark. In FIG. 4, regarding the notation in the “data 1 (data 2)” format, “
図4のデータから、例えば「承認」という機能(ここでは「アクティビティ」も同じ)には、入力として「承認対象名」、出力として「結果」及び「記録」、条件として「確認事項」、リソースとして「管理責任者」が必須であることが分かる。 From the data shown in FIG. 4, for example, the function “approval” (here “activity” is also the same), “approval name” as input, “result” and “record” as output, “confirmation item” as condition, resource As you can see, the “manager” is essential.
図5に、第2の統制ルールとして、特定の機能を実施する上で必要となる機能群である機能セットを含む機能セット定義表の一例を示す。図5の例では、機能セット毎に、機能セット名と、機能セットに含まれる機能群(例えば機能1−5)と、実施の順番と、必須フラグとを登録するようになっている。必須フラグがオンである場合には、列挙された機能全てを必ず含まなければならないことを示す。図5の1番目の機能セット「期限」については、「期限設定」という機能と「期限確認」という機能が、この順番で必須の機能群であることを表している。 FIG. 5 shows an example of a function set definition table including a function set that is a function group necessary for executing a specific function as the second control rule. In the example of FIG. 5, for each function set, a function set name, a function group included in the function set (for example, function 1-5), an execution order, and an essential flag are registered. If the mandatory flag is on, it indicates that all listed functions must be included. The first function set “time limit” in FIG. 5 indicates that the function “time limit setting” and the function “time limit confirmation” are essential function groups in this order.
図6に、第3の統制ルールとして、特定の評価指標の要素となるモニタ項目抽出方法をパターンとして定義する抽出パターン定義表の一例を示す。図6の例では、抽出パターン毎に、パターン名と、モニタ項目名と、抽出すべき対象1及び2と、評価条件とを登録するようになっている。抽出すべき対象については、統制フローの図形(矢印の向きなど)とデータ要素とで指定されている。なお、パターン「G」は上位からの指示である条件実施の確実性をモニタするためのパターンである。パターン「B」は管理対象である業務における条件実施の正確性をモニタするためのパターンである。パターン「CO」は条件入手元の真正性、すなわち基準との一致正確性をモニタするためのパターンである。 FIG. 6 shows an example of an extraction pattern definition table that defines, as the third control rule, a monitor item extraction method that is an element of a specific evaluation index as a pattern. In the example of FIG. 6, for each extraction pattern, a pattern name, a monitor item name, targets 1 and 2 to be extracted, and an evaluation condition are registered. The object to be extracted is specified by a control flow figure (such as the direction of an arrow) and a data element. Note that the pattern “G” is a pattern for monitoring the certainty of condition execution, which is an instruction from the host. The pattern “B” is a pattern for monitoring the accuracy of condition execution in the business to be managed. The pattern “CO” is a pattern for monitoring the authenticity of the condition acquisition source, that is, the matching accuracy with the reference.
図4乃至図6のデータについては、ある程度経験を積んだユーザがそのノウハウを抽出して予め登録しておく。 The data shown in FIGS. 4 to 6 are extracted and registered in advance by a user who has some experience.
次に、情報セキュリティ管理支援システム100の動作と、システムの支援を受けてセキュリティ対策の有効性評価及び改善を行うユーザの作業とを順に説明する。
Next, the operation of the information security
大まかな処理及び作業手順を図7に示す。まず、作業を行うユーザは、基準(例えば図1に示したPC持出し管理基準)を分析して、統制フロー編集部120に指示して図3に示した記法に従った統制フローを作成し、統制フローのデータを第1統制フロー格納部140に格納する(図7:ステップS1)。図7に示した処理及び手順フローでは、点線ブロックが主にユーザが行う手順を表し、実線ブロックが主に情報セキュリティ管理支援システム100が行う処理を表すものとする。
A rough process and work procedure are shown in FIG. First, the user who performs the work analyzes a standard (for example, PC take-out management standard shown in FIG. 1), instructs the control
ステップS1では、基準から、セキュリティの対策となる業務と業務実施における決まり事(すなわち条件)を抽出する。より具体的には、動詞又は予め決められた業務を示す文言及び条件を表す文言を抽出する。図1の例では、「持出し」「持込み」というのが業務に相当する。また、「申請」「承認」というのが条件に相当する。なお、ここでは「持出し」についての統制フローを最初に検討するものとする。 In step S1, the business that is a security measure and the rules (that is, conditions) in the business execution are extracted from the standard. More specifically, a verb or a word indicating a predetermined job and a word indicating a condition are extracted. In the example of FIG. 1, “take-out” and “carry-in” correspond to business. Further, “application” and “approval” correspond to the conditions. In this case, the control flow for “take-out” is considered first.
そして、基準から抽出した動作「申請」「承認」「持出し」をアクティビティとして記述し、アクティビティが作用する情報(媒体を含む)を入力データ、アクティビティが作用した情報(媒体を含む)を出力データ、アクティビティが作用する上で必要な条件を条件データとして記述する。また、個々の入力に応じて設定される条件を、アクティビティに対して横から入るイベント条件データとして記述し、セキュリティ統制によって決まり且つ個々の入力に依存しない共通の条件を、アクティビティに対して上から入るガバナンス条件データとして記述する。なお、不明の場合には「?」を記述しておく。 Then, the operations “application”, “approval”, and “export” extracted from the criteria are described as activities, the information (including the medium) on which the activity operates is input data, the information (including the medium) on which the activity operates is output data, Describe the conditions necessary for the activity to act as condition data. Also, the conditions set according to individual inputs are described as event condition data that enters from the side to the activity, and common conditions that are determined by security controls and do not depend on individual inputs are Describe as input governance condition data. If it is unknown, “?” Is described.
例えば、「持出し」についての統制フローは、統制フロー編集部120によって図8に示すような図として作成される。
For example, the control flow for “Bring” is created by the control
図8に示すように、アクティビティ「申請」については、ガバナンス条件が2つ、入力が2つ、リソースが1つ、出力が1つ記述されている。アクティビティ「承認」については、アクティビティ「申請」の出力が入力であり、不明のガバナンス条件が1つあり、リソースが1つあり、出力が1つあることが記述される。さらに、アクティビティ「持出しB」については、入力が1つ、アクティビティ「承認」の出力がイベント条件であり、不明のガバナンス条件が1つあり、リソースが1つあり、出力が1つあることが記述される。業務についてのアクティビティには「B」マークを付しておく。また、イベント条件を表す矢印については、入出力の矢印とは区別可能に(例えば二点鎖線で)表すものとする。図8に示した情報については、基準(図1)から抽出する。 As shown in FIG. 8, the activity “application” describes two governance conditions, two inputs, one resource, and one output. As for the activity “approval”, it is described that the output of the activity “application” is an input, there is one unknown governance condition, one resource, and one output. Furthermore, for the activity “Bring out B”, it is described that there is one input, the output of the activity “approval” is an event condition, there is one unknown governance condition, there is one resource, and there is one output. Is done. The “B” mark is attached to the activity related to the business. In addition, an arrow indicating an event condition is expressed so as to be distinguishable from an input / output arrow (for example, a two-dot chain line). The information shown in FIG. 8 is extracted from the reference (FIG. 1).
なお、統制フローにおける情報の記法については図4に示した記法と同じである。但し、アクティビティに対する下からの矢印については、書式なしで名詞をそのまま記するものとする。 The information notation in the control flow is the same as the notation shown in FIG. However, nouns are written as they are without formatting for the arrow from the bottom to the activity.
また、図1とは別の運用手順作成基準の統制フローは、図9に示すように記述される。この運用手順作成基準の統制フローは、アクティビティ「手順書作成」というアクティビティが1つしか存在せず、入力が2つ、ガバナンス条件が1つ、出力が1つ、リソースが1つあることが記述される。 Further, the control flow of the operation procedure creation standard different from FIG. 1 is described as shown in FIG. The control flow of this operational procedure creation standard describes that there is only one activity called “Create Procedure”, that there are two inputs, one governance condition, one output, and one resource. Is done.
図8及び図9に示すようなフロー図としての記述の他、図10に示すようなテーブル形式で統制フローを第1統制フロー格納部140に保持する。図10の例では、統制フロー毎に、フロー名と、1又は複数のアクティビティと、各アクティビティに対する入力、出力、ガバナンス条件、イベント条件及びリソースとが登録されるようになっている。
In addition to the description as a flow diagram as shown in FIGS. 8 and 9, the control flow is held in the first control
次に、ユーザは、現状のリソースを整理して、統制リソース編集部150に指示して、統制リソースデータを統制リソースデータ格納部160に格納する(図7:ステップS3)。
Next, the user organizes the current resources, instructs the control
例えば図11に示すように、各アクティビティに着目して、当該アクティビティに関係する要素(入力、ガバナンス条件、リソースなど。太点線に注目。)を抽出し、それらに対する既存のリソース(例えば実在するシステムや人)を特定する。さらに、既存の統制ルールに基づき、リソースの条件を明確にする。 For example, as shown in FIG. 11, paying attention to each activity, elements related to the activity (input, governance conditions, resources, etc., pay attention to the thick dotted line) are extracted, and existing resources (for example, existing systems) for them are extracted. And people). In addition, clarify resource conditions based on existing control rules.
例えば、部署Aのユーザの場合、アクティビティ「承認」についての要素「持出し申請媒体」はPC持出し管理システムの「管理サーバ」本体であり、その要素の「(<持出し申請>)」というデータは、PC持出し管理システム内のデータベースにおける「申請DB情報」として存在している。このような情報を、統制リソースデータ格納部160に登録する。
For example, in the case of a user in department A, the element “export application medium” for the activity “approval” is the “management server” body of the PC export management system, and the data “(<export application>)” of the element is: It exists as “application DB information” in the database in the PC take-out management system. Such information is registered in the control resource
図12Aに、統制リソースデータ格納部160に格納されるデータの一例を示す。ここでは、図12Aは、PC持出し基準の場合の例を示しており、基準とアクティビティと要素名との組み合わせ毎に、対応するリソース情報(主体又は要素の実体)を登録するようになっている。なお、アクティビティについては、統制手順を実施する主体(人又はシステム若しくはその両方)を登録するようになっている。図12Aは、PC持出し管理システムを用いている部署Aと、PC持出し管理台帳を用いている部署Bとのそれぞれについて、該当するリソース情報の例を示している。なお、図12Bに、運用手順作成基準の場合の例を示す。フォーマットは図12Aと同じであり、ここでも部署Aと部署Bとを分けて示している。
FIG. 12A shows an example of data stored in the control resource
次に、統制ルール割当部130は、統制ルール格納部110に格納されている統制ルールに従って、第1統制フロー格納部140に格納されている統制フローに対して統制フロー補正支援処理を実施する(図7:ステップS5)。具体的には、ユーザは統制フロー割当部130の処理結果に応じて統制フロー編集部120に指示して統制フローのデータを修正して、修正結果を第1統制フロー格納部140に格納する。
Next, the control
この統制フロー補正支援処理については、図13乃至図30を用いて説明する。まず、図13乃至図16を用いて、統制ルール格納部110に格納されている機能定義表(図4)を用いる第1機能定義表処理について説明する。
This control flow correction support process will be described with reference to FIGS. First, the first function definition table process using the function definition table (FIG. 4) stored in the control
まず、統制ルール割当部130は、第1統制フロー格納部140に格納されている統制フローのデータから、アクティビティ名を抽出する(ステップS21)。例えば、図11に示した統制フローを処理対象とする場合には、「申請」「承認」「持出しB」が抽出される。そして、統制ルール割当部130は、抽出されたアクティビティ名に対する機能定義ルールを、統制ルール格納部110の機能定義表(図4)から抽出する(ステップS23)。図4の機能定義表の場合、機能名又はアクティビティ名の列が「申請」「承認」「持出し」となっている行のデータを機能定義ルールとして読み出す。なお、図4の機能定義表の場合、「申請」に相当する行はないので、「申請」についてのルールは読み出されない。
First, the control
その後、統制ルール割当部130は、統制フローから抽出されたアクティビティのうち、未処理のアクティビティを1つ特定する(ステップS25)。そして、統制ルール割当部130は、特定されたアクティビティのデータと対応する機能定義ルールとを比較して、一致しているかを確認する(ステップS27)。
Thereafter, the control
この処理を図11を用いて説明する。例えば、アクティビティ「承認」について着目する。図4の機能定義表からすると、機能「承認」には、入力として「(<承認対象名>)」が必要で、出力として「(<結果>[許可/不許可、承認対象名])]及び「(<記録>[確認事項C、承認者名、日時])」が必要で、条件としては「(<確認事項>)」が必要で、リソースとしては「管理責任者」が必要であるということが規定されている。このようなデータと、図11のアクティビティ「承認」の要素(入出力の情報、条件の情報、リソースの情報)とを規定の有無という観点で比較すると、条件として「(<確認事項>)」が漏れており、出力として「(<記録>)」が漏れており、「(許可)」についてもそれが「(<結果>)」であって「承認対象名」という要素が漏れていることが特定される。同様に、アクティビティ「持出しB」については、出力として「(<記録>)」のデータが漏れていることが特定される。 This process will be described with reference to FIG. For example, focus on the activity “approval”. According to the function definition table of FIG. 4, the function “approval” requires “(<approval target name>)” as an input and “(<result> [permitted / unpermitted, approval target name])] as an output. And “(<Record> [Confirmation Item C, Approver Name, Date / Time])” is required, “(<Confirmation Item>)” is required as a condition, and “Management Manager” is required as a resource It is prescribed that. When such data is compared with the elements of the activity “approval” (input / output information, condition information, resource information) in FIG. "(<Record>)" is leaked as output, and "(Allow)" is also "(<Result>)" and the element "Approval Target Name" is leaked Is identified. Similarly, for the activity “take-out B”, it is specified that data of “(<record>)” is leaked as an output.
従って、ステップS25で特定されたアクティビティのデータが対応機能定義ルールと不一致の場合(ステップS27:Noルート)、統制ルール割当部130は、不一致点についての指摘を、ユーザに対して出力する(ステップS29)。例えば図14に示すようなデータを出力する。図14では、漏れがあると判断されてユーザが入力すべきデータを列挙して指摘するものである。
Accordingly, when the activity data identified in step S25 does not match the corresponding function definition rule (step S27: No route), the control
そうすると、ユーザは、統制フロー編集部120に指示を与えて、分かる範囲において入力を促されたデータの入力を行う。すなわち、統制フロー編集部120は、ユーザからの修正入力を受け付けて、統制フローを修正して、修正後の統制フローのデータを第1統制フロー格納部140に格納する(ステップS31)。
Then, the user gives an instruction to the control
例えば、図15に示すような修正が、図11に示した統制フローに対して行われる。点線丸で示した部分が、ユーザによって修正される。このように、熟練度の高いユーザによって作成された統制ルールとの対比によって、一般ユーザが基準単独からでは気付くことのできない部分について気付きを与えて、統制フローを整備することができるようになる。図15に示すような修正を、統制フロー定義表上で修正すると、図16に示すような表になる。ハッチングが付されたセルが修正された部分を示している。 For example, the correction shown in FIG. 15 is performed on the control flow shown in FIG. A portion indicated by a dotted circle is corrected by the user. In this way, by comparing with the control rules created by highly skilled users, it becomes possible to provide a control flow by giving notice to a part that a general user cannot notice from the standard alone. When the correction shown in FIG. 15 is corrected on the control flow definition table, the table shown in FIG. 16 is obtained. The hatched cell shows the corrected part.
なお、特定されたアクティビティのデータと対応機能定義ルールと一致する場合(対応する機能定義ルールがない場合には一致すると判断する)(ステップS27:Yesルート)、又はステップS31の後に、統制ルール割当部130は、全てのアクティビティについて修正完了したか判断する(ステップS33)。1つのアクティビティについて修正を行った場合には、他のアクティビティに対して影響がある場合もあるので、修正が全てのアクティビティについて行われなくなるまでは、修正完了とは判断せずに、修正未了としてステップS33からステップS25に戻る。ステップS25では、例えば循環的に順番にアクティビティを選択するものとする。
If the data of the identified activity matches the corresponding function definition rule (if there is no corresponding function definition rule, it is determined to match) (step S27: Yes route), or after step S31, control rule assignment The
一方、全てのアクティビティについて修正が完了した場合には、他の統制フロー補正支援処理を実施する。 On the other hand, when correction is completed for all activities, other control flow correction support processing is performed.
次に、図17乃至図21を用いて、統制フロー補正支援処理に含まれる統制フロー定義処理について説明する。統制フロー定義処理では、第1統制フロー格納部140に格納されている統制フローのデータを用いる。
Next, the control flow definition process included in the control flow correction support process will be described with reference to FIGS. In the control flow definition process, control flow data stored in the first control
統制ルール割当部130は、第1統制フロー格納部140に格納されている統制フローのデータのうち、未処理のアクティビティを1つ特定する(図17:ステップS41)。また、統制ルール割当部130は、特定されたアクティビティについてのガバナンス条件のテキストを抽出する(ステップS43)。
The control
そして、統制ルール割当部130は、抽出されたテキストと一致するテキストが要素に規定されているアクティビティを関連アクティビティとして特定する(ステップS45)。関連アクティビティが存在しない場合もある。関連アクティビティが存在する場合には、統制ルール割当部130は、特定された関連アクティビティのデータを、第1統制フロー格納部140から読み出す(ステップS47)。
Then, the control
例えば、アクティビティ「申請」については「申請内容」がガバナンス条件のテキストとして抽出されるので、この「申請内容」というテキストで、第1統制フロー格納部140(図16)を検索して、一致するテキストを要素「出力」に含むアクティビティ「手順書作成」を特定する。そうすると、アクティビティ「手順書作成」についてのデータを読み出す。同様に、アクティビティ「承認」についても処理すると、同じくアクティビティ「手順書作成」が特定される。一方、アクティビティ「持出しB」については「?」しか登録されていないので、関連アクティビティは特定されない。 For example, for the activity “application”, “application content” is extracted as the text of the governance condition, so the first control flow storage unit 140 (FIG. 16) is searched using the text “application content” and matches. Identify the activity “Create Procedure” that includes text in the element “Output”. Then, the data about the activity “procedure creation” is read out. Similarly, when the activity “approval” is also processed, the activity “procedure creation” is also specified. On the other hand, since only “?” Is registered for the activity “take-out B”, the related activity is not specified.
そして、統制ルール割当部130は、ユーザに対して、関連アクティビティのデータ又は該当なしの指摘を出力する(ステップS49)。図18に示すように、アクティビティ「申請」のガバナンス条件のテキスト「申請内容」については、アクティビティ「手順書作成」の出力「運用手順書」に含まれていることが指摘される。同様に、アクティビティ「承認」のガバナンス条件のテキスト「確認事項」については、アクティビティ「手順書作成」の出力「運用手順書」に含まれていることが指摘される。アクティビティ「持出しB」のガバナンス条件については、該当するものがないことが指摘される。
Then, the control
これによって、図19において点線丸で示すように、アクティビティ「手順書作成」の出力「運用手順書」と、アクティビティ「申請」「承認」のガバナンス条件については、関係があることが示唆されることになる。アクティビティ「持出しB」については、「該当なし」が指摘されることになるが、他のアクティビティについての指摘事項から関連性を検討する。 This suggests that there is a relationship between the output “operation procedure manual” of the activity “procedure creation” and the governance conditions of the activities “application” and “approval”, as indicated by the dotted circle in FIG. become. For the activity “Bring out B”, “not applicable” will be pointed out, but the relevance will be examined from the points to be pointed out regarding other activities.
ユーザは、統制フロー編集部120に指示を与えて、分かる範囲において指摘されたデータを元に修正を行う。すなわち、統制フロー編集部120は、ユーザからの修正入力を受け付けて、統制フローを修正して、修正後の統制フローのデータを第1統制フロー格納部140に格納する(ステップS51)。例えば、図20に示すような統制フローのデータが、第1統制フロー格納部140に格納される。図20の例では、2つの統制フローが連結されて、アクティビティ「申請」「承認」「持出しB」のガバナンス条件が、修正されている。表形式の統制フローのデータは、例えば図21のように修正される。図21においてハッチングが付されたセルが修正されたセルであり、ガバナンス条件の列に、「運用手順書」との関連付けが登録されている。このように、ユーザが気付かない統制フローの関連性を気付かせることができるようになる。
The user gives an instruction to the control
そして、統制ルール割当部130は、全てのアクティビティについて修正完了したか判断する(ステップS53)。1つのアクティビティについて修正を行った場合には、他のアクティビティに対して影響がある場合もあるので、修正が全てのアクティビティについて行われなくなるまでは、修正完了とは判断せずに、修正未了としてステップS53からステップS41に戻る。ステップS41では、例えば循環的に順番にアクティビティを選択するものとする。
Then, the control
一方、全てのアクティビティについて修正が完了した場合には、他の統制フロー補正支援処理を実施する。なお、上ではガバナンス条件についてのみ着目したが他の未接続の入出力などについて着目して処理を行うようにしても良い。 On the other hand, when correction is completed for all activities, other control flow correction support processing is performed. In the above description, attention is paid only to the governance condition, but processing may be performed focusing on other unconnected input / output.
次に、図22乃至図26を用いて、統制フロー補正支援処理に含まれる第2機能定義表処理について説明する。 Next, the second function definition table process included in the control flow correction support process will be described with reference to FIGS.
統制ルール割当部130は、第1統制フロー格納部140に格納されている統制フローのうち、未処理のアクティビティを1つ特定する(図22:ステップS61)。また、統制ルール割当部130は、特定されたアクティビティの入力要素についてのテキストを抽出する(ステップS63)。そして、統制ルール割当部130は、抽出されたテキストの少なくとも一部を入力要素のテキストとして含む機能定義ルールを、統制ルール格納部110における機能定義表(図4)から抽出する(ステップS65)。
The control
例えば、アクティビティ「申請」の入力要素のテキスト「持込み予定日」で、図4の機能定義表における入力の列を検索すると、機能「期限設定」(ここではアクティビティも「期限設定」)の要素「予定日」と部分一致することが分かる。 For example, when the input column in the function definition table of FIG. 4 is searched with the text “scheduled to bring in” of the input element of the activity “application”, the element “ It can be seen that it partially matches “scheduled date”.
そして、統制ルール割当部130は、ステップS61で特定されたアクティビティと、ステップS65で抽出された機能定義ルールのアクティビティが一致するか判断する(ステップS67)。上で述べた例では、「申請」と「期限設定」であるから一致しない。一致しない場合には(ステップS67:Noルート)、統制ルール割当部130は、不一致点についての指摘を、ユーザに対して出力する(ステップS69)。例えば図23に示すようなデータを出力する。図23の例では、アクティビティ「申請」について「予定日」が入力に規定されており、「期限設定」という機能/アクティビティが包含されている可能性があることを指摘する。このように、表面上現れてこない機能/アクティビティの可能性について検討させることができる。さらに、図23の例では、「期限設定」という機能/アクティビティについての機能定義ルールから、入力に「設定対象名」「返却/削除/廃棄/持出し/持込み/搬入/搬出 予定日」「時刻情報」、出力に「設定対象名」「設定日時C」、ガバナンス条件に「最長期限」が必須である旨を指摘する。このように、単純に機能定義ルールをそのまま提示するようにしても良い。また、入力同士を比較して差分を特定し、出力同士を比較して差分を特定し、条件同士を比較して差分を特定し、差分のみを指摘するようにしても良い。
Then, the control
そうすると、ユーザは、統制フロー編集部120に指示を与えて、分かる範囲において修正を促されたデータの修正を行う。すなわち、統制フロー編集部120は、ユーザからの修正入力を受け付けて、統制フローを修正して、修正後の統制フローのデータを第1統制フロー格納部140に格納する(ステップS71)。
Then, the user gives an instruction to the control
例えば、図24に示すような修正が、図20に示した統制フローに対して行われる。アクティビティ「申請」の入力に着目すると、「期限設定」という機能/アクティビティに含まれる「設定対象名」については、既に設定されている「<持出し申請媒体>(持出し対象名)」が対応するので特に修正を行わない。一方、「期限設定」という機能/アクティビティに含まれる「時刻情報」については、追加するように修正する。さらに、アクティビティ「申請」の出力に着目すると、「期限設定」という機能/アクティビティに含まれる「設定対象名」については、既に設定されている「<持出し申請媒体>(<持出し申請>)」が対応するので特に修正を行わないが、「期限設定」という機能/アクティビティに含まれる「設定日時C」については、「持込み予定日」を追加するように修正する。さらに、アクティビティ「申請」のガバナンス条件に着目すると、「期限設定」という機能/アクティビティに含まれる「最長期限」を追加するように修正する。さらに、本実施の形態では、アクティビティ名「申請」についても、「期限設定」を内在するということで、「申請(期限設定)」に修正することとする。図24では、(1)が付された点線丸がこの修正に関係する。 For example, the correction shown in FIG. 24 is performed on the control flow shown in FIG. Focusing on the input of the activity “application”, the “setting target name” included in the function / activity “time limit setting” corresponds to the already set “<export application medium> (export target name)”. No particular modification is made. On the other hand, “time information” included in the function / activity called “limit setting” is corrected to be added. Further, focusing on the output of the activity “application”, for the “setting target name” included in the function / activity called “limit setting”, the already set “<export application medium> (<export application>)” Since it corresponds, no correction is made in particular, but “setting date / time C” included in the function / activity “time limit setting” is corrected to add “scheduled date to bring in”. Further, when focusing on the governance condition of the activity “application”, it is modified so as to add the “longest deadline” included in the function / activity called “deadline setting”. Furthermore, in the present embodiment, the activity name “application” is also corrected to “application (limit setting)” because “limit setting” is inherent. In FIG. 24, a dotted circle with (1) is related to this correction.
なお、特定されたアクティビティと、抽出機能定義ルールと一致する場合(対応する機能定義ルールがない場合には一致すると判断する)(ステップS67:Yesルート)、又はステップS71の後に、統制ルール割当部130は、全てのアクティビティについて修正完了したか判断する(ステップS73)。1つのアクティビティについて修正を行った場合には、他のアクティビティに対して影響がある場合もあるので、修正が全てのアクティビティについて行われなくなるまでは、修正完了とは判断せずに、修正未了としてステップS73からステップS61に戻る。ステップS61では、順番にアクティビティを選択するものとする。
When the identified activity matches the extracted function definition rule (when there is no corresponding function definition rule, it is determined to match) (step S67: Yes route), or after step S71, the control
一方、全てのアクティビティについて修正が完了した場合には、他の統制フロー補正支援処理を実施する。 On the other hand, when correction is completed for all activities, other control flow correction support processing is performed.
図24の例では、上で述べた修正を行うと、今度はアクティビティ「承認」についての入力要素の「持込み予定日」から、「期限設定」という機能/アクティビティが特定される。この点は、アクティビティ「申請」と同じである。従って、統制ルール割当部130はほぼ同じような指摘を出力する。これに対して、図24において(2)が付された点線丸が、ユーザが行う修正に関係する部分である。さらに、本実施の形態では、アクティビティ名「承認」についても、「期限設定」を内在するということで、「承認(期限設定)」に修正することとする。このように連鎖的に修正が行われる場合があるので、全てのアクティビティについて修正が無くなるまで繰り返し処理を実施する。
In the example of FIG. 24, when the above-described correction is performed, a function / activity called “limit setting” is specified from the “scheduled carry-in date” of the input element for the activity “approval”. This is the same as the activity “application”. Therefore, the control
このような修正を行うと、統制フローは図25に示すような形になる。また、テーブル形式では、図26に示すようなデータとなる。図26では、ハッチングが付されたセルが修正されたセルを示す。 When such a correction is made, the control flow takes a form as shown in FIG. In the table format, the data is as shown in FIG. FIG. 26 shows a cell in which a hatched cell is corrected.
次に、図27乃至図30を用いて、統制フロー補正支援処理に含まれる機能セット定義処理について説明する。 Next, the function set definition process included in the control flow correction support process will be described with reference to FIGS.
統制ルール割当部130は、第1統制フロー格納部140に格納されている統制フローのデータにおいて、未処理のアクティビティ名を特定する(図27:ステップS81)。また、第1統制ルール割当部130は、特定されたアクティビティ名で、統制ルール格納部110における機能セット定義表(図5)を検索し、該当ルールを特定する(ステップS83)。例えば、アクティビティ「申請(期限設定)」の場合には、「申請(期限設定)」が機能セット定義表に登録されている機能名と少なくとも部分一致するか確認する。この場合、機能セット名「期限」が特定される。
The control
ステップS83で、該当ルールが特定されなかった場合(ステップS85:Noルート)にはステップS93に移行する。一方、該当ルールが特定された場合(ステップS85:Yesルート)、統制ルール割当部130は、抽出ルールに従ったアクティビティの接続が統制フロー中に存在するか確認する(ステップS87)。抽出ルールに従ったアクティビティの接続が統制フロー中に存在する場合には、ステップS93に移行する。一方、抽出ルールに従ったアクティビティの接続が統制フロー中に存在しない場合には、統制ルール割当部130は、ルール不適合が存在することを提示すると共に、該当ルールについてのデータもユーザに提示する(ステップS89)。例えば、統制ルール格納部110に格納されている該当ルール中不足している機能/アクティビティの機能定義ルールを読み出して、ユーザに提示する。
If the corresponding rule is not specified in step S83 (step S85: No route), the process proceeds to step S93. On the other hand, when the corresponding rule is specified (step S85: Yes route), the control
例えば図28に示すようなデータをユーザに提示する。図28の例では、アクティビティ「申請(期限設定)」について、「期限設定」の後には「期限確認」というアクティビティが必須であることを示す。さらに、不足するアクティビティ「期限確認」の入力、出力、条件及びリソースとして設定すべきデータを提示する。 For example, data as shown in FIG. 28 is presented to the user. In the example of FIG. 28, the activity “application (time limit setting)” indicates that the activity “time limit confirmation” is essential after “time limit setting”. Furthermore, the data to be set as the input, output, condition, and resource of the missing activity “confirm deadline” are presented.
そうすると、ユーザは、統制フロー編集部120に指示を与えて、分かる範囲において修正を促されたデータの修正を行う。すなわち、統制フロー編集部120は、ユーザからの修正入力を受け付けて、統制フローを修正して、修正後の統制フローのデータを第1統制フロー格納部140に格納する(ステップS91)。
Then, the user gives an instruction to the control
例えば、図29に示すようなアクティビティ「期限確認」を、ユーザが、統制フロー編集部120に指示を与えて加えることとする。なお、アクティビティ「承認(期限設定)」についても同様の指摘及び修正が行われることになる。なお、表形式の統制フローのデータについては、図30に示すようなデータが追加される。
For example, it is assumed that the user adds an instruction “confirm deadline” as shown in FIG. 29 by giving an instruction to the control
なお、抽出ルールに従ったアクティビティの接続が存在している場合、ステップS85でルールが抽出されなかったと判断された場合、又はステップS91の後に、統制ルール割当部130は、全てのアクティビティについて修正完了したか判断する(ステップS93)。1つのアクティビティについて修正を行った場合には、他のアクティビティに対して影響がある場合もあるので、修正が全てのアクティビティについて行われなくなるまでは、修正完了とは判断せずに、修正未了としてステップS93からステップS81に戻る。ステップS81では、例えば循環的に順番にアクティビティを選択するものとする。
In addition, when there is a connection of activities according to the extraction rule, when it is determined that the rule is not extracted in step S85, or after step S91, the control
以上述べた処理が統制フロー補正支援処理の内容である。なお、統制フロー補正支援処理に含まれる各処理については、順番を入れ替えて実施しても良い。但し、統制フローに修正が加わると、他の処理においてさらに修正が必要となる場合もあるので、修正が行われなくなるまで繰り返し実施する。 The processing described above is the content of the control flow correction support processing. In addition, about each process included in the control flow correction | amendment assistance process, you may replace and carry out an order. However, if a correction is added to the control flow, it may be necessary to make further corrections in other processes.
また、統制フロー補正支援処理が完了した際に第1統制フロー格納部140に格納されている統制フローが、基準の統制フロー(ToBe)となる。
Further, when the control flow correction support process is completed, the control flow stored in the first control
図7の処理の説明に戻って、次に、統制リソース割当部170は、第1統制フロー格納部140に格納されている基準の統制フローと統制リソースデータ格納部160に格納されている統制リソースのデータを用いてリソース割当処理を実施する(ステップS7)。このリソース割当処理については、図31乃至図36を用いて説明する。
Returning to the description of the processing in FIG. 7, the control
統制リソース割当部170は、第1統制フロー格納部140に格納されている統制フローのうち未処理の統制フローを1つ特定する(図31:ステップS101)。また、統制リソース割当部170は、特定された統制フローのうち未処理のアクティビティを1つ特定する(ステップS103)。その後、統制リソース割当部170は、特定されたアクティビティに該当するリソース定義を、統制リソースデータ格納部160内の統制リソース情報定義表(図12A及び図12B)から抽出する(ステップS105)。
The control
そして、統制リソース割当部170は、特定されたアクティビティの要素のテキストと、抽出されたリソース定義とのマッチングを実施する(ステップS107)。
Then, the control
例えば、統制フローは、基準名又はフロー名(若しくはタイトル)から未処理のものを1つ特定する。例えば、統制フロー「PC持出し」を特定したものとする。また、例えば、統制フロー「PC持出し」のうちアクティビティ「承認」を特定したものとする。そうすると、リソース定義(図12)のアクティビティ「承認」についての4行と、統制フロー(図26)のアクティビティ「承認」の行とをマッチングさせることになる。なお、ここでは部署Aについて検討するものとする。そうすると、アクティビティ「承認」全体についてのリソースは、リソース定義が「幹部社員、管理クライアント−承認機能」となっているのに対し、統制フローでは「情報機器責任者」となっているので、リソース定義で置換する。また、リソース定義において「持出し申請媒体(<持出し申請>)」については「管理サーバ(申請DB情報)」となっているのに対し、統制フローでは文言が一致する部分がある「<持出し申請媒体>(<持出し申請>[持出し対象名、持込み予定日])」となっている。従って、統制フローの「<持出し申請媒体>(<持出し申請>)についてはリソース定義のデータで置換する。特に一致する文言がない部分([]の間の文言)については残す。さらに、リソース定義の「?(許可)」については「電子メール(日付、幹部社員名、対象名)」となっているのに対し、統制フローでは「許可」という文言で一致する「?(<結果>[許可、承認対象名])」となっている。この場合は、全てリソース定義で置換する。なお、リソース定義において「情報機器管理者」が「幹部社員」となっているが、既に「承認」のリソースについては置換済みであるから、ここでは何もしない。他のアクティビティについても同様の置換を行う。 For example, one unprocessed control flow is specified from the standard name or flow name (or title). For example, it is assumed that the control flow “PC take-out” is specified. Further, for example, it is assumed that the activity “approval” is specified in the control flow “PC export”. Then, the four lines for the activity “approval” in the resource definition (FIG. 12) and the line for the activity “approval” in the control flow (FIG. 26) are matched. Here, department A is considered. Then, the resource for the entire activity “Approval” is “Corporate Employee, Management Client-Approval Function” while the resource definition is “Information Device Manager” in the control flow. Replace with. In addition, in the resource definition, “export application medium (<export application>)” is “management server (application DB information)”, whereas in the control flow, there is a portion where the words match “<export application medium” > (<Export application> [name of object to be taken out, planned date of import])]. Therefore, “<bringing application medium> (<bringing application>) in the control flow is replaced with the resource definition data. Especially, a part that does not have a matching word (a word between []) remains. "? (Permission)" is "e-mail (date, executive employee name, subject name)", but in the control flow "? (<Result> [permission , Approval name]) ”. In this case, all are replaced with resource definitions. Note that “information device manager” is “executive employee” in the resource definition, but since the “approved” resource has already been replaced, nothing is done here. The same replacement is performed for other activities.
ステップS107においては、比較だけではなく、対応する項目があれば置換もしてしまう。 In step S107, not only the comparison but also the corresponding item is replaced.
図32に、アクティビティ「承認」について置換処理後の統制フローの例を示す。図32において点線丸の部分が自動的に置換された部分を示している。しかしながら、二点鎖線丸で示したように、マッチングができなかった部分もある。この部分については、以下の処理の対象となる。 FIG. 32 shows an example of the control flow after the replacement process for the activity “approval”. In FIG. 32, the dotted-lined part shows the part automatically replaced. However, as indicated by a two-dot chain line circle, there is a portion where matching could not be performed. This part is subject to the following processing.
そうすると、統制リソース割当部170は、ステップS107においてマッチング不可の部分が存在していたか判断し(ステップS109)、存在していない場合には端子Aを介して図34の処理に移行する。一方、マッチング不可の部分が存在していた場合には、統制リソース割当部170は、マッチング不可の部分をユーザに対して提示する(ステップS111)。上で述べたように、図32の二点鎖線丸の部分について「リソース定義がありません」といったような指摘を行う。
Then, the control
そうすると、ユーザは、統制フロー編集部120に指示を与えて、分かる範囲において修正を促されたデータの修正を行う。すなわち、統制フロー編集部120は、ユーザからの修正入力を受け付けて、統制フローを修正して、修正後の統制フローのデータを第2統制フロー格納部180に格納する(ステップS113)。
Then, the user gives an instruction to the control
ここで、ユーザは、図32の二点鎖線丸の部分について指摘を受けると、ガバナンス条件については、統制フローについて修正を加えるものとする。一方、「?(最長期限)」「?(<記録>[確認事項C、承認者名、日時、持出し対象名、持込み予定日])については、リソース定義の修正を行うことにする。 Here, when the user is pointed out with respect to the portion indicated by a two-dot chain line in FIG. 32, the governance flow is corrected with respect to the control flow. On the other hand, for “? (Longest term)” and “? (<Record> [confirmation item C, name of approver, date and time, name to be taken out, scheduled date of carry-out]), the resource definition is corrected.
すなわち、ユーザは、統制リソース編集部150に指示を与え、リソース定義の修正を行う。統制リソース編集部150は、リソース定義に対するユーザからの修正入力を受け付け、修正内容を統制リソースデータ格納部160に登録する(ステップS115)。処理は図34の処理に移行する。例えば、図33に示すように、アクティビティ「承認」について、ハッチングが付された行で分かるように、上で述べた要素についてはリソース定義が追加されている。なお、図33では、他の修正部分も反映されている。
That is, the user gives an instruction to the control
図34の処理の説明に移行して、統制リソース割当部170は、全てのアクティビティについて修正完了したか判断する(ステップS117)。1つのアクティビティについて修正を行った場合には、他のアクティビティに対して影響がある場合もあるので、修正が全てのアクティビティについて行われなくなるまでは、修正完了とは判断せずに、修正未了としてステップS117から端子Bを介して図31のステップS103に戻る。なお、上でも述べたように、リソース定義の方を直した場合には、その反映がまだ行われないので、その点からもステップS117からステップS103に戻る。ステップS103では、例えば循環的に順番にアクティビティを選択するものとする。
Shifting to the description of the processing in FIG. 34, the control
一方、全てのアクティビティについて修正が完了した場合には、統制リソース割当部170は、全ての統制フローについて処理したか判断する(ステップS119)。未処理の統制フローが存在している場合には端子Cを介してステップS101に戻る。
On the other hand, when the correction has been completed for all activities, the control
上で述べたような統制リソース割当処理を実施すると、部署Aについては図35、部署Bについては図36に示すような現状の統制フロー(AsIs)が生成されたことになり、このような統制フローのデータが、第2統制フロー格納部180に格納される。
When the control resource allocation process as described above is performed, the current control flow (AsIs) as shown in FIG. 35 for department A and FIG. 36 for department B is generated. Flow data is stored in the second control
図7の処理の説明に戻って、次に、モニタ項目抽出部190は、第1統制フロー格納部140、第2統制フロー格納部180及び統制ルール格納部110に格納されているデータを用いて評価指標候補抽出処理を実施する(ステップS9)。評価指標候補抽出処理については、図37及び図38を用いて説明する。
Returning to the description of the processing in FIG. 7, the monitor
まず、モニタ項目抽出部190は、統制ルール格納部110における抽出パターン定義表から未処理の抽出ルールを1つ特定する(ステップS131)。そして、モニタ項目抽出部190は、ルールに従って測定データを、第2統制フロー格納部180又は第1統制フロー格納部140及び第2統制フロー格納部180から抽出する(ステップS133)。
First, the monitor
図6のパターンBとパターンGとについては、第2統制フロー格納部180から抽出する。パターンCOについては、第1統制フロー格納部140及び第2統制フロー格納部180から抽出する。例えば、パターンBを抽出ルールとすると、抽出すべき測定データは、対象1として「業務機能B(アクティビティ)のイベント条件」となっている。図35(部署A)において業務機能Bはアクティビティ「持出しB」のみであるから、そのイベント条件は「電子メール(日付、幹部社員名、対象名)」である。一方、パターンBを抽出ルールとすると、対象2として「出力(条件処理結果C)」とある。図35においてアクティビティ「持出しB」の出力には、「管理サーバ(持出しDB情報[持出しDB情報[持出し対象名、持出し者名、承認者名、日時])」と「PC(現住所)」とがある。このような測定データが抽出される。
The patterns B and G in FIG. 6 are extracted from the second control
このようにしてパターンG及びCOについても同様の処理を行うと、評価指標候補データ格納部200に、例えば図38に示すようなデータが格納される。図38(部署A)には、抽出パターン毎に、該当するパターン名(評価種別とも呼ぶ)、該当するアクティビティ名である測定場所、パターンに従って抽出された測定データ、抽出パターンの評価条件(ルール)と、それらから生成された評価指標候補が登録されるようになっている。ステップS133では、評価種別、測定場所及び測定データを登録する。 When the same processing is performed for the patterns G and CO in this way, data as shown in FIG. 38, for example, is stored in the evaluation index candidate data storage unit 200. In FIG. 38 (department A), for each extraction pattern, the corresponding pattern name (also referred to as an evaluation type), the measurement location that is the corresponding activity name, the measurement data extracted according to the pattern, and the evaluation condition (rule) of the extraction pattern And the evaluation index candidate generated from them is registered. In step S133, the evaluation type, measurement location, and measurement data are registered.
なお、入手元正確性についてのパターンCOの場合、対象1については図35に示した現状の統制フローから抽出し、対象2については図25に示した基準の統制フローから抽出する。図38では、アクティビティ「手順書作成」に着目して、そのリソースを図25及び図35から抽出したものを測定データとして登録している。また、ガバナンス条件実施正確性についてのパターンGの場合、対象1については図35に示した現状の統制フローから、アクティビティ「承認」に着目して、対象1として「確認事項」を、対象2として「管理サーバ(承認DB情報[確認事項C])」を抽出する。対象2については、条件処理結果Cを表す「確認事項C」が抽出される。
In the case of the pattern CO regarding the source accuracy, the
さらに、部署Bについては、図示しないが同様の処理を別途行うものとする。 Further, for department B, the same processing is separately performed although not shown.
なお、ステップS133では、測定データが複数セット抽出される場合もある。 In step S133, a plurality of sets of measurement data may be extracted.
そこで、モニタ項目抽出部190は、未処理の測定データを1セット特定し(ステップS135)、ルールに従って評価式を生成し、評価指標候補データ格納部200に格納する(ステップS139)。上で述べたパターンBの場合、対象1については1つ、対象2については2つ要素が得られたので、対象1と対象2−1の組み合わせと、対象1と対象2−2の組み合わせにて、評価式を生成する。具体的には、図38に示すように、第1の評価式「CMP 電子メール、PC」と、第2の評価式「CMP 電子メール、管理サーバ−持出しDB情報」とが生成される。「CMP」は比較の意味である。
Therefore, the monitor
この場合、業務機能イベント条件実施正確性というパターンとしては、後者が適切であると判断できる。すなわち、目的に合致した照合が行われる。 In this case, it can be determined that the latter is appropriate as a pattern of business function event condition execution accuracy. That is, matching that matches the purpose is performed.
また、モニタ項目抽出部190は、全ての測定データについて処理したか判断する(ステップS141)。未処理の測定データが存在する場合にはステップS135に戻る。一方、全ての測定データについて処理した場合には、モニタ項目抽出部190は、全ての抽出ルールについて処理したか判断する(ステップS143)。未処理の抽出ルールが存在する場合にはステップS131に戻る。全ての抽出ルールについて処理した場合には、元の処理に戻る。
Further, the monitor
なお、図38に示したように、各評価式候補については、その意味を判断しやすいように式の名称を作成して登録する場合もある。なお、パターンB及びGの場合には、例えば該当測定場所−対象1−対象2−一致率といったような命名ルールに基づき、より分かりやすく直すようにしても良い。パターンCOについては、例えば、命名ルール「該当測定場所−対象1−基準一致率」を採用して作成する。このルールについても分かりやすく直すようにしても良い。図25に示した基準の統制フローを参照して作成しても良い。 Note that, as shown in FIG. 38, for each evaluation formula candidate, the name of the formula may be created and registered so that the meaning can be easily determined. In the case of the patterns B and G, for example, the pattern may be corrected more easily based on a naming rule such as the corresponding measurement place-target 1-target 2-match rate. The pattern CO is created by adopting, for example, a naming rule “corresponding measurement location−target 1−reference matching rate”. You may make it easy to understand this rule. It may be created with reference to the standard control flow shown in FIG.
図7の処理の説明に戻って、ユーザは、例えばモニタ項目抽出部190に命じて、評価式候補を提示させる。提示された評価式候補の中で、ユーザは適切と思われる評価式(すなわち指標)を選択する。そして、当該評価式に従って、設定、測定、評価、改善を実施する(ステップS11)。
Returning to the description of the processing in FIG. 7, for example, the user instructs the monitor
具体的には、セキュリティ対策を実施するのがシステムの場合、選択した指標に含まれる測定対象を特定し、測定対象についてのデータを、セキュリティ対策を実施するシステムのログとして出力するための設定を行う。また、ログが存在しない場合は、セキュリティ対策を実施するシステムのログ設計を見直す際の情報に用いる。 Specifically, if the system is to implement security measures, specify the measurement target included in the selected index, and configure settings to output data about the measurement target as a log of the system that implements the security measure. Do. If there is no log, it is used as information for reviewing the log design of the system that implements security measures.
一方、セキュリティ対策を実施するのがシステム以外の場合、選択した指標に含まれる測定対象を特定し、測定項目一覧を作成する。また、測定項目の実体が存在しない場合は、実体を管理台帳等に作成するか、ヒアリング等で集めるなど収集方法を測定項目一覧に追加し、管理台帳等に記入する。 On the other hand, when the security measure is not implemented by the system, the measurement target included in the selected index is specified, and the measurement item list is created. If the measurement item does not exist, add the collection method to the measurement item list, such as creating the entity in the management ledger or collecting it by hearing, and enter it in the management ledger.
そして、上記設定に従い収集されたログ等の測定結果を参照し、選択した指標にあてはめてセキュリティ対策状況を数値で取得する。 Then, referring to the measurement results such as logs collected according to the above settings, the security measure status is obtained numerically by applying to the selected index.
この際、測定対象の数に対する測定結果が収集された割合を、測定実施率として算出する。例えば、特定の指標の対象が100あった場合、90のみ結果(OK又はNG)が得られた場合、測定実施率は90%となる。また、測定結果のうち正常を示す率を、対策実施率として算出する。特定の指標の測定結果90のうち、正常(すなわちOK)が90であった場合、対策実施率は100%となる。 At this time, the ratio at which the measurement results are collected with respect to the number of measurement objects is calculated as the measurement execution rate. For example, when there are 100 targets of a specific index, when only 90 results (OK or NG) are obtained, the measurement implementation rate is 90%. Moreover, the rate which shows a normal among measurement results is calculated as a countermeasure implementation rate. When the normal (that is, OK) is 90 among the measurement results 90 of the specific index, the countermeasure implementation rate is 100%.
測定したセキュリティ対策状況(指標の算出値)が、統制ルール及び統制リソースのルールを満たしているか(正確性)、また各実施率及び実施対象は適切か(網羅性)を評価する。 Evaluate whether the measured security countermeasure status (the calculated value of the index) meets the rules of control rules and control resources (accuracy), and whether each implementation rate and implementation target are appropriate (completeness).
正確性を表す指標は、予め決められた基準を超えているかどうか評価する。例えば、条件どおり承認されている割合という指標ということであれば、30%は100%以下なので、要改善と判断する。 It is evaluated whether the index representing accuracy exceeds a predetermined standard. For example, if the index is the ratio approved according to the conditions, 30% is 100% or less, so it is determined that improvement is necessary.
また、リソースを表す指標は、予め決められた基準(統制リソース情報定義にあるルール)にあっているかどうか評価する。例えば、承認者が幹部社員であることという指標であれば、「承認者」として集めた結果を参照して評価する。比較した結果100%であれば問題なしと判断する。 Further, it is evaluated whether or not the index representing the resource meets a predetermined standard (rule in the control resource information definition). For example, if it is an indicator that the approver is an executive employee, the evaluation is made with reference to the results collected as “approver”. If the result of the comparison is 100%, it is determined that there is no problem.
さらに、改善策を考える際にも、図35に示すような統制フローを参照して検討を行うことができる。例えば、許可を100%得て持ち出している状況でも、事件が発生している場合には、アクティビティ「持出しB」から遡ってその要素を検討してみる。そうすると、アクティビティ「承認」のガバナンス条件「確認事項」という要素があるが、実際にはその記入結果が悪いという状況を見出せば、この点を改善するといったような検討も可能となる。 Further, when considering improvement measures, it is possible to conduct a study with reference to a control flow as shown in FIG. For example, even when a case where a permission has been obtained and taken out is 100%, if an incident has occurred, the elements are examined retroactively from the activity “Bringout B”. Then, although there is an element of the governance condition “confirmation item” of the activity “approval”, if it is found that the entry result is actually bad, it is possible to consider such improvement.
以上本技術の実施の形態を説明したが、本技術はこれに限定されるものではない。例えば、図2に示した機能ブロック図は一例であって、データ格納態様や機能ブロック構成は、実際のファイル構成やプログラムモジュール構成と一致しない場合もある。 Although the embodiment of the present technology has been described above, the present technology is not limited to this. For example, the functional block diagram shown in FIG. 2 is an example, and the data storage mode and functional block configuration may not match the actual file configuration or program module configuration.
なお、上で述べた情報セキュリティ管理支援システム100は、コンピュータ装置であって、図39に示すように、メモリ2501とCPU2503とハードディスク・ドライブ(HDD)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。必要に応じてCPU2503は、表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ2501に格納され、必要があればHDD2505に格納される。本技術の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
The information security
以上述べた本実施の形態をまとめると、以下のようになる。 The above-described embodiment can be summarized as follows.
本情報セキュリティ管理支援方法は、(A)情報セキュリティ管理基準を基にIDEF0をベースとする所定のモデル記法に従って作成された統制フローについてのデータを格納する第1統制フロー格納部に格納された統制フローについてのデータと、統制ルール格納部に格納されており且つ所定のモデル記法に従って予め作成されているルールデータを比較する比較ステップと、(B)ルールデータに含まれる機能又はアクティビティ、並びに機能又はアクティビティの入力データ、出力データ、リソースデータ、ガバナンス条件データ及びイベント条件データのうち、比較ステップによって統制フローについてのデータにおいて不足している判定されたデータを特定する特定ステップと、(C)特定ステップによって特定されたデータを、ユーザに対して提示する提示ステップとを含む。 This information security management support method includes (A) a control stored in a first control flow storage unit that stores data on a control flow created according to a predetermined model notation based on IDEF0 based on information security management standards. A comparison step of comparing the data about the flow with the rule data stored in the control rule storage unit and created in advance according to a predetermined model notation, and (B) a function or activity included in the rule data, and a function or A specific step of identifying, among the input data of the activity, the output data, the resource data, the governance condition data, and the event condition data, data determined to be insufficient in the data regarding the control flow by the comparison step; and (C) a specific step The data identified by And a presentation step of presenting to the user.
このようなデータをユーザに自動的に提示することによって、最初に作成した統制フローについての問題点が直ぐに分かり修正できるようになるので、作業効率が向上する。 By automatically presenting such data to the user, problems regarding the initially created control flow can be immediately understood and corrected, thereby improving work efficiency.
また、上で述べたルールデータが、上記機能又はアクティビティ毎に、入力データと出力データとリソースデータとガバナンス条件データとイベント条件データとのうち必須データを含む機能モデル定義データを含むようにしてもよい。その場合、上で述べた比較ステップが、統制フローに含まれるアクティビティ毎に、ルールデータから該当する機能又はアクティビティについての機能モデル定義データを抽出して比較するステップを含むようにしてもよい。さらに、上で述べた特定ステップが、抽出された機能モデル定義データに含まれる必須データのうち、上記アクティビティについて不足しているデータを特定するステップを含むようにしてもよい。このようにすれば、機能又はアクティビティ毎に、不足データが特定されるようになる。従って、効率的に不足データを補うことができるようになる。 Further, the rule data described above may include functional model definition data including essential data among input data, output data, resource data, governance condition data, and event condition data for each function or activity. In that case, the comparison step described above may include a step of extracting and comparing the function model definition data for the corresponding function or activity from the rule data for each activity included in the control flow. Further, the specifying step described above may include a step of specifying data that is insufficient for the activity among the essential data included in the extracted functional model definition data. In this way, deficient data is identified for each function or activity. Accordingly, it is possible to efficiently compensate for the missing data.
また、上で述べた比較ステップが、統制フローに含まれる各アクティビティの第1の入力データと、機能モデル定義データに含まれる第2の入力データとを比較するステップを含むようにしてもよい。さらに、上で述べた特定ステップが、統制フローに含まれるアクティビティの第1の入力データと一致又は部分一致する、機能モデル定義データの第2の入力データが存在する場合には、当該機能モデル定義データの機能又はアクティビティを特定するステップと、特定された機能又はアクティビティが、第1の入力データのアクティビティと対応関係がない場合、特定された機能又はアクティビティを、不足している機能又はアクティビティとして特定するステップとを含む。このようにすれば、不足しているアクティビティが特定されるようになる。従って、効率的に不足アクティビティを補うことができるようになる。 Further, the comparison step described above may include a step of comparing the first input data of each activity included in the control flow with the second input data included in the functional model definition data. Furthermore, when the second input data of the function model definition data exists in which the specific step described above matches or partially matches the first input data of the activity included in the control flow, the function model definition Identifying the function or activity of the data and if the identified function or activity is not associated with the activity of the first input data, identify the identified function or activity as the missing function or activity Including the step of. In this way, the missing activity is identified. Therefore, the deficient activity can be efficiently compensated.
さらに、上で述べたルールデータが、複数の機能又アクティビティを含み且つ当該複数の機能又はアクティビティの連結関係に関する機能セット定義データを含むようにしてもよい。この場合、上で述べた比較ステップが、統制フローに含まれる各アクティビティと、機能セット定義データとを比較するステップを含むようにしてもよい。さらに、上で述べた特定ステップが、統制フローに含まれる特定のアクティビティが、特定の機能セット定義データに含まれる複数の機能又はアクティビティに含まれる場合、統制フロー中、特定の機能セット定義データで規定される連結関係に従ってアクティビティが連結されているか確認するステップと、特定の機能セット定義データに含まれる複数の機能又はアクティビティのうち統制フロー中含まれない機能又はアクティビティを抽出するステップと、を含むようにしてもよい。このようにすれば、統制フローにおけるアクティビティの連結関係において、ルールに従っていない部分から、不足アクティビティを指摘することができるようになる。 Furthermore, the rule data described above may include a plurality of functions or activities and include function set definition data related to a connection relationship between the plurality of functions or activities. In this case, the comparison step described above may include a step of comparing each activity included in the control flow with the function set definition data. In addition, the specific steps described above may require that a specific function set definition data be included in the control flow if the specific activity included in the control flow is included in multiple functions or activities included in the specific function set definition data. A step of confirming whether the activity is linked according to the prescribed linkage relationship, and a step of extracting a function or activity that is not included in the control flow among a plurality of functions or activities included in the specific function set definition data. You may make it. In this way, it becomes possible to point out the deficient activity from the part that does not follow the rules in the connection relationship of the activities in the control flow.
また、上で述べた第1統制フロー格納部には、複数の統制フローについてのデータが格納される場合もある。このような場合、本情報セキュリティ管理支援方法は、第1の統制フローのガバナンス条件データと、第2の統制フローに含まれるアクティビティの入力データ、出力データ、ガバナンス条件データ及びイベント条件データのうち一致又は部分一致するデータが存在するか判断するステップと、一致又は部分一致するデータが存在する場合には、当該データと当該データについてのアクティビティと当該アクティビティを含む第2の統制フローとを、ユーザに提示するステップと、一致又は部分一致するデータがいずれの統制フローにも存在しない場合には、対応データがないことを、ユーザに提示するステップとをさらに含むようにしてもよい。このような処理を行えば、統制フローの連結を行うことができるようになる。 The first control flow storage unit described above may store data regarding a plurality of control flows. In such a case, this information security management support method matches the governance condition data of the first control flow with the activity input data, output data, governance condition data, and event condition data included in the second control flow. Or if there is data that matches or partially matches, and if there is data that matches or partially matches, the data, the activity for the data, and the second control flow including the activity are sent to the user. It may further include a step of presenting and a step of presenting to the user that there is no corresponding data when there is no matching or partial matching data in any control flow. By performing such a process, it becomes possible to link the control flows.
さらに、上で述べた情報セキュリティ管理支援方法は、上記提示ステップに応じて修正された統制フローである基準統制フローについてのデータが第1統制フロー格納部に格納されている場合、情報セキュリティ管理基準を基に作成された統制フローに含まれる各アクティビティについての各データ要素に対する実体データを統制リソース定義データとして格納する統制リソース定義データ格納部から、基準統制フローに含まれる各アクティビティについての各データ要素に対応する、統制リソース定義データにおけるデータ要素に対する実体データを抽出するステップと、抽出された実体データによって、基準統制フローに含まれる該当アクティビティについての該当データ要素についての該当データを置換し、置換後の基準統制フローについてのデータを、現状統制フローについてのデータとして第2統制フローデータ格納部に格納するステップとをさらに含むようにしてもよい。このようにすれば、情報セキュリティ管理基準とノウハウに基づくルールとから生成された基準統制ルールに対して、実体データを自動的に当てはめることができるようになる。 Further, the information security management support method described above is configured so that the information security management standard is stored when data on the standard control flow, which is the control flow modified according to the presenting step, is stored in the first control flow storage unit. Each data element for each activity included in the reference control flow from the control resource definition data storage unit that stores the actual data for each data element for each activity included in the control flow created based on the control resource definition data Extracting the entity data for the data element in the control resource definition data corresponding to, and replacing the corresponding data for the corresponding data element for the corresponding activity included in the standard control flow with the extracted entity data. Standard control flow The data you are, may further include the steps of storing as data about the current state control flow in the second control flow data storage unit. In this way, the entity data can be automatically applied to the standard control rule generated from the information security management standard and the rule based on know-how.
さらに、上で述べた統制ルール格納部において、情報セキュリティ管理基準についての評価指標毎に当該評価指標に用いられるデータ要素及び当該データ要素を含む評価式のデータが登録されるようになってもよい。この場合、本情報セキュリティ管理支援方法は、第2統制フローデータ格納部に格納されている現状統制フローについてのデータから、統制ルール格納部に格納されている各評価指標に用いられるデータ要素に該当するデータを抽出し、当該評価指標についての評価式のデータに従って評価式を生成し、評価指標候補データ格納部に格納するステップとをさらに含むようにしてもよい。このようにすれば、情報セキュリティ管理基準を実施する上で対策の良否などを判断するための評価指標の候補を自動生成することができるようになる。 Furthermore, in the control rule storage unit described above, data elements used for the evaluation index and evaluation formula data including the data element may be registered for each evaluation index for the information security management standard. . In this case, this information security management support method corresponds to the data element used for each evaluation index stored in the control rule storage unit from the data on the current control flow stored in the second control flow data storage unit. A step of extracting data to be generated, generating an evaluation formula according to the data of the evaluation formula for the evaluation index, and storing it in the evaluation index candidate data storage unit. In this way, it becomes possible to automatically generate evaluation index candidates for judging the quality of measures in implementing the information security management standard.
また、本情報セキュリティ管理支援方法は、第1及び第2統制フローデータ格納部に格納されている基準統制フロー及び現状統制フローについてのデータから、統制ルール格納部に格納されている各評価指標に用いられるデータ要素に該当するデータを抽出し、当該評価指標についての評価式のデータに従って評価式を生成し、評価指標候補データ格納部に格納するステップをさらに含むようにしてもよい。このような評価指標も自動生成される場合がある。 In addition, this information security management support method uses the data on the reference control flow and the current control flow stored in the first and second control flow data storage units to evaluate each evaluation index stored in the control rule storage unit. The method may further include a step of extracting data corresponding to the data element to be used, generating an evaluation formula according to the data of the evaluation formula for the evaluation index, and storing the evaluation formula in the evaluation index candidate data storage unit. Such an evaluation index may also be automatically generated.
なお、上で述べたような処理をコンピュータに実施させるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブル・ディスク、CD−ROM、光磁気ディスク、半導体メモリ(例えばROM)、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。なお、処理途中のデータについては、RAM等の記憶装置に一時保管される。 A program for causing a computer to perform the processing described above can be created, such as a flexible disk, a CD-ROM, a magneto-optical disk, a semiconductor memory (for example, ROM), a hard disk, etc. Stored in a computer-readable storage medium or storage device. Note that data being processed is temporarily stored in a storage device such as a RAM.
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。 The following supplementary notes are further disclosed with respect to the embodiments including the above examples.
(付記1)
情報セキュリティ管理基準を基にIDEF0をベースとする所定のモデル記法に従って作成された統制フローについてのデータを格納する第1統制フロー格納部に格納された前記統制フローについてのデータと、統制ルール格納部に格納されており且つ前記所定のモデル記法に従って予め作成されているルールデータとを比較する比較ステップと、
前記ルールデータに含まれる機能又はアクティビティ、並びに前記機能又はアクティビティの入力データ、出力データ、リソースデータ、ガバナンス条件データ及びイベント条件データのうち、前記比較ステップによって前記統制フローについてのデータにおいて不足していると判定されたデータを特定する特定ステップと、
前記特定ステップによって特定されたデータを、ユーザに対して提示する提示ステップと、
を含み、コンピュータにより実行される情報セキュリティ管理支援方法。
(Appendix 1)
Data on the control flow stored in the first control flow storage unit for storing data on the control flow created according to a predetermined model notation based on IDEF0 based on the information security management standard, and a control rule storage unit And a comparison step for comparing the rule data stored in advance and prepared in advance according to the predetermined model notation,
Of the functions or activities included in the rule data, and the input data, output data, resource data, governance condition data, and event condition data of the functions or activities, there is a deficiency in the data regarding the control flow by the comparison step. A specific step of identifying the data determined to be,
A presenting step of presenting the data identified by the identifying step to the user;
An information security management support method that is executed by a computer.
(付記2)
前記ルールデータが、前記機能又はアクティビティ毎に、入力データと出力データとリソースデータとガバナンス条件データとイベント条件データとのうち必須データを含む機能モデル定義データを含み、
前記比較ステップが、
前記統制フローに含まれる前記アクティビティ毎に、前記ルールデータから該当する前記機能又はアクティビティについての機能モデル定義データを抽出して比較するステップ
を含み、
前記特定ステップが、
抽出された前記機能モデル定義データに含まれる前記必須データのうち、前記アクティビティについて不足しているデータを特定するステップ
を含む付記1記載の情報セキュリティ管理支援方法。
(Appendix 2)
The rule data includes function model definition data including essential data among input data, output data, resource data, governance condition data, and event condition data for each function or activity,
The comparing step comprises:
Extracting and comparing the function model definition data for the corresponding function or activity from the rule data for each of the activities included in the control flow, and
The specific step includes
The information security management support method according to
(付記3)
前記ルールデータが、前記機能又はアクティビティ毎に、入力データと出力データとリソースデータとガバナンス条件データとイベント条件データとのうち必須データを含む機能モデル定義データを含み、
前記比較ステップが、
前記統制フローに含まれる各前記アクティビティの第1の入力データと、前記機能モデル定義データに含まれる第2の入力データとを比較するステップ
を含み、
前記特定ステップが、
前記統制フローに含まれる前記アクティビティの第1の入力データと一致又は部分一致する、前記機能モデル定義データの第2の入力データが存在する場合には、当該機能モデル定義データの機能又はアクティビティを特定するステップと、
特定された前記機能又はアクティビティが、前記第1の入力データの前記アクティビティと対応関係がない場合、特定された前記機能又はアクティビティを、不足している前記機能又はアクティビティとして特定するステップと、
を含む付記1又は2記載の情報セキュリティ管理支援方法。
(Appendix 3)
The rule data includes function model definition data including essential data among input data, output data, resource data, governance condition data, and event condition data for each function or activity,
The comparing step comprises:
Comparing the first input data of each of the activities included in the control flow with the second input data included in the functional model definition data,
The specific step includes
When there is second input data of the functional model definition data that matches or partially matches the first input data of the activity included in the control flow, the function or activity of the functional model definition data is specified. And steps to
Identifying the identified function or activity as the missing function or activity if the identified function or activity is not associated with the activity of the first input data;
The information security management support method according to
(付記4)
前記ルールデータが、複数の機能又はアクティビティを含み且つ当該複数の機能又はアクティビティの連結関係に関する機能セット定義データを含み、
前記比較ステップが、
前記統制フローに含まれる各前記アクティビティと、前記機能セット定義データとを比較するステップ
を含み、
前記特定ステップが、
前記統制フローに含まれる特定のアクティビティが、特定の機能セット定義データに含まれる前記複数の機能又はアクティビティに含まれる場合、前記統制フロー中、前記特定の機能セット定義データで規定される連結関係に従って前記アクティビティが連結されているか確認するステップと、
前記特定の機能セット定義データに含まれる前記複数の機能又はアクティビティのうち前記統制フロー中に含まれない機能又はアクティビティを抽出するステップと、
を含む付記1乃至3のいずれか1つ記載の情報セキュリティ管理支援方法。
(Appendix 4)
The rule data includes a plurality of functions or activities and includes function set definition data related to a connection relationship between the plurality of functions or activities.
The comparing step comprises:
Comparing each of the activities included in the control flow with the function set definition data,
The specific step includes
When the specific activity included in the control flow is included in the plurality of functions or activities included in the specific function set definition data, according to the connection relationship defined in the specific function set definition data during the control flow. Checking whether the activity is linked;
Extracting a function or activity not included in the control flow from the plurality of functions or activities included in the specific function set definition data;
The information security management support method according to any one of
(付記5)
前記第1統制フロー格納部には、複数の統制フローについてのデータが格納されており、
第1の統制フローのガバナンス条件データと、第2の統制フローに含まれる前記アクティビティの入力データ、出力データ、ガバナンス条件データ及びイベント条件データのうち一致又は部分一致するデータが存在するか判断するステップと、
一致又は部分一致するデータが存在する場合には、当該データと当該データについての前記アクティビティと当該アクティビティを含む前記第2の統制フローとを、ユーザに提示するステップと、
一致又は部分一致するデータがいずれの統制フローにも存在しない場合には、対応データがないことを、ユーザに提示するステップと、
をさらに含む付記1乃至4のいずれか1つ記載の情報セキュリティ管理支援方法。
(Appendix 5)
The first control flow storage unit stores data on a plurality of control flows.
A step of determining whether there is data that matches or partially matches among the governance condition data of the first control flow and the input data, output data, governance condition data, and event condition data of the activity included in the second control flow When,
Presenting the data, the activity for the data, and the second control flow including the activity to the user if there is matching or partial matching data;
If no matching or partial matching data exists in any control flow, presenting to the user that there is no corresponding data; and
The information security management support method according to any one of
(付記6)
前記提示ステップに応じて修正された統制フローである基準統制フローについてのデータが前記第1統制フロー格納部に格納されている場合、前記情報セキュリティ管理基準を基に作成された前記統制フローに含まれる各前記アクティビティについての各データ要素に対する実体データを統制リソース定義データとして格納する統制リソース定義データ格納部から、前記基準統制フローに含まれる各前記アクティビティについての各データ要素に対応する、前記統制リソース定義データにおけるデータ要素に対する実体データを抽出するステップと、
抽出された前記実体データによって、前記基準統制フローに含まれる該当アクティビティについての該当データ要素についての該当データを置換し、置換後の前記基準統制フローについてのデータを、現状統制フローについてのデータとして第2統制フローデータ格納部に格納するステップと、
をさらに含む付記1乃至5のいずれか1つ記載の情報セキュリティ管理支援方法。
(Appendix 6)
When data on a standard control flow, which is a control flow modified in accordance with the presenting step, is stored in the first control flow storage unit, it is included in the control flow created based on the information security management standard The control resource corresponding to each data element for each activity included in the reference control flow from a control resource definition data storage unit that stores entity data for each data element for each activity as control resource definition data Extracting entity data for data elements in the definition data;
The extracted entity data replaces the corresponding data for the corresponding data element for the corresponding activity included in the reference control flow, and the data for the reference control flow after the replacement is the data for the current control flow. 2 storing in the control flow data storage unit;
The information security management support method according to any one of
(付記7)
前記統制ルール格納部において、前記情報セキュリティ管理基準についての評価指標毎に当該評価指標に用いられるデータ要素及び当該データ要素を含む評価式のデータが登録されており、
前記第2統制フローデータ格納部に格納されている前記現状統制フローについてのデータから、前記統制ルール格納部に格納されている各前記評価指標に用いられる前記データ要素に該当するデータを抽出し、当該評価指標についての前記評価式のデータに従って評価式を生成し、評価指標候補データ格納部に格納するステップと、
をさらに含む付記6記載の情報セキュリティ管理支援方法。
(Appendix 7)
In the control rule storage unit, for each evaluation index for the information security management standard, data elements used for the evaluation index and evaluation formula data including the data element are registered,
Extracting data corresponding to the data elements used for each of the evaluation indexes stored in the control rule storage unit from data on the current control flow stored in the second control flow data storage unit, Generating an evaluation formula according to the data of the evaluation formula for the evaluation index, and storing it in the evaluation index candidate data storage unit;
The information security management support method according to appendix 6, further comprising:
(付記8)
前記第1及び第2統制フローデータ格納部に格納されている前記基準統制フロー及び現状統制フローについてのデータから、前記統制ルール格納部に格納されている各前記評価指標に用いられる前記データ要素に該当するデータを抽出し、当該評価指標についての前記評価式のデータに従って評価式を生成し、評価指標候補データ格納部に格納するステップ
をさらに含む付記7記載の情報セキュリティ管理支援方法。
(Appendix 8)
From the data on the reference control flow and the current control flow stored in the first and second control flow data storage units to the data elements used for the respective evaluation indexes stored in the control rule storage unit The information security management support method according to
(付記9)
付記1乃至8のいずれか1つ記載の情報セキュリティ管理支援方法をコンピュータに実行させるためのプログラム。
(Appendix 9)
A program for causing a computer to execute the information security management support method according to any one of
(付記10)
情報セキュリティ管理基準を基にIDEF0をベースとする所定のモデル記法に従って作成された統制フローについてのデータを格納する第1統制フロー格納部に格納された前記統制フローについてのデータと、統制ルール格納部に格納されており且つ前記所定のモデル記法に従って予め作成されているルールデータを比較する比較手段と、
前記ルールデータに含まれる機能又はアクティビティ、並びに前記機能又はアクティビティの入力データ、出力データ、リソースデータ、ガバナンス条件データ及びイベント条件データのうち、前記比較ステップによって前記統制フローについてのデータにおいて不足している判定されたデータを特定する特定手段と、
前記特定ステップによって特定されたデータを、ユーザに対して提示する提示手段と、
を有する情報セキュリティ管理支援装置。
(Appendix 10)
Data on the control flow stored in the first control flow storage unit for storing data on the control flow created according to a predetermined model notation based on IDEF0 based on the information security management standard, and a control rule storage unit Comparing means for comparing rule data stored in advance and prepared in advance according to the predetermined model notation,
Of the functions or activities included in the rule data, and the input data, output data, resource data, governance condition data, and event condition data of the functions or activities, there is a deficiency in the data regarding the control flow by the comparison step. An identifying means for identifying the determined data;
Presenting means for presenting the data identified in the identifying step to the user;
An information security management support apparatus.
110 統制ルール格納部 120 統制フロー編集部
130 統制ルール割当部 140 第1統制フロー格納部
150 統制リソース編集部 160 統制リソースデータ格納部
170 統制リソース割当部 180 第2統制フロー格納部
190 モニタ項目抽出部 200 評価指標候補データ格納部
110 Control
Claims (10)
前記ルールデータに含まれる機能又はアクティビティ、並びに前記機能又はアクティビティの入力データ、出力データ、リソースデータ、ガバナンス条件データ及びイベント条件データのうち、前記比較ステップによって前記統制フローについてのデータにおいて不足していると判定されたデータを特定する特定ステップと、
前記特定ステップによって特定されたデータを、ユーザに対して提示する提示ステップと、
を含み、コンピュータにより実行される情報セキュリティ管理支援方法。 Data on the control flow stored in the first control flow storage unit for storing data on the control flow created according to a predetermined model notation based on IDEF0 based on the information security management standard, and a control rule storage unit And a comparison step for comparing the rule data stored in advance and prepared in advance according to the predetermined model notation,
Of the functions or activities included in the rule data, and the input data, output data, resource data, governance condition data, and event condition data of the functions or activities, there is a deficiency in the data regarding the control flow by the comparison step. A specific step of identifying the data determined to be,
A presenting step of presenting the data identified by the identifying step to the user;
An information security management support method that is executed by a computer.
前記比較ステップが、
前記統制フローに含まれる前記アクティビティ毎に、前記ルールデータから該当する前記機能又はアクティビティについての機能モデル定義データを抽出して比較するステップ
を含み、
前記特定ステップが、
抽出された前記機能モデル定義データに含まれる前記必須データのうち、前記アクティビティについて不足しているデータを特定するステップ
を含む請求項1記載の情報セキュリティ管理支援方法。 The rule data includes function model definition data including essential data among input data, output data, resource data, governance condition data, and event condition data for each function or activity,
The comparing step comprises:
Extracting and comparing the function model definition data for the corresponding function or activity from the rule data for each of the activities included in the control flow, and
The specific step includes
2. The information security management support method according to claim 1, further comprising: identifying data that is deficient in the activity among the essential data included in the extracted function model definition data.
前記比較ステップが、
前記統制フローに含まれる各前記アクティビティの第1の入力データと、前記機能モデル定義データに含まれる第2の入力データとを比較するステップ
を含み、
前記特定ステップが、
前記統制フローに含まれる前記アクティビティの第1の入力データと一致又は部分一致する、前記機能モデル定義データの第2の入力データが存在する場合には、当該機能モデル定義データの機能又はアクティビティを特定するステップと、
特定された前記機能又はアクティビティが、前記第1の入力データの前記アクティビティと対応関係がない場合、特定された前記機能又はアクティビティを、不足している前記機能又はアクティビティとして特定するステップと、
を含む請求項1又は2記載の情報セキュリティ管理支援方法。 The rule data includes function model definition data including essential data among input data, output data, resource data, governance condition data, and event condition data for each function or activity,
The comparing step comprises:
Comparing the first input data of each of the activities included in the control flow with the second input data included in the functional model definition data,
The specific step includes
When there is second input data of the functional model definition data that matches or partially matches the first input data of the activity included in the control flow, the function or activity of the functional model definition data is specified. And steps to
Identifying the identified function or activity as the missing function or activity if the identified function or activity is not associated with the activity of the first input data;
The information security management support method according to claim 1 or 2, further comprising:
前記比較ステップが、
前記統制フローに含まれる各前記アクティビティと、前記機能セット定義データとを比較するステップ
を含み、
前記特定ステップが、
前記統制フローに含まれる特定のアクティビティが、特定の機能セット定義データに含まれる前記複数の機能又はアクティビティに含まれる場合、前記統制フロー中、前記特定の機能セット定義データで規定される連結関係に従って前記アクティビティが連結されているか確認するステップと、
前記特定の機能セット定義データに含まれる前記複数の機能又はアクティビティのうち前記統制フロー中に含まれない機能又はアクティビティを抽出するステップと、
を含む請求項1乃至3のいずれか1つ記載の情報セキュリティ管理支援方法。 The rule data includes a plurality of functions or activities and includes function set definition data related to a connection relationship between the plurality of functions or activities.
The comparing step comprises:
Comparing each of the activities included in the control flow with the function set definition data,
The specific step includes
When the specific activity included in the control flow is included in the plurality of functions or activities included in the specific function set definition data, according to the connection relationship defined in the specific function set definition data during the control flow. Checking whether the activity is linked;
Extracting a function or activity not included in the control flow from the plurality of functions or activities included in the specific function set definition data;
The information security management support method according to any one of claims 1 to 3, further comprising:
第1の統制フローのガバナンス条件データと、第2の統制フローに含まれる前記アクティビティの入力データ、出力データ、ガバナンス条件データ及びイベント条件データのうち一致又は部分一致するデータが存在するか判断するステップと、
一致又は部分一致するデータが存在する場合には、当該データと当該データについての前記アクティビティと当該アクティビティを含む前記第2の統制フローとを、ユーザに提示するステップと、
一致又は部分一致するデータがいずれの統制フローにも存在しない場合には、対応データがないことを、ユーザに提示するステップと、
をさらに含む請求項1乃至4のいずれか1つ記載の情報セキュリティ管理支援方法。 The first control flow storage unit stores data on a plurality of control flows.
A step of determining whether there is data that matches or partially matches among the governance condition data of the first control flow and the input data, output data, governance condition data, and event condition data of the activity included in the second control flow When,
Presenting the data, the activity for the data, and the second control flow including the activity to the user if there is matching or partial matching data;
If no matching or partial matching data exists in any control flow, presenting to the user that there is no corresponding data; and
The information security management support method according to any one of claims 1 to 4, further comprising:
抽出された前記実体データによって、前記基準統制フローに含まれる該当アクティビティについての該当データ要素についての該当データを置換し、置換後の前記基準統制フローについてのデータを、現状統制フローについてのデータとして現状統制フローデータ格納部に格納するステップと、
をさらに含む請求項1乃至5のいずれか1つ記載の情報セキュリティ管理支援方法。 When data on a standard control flow, which is a control flow modified in accordance with the presenting step, is stored in the first control flow storage unit, it is included in the control flow created based on the information security management standard The control resource corresponding to each data element for each activity included in the reference control flow from a control resource definition data storage unit that stores entity data for each data element for each activity as control resource definition data Extracting entity data for data elements in the definition data;
The extracted entity data replaces the corresponding data for the corresponding data element for the corresponding activity included in the reference control flow, and the data for the reference control flow after the replacement is used as the data for the current control flow. Storing in the control flow data storage;
The information security management support method according to any one of claims 1 to 5, further comprising:
前記第2統制フローデータ格納部に格納されている前記現状統制フローについてのデータから、前記統制ルール格納部に格納されている各前記評価指標に用いられる前記データ要素に該当するデータを抽出し、当該評価指標についての前記評価式のデータに従って評価式を生成し、評価指標候補データ格納部に格納するステップと、
をさらに含む請求項6記載の情報セキュリティ管理支援方法。 In the control rule storage unit, for each evaluation index for the information security management standard, data elements used for the evaluation index and evaluation formula data including the data element are registered,
Extracting data corresponding to the data elements used for each of the evaluation indexes stored in the control rule storage unit from data on the current control flow stored in the second control flow data storage unit, Generating an evaluation formula according to the data of the evaluation formula for the evaluation index, and storing it in the evaluation index candidate data storage unit;
The information security management support method according to claim 6, further comprising:
をさらに含む請求項7記載の情報セキュリティ管理支援方法。 From the data on the reference control flow and the current control flow stored in the first and second control flow data storage units to the data elements used for the respective evaluation indexes stored in the control rule storage unit The information security management support method according to claim 7, further comprising: extracting corresponding data, generating an evaluation formula according to the data of the evaluation formula for the evaluation index, and storing the evaluation formula in the evaluation index candidate data storage unit.
前記ルールデータに含まれる機能又はアクティビティ、並びに前記機能又はアクティビティの入力データ、出力データ、リソースデータ、ガバナンス条件データ及びイベント条件データのうち、前記比較ステップによって前記統制フローについてのデータにおいて不足している判定されたデータを特定する特定手段と、
前記特定ステップによって特定されたデータを、ユーザに対して提示する提示手段と、
を有する情報セキュリティ管理支援装置。 Data on the control flow stored in the first control flow storage unit for storing data on the control flow created according to a predetermined model notation based on IDEF0 based on the information security management standard, and a control rule storage unit Comparing means for comparing rule data stored in advance and prepared in advance according to the predetermined model notation,
Of the functions or activities included in the rule data, and the input data, output data, resource data, governance condition data, and event condition data of the functions or activities, there is a deficiency in the data regarding the control flow by the comparison step. An identifying means for identifying the determined data;
Presenting means for presenting the data identified in the identifying step to the user;
An information security management support apparatus.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010101121A JP5510031B2 (en) | 2010-04-26 | 2010-04-26 | Information security management support method and apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010101121A JP5510031B2 (en) | 2010-04-26 | 2010-04-26 | Information security management support method and apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011232874A true JP2011232874A (en) | 2011-11-17 |
JP5510031B2 JP5510031B2 (en) | 2014-06-04 |
Family
ID=45322145
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010101121A Expired - Fee Related JP5510031B2 (en) | 2010-04-26 | 2010-04-26 | Information security management support method and apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5510031B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013081185A1 (en) * | 2011-12-01 | 2013-06-06 | 日本電気株式会社 | Security verification device and security verification method |
WO2014061326A1 (en) * | 2012-10-15 | 2014-04-24 | 日本電気株式会社 | Security-function-design support device, security-function-design support method, and program |
WO2014061325A1 (en) * | 2012-10-15 | 2014-04-24 | 日本電気株式会社 | Security-function-design support device, security-function-design support method, and program |
CN109242164A (en) * | 2018-08-22 | 2019-01-18 | 中国平安人寿保险股份有限公司 | Optimize method and device, the computer storage medium, electronic equipment in product path |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001243341A (en) * | 2000-03-01 | 2001-09-07 | Yamatake Corp | Method and device for preparing function block model |
WO2006033159A1 (en) * | 2004-09-24 | 2006-03-30 | Fujitsu Limited | Program, method, and apparatus for assisting creation of business model chart |
WO2008018132A1 (en) * | 2006-08-09 | 2008-02-14 | Fujitsu Limited | Business flow chart editing program and business flow chart editing method |
JP2008310566A (en) * | 2007-06-14 | 2008-12-25 | Hitachi Ltd | Business process creation method, business process creation device and business process creation program |
JP2009277140A (en) * | 2008-05-16 | 2009-11-26 | Ricoh Co Ltd | Information processor, processing flow creation system, processing flow display method, processing flow display program, and recording medium |
-
2010
- 2010-04-26 JP JP2010101121A patent/JP5510031B2/en not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001243341A (en) * | 2000-03-01 | 2001-09-07 | Yamatake Corp | Method and device for preparing function block model |
WO2006033159A1 (en) * | 2004-09-24 | 2006-03-30 | Fujitsu Limited | Program, method, and apparatus for assisting creation of business model chart |
WO2008018132A1 (en) * | 2006-08-09 | 2008-02-14 | Fujitsu Limited | Business flow chart editing program and business flow chart editing method |
JP2008310566A (en) * | 2007-06-14 | 2008-12-25 | Hitachi Ltd | Business process creation method, business process creation device and business process creation program |
JP2009277140A (en) * | 2008-05-16 | 2009-11-26 | Ricoh Co Ltd | Information processor, processing flow creation system, processing flow display method, processing flow display program, and recording medium |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013081185A1 (en) * | 2011-12-01 | 2013-06-06 | 日本電気株式会社 | Security verification device and security verification method |
JP5376101B1 (en) * | 2011-12-01 | 2013-12-25 | 日本電気株式会社 | Security verification apparatus and security verification method |
US9454660B2 (en) | 2011-12-01 | 2016-09-27 | Nec Corporation | Security verification device and a security verification method |
WO2014061326A1 (en) * | 2012-10-15 | 2014-04-24 | 日本電気株式会社 | Security-function-design support device, security-function-design support method, and program |
WO2014061325A1 (en) * | 2012-10-15 | 2014-04-24 | 日本電気株式会社 | Security-function-design support device, security-function-design support method, and program |
JPWO2014061325A1 (en) * | 2012-10-15 | 2016-09-05 | 日本電気株式会社 | Security function design support device, security function design support method, and program |
JPWO2014061326A1 (en) * | 2012-10-15 | 2016-09-05 | 日本電気株式会社 | Security function design support device, security function design support method, and program |
US9602542B2 (en) | 2012-10-15 | 2017-03-21 | Nec Corporation | Security-function-design support device, security-function-design support method, and program storage medium |
US9767269B2 (en) | 2012-10-15 | 2017-09-19 | Nec Corporation | Security-function-design support device, security-function-design support method, and program |
CN109242164A (en) * | 2018-08-22 | 2019-01-18 | 中国平安人寿保险股份有限公司 | Optimize method and device, the computer storage medium, electronic equipment in product path |
CN109242164B (en) * | 2018-08-22 | 2022-04-26 | 中国平安人寿保险股份有限公司 | Method and device for optimizing product path, computer storage medium and electronic equipment |
Also Published As
Publication number | Publication date |
---|---|
JP5510031B2 (en) | 2014-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7574379B2 (en) | Method and system of using artifacts to identify elements of a component business model | |
CN111190881A (en) | Data management method and system | |
US20050197952A1 (en) | Risk mitigation management | |
US20080066049A1 (en) | Method for enforcing change policy based on project state | |
US20180343285A1 (en) | Managing access in one or more computing systems | |
WO2016090010A1 (en) | Workflow definition, orchestration and enforcement via a collaborative interface according to a hierarchical checklist | |
US9146945B2 (en) | Automated system and method of data scrubbing | |
US20230281342A1 (en) | Granting entitlements to log data generated by a data privacy pipeline to facilitate debugging | |
WO2023167761A1 (en) | Debugging data privacy pipelines using sample data | |
JP5510031B2 (en) | Information security management support method and apparatus | |
US9047575B2 (en) | Creative process modeling and tracking system | |
JP4709876B2 (en) | Compliance system check support system, compliance system check support method, and compliance system check support program | |
JP5119816B2 (en) | Business risk management device, method and program | |
US11922145B2 (en) | Initiating data privacy pipelines using reusable templates | |
US20140149186A1 (en) | Method and system of using artifacts to identify elements of a component business model | |
Borek et al. | A risk management approach to improving information quality for operational and strategic management | |
JP2008052347A (en) | Document processor and document processing program | |
US20080195453A1 (en) | Organisational Representational System | |
Ilahi et al. | BPFlexTemplate: A Business Process template generation tool based on similarity and flexibility | |
Thomas et al. | An innovative and automated solution for NERC PRC-027-1 compliance | |
Marcovitch et al. | A data ethics framework for responsible responsive organizations in the digital world | |
Staron et al. | Measurement Program | |
Sanchez et al. | Specifying the information requirements for Forensic Delay Analysis | |
US20240184542A1 (en) | Initiating data privacy pipelines using reusable templates | |
US20240086809A1 (en) | Process Variation Management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130206 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131210 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140131 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140225 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140310 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5510031 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |