JP2000132767A - セキュリティ・システムの計画・設計方法及び支援ツール - Google Patents

セキュリティ・システムの計画・設計方法及び支援ツール

Info

Publication number
JP2000132767A
JP2000132767A JP10304995A JP30499598A JP2000132767A JP 2000132767 A JP2000132767 A JP 2000132767A JP 10304995 A JP10304995 A JP 10304995A JP 30499598 A JP30499598 A JP 30499598A JP 2000132767 A JP2000132767 A JP 2000132767A
Authority
JP
Japan
Prior art keywords
security
phase
evaluation
function
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10304995A
Other languages
English (en)
Inventor
Susumu Tsuhara
進 津原
Masayuki Orimo
昌之 織茂
Yasuhiko Nagai
康彦 永井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP10304995A priority Critical patent/JP2000132767A/ja
Publication of JP2000132767A publication Critical patent/JP2000132767A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Alarm Systems (AREA)

Abstract

(57)【要約】 【課題】セキュリティ・システムに関して、国際標準(C
ommon Criteria)で規定しているPP(Protection Profil
e) /ST(Security Target)作成のための計画・設計方法
と、この方法に基づいて行う作業を電子的に支援するツ
ールを提供する。 【解決手段】PP/ST作成のための、全作業工程を6フェー
ズ(TOEモデル化、脅威抽出、対策導出、セキュリティ目
標確立、CC機能要件付与、セキュリティ機能設計)に分
けた計画・設計方法と、本方法に基づいて行う各種ワー
ク・シートの作成作業を一貫して支援するツールを提供
する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、国際標準CC(Commo
n Criteria : 共通規準)に適合するセキュリティ・シス
テムの計画・設計方法と支援ツールに係わるものであ
る。
【0002】
【従来の技術】情報システムのセキュリティ機能と、そ
の保証に関して、国際的に統一された規準として、CCが
発行され、その後、ISO(International Organization f
or Standardization : 国際標準化機構)で審議が進めら
れており、近いうちに国際標準化がなされる見通しであ
る。
【0003】現在、各国で正式運用されているセキュリ
ティ規準としては、米国のTCSEC(Trusted Computer Sys
tem Evaluation Criteria :高信頼計算機システムの評
価基準、通称オレンジ・ブック)、英・独・仏のITSEC(I
nformation Technology Security Evaluation Criteria
: 情報技術のセキュリティ評価基準)、カナダのCTCPEC
(Canadian Trusted Computer Product Evaluation Crit
eria : カナダ版高信頼製品の評価基準)があるが、CCの
ISO標準化後は、これらはすべて、CCで置き換えられ、C
Cが世界の標準として正式に運用される可能性が高い。
【0004】CCが正式に運用されると、これに適合しな
い製品は、不適合製品として、市場から締め出されるの
で、いかにして、CCに適合する製品を、計画・設計すべ
きか、ということが極めて重要な課題となってくる。
【0005】以下、(1)CCの構成、(2)機能要件、保証要
件の構造と記述形式、(3)PP(Protection Profile : 保
護の仕様) /ST(Security Target : セキュリティの仕
様)の目次、(4)PP/STの構造について説明する。
【0006】まず、CCの構成について説明する。
【0007】CCは、第1部、第2部、第3部で構成されて
いる。
【0008】第1部では、導入と一般モデルと題して、
計画している製品ごとに、PPとSTを作成するよう規定し
ている。PPは、こういうものが欲しいという調達仕様書
であり、その作成が終わったら、CCの第4部へPPとして
登録・公開し、再利用できるようにすることになってい
る。FW(Fire Wall : ファイアウォール)をはじめとする
多様な製品の多様なPPの登録が予定されている。また、
STは、このPPを受けて、製品のメーカが独自に作成する
セキュリティ機能の設計仕様書である。
【0009】第2部では、セキュリティ機能要件と題し
て、計画している製品が具備すべきセキュリティ機能に
関する共通の要件を集めている。PP/ST作成時に、これ
らの要件を再利用する。
【0010】第3部では、セキュリティ保証要件と題し
て、セキュリティ機能要件の実現の確かさを保証するた
めの共通の要件を集めている。PP/ST作成時に、これら
の要件を再利用する。
【0011】ISOで標準化される予定のものは、上記第1
部から第3部までであるが、第4部に、上記で説明したよ
うに、PPの記載部分を追加し、ここへ種々の製品のPPを
登録し、運用していく予定になっている。
【0012】次に、機能要件、保証要件の構造と記述形
式について説明する。
【0013】第2部、第3部のセキュリティ機能要件、保
証要件は、クラス−ファミリー−コンポーネント−エレ
メントの木構造となっている。すなわち、セキュリティ
機能要件(または保証要件)の全体は、複数のクラスで構
成され、各クラスは、複数のファミリーで構成され、各
ファミリーは、複数のコンポーネントで構成され、各コ
ンポーネントは、複数のエレメントで構成されている。
各エレメントにはFCL_FML.C.E(クラスFCLに属するファ
ミリーFMLに属するコンポーネントCに属するエレメント
E)というように、ユニークな名前が付けられており、末
端に位置するエレメントEは、「……は、……すべきであ
る」というように、自然語形式で記述されている。 次に、PP/STの目次について説明する。
【0014】CCでは、その第1部で、作成すべきPPの目
次が規定されている (第1章 PP introduction、第2章 T
OE Description、第3章 TOE Security environment、第
4章Security objectives、第5章IT security requireme
nts、第6章 PP application notes、第7章 Rationale)
。その主要なものについて説明すると、第2章TOE Desc
riptionで、TOEを記述し、第3章 TOE Security environ
mentで、TOEのセキュリティ環境(想定される脅威、な
ど)を記述し、第4章Security objectivesで、TOEに対す
るセキュリティ目標を確立し、第5章IT security requi
rementsで、TOEに対するCC機能要件、などを付与し、第
7章 Rationaleで、第3,4,5章で明確化した、脅威とセキ
ュリティ目標との関連、セキュリティ目標とCC機能要件
との関連を開示する、よう規定している。
【0015】同様に、STについても目次が規定されてい
る(第1章 ST introduction、第2章TOE Description、第
3章 TOE Security environment、第4章 Security objec
tives、第5章 IT security requirements、第 6 章 TOE
summary specification、第7章PP claims、第8章 Rati
onale) 。第5章までは、PPと重複するが、第6章TOEsumm
ary specificationが追加されており、この章で、セキ
ュリティ機能設計を行い、第8章 Rationaleでは、第3,
4,5章で明確化した、脅威とセキュリティ目標との関
連、セキュリティ目標とCC機能要件との関連、の開示に
加えて、第6章で明確化したCC機能要件とセキュリティ
機能との関連を開示する、よう規定している。
【0016】最後に、PP/STの構造について説明する。
【0017】作成すべきPP/STの構造をまとめると、次
のようになる。すなわち、PP/STでは、「対象に想定さ
れる脅威を個々に抽出し、これらに対抗するためのセキ
ュリティ目標を個々に確立し、脅威とセキュリティ目標
との関連を明らかにし、個々のセキュリティ目標とCC機
能要件との対応を明らかにし、個々のセキュリティ機能
を設計し、CC機能要件とセキュリティ機能との関連を明
らかにすべきである」としている。
【0018】その理由は、セキュリティの認証者が、脅
威、セキュリティ目標、CC機能要件、セキュリティ機能
の関連の正当性を追跡可能とするためである。例えば、
「この対象に対しては、このような脅威が想定されるの
で、このようなセキュリティ目標で対抗する。そして、
そのセキュリティ目標は、このようなCC機能要件に対応
しており、そのCC機能要件を満足させるためには、この
ようなセキュリティ機能を備えておくことが必要であ
る」というような、脅威からセキュリティ機能にいたる
までの関連の正当性を一貫して追跡可能とするためであ
る。
【0019】上記からわかるように、CCで規定している
のは、TOEに応じて作成するPP/STの目次のみであり、目
次に対応する本文の内容を、体系的に、矛盾なく、過不
足なく、決めるためには、どのような作業を行えばよい
のかが、従来、知られていなかった。
【0020】
【発明が解決しようとする課題】このため、目的のPP/S
Tが、事実上作成不可能であったり、作成できたとして
も、その完成度は低く、とても開示には耐えられない、
などの課題があった。
【0021】上記課題を解決するために、本発明は、PP
/ST作成のための計画・設計方法と、本方法に基づいて
行う作業を一貫して支援するツールを提供することを目
的とする。
【0022】
【課題を解決するための手段】上記目的を達成するため
に、本発明における、セキュリティ・システムの計画・
設計方法では、計画・設計の全工程を、TOE(Target Of
Evaluation : 評価対象)モデル化(フェーズI)、脅威抽
出(フェーズII)、対策導出(フェーズIII)、セキュリテ
ィ目標確立(フェーズIV)、CC(Common Criteria : 共通
規準)機能要件付与(フェーズV)、セキュリティ機能設計
(フェーズVI)、の6フェーズに分けて実施する。
【0023】さらに、TOEモデル化(フェーズI)では、包
含ツリー分析、通信路設定(必要に応じて)、基本要素再
配置(必要に応じて)、評価要素の決定、の各作業ステッ
プを、この順序で実施し、包含ツリー分析で、TOEの基
本要素を明らかにし、通信路設定で、基本要素間の通信
路を設定し、基本要素再配置で、通信路の交叉などを解
消し、評価要素の決定で、評価すべき基本要素(以下、
評価要素と呼ぶ)をどれにするか決定する。
【0024】また、脅威抽出(フェーズII)では、5W(Whe
re, Who, When, Why, What)展開、重複脅威の解消、の
各作業ステップの、この順序での実施を、評価要素ごと
に繰り返し、各評価要素を襲うと想定される脅威をもれ
なく抽出する。
【0025】さらに、上記5W展開の作業ステップにおい
ては、Whereに評価要素を対応させ、Where , Who, Whe
n, Why, Whatの順に、ツリー状に項目展開し、最終のWh
atに対応する展開項目を、抽出した脅威とする、ことを
特徴とする。また、上記5W展開の作業ステップにおいて
は、抽出した脅威と一対一に対応して、脅威の種別を入
力する。また、上記重複脅威の解消の作業ステップにお
いては、脅威と一対一に対応して入力された脅威の種別
をもとにソーティングするようにして、抽出した脅威の
重複を解消可能とする。
【0026】また、対策導出(フェーズIII)では、フォ
ールト・ツリー解析、対策の導出、の各作業ステップ
の、この順序での実施を、脅威ごと、評価要素ごとに繰
り返し、引き続き、重複対策の解消、の作業ステップの
実施を評価要素ごとに繰り返すことによって、各評価要
素で実施すべき対策(セキュリティ目標)を導出する。
【0027】さらに、上記対策の導出の作業ステップに
おいては、抽出した脅威を頂上事象として、その生起の
因果関係をフォールト・ツリー解析法によって解析し、
対策導出のための素材とする。また、上記対策の導出の
作業ステップにおいては、脅威が想定される評価要素に
よる対策だけでなく、他の評価要素による対策も含めて
検討し、導出した対策は、どの評価要素での対策かを明
確化する。また、上記対策の導出の作業ステップにおい
ては、導出した対策と一対一に対応して、対策の種別を
入力する。また、上記重複対策の解消の作業ステップに
おいては、導出した対策と一対一に対応して入力された
対策の種別をもとにソーティングするようにして、導出
した対策の重複を解消可能とする。
【0028】また、セキュリティ目標確立(フェーズIV)
では、セキュリティ目標の確立(脅威−セキュリティ目
標 関連マトリックスの作成)、の作業ステップの実施を
評価要素ごとに繰り返すことによって、各評価要素で
の、脅威とセキュリティ目標との関連を明確化する。
【0029】また、CC機能要件付与(フェーズV)では、C
C機能要件の付与(セキュリティ目標−CC機能要件 関連
マトリックスの作成)、の作業ステップの実施を評価要
素ごとに繰り返すことによって、各評価要素での、セキ
ュリティ目標とCC機能要件との対応を明確化する。
【0030】さらに、上記CC機能要件付与(フェーズV)
では、上記 脅威−セキュリティ目標関連マトリック
ス、上記 セキュリティ目標−CC機能要件 関連マトリッ
クス、の開示によって、脅威とCC機能要件との対応を、
間接的に開示する。
【0031】また、セキュリティ機能設計(フェーズVI)
では、セキュリティ機能設計(セキュリティ機能リスト
の作成と、CC機能要件−セキュリティ機能 関連マトリ
ックスの作成)、の作業ステップの実施を評価要素ごと
に繰り返すことによって、各評価要素が備えておくべき
セキュリティ機能を明確化し、各評価要素での、CC機能
要件とセキュリティ機能との関連を明確化する。
【0032】さらに、上記セキュリティ機能設計(フェ
ーズVI)では、上記 脅威−セキュリティ目標 関連マト
リックス、上記 セキュリティ目標−CC機能要件 関連マ
トリックス、上記 CC機能要件−セキュリティ機能 関連
マトリックス、の開示によって、脅威とセキュリティ機
能との関連を、間接的に開示する。
【0033】また、本発明の支援ツールは、上記セキュ
リティ・システムの計画・設計方法において、計画・設
計の全フェーズ、全ステップで、必要なワーク・シート
を作成可能とし、計画・設計が終了した段階では、ワー
ク・シート集一式が完成するようにして、全フェーズ、
全ステップにわたって、これらを電子的に支援する。
【0034】さらに、評価対象が異なれば、それに応じ
て異なるワーク・シート集が作成可能なようにして、複
数の評価対象に対して、複数のワーク・シート集を記憶
する。また、上記ワーク・シート集を構成する個々のワ
ーク・シートは、各フェーズ、各ステップでの必要な作
業に対応して、もれなく準備されるものである。また、
上記ワーク・シート集を構成する個々のワーク・シート
の構造は、その種類に応じて異なるものである。
【0035】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を用いて説明する。
【0036】表1に、本発明の計画・設計方法(以下、計
画・設計方法と呼ぶ)の、作業概要を示す。全工程を、
(1)TOE(Target Of Evaluation : 評価対象)モデル化(フ
ェーズI)、(2)脅威抽出(フェーズII)、(3)対策導出(フ
ェーズIII)、(4)セキュリティ目標確立(フェーズIV)、
(5)CC(Common Criteria : 共通規準)機能要件付与(フェ
ーズV)、(6)セキュリティ機能設計(フェーズVI)、の6フ
ェーズに分けて実施する。各フェーズでの作業概要は、
表1に示した通りである。
【0037】
【表1】
【0038】図1に、各フェーズでの作業フローを示
す。
【0039】(1)TOEモデル化(フェーズI)では、作業
は、(a)包含ツリー分析、(b)通信路設定(必要に応じ
て)、(c)基本要素再配置(必要に応じて)、(d)評価要素
の決定、の各ステップを、この順序で実施し、(a)で、T
OEの基本要素を明らかにし、(b)で、基本要素間の通信
路を設定し、(c)で、基本要素の再配置によって通信路
の交叉などを解消し、(d)で、評価すべき基本要素(以
下、評価要素と呼ぶ)をどれにするか決定する。
【0040】(2)脅威抽出(フェーズII)では、作業は、
(a)5W(Where, Who, When, Why, What)展開、(b)重複脅
威の解消、の各ステップの、この順序での実施を、評価
要素ごとに繰り返す。この作業によって、各評価要素を
襲うと想定される脅威をもれなく抽出する。
【0041】(3)対策導出(フェーズIII)では、作業は、
(a)フォールト・ツリー解析、(b)対策の導出、の各ステ
ップの、この順序での実施を、脅威ごと、評価要素ごと
に繰り返し、引き続き、(c)重複対策の解消、のステッ
プの実施を評価要素ごとに繰り返す。この作業によっ
て、各評価要素で実施すべき対策(セキュリティ目標)を
導出する。
【0042】(4)セキュリティ目標確立(フェーズIV)で
は、作業は、(a)セキュリティ目標の確立(脅威−セキュ
リティ目標 関連マトリックスの作成)、のステップの実
施を評価要素ごとに繰り返す。この作業によって、各評
価要素での、脅威とセキュリティ目標との関連を明確化
する。
【0043】(5)CC機能要件付与(フェーズV)では、作業
は、(a) CC機能要件の付与(セキュリティ目標−CC機能
要件 関連マトリックスの作成)、のステップの実施を評
価要素ごとに繰り返す。この作業によって、各評価要素
での、セキュリティ目標とCC機能要件との対応を明確化
する。
【0044】(6)セキュリティ機能設計(フェーズVI)で
は、作業は、(a)セキュリティ機能設計(セキュリティ機
能リストの作成、CC機能要件−セキュリティ機能 関連
マトリックスの作成)、のステップの実施を評価要素ご
とに繰り返す。この作業によって、各評価要素が備えて
おくべきセキュリティ機能を明確化し、各評価要素で
の、CC機能要件とセキュリティ機能との関連を明確化す
る。
【0045】上記各作業では、その作業結果を記憶する
ために、各種ワーク・シートを作成する。表2に、作成
するワーク・シートの一覧を示す。表に示したように、
各フェーズの各ステップに対応して、"包含ツリー図"か
ら"CC機能要件−セキュリティ機能 関連マトリックス"
までの17種類のワーク・シートを作成する。
【0046】
【表2】
【0047】図2は、本発明の支援ツール(以下、支援ツ
ールと呼ぶ)が動作するハードウェアの構成例である。
図示したように、CPU(Central Processing Unit : 中央
処理装置)10、主メモリ20、ハードディスク30、フレキ
シブルディスク40、プリンタ50、キーボード60、マウス
70、ディスプレイ80、LANボード90、バス100で構成され
る。
【0048】CPU10は、例えば、64ビットまたは32ビッ
トのマイクロプロセッサである。主メモリ20には、通信
プロトコル・ソフト、OS(Operating System : 基本ソフ
トウェア、オペレーティング・システム)、ミドル・ソ
フト、その上で動作するAP(Application Program : 応
用プログラム)、およびデータが、ハードディスク30な
どよりロードされる。ハードディスク30は、上記プログ
ラムやデータを格納する。フレキシブルディスク40は、
前述したプログラムやデータを外部より提供したり、こ
れらを外部へ出力したりするために使用される。プリン
タ50は、上記APからの要求に従った印刷を実行したり、
画面のハード・コピーをとったりするために使用され
る。キーボード60、マウス70、ディスプレイ80は、とも
にユーザとの情報交換のための入出力装置である。特
に、主メモリ20上のプログラムである支援ツールを、CP
U10が実行する時に、支援ツールは各種ワーク・シート
をディスプレイ80にウィンドウ表示するが、ユーザは、
マウス70またはキーボード60からの入力によって、上記
ウィンドウを操作して、対話的に作業を実行する。LAN
ボード90は、遠隔地に存在する計算機と通信を行うため
に使用される。
【0049】主メモリ20上で実行される各種プログラム
の関係を図3に示す。図示したように、各種のAP(AP1〜A
Pn)120は、オペレーティング・システム110(ウィンドウ
・システムを含む)の上で、メッセージ(図中の矢印)駆
動で実行される。
【0050】支援ツールは、図中太枠の長方形で囲んだ
部分AP1である。AP1は、上記メッセージをハンドリング
(取得、配送)するメイン関数130と、ここから配送さ
れてくるメッセージに駆動されて各種の処理を実行する
親ウィンドウ関数140、子ウィンドウ関数150で構成され
ている。
【0051】上記親ウィンドウ関数140、子ウィンドウ
関数150は、ディスプレイ80上に表示される一つの親ウ
ィンドウ、親ウィンドウ内の複数の子ウィンドウに対応
している。親ウィンドウ関数140、子ウィンドウ関数150
は、これらの対応するウィンドウの表示を制御すると共
に、表示されたウィンドウ上で行われたユーザの操作な
どに反応してメッセージを生成する。このメッセージ
は、オペレーティング・システム110内のメッセージ・キ
ューに取り込まれ、その後、順次、メイン関数130によ
り取り出され、指定されたウィンドウ関数140、150へ配
送される。
【0052】上記メイン関数130およびウィンドウ関数1
40、150の基本的な処理フローを図4、図5に示す。図4が
メイン関数130、図5がウィンドウ関数140、150の処理フ
ローである(ウィンドウ関数の基本的な処理フローは、
親ウィンドウ、子ウィンドウといったウィンドウの種別
には依存せず同一である)。
【0053】メイン関数130では、図4に示したように、
ステップ10で、ウィンドウのクラス登録、作成、表示な
どの初期設定を行った後、ステップ20で、オペレーティ
ング・システム110内のメッセージ・キューからメッセー
ジを取得し(ステップ30)、取得したメッセージをウィン
ドウ関数140、150へ配送する(ステップ40)処理を繰り返
す。
【0054】ウィンドウ関数140、150では、図5に示し
たように、ステップ10で、メイン関数130から配送され
たメッセージの種別を判定し、ステップ20〜40で、メッ
セージの種別に対応した各種の処理を行う。
【0055】支援ツールのソフトウェア構成を図6に示
す。図示したように、ワーク・シート群160、作業用メ
モリ170、ワーク・シート読出・書込処理部190、ワーク
・シート生成・削除処理部200、ワーク・シート更新処
理部210、ワーク・シート表示処理部220で構成される。
【0056】ワーク・シート群160は、ユーザが支援ツ
ールを使用して作成する各種のワーク・シート上のデー
タを記憶する。作業用メモリ170は、必要に応じて、ワ
ーク・シート群160上のデータを一時的に記憶する。ワ
ーク・シート読出・書込処理部190は、ハードディスク3
0とワーク・シート群160との間で、ワーク・シートの読
み出し、書き込みを行う。ワーク・シート生成・削除処
理部200は、新規ワーク・シートを生成して、ワーク・
シート群160へ追加する。または、ワーク・シート群160
から特定のワーク・シートを削除する。ワーク・シート
更新処理部210は、ワーク・シート群160の内容を更新す
る。ワーク・シート表示処理部220は、ワーク・シート
群160の内容をディスプレイ80へ表示する。
【0057】図5におけるステップ20〜40では、メッセ
ージの種別に対応して、上記の各処理部が選択的に起動
される。
【0058】図7は、支援ツールを立ち上げた直後にデ
ィスプレイ80上に表示される親ウィンドウの構成を示し
たものである。親ウィンドウ230内は、メニュー・バー
(メニュー1、メニュー2、……)240、上側ツール・ボタ
ン(TB1, TB2, ……)250、下側ツール・ボタン(BB1, BB
2, ……)260、制御ボタンI((Iconize : アイコン化)、R
(Resize : リサイズ) 、C(Close : クローズ)270と、子
ウィンドウ280で構成されており、子ウィンドウ280は、
クライアント・エリア290、ワーク・シート切り換えボ
タン300、水平スクロール・ボタン310、垂直スクロール
・ボタン320、制御ボタンI((Iconize : アイコン化)、R
(Resize : リサイズ) 、C(Close : クローズ)330、で構
成されている。
【0059】新規な評価対象(評価対象1)の計画・設計
では、このために各種ワーク・シート(以下、ワーク・
シート集と呼ぶ)を作成する。初期に必要なワーク・シ
ートは、"包含ツリー図"であるが、図示したように、こ
れがクライアント・エリア290内にデフォルトで表示さ
れる。メニュー・バー240に表示される各種メニュー
は、このワーク・シートに対応したものとなっている。
【0060】このワーク・シートの切り換えには、ワー
ク・シート切り換えボタン300を使用する。このボタン
を押すと、既作成のワーク・シート群が一覧表示され
る。図8にその表示例を示す。図8に示した例は、図7に
示した評価対象とは別の評価対象(XXXXシステム)に対し
て、既に各種のワーク・シートを作成済と仮定して示し
たものである。
【0061】図8の340に示したように、既作成のワーク
・シートが一覧表示される(WS4, WS5, ……)。WS4, WS
5, ……は、例えば、対応する実際のワーク・シートの
内容を縮小表示したものである。
【0062】ユーザは、これを見て目的のワーク・シー
トを探し、それをマウスでダブルクリックする。クライ
アント・エリア290内には、ダブルクリックしたワーク
・シートの内容が表示され、メニュー・バー240に表示
される各種メニューは、表示したワーク・シートに対応
したものに切り換わり、このワーク・シートが編集可能
な状態となる。
【0063】以下、図1に沿って、支援ツールを用いた
作業の実施方法を説明する。
【0064】まず、TOEモデル化(フェーズI)について説
明する。
【0065】このフェーズでは、(1)包含ツリー分析、
(2)通信路設定(必要に応じて)、(3)基本要素再配置
(必要に応じて)、(4)評価要素の決定、の4ステップ
により評価対象のモデル化作業を進める。第一ステップ
の包含ツリー分析作業は、包含ツリー分析法によって、
評価対象の基本要素と要素間の通信路を明確化する作業
である。包含ツリー分析法とは、複雑な現実の評価対象
をオブジェクト指向アプローチによって抽象化するモデ
ル化技法の一つで、単一のオブジェクトを頂上に置いて
(これを頂上要素と呼ぶ)、そのPart Of関係(全体と部分
の関係)に注目して、下位の構成要素にツリー状に展開
し、それ以上は展開できない要素(これを基本要素と呼
ぶ)に至るまで展開を続ける分析法である。この方法に
よって、頂上要素がどのような基本要素で構成されてい
るのかを明らかにすることができる。
【0066】この分析作業には、ワーク・シート"包含
ツリー図"(以下、"包含ツリー図"と呼ぶ)を用いる。そ
の表示例を図9に示す。図中、太枠の長方形は子ウィン
ドウ280のクライアント・エリア290(図7参照)である(以
下の図10から図28のすべての図にあらわれる太枠の長方
形は、図16を除いて、このクライアント・エリア290で
あり、特に必要のない限り、この説明は省略する)。個
々の要素は、楕円(これをノードと呼ぶ)と略称で表示さ
れ、要素間の関係は線分で表示される。略称は、要素の
特徴を端的にとらえてユーザが考案し、ノード内に文字
列として入力する情報であり、通常は名詞が使用され
る。図9の例では、評価対象TOEは、要素E1と要素E2で構
成されており、要素E1は、要素E11と要素E12で構成され
ており、要素E12は、要素E121と要素E122で構成されて
おり、要素E2は、要素E21と要素E22で構成されている、
ということを意味している。このワーク・シートの選択
は、図7に示したように、ワーク・シート集の新規作成
時にデフォルトで表示されるワーク・シートを使用する
か、図8に示したように、既存のワーク・シート集を開
いた後、"包含ツリー図"に表示を切り換えることにより
行う。ワーク・シートの切り換えに同期して、メニュー
・バー240の内容(メニュー1、メニュー2、……)も、"包
含ツリー図"編集に必要なもの(例えば、メニュー"ノー
ド分岐"、"ノード挿入"、"ノード削除"、……)に切り換
えられる。
【0067】"包含ツリー図"新規作成のために、このワ
ーク・シートを選択した初期の状態では、評価対象TOE
のみが表示されており、下位の要素への展開はユーザの
洞察にまかされている。この洞察結果に基づいて、上
記"包含ツリー図"編集用の各種メニューを駆使して"包
含ツリー図"を完成させる。この時、要素間の通信路
は、あとで設定するので、ここではひとまず除外して洞
察する。
【0068】"包含ツリー図"完成後、ワーク・シート"
システム基本要素図−I"(以下、"システム基本要素図
−I"と呼ぶ)を作成する。この作業は、既作成の"包含
ツリー図"を選択した状態で、対応するメニューを選択
することにより行う。この操作によって、"包含ツリー
図"の記憶内容をもとに、"システム基本要素図−I"が自
動的に新規作成され(既作成の"包含ツリー図"における
基本要素のみが自動転記され)、現在選択されているワ
ーク・シートは、"システム基本要素図−I"に切り換わ
る。図10にその表示例を示す。
【0069】第二ステップの通信路設定作業は、必要に
応じて、上記基本要素間に通信路を設定する作業であ
る。この設定作業にはワーク・シート"通信路設定マト
リックス"(以下、"通信路設定マトリックス"と呼ぶ)を
用いる。"システム基本要素図−I"を選択した状態で、
対応するメニューを選択すると、"システム基本要素図
−I"の記憶内容をもとに、"通信路設定マトリックス"の
書式が自動的に新規作成され、現在選択されているワー
ク・シートは、"通信路設定マトリックス"に切り換わ
る。ユーザは、この"通信路設定マトリックス"の対角右
上のマトリックス要素に、通信路ありなら、その通信路
の略称を入力する(通信路なしなら、何も入力しない)。
この通信路略称入力の方法は、前記"包含ツリー図"作成
時の、要素略称入力の方法と同じなので説明は省略す
る。図11に"通信路設定マトリックス"の表示例を示す。
通信路略称入力以前の初期状態では、"システム基本要
素図−I"における基本要素のみが"通信路設定マトリッ
クス"の上端および左端部("E11","E121", ……)に自
動転記されており、その後、マトリックス要素に通信路
の略称を入力する。図示の例は、要素E11と要素E122
の間に通信路C1が存在し、要素E121と要素E21との間に
通信路C2が存在し、要素E121と要素E22との間に通信路C
3が存在し、要素E122と要素E21との間に通信路C4が存在
している、ということを意味している。
【0070】"通信路設定マトリックス"完成後、ワーク
・シート"システム基本要素図−II"(以下、"システム基
本要素図−II "と呼ぶ)を作成する。この作業は、既作
成の"通信路設定マトリックス"を選択した状態で、対応
するメニューを選択することにより行う。この操作によ
って、既作成の"システム基本要素図−I"、"通信路設定
マトリックス"の記憶内容をもとに、"システム基本要素
図−II"が自動的に新規作成され、現在選択されている
ワーク・シートは、"システム基本要素図−II"に切り換
わる。図12にその表示例を示す。
【0071】第三ステップの基本要素再配置作業は、主
に通信路の交叉を解消するために、基本要素を再配置す
る作業である。ユーザによる構造把握を容易化し、以後
の作業を円滑に行うために実施するもので、必要に応じ
て行う。この再配置作業には、ワーク・シート"システ
ム基本要素図−III"(以下、"システム基本要素図−III"
と呼ぶ)を用いる。既作成の"システム基本要素図−II"
を選択した状態で、対応するメニューを選択すると、"
システム基本要素図−II"の記憶内容をもとに、"システ
ム基本要素図−III"が自動的に新規作成され、現在選択
されているワーク・シートは、"システム基本要素図−I
II"に切り換わる。ユーザは、その表示内容を見なが
ら、特定の基本要素を移動させることによって、通信路
の交叉を解消する。図13にその表示例を示す。図示の例
は、E121を要素E122の右側へ移動させて通信路の交叉を
解消した例である。以下、通信路をすべて含めて基本要
素と呼ぶ。
【0072】第四ステップの評価要素の決定作業は、基
本要素の同一性、想定される脅威の大きさなどを考慮し
ながら、どの基本要素を評価の対象とするかを決定する
作業である。この決定作業には、ワーク・シート"評価
要素リスト"(以下、"評価要素リスト"と呼ぶ)を用い
る。既作成の"システム基本要素図−III"を選択した状
態で、対応するメニューを選択すると、"システム基本
要素図−III"の記憶内容をもとに、"評価要素リスト"の
書式が自動的に新規作成され、現在選択されているワー
ク・シートは、"評価要素リスト"に切り換わる。ユーザ
は、その表示内容を見ながら、どれを、以後の作業で評
価すべき要素(以下、評価要素と呼ぶ)とするか決定し、
その結果を入力する。この時の表示例を図14に示す。決
定結果の入力以前の初期状態では、"評価要素リスト"上
端部に各列の説明が付され("基本要素"、"評価要
素"、"評価要素概要")、左端部には、"システム基本要
素図−III"が記憶している基本要素がすべて列挙されて
いる("E11", "E121", ……)。ユーザは、これを見なが
ら、基本要素ごとに、評価要素とすべきか否かを決め、
その結果を入力する。図中、*印は、評価要素とするこ
とを意味し、ブランクは、評価要素とはしないことを意
味している。なお、各評価要素の概要もまとめ、その結
果を第三列目("評価要素概要""に入力しておく。
【0073】"評価要素リスト"完成後、ワーク・シー
ト"システム基本要素図−IV"(以下、"システム基本要素
図−IV"と呼ぶ)を作成する。この作業は、"評価要素リ
スト"を選択した状態で、対応するメニューを選択する
ことにより行う。この操作によって、既作成の"システ
ム基本要素図−III"、"評価要素リスト"の記憶内容をも
とに、"システム基本要素図−IV"が自動的に新規作成さ
れ、現在選択されているワーク・シートは、"システム
基本要素図−IV"に切り換わる。図15にその表示例を示
す。評価要素(E11, C1, E122, C4, E21, C2, E121)は実
線で、評価要素とはしなかった基本要素(C3, E22)は破
線で表示される。
【0074】以上が、TOEモデル化(フェーズI)における
各ステップでの作業の説明である。
【0075】次に、脅威とその対策("対策"のことを、"
セキュリティ目標"とも呼ぶ)の関連マトリックスによる
整理法について説明する。
【0076】図16に脅威とその対策の関連マトリックス
を示す。まず、評価要素は複数存在し、個々の評価要素
を襲うと想定される脅威もまた複数存在するものとし、
第j番目( j = 1 〜 n ; n : 評価要素の数)の評価要素X
jを襲うと想定される第i番目( i = 1, 2, ……)の脅威
を、Ti.Xj.XXXXと表記して、個々の脅威Ti.Xj.XXXXを、
関連マトリックスの縦軸に配置している。ここで、脅威
表記の末尾のXXXXは、この脅威に付けたユニークな見出
しである。次に、評価要素は複数存在し、個々の評価要
素での対策も複数存在するものとし、第j番目( j = 1
〜 n ; n : 評価要素の数)の評価要素Xjでの第i番目(
i = 1, 2, ……)の対策を、Oi.Xj.XXXXと表記して、個
々の対策Oi.Xj.XXXXを、関連マトリックスの横軸に配置
している。ここで、対策表記の末尾のXXXXは、この対策
に付けたユニークな見出しである。関連マトリックス
は、このように、ブロック・マトリックスの構造をして
いる。マトリックス要素には、脅威と対策の関連の有無
を入力する(関連ありなら*印を入力し、関連なしなら
ブランクのままとする)。例えば、「脅威T2.X2.XXXXに
対しては、対策O1.X2.XXXXで対抗する」という関連があ
る場合には、これらの交点に位置するマトリックス要素
に*印を入力する。
【0077】以上が、脅威とその対策の関連マトリック
スによる整理法の説明である。
【0078】次に脅威抽出(フェーズII)について説明す
る。
【0079】このフェーズでは、評価要素Xjごとに、
(1)5W展開、(2)重複脅威の解消の2ステップを繰り返す
ことにより脅威の抽出作業を進める。
【0080】第一ステップの5W展開作業は、評価要素Xj
を襲うと想定される脅威を、5W(Where, Who, When, Wh
y, What)の視点から誘導することによって、もれなく抽
出する作業である。
【0081】この展開作業には、ワーク・シート"5W展
開図"(以下、"5W展開図"と呼ぶ) を用いる。その表示例
を図17に示す。個々の展開項目は長方形と短文で表示さ
れる。短文は、展開項目の特徴を端的にとらえてユーザ
が考案し、長方形内に文字列として入力する情報であ
る。図17の例では、評価要素Xj(Where)へのアタック
は、犯行者−1、または、……(Who)によってなされ、犯
行者−1による犯行は、犯行時−11、または、……(Whe
n)に実行され、犯行時−11の犯行動機は、動機−111、
または、動機−112、または、動機−113であり(Why)、
動機−111による犯行は、犯行−1111、または、犯行−1
112である(What)。………。ということを意味してい
る。そして、最下段(What)に位置する各種の犯行を、こ
の作業によって抽出した脅威とする。このワーク・シー
トの選択は、TOEモデル化(フェーズI)の最終ステップ
で、"システム基本要素図−IV"を選択した時に表示され
るメニューを選択するか、図8に示したように、既存の
ワーク・シート集を開いた後、"5W展開図"に表示を切り
換えることにより行う。
【0082】"5W展開図"新規作成のために、このワーク
・シートを選択した初期の状態では、左端部の誘導情報
("Where", "Who", "When", "Why", "What")と最上位の
展開項目("Xjへのアタック")のみが表示されており、下
位への展開はユーザの洞察にまかされている。この洞察
結果に基づいて、"5W展開図"編集用の各種メニューを駆
使して"5W展開図"を完成させる。なお、図17に示した例
では、WhoからWhatの各段は、簡単のため、一段として
いるが、これに限定されるものではなく、これらは、必
要に応じて、多段としてもよい。多段とする場合に必要
な編集作業(例えば、段の挿入)は、メニュー選択などに
よって行う。
【0083】第二ステップの重複脅威の解消作業は、上
記抽出された脅威の重複を解消する作業である。この作
業にはワーク・シート"犯行リスト"(以下、"犯行リス
ト"と呼ぶ)を用いる。"5W展開図"を選択した状態で、対
応するメニューを選択すると、"5W展開図"の記憶内容を
もとに、"犯行リスト"の書式が自動的に新規作成され、
現在選択されているワーク・シートは、"犯行リスト"に
切り換わる。ユーザは、その表示内容を見ながら、個々
の犯行の種別を決定し、その結果を入力する。この時の
表示例を図18に示す。決定結果の入力以前の初期状態で
は、"犯行リスト"上端部に各列の説明が付され("犯行一
覧", "犯行種別")、最左列には、"5W展開図"におけるす
べての犯行が列挙されている("犯行−1111"、"犯行−11
12"、……)。ユーザは、これを見ながら、犯行ごとに、
その種別を決め、その結果を入力する("犯行A"、"犯行
B"、……)。
【0084】"犯行リスト"完成後、ワーク・シート"脅
威リスト"(以下、"脅威リスト"と呼ぶ)を作成する。こ
の作業は、"犯行リスト"を選択した状態で、対応するメ
ニューを選択することにより行う。この操作によって、
既作成の"犯行リスト"の記憶内容をもとに、"脅威リス
ト"が自動的に新規作成され、現在選択されているワー
ク・シートは、"脅威リスト"に切り換わる。ユーザは、
その表示内容を見ながら、どれを、ユニークな脅威とす
るか決定し、その脅威に対して、見出しと概要を入力す
る。この時の表示例を図19に示す。見出しと概要の入力
以前の初期状態では、"脅威リスト"上端部に各列の説明
が付され("犯行一覧"、"犯行種別"、"要素Xjへの脅威見
出し"、"要素Xjへの脅威概要")、"犯行一覧"列と"犯行
種別"列には、"犯行リスト"に記憶されているすべての
犯行が、"犯行種別"によってソートされて表示されてい
る。ユーザはこれによって、犯行−1111と犯行−1131、
犯行−1112と犯行−1122は同種の犯行であり(犯行A、犯
行B)、重複しているということを知り、同種犯行のうち
の一つをユニークな脅威として、それに見出しを付す(T
1.Xj.XXXX, T2.Xj.XXXX, ……)。また、ユニークな脅威
に対して、その概要もまとめ、結果を入力する。
【0085】脅威抽出(フェーズII)では、以上説明し
た、5W展開、重複脅威の解消の二ステップの作業を、す
べての評価要素Xj( j = 1 〜 n ; n : 評価要素の数)に
ついて繰り返す。この繰り返しによって、図16に示した
脅威−セキュリティ目標 関連マトリックスの縦軸が完
成したことになる。
【0086】以上が、脅威抽出(フェーズII)についての
説明である。
【0087】次に対策導出(フェーズIII)について説明
する。
【0088】このフェーズでは、脅威Tiごと、評価要素
Xjごとに、(1)フォールト・ツリー解析、(2)対策の導
出、を繰り返し、その後、評価要素Xk( k= 1 〜 n ; n
: 評価要素の数)ごとに、(3)重複対策の解消、を繰り
返すことにより、対策の導出作業を進める。
【0089】第一ステップのフォールト・ツリー解析作
業は、評価要素Xjを襲うと想定される脅威Ti(脅威抽出
(フェーズII)で抽出済み)の生起に関する論理的な因果
関係を、フォールト・ツリー解析法によって、明確化す
る作業である。フォールト・ツリー解析法とは、大規模
・複雑なシステムの信頼性・安全性を事前に解析・評価
する技法の一つで、望ましくない単一の事象 (これを頂
上事象と呼ぶ)を頂上に置いて、それを引き起こす原因
となる事象を論理的に分岐し、それ以上は分岐できない
事象(これを基本事象と呼ぶ)に至るまで分岐を続ける解
析法である。各事象の分岐には、ANDゲートやORゲート
などの論理ゲートが使用される。例えば、ANDゲートは
入力側の事象がすべて生起した時に出力側の事象が生起
する時に、ORゲートは、入力側の事象のどれかが生起し
た時に出力側の事象が生起する時に、それぞれ使用され
る。この方法によって、基本事象から中間の事象を経て
頂上事象に至るまでの、事象間の因果関係を論理的に明
らかにすることができるので(頂上事象生起の構造を知
ることができるので)、「頂上事象の生起を抑止するた
めには、どのような基本事象の生起を抑止すべきか」と
いう検討が可能となる。
【0090】この解析作業には、ワーク・シート"フォ
ールト・ツリー図"(以下、"フォールト・ツリー図"と呼
ぶ)を用いる。その表示例を図20に示す。個々の事象は
長方形と短文で表示される。短文は、事象の特徴を端的
にとらえてユーザが考案し、長方形内に文字列として入
力する情報である。図20の例では、脅威事象Ti.Xj.XXXX
の生起(What)の原因は、手口−1の生起、または、……
(How)であり、手口−1の生起の原因は、手口−11の生
起、かつ、手口−12の生起であり、手口−11の生起の原
因は、手口−111の生起、または、手口−112の生起であ
り、手口−111の生起は、手口−1111の生起、かつ、手
口−1112の生起である。………。ということを意味して
いる。このワーク・シートの選択は、脅威抽出(フェー
ズII)の最終ステップで、"脅威リスト"を選択した時に
表示されるメニューを選択するか、図8に示したよう
に、既存のワーク・シート集を開いた後、"フォールト
・ツリー図"に表示を切り換えることにより行う。
【0091】"フォールト・ツリー図"新規作成のため
に、このワーク・シートを選択した初期の状態では、左
端部の書式("What", "How")と頂上事象("Ti.Xj.XXXX")
のみが表示されており、下位事象への展開はユーザの洞
察にまかされている。この洞察結果に基づいて、"フォ
ールト・ツリー図"編集用の各種メニューを駆使して"フ
ォールト・ツリー図"を完成させる。
【0092】第二ステップの対策の導出作業は、上記完
成した"フォールト・ツリー図"に基づいて、脅威Ti.Xj.
XXXXの生起を抑止するための対策を導出する作業であ
る。「基本事象の生起を抑止することが、脅威Ti.Xj.XX
XXの生起を抑止することにつながる」という考え方に基
づき、"基本事象の生起を抑止すること"を、"対策"と位
置づけ、ANDゲート、ORゲートによる分岐の構造を考慮
しながら、対策を導出する。ここで、対策とはシステム
としての対策であるから、「現在注目している評価要素
Xjによる対策ではないが、他の評価要素Xkによる対策で
ある」ということもあり得る(図16参照)。そこで、どの
評価要素による対策なのかも明らかにしておく。導出し
た対策の整理には、ワーク・シート"対策リスト"(以
下、"対策リスト"と呼ぶ)を用いる。"フォールト・ツリ
ー図"を選択した状態で、対応するメニューを選択する
と、"脅威リスト"の記憶内容をもとに、"対策リスト"の
書式が自動的に新規作成され、現在選択されているワー
ク・シートは、"対策リスト"に切り換わる。この時の初
期表示例を図21に示す。"対策リスト"上端部に各列の説
明が付され("脅威一覧"、"要素Xkでの対策一覧"、"対策
種別")、"脅威一覧"列には、"脅威リスト"に記憶されて
いるすべての脅威(すべての評価要素のすべての脅威)が
列挙されている("T1.X1.XXXX", "T2.X1.XXXX", ……)。
ユーザは、これを見ながら、現在注目している脅威Ti.X
j.XXXXに対する、評価要素Xkでの対策と、その種別を入
力する。対策と、その種別の入力後の表示例を図22に示
す。図示したように、同一の脅威に対して複数行を使用
して、複数の対策を入力する。
【0093】以下、上記(1)フォールト・ツリー解析、
(2)対策の導出の2ステップを、同一の評価要素Xjに対す
るすべての脅威について、繰り返し実行する。
【0094】さらに、上記作業をすべての評価要素につ
いて繰り返し実行する。
【0095】その結果"フォールト・ツリー図"は、脅威
と一対一に対応して新規に作成されるが(ワーク・シート
の枚数 = すべての評価要素のすべての脅威の累積
数)、"対策リスト"は脅威に関係なく、対策する評価要
素ごとに同一のワーク・シートを使用するので(評価要
素Xkの"対策リスト"を使用)、対策が累積される。この
時の表示例を図23に示す。
【0096】第三ステップの重複対策の解消作業は、上
記完成した"対策リスト"における重複した対策を解消す
る作業である。"対策リスト"は、「評価要素Xkでの対
策」というように、対策する評価要素Xkごとに作成され
ており、この解消作業は、評価要素Xkごとに繰り返す。
【0097】この作業には、ワーク・シート"セキュリテ
ィ目標リスト"(以下、"セキュリティ目標リスト"と呼
ぶ)を用いる。"対策リスト"を選択した状態で、対応す
るメニューを選択すると、"対策リスト"の記憶内容をも
とに、"セキュリティ目標リスト"の書式が自動的に新規
作成され、現在選択されているワーク・シートは、"セ
キュリティ目標リスト"に切り換わる。ユーザは、その
表示内容を見ながら、どれを、ユニークな対策とするか
決定し、その対策に対して、見出しと概要を入力する。
この時の表示例を図24に示す。見出しと概要の入力以前
の初期状態では、"セキュリティ目標リスト"上端部に各
列の説明が付され("脅威一覧", "要素Xkでの対策一覧",
"対策種別", ”要素Xkでの対策見出し", "要素Xkでの
対策概要")、"脅威一覧"列、"要素Xkでの対策一覧"
列、"対策種別"列には、"対策リスト"に記憶されている
すべての対策が、"対策種別"によってソートされて表示
されている。ユーザはこれによって、対策−12と対策−
22は同種の対策であり(対策b)、重複しているというこ
とを知り、同種対策のうちの一つをユニークな対策とし
て、それに見出しを付す(O1.Xk.XXXX, O2.Xk.XXXX, …
…)。また、ユニークな対策に対して、その概要もまと
め、結果を入力する。
【0098】対策導出(フェーズIII)では、以上説明し
た、(1)フォールト・ツリー解析、(2)対策の導出、(3)重
複対策の解消の三ステップの作業を、(1), (2)について
は、すべての評価要素におけるすべての脅威について繰
り返し、(3)については、すべての評価要素Xkについて
繰り返す。これによって、図16に示した脅威−セキュリ
ティ目標 関連マトリックスの横軸が完成したことにな
る。
【0099】以上が、対策導出(フェーズIII)について
の説明である。
【0100】次にセキュリティ目標確立(フェーズIV)に
ついて説明する。
【0101】このフェーズでは、評価要素Xkごとに、図
16において縦軸に配置したすべての脅威と、横軸に配置
した要素Xkでの対策との関連を明らかにする。
【0102】この関連付け作業には、ワーク・シート"
脅威−セキュリティ目標 関連マトリックス"(以下、"脅
威−セキュリティ目標 関連マトリックス"と呼ぶ)を用
いる。その表示例を図25に示す。マトリックスの縦軸に
はすべての脅威が配置され、横軸には評価要素Xkでのす
べての対策が配置されている。そして、「脅威T1.X1.XX
XXには、対策O1.Xk.XXXXと、対策O2.Xk.XXXXと、対策
O3.Xk.XXXXと、対策………で対抗し、………」という関
連付けを行っている。このワーク・シートの選択は、対
策導出(フェーズIII)の最終ステップで、"セキュリティ
目標リスト"を選択した時に表示されるメニューを選択
するか、図8に示したように、既存のワーク・シート集
を開いた後、"脅威−セキュリティ目標 関連マトリック
ス"に表示を切り換えることにより行う。
【0103】"脅威−セキュリティ目標 関連マトリック
ス"新規作成のために、このワーク・シートを選択した
初期の状態では、マトリックスの書式のみ(最左列、最
上行、……)が表示される。これらは、"脅威リスト"、"
セキュリティ目標リスト"の記憶内容をもとに自動作成
される。ユーザは、これを見ながら、個々のマトリック
ス要素に関連の有無を入力する(関連ありなら、*印
を、関連なしなら、ブランクのままとする)。
【0104】上記作業をすべての評価要素Xkについて繰
り返す。
【0105】以上が、セキュリティ目標確立(フェーズI
V)についての説明である。
【0106】次にCC機能要件付与(フェーズV )について
説明する。
【0107】このフェーズでは、評価要素Xkごとに、そ
の対策に対応するCC機能要件を付与する。
【0108】この要件付与作業には、ワーク・シート"
セキュリティ目標−CC機能要件 関連マトリックス" (以
下、"セキュリティ目標−CC機能要件 関連マトリック
ス"と呼ぶ)を用いる。その表示例を図26に示す。マトリ
ックスの縦軸には、評価要素Xkでのすべての対策が配置
され、横軸には、ヘッダ"Xk."に続けてCC機能要件の識
別子がすべて配置されている(Xk.FCL1_FML1.C1, Xk.FCL
_FML1.C2, ……)。そして、「対策O1.Xk.XXXXは、要件X
k.FCL1_FML1.C1と、要件Xk.FCL1_FML2.C1と、要件……
…を満足させるために必要なものである」という対応付
けを行っている。このワーク・シートの選択は、セキュ
リティ目標確立(フェーズIV)で、"脅威−セキュリティ
目標 関連マトリックス"を選択した時に表示されるメニ
ューを選択するか、図8に示したように、既存のワーク
・シート集を開いた後、" セキュリティ目標−CC機能要
件 関連マトリックス"に表示を切り換えることにより行
う。
【0109】"セキュリティ目標−CC機能要件 関連マト
リックス"新規作成のために、このワーク・シートを選
択した初期の状態では、マトリックスの書式のみ(最左
列、最上行、……)が表示される。これらは、"脅威−セ
キュリティ目標 関連マトリックス"の記憶内容などをも
とに自動作成される。ユーザは、これを見ながら、個々
のマトリックス要素に対応の有無を入力する(対応あり
なら、*印を、対応なしなら、ブランクのままとす
る)。
【0110】上記作業をすべての評価要素Xkについて繰
り返す。
【0111】以上が、CC機能要件付与(フェーズV)につ
いての説明である。
【0112】最後に、セキュリティ機能設計(フェーズV
I)について説明する。
【0113】このフェーズでは、評価要素Xkごとに、そ
れが具備すべきセキュリティ機能をリスト形式にまと
め、CC機能要件(フェーズVで付与済み)と、上記セキュ
リティ機能との関連を明らかにする。
【0114】この作業には、まず最初に、ワーク・シー
ト"セキュリティ機能リスト"(以下、"セキュリティ機能
リスト"と呼ぶ)を用いる。その表示例を図27に示す。リ
ストの上端部には、各列の説明が付されている("要素Xk
のセキュリティ機能見出し"、"要素Xkのセキュリティ機
能概要")。リストの第一行目以降には、評価要素Xkが具
備すべきセキュリティ機能の見出しとその概要が表示さ
れている("SF1.Xk.XXXX", "XXXXXXXXX……", "SF2.Xk.X
XXX", "XXXXXXXXX……", ………)。.このワーク・シー
トの選択は、CC機能要件付与(フェーズV)で、"セキュリ
ティ目標−CC機能要件 関連マトリックス"を選択した時
に表示されるメニューを選択するか、図8に示したよう
に、既存のワーク・シート集を開いた後、"セキュリテ
ィ機能リスト"に表示を切り換えることにより行う。
【0115】"セキュリティ機能リスト"新規作成のため
に、このワーク・シートを選択した初期の状態では、リ
ストの書式のみ(最上行)が表示される。ユーザは、これ
を見ながら、評価要素Xkが具備すべきセキュリティ機能
を検討し、その見出しと概要をまとめ、第一行目以降に
入力する。
【0116】"セキュリティ機能リスト"完成後、ワーク
・シート"CC機能要件−セキュリティ機能 関連マトリッ
クス"(以下、"CC機能要件−セキュリティ機能 関連マト
リックス"と呼ぶ)を作成する。図28にその表示例を示
す。マトリックスの縦軸には、ヘッダ"Xk."に続けて機
能要件の識別子がすべて配置され(Xk.FCL1_FML1.C1,
Xk.FCL1_FML1.C2, ……)、縦軸には、評価要素Xkのセキ
ュリティ機能の見出しがすべて配置されている(SF1.Xk.
XXXX, SF2.Xk.XXXX, ……)。そして、「要件Xk.FCL1_FM
L1.C1は、機能SF1.Xk.XXXXと、機能SF2.Xk.XXXXと、機
能……によって満足されている、………」という関連の
有無の明確化を行っている。このワーク・シートの選択
は、既作成の"セキュリティ機能リスト"を選択した状態
で、対応するメニューを選択することにより行う。
【0117】"CC機能要件−セキュリティ機能 関連マト
リックス"新規作成のために、このワーク・シートを選
択した初期の状態では、マトリックスの書式のみ(最左
列、最上行、……)が表示される。これらは、"セキュリ
ティ機能リスト"の記憶内容などをもとに自動作成され
る。ユーザは、これを見ながら、個々のマトリックス要
素に関連の有無を入力する(関連ありなら、*印を入力
し、関連なしなら、ブランクのままとする)。
【0118】上記作業をすべての評価要素Xkについて繰
り返す。
【0119】以上が、セキュリティ機能設計(フェーズV
I)についての説明である。
【0120】上記で作成した各種ワーク・シートの内容
は、PP/ST(最終的に作成すべき文書)の目次に対応した
本文の作成時に、素材として活用する。すなわち、PP/S
Tの第2章の作成では、"評価要素リスト"、"システム基
本要素図−IV"を、第3章の作成では、"脅威リスト"を、
第4章の作成では、"セキュリティ目標リスト"を、第5章
の作成では、"セキュリティ目標−CC機能要件 関連マト
リックス"を、PPの第7章の作成では、"脅威−セキュリ
ティ目標 関連マトリックス"、"セキュリティ目標−CC
機能要件 関連マトリックス"を、STの第6章の作成で
は、"セキュリティ機能リスト"を、STの第8章の作成で
は、"脅威−セキュリティ目標 関連マトリックス"、"セ
キュリティ目標−CC機能要件 関連マトリックス"、"CC
機能要件−セキュリティ機能 関連マトリックス"を、そ
れぞれ、活用する。また、その他の作成済みワーク・シ
ートは、必要に応じて、付録として添付する。
【0121】以上が、本発明の実施の形態である。
【0122】
【発明の効果】以上説明したように、本発明の計画・設
計方法及び支援ツールによれば、目的とするPP/STを、
体系的に、矛盾なく、過不足なく作成できる。従って、
CCに適合した製品を開発できるようになる。
【図面の簡単な説明】
【図1】本発明の計画・設計方法の各フェーズでの作業
フローである。
【図2】本発明の支援ツールが動作するハードウェアの
構成例である。
【図3】主メモリ上で実行される各種プログラムの関係
を示した図である。
【図4】メイン関数での基本的な処理フローを示した図
である。
【図5】ウィンドウ関数での基本的な処理フローを示し
た図である。
【図6】本発明の支援ツールのソフトウェア構成を示し
た図である。
【図7】本発明の支援ツールを立ち上げた直後にディス
プレイに表示される親ウィンドウの構成を示した図であ
る。
【図8】ワーク・シート切り換え時に表示される、縮小
ワーク・シート一覧の例を示した図である。
【図9】ワーク・シート"包含ツリー図"の表示例であ
る。
【図10】ワーク・シート"システム基本要素図−I"の
表示例である。
【図11】ワーク・シート"通信路設定マトリックス"の
表示例である。
【図12】ワーク・シート"システム基本要素図−II "
の表示例である。
【図13】ワーク・シート"システム基本要素図−III "
の表示例である。
【図14】ワーク・シート"評価要素リスト"の表示例で
ある。
【図15】ワーク・シート"システム基本要素図−IV "
の表示例である。
【図16】脅威とその対策の関連マトリックスによる整
理法を説明した図である。
【図17】ワーク・シート"5W展開図"の表示例である。
【図18】ワーク・シート"犯行リスト"の表示例であ
る。
【図19】ワーク・シート"脅威リスト"の表示例であ
る。
【図20】ワーク・シート"フォールト・ツリー図"の表
示例である。
【図21】ワーク・シート"対策リスト"の初期表示例で
ある。
【図22】ワーク・シート"対策リスト"に、第一番目の
評価要素の第一番目の脅威に対抗するための対策とその
種別を入力した後の表示例である。
【図23】ワーク・シート"対策リスト"に、すべての評
価要素のすべての脅威に対抗するための対策とその種別
を入力した後の表示例である。
【図24】ワーク・シート"セキュリティ目標リスト"の
表示例である。
【図25】ワーク・シート"脅威−セキュリティ目標 関
連マトリックス"の表示例である。
【図26】ワーク・シート"セキュリティ目標−CC機能
要件 関連マトリックス"の表示例である。
【図27】ワーク・シート"セキュリティ機能リスト"の
表示例である。
【図28】ワーク・シート"CC機能要件−セキュリティ
機能 関連マトリックス"の表示例である。
【符号の説明】
10…CPU(Central Processing Unit)、20…主メモリ、30
…ハードディスク、40…フレキシブルディスク、50…プ
リンタ、60…キーボード、70…マウス、80…ディスプレ
イ、90…LANボード、100…バス、110…オペレーティン
グ・システム、120…AP(Application Program)、130…
メイン関数、140…親ウィンドウ関数、150…子ウィンド
ウ関数、160…ワーク・シート群、170…作業用メモリ、1
80…ワーク・シート群と作業用メモリ、190…ワーク・シ
ート読出・書込処理部、200…ワーク・シート生成・削除
処理部、210…ワーク・シート更新処理部、220…ワーク・
シート表示処理部、230…親ウィンドウ、240…メニュー
・バー、250…上側ツール・ボタン、260…下側ツール・
ボタン、270…制御ボタン、280…子ウィンドウ、290…
子ウィンドウのクライアント・エリア、300…子ウィン
ドウのワーク・シート切り換えボタン、310…子ウィン
ドウの水平スクロール・ボタン、320…子ウィンドウの
垂直スクロール・ボタン、330…子ウィンドウの制御ボ
タン、340…縮小ワーク・シート一覧。

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】計画・設計の全工程を、TOE(Target Of Ev
    aluation : 評価対象)モデル化(フェーズI)、脅威抽出
    (フェーズII)、対策導出(フェーズIII)、セキュリティ
    目標確立(フェーズIV)、CC(Common Criteria : 共通規
    準)機能要件付与(フェーズV)、セキュリティ機能設計
    (フェーズVI)、の6フェーズに分けて実施する、ことを
    特徴とする、セキュリティ・システムの計画・設計方
    法。
  2. 【請求項2】TOEモデル化(フェーズI)では、包含ツリー
    分析、通信路設定(必要に応じて)、基本要素再配置(必
    要に応じて)、評価要素の決定、の各作業ステップを、
    この順序で実施し、包含ツリー分析で、TOEの基本要素
    を明らかにし、通信路設定で、基本要素間の通信路を設
    定し、基本要素再配置で、通信路の交叉などを解消し、
    評価要素の決定で、評価すべき基本要素(以下、評価要
    素と呼ぶ)をどれにするか決定する、ことを特徴とする
    請求項1に記載のセキュリティ・システムの計画・設計
    方法。
  3. 【請求項3】脅威抽出(フェーズII)では、5W(Where, Wh
    o, When, Why, What)展開、重複脅威の解消、の各作業
    ステップの、この順序での実施を、評価要素ごとに繰り
    返し、各評価要素を襲うと想定される脅威をもれなく抽
    出する、ことを特徴とする請求項1に記載のセキュリテ
    ィ・システムの計画・設計方法。
  4. 【請求項4】対策導出(フェーズIII)では、フォールト・
    ツリー解析、対策の導出、の各作業ステップの、この順
    序での実施を、脅威ごと、評価要素ごとに繰り返し、引
    き続き、重複対策の解消、の作業ステップの実施を評価
    要素ごとに繰り返すことによって、各評価要素で実施す
    べき対策(セキュリティ目標)を導出する、ことを特徴と
    する請求項1に記載のセキュリティ・システムの計画・
    設計方法。
  5. 【請求項5】セキュリティ目標確立(フェーズIV)では、
    セキュリティ目標の確立(脅威−セキュリティ目標 関連
    マトリックスの作成)、の作業ステップの実施を評価要
    素ごとに繰り返すことによって、各評価要素での、脅威
    とセキュリティ目標との関連を明確化する、ことを特徴
    とする請求項1に記載のセキュリティ・システムの計画
    ・設計方法。
  6. 【請求項6】CC機能要件付与(フェーズV)では、CC機能
    要件の付与(セキュリティ目標−CC機能要件 関連マトリ
    ックスの作成)、の作業ステップの実施を評価要素ごと
    に繰り返すことによって、各評価要素での、セキュリテ
    ィ目標とCC機能要件との対応を明確化する、ことを特徴
    とする請求項1に記載のセキュリティ・システムの計画
    ・設計方法。
  7. 【請求項7】セキュリティ機能設計(フェーズVI)では、
    セキュリティ機能設計(セキュリティ機能リストの作成
    と、CC機能要件−セキュリティ機能 関連マトリックス
    の作成)、の作業ステップの実施を評価要素ごとに繰り
    返すことによって、各評価要素が備えておくべきセキュ
    リティ機能を明確化し、各評価要素での、CC機能要件と
    セキュリティ機能との関連を明確化する、ことを特徴と
    する請求項1に記載のセキュリティ・システムの計画・
    設計方法。
JP10304995A 1998-10-27 1998-10-27 セキュリティ・システムの計画・設計方法及び支援ツール Pending JP2000132767A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10304995A JP2000132767A (ja) 1998-10-27 1998-10-27 セキュリティ・システムの計画・設計方法及び支援ツール

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10304995A JP2000132767A (ja) 1998-10-27 1998-10-27 セキュリティ・システムの計画・設計方法及び支援ツール

Publications (1)

Publication Number Publication Date
JP2000132767A true JP2000132767A (ja) 2000-05-12

Family

ID=17939820

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10304995A Pending JP2000132767A (ja) 1998-10-27 1998-10-27 セキュリティ・システムの計画・設計方法及び支援ツール

Country Status (1)

Country Link
JP (1) JP2000132767A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006276993A (ja) * 2005-03-28 2006-10-12 Hitachi Ltd セキュリティ設計支援方法、セキュリティ設計支援装置及びセキュリティ設計支援プログラム
JP2011048560A (ja) * 2009-08-26 2011-03-10 Toshiba Corp セキュリティ設計支援装置及びプログラム
CN116340886A (zh) * 2023-05-26 2023-06-27 国汽(北京)智能网联汽车研究院有限公司 智能驾驶系统运行场景构建方法、装置、计算机及介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006276993A (ja) * 2005-03-28 2006-10-12 Hitachi Ltd セキュリティ設計支援方法、セキュリティ設計支援装置及びセキュリティ設計支援プログラム
JP4625353B2 (ja) * 2005-03-28 2011-02-02 株式会社日立製作所 セキュリティ設計支援方法、セキュリティ設計支援装置及びセキュリティ設計支援プログラム
JP2011048560A (ja) * 2009-08-26 2011-03-10 Toshiba Corp セキュリティ設計支援装置及びプログラム
CN116340886A (zh) * 2023-05-26 2023-06-27 国汽(北京)智能网联汽车研究院有限公司 智能驾驶系统运行场景构建方法、装置、计算机及介质
CN116340886B (zh) * 2023-05-26 2023-08-11 国汽(北京)智能网联汽车研究院有限公司 智能驾驶系统运行场景构建方法、装置、计算机及介质

Similar Documents

Publication Publication Date Title
US6563518B1 (en) Method for enabling rapid modification of a display controlled by a computer program
US5974372A (en) Graphical user interface (GUI) language translator
US6560776B1 (en) Software installation verification tool
US20050034058A1 (en) Flexible multiple spreadsheet data consolidation system
JP4490350B2 (ja) 入力操作支援装置および入力操作支援方法
US7552187B2 (en) System and method for automatically executing corresponding operations on multiple maps, windows, documents, and/or databases
US7484174B2 (en) Method for interoperation between legacy software and screen reader programs
US6938214B2 (en) Dynamically configurable human-machine interface
US7587302B2 (en) Graphic interactive method to reorder sequential data values on graphic objects
US8560574B2 (en) Apparatus and dependency structure matrix for assisting in optimization of a complex, hierarchical data structure
US20060271863A1 (en) User definable task based interface
EP1141813A1 (en) Cause effect diagram program maintenance development and test system
JPH10307716A (ja) 画面フローによるビジュアルプログラミング装置
US8677272B2 (en) Graphical user interface design utility
JPH0944334A (ja) ウィンドウ関係の識別アイコン付木構造一覧表示方法及び装置
JP2000132767A (ja) セキュリティ・システムの計画・設計方法及び支援ツール
JP2003208501A (ja) ビジネスプロセス定義表示方法およびプログラム
Cisco Using the NMT
US20090307625A1 (en) Method, device, data carrier and computer program product for representing data in a user interface
Cisco Template Management
JP2002041111A (ja) プログラミング支援装置
Allen et al. Creating Web-Based Information Systems From Energy Management System Data
JPH06131334A (ja) 頁指向文書処理装置
JP3415354B2 (ja) 最小動作環境移行装置
CN111052082A (zh) 计算机网络建模

Legal Events

Date Code Title Description
A977 Report on retrieval

Effective date: 20040301

Free format text: JAPANESE INTERMEDIATE CODE: A971007

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040323

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040326

R150 Certificate of patent (=grant) or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080402

Year of fee payment: 4

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090402

Year of fee payment: 5

FPAY Renewal fee payment (prs date is renewal date of database)

Year of fee payment: 5

Free format text: PAYMENT UNTIL: 20090402

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100402

Year of fee payment: 6

FPAY Renewal fee payment (prs date is renewal date of database)

Year of fee payment: 6

Free format text: PAYMENT UNTIL: 20100402

LAPS Cancellation because of no payment of annual fees