JP6952090B2 - Generator, program, and generation method - Google Patents
Generator, program, and generation method Download PDFInfo
- Publication number
- JP6952090B2 JP6952090B2 JP2019191206A JP2019191206A JP6952090B2 JP 6952090 B2 JP6952090 B2 JP 6952090B2 JP 2019191206 A JP2019191206 A JP 2019191206A JP 2019191206 A JP2019191206 A JP 2019191206A JP 6952090 B2 JP6952090 B2 JP 6952090B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- level
- data
- security
- display data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 30
- 238000004891 communication Methods 0.000 claims description 263
- 238000012545 processing Methods 0.000 description 11
- 238000007726 management method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Tourism & Hospitality (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Primary Health Care (AREA)
- Marketing (AREA)
- Human Resources & Organizations (AREA)
- Economics (AREA)
- Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、生成装置、プログラム、及び生成方法に関する。 The present invention relates to a generator, a program, and a generator.
セキュリティ診断情報を用いてセキュリティハザードマップを生成する技術が知られていた。(例えば、特許文献1参照)。
[先行技術文献]
[特許文献]
[特許文献1]特開2004−234401号公報
A technique for generating a security hazard map using security diagnostic information has been known. (See, for example, Patent Document 1).
[Prior art literature]
[Patent Document]
[Patent Document 1] Japanese Unexamined Patent Publication No. 2004-234401
複数の会社のそれぞれが抱えるセキュリティリスクを把握しやすいセキュリティハザードマップを生成することが望ましい。 It is desirable to generate a security hazard map that makes it easy to understand the security risks of each of multiple companies.
本発明の第1の態様によれば、生成装置が提供される。生成装置は、対象の会社におけるインターネットを介した社内の通信元と社外の通信先との通信のセキュリティリスクレベルを特定するレベル特定部を備えてよい。生成装置は、通信を表す通信オブジェクトに、レベル特定部によって特定されたセキュリティリスクレベルに応じたリスクオブジェクトを対応付けて表示する表示データを生成する表示データ生成部を備えてよい。 According to the first aspect of the present invention, a generator is provided. The generator may include a level identification unit that specifies the security risk level of communication between an internal communication source and an external communication destination via the Internet in the target company. The generation device may include a display data generation unit that generates display data for displaying a communication object representing communication in association with a risk object corresponding to a security risk level specified by the level specification unit.
上記レベル特定部は、上記対象の会社におけるインターネットを介した複数の社内の通信元と複数の社外の通信先とのそれぞれの通信の上記セキュリティリスクレベルを特定してよく、上記表示データ生成部は、複数の上記通信のそれぞれを表す複数の上記通信オブジェクトに、上記レベル特定部によって特定された上記セキュリティリスクレベルに応じたリスクオブジェクトを対応付けて表示する表示データを生成してよい。上記表示データ生成部は、上記セキュリティリスクレベルが予め定められたレベルよりも高い上記通信を表す上記通信オブジェクトに、上記リスクオブジェクトを対応付けて表示する上記表示データを生成してよい。上記表示データ生成部は、上記セキュリティリスクレベルがより高い上記通信を示す上記通信オブジェクトに対して、より強調度の高い上記リスクオブジェクトを対応付けて表示する上記表示データを生成してよい。上記表示データ生成部は、リスクの内容を示す文字列を含む吹き出しオブジェクトを上記リスクオブジェクトとして、上記通信オブジェクトに対応付けて表示する表示データを生成してよい。 The level specifying unit may specify the security risk level of each communication between a plurality of internal communication sources and a plurality of external communication destinations via the Internet in the target company, and the display data generation unit may specify the security risk level. , Display data may be generated in which the risk objects corresponding to the security risk levels specified by the level specifying unit are associated with the plurality of communication objects representing each of the plurality of communications. The display data generation unit may generate the display data for displaying the risk object in association with the communication object representing the communication whose security risk level is higher than a predetermined level. The display data generation unit may generate the display data for displaying the risk object having a higher emphasis in association with the communication object indicating the communication having a higher security risk level. The display data generation unit may generate display data to be displayed in association with the communication object by using a blowout object including a character string indicating the content of the risk as the risk object.
上記レベル特定部は、上記通信のセキュリティリスクレベルとして、上記通信元から上記通信先に送信するデータに対するセキュリティリスクレベルを特定してよく、上記表示データ生成部は、上記通信元を表す通信元オブジェクトに、上記通信元から上記通信先に送信するデータに対する上記セキュリティリスクレベルに応じた上記リスクオブジェクトを対応付けて表示する上記表示データを生成してよい。上記レベル特定部は、上記通信のセキュリティリスクレベルとして、上記通信先から上記通信元に送信するデータに対するセキュリティリスクレベルを特定してよく、上記表示データ生成部は、上記通信先を表す通信先オブジェクトに、上記通信先から上記通信元に送信するデータに対する上記セキュリティリスクレベルに応じた上記リスクオブジェクトを対応付けて表示する上記表示データを生成してよい。上記表示データ生成部は、上記通信オブジェクトに、上記リスクオブジェクトと、上記通信オブジェクトが示す上記通信におけるリスクの内容に対応するリスク内容オブジェクトとを対応付けて表示する上記表示データを生成してよい。 The level specifying unit may specify the security risk level for the data transmitted from the communication source to the communication destination as the security risk level of the communication, and the display data generation unit may specify the communication source object representing the communication source. In addition, the display data may be generated in which the risk objects corresponding to the security risk level are associated with the data transmitted from the communication source to the communication destination and displayed. The level specifying unit may specify the security risk level for the data transmitted from the communication destination to the communication source as the security risk level of the communication, and the display data generation unit may specify the communication destination object representing the communication destination. In addition, the display data that displays the risk objects corresponding to the security risk level with respect to the data transmitted from the communication destination to the communication source may be generated. The display data generation unit may generate the display data for displaying the risk object and the risk content object corresponding to the risk content in the communication indicated by the communication object in association with the communication object.
上記レベル特定部は、上記対象の会社のセキュリティ対策レベルと、上記通信において扱われるデータの資産価値と、上記通信において扱われるデータのセキュリティ事故の発生頻度とに基づいて、上記通信の上記セキュリティリスクレベルを特定してよい。上記レベル特定部は、上記通信の上記セキュリティリスクレベルとして、上記セキュリティ対策レベルが高いほど高い値となる上記セキュリティ対策レベルを示す数値と、上記資産価値が高いほど高い値となる上記資産価値を示す数値と、上記発生頻度を示す数値とを乗算した値を特定してよい。上記レベル特定部は、上記対象の会社の会社名、設立からの経過年、及び事業内容の少なくともいずれかに基づいて、上記セキュリティ対策レベルを決定してよい。上記レベル特定部は、上記対象の会社が取り扱うデータが通信の秘密の対象となるか否かにさらに基づいて、上記セキュリティ対策レベルを決定してよい。上記レベル特定部は、上記対象の会社が取り扱うデータの数にさらに基づいて、上記セキュリティ対策レベルを決定してよい。上記レベル特定部は、上記対象の会社が取り扱うデータにクレジットカード情報が含まれるか否かにさらに基づいて、上記セキュリティ対策レベルを決定してよい。上記レベル特定部は、上記対象の会社が取り扱うデータにマイナンバー情報が含まれるか否かにさらに基づいて、上記セキュリティ対策レベルを決定してよい。上記レベル特定部は、上記対象の会社が取り扱うデータの漏洩の発生状況にさらに基づいて、上記セキュリティ対策レベルを決定してよい。 The level identification unit is based on the security measure level of the target company, the asset value of the data handled in the communication, and the frequency of security accidents of the data handled in the communication, and the security risk of the communication. You may specify the level. As the security risk level of the communication, the level specifying unit indicates a numerical value indicating the security measure level, which is higher as the security measure level is higher, and an asset value, which is higher as the asset value is higher. A value obtained by multiplying a numerical value by a numerical value indicating the frequency of occurrence may be specified. The level specifying department may determine the security measure level based on at least one of the company name of the target company, the years elapsed since its establishment, and the business content. The level specifying unit may determine the security measure level based on whether or not the data handled by the target company is subject to confidentiality of communication. The level specifying unit may determine the security measure level based on the number of data handled by the target company. The level specifying unit may determine the security measure level based on whether or not the data handled by the target company includes credit card information. The level specifying unit may determine the security measure level based on whether or not the data handled by the target company includes My Number information. The level specifying unit may determine the security measure level based on the occurrence status of data leakage handled by the target company.
本発明の第2の態様によれば、コンピュータを上記生成装置として機能させるためのプログラムが提供される。 According to the second aspect of the present invention, a program for making a computer function as the generator is provided.
本発明の第3の態様によれば、生成方法が提供される。生成方法は、対象の会社におけるインターネットを介した社内の通信元と社外の通信先との通信のセキュリティリスクレベルを特定するレベル特定段階を備えてよい。生成方法は、通信を表す通信オブジェクトに、レベル特定段階において特定されたセキュリティリスクレベルに応じたリスクオブジェクトを対応付けて表示する表示データを生成する表示データ生成段階を備えてよい。 According to a third aspect of the present invention, a production method is provided. The generation method may include a level specifying stage for specifying the security risk level of communication between the internal communication source and the external communication destination via the Internet in the target company. The generation method may include a display data generation stage for generating display data in which a communication object representing communication is associated with a risk object corresponding to a security risk level specified in the level specifying stage.
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。 The outline of the above invention does not list all the necessary features of the present invention. Sub-combinations of these feature groups can also be inventions.
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。 Hereinafter, the present invention will be described through embodiments of the invention, but the following embodiments do not limit the inventions that fall within the scope of the claims. Also, not all combinations of features described in the embodiments are essential to the means of solving the invention.
図1は、生成装置100の通信環境の一例を概略的に示す。本実施形態に係る生成装置100は、複数の会社200のそれぞれについて、社内と社外との通信の状況と、通信のセキュリティリスクレベルとに基づく表示データを生成する。このような表示データをセキュリティハザードマップと記載する場合がある。
FIG. 1 schematically shows an example of the communication environment of the
セキュリティリスクレベルとは、セキュリティに関するリスクのレベルを示す。セキュリティリスクレベルは、例えば、注意、警告、重要、及び緊急の4つのレベルを含む。セキュリティリスクレベルの各レベルは、これに限らず任意に定められてよい。また、セキュリティリスクレベルのレベル数は、4つに限らず任意の数であってよい。 The security risk level indicates the level of security-related risk. Security risk levels include, for example, four levels of caution, warning, critical, and urgent. Each level of security risk level is not limited to this and may be arbitrarily set. Further, the number of security risk levels is not limited to four and may be any number.
生成装置100は、例えば、会社200の通信装置210から、会社200に関する情報を受信する。会社200に関する情報は、例えば、会社200における担当者202によって入力される。生成装置100は、例えば、会社200に関する情報を入力するための入力シートを通信装置210に送信して、担当者202によって入力シートに入力された情報を受信する。入力シートは、各項目に対する入力欄を含んでよく、また、質問形式で各種情報を入力する入力欄を含んでもよい。
The
会社200に関する情報は、会社名、設立年度、及び事業内容等を含む。また、会社200が個人情報を取り扱う場合、会社200に関する情報は、取り扱う個人情報の数を含んでよい。また、会社200に関する情報は、会社200の通信に関する情報を含む。
Information about the
通信に関する情報は、社内外通信に関する情報を含む。社内外通信とは、インターネットを介した社内と社外との通信を示してよい。社内外通信に関する情報は、社内の通信元、社外の通信先、送受信されるデータの情報を含む。 Information about communication includes information about internal and external communication. Internal / external communication may mean communication between the inside and outside of the company via the Internet. Information on internal and external communication includes information on internal communication sources, external communication destinations, and data sent and received.
通信に関する情報は、社内通信に関する情報を含んでよい。社内通信とは、社内間の通信を示してよい。社内通信に関する情報は、社内の通信元、社内の通信先、送受信されるデータの情報を含む。 Information about communication may include information about internal communication. Internal communication may mean communication between internals. Information about internal communication includes information on internal communication sources, internal communication destinations, and data sent and received.
通信に関する情報は、社外通信に関する情報を含んでよい。社外通信とは、会社200に関連する社外間の通信を示してよい。社外通信に関する情報は、社外の通信元、社外の通信先、送受信されるデータの情報を含む。
The information regarding communication may include information regarding external communication. External communication may refer to communication between external parties related to the
通信に関する情報は、送受信されるデータに関する情報を含んでよい。通信に関する情報は、データの数に関する情報を含んでよい。例えば、送受信されるデータが個人情報を含む場合に、通信に関する情報は、何人分の個人情報が送受信されるかを示す。 The information regarding communication may include information regarding data to be transmitted and received. Information about communication may include information about the number of data. For example, when the data to be transmitted / received includes personal information, the information regarding communication indicates how many personal information is transmitted / received.
通信に関する情報は、データの種類に関する情報を含んでよい。通信に関する情報は、データがクレジットカード情報を含むか否かの情報を含んでよい。通信に関する情報は、データがマイナンバー情報を含むか否かの情報を含んでよい。通信に関する情報は、データが個人情報を含むか否かの情報を含んでよい。通信に関する情報は、データが通信の秘密の対象となるか否かの情報を含んでよい。通信の秘密とは、例えば、憲法において定められている「通信の秘密」であってよい。また、通信の秘密とは、例えば、電気通信事業法において定められている「通信の秘密」であってもよい。 Information about communication may include information about the type of data. The information regarding communication may include information on whether or not the data includes credit card information. The information regarding communication may include information as to whether or not the data includes My Number information. The information regarding communication may include information on whether or not the data includes personal information. The information regarding communication may include information on whether or not the data is subject to confidentiality of communication. The secrecy of communications may be, for example, the "secret of communications" stipulated in the Constitution. Further, the secrecy of communication may be, for example, the "secret of communication" defined in the Telecommunications Business Law.
通信に関する情報は、データの資産価値に関する情報を含んでよい。データの資産価値に関する情報は、データの資産価値がどの程度の高さであるかを示し得る。例えば、データの資産価値は、データが極秘情報を含む場合に最も高く、データが個人情報を含む場合、データが機密情報を含む場合、データが社外秘情報を含む場合、データがこれらのいずれの情報も含まない場合で段階的に低くなる。なお、データの資産価値は、これら以外の基準によって定められてもよい。 Information about communications may include information about the asset value of the data. Information about the asset value of the data can indicate how high the asset value of the data is. For example, the asset value of data is highest when the data contains confidential information, when the data contains personal information, when the data contains sensitive information, when the data contains confidential information, and when the data contains any of these information. If it does not include, it will gradually decrease. The asset value of the data may be determined by criteria other than these.
通信に関する情報は、データの管理レベルに関する情報を含んでよい。通信に関する情報は、データの管理方法に関する情報を含んでよい。通信に関する情報は、データの管理ルールに関する情報を含んでよい。通信に関する情報は、データの取扱方法に関する情報を含んでよい。通信に関する情報は、データの取扱ルールに関する情報を含んでよい。 Information about communication may include information about the management level of data. Information about communication may include information about how to manage data. The information regarding communication may include information regarding data management rules. The information regarding communication may include information regarding how to handle data. The information regarding communication may include information regarding rules for handling data.
通信に関する情報は、データのセキュリティ事故の発生頻度に関する情報を含んでよい。データのセキュリティ事故は、例えば、データの漏洩事故である。 Information about communication may include information about the frequency of data security incidents. A data security accident is, for example, a data leakage accident.
生成装置100は、ネットワーク10を介して通信装置210と通信してよい。ネットワーク10は、任意のネットワークであってよい。ネットワーク10は、例えば、インターネット、LAN、及びクラウドネットワーク等を含む。
The
生成装置100は、例えば、通信に関する情報に基づいて、社内の通信元と社外の通信先との通信のセキュリティリスクレベルを特定し、通信を表す通信オブジェクトに、当該通信のセキュリティリスクレベルに応じたリスクオブジェクトを対応付けて表示するセキュリティハザードマップを生成する。このようなセキュリティハザードマップによって、社内外の複数の通信のそれぞれのセキュリティリスクレベルを容易に把握可能にできる。
The
図2は、生成装置100による処理の流れの一例を概略的に示す。ここでは、生成装置100が、ある会社200のセキュリティハザードマップを生成する処理の流れを示す。
FIG. 2 schematically shows an example of the processing flow by the
ステップ(ステップをSと省略して記載する場合がある。)102において、生成装置100は、対象の会社200に関する情報を取得する。S104において、生成装置100は、会社200に関する情報から、社内外通信、社内通信、及び社外通信を抽出する。
In step 102 (the step may be abbreviated as S) 102, the
S106において、生成装置100は、抽出した複数の通信のうちの1つについて、セキュリティリスクレベルを特定する。S108において、生成装置100は、抽出した全通信に対してセキュリティリスクレベルを特定したか否かを判定する。完了していないと判定した場合、S106に戻り、完了したと判定した場合、S110に進む。
In S106, the
S110において、生成装置100は、S104において抽出した複数の通信をそれぞれ表す複数の通信オブジェクトと、複数の通信のそれぞれのセキュリティリスクレベルに応じたリスクオブジェクトとを含むセキュリティハザードマップを生成する。生成装置100は、例えば、複数の通信オブジェクトのうち、通信のセキュリティリスクレベルが予め定められたレベルよりも高い通信オブジェクトに対してのみ、リスクオブジェクトを対応付ける。
In S110, the
S112において、生成装置100は、S110において生成したセキュリティハザードマップを表示させる。生成装置100は、生成装置100が備えるディスプレイにセキュリティハザードマップを表示させてよい。また、生成装置100は、通信装置210に対してセキュリティハザードマップを送信して、通信装置210が備えるディスプレイにセキュリティハザードマップを表示させてもよい。
In S112, the
図3は、セキュリティハザードマップの基本形状300の一例を概略的に示す。基本形状300は、社内領域310、インターネット領域320、社外領域330、アイコン凡例領域340、及び回線凡例領域350を含む。
FIG. 3 schematically shows an example of the
社内領域310には、例えば、社内外通信における社内の通信元や、社内通信における通信元及び通信先が配置される。社外領域330には、例えば、社内外通信における社外の通信先や、社外通信における通信元及び通信先が配置される。
In the
社内外通信を表す通信オブジェクトは、社内の通信元を表すオブジェクトと、社外の通信先を表すオブジェクトと、通信を表すオブジェクトとを含む。当該通信を表すオブジェクトは、インターネット領域320を横切ることになる。
The communication object representing internal / external communication includes an object representing an internal communication source, an object representing an external communication destination, and an object representing communication. The object representing the communication will cross the
社内通信を表す通信オブジェクトは、社内の通信元を表すオブジェクトと、社内の通信先を表すオブジェクトと、通信を表すオブジェクトとを含む。社外通信を表す通信オブジェクトは、社外の通信元を表すオブジェクトと、社外の通信先を表すオブジェクトと、通信を表すオブジェクトとを含む。 The communication object representing internal communication includes an object representing an internal communication source, an object representing an internal communication destination, and an object representing communication. The communication object representing external communication includes an object representing an external communication source, an object representing an external communication destination, and an object representing communication.
アイコン凡例領域340には、通信元及び通信先等を表すオブジェクトに相当するアイコンの凡例が配置される。回線凡例領域350には、通信を表すオブジェクトに相当する回線オブジェクトの凡例が配置される。
In the
図4及び図5は、セキュリティハザードマップ400の一例を概略的に示す。図4は、リスクオブジェクトの配置前の状態を示し、図5は、リスクオブジェクトの配置後の状態を示す。
4 and 5 schematically show an example of the
本例においては、社内領域310に高セキュリティエリア402が配置され、高セキュリティエリア402の中に専用PC(Personal Computer)404が配置されている。また、社外領域330に事業系システム410及び顧客420が配置され、事業系システム410の中に管理システム412、WEBサーバ414、及びデータベース416が配置され、顧客420の中にモバイル端末422及びPC424が配置されている。また、社内領域310とインターネット領域320との間にファイヤーウォールを表すFW432が配置され、インターネット領域320と社外領域330との間にFW434が配置されている。
In this example, the
HP(HomePage)入力442は、モバイル端末422とPC424とが、WEBサーバ414によるホームページを介して、入力データを管理システム412に送信する通信を表す。閲覧452は、専用PC404から、管理システム412が管理するデータを閲覧する通信を表す。運用454及び開発保守456は、運用、開発、保守のために、専用PC404からデータベース416にアクセスする通信を表す。
The HP (Home Page)
タグオブジェクト502、タグオブジェクト504、及びタグオブジェクト506は、リスクオブジェクトの一例である。タグオブジェクト502は、管理システム412が管理するデータに専用PC404を用いてアクセスすることができるアクセス権者への教育・訓練が十分でないことから、セキュリティリスクが比較的高いことを示す。タグオブジェクト504は、外部記憶媒体の取扱ルールが十分でないことから、セキュリティリスクが比較的高いことを示す。タグオブジェクト506は、管理システム412について、ログ取得が十分でないことから、セキュリティリスクが比較的高いことを示す。
The tag object 502, the tag object 504, and the tag object 506 are examples of risk objects. The tag object 502 indicates that the security risk is relatively high because the access right holder who can access the data managed by the
生成装置100は、タグオブジェクト502、タグオブジェクト504、及びタグオブジェクト506のそれぞれを、セキュリティリスクレベルの高さに応じて強調してもよい。例えば、生成装置100は、セキュリティリスクレベルが高いほど強調した配色をタグオブジェクト502、タグオブジェクト504、及びタグオブジェクト506に適用する。また、例えば、生成装置100は、セキュリティリスクレベルが高いほど、タグオブジェクト502、タグオブジェクト504、及びタグオブジェクト506のサイズを大きくする。このように、セキュリティリスクレベルの高さに応じた強調を行うことによって、セキュリティリスクレベルの差を直感的に把握可能にできる。
The
吹き出しオブジェクト512も、リスクオブジェクトの一例であってよい。吹き出しオブジェクト512は、専用PC404による通信に対するリスクの内容を示す文字列を含む。図5に示す例において、吹き出しオブジェクト512は、専用PC404による通信に対して、内部不正による情報漏洩と、誤操作によるデータ破壊のリスクがあることを示す。吹き出しオブジェクト512に含まれる文字列は、例えば、生成装置100の管理者等によって登録され得る。生成装置100は、通信オブジェクトに、吹き出しオブジェクト512と、通信オブジェクトが示す通信におけるリスクの内容に対応するリスク内容オブジェクトとを対応付けて表示させてもよい。図5に示す例においては、内部不正に対応する内部不正オブジェクト514が表示されている。タグオブジェクト502及びタグオブジェクト504によって、専用PC404による通信にセキュリティリスクが存在することを把握可能にし、吹き出しオブジェクト512及び内部不正オブジェクト514によって、具体的にどのようなリスクが存在するかを把握可能にすることができる。
The
図6は、生成装置100の機能構成の一例を概略的に示す。生成装置100は、情報収集部102、情報格納部104、レベル特定部110、表示データ生成部120、及び表示データ出力部122を備える。
FIG. 6 schematically shows an example of the functional configuration of the
情報収集部102は、複数の会社200のそれぞれについて、会社200に関する情報を収集する。情報収集部102は、複数の会社200のそれぞれから、会社200に関する情報を受信する。情報収集部102は、収集した情報を情報格納部104に格納する。
The
レベル特定部110は、表示データを生成する対象となる会社200の情報を情報格納部104から取得して、会社200における複数の通信のそれぞれのセキュリティリスクレベルを特定する。レベル特定部110は、例えば、会社200におけるインターネットを介した社内の通信元と社外の通信先との通信のセキュリティリスクレベルを特定する。レベル特定部110は、会社200における社内の通信元と社内の通信先との通信のセキュリティリスクレベルを特定してもよい。レベル特定部110は、社外の通信元と社外の通信先との通信のセキュリティリスクレベルを特定してもよい。また、レベル特定部110は、例えば、通信元から通信先に送信するデータに対するセキュリティリスクレベルを特定する。また、レベル特定部110は、例えば、通信先から通信元に送信するデータに対するセキュリティリスクレベルを特定する。
The
レベル特定部110は、対策レベル取得部112、資産価値取得部114、及び発生頻度取得部116を有する。対策レベル取得部112は、会社200のセキュリティ対策レベルを取得する。会社200のセキュリティ対策レベルは、会社200に求められるセキュリティ対策のレベルであってよい。会社200のセキュリティ対策レベルは、例えば、生成装置100の管理者等によって登録されて、情報格納部104に格納される。この場合、対策レベル取得部112は、対象となる会社200のセキュリティ対策レベルを情報格納部104から取得する。
The
対策レベル取得部112は、情報格納部104に格納されている会社200に関する情報に基づいて、会社200のセキュリティ対策レベルを決定してもよい。対策レベル取得部112は、例えば、会社200の会社名、設立からの経過年、及び事業の内容に基づいて、会社200のセキュリティ対策レベルを決定する。対策レベル取得部112は、会社200が取り扱うデータが通信の秘密の対象となるか否かにさらに基づいてセキュリティ対策レベルを決定してもよい。また、対策レベル取得部112は、会社200が取り扱うデータの数にさらに基づいてセキュリティ対策レベルを決定してもよい。対策レベル取得部112は、会社200が取り扱うデータにクレジットカード情報が含まれるか否かにさらに基づいてセキュリティ対策レベルを決定してもよい。対策レベル取得部112は、会社200が取り扱うデータにマイナンバー情報が含まれるか否かにさらに基づいてセキュリティ対策レベルを決定してもよい。対策レベル取得部112は、会社200が取り扱うデータの漏洩の発生状況にさらに基づいてセキュリティ対策レベルを決定してもよい。セキュリティ対策レベルの決定方法の詳細については後述する。
The countermeasure level acquisition unit 112 may determine the security countermeasure level of the
資産価値取得部114は、複数の通信のそれぞれについて、通信において扱われるデータの資産価値を取得する。資産価値取得部114は、情報格納部104に格納されている通信に関する情報を参照することによって、通信において扱われるデータの資産価値を取得してよい。
The asset value acquisition unit 114 acquires the asset value of the data handled in the communication for each of the plurality of communications. The asset value acquisition unit 114 may acquire the asset value of the data handled in the communication by referring to the information related to the communication stored in the
発生頻度取得部116は、複数の通信のそれぞれについて、通信において扱われるデータのセキュリティ事故の発生頻度を取得する。発生頻度取得部116は、情報格納部104に格納されている通信に関する情報を参照することによって、通信において扱われるデータのセキュリティ事故の発生頻度を取得してよい。
The occurrence
レベル特定部110は、通信において扱われるデータのセキュリティ対策レベル、資産価値、及びセキュリティ事故の発生頻度に基づいて、通信のセキュリティリスクレベルを特定してよい。レベル特定部110は、例えば、通信のセキュリティリスクレベルとして、セキュリティ対策レベルが高いほど高い値となるセキュリティ対策レベルを示す数値と、資産価値が高いほど高い値となる資産価値を示す数値と、セキュリティ事故の発生頻度が高いほど高い値となるセキュリティ事故の発生頻度を示す数値とを乗算した値を特定する。レベル特定部110は、セキュリティリスクレベルに含まれる複数のレベル毎に、対応する値の範囲を登録した登録データを予め格納しておき、当該登録データを参照することによって、セキュリティリスクレベルを特定してもよい。上述した特定方法を用いることによって、通信において扱われるデータに必要なセキュリティ対策レベルが高いほど、高いセキュリティリスクレベルを特定することができる。また、通信において扱われるデータの資産価値が高いほど高いセキュリティリスクレベルを特定することができる。また、通信において扱われるデータのセキュリティ事故の発生頻度が高いほど高いセキュリティリスクレベルを特定することができる。
The
表示データ生成部120は、情報格納部104に格納されている情報と、レベル特定部110によって特定されたセキュリティリスクレベルとに基づいて表示データを生成する。表示データ生成部120は、対象の会社200の複数の通信のそれぞれを表す通信オブジェクトを含む表示データを生成する。表示データ生成部120は、通信オブジェクトに、当該通信オブジェクトが示す通信のセキュリティリスクレベルに応じたリスクオブジェクトを対応付けて表示する表示データを生成する。
The display
表示データ生成部120は、例えば、セキュリティリスクレベルが予め定められたレベルよりも高い通信を表す通信オブジェクトに、リスクオブジェクトを対応付けて表示する表示データを生成する。表示データ生成部120は、複数の通信オブジェクトのうち、セキュリティリスクレベルが予め定められたレベルよりも高い通信を表す通信オブジェクトのみに、リスクオブジェクトを対応付けて表示する表示データを生成してよい。また、表示データ生成部120は、例えば、セキュリティリスクレベルが高い順に予め定められた数の通信オブジェクトを特定し、特定した通信オブジェクトにリスクオブジェクトを対応付けて表示する表示データを生成する。
The display
表示データ生成部120は、セキュリティリスクレベルがより高い通信を示す通信オブジェクトに対して、より強調度の高いリスクオブジェクトを対応付けて表示する表示データを生成してもよい。より強調度の高いリスクオブジェクトとは、配色の強調度がより高いリスクオブジェクトであってよい。また、より強調度の高いリスクオブジェクトとは、サイズがより大きいリスクオブジェクトであってもよい。また、より強調度の高いリスクオブジェクトとは、形状の強調度がより高いリスクオブジェクトであってもよい。
The display
表示データ生成部120は、リスクの内容を示す文字列を含む吹き出しオブジェクトをリスクオブジェクトとして、通信オブジェクトに対応付けて表示する表示データを生成してもよい。表示データ生成部120は、通信オブジェクトに、吹き出しオブジェクトと、通信オブジェクトが示す通知におけるリスクの内容に対応するリスク内容オブジェクトとを対応付けて表示する表示データを生成してもよい。表示データ生成部120は、例えば、吹き出しオブジェクトに、リスク内容オブジェクトを対応付けて表示する表示データを生成する。
The display
表示データ生成部120は、通信元を表す通信元オブジェクトに、通信元から通信先に送信するデータに対するセキュリティリスクレベルに応じたリスクオブジェクトを対応付けて表示する表示データを生成してもよい。表示データ生成部120は、通信先を表す通信先オブジェクトに、通信先が通信元に送信するデータに対するセキュリティリスクレベルに応じたリスクオブジェクトを対応付けて表示する表示データを生成してもよい。
The display
表示データ出力部122は、表示データ生成部120によって生成された表示データを出力する。表示データ出力部122は、例えば、表示データを生成装置100が備えるディスプレイに表示させる。また、表示データ出力部122は、例えば、通信装置210に対して表示データを送信して、通信装置210が備えるディスプレイに表示させる。
The display
図7は、対策レベル取得部112による会社200の分類処理の一例を概略的に示す。対策レベル取得部112は、会社200のセキュリティ対策レベルを決定する場合に、まず、図7に示す分類処理を実行することによって会社200を分類し得る。
FIG. 7 schematically shows an example of the classification process of the
S202において、対策レベル取得部112は、会社名に予め登録された文字列が含まれるか否かを判定する。当該文字列としては、例えば、会社名に含むことによって特に海外からの攻撃の対象となりやすい文字列が登録される。当該文字列の例としては、「バンク」等が挙げられる。含む場合、S204に進み、含まない場合、S210に進む。 In S202, the countermeasure level acquisition unit 112 determines whether or not the character string registered in advance is included in the company name. As the character string, for example, a character string that is particularly likely to be the target of an attack from overseas is registered by including it in the company name. An example of the character string is "bank" or the like. If it is included, the process proceeds to S204, and if it is not included, the process proceeds to S210.
S204において、対策レベル取得部112は、会社設立から3年未満であるか否かを判定する。3年未満であると判定した場合、S206に進み、3年未満でないと判定した場合、S208に進む。 In S204, the countermeasure level acquisition unit 112 determines whether or not it has been less than three years since the establishment of the company. If it is determined that it is less than 3 years, the process proceeds to S206, and if it is determined that it is not less than 3 years, the process proceeds to S208.
S206において、対策レベル取得部112は、会社200の事業が許認可事業に該当するか否かを判定する。対策レベル取得部112は、該当すると判定した場合、会社200を分類Cとし、該当しないと判定した場合、会社200を分類Bとする。
In S206, the countermeasure level acquisition unit 112 determines whether or not the business of the
S208において、対策レベル取得部112は、会社200の事業が許認可事業に該当するか否かを判定する。対策レベル取得部112は、該当すると判定した場合、会社200を分類Cとし、該当しないと判定した場合、会社200を分類Bとする。
In S208, the countermeasure level acquisition unit 112 determines whether or not the business of the
S210において、対策レベル取得部112は、会社設立から3年未満であるか否かを判定する。3年未満であると判定した場合、S212に進み、3年未満でないと判定した場合、S214に進む。 In S210, the countermeasure level acquisition unit 112 determines whether or not it has been less than three years since the establishment of the company. If it is determined that it is less than 3 years, the process proceeds to S212, and if it is determined that it is not less than 3 years, the process proceeds to S214.
S212において、対策レベル取得部112は、会社200の事業が許認可事業に該当するか否かを判定する。対策レベル取得部112は、該当すると判定した場合、会社200を分類Cとし、該当しないと判定した場合、会社200を分類Aとする。
In S212, the countermeasure level acquisition unit 112 determines whether or not the business of the
S214において、対策レベル取得部112は、会社200の事業が許認可事業に該当するか否かを判定する。対策レベル取得部112は、該当すると判定した場合、会社200を分類Cとし、該当しないと判定した場合、会社200を分類Dとする。
In S214, the countermeasure level acquisition unit 112 determines whether or not the business of the
図8は、対策レベル決定表600の一例を概略的に示す。対策レベル取得部112は、会社200の分類と、対策レベル決定表600とを用いて、会社200のセキュリティ対策レベルを決定する。ここでは、セキュリティ対策レベルが、MAX、MID、及びMINからなる場合を例に挙げて説明する。なお、セキュリティ対策レベルのレベル数は3つに限らず、任意の数であってよい。
FIG. 8 schematically shows an example of the countermeasure level determination table 600. The countermeasure level acquisition unit 112 determines the security countermeasure level of the
対策レベル取得部112は、会社200の分類が分類Aである場合、会社200のセキュリティ対策レベルを、取り扱う個人情報が100万件以上である場合にはMAX、1万件〜100万件である場合にはMID、1万件未満である場合にはMINに仮決めする。また、対策レベル取得部112は、会社200のセキュリティ対策レベルを、会社200の分類が分類Bである場合にはMID、分類Cである場合にはMAX、分類Dである場合にはMINに仮決めする。
The countermeasure level acquisition unit 112 determines the security countermeasure level of the
対策レベル取得部112は、会社200が通信の秘密の対象となる情報を保有しているか否か、取り扱う個人情報の数、クレジットカード情報及びマイナンバー情報の少なくともいずれかを保有しているか否か、5年以内に情報漏洩事故が発生したか否か、及び、起業中で個人情報をまだ保持していない状況か否か、に基づいて、対策レベル決定表600に従って、セキュリティ対策レベルを調整する。例えば、対策レベル取得部112は、会社200が通信の秘密の対象となる情報を保有している場合、セキュリティ対策レベルをMAXとする。
The countermeasure level acquisition unit 112 determines whether or not the
図9は、生成装置100として機能するコンピュータ1200のハードウェア構成の一例を概略的に示す。コンピュータ1200にインストールされたプログラムは、コンピュータ1200を、本実施形態に係る装置の1又は複数の「部」として機能させ、又はコンピュータ1200に、本実施形態に係る装置に関連付けられるオペレーション又は当該1又は複数の「部」を実行させることができ、及び/又はコンピュータ1200に、本実施形態に係るプロセス又は当該プロセスの段階を実行させることができる。そのようなプログラムは、コンピュータ1200に、本明細書に記載のフローチャート及びブロック図のブロックのうちのいくつか又はすべてに関連付けられた特定のオペレーションを実行させるべく、CPU1212によって実行されてよい。
FIG. 9 schematically shows an example of a hardware configuration of a
本実施形態によるコンピュータ1200は、CPU1212、RAM1214、及びグラフィックコントローラ1216を含み、それらはホストコントローラ1210によって相互に接続されている。コンピュータ1200はまた、通信インタフェース1222、記憶装置1224、DVDドライブ1226、及びICカードドライブのような入出力ユニットを含み、それらは入出力コントローラ1220を介してホストコントローラ1210に接続されている。DVDドライブ1226は、DVD−ROMドライブ及びDVD−RAMドライブ等であってよい。記憶装置1224は、ハードディスクドライブ及びソリッドステートドライブ等であってよい。コンピュータ1200はまた、ROM1230及びキーボードのようなレガシの入出力ユニットを含み、それらは入出力チップ1240を介して入出力コントローラ1220に接続されている。
The
CPU1212は、ROM1230及びRAM1214内に格納されたプログラムに従い動作し、それにより各ユニットを制御する。グラフィックコントローラ1216は、RAM1214内に提供されるフレームバッファ等又はそれ自体の中に、CPU1212によって生成されるイメージデータを取得し、イメージデータがディスプレイデバイス1218上に表示されるようにする。
The
通信インタフェース1222は、ネットワークを介して他の電子デバイスと通信する。記憶装置1224は、コンピュータ1200内のCPU1212によって使用されるプログラム及びデータを格納する。DVDドライブ1226は、プログラム又はデータをDVD−ROM1227等から読み取り、記憶装置1224に提供する。ICカードドライブは、プログラム及びデータをICカードから読み取り、及び/又はプログラム及びデータをICカードに書き込む。
ROM1230はその中に、アクティブ化時にコンピュータ1200によって実行されるブートプログラム等、及び/又はコンピュータ1200のハードウェアに依存するプログラムを格納する。入出力チップ1240はまた、様々な入出力ユニットをUSBポート、パラレルポート、シリアルポート、キーボードポート、マウスポート等を介して、入出力コントローラ1220に接続してよい。
The
プログラムは、DVD−ROM1227又はICカードのようなコンピュータ可読記憶媒体によって提供される。プログラムは、コンピュータ可読記憶媒体から読み取られ、コンピュータ可読記憶媒体の例でもある記憶装置1224、RAM1214、又はROM1230にインストールされ、CPU1212によって実行される。これらのプログラム内に記述される情報処理は、コンピュータ1200に読み取られ、プログラムと、上記様々なタイプのハードウェアリソースとの間の連携をもたらす。装置又は方法が、コンピュータ1200の使用に従い情報のオペレーション又は処理を実現することによって構成されてよい。
The program is provided by a computer-readable storage medium such as a DVD-
例えば、通信がコンピュータ1200及び外部デバイス間で実行される場合、CPU1212は、RAM1214にロードされた通信プログラムを実行し、通信プログラムに記述された処理に基づいて、通信インタフェース1222に対し、通信処理を命令してよい。通信インタフェース1222は、CPU1212の制御の下、RAM1214、記憶装置1224、DVD−ROM1227、又はICカードのような記録媒体内に提供される送信バッファ領域に格納された送信データを読み取り、読み取られた送信データをネットワークに送信し、又はネットワークから受信した受信データを記録媒体上に提供される受信バッファ領域等に書き込む。
For example, when communication is executed between the
また、CPU1212は、記憶装置1224、DVDドライブ1226(DVD−ROM1227)、ICカード等のような外部記録媒体に格納されたファイル又はデータベースの全部又は必要な部分がRAM1214に読み取られるようにし、RAM1214上のデータに対し様々なタイプの処理を実行してよい。CPU1212は次に、処理されたデータを外部記録媒体にライトバックしてよい。
Further, the
様々なタイプのプログラム、データ、テーブル、及びデータベースのような様々なタイプの情報が記録媒体に格納され、情報処理を受けてよい。CPU1212は、RAM1214から読み取られたデータに対し、本開示の随所に記載され、プログラムの命令シーケンスによって指定される様々なタイプのオペレーション、情報処理、条件判断、条件分岐、無条件分岐、情報の検索/置換等を含む、様々なタイプの処理を実行してよく、結果をRAM1214に対しライトバックする。また、CPU1212は、記録媒体内のファイル、データベース等における情報を検索してよい。例えば、各々が第2の属性の属性値に関連付けられた第1の属性の属性値を有する複数のエントリが記録媒体内に格納される場合、CPU1212は、当該複数のエントリの中から、第1の属性の属性値が指定されている条件に一致するエントリを検索し、当該エントリ内に格納された第2の属性の属性値を読み取り、それにより予め定められた条件を満たす第1の属性に関連付けられた第2の属性の属性値を取得してよい。
Various types of information such as various types of programs, data, tables, and databases may be stored in recording media and processed. The
上で説明したプログラム又はソフトウエアモジュールは、コンピュータ1200上又はコンピュータ1200近傍のコンピュータ可読記憶媒体に格納されてよい。また、専用通信ネットワーク又はインターネットに接続されたサーバシステム内に提供されるハードディスク又はRAMのような記録媒体が、コンピュータ可読記憶媒体として使用可能であり、それによりプログラムを、ネットワークを介してコンピュータ1200に提供する。
The program or software module described above may be stored on a
本実施形態におけるフローチャート及びブロック図におけるブロックは、オペレーションが実行されるプロセスの段階又はオペレーションを実行する役割を持つ装置の「部」を表わしてよい。特定の段階及び「部」が、専用回路、コンピュータ可読記憶媒体上に格納されるコンピュータ可読命令と共に供給されるプログラマブル回路、及び/又はコンピュータ可読記憶媒体上に格納されるコンピュータ可読命令と共に供給されるプロセッサによって実装されてよい。専用回路は、デジタル及び/又はアナログハードウェア回路を含んでよく、集積回路(IC)及び/又はディスクリート回路を含んでよい。プログラマブル回路は、例えば、フィールドプログラマブルゲートアレイ(FPGA)、及びプログラマブルロジックアレイ(PLA)等のような、論理積、論理和、排他的論理和、否定論理積、否定論理和、及び他の論理演算、フリップフロップ、レジスタ、並びにメモリエレメントを含む、再構成可能なハードウェア回路を含んでよい。 The blocks in the flowchart and block diagram of this embodiment may represent a stage of the process in which the operation is performed or a "part" of the device responsible for performing the operation. Specific stages and "parts" are supplied with dedicated circuits, programmable circuits supplied with computer-readable instructions stored on computer-readable storage media, and / or computer-readable instructions stored on computer-readable storage media. It may be implemented by the processor. Dedicated circuits may include digital and / or analog hardware circuits, and may include integrated circuits (ICs) and / or discrete circuits. Programmable circuits include logical products, logical sums, exclusive logical sums, negative logical products, negative logical sums, and other logical operations, such as, for example, field programmable gate arrays (FPGAs), programmable logic arrays (PLAs), and the like. , Flip-flops, registers, and reconfigurable hardware circuits, including memory elements.
コンピュータ可読記憶媒体は、適切なデバイスによって実行される命令を格納可能な任意の有形なデバイスを含んでよく、その結果、そこに格納される命令を有するコンピュータ可読記憶媒体は、フローチャート又はブロック図で指定されたオペレーションを実行するための手段を作成すべく実行され得る命令を含む、製品を備えることになる。コンピュータ可読記憶媒体の例としては、電子記憶媒体、磁気記憶媒体、光記憶媒体、電磁記憶媒体、半導体記憶媒体等が含まれてよい。コンピュータ可読記憶媒体のより具体的な例としては、フロッピー(登録商標)ディスク、ディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、消去可能プログラマブルリードオンリメモリ(EPROM又はフラッシュメモリ)、電気的消去可能プログラマブルリードオンリメモリ(EEPROM)、静的ランダムアクセスメモリ(SRAM)、コンパクトディスクリードオンリメモリ(CD−ROM)、デジタル多用途ディスク(DVD)、ブルーレイ(登録商標)ディスク、メモリスティック、集積回路カード等が含まれてよい。 The computer-readable storage medium may include any tangible device capable of storing instructions executed by the appropriate device, so that the computer-readable storage medium having the instructions stored therein is in a flow chart or block diagram. It will be equipped with a product that contains instructions that can be executed to create means for performing the specified operation. Examples of the computer-readable storage medium may include an electronic storage medium, a magnetic storage medium, an optical storage medium, an electromagnetic storage medium, a semiconductor storage medium, and the like. More specific examples of computer-readable storage media include floppy (registered trademark) disks, diskettes, hard disks, random access memory (RAM), read-only memory (ROM), and erasable programmable read-only memory (EPROM or flash memory). , Electrically Erasable Programmable Read Only Memory (EEPROM), Static Random Access Memory (SRAM), Compact Disc Read Only Memory (CD-ROM), Digital Versatile Disc (DVD), Blu-ray® Disc, Memory Stick , Integrated circuit cards and the like may be included.
コンピュータ可読命令は、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、又はSmalltalk、JAVA(登録商標)、C++等のようなオブジェクト指向プログラミング言語、及び「C」プログラミング言語又は同様のプログラミング言語のような従来の手続型プログラミング言語を含む、1又は複数のプログラミング言語の任意の組み合わせで記述されたソースコード又はオブジェクトコードのいずれかを含んでよい。 Computer-readable instructions are assembler instructions, instruction set architecture (ISA) instructions, machine instructions, machine-dependent instructions, microcode, firmware instructions, state-setting data, or object-oriented programming such as Smalltalk, JAVA®, C ++, etc. Contains either source code or object code written in any combination of one or more programming languages, including languages and traditional procedural programming languages such as the "C" programming language or similar programming languages. good.
コンピュータ可読命令は、汎用コンピュータ、特殊目的のコンピュータ、若しくは他のプログラム可能なデータ処理装置のプロセッサ、又はプログラマブル回路が、フローチャート又はブロック図で指定されたオペレーションを実行するための手段を生成するために当該コンピュータ可読命令を実行すべく、ローカルに又はローカルエリアネットワーク(LAN)、インターネット等のようなワイドエリアネットワーク(WAN)を介して、汎用コンピュータ、特殊目的のコンピュータ、若しくは他のプログラム可能なデータ処理装置のプロセッサ、又はプログラマブル回路に提供されてよい。プロセッサの例としては、コンピュータプロセッサ、処理ユニット、マイクロプロセッサ、デジタル信号プロセッサ、コントローラ、マイクロコントローラ等を含む。 Computer-readable instructions are used to generate means for a general-purpose computer, a special-purpose computer, or the processor of another programmable data processing device, or a programmable circuit, to perform an operation specified in a flowchart or block diagram. General purpose computers, special purpose computers, or other programmable data processing locally or via a local area network (LAN), a wide area network (WAN) such as the Internet, etc. to execute the computer readable instructions. It may be provided in the processor of the device or in a programmable circuit. Examples of processors include computer processors, processing units, microprocessors, digital signal processors, controllers, microcontrollers and the like.
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更又は改良を加えることが可能であることが当業者に明らかである。その様な変更又は改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。 Although the present invention has been described above using the embodiments, the technical scope of the present invention is not limited to the scope described in the above embodiments. It will be apparent to those skilled in the art that various changes or improvements can be made to the above embodiments. It is clear from the description of the claims that such modified or improved forms may also be included in the technical scope of the present invention.
特許請求の範囲、明細書、及び図面中において示した装置、システム、プログラム、及び方法における動作、手順、ステップ、及び段階などの各処理の実行順序は、特段「より前に」、「先立って」などと明示しておらず、また、前の処理の出力を後の処理で用いるのでない限り、任意の順序で実現しうることに留意すべきである。特許請求の範囲、明細書、及び図面中の動作フローに関して、便宜上「まず、」、「次に、」などを用いて説明したとしても、この順で実施することが必須であることを意味するものではない。 The order of execution of each process such as operation, procedure, step, and step in the device, system, program, and method shown in the claims, specification, and drawings is particularly "before" and "prior to". It should be noted that it can be realized in any order unless the output of the previous process is used in the subsequent process. Even if the scope of claims, the specification, and the operation flow in the drawings are explained using "first", "next", etc. for convenience, it means that it is essential to carry out in this order. It's not a thing.
10 ネットワーク、100 生成装置、102 情報収集部、104 情報格納部、110 レベル特定部、112 対策レベル取得部、114 資産価値取得部、116 発生頻度取得部、120 表示データ生成部、122 表示データ出力部、200 会社、202 担当者、210 通信装置、300 基本形状、310 社内領域、320 インターネット領域、330 社外領域、340 アイコン凡例領域、350 回線凡例領域、400 ハザードマップ、402 高セキュリティエリア、404 専用PC、410 事業系システム、412 管理システム、414 WEBサーバ、416 データベース、420 顧客、422 モバイル端末、424 PC、432、434 FW、442 HP入力、452 閲覧、454 運用、456 開発保守、502、504、506 タグオブジェクト、512 吹き出しオブジェクト、514 内部不正オブジェクト、600 対策レベル決定表、1200 コンピュータ、1210 ホストコントローラ、1212 CPU、1214 RAM、1216 グラフィックコントローラ、1218 ディスプレイデバイス、1220 入出力コントローラ、1222 通信インタフェース、1224 記憶装置、1226 DVDドライブ、1227 DVD−ROM、1230 ROM、1240 入出力チップ 10 network, 100 generator, 102 information collection unit, 104 information storage unit, 110 level identification unit, 112 countermeasure level acquisition unit, 114 asset value acquisition unit, 116 occurrence frequency acquisition unit, 120 display data generation unit, 122 display data output Department, 200 companies, 202 personnel, 210 communication equipment, 300 basic shape, 310 internal area, 320 Internet area, 330 external area, 340 icon legend area, 350 line legend area, 400 hazard map, 402 high security area, 404 dedicated PC, 410 Business system, 412 management system, 414 WEB server, 416 database, 420 customers, 422 mobile terminal, 424 PC, 432, 434 FW, 442 HP input, 452 browsing, 454 operation, 456 development and maintenance, 502, 504 , 506 tag object, 512 blowout object, 514 internal rogue object, 600 countermeasure level determination table, 1200 computer, 1210 host controller, 1212 CPU, 1214 RAM, 1216 graphic controller, 1218 display device, 1220 input / output controller, 1222 communication interface, 1224 storage device, 1226 DVD drive, 1227 DVD-ROM, 1230 ROM, 1240 input / output chip
Claims (11)
前記通信を表す通信オブジェクトに、前記レベル特定部によって特定された前記セキュリティリスクレベルに応じたリスクオブジェクトを対応付けて表示する表示データを生成する表示データ生成部と
を備え、
前記レベル特定部は、前記通信において扱われる前記データが極秘情報を含む場合に最も高く、前記データが個人情報を含む場合、前記データが機密情報を含む場合、前記データが社外秘情報を含む場合、前記データが前記極秘情報、前記個人情報、前記機密情報、及び前記社外秘情報のいずれも含まない場合で段階的に低くなる前記データの資産価値に関する情報に基づいて、前記通信の前記セキュリティリスクレベルを特定する
生成装置。 A level that specifies the security risk level of communication between an internal communication source and an external communication destination via the Internet at the target company. Security measure level that indicates the level of security measures required for the target company. Based on the information on the asset value of the data, which indicates how high the asset value of the data handled in the communication is, and the frequency of security accidents of the data handled in the communication. The level identification part that identifies the security risk level of
A communication object representing the communication is provided with a display data generation unit that generates display data for displaying the risk objects corresponding to the security risk level specified by the level identification unit in association with each other .
The level specifying unit is highest when the data handled in the communication contains confidential information, when the data includes personal information, when the data contains confidential information, and when the data contains confidential information. The security risk level of the communication is determined based on the information regarding the asset value of the data, which is gradually lowered when the data does not include any of the confidential information, the personal information, the confidential information, and the confidential information. Generator to identify.
前記表示データ生成部は、複数の前記通信のそれぞれを表す複数の前記通信オブジェクトに、前記レベル特定部によって特定された前記セキュリティリスクレベルに応じたリスクオブジェクトを対応付けて表示する表示データを生成する、請求項1に記載の生成装置。 The level specifying unit identifies the security risk level of each communication between a plurality of internal communication sources and a plurality of external communication destinations via the Internet in the target company.
The display data generation unit generates display data for displaying a plurality of communication objects representing each of the communication in association with a risk object corresponding to the security risk level specified by the level specifying unit. , The generator according to claim 1.
前記表示データ生成部は、前記通信元を表す通信元オブジェクトに、前記通信元から前記通信先に送信するデータに対する前記セキュリティリスクレベルに応じた前記リスクオブジェクトを対応付けて表示する前記表示データを生成する、請求項1から5のいずれか一項に記載の生成装置。 The level specifying unit specifies the security risk level for the data transmitted from the communication source to the communication destination as the security risk level of the communication.
The display data generation unit generates the display data for displaying the communication source object representing the communication source in association with the risk object corresponding to the security risk level for the data transmitted from the communication source to the communication destination. The generator according to any one of claims 1 to 5.
前記表示データ生成部は、前記通信先を表す通信先オブジェクトに、前記通信先から前記通信元に送信するデータに対する前記セキュリティリスクレベルに応じた前記リスクオブジェクトを対応付けて表示する前記表示データを生成する、請求項1から6のいずれか一項に記載の生成装置。 The level specifying unit specifies the security risk level for the data transmitted from the communication destination to the communication source as the security risk level of the communication.
The display data generation unit generates the display data for displaying the communication destination object representing the communication destination in association with the risk object corresponding to the security risk level for the data transmitted from the communication destination to the communication source. The generator according to any one of claims 1 to 6.
前記生成装置のレベル特定部が、対象の会社におけるインターネットを介した社内の通信元と社外の通信先との通信のセキュリティリスクレベルを特定するレベル特定段階であって、前記対象の会社に求められるセキュリティ対策のレベルを示すセキュリティ対策レベルと、前記通信において扱われるデータの資産価値がどの程度の高さであるかを示す、データの資産価値に関する情報と、前記通信において扱われるデータのセキュリティ事故の発生頻度とに基づいて、前記通信の前記セキュリティリスクレベルを特定するレベル特定段階と、
前記生成装置の表示データ生成部が、複数の前記通信のそれぞれを表す複数の通信オブジェクトに、前記レベル特定段階において特定された前記セキュリティリスクレベルに応じたリスクオブジェクトを対応付けて表示する表示データを生成する表示データ生成段階と
を備え、
前記レベル特定段階は、前記通信において扱われる前記データが極秘情報を含む場合に最も高く、前記データが個人情報を含む場合、前記データが機密情報を含む場合、前記データが社外秘情報を含む場合、前記データが前記極秘情報、前記個人情報、前記機密情報、及び前記社外秘情報のいずれも含まない場合で段階的に低くなる前記データの資産価値に関する情報に基づいて、前記通信の前記セキュリティリスクレベルを特定する
生成方法。 A generation method performed by a generator,
The level specifying unit of the generator is a level specifying stage for specifying the security risk level of communication between an internal communication source and an external communication destination via the Internet in the target company, and is required of the target company. The security measure level indicating the level of security measures, the information on the asset value of data indicating how high the asset value of the data handled in the communication is, and the security accident of the data handled in the communication. A level identification stage for identifying the security risk level of the communication based on the frequency of occurrence , and
The display data generation unit of the generation device displays display data in which a plurality of communication objects representing each of the communication are associated with a risk object corresponding to the security risk level specified in the level specifying stage. It has a display data generation stage to generate ,
The level identification stage is highest when the data handled in the communication contains confidential information, when the data contains personal information, when the data contains confidential information, and when the data contains confidential information. The security risk level of the communication is determined based on the information regarding the asset value of the data, which is gradually lowered when the data does not include any of the confidential information, the personal information, the confidential information, and the confidential information. The generation method to identify.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019191206A JP6952090B2 (en) | 2019-10-18 | 2019-10-18 | Generator, program, and generation method |
PCT/JP2020/039196 WO2021075577A1 (en) | 2019-10-18 | 2020-10-16 | Generating device, program, and generating method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019191206A JP6952090B2 (en) | 2019-10-18 | 2019-10-18 | Generator, program, and generation method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021068031A JP2021068031A (en) | 2021-04-30 |
JP6952090B2 true JP6952090B2 (en) | 2021-10-20 |
Family
ID=75538283
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019191206A Active JP6952090B2 (en) | 2019-10-18 | 2019-10-18 | Generator, program, and generation method |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6952090B2 (en) |
WO (1) | WO2021075577A1 (en) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4821977B2 (en) * | 2005-12-05 | 2011-11-24 | 日本電気株式会社 | Risk analysis apparatus, risk analysis method, and risk analysis program |
JP5781616B2 (en) * | 2011-09-08 | 2015-09-24 | 株式会社日立製作所 | Vulnerability countermeasure device and vulnerability countermeasure method |
WO2018163274A1 (en) * | 2017-03-07 | 2018-09-13 | 三菱電機株式会社 | Risk analysis device, risk analysis method and risk analysis program |
JP7026475B2 (en) * | 2017-10-06 | 2022-02-28 | 株式会社野村総合研究所 | Security evaluation system and security evaluation method |
-
2019
- 2019-10-18 JP JP2019191206A patent/JP6952090B2/en active Active
-
2020
- 2020-10-16 WO PCT/JP2020/039196 patent/WO2021075577A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP2021068031A (en) | 2021-04-30 |
WO2021075577A1 (en) | 2021-04-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102271449B1 (en) | Artificial intelligence model platform and operation method thereof | |
CN104956376A (en) | Method and technique for application and device control in a virtualized environment | |
US9342697B1 (en) | Scalable security policy architecture for data leakage prevention | |
JPWO2014208427A1 (en) | Security information management system, security information management method, and security information management program | |
JP5366864B2 (en) | Security countermeasure standard creation support system and program, and security countermeasure standard creation support method | |
CN103336927A (en) | Data classification based data leakage prevention method and system | |
Alzhrani et al. | Automated big text security classification | |
WO2020175113A1 (en) | Anomaly detection device, anomaly detection method, and anomaly detection program | |
JP6952090B2 (en) | Generator, program, and generation method | |
CN116881979A (en) | Method, device and equipment for detecting data safety compliance | |
US20230017839A1 (en) | Risk analysis result display apparatus, method, and computer readable media | |
CN109067587B (en) | Method and device for determining key information infrastructure | |
US20230367884A1 (en) | Cyber attack scenario generation method and device | |
JP6274090B2 (en) | Threat analysis apparatus and threat analysis method | |
US8893289B1 (en) | Internal privacy invasion detection and prevention system | |
JPWO2019142469A1 (en) | Security design apparatus, security design method, and security design program | |
EP3929787A1 (en) | Detecting sensitive data records using a data format analysis | |
US11765022B2 (en) | Information distribution system, monitoring device, sharing device and information distribution method | |
CN114143074A (en) | Webshell attack recognition device and method | |
CN105279434A (en) | Naming method and device of malicious program sample family | |
US20230273993A1 (en) | Log generation apparatus, log generation method, and non-transitory computer readable medium | |
WO2022249588A1 (en) | Calculator system and cyber security information evaluation method | |
WO2023175954A1 (en) | Information processing device, information processing method, and computer-readable recording medium | |
US20220253529A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
CN113434365B (en) | Data characteristic monitoring method and device, electronic equipment and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191210 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210224 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210419 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210831 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210927 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6952090 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |