JP2001101135A - セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 - Google Patents

セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置

Info

Publication number
JP2001101135A
JP2001101135A JP27726599A JP27726599A JP2001101135A JP 2001101135 A JP2001101135 A JP 2001101135A JP 27726599 A JP27726599 A JP 27726599A JP 27726599 A JP27726599 A JP 27726599A JP 2001101135 A JP2001101135 A JP 2001101135A
Authority
JP
Japan
Prior art keywords
security
measure
target system
database
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP27726599A
Other languages
English (en)
Other versions
JP4084914B2 (ja
Inventor
Tatsuya Fujiyama
達也 藤山
Makoto Kayashima
信 萱島
Yasuhiko Nagai
康彦 永井
Mitsuhiro Tsunoda
光弘 角田
Tomoaki Yamada
知明 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP27726599A priority Critical patent/JP4084914B2/ja
Priority to US09/628,108 priority patent/US6971026B1/en
Publication of JP2001101135A publication Critical patent/JP2001101135A/ja
Application granted granted Critical
Publication of JP4084914B2 publication Critical patent/JP4084914B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0283Price estimation or determination
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Development Economics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Finance (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Game Theory and Decision Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Computing Systems (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

(57)【要約】 【課題】高度な専門的知識がなくても、システムのセキ
ュリティ状態を評価したり、セキュリティ施策の作成を
支援することを可能にする。 【解決手段】入力装置16を介して、操作者より評価対
象システムと当該システムを構成する各機器の指定を受
け付ける。次に、外部記憶装置13に格納されたセキュ
リティ施策データベース131を検索し、指定された評
価対象システムの各機器に施すべきセキュリティ施策を
読み出す。次に、指定された評価対象システムの機器毎
に読み出したセキュリティ施策を対応付け表示装置17
に表示し、入力装置16を介して、操作者よりセキュリ
ティ施策の実施の有無を受け付ける。それから、受け付
けた各機器のセキュリティ施策の実施の有無に基づい
て、セキュリティ状態の評価を行ない、その結果を表示
装置17に表示する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、1つ以上の機器で
構成されるシステムに対し、当該システムに施されたセ
キュリティの状態を評価し、あるいは、当該システム固
有のセキュリティ施策の作成を支援する技術に関する。
【0002】
【従来の技術】企業のビジネス活動において、インター
ネット技術に基づく情報システムが重要なインフラとな
ってきている。また、企業内情報システムのインターネ
ット接続に対する関心が高まるにつれて、企業内情報シ
ステムに対する不正アクセスやウィルスによる情報資産
の破壊などのセキュリティ問題が認知されるようになっ
てきている。
【0003】このようなセキュリティ問題から情報シス
テムを守るため、従来、企業は、個々のセキュリティ問
題に対してファイアウォールの設置やウィルス対策ソフ
トの導入などの個別の技術的対策を行なっていた。しか
し、近年では、情報システム全体に対する脅威を分析し
てセキュリティ状態を評価し、その評価結果に基づいて
今後の対策方針を作成することにより、対象となる情報
システム固有のセキュリティ対策を総合的に実施するこ
とが求められるようになりつつある。
【0004】このような背景から、情報技術製品やこれ
らの製品で構成された情報システムのセキュリティを体
系的に評価・構築するための枠組みとして、セキュリテ
ィ評価基準CC(Common Criteria)が1999年6月
に国際標準化された(IS 15408)。また、個々の情報シ
ステムに施すべきセキュリティポリシーの事例を提示し
たものとして、米国のセキュリティ専門家であるCharle
s Cresson Wood氏が作成した運用管理中心のセキュリテ
ィポリシー事例集ISPME(Information Security P
olicy Made Easy)が1997年6月10日にBASELINE
software社より出版された。
【0005】そして、コンサルタントサービスとして、
上記のセキュリティ評価基準CCやセキュリティポリシ
ー事例集ISPMEに基づいて、情報システムのセキュ
リティ状態を評価したり、セキュリティ施策の作成を支
援するサービスを提供する者が現れてきている。
【0006】
【発明が解決しようとする課題】ところで、上記のセキ
ュリティ評価基準CCに基づいて、情報システムのセキ
ュリティ状態を評価したり、セキュリティ施策の作成を
支援する場合、体系的に規定されたセキュリティ評価基
準CCから、セキュリティ状態の評価対象あるいはセキ
ュリティ施策作成の支援対象となる情報システムを構成
する各機器に適用されるべき基準を抽出し、当該情報シ
ステムに固有の基準を作成しなければならない。このた
め、セキュリティ評価基準CCを熟知した、高度な専門
知識を有するものでなければ実施することができない。
したがって、実施に多くの時間がかかり、また、作業コ
ストも高くなる。
【0007】また、上記のセキュリティポリシー事例集
ISPMEに基づいて、セキュリティ施策の作成を支援
する場合においても、当該事例集ISPMEのなかから
セキュリティ施策作成の支援対象となる情報システムに
対応する事例を抽出し、抽出した事例を、当該情報シス
テムの実際の構成に当てはめながら当該情報システムに
対するセキュリティポリシーを作成しなければならな
い。このため、やはり、セキュリティポリシー事例集I
SPMEと情報システムの実際の構成の対応関係を熟知
した、高度な専門知識を有するものでなければ実施する
ことができない。したがって、実施に多くの時間がかか
り、また、作業コストも高くなる。
【0008】本発明は、上記の事情に鑑みてなされたも
のであり、高度な専門的知識がなくても、システムのセ
キュリティ状態を評価したり、セキュリティ施策の作成
を支援することを可能にすることを目的とする。
【0009】
【課題を解決するための手段】上記課題を解決するため
に、本発明の第1の態様は、電子計算機を用いて、1以
上の機器で構成されるシステムに施されたセキュリティ
を評価するセキュリティ評価方法であって、前記電子計
算機に接続された入力装置を介して、操作者より、評価
対象システムと当該システムを構成する各機器の指定を
受け付ける第1のステップと、システムタイプ毎に、構
成機器と当該構成機器に施すべきセキュリティ施策とが
記述されたデータベースを検索し、前記第1のステップ
で指定された評価対象システムに対応するシステムタイ
プの構成機器のうち、前記第1のステップで指定された
評価対象システムを構成する各機器に施すべきセキュリ
ティ施策を読み出す第2のステップと、前記第1のステ
ップで指定された評価対象システムを構成する機器毎
に、前記第2のステップで読み出したセキュリティ施策
を対応付けて、前記電子計算機に接続された表示装置に
表示し、前記入力装置を介して、操作者より、当該機器
毎に対応付けて表示されたセキュリティ施策の実施の有
無を、たとえばチェックリスト形式で受け付ける第3の
ステップと、前記第3のステップで受け付けた評価対象
システムを構成する各機器のセキュリティ施策の実施の
有無に基づいて、当該評価対象システムに施されたセキ
ュリティ状態の評価を行ない、その結果を前記表示装置
に表示する第4のステップと、を有することを特徴とす
る。
【0010】ここで、前記第1のステップは、たとえ
ば、前記データベースに記述されているシステムタイプ
をすべて読み出して前記表示装置に表示し、前記入力装
置を介して、操作者より、表示中のシステムタイプのう
ちのいずれか1つの指定を評価対象システムの指定とし
て受け付けるステップと、評価対象システムとして指定
されたシステムタイプの構成機器すべてを前記データベ
ースから読み出して前記表示装置に表示し、前記入力装
置を介して、操作者より、表示中の構成機器各々の評価
対象システムでの使用の有無を、評価対象システムを構
成する各機器の指定として、たとえばチェックリスト形
式で受け付けるステップと、からなるものであってもよ
い。
【0011】また、前記データベースに記述されている
セキュリティ施策各々に、そのセキュリティ施策を施す
ことによって確保されるセキュリティの種類が併せて記
述されている場合、前記第4のステップは、たとえば、
評価対象システムを構成する各機器のセキュリティ施策
をセキュリティの種類毎に分類し、セキュリティの種類
毎に、当該種類に分類されるセキュリティ施策の数に対
する前記第3ステップで実施有りとされたセキュリティ
施策の数の割合を求め、これを当該種類に対するセキュ
リティ施策の達成度として、セキュリティの種類各々の
達成度を前記表示装置に表示するようにしてもよい。
【0012】また、前記データベースに記述されている
セキュリティ施策各々に、そのセキュリティ施策を施す
ことによって確保されるセキュリティの種類とそのセキ
ュリティ施策を施すことにって回避される危険度(この
危険度は、たとえば、そのセキュリティ施策を施さなか
ったことにより発生する可能性のある年間損害額として
表わされる)とが併せて記述されている場合、前記第4
のステップは、たとえば、評価対象システムを構成する
各機器のセキュリティ施策をセキュリティの種類毎に分
類し、セキュリティの種類毎に、当該種類に分類される
セキュリティ施策のうち、前記第3ステップで実施無し
とされたセキュリティ施策の危険度の総和を求め、これ
を当該種類に対するセキュリティ施策の残存危険度とし
て、セキュリティの種類各々の残存危険度を前記表示装
置に表示するようにしてもよい。
【0013】あるいは、前記データベースに記述されて
いるセキュリティ施策各々に、そのセキュリティ施策を
施すことによって確保されるセキュリティの種類とその
セキュリティ施策を施すのにかかるコスト(このコスト
は、たとえば、そのセキュリティ施策を施すのにかかる
年間コストとして表わされる)とが併せて記述されてい
る場合、前記第4のステップは、たとえば、評価対象シ
ステムを構成する各機器のセキュリティ施策をセキュリ
ティの種類毎に分類し、セキュリティの種類毎に、当該
種類に分類されるセキュリティ施策のうち、前記第3ス
テップで実施有りとされたセキュリティ施策のコストの
総和を求め、これを当該種類に対するセキュリティ施策
の所要コストとして、セキュリティの種類各々の所要コ
ストを前記表示装置に表示するようにしてもよい。
【0014】本態様では、操作者が、入力装置を用い
て、評価対象システムとその構成機器を指定すると、当
該評価対象システムを構成する機器毎に、その機器に施
すべきセキュリティ施策のリストが表示装置に表示され
る。操作者は、表示装置に表示された各機器のセキュリ
ティ施策を見て、入力装置を用いて、たとえば表示中の
セキュリティ施策にチェックする(いわゆるチェックリ
スト形式)ことで、その実施の有無を入力することがで
きる。操作者が、入力装置を用いて、表示装置に表示さ
れた各機器のセキュリティ施策の実施の有無を入力する
と、それに基づいて、評価対象システムに施されたセキ
ュリティ状態の評価を行ない、その結果を表示装置に表
示する。
【0015】このように、本態様によれば、操作者が評
価対象システムとその構成機器を指定するだけで、その
構成機器各々に施すべきセキュリティ施策が表示され
る。そして、操作者が表示されている各構成機器のセキ
ュリティ施策の実施の有無を入力するだけで、その評価
対象システムに施されているセキュリティの評価を行な
うことができる。したがって、操作者は、高度な専門的
知識がなくても、システムのセキュリティ状態を評価す
ることが可能となる。
【0016】次に、上記課題を解決するために、本発明
の第2の態様は、電子計算機を用いて、1以上の機器で
構成されるシステムに施すべきセキュリティ施策の作成
を支援するセキュリティの構築支援方法であって、前記
電子計算機に接続された入力装置を介して、操作者よ
り、支援対象システムと当該システムを構成する各機器
の指定を受け付ける第1のステップと、システムタイプ
毎に、構成機器と当該構成機器に施すべきセキュリティ
施策とが記述されたデータベースを検索し、前記第1の
ステップで指定された支援対象システムに対応するシス
テムタイプの構成機器のうち、前記第1のステップで指
定された支援対象システムを構成する各機器に施すべき
セキュリティ施策を読み出す第2のステップと、前記第
1のステップで指定された支援対象システムを構成する
機器毎に、前記第2のステップで読み出したセキュリテ
ィ施策を対応付けて、前記電子計算機に接続された表示
装置に、たとえばリスト形式で表示する第3のステップ
と、を有することを特徴とする。
【0017】ここで、前記第1のステップは、たとえ
ば、前記データベースに記述されているシステムタイプ
をすべて読み出して前記表示装置に表示し、前記入力装
置を介して、操作者より、表示中のシステムタイプのう
ちのいずれか1つの指定を支援対象システムの指定とし
て受け付けるステップと、支援対象システムとして指定
されたシステムタイプの構成機器すべてを前記データベ
ースから読み出して前記表示装置に表示し、前記入力装
置を介して、操作者より、表示中の構成機器各々の支援
対象システムでの使用の有無を、支援対象システムを構
成する各機器の指定として、たとえばチェックリスト形
式で受け付けるステップと、からなるものであってもよ
い。
【0018】また、前記データベースに記述されている
セキュリティ施策各々に、そのセキュリティ施策を施す
ことによって確保されるセキュリティの種類が併せて記
述されている場合、前記第2のステップは、前記データ
ベースから、前記第1のステップで指定された支援対象
システムに対応するシステムタイプの構成機器のうち、
前記第1のステップで指定された支援対象システムを構
成する各機器に施すべきセキュリティ施策とその種類を
読み出し、前記第3のステップは、前記第1のステップ
で指定された支援対象システムを構成する機器毎に、前
記第2のステップで読み出した支援対象システムを構成
する各機器のセキュリティ施策とその種類を対応付け
て、前記表示装置に表示するようにしてもよい。
【0019】また、前記データベースに記述されている
セキュリティ施策各々に、そのセキュリティ施策を施す
ことによって確保されるセキュリティのレベルが併せて
記述されている場合、前記第1のステップは、前記入力
装置を介して、操作者より、支援対象システムと当該シ
ステムを構成する各機器の指定に加えて、当該システム
に施すべきセキュリティ施策のレベルの指定を受け付
け、前記第2のステップは、前記データベースから、前
記第1のステップで指定された支援対象システムに対応
するシステムタイプの構成機器のうち、前記第1のステ
ップで指定された支援対象システムを構成する各機器に
施すべきセキュリティ施策であって、前記第1のステッ
プで指定されたレベル以下のセキュリティ施策を読み出
すようにしてもよい。
【0020】本態様では、操作者が、入力装置を用い
て、支援対象システムとその構成機器を指定すると、当
該支援対象システムを構成する機器毎に、その機器に施
すべきセキュリティ施策のリストが表示装置に表示され
る。このように、本態様によれば、操作者が支援対象シ
ステムとその構成機器を指定するだけで、その構成機器
各々に施すべきセキュリティ施策が表示されるので、操
作者は、高度な専門的知識がなくても、システムに施す
べきセキュリティ施策を構築することが可能となる。
【0021】
【発明の実施の形態】以下に、本発明の実施の形態につ
いて説明する。
【0022】まず、本発明の第1実施形態について説明
する。
【0023】図1は、本発明の第1実施形態が適用され
たセキュリティ支援・評価装置1の概略構成図である。
【0024】図1に示すように、本実施形態のセキュリ
ティ支援・評価装置11は、CPU11と、メモリ12
と、ハードディスク装置などの外部記憶装置13と、C
D−ROMやFDなどの可搬性を有する記憶媒体15か
らデータを読み取る読取り装置14と、キーボードやマ
ウスなどの入力装置16と、ディスプレイなどの表示装
置17と、ネットワークに接続された通信装置18と、
上述した各構成要素間のデータ送受を司るインターフェ
ース19とを備えた、一般的な構成を有する電子計算機
上に構築することができる。
【0025】ここで、外部記憶装置13には、本実施形
態のセキュリティ支援・評価装置11を電子計算機上に
構築するためのセキュリティ評価・構築支援プログラム
PG132が格納されており、CPU11がメモリ12
上にロードされたこのプログラム132を実行すること
により、操作者が指定した対象システムの構成機器各々
に施すべきセキュリティ施策のリストを作成する施策リ
スト生成部111と、操作者から受け付けた対象システ
ムの構成機器各々に施すべきセキュリティ施策の実施の
有無に基づいて、当該対象システムのセキュリティ状態
を評価するセキュリティ評価部112と、入力装置16
や表示装置17を制御して操作者から各種指示を受け付
けたり、施策リスト生成部111やセキュリティ評価部
112からの出力を表示する入出力制御部113とを、
プロセスとして実現する。
【0026】なお、このプログラム132は、読取り装
置14によりCD−ROMやFDなどの可搬性の記憶媒
体15から読み取られ、外部記憶装置13にインストー
ルされるようにしてもよいし、あるいは、通信装置18
によりネットワークから外部記憶装置13にダウンロー
ドされるようにしてもよい。また、図1では、このプロ
グラム132を、一旦外部記憶装置13に格納してか
ら、メモリ12上にロードしてCPU11により実行す
るようにしているが、読取り装置14により可搬性の記
憶媒体15から読み取って直接メモリ12上にロードし
CPU11により実行するようにしてもよい。あるい
は、通信装置18を介してネットワークから直接メモリ
12上にロードしCPU11により実行するようにして
もよい。
【0027】また、外部記憶装置13には、本実施形態
によるセキュリティ評価・構築支援の適用が予定される
システムのタイプ毎に、システムの構成機器各々に適用
すべきセキュリティ施策が記述された施策データベース
DB1〜DBn131が予め格納されている。本実施形態
では、セキュリティ評価・構築支援の適用が予定される
システムのタイプとして、インターネット接続システ
ム、認証システムおよびプラントシステムを想定してい
る。
【0028】図2〜図5に、施策データベースの一例を
示す。
【0029】ここで、図2および図3はインターネット
接続システムに対応して設けられた施策データベースの
内容を示しており、図4は認証システムに対応して設け
られた施策データベースの内容を示している。そして、
図5はプラントシステム対応して設けられた施策データ
ベースの内容を示している。
【0030】図2〜図5において、列201には、施策
種別(セキュリティの種類)が記述される。列202に
は、同じ行の施策種別の欄に記述されたセキュリティを
確保するためのセキュリティ施策が記述される。列20
3には、同じ行のセキュリティ施策の欄に記述されたセ
キュリティ施策が想定している想定脅威が記述される。
列204には、同じ行のセキュリティ施策の欄に記述さ
れたセキュリティ施策について、セキュリティ評価基準
CC(IS 15408)に規定されていれるセキュリティ機能
要件(Security Functional Requirement)のカタログ
から、その施策を満たす機能要件を選択したものが記述
される。列205iには、同じ行のセキュリティ施策の
欄に記述されたセキュリティ施策について、それが所定
業種(たとえば、金融業など)の基準において実施が義
務づけられていればその旨記述される。
【0031】また、列206iは、対象システムの構成
機器として使用されることが予定される機器毎に設けら
れ、同じ行のセキュリティ施策の欄に記述されたセキュ
リティ施策が適用可能である場合に、そのセキュリティ
施策を適用することにより確保されるセキュリティのレ
ベルL1〜L3と、そのセキュリティ施策を適用するた
めに必要とされる年間の所要コストC1〜C5と、その
セキュリティ施策を適用しなかったことにより同じ行の
想定脅威の欄に記述された想定脅威が現実のものとなっ
た場合における年間の損害額を示した残存リスクR1〜
R5とが記述される。
【0032】また、列207は、対象システムの構成機
器として使用されることが予定される各機器が設置され
る施設について、列206iと同様に、同じ行のセキュ
リティ施策の欄に記述されたセキュリティ施策が適用可
能である場合に、そのセキュリティ施策を適用すること
により確保されるセキュリティのレベルL1〜L3と、
そのセキュリティ施策を適用するために必要とされる年
間の所要コストC1〜C5と、そのセキュリティ施策を
適用しなかったことにより同じ行の想定脅威の欄に記述
された想定脅威が現実のものとなった場合における年間
の損害額を示した残存リスクR1〜R5とが記述され
る。
【0033】そして、列208は、対象システムの運用
について、列206iと同様に、同じ行のセキュリティ
施策の欄に記述されたセキュリティ施策が適用可能であ
る場合に、そのセキュリティ施策を適用することにより
確保されるセキュリティのレベルL1〜L3と、そのセ
キュリティ施策を適用するために必要とされる年間の所
要コストC1〜C5と、そのセキュリティ施策を適用し
なかったことにより同じ行の想定脅威の欄に記述された
想定脅威が現実のものとなった場合における年間の損害
額を示した残存リスクR1〜R5が記述される。
【0034】なお、セキュリティのレベルL1〜L3、
年間の所要コストC1〜C5および年間の残存リスクR
1〜R5の具体的な値は、図2〜図5に示すとおりであ
る。
【0035】たとえば、図2および図3に示すインター
ネット接続システムに対応して設けられた施策データベ
ースにおいて、セキュリティ施策「個人単位でパスワー
ドを設定」は、施策種別「アクセス権限の管理」に属
し、そのセキュリティ施策が想定している想定脅威が
「不正使用」であり、また、その施策を満たすセキュリ
ティ機能が、セキュリティ評価基準CC(IS 15408)に
規定される機能要件「FMT_MSA.1」であること
を示している。また、このセキュリティ施策「個人単位
でパスワードを設定」は、インターネット接続システム
の構成機器のうちWWWサーバおよびクライアントに適
用可能であることを示している。そして、そのセキュリ
ティ施策をWWWサーバに適用することにより確保され
るセキュリティのレベルはL3(最強)であり、そのセ
キュリティ施策をWWWサーバに適用するために必要と
される年間の所要コストはC2(100万未満)であ
り、そのセキュリティ施策をWWWサーバに適用しなか
ったことにより想定脅威「不正使用」が現実のものとな
った場合における年間の損害額(残存リスク)はR2
(100万未満)であることを示している。また、その
セキュリティ施策をクライアントに適用することにより
確保されるセキュリティのレベルはL3(最強)であ
り、そのセキュリティ施策をクライアントに適用するた
めに必要とされる年間の所要コストはC2(100万未
満)であり、そのセキュリティ施策をクライアントに適
用しなかったことにより想定脅威「不正使用」が現実の
ものとなった場合における年間の損害額(残存リスク)
はR2(100万未満)であることを示している。
【0036】なお、図2〜図5に示すデータベースの列
206i、207および208の各欄に記入する内容
は、事前に行なった脅威分析やリスク分析等の結果に基
づいて決定されるようにすることが好ましい。
【0037】次に、上記構成のセキュリティ支援・評価
装置1の動作について説明する。
【0038】図6および図7は、本発明の第1実施形態
であるセキュリティ支援・評価装置1の動作を説明する
ためのフロー図である。
【0039】まず、施策リスト生成部111は、入出力
制御部113を用いて、表示装置17に、外部記憶装置
13に記憶されている施策データベースDB1〜DBn
31の対象システムの名称のリストを含んだ、図8に示
すような、セキュリティ施策の作成支援あるいはセキュ
リティ状態の評価の対象となるシステムの名称を選択す
るためのGUI画面を表示する(ステップS100
1)。
【0040】図8に示すようなGUI画面を介して、操
作者により、入力装置16を使って、セキュリティ施策
の作成支援あるいはセキュリティ状態の評価の対象とな
るシステムの名称が選択(図8ではインターネット接続
システムが選択された例を示している)されると(ステ
ップS1002)、施策リスト生成部111は、選択さ
れたシステムの構成機器の名称を外部記憶装置13に記
憶されている施策データベースDB1〜DBn131から
読み出す。そして、入出力制御部113を用いて、表示
装置17に、選択されたシステムの構成機器の名称のリ
ストを含んだ、図9に示すような、セキュリティ施策の
作成支援あるいはセキュリティ状態の評価の対象となる
システムの構成機器の選択するためのGUI画面(図9
ではインターネット接続システムを対象システムとした
例を示している)を表示する(ステップS1003)。
【0041】なお、図9において、項目「機器構成」8
01は、対応する施策データベースDB1〜DBn131
から読み出された、ステップS1002で選択されたシ
ステムを構成する機器のなかから、セキュリティ施策の
作成支援あるいはセキュリティ状態の評価の対象となる
システムに実際に使用されている機器を選択するための
ものであり、操作者は入力装置16を使って使用してい
る機器の名称にチェックを入れられるようになってい
る。項目「環境」802は、対象システムの構成機器が
設置される施設や当該対象システムの運用を、セキュリ
ティ施策の作成支援あるいはセキュリティ状態の評価の
対象に含めるか否かを設定するためのものであり、操作
者は入力装置16を使って含めたいものにチェックを入
れられるようになっている。また、項目「セキュリティ
強度」803は、セキュリティ施策の作成支援あるいは
セキュリティ状態の評価を実施する上でのセキュリティ
のレベルを設定するためのものであり、操作者は入力装
置16を使って設定したいレベルにチェックを入れられ
るようになっている。ここで、レベル「並」は、対象シ
ステムに対し、必要最小限のキュリティを確保すること
を目的として、セキュリティ施策の作成支援あるいはセ
キュリティ状態の評価を実施する場合にチェックすべき
レベルであり、図2〜図5に示すレベルL1に相当す
る。レベル「最強」は、最大限のキュリティを確保する
ことを目的として、セキュリティ施策の作成支援あるい
はセキュリティ状態の評価を実施する場合にチェックす
べきレベルであり、図2〜図5に示すレベルL3に相当
する。そして、レベル「強」は、レベル「並」とレベル
「最強」の中間に位置するレベルであり、図2〜図5に
示すレベルL2に相当する。また、ボタン「施策構築支
援」804は、本装置1にセキュリティ施策の作成支援
を行なわせる場合に選択すべきボタンであり、ボタン
「セキュリティ評価」805は、本装置1にセキュリテ
ィ評価を行なわせる場合に選択すべきボタンである。
【0042】さて、図9に示すようなGUI画面を介し
て、操作者により、入力装置16を使って、必要な項目
にチェックが入れられ、ボタン804、805のいずれ
かが選択されると(ステップS1004)、施策リスト
生成部111は、ステップS1002で選択されたシス
テムに対応する対応する施策データベースDB1〜DBn
131から必要な情報を読み出し、項目「機器構成」8
01にてチェックされた機器および項目「環境」802
にてチェックされた環境毎に、セキュリティ施策リスト
を作成する(ステップS1005)。
【0043】以下に、セキュリティ施策リストの作成処
理について、図9に示す場合(項目「機器構成」801
にてWWWサーバとクライアントがチェックされ、項目
「環境」802にて運用がチェックされた場合)を例に
とり説明する。
【0044】まず、図2および図3に示すインターネッ
ト接続システムのデータベースの「WWWサーバ」の列
2061の各行において、同じ行のセキュリティ施策が
適用可能であり、かつ、当該セキュリティ施策を適用し
た場合に確保されるセキュリティレベルが、図8の項目
「セキュリティ強度」でチェックされたレベル(ここで
は「並」=L1)以下のものが記述された行に着目す
る。そして、着目した各行について、「WWWサーバ」
の列2061に記述された内容と同じ行の列201〜2
04、205iに記述された内容とを読み出し、これら
を基にWWWサーバに対するセキュリティ施策リストを
作成する。以上の処理を、「クライアント」の列206
2および「運用」の列208のそれぞれに対しても、同
様に実行することで、クライアントに対するセキュリテ
ィ施策リストと運用に対するセキュリティ施策リストを
作成する。
【0045】次に、施策リスト生成部111は、図9に
示すような画面において、項目「機器構成」801にて
チェックされた機器および項目「環境」802にてチェ
ックされた環境毎に、セキュリティ施策リストを作成し
たならば、ステップS1004で選択されたボタンがボ
タン「構築支援」804であるか、あるいはボタン「セ
キュリティ評価」805であるかを判別する(ステップ
S1006)。
【0046】選択されたボタンが「構築支援」804で
ある場合、施策リスト生成部111は、入出力制御部1
13を介して、表示装置17に、ステップS1005で
作成した、項目「機器構成」801にてチェックされた
機器および項目「環境」802にてチェックされた環境
毎のセキュリティ施策リストを表示して、セキュリティ
施策の作成を支援する(ステップS1007)。
【0047】図10は、セキュリティ施策の作成支援の
ために表示されるセキュリティ施策リストの一例を示し
た図である。この例では、図9に示すチェック内容にし
たがって、図2および図3に示すインターネット接続シ
ステムのデータベースから作成されたリストを示してい
る。ここで、WWWサーバ、クライアントおよび運用各
々のセキュリティ施策リストは、別々に表示されるよう
になっており、操作者は入力装置16を使ってタグ90
1を選択することにより、所望のセキュリティ施策リス
トを表示することができる。なお、符号902、903
は、現在表示中のセキュリティ施策リストをスクロール
させるためのボタンである。
【0048】一方、ステップS1006にて、選択され
たボタンが「セキュリティ評価」805である場合、セ
キュリティ評価部112は、入出力制御部113を介し
て、表示装置17に、ステップS1005で作成した、
項目「機器構成」801にてチェックされた機器および
項目「環境」802にてチェックされた環境毎のセキュ
リティ施策リストに含まれるセキュリティ施策各々の実
施の有無を確認するためのGUI画面を表示する(ステ
ップS1008)。
【0049】図11は、セキュリティ評価のために表示
されるセキュリティ施策の実施の有無を確認するための
GUI画面の一例を示した図である。この例では、図9
に示すチェック内容にしたがって、図2および図3に示
すインターネット接続システムのデータベースから作成
されたリストに基づいて、GUI画面を作成した例を示
している。ここで、図11に示すGUI画面は、図10
に示す表示画面に、同じ行に記述されたセキュリティ施
策の実施の有無をチェックするための入力欄でなる列9
04が設けられた構成となっている。なお、ボタン「リ
セット」906は、列906の各入力欄のチェック内容
をリセットし、再度チェックし直すためのものである。
【0050】さて、図11に示すようなGUI画面を介
して、操作者により、入力装置16を使って、各セキュ
リティ施策の実施の有無がチェックが入れられ、ボタン
「実行」905が選択されると(ステップS100
9)、セキュリティ評価部112は、入出力制御部11
3を介して、表示装置17に、図12に示すような、操
作者より達成すべきセキュリティの目標レベルを受け付
けるためのGUI画面を表示する(ステップS101
0)。
【0051】図12に示す例では、図11に示すGUI
画面に表示された機器および環境各々について、セキュ
リティの目標レベルを、施策種別毎のセキュリティ施策
数に対する実施(対策)済のセキュリティ施策数の割合
で設定するか(910)、施策種別毎の実施済のセキュ
リティ施策による所要コストの総額で設定するか(91
1)、あるいは、施策種別毎の未実施(未対策)のセキ
ュリティ施策による残存リスクの総額で設定するか(9
12)を、選択することができるようになっている。こ
こで、セキュリティの目標レベルを施策種別毎のセキュ
リティ施策数に対する実施済のセキュリティ施策数の割
合で設定する場合には、オプションとして特定業界(業
界A、B)における基準を適用するか否かを選択できる
ようになっており、特定業界における基準の適用が選択
された場合は、セキュリティの目標レベルが、施策種別
毎の当該基準で義務づけられたセキュリティ施策数に対
する実施済の当該基準で義務づけられたセキュリティ施
策数の割合として設定される。なお、図12では、施策
種別毎のセキュリティ施策数に対する実施済のセキュリ
ティ施策数の割合として80%以上が設定された例を示
している。
【0052】さて、図12に示すようなGUI画面を介
して、操作者により、入力装置16を使って、セキュリ
ティの目標レベルが設定されると(ステップS101
1)、その設定内容にしたがって対象システムのセキュ
リティ状態を評価する(ステップS1012)。
【0053】たとえば、ステップS1011において、
セキュリティの目標レベルが、施策種別毎のセキュリテ
ィ施策数に対する実施済のセキュリティ施策数の割合と
して設定された場合、セキュリティ評価部112は、図
11に示すGUI画面に表示された機器および環境各々
(つまり、WWWサーバ、クライアントおよび運用の各
々)について、施策種別毎に、当該種別に分類されるセ
キュリティ施策数に対する実施済(つまり、実施有無入
力欄にチェックが入れられた)セキュリティ施策数の割
合を求める(ステップS1013)。そして、入出力制
御部113を介して、表示装置17に、その結果である
セキュリティ評価を表示する(ステップS1014)。
【0054】図13は、セキュリティの目標レベルが施
策種別毎のセキュリティ施策数に対する実施済のセキュ
リティ施策数の割合として設定された場合における、セ
キュリティ評価結果の表示例を示している。この例で
は、図12に示すGUI画面において、目標値として8
0%以上が設定された場合を示している。ここで、WW
Wサーバ、クライアントおよび運用各々のセキュリティ
評価結果は、別々に表示されるようになっており、操作
者は入力装置16を使ってタグ913を選択することに
より、所望のセキュリティ評価結果を表示することがで
きる。
【0055】また、図13に示す例では、施策種別毎の
セキュリティ施策数に対する実施済のセキュリティ施策
数の割合を、各施策種別を軸とする、いわゆるレーダチ
ャートを用いて表示している。ここで、実線は、各軸上
における、当該軸が示す施策種別のセキュリティ施策数
に対する実施済のセキュリティ施策数の割合に応じた点
を結んだ線、すなわちセキュリティ評価結果を示してい
る。一方、一点鎖線は、各軸上における、図12に示す
GUI画面で設定された目標値に応じた点を結んだ線で
ある。操作者は、セキュリティ評価結果を示す実線と目
標レベルを示す一点鎖線を比較することで、視覚的に、
対象システムに施されたセキュリティの状態を把握する
ことが可能となる。
【0056】なお、ステップS1011において、設定
されたセキュリティの目標レベルが、施策種別毎のセキ
ュリティ施策数に対する実施済のセキュリティ施策数の
割合であり、かつ、オプションとして特定業界における
基準を適用するように設定された場合は、ステップS1
013において、図11に示すGUI画面に表示された
機器および環境各々について、施策種別毎に、当該種別
に分類されるセキュリティ施策のうち当該業界基準とし
て義務付けらているセキュリティ施策数に対する実施済
の当該業界基準として義務付けらているセキュリティ施
策数の割合が求められる。
【0057】また、たとえば、ステップS1011にお
いて、セキュリティの目標レベルが、施策種別毎の実施
済のセキュリティ施策による所要コストの総額として設
定された場合、セキュリティ評価部112は、図11に
示すGUI画面に表示された機器および環境各々につい
て、施策種別毎に、当該種別に分類されるセキュリティ
施策のうち実施済セキュリティ施策による所要コストの
総額を求める(ステップS1015)。そして、入出力
制御部113を介して、表示装置17に、その結果であ
るセキュリティ評価を表示する(ステップS101
6)。
【0058】図14は、セキュリティの目標レベルが施
策種別毎の実施済のセキュリティ施策による所要コスト
の総額として設定された場合における、セキュリティ評
価結果の表示例を示している。この例では、図12に示
すGUI画面において、目標値として100万未満/年
が設定された場合を示している。また、図14に示す例
では、図13と同様、施策種別毎の実施済のセキュリテ
ィ施策による所要コストの総額を、各施策種別を軸とす
る、いわゆるレーダチャートを用いて表示している。こ
こで、実線は、各軸上における、当該軸が示す施策種別
の実施済のセキュリティ施策による所要コストの総額に
応じた点を結んだ線、すなわちセキュリティ評価結果を
示している。一方、一点鎖線は、各軸上における、図1
2に示すGUI画面で設定された目標値に応じた点を結
んだ線である。操作者はセキュリティ評価結果を示す実
線と目標レベルを示す一点鎖線を比較することで、視覚
的に、対象システムに施されたセキュリティの状態を把
握することが可能となる。
【0059】また、たとえば、ステップS1011にお
いて、セキュリティの目標レベルが、施策種別毎の未実
施のセキュリティ施策による残存リスクの総額として設
定された場合、セキュリティ評価部112は、図11に
示すGUI画面に表示された機器および環境各々につい
て、施策種別毎に、当該種別に分類されるセキュリティ
施策のうち未実施のセキュリティ施策による残存リスク
の総額を求める(ステップS1017)。そして、入出
力制御部113を介して、表示装置17に、その結果で
あるセキュリティ評価を表示する(ステップS101
8)。
【0060】図15は、セキュリティの目標レベルが施
策種別毎の未実施のセキュリティ施策による残存リスク
の総額として設定された場合における、セキュリティ評
価結果の表示例を示している。この例では、図12に示
すGUI画面において、目標値として100万未満/年
が設定された場合を示している。また、図15に示す例
では、図13と同様、施策種別毎の未実施のセキュリテ
ィ施策による残存リスクの総額を、各施策種別を軸とす
る、いわゆるレーダチャートを用いて表示している。こ
こで、実線は、各軸上における、当該軸が示す施策種別
の未実施のセキュリティ施策による残存リスクの総額に
応じた点を結んだ線、すなわちセキュリティ評価結果を
示している。一方、一点鎖線は、各軸上における、図1
2に示すGUI画面で設定された目標値に応じた点を結
んだ線である。操作者はセキュリティ評価結果を示す実
線と目標レベルを示す一点鎖線を比較することで、視覚
的に、対象システムに施されたセキュリティの状態を把
握することが可能となる。
【0061】以上、本発明の第1実施形態について説明
した。
【0062】本実施形態では、図9に示すGUI画面に
おいて、操作者が、入力装置16を用いて、対象システ
ムの構成機器を指定して評価ボタンを選択すると、図1
1に示すような、指定された機器毎にその機器に施すべ
きセキュリティ施策リストを含んだGUI画面が表示装
置17に表示される。操作者は、表示装置17に表示さ
れた各機器のセキュリティ施策を見て、入力装置16を
用いて、実施有無入力欄にチェックする(いわゆるチェ
ックリスト形式)ことで、そのセキュリティ施策の実施
の有無を入力することができる。操作者が、入力装置1
6を用いて、表示装置17に表示された各機器のセキュ
リティ施策の実施の有無を入力すると、それに基づい
て、対象システムに施されたセキュリティ施策の評価を
行ない、その結果を表示装置17に表示する。
【0063】このように、本実施形態によれば、操作者
がセキュリティを評価すべき対象システムの構成機器を
指定するだけで、その構成機器各々に施すべきセキュリ
ティ施策が表示される。そして、操作者が表示されてい
る各構成機器のセキュリティ施策の実施の有無を入力す
るだけで、その評価対象システムに施されているセキュ
リティの評価を行なうことができる。したがって、操作
者は、高度な専門的知識がなくても、システムのセキュ
リティ状態を評価することが可能となる。
【0064】また、本実施形態では、図12に示すGU
I画面において、操作者はセキュリティの目標レベルを
設定することができる。また、図13〜図15に示すよ
うに、セキュリティ評価結果は、設定した目標レベルと
対比できるようにして表示される。このため、操作者
は、評価対象システムの規模や評価対象システムに要求
されるセキュリティレベルなどの、当該評価対象システ
ムに固有の事情が考慮されたセキュリティ評価結果を得
ることができる。
【0065】また、本実施形態では、図9に示すGUI
画面において、操作者が、入力装置16を用いて、対象
システムの構成機器を指定して構築支援ボタンを選択す
ると、図10に示すような、指定された機器毎にその機
器に施すべきセキュリティ施策リストを含んだGUI画
面が表示装置17に表示される。このように本実施形態
によれば、操作者がセキュリティ施策を構築すべき対象
システムの構成機器を指定するだけで、その構成機器各
々に施すべきセキュリティ施策が表示されるので、操作
者は、高度な専門的知識がなくても、システムに施すべ
きセキュリティ施策を構築することが可能となる。
【0066】また、図9に示すGUI画面において選択
されたセキュリティ強度以下のセキュリティ施策が図1
0に示すセキュリティ施策リストに表示されるので、操
作者は、対象システムの規模や対象システムに要求され
るセキュリティレベルなどの、当該対象システムに固有
の事情が考慮して、当該システムに施すべきセキュリテ
ィ施策のリストを表示させることができる。
【0067】次に、本発明の第2実施形態について説明
する。
【0068】図16は、本発明の第2実施形態が適用さ
れたセキュリティ支援・評価システムの概略図である。
【0069】上記の第1実施形態では、セキュリティ施
策データベースDB1〜DBn131を、セキュリティ支
援・評価装置1の外部記憶装置13に格納した場合につ
いて説明した。これに対し、本実施形態では、図16に
示すように、セキュリティ支援・評価装置1がたとえば
携帯型の電子計算機上に構築される場合を考慮し、セキ
ュリティ施策データベースDB1〜DBn131をセキュ
リティ支援・評価装置1とは別の電子計算機上に構築さ
れたデータベース管理装置21〜2n(n≧1)に格納
し、セキュリティ支援・評価装置1は、公衆網などのネ
ットワークを介してデータベース管理装置2i(1≦i
≦n)にアクセスし、セキュリティ施策リスト作成に必
要な情報を得るようにしている。
【0070】図17は、本発明の第2実施形態に用いる
セキュリティ支援・評価装置1の概略構成図である。こ
こで、図1に示す第1実施形態のセキュリティ支援・評
価装置1と同じ機能を有するものには同じ符号を付して
いる。
【0071】図示するように、本実施形態のセキュリテ
ィ支援・評価装置1が、図1に示す第1実施形態のセキ
ュリティ支援・評価装置1と異なる点は、外部記憶装置
13にセキュリティ施策データベースDB1〜DBn13
1が格納されていない点と、外部記憶装置13に、ネッ
トワークを介してデータベース管理装置21〜2nにアク
セスするための通信プログラムPG133、および、図
18に示すようなデータベース管理装置21〜2nの各々
アクセス先(アドレス)が記述されたDBアドレス管理
テーブル134が格納されている点である。CPU11
は、通信プログラム133をメモリ12上にロードし実
行することで、通信部18により公衆網などのネットワ
ークを介してデータベース管理装置21〜2nにアクセス
し、データベース管理装置21〜2nの間の通信を実現す
るために必要な各種プロトコル群を処理する通信制御部
114をプロセスとして実現する。
【0072】図19は、本発明の第2実施形態に用いる
データベース管理装置2i(1≦i≦n)の概略構成図
である。ここで、図1に示す第1実施形態のセキュリテ
ィ支援・評価装置1と同じ機能を有するものには同じ符
号を付している。
【0073】図示するように、本実施形態のデータベー
ス管理装置2iは、図17に示すセキュリティ支援・評
価装置1と異なる点は、外部記憶装置13に、DBアド
レス管理テーブル134および評価・構築支援プログラ
ムPG132に代えて、セキュリティ施策データベース
DBi131およびDB管理プログラムPG135が格
納されている点である。CPU11は、DB管理プログ
ラム135をメモリ12上にロードし実行することで、
通信制御部114を介して、セキュリティ支援・評価装
置1より受け取った要求に応じて、外部記憶装置13に
格納されているセキュリティ施策データベースDBi
31から必要な情報を読み出し、セキュリティ支援・評
価装置1に送信するデータベースDB検索部115をプ
ロセスとして実現する。
【0074】次に、上記構成のセキュリティ支援・評価
システムの動作について説明する。
【0075】まず、図17に示すセキュリティ支援・評
価装置1の動作について説明する。
【0076】本実施形態のセキュリティ支援・評価装置
1の動作は、図6および図7に示す第1実施形態のセキ
ュリティ支援・評価装置1の動作と基本的に同様であ
る。ただし、以下の点で異なる。
【0077】すなわち、ステップS1001において、
セキュリティ支援・評価装置1は、データベース管理装
置21〜2nが格納するセキュリティ施策データベースD
〜DB131各々の対象システムの名称を、予め
外部記憶装置13などに記憶しており、施策リスト生成
部111は、外部記憶装置13からセキュリティ施策デ
ータベースDB1〜DBn131の対象システム各々の名
称を読み出し、入出力制御部113を用いて、図8に示
すようなGUI画面を表示する。
【0078】また、ステップS1003において、施策
リスト生成部111は、ステップS1002で選択され
たシステムのセキュリティ施策データベースを格納する
データベース管理装置2iより当該システムの構成機器
の名称を読み出すため指示を通信制御部114に渡す。
これを受けて、通信制御部114は、当該データベース
管理装置2iのアドレスを外部記憶装置13に格納され
ているDBアドレス管理テーブル134から取得し、通
信装置18を介して、当該データベース管理装置2i
指示を送信する。その後、通信制御部114は、当該デ
ータベース管理装置2iから当該システムの構成機器の
名称が送られてくると、これらを施策リスト生成部11
1に渡す。これを受けて、施策リスト生成部111は、
入出力制御部113を用いて、受け取った構成機器の名
称のリストを含んだ、図9に示すようなGUI画面を表
示する。
【0079】さらに、ステップS1005において、図
20に示す処理を行なう。
【0080】まず、施策リスト生成部111は、ステッ
プS1002で選択されたシステムのセキュリティ施策
データベースを格納するデータベース管理装置2iより
必要な情報を読み出すための検索指示を、ステップS1
004にて図9に示すようなGUI画面を介して操作者
によりチェックされた項目の内容とともに、通信制御部
114に渡す(ステップS1101)。
【0081】これを受けて、通信制御部114は、当該
データベース管理装置2iのアドレスを外部記憶装置1
3に格納されているDBアドレス管理テーブル134か
ら取得し、通信装置18を介して、当該データベース管
理装置2iに、前記チェックされた項目の内容を含んだ
データベースの検索指示を送信する(ステップS110
2)。その後、通信制御部114は、当該データベース
管理装置2iから検索結果が送られてくると(ステップ
S1103)、これらを施策リスト生成部111に渡
す。
【0082】これを受けて、施策リスト生成部111
は、検索結果に基づいて、図9に示すGUI画面の項目
「機器構成」801にてチェックされた機器および項目
「環境」802にてチェックされた環境毎に、セキュリ
ティ施策リストを作成する(ステップS1104)。
【0083】次に、図19に示すデータベース管理装置
iの動作について説明する。
【0084】図21は、本発明の第2実施形態で用いる
データベース管理装置2iの動作を説明するためのフロ
ー図である。
【0085】まず、通信制御部114は、通信装置18
を介して、セキュリティ支援・評価装置1からシステム
の構成機器の名称を読み出すため指示を受け取ると(ス
テップS2001)、これをDB検索部115に渡す。
これを受けて、DB検索部115は、外部記憶装置13
に格納されているセキュリティ施策データベースDBi
から、当該データベースの列206に記述されている各
構成機器の名称を読み出し(図2〜図5参照)、通信制
御部114に渡す(ステップS2002)。通信制御部
114は、受け取った各構成機器の名称を、セキュリテ
ィ支援・評価装置1に送信する(ステップS200
3)。
【0086】次に、通信制御部114は、通信装置18
を介して、セキュリティ支援・評価装置1から、図9に
示すGUI画面でチェックされた構成機器や環境の名称
およびセキュリティ強度を含んだ検索指示を受け取ると
(ステップS2004)、これをDB検索部115に渡
す。これを受けて、DB検索部115は、外部記憶装置
13に格納されているセキュリティ施策データベースD
iから必要な情報を読み出す(ステップS200
5)。
【0087】たとえば、外部記憶装置13に格納されて
いるセキュリティ施策データベースDBiが図2および
図3に示すインターネット接続システムのものであり、
検索指示に含まれる構成機器および環境の名称が、「W
WWサーバ」、「クライアント」および「運用」であ
り、セキュリティ強度が「並」であるる場合、以下のよ
うにして必要な情報を読み出す。
【0088】まず、図2および図3に示すインターネッ
ト接続システムのデータベースの「WWWサーバ」の列
2061の各行において、同じ行のセキュリティ施策が
適用可能であり、かつ、当該セキュリティ施策を適用し
た場合に確保されるセキュリティレベルが、検索指示に
含まれるセキュリティ強度(ここでは「並」=L1)以
下のものが記述された行に着目する。そして、着目した
各行について、「WWWサーバ」の列2061に記述さ
れた内容と同じ行の列201〜204、205iに記述
された内容とを読み出す。以上の処理を、「クライアン
ト」の列2062および「運用」の列208のそれぞれ
に対しても、同様に実行することで、検索指示に含まれ
る構成機器および環境毎に、必要な情報を読み出す。
【0089】次に、DB検索部115は、上記のように
して読み出した情報を通信制御部114に渡す。通信制
御部114は、受け取った情報を、検索結果として、セ
キュリティ支援・評価装置1に送信する(ステップS2
006)。
【0090】以上、本発明の第2実施形態について説明
した。
【0091】本実施形態では、セキュリティ施策データ
ベースDB1〜DBn131をセキュリティ支援・評価装
置1とは別の電子計算機上に構築されたデータベース管
理装置21〜2nに格納し、セキュリティ支援・評価装置
1は、公衆網などのネットワークを介してデータベース
管理装置2iにアクセスし、セキュリティ施策リスト作
成に必要な情報を得るようにしているので、セキュリテ
ィ支援・評価装置1を、たとえば携帯型の電子計算機上
に構築する場合に好適である。
【0092】なお、上記の実施形態において、セキュリ
ティ支援・評価装置1は、データベース管理装置21
nが格納するセキュリティ施策データベースDB1〜D
n131各々の対象システムの名称を、予め外部記憶
装置13などに記憶しておくようにしているが、この情
報は、セキュリティ支援・評価装置1がデータベース管
理装置21〜2n各々に定期的にアクセスすることで、取
得するようにしてもよい。また、この際、各データベー
ス管理装置21〜2nから、セキュリティ施策データベー
スの対象システムの名称とともに当該対象システムの構
成機器の名称も併せて取得しておくようにすれば、上述
した図6のステップS1003の変更は不要になる。
【0093】
【発明の効果】以上説明したように、本発明によれば、
高度な専門的知識がなくても、システムのセキュリティ
状態を評価したり、セキュリティ施策の作成を支援する
ことが可能になる。
【図面の簡単な説明】
【図1】本発明の第1実施形態が適用されたセキュリテ
ィ支援・評価装置1の概略構成図である。
【図2】インターネット接続システムに対応するセキュ
リティ施策データベースの一例を示す図である。
【図3】インターネット接続システムに対応するセキュ
リティ施策データベースの一例を示す図である。
【図4】認証システムに対応するセキュリティ施策デー
タベースの一例を示す図である。
【図5】プラントシステムに対応するセキュリティ施策
データベースの一例を示す図である。
【図6】本発明の第1実施形態であるセキュリティ支援
・評価装置1の動作を説明するためのフロー図である。
【図7】本発明の第1実施形態であるセキュリティ支援
・評価装置1の動作を説明するためのフロー図である。
【図8】セキュリティ施策の作成支援あるいはセキュリ
ティ状態の評価の対象となるシステムの名称を選択する
ためのGUI画面の例を示した図である。
【図9】セキュリティ施策の作成支援あるいはセキュリ
ティ状態の評価の対象となるシステムの構成機器の選択
するためのGUI画面の例を示した図である。
【図10】セキュリティ施策の作成支援のために表示さ
れるセキュリティ施策リストの一例を示した図である。
【図11】セキュリティ評価のために表示されるセキュ
リティ施策の実施の有無を確認するためのGUI画面の
一例を示した図である。
【図12】操作者より達成すべきセキュリティの目標レ
ベルを受け付けるためのGUI画面の例を示した図であ
る。
【図13】セキュリティの目標レベルが施策種別毎のセ
キュリティ施策数に対する実施済のセキュリティ施策数
の割合として設定された場合における、セキュリティ評
価結果の表示例を示す図である。
【図14】セキュリティの目標レベルが施策種別毎の実
施済のセキュリティ施策による所要コストの総額として
設定された場合における、セキュリティ評価結果の表示
例を示す図である。
【図15】セキュリティの目標レベルが施策種別毎の未
実施のセキュリティ施策による残存リスクの総額として
設定された場合における、セキュリティ評価結果の表示
例を示す図である。
【図16】本発明の第2実施形態が適用されたセキュリ
ティ支援・評価システムの概略図である。
【図17】本発明の第2実施形態に用いるセキュリティ
支援・評価装置1の概略構成図である。
【図18】本発明の第2実施形態に用いるセキュリティ
支援・評価装置1の外部記憶装置13に格納されている
DBアドレス管理テーブル134を説明するための図で
ある。
【図19】本発明の第2実施形態に用いるデータベース
管理装置2i(1≦i≦n)の概略構成図である。
【図20】本発明の第2実施形態に用いるセキュリティ
支援・評価装置1における、図6のステップS1005
の処理を説明するためのフロー図である。
【図21】本発明の第2実施形態で用いるデータベース
管理装置2iの動作を説明するためのフロー図である。
【符号の説明】
1・・・セキュリティ支援・評価装置 21〜2n・・・データベース管理装置 11・・・CPU 12・・・メモリ 13・・・外部記憶装置 14・・・読取り装置 15・・・過般性のある記憶媒体 16・・・入力装置 17・・・表示装置 18・・・通信装置 19・・・インターフェース 111・・・施策リスト生成部 112・・・セキュリティ評価部 113・・・入出力制御部 114・・・通信制御部 115・・・DB検索部 131・・・セキュリティ施策データベースDB1〜DBn 132・・・評価・構築支援プログラムPG 133・・・通信プログラムPG 134・・・データベースアドレステーブル 135・・・データベース管理プログラムPG
───────────────────────────────────────────────────── フロントページの続き (72)発明者 永井 康彦 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 角田 光弘 神奈川県川崎市幸区鹿島田890番地 株式 会社日立製作所情報システム事業部内 (72)発明者 山田 知明 神奈川県川崎市幸区鹿島田890番地 株式 会社日立製作所情報システム事業部内 Fターム(参考) 5B085 AE06 5B089 GA11 GA21 GB02 HA06 HA10 JA11 JB22 KA17 KB13 LB03 LB14 5J104 AA07 KA00 NA27

Claims (14)

    【特許請求の範囲】
  1. 【請求項1】電子計算機を用いて、1以上の機器で構成
    されるシステムに施されたセキュリティを評価するセキ
    ュリティ評価方法であって、 前記電子計算機に接続された入力装置を介して、操作者
    より、評価対象システムと当該システムを構成する各機
    器の指定を受け付ける第1のステップと、 システムタイプ毎に、構成機器と当該構成機器に施すべ
    きセキュリティ施策とが記述されたデータベースを検索
    し、前記第1のステップで指定された評価対象システム
    に対応するシステムタイプの構成機器のうち、前記第1
    のステップで指定された評価対象システムを構成する各
    機器に施すべきセキュリティ施策を読み出す第2のステ
    ップと、 前記第1のステップで指定された評価対象システムを構
    成する機器毎に、前記第2のステップで読み出したセキ
    ュリティ施策を対応付けて、前記電子計算機に接続され
    た表示装置に表示し、前記入力装置を介して、操作者よ
    り、当該機器毎に対応付けて表示されたセキュリティ施
    策の実施の有無を受け付ける第3のステップと、 前記第3のステップで受け付けた評価対象システムを構
    成する各機器のセキュリティ施策の実施の有無に基づい
    て、当該評価対象システムに施されたセキュリティ状態
    の評価を行ない、その結果を前記表示装置に表示する第
    4のステップと、を有することを特徴とするセキュリテ
    ィ評価方法。
  2. 【請求項2】請求項1記載のセキュリティ評価方法であ
    って、 前記データベースは、記述されているセキュリティ施策
    各々に、そのセキュリティ施策を施すことによって確保
    されるセキュリティの種類が対応付けられて記述されて
    おり、 前記第4のステップは、前記第2のステップで読み出し
    た評価対象システムを構成する各機器のセキュリティ施
    策を、当該セキュリティ施策に対応付けられたセキュリ
    ティの種類毎に分類し、セキュリティの種類毎に、当該
    種類に分類されたセキュリティ施策の数に対する前記第
    3のステップで実施有りとされたセキュリティ施策の数
    の割合を求め、これを当該種類に対するセキュリティ施
    策の達成度として、セキュリティの種類各々の達成度を
    前記表示装置に表示することを特徴とするセキュリティ
    評価方法。
  3. 【請求項3】請求項1記載のセキュリティ評価方法であ
    って、 前記データベースは、記述されているセキュリティ施策
    各々に、そのセキュリティ施策を施すことによって確保
    されるセキュリティの種類とそのセキュリティ施策を施
    すことにって回避される危険度とが併せて記述されてお
    り、 前記第4のステップは、前記第2のステップで読み出し
    た評価対象システムを構成する各機器のセキュリティ施
    策を、当該セキュリティ施策に対応付けられたセキュリ
    ティの種類毎に分類し、セキュリティの種類毎に、当該
    種類に分類されるセキュリティ施策のうち、前記第3の
    ステップで実施無しとされたセキュリティ施策に対応付
    けられた危険度の総和を求め、これを当該種類に対する
    セキュリティ施策の残存危険度として、セキュリティの
    種類各々の残存危険度を前記表示装置に表示することを
    特徴とするセキュリティ評価方法。
  4. 【請求項4】請求項1記載のセキュリティ評価方法であ
    って、 前記データベースは、記述されているセキュリティ施策
    各々に、そのセキュリティ施策を施すことによって確保
    されるセキュリティの種類とそのセキュリティ施策を施
    すのにかかるコストとが併せて記述されており、 前記第4のステップは、前記第2のステップで読み出し
    た評価対象システムを構成する各機器のセキュリティ施
    策を、当該セキュリティ施策に対応付けられたセキュリ
    ティの種類毎に分類し、セキュリティの種類毎に、当該
    種類に分類されるセキュリティ施策のうち、前記第3の
    ステップで実施有りとされたセキュリティ施策に対応付
    けられたコストの総和を求め、これを当該種類に対する
    セキュリティ施策の所要コストとして、セキュリティの
    種類各々の所要コストを前記表示装置に表示することを
    特徴とするセキュリティ評価方法。
  5. 【請求項5】請求項1記載のセキュリティ評価方法であ
    って、 前記データベースは、記述されているセキュリティ施策
    各々に、そのセキュリティ施策を施すことによって確保
    されるセキュリティのレベルが併せて記述されており、 前記第1のステップは、前記入力装置を介して、操作者
    より、評価対象システムと当該システムを構成する各機
    器の指定に加えて、当該システムに施すべきセキュリテ
    ィ施策のレベルの指定を受け付け、 前記第2のステップは、前記データベースから、前記第
    1のステップで指定された評価対象システムに対応する
    システムタイプの構成機器のうち、前記第1のステップ
    で指定された支援対象システムを構成する各機器に施す
    べきセキュリティ施策であって、前記第1のステップで
    指定されたレベル以下のセキュリティ施策を読み出すこ
    とを特徴とするセキュリティ評価方法。
  6. 【請求項6】請求項1、2、3、4または5記載のセキ
    ュリティ評価方法であって、 前記第1のステップは、 前記データベースに記述されているシステムタイプをす
    べて読み出して前記表示装置に表示し、前記入力装置を
    介して、操作者より、表示中のシステムタイプのうちの
    いずれか1つの指定を評価対象システムの指定として受
    け付けるステップと、 評価対象システムとして指定されたシステムタイプの構
    成機器すべてを前記データベースから読み出して前記表
    示装置に表示し、前記入力装置を介して、操作者より、
    表示中の構成機器各々の評価対象システムでの使用の有
    無を、評価対象システムを構成する各機器の指定として
    受け付けるステップと、を有することを特徴とするセキ
    ュリティ評価方法。
  7. 【請求項7】電子計算機に、1以上の機器で構成される
    システムに施されたセキュリティを評価させるためのプ
    ログラムが記憶された記憶媒体であって、 前記プログラムは、前記電子計算機に、 当該電子計算機に接続された入力装置を介して、操作者
    より、評価対象システムと当該システムを構成する各機
    器の指定を受け付ける第1のステップと、 システムタイプ毎に、構成機器と当該構成機器に施すべ
    きセキュリティ施策とが記述されたデータベースを検索
    し、前記第1のステップで指定された評価対象システム
    に対応するシステムタイプの構成機器のうち、前記第1
    のステップで指定された評価対象システムを構成する各
    機器に施すべきセキュリティ施策を読み出す第2のステ
    ップと、 前記第1のステップで指定された評価対象システムを構
    成する機器毎に、前記第2のステップで読み出したセキ
    ュリティ施策を対応付けて、前記電子計算機に接続され
    た表示装置に表示し、前記入力装置を介して、操作者よ
    り、当該機器毎に対応付けて表示されたセキュリティ施
    策の実施の有無を受け付ける第3のステップと、 前記第3のステップで受け付けた評価対象システムを構
    成する各機器のセキュリティ施策の実施の有無に基づい
    て、当該評価対象システムに施されたセキュリティ状態
    の評価を行ない、その結果を前記表示装置に表示する第
    4のステップと、を実行させることを特徴とするプログ
    ラムが記憶された記憶媒体。
  8. 【請求項8】1以上の機器で構成されるシステムに施さ
    れたセキュリティを評価するセキュリティ評価装置であ
    って、 システムタイプ毎に、構成機器と当該構成機器に施すべ
    きセキュリティ施策とが記述されたデータベースと、 前記データベースに記述されているシステムタイプをす
    べて読み出して表示し、操作者より、表示中のシステム
    タイプのうちのいずれか1つの指定を評価対象システム
    の指定として受け付ける第1の指示受付手段と、 前記第1の指示受付手段にて評価対象システムとして指
    定されたシステムタイプの構成機器すべてを前記データ
    ベースから読み出して表示し、操作者より、表示中の構
    成機器各々の評価対象システムへの使用の有無を、評価
    対象システムを構成する各機器の指定として受け付ける
    第2の指示受付手段と、 前記第1の指示受付手段にて評価対象システムとして指
    定されたシステムタイプの構成機器のうち、前記第2の
    指示受付手段にて評価対象システムを構成する機器とし
    て指定された各構成機器に施すべきセキュリティ施策
    を、前記データベースから読み出して表示し、操作者よ
    り、表示中の各構成機器に施すべきセキュリティ施策の
    実施の有無を受け付ける第3の指示受付け手段と、 前記第3の指示受付け手段で受け付けた各構成機器のセ
    キュリティ施策の実施の有無に基づいて、前記評価対象
    システムに施されたセキュリティ状態の評価を行ない、
    その結果を表示する評価手段と、を有することを特徴と
    するセキュリティ評価装置。
  9. 【請求項9】電子計算機を用いて、1以上の機器で構成
    されるシステムに施すべきセキュリティ施策の作成を支
    援するセキュリティの構築支援方法であって、 前記電子計算機に接続された入力装置を介して、操作者
    より、支援対象システムと当該システムを構成する各機
    器の指定を受け付ける第1のステップと、 システムタイプ毎に、構成機器と当該構成機器に施すべ
    きセキュリティ施策とが記述されたデータベースを検索
    し、前記第1のステップで指定された支援対象システム
    に対応するシステムタイプの構成機器のうち、前記第1
    のステップで指定された支援対象システムを構成する各
    機器に施すべきセキュリティ施策を読み出す第2のステ
    ップと、 前記第1のステップで指定された支援対象システムを構
    成する機器毎に、前記第2のステップで読み出したセキ
    ュリティ施策を対応付けて、前記電子計算機に接続され
    た表示装置に表示する第3のステップと、を有すること
    を特徴とするセキュリティの構築支援方法。
  10. 【請求項10】請求項9記載のセキュリティの構築支援
    方法であって、 前記データベースは、記述されているセキュリティ施策
    各々に、そのセキュリティ施策を施すことによって確保
    されるセキュリティの種類が対応付けられて記述されて
    おり、 前記第2のステップは、前記データベースから、前記第
    1のステップで指定された支援対象システムに対応する
    システムタイプの構成機器のうち、前記第1のステップ
    で指定された支援対象システムを構成する各機器に施す
    べきセキュリティ施策とその種類を読み出し、 前記第3のステップは、前記第1のステップで指定され
    た支援対象システムを構成する機器毎に、前記第2のス
    テップで読み出した支援対象システムを構成する各機器
    のセキュリティ施策とその種類を対応付けて、前記表示
    装置に表示することを特徴とするセキュリティの構築支
    援方法。
  11. 【請求項11】請求項9記載のセキュリティの構築支援
    方法であって、 前記データベースは、記述されているセキュリティ施策
    各々に、そのセキュリティ施策を施すことによって確保
    されるセキュリティのレベルが併せて記述されており、 前記第1のステップは、前記入力装置を介して、操作者
    より、支援対象システムと当該システムを構成する各機
    器の指定に加えて、当該システムに施すべきセキュリテ
    ィ施策のレベルの指定を受け付け、 前記第2のステップは、前記データベースから、前記第
    1のステップで指定された支援対象システムに対応する
    システムタイプの構成機器のうち、前記第1のステップ
    で指定された支援対象システムを構成する各機器に施す
    べきセキュリティ施策であって、前記第1のステップで
    指定されたレベル以下のセキュリティ施策を読み出すこ
    とを特徴とするセキュリティの構築支援方法。
  12. 【請求項12】請求項9、10または11記載のセキュ
    リティの構築支援方法であって、 前記第1のステップは、 前記データベースに記述されているシステムタイプをす
    べて読み出して前記表示装置に表示し、前記入力装置を
    介して、操作者より、表示中のシステムタイプのうちの
    いずれか1つの指定を支援対象システムの指定として受
    け付けるステップと、 支援対象システムとして指定されたシステムタイプの構
    成機器すべてを前記データベースから読み出して前記表
    示装置に表示し、前記入力装置を介して、操作者より、
    表示中の構成機器各々の支援対象システムでの使用の有
    無を、支援対象システムを構成する各機器の指定として
    受け付けるステップと、を有することを特徴とするセキ
    ュリティの構築支援方法。
  13. 【請求項13】電子計算機に、1以上の機器で構成され
    るシステムに施すべきセキュリティ施策の作成を支援さ
    せるためのプログラムが記憶された記憶媒体であって、 前記プログラムは、前記電子計算機に、 前記電子計算機に接続された入力装置を介して、操作者
    より、支援対象システムと当該システムを構成する各機
    器の指定を受け付ける第1のステップと、 システムタイプ毎に、構成機器と当該構成機器に施すべ
    きセキュリティ施策とが記述されたデータベースを検索
    し、前記第1のステップで指定された支援対象システム
    に対応するシステムタイプの構成機器のうち、前記第1
    のステップで指定された支援対象システムを構成する各
    機器に施すべきセキュリティ施策を読み出す第2のステ
    ップと、 前記第1のステップで指定された支援対象システムを構
    成する機器毎に、前記第2のステップで読み出したセキ
    ュリティ施策を対応付けて、前記電子計算機に接続され
    た表示装置に表示する第3のステップと、を実行させる
    ことを特徴とするプログラムが記憶された記憶媒体。
  14. 【請求項14】1以上の機器で構成されるシステムに施
    すべきセキュリティ施策の作成を支援するセキュリティ
    の構築支援装置であって、 システムタイプ毎に、構成機器と当該構成機器に施すべ
    きセキュリティ施策とが記述されたデータベースと、 前記データベースに記述されているシステムタイプをす
    べて読み出して表示し、操作者より、表示中のシステム
    タイプのうちのいずれか1つの指定を支援対象システム
    の指定として受け付ける第1の指示受付手段と、 前記第1の指示受付手段にて支援対象システムとして指
    定されたシステムタイプの構成機器すべてを前記データ
    ベースから読み出して表示し、操作者より、表示中の構
    成機器各々の支援対象システムでの使用の有無を、支援
    対象システムを構成する各機器の指定として受け付ける
    第2の指示受付手段と、 前記第1の指示受付手段にて支援対象システムとして指
    定されたシステムタイプの構成機器のうち、前記第2の
    指示受付手段にて支援対象システムを構成する機器とし
    て指定された各構成機器に施すべきセキュリティ施策
    を、前記データベースから読み出し、機器毎に表示する
    セキュリティ施策表示手段と、を有することを特徴とす
    るセキュリティの構築支援装置。
JP27726599A 1999-09-29 1999-09-29 セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 Expired - Fee Related JP4084914B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP27726599A JP4084914B2 (ja) 1999-09-29 1999-09-29 セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置
US09/628,108 US6971026B1 (en) 1999-09-29 2000-07-27 Method and apparatus for evaluating security and method and apparatus for supporting the making of security countermeasure

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP27726599A JP4084914B2 (ja) 1999-09-29 1999-09-29 セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置

Publications (2)

Publication Number Publication Date
JP2001101135A true JP2001101135A (ja) 2001-04-13
JP4084914B2 JP4084914B2 (ja) 2008-04-30

Family

ID=17581120

Family Applications (1)

Application Number Title Priority Date Filing Date
JP27726599A Expired - Fee Related JP4084914B2 (ja) 1999-09-29 1999-09-29 セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置

Country Status (2)

Country Link
US (1) US6971026B1 (ja)
JP (1) JP4084914B2 (ja)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005228307A (ja) * 2004-02-02 2005-08-25 Toshiba Corp プレセットセキュリティレベル
JP2006172181A (ja) * 2004-12-16 2006-06-29 Asgent Inc セキュリティポリシー運用管理システム及びプログラム
JP2008287435A (ja) * 2007-05-16 2008-11-27 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム
JP2008299811A (ja) * 2007-06-04 2008-12-11 Ricoh Co Ltd 情報処理装置、プログラムおよび情報処理方法
JP2009140362A (ja) * 2007-12-07 2009-06-25 Toshiba Corp セキュリティレベル評価装置およびセキュリティレベル評価プログラム
JP4469910B1 (ja) * 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム
JP2010198194A (ja) * 2009-02-24 2010-09-09 Nomura Research Institute Ltd セキュリティ管理支援システム
JP2010205287A (ja) * 2003-05-17 2010-09-16 Microsoft Corp セキュリティリスクを評価するための機構
JP2010211657A (ja) * 2009-03-12 2010-09-24 Mitsubishi Electric Information Systems Corp セキュリティ評価装置及びセキュリティ評価方法及びセキュリティ評価プログラム
JP2010231600A (ja) * 2009-03-27 2010-10-14 Toshiba Corp 事務品質管理装置および事務品質管理処理プログラム
JP2011028613A (ja) * 2009-07-28 2011-02-10 Nec Corp 対策候補生成システム、対策候補生成方法およびプログラム
US8112786B2 (en) 2004-06-22 2012-02-07 International Business Machines Corporation Security policy generation
WO2012053041A1 (ja) * 2010-10-22 2012-04-26 株式会社日立製作所 セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム
WO2012132124A1 (ja) * 2011-03-31 2012-10-04 株式会社日立製作所 セキュリティレベル可視化装置
JP2013025429A (ja) * 2011-07-19 2013-02-04 Mitsubishi Electric Corp セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム
US8539546B2 (en) 2010-10-22 2013-09-17 Hitachi, Ltd. Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy
WO2015025694A1 (ja) * 2013-08-21 2015-02-26 日立オートモティブシステムズ株式会社 セキュリティ上の脅威を評価する評価装置及びその方法
WO2015177832A1 (ja) * 2014-05-19 2015-11-26 株式会社 日立製作所 セキュリティ対策決定支援装置およびセキュリティ対策決定支援方法
JP2016045736A (ja) * 2014-08-22 2016-04-04 株式会社日立製作所 セキュリティ設計支援装置およびセキュリティ設計支援方法
JP2016081518A (ja) * 2014-10-21 2016-05-16 富士通株式会社 ソフトウェアのアタックサーフェイスの決定
JP2016200991A (ja) * 2015-04-10 2016-12-01 日本電信電話株式会社 セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法
JP2019144881A (ja) * 2018-02-21 2019-08-29 株式会社日立製作所 セキュリティ評価サーバおよびセキュリティ評価方法
JP2019192265A (ja) * 2015-09-15 2019-10-31 日本電気株式会社 情報処理装置、情報処理方法、およびプログラム
US11909754B2 (en) 2018-03-14 2024-02-20 Nec Corporation Security assessment system

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2366640B (en) * 2000-03-30 2004-12-29 Ibm Distribution of activation information
US7287280B2 (en) * 2002-02-12 2007-10-23 Goldman Sachs & Co. Automated security management
US8121937B2 (en) 2001-03-20 2012-02-21 Goldman Sachs & Co. Gaming industry risk management clearinghouse
US8140415B2 (en) 2001-03-20 2012-03-20 Goldman Sachs & Co. Automated global risk management
US8209246B2 (en) 2001-03-20 2012-06-26 Goldman, Sachs & Co. Proprietary risk management clearinghouse
US7899722B1 (en) 2001-03-20 2011-03-01 Goldman Sachs & Co. Correspondent bank registry
JP3970079B2 (ja) * 2002-04-12 2007-09-05 キヤノン株式会社 アクセスポイント、無線通信装置及びそれらの制御方法
US7607169B1 (en) 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
GB2403309B (en) * 2003-06-27 2006-11-22 Hewlett Packard Development Co Apparatus for and method of evaluating security within a data processing or transactional environment
US20070113272A2 (en) * 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
JP2005165561A (ja) * 2003-12-01 2005-06-23 Fujitsu Ltd ネットワーク接続制御プログラム、ネットワーク接続制御方法およびネットワーク接続制御装置
US8762191B2 (en) 2004-07-02 2014-06-24 Goldman, Sachs & Co. Systems, methods, apparatus, and schema for storing, managing and retrieving information
US8996481B2 (en) 2004-07-02 2015-03-31 Goldman, Sach & Co. Method, system, apparatus, program code and means for identifying and extracting information
US8442953B2 (en) 2004-07-02 2013-05-14 Goldman, Sachs & Co. Method, system, apparatus, program code and means for determining a redundancy of information
US8510300B2 (en) 2004-07-02 2013-08-13 Goldman, Sachs & Co. Systems and methods for managing information associated with legal, compliance and regulatory risk
US7657942B2 (en) * 2005-01-11 2010-02-02 International Business Machines Corporation Method of assuring enterprise security standards compliance
US7620974B2 (en) * 2005-01-12 2009-11-17 Symantec Distributed traffic scanning through data stream security tagging
US8266700B2 (en) * 2005-05-16 2012-09-11 Hewlett-Packard Development Company, L. P. Secure web application development environment
US7890315B2 (en) 2005-12-29 2011-02-15 Microsoft Corporation Performance engineering and the application life cycle
US20070157311A1 (en) * 2005-12-29 2007-07-05 Microsoft Corporation Security modeling and the application life cycle
US20070192344A1 (en) * 2005-12-29 2007-08-16 Microsoft Corporation Threats and countermeasures schema
US20070156420A1 (en) * 2005-12-29 2007-07-05 Microsoft Corporation Performance modeling and the application life cycle
US7818788B2 (en) * 2006-02-14 2010-10-19 Microsoft Corporation Web application security frame
US7712137B2 (en) 2006-02-27 2010-05-04 Microsoft Corporation Configuring and organizing server security information
CN100409622C (zh) * 2006-06-13 2008-08-06 南京大学 一种基于依赖关系的信息技术产品安全保证评估流程控制方法
CN100423494C (zh) * 2006-06-13 2008-10-01 南京大学 一种基于依赖关系的信息技术产品安全保证评估流程生成方法
US20080047016A1 (en) * 2006-08-16 2008-02-21 Cybrinth, Llc CCLIF: A quantified methodology system to assess risk of IT architectures and cyber operations
US20100146395A1 (en) * 2008-12-08 2010-06-10 Gustavo De Los Reyes Method and System for Exploiting Interactions Via A Virtual Environment
US8549628B2 (en) * 2009-04-07 2013-10-01 Alcatel Lucent Method and apparatus to measure the security of a system, network, or application
KR20120070771A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 정량적 보안 정책 평가 장치 및 방법
US8800045B2 (en) * 2011-02-11 2014-08-05 Achilles Guard, Inc. Security countermeasure management platform

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06230957A (ja) 1993-02-04 1994-08-19 Toshiba Corp チェックリストシステム
US6374358B1 (en) * 1998-08-05 2002-04-16 Sun Microsystems, Inc. Adaptive countermeasure selection method and apparatus
US6574737B1 (en) * 1998-12-23 2003-06-03 Symantec Corporation System for penetrating computer or computer network
US20030056116A1 (en) * 2001-05-18 2003-03-20 Bunker Nelson Waldo Reporter
US7290275B2 (en) * 2002-04-29 2007-10-30 Schlumberger Omnes, Inc. Security maturity assessment method

Cited By (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010205287A (ja) * 2003-05-17 2010-09-16 Microsoft Corp セキュリティリスクを評価するための機構
JP2005228307A (ja) * 2004-02-02 2005-08-25 Toshiba Corp プレセットセキュリティレベル
US8141131B2 (en) 2004-06-22 2012-03-20 International Business Machines Corporation Security policy generation
US8112786B2 (en) 2004-06-22 2012-02-07 International Business Machines Corporation Security policy generation
JP2006172181A (ja) * 2004-12-16 2006-06-29 Asgent Inc セキュリティポリシー運用管理システム及びプログラム
JP2008287435A (ja) * 2007-05-16 2008-11-27 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム
JP2008299811A (ja) * 2007-06-04 2008-12-11 Ricoh Co Ltd 情報処理装置、プログラムおよび情報処理方法
JP4607943B2 (ja) * 2007-12-07 2011-01-05 株式会社東芝 セキュリティレベル評価装置およびセキュリティレベル評価プログラム
JP2009140362A (ja) * 2007-12-07 2009-06-25 Toshiba Corp セキュリティレベル評価装置およびセキュリティレベル評価プログラム
JP2010152560A (ja) * 2008-12-24 2010-07-08 Toshiba Corp セキュリティ対策機能評価プログラム
US8407801B2 (en) 2008-12-24 2013-03-26 Kabushiki Kaisha Toshiba Security countermeasure function evaluation program
WO2010074093A1 (ja) * 2008-12-24 2010-07-01 株式会社 東芝 セキュリティ対策機能評価プログラム
JP4469910B1 (ja) * 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム
JP2010198194A (ja) * 2009-02-24 2010-09-09 Nomura Research Institute Ltd セキュリティ管理支援システム
JP2010211657A (ja) * 2009-03-12 2010-09-24 Mitsubishi Electric Information Systems Corp セキュリティ評価装置及びセキュリティ評価方法及びセキュリティ評価プログラム
JP2010231600A (ja) * 2009-03-27 2010-10-14 Toshiba Corp 事務品質管理装置および事務品質管理処理プログラム
JP2011028613A (ja) * 2009-07-28 2011-02-10 Nec Corp 対策候補生成システム、対策候補生成方法およびプログラム
WO2012053041A1 (ja) * 2010-10-22 2012-04-26 株式会社日立製作所 セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム
US8539546B2 (en) 2010-10-22 2013-09-17 Hitachi, Ltd. Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy
JP2012215994A (ja) * 2011-03-31 2012-11-08 Hitachi Ltd セキュリティレベル可視化装置
WO2012132124A1 (ja) * 2011-03-31 2012-10-04 株式会社日立製作所 セキュリティレベル可視化装置
JP2013025429A (ja) * 2011-07-19 2013-02-04 Mitsubishi Electric Corp セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム
WO2015025694A1 (ja) * 2013-08-21 2015-02-26 日立オートモティブシステムズ株式会社 セキュリティ上の脅威を評価する評価装置及びその方法
JP2015041167A (ja) * 2013-08-21 2015-03-02 日立オートモティブシステムズ株式会社 セキュリティ上の脅威を評価する評価装置及びその方法
WO2015177832A1 (ja) * 2014-05-19 2015-11-26 株式会社 日立製作所 セキュリティ対策決定支援装置およびセキュリティ対策決定支援方法
JP2016045736A (ja) * 2014-08-22 2016-04-04 株式会社日立製作所 セキュリティ設計支援装置およびセキュリティ設計支援方法
JP2016081518A (ja) * 2014-10-21 2016-05-16 富士通株式会社 ソフトウェアのアタックサーフェイスの決定
JP2016200991A (ja) * 2015-04-10 2016-12-01 日本電信電話株式会社 セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法
US10922417B2 (en) 2015-09-15 2021-02-16 Nec Corporation Information processing apparatus, information processing method, and program
JP2019192265A (ja) * 2015-09-15 2019-10-31 日本電気株式会社 情報処理装置、情報処理方法、およびプログラム
JP2021152929A (ja) * 2015-09-15 2021-09-30 日本電気株式会社 端末管理装置、端末管理方法、およびプログラム
JP7255636B2 (ja) 2015-09-15 2023-04-11 日本電気株式会社 端末管理装置、端末管理方法、およびプログラム
WO2019163266A1 (ja) * 2018-02-21 2019-08-29 株式会社日立製作所 セキュリティ評価サーバおよびセキュリティ評価方法
CN111587433A (zh) * 2018-02-21 2020-08-25 株式会社日立制作所 安保评价服务器和安保评价方法
JP2019144881A (ja) * 2018-02-21 2019-08-29 株式会社日立製作所 セキュリティ評価サーバおよびセキュリティ評価方法
US11909754B2 (en) 2018-03-14 2024-02-20 Nec Corporation Security assessment system

Also Published As

Publication number Publication date
JP4084914B2 (ja) 2008-04-30
US6971026B1 (en) 2005-11-29

Similar Documents

Publication Publication Date Title
JP2001101135A (ja) セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置
JP6621940B2 (ja) ネットワーク化コンピュータシステムアーキテクチャにおけるセキュリティリスクを低減させるための方法および装置
US6901346B2 (en) System, method and medium for certifying and accrediting requirements compliance
US7966664B2 (en) Error and exception message handling framework
CN101526916B (zh) 基于页面对象流验证在回归测试中的应用方法及系统
KR20060030015A (ko) 전자적 준거성을 평가하고 통지하기 위한 방법 및 시스템
CA3198981A1 (en) Constructing executable program code based on sequence codes
WO2011148372A1 (en) Apparatus and methods for assessing and maintaining security of a computerized system under development
EP3468144A1 (en) Displaying errors of cloud service components
WO2019180599A1 (en) Data anonymization
US8516376B2 (en) Identification system for network data processing systems
US11783049B2 (en) Automated code analysis tool
EP2782051A2 (en) A centrally managed and accessed system and method for performing data processing on multiple independent servers and datasets
JP7384208B2 (ja) セキュリティリスク分析支援装置、方法、及びプログラム
CN108897593B (zh) 一种功能展示方法和装置
US9230284B2 (en) Centrally managed and accessed system and method for performing data processing on multiple independent servers and datasets
Goosen The development of an integrated IT risk assessment questionnaire for internal auditors' use
Khelifi et al. Smart Visa System with Improved Security Features
Baig Cloud computing ethical issues: A review paper to investigate and provide suggestions for solving data privacy issues of cloud computing
Kearney et al. Security patterns for automated continuous auditing
Feng et al. SHINE: a Collaborative System for Sharing Insights and Information of Economic Impacts of Cyberattacks
JP6235675B2 (ja) リモート審査システム、情報処理装置、リモート審査方法、及びリモート審査プログラム
JP6235676B2 (ja) リモート審査システム、情報処理装置、リモート審査方法、及びリモート審査プログラム
Wendrowski 2020 LADR Workshop
Gebreslassie Software Architecture And Development Plan For Hotel Management System

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060220

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070206

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070409

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080218

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120222

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120222

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130222

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130222

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees