JP2001273388A - セキュリティ管理システムおよび方法 - Google Patents

セキュリティ管理システムおよび方法

Info

Publication number
JP2001273388A
JP2001273388A JP2000270186A JP2000270186A JP2001273388A JP 2001273388 A JP2001273388 A JP 2001273388A JP 2000270186 A JP2000270186 A JP 2000270186A JP 2000270186 A JP2000270186 A JP 2000270186A JP 2001273388 A JP2001273388 A JP 2001273388A
Authority
JP
Japan
Prior art keywords
security
information
management
policy
security policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000270186A
Other languages
English (en)
Other versions
JP2001273388A5 (ja
Inventor
Makoto Kayashima
信 萱島
Masatoshi Terada
真敏 寺田
Yasuhiko Nagai
康彦 永井
Hiromi Isogawa
弘実 礒川
Kazuo Matsunaga
和男 松永
Eri Katou
恵理 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2000270186A priority Critical patent/JP2001273388A/ja
Priority to US09/859,429 priority patent/US20010023486A1/en
Priority to US09/761,742 priority patent/US20010025346A1/en
Publication of JP2001273388A publication Critical patent/JP2001273388A/ja
Publication of JP2001273388A5 publication Critical patent/JP2001273388A5/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

(57)【要約】 【課題】情報セキュリティポリシーに従った企業情報シ
ステムのセキュリティ管理・監査を簡単にする。 【解決手段】情報セキュリティポリシーおよび対象シス
テムと管理・監査プログラムを対応づけたセキュリティ
管理・監査プログラムデータベース133を設ける。操作
者により指定された情報セキュリティポリシーおよび対
象システムの範囲に対応する管理・監査プログラムを検
索し、自動的に実行する。管理・監査プログラムは、自
身に対応する対象システムの情報セキュリティポリシー
に関する管理・監査を行う。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークに接
続した各種処理装置からなる情報処理システムのセキュ
リティ状態の制御および管理を支援する技術に関する。
【0002】
【従来の技術】近年、インターネット技術等を用いた情
報システムが企業活動のインフラとして広く活用される
ようになったことに伴い、情報システムに対する不正ア
クセスやウィルスによる情報資産への脅威を回避するた
めのセキュリティシステムの重要性が一段と高まってい
る。
【0003】このようなセキュリティシステムを管理す
るための従来の技術としては、ファイアウォールやウィ
ルス対策プログラムなどの、情報システム上の個々のセ
キュリティシステムの設定や変更を行うTivoli社の製品
Tivoli Security Managementなどが知られている。
【0004】
【発明が解決しようとする課題】さて、情報システムの
セキュリティ対策は、情報システム全体の脅威分析に基
づく対策方針である情報セキュリティポリシーの作成、
情報セキュリティポリシーに従ったセキュリティシステ
ムの情報システムへの導入および運用管理といった一連
の手順を経て実施することが望まれている。このような
手順に沿った情報システムのセキュリティ対策を推奨す
るものとしては、1999年6月にISO15408として国際標準
化されたセキュリティ評価基準CC(Common Criteria)が
ある。
【0005】しかしながら、上記従来の技術によれば、
情報セキュリティポリシーに従ったセキュリティ対策を
実現するために導入したセキュリティシステムが何であ
るのかや、各情報セキュリティポリシーに対してセキュ
リティシステムをどのように運用管理しているのかなど
を管理するための仕組みがない。
【0006】このため、情報セキュリティポリシーに従
った情報システムのセキュリティの状態の制御や管理
は、情報セキュリティポリシーならびにセキュリティシ
ステムに関する高度な専門知識を有する管理者でなけれ
ば、行うことが困難であった。また、情報セキュリティ
ポリシーに従った情報システムのセキュリティ状態の制
御や管理に要する時間やコストなどの負担が大きかっ
た。
【0007】本発明は、上記事情に鑑みてなされたもの
であり、本発明の目的は、情報セキュリティポリシーに
従った、情報システムのセキュリティの状態の制御や管
理を簡単にすることにある。
【0008】また、情報セキュリティポリシーならびに
セキュリティシステムに関する高度な専門知識がなくて
も、情報セキュリティポリシーの作成、情報セキュリテ
ィポリシーに従ったセキュリティシステムの情報システ
ムへの導入および運用管理といった一連の手順を実施で
きるように支援にすることにある。
【0009】
【課題を解決するための手段】上記目的達成のために、
本発明の第1の態様は、少なくとも1つの被管理対象シ
ステムおよび情報セキュリティポリシーに対応し、当該
対応する被管理対象システムのセキュリティ状態を、当
該対応する情報セキュリティポリシーに整合するように
制御する、複数の管理手段を用意する。そして、ユーザ
より受け付けた範囲に含まれる情報セキュリティポリシ
ーおよび被管理対象システムに対応する管理手段を抽出
して、当該管理手段に、当該管理手段に対応する被管理
対象システムのセキュリティ状態を、当該管理手段に対
応する情報セキュリティポリシーに整合するように変更
させる。
【0010】あるいは、少なくとも1つの被管理対象シ
ステムおよび情報セキュリティポリシーに対応し、当該
対応する被管理対象システムの当該対応する情報セキュ
リティポリシーに関わるセキュリティの状態を監査す
る、複数の監査手段を用意する。そして、ユーザより受
け付けた範囲に含まれる情報セキュリティポリシーおよ
び被管理対象システムに対応する監査手段を抽出して、
当該監査手段に、当該監査手段に対応する被管理対象シ
ステムの当該対応する情報セキュリティポリシーに関わ
るセキュリティ状態を監査させる。
【0011】また、本発明の第2の態様では、まず、セ
キュリティ施策のポリシーを表す情報セキュリティポリ
シーと、少なくとも1つの被管理対象システムとの対応
が記述されたデータベースを用意する。そして、ユーザ
が構築したあるいは構築しようとしている情報システム
を構成する各被管理対象システムの指定を受け付け、こ
れらに対応付けられて登録されている情報セキュリティ
ポリシーを前記データベースから抽出して、例えば当該
情報システムを構成する被管理対象システムと情報セキ
ュリティポリシーとの対応の一覧が記述された、当該情
報システムに適用すべきセキュリティ仕様を策定する。
【0012】次に、策定したセキュリティ仕様により特
定される情報セキュリティポリシーおよび管理対象シス
テムの組に各々対応付けられた、当該被管理対象システ
ムの型式やソフトウエアバージョンといった諸情報、お
よび、当該被管理対象システムの当該情報セキュリティ
ポリシーに関わるセキュリティ状態を監査するための処
理が記述された複数の監査プログラムを、ユーザが構築
した情報システムに導入したセキュリティ管理システム
に実行させる。そして、ユーザが構築した情報システム
を構成する各被管理対象システムの型式やソフトウエア
バージョンといった諸情報およびセキュリティ状態を監
査して、当該情報システムのセキュリティを診断する。
【0013】それから、策定したセキュリティ仕様によ
り特定される情報セキュリティポリシーおよび管理対象
システムの組に各々対応付けられた、当該被管理対象シ
ステムの対応する情報セキュリティポリシーに関わるセ
キュリティ状態を制御する処理が記述された複数の管理
プログラムのうち、例えば、ユーザがセキュリティの診
断結果からセキュリティ状態を変更する必要があると判
断した情報セキュリティポリシーおよび管理対象システ
ムの組に対応付けられている管理プログラムを、当該ユ
ーザが構築した情報システムに導入したセキュリティ管
理システムに実行させ、当該管理プログラムに対応する
被管理対象システムのセキュリティ状態を、当該管理プ
ログラムに対応する情報セキュリティポリシーに整合す
るように変更させる。
【0014】
【発明の実施の形態】以下、本発明の実施の形態につい
て説明する。
【0015】まず、本発明の第1実施形態について説明
する。
【0016】図1は、本発明の第1実施形態が適用され
た情報システムの構成図である。
【0017】図示するように、本実施形態の情報システ
ムは、情報セキュリティポリシー管理・監査支援装置31
と、サーバやルータやファイアウォールなどの管理・監
査対象計算機32とが、ネットワーク33を介して接続され
た構成を有している。
【0018】図2に、情報セキュリティポリシー管理・
監査支援装置31の構成を示す。
【0019】図示するように、情報セキュリティポリシ
ー管理・監査支援装置31のハードウエア構成は、たとえ
ば、CPU11と、メモリ12と、ハードディスク装置など
の外部記憶装置13と、ネットワーク33に接続された通信
装置14と、キーボードやマウスなどの入力装置15と、デ
ィスプレイなどの表示装置16と、FDやCD-ROMな
どの可搬性を有する記憶媒体からデータを読み取る読取
り装置17と、上述した各構成要素間のデータ送受信を司
るインタフェース18とを備えた、一般的な電子計算機上
に構築することができる。
【0020】ここで、外部記憶装置13上には、情報セキ
ュリティポリシー管理・監査支援装置31の各機能を電子
計算機上に構築するための支援プログラム134が格納さ
れている。CPU11は、このプログラム134をメモリ12
上にロードし実行することにより、管理・監査対象領域
制御部111、情報セキュリティポリシー選択制御部112、
情報セキュリティポリシー/セキュリティ管理・監査プ
ログラム関連付け制御部113、および、入出力制御部114
を、電子計算機上に実現する。また、外部記憶装置13上
に、システム構成機器情報データベース131、情報セキ
ュリティデータベース132、および、セキュリティ管理
・監査プログラムデータベース133を形成する。また、
図示は省略したが、電子計算機上には、ネットワーク33
を介して他装置と相互に通信するための通信制御部など
も構築される。
【0021】図3に、管理・監査対象計算機32の構成
を示す。
【0022】ここで、図2に示す情報セキュリティポリ
シー管理・監査支援装置31と同じ機能を有するものには
同じ符号を付している。
【0023】図示するように、管理・監査対象計算機32
の外部記憶装置13には、管理・監査対象計算機32上で稼
動するOSプログラム150と、アプリケーションプログ
ラム137と、アプリケーションプログラム137のセキュリ
ティ管理・監査を行うセキュリティ管理・監査プログラ
ム群136が格納されている。
【0024】CPU11は、メモリ12上にロードされたO
Sプログラム150を実行することにより、OS151を電子
計算機上に実現する。また、メモリ12上にロードされた
アプリケーションプログラム137を実行することによ
り、サーバやルータやファイアウォールなどが有する個
々のサービスを提供するアプリケーション部138を電子
計算機上に実現する。また、メモリ12上にロードされた
セキュリティ管理・監査プログラム群136に含まれる管
理プログラムを実行することにより、OS151やアプリ
ケーション部138のセキュリティ施策の状態を設定変更
するセキュリティ管理部139を電子計算機上に実現し、
セキュリティ管理・管理プログラム群136に含まれる監
査プログラムを実行することにより、OS151やアプリ
ケーション部138のセキュリティ施策の状態を確認する
セキュリティ監査部140を電子計算機上に実現する。ま
た、図示は省略したが、電子計算機上には、ネットワー
ク33を介して他装置と相互に通信するための通信制御部
なども構築される。
【0025】次に、情報セキュリティポリシー管理・監
査支援装置31の各データベースについて説明する。
【0026】図4に、システムの構成機器情報データベ
ース131の内容を示す。
【0027】図中、各行において、列41には、情報セキ
ュリティポリシー管理・監査の対象となるシステムを一
意に識別する識別子(SYSID)が記述される。列44には、
列41のSYSIDで示されるシステムを構築するソフトウェ
アプログラム名(OSプログラム150やアプリケーショ
ンプログラム137の名称)が記述される。列42には、列4
1のSYSIDで示されるシステムが稼働する装置の種別(例
えば、ルータ、サーバ、クライアント、ファイアウォー
ルなど)が記述される。そして、列45には、列41のSYSID
で示されるシステムの操作者による選択結果が格納され
る。
【0028】図5に、情報セキュリティポリシーデータ
ベース132の内容を示す。
【0029】図中、各行において、列51には、情報セキ
ュリティポリシーを一意に識別する識別子(POLICYID)が
記述される。列52には、列51のPOLICYIDの欄に記述され
た情報セキュリティポリシーの施策種別(例えば、識別
と認証、アクセス制御機能など)が記述される。列53に
は、列51のPOLICYIDの欄に記述された情報セキュリティ
ポリシーの内容を表すセキュリティ施策(例えば、ネッ
トワークにアクセス可能な端末の限定、識別・認証情報
用の良いパスワード設定の実施など)が記述される。そ
して、列54には、列51のPOLICYIDで示される情報セキュ
リティポリシーの操作者による選択結果が格納される。
【0030】図6に、セキュリティ管理・監査プログラ
ムデータベース133の内容を示す。
【0031】図中、各行において、列61には、情報セキ
ュリティポリシーを一意に識別する識別子(POLICYID)が
記述される。列62の管理プログラムの欄には、列61のPO
LICYIDの欄に記述された情報セキュリティポリシーのセ
キュリティ施策の管理を行う管理プログラムの名称621
と、名称621の管理プログラムが管理を行うシステムのS
YSID622と、名称621の管理プログラムの実行要否を表す
対応付け623が記述される。そして、列63の監査プログ
ラムの欄には、列61のPOLICYIDの欄に記述された情報セ
キュリティポリシーのセキュリティ施策の監査を行う監
査プログラムの名称631と、名称631の監査プログラムが
監査を行うシステムのSYSID632と、名称631の監査プロ
グラムの実行要否を表す対応付け633が記述される。
【0032】以下、このような情報システムにおける、
セキュリティポリシー管理・監査の動作について説明す
る。
【0033】図7に、セキュリティポリシー管理・監査
装置31の動作手順を示す。
【0034】まず、管理・監査対象領域制御部111は、
入出力制御部114を用いて、表示装置16に、図8に示す
ような、外部記憶装置13上に形成されているシステム構
成機器情報データベース131に登録されている内容を表
した情報セキュリティポリシー管理・監査対象領域選択
画面を表示する(ステップS701)。
【0035】図8において、「装置種別」91、「ソフト
ウェア種別」92および「プログラム名」93の各項目は、
システム構成機器情報データベース131の列42、43、44
に、それぞれ対応している。この画面上で、操作者は、
任意の項目91〜93で情報セキュリティポリシー管理・監
査対象領域を指定し、これを項目「使用可否」94のボタ
ンで選択できる。この選択結果は、管理・監査対象領域
制御部111によって、システム構成機器情報データベー
ス131の列45に反映される。すなわち、ある装置種別が
選択された場合にはその装置種別が記述された全ての行
の列45に、また、あるソフトウェア種別が選択された場
合にはそのソフトウエア種別が記述された全ての行の列
45に、さらに、あるプログラム名が選択された場合には
そのプログラム名が記述された行の列45に、選択可否と
して「YES」を登録する。
【0036】次に、操作者によって情報セキュリティポ
リシー管理・監査対象領域が選択されると、(ステップS
702)、情報セキュリティポリシー選択制御部112は、入
出力制御部114を用いて、表示装置16に、図9に示すよ
うな、情報セキュリティポリシーデータベース132に登
録されている内容を表した情報セキュリティポリシー選
択画面を表示する(ステップS703)。
【0037】図9において、「施策種別」1001および
「セキュリティ施策」1002の各項目は、情報セキュリテ
ィポリシーデータベース132の列52、53に、それぞれ対
応している。この画面上で、操作者は、任意の項目100
1、1002で情報セキュリティポリシーを指定し、これを
項目「使用可否」1003のボタンで選択できる。この選択
結果は、情報セキュリティポリシー選択制御部112によ
って、情報セキュリティポリシーデータベース132の列5
4に反映される。すなわち、ある施策種別が選択された
場合にはその施策種別が記述された全ての行の列54に、
また、あるセキュリティ施策が選択された場合にはその
セキュリティ施策が記述された行の列54に、選択可否と
して「YES」を登録する。
【0038】次に、操作者によって情報セキュリティポ
リシーが選択されると(ステップS704)、情報セキュリテ
ィポリシー/セキュリティ管理・監査プログラム関連付
け制御部113は、ステップS701〜S704により選択された
結果に基づき、選択された情報セキュリティポリシーと
システムに対応する管理・監査プログラムを、セキュリ
ティ管理・監査プログラムデータベース133から抽出す
る。そして、抽出した管理・監査プログラムの対応付け
の列623、633に「要」を登録する(ステップS705)。
【0039】この抽出は、図10に示す手順によって行
う。
【0040】すなわち、セキュリティ管理・監査プログ
ラムデータベース133において、まず、情報セキュリテ
ィポリシーの検索を、列61を対象にステップS704で選択
された(情報セキュリティポリシーデータベース132にお
いて列54に「YES」が登録されている)識別子(POLICYI
D)の有無を用いて行う(ステップS801)。次に、管理プロ
グラムの抽出を、検索した識別子(POLICYID)と同じ行に
ある列622を対象に、ステップS702で選択されたシステ
ム(システム構成機器情報データベース131において列54
に「YES」が登録されている)の識別子(SYSID)の有無を
用いて行う(ステップS802、S803)。それから、監査プロ
グラムの抽出を、検索された識別子(POLICYID)と同じ行
にある列632を対象に、ステップS702で選択されたシス
テム(システム構成機器情報データベース131において列
「54」にYESが登録されている)の識別子(SYSID)の有無
を用いて行う(ステップS804、S805)。
【0041】さて、図7に戻り、管理・監査プログラム
の抽出が終わると、情報セキュリティポリシー/セキュ
リティ管理・監査プログラム関連付け制御部113は、入
出力制御部114を用いて、表示装置16に、図11に示す
ような、情報セキュリティポリシーの実施状況ならびに
セキュリティ施策の変更を指定するための画面を表示す
る(ステップS706)。
【0042】図11において、「施策種別」1001および
「セキュリティ施策」1002の各項目は、情報セキュリテ
ィポリシーデータベース132の列52、53に、それぞれ対
応しており、ステップS704で選択された(YESが列54に設
定された)もののみが表示される。操作者は、「施策種
別」1001および「セキュリティ施策」1002の各項目にお
いて、管理や監査の対象となる情報セキュリティポリシ
ーを1あるいは複数選択することができる。また、項目
「管理」1101は、情報セキュリティポリシーの選択後、
管理プログラムを用いて、選択した情報セキュリティポ
リシーに関わるセキュリティ施策の変更を行うためのボ
タンであり、項目「監査」1102は、情報セキュリティポ
リシーの選択後、監査プログラムを用いて、選択した情
報セキュリティポリシーに関わる情報セキュリティポリ
シーの実施状況を確認するためのボタンである。操作者
は、「管理」1101および「監査」1102のいずれかのボタ
ンを選択できる。
【0043】さて、操作者により、情報セキュリティポ
リシーが選択され、そして、「管理」1101および「監
査」1102のいずれかのボタンが選択されると(ステップS
707)、情報セキュリティポリシー/セキュリティ管理・
監査プログラム関連付け制御部113は、ステップS705に
おいて、選択された情報セキュリティポリシーに対して
抽出された(セキュリティ管理・監査プログラムデータ
ベース133の対応付けの列623、633に「要」がマークさ
れた)、セキュリティ管理プログラムあるいは監査プロ
グラムを、ネットワーク33を介して起動する。
【0044】選択されたボタンが「管理」1101である場
合、管理・監査対象計算機32上の管理・監査プログラム
群136のうち、上記のようにして抽出された管理プログ
ラムが起動され、実行される。管理プログラムの実行に
より具現化するセキュリティ管理部139は、管理・監査
対象計算機32の表示装置16上に、たとえば図12に示す
ような、セキュリティシステムの設定変更などの管理画
面を表示する(ステップS708)。そして、セキュリティシ
ステムの設定変更を受付て設定し、その内容をネットワ
ーク33を介して情報セキュリティポリシー/セキュリテ
ィ管理・監査プログラム関連付け制御部113に応答す
る。応答を受けた情報セキュリティポリシー/セキュリ
ティ管理・監査プログラム関連付け制御部113は、その
内容を情報セキュリティポリシー管理・監査支援装置31
の表示装置16上に表示する。
【0045】なお、図12は、図5に示す情報セキュリ
ティポリシーデータベース132において、施策種別52
「識別と認証機能」、セキュリティ施策53「識別・認証
情報用の良いパスワード設定の実施」に対応する情報セ
キュリティポリシー「AUTH-01」を管理する管理プログ
ラムである、パスワード管理プログラム(図6の管理プ
ログラム名621「ADM_USR_#2」)が起動された場合の例
を示している。図12の画面は、パスワードの設定変更
を受け付ける画面である。
【0046】一方、ステップS707において、選択された
ボタンが「監査」1102である場合、管理・監査対象計算
機32上の管理・監査プログラム群136のうち、上記のよ
うにして抽出された監査プログラムが起動され、たとえ
ば、図13に示すような動作手順によって、その監査プ
ログラムが監査を行うシステムのセキュリティ監査を行
う(ステップS709)。そして、その結果を、ネットワーク
33を介して、情報セキュリティポリシー/セキュリティ
管理・監査プログラム関連付け制御部113に応答する。
応答を受けた情報セキュリティポリシー/セキュリティ
管理・監査プログラム関連付け制御部113は、その内容
を情報セキュリティポリシー管理・監査支援装置31の表
示装置16に表示する。
【0047】なお、図13は、図5に示す情報セキュリ
ティポリシーデータベース132において、施策種別52
「アクセス監視」、セキュリティ施策53「データ・プロ
グラムの改ざん検出の実施」に対応する情報セキュリテ
ィポリシー「ACCADM-01」を管理する監査プログラムで
ある、データ改ざん監査プログラム(図6の管理プログ
ラム名621「AUDIT_LOG_#1」)が起動された場合の例を
示している。この例では、監査プログラムは、改竄検出
プログラム自体が管理・監査対象計算機32上にインスト
ールされ稼動されているか否かを確認し(ステップS170
1)、次に、その稼動動作ログが保存されているかを確認
する(ステップS1702)。それから、稼動動作ログの更新
日を確認することで改ざん検出プログラムの継続稼動を
確認する(ステップS1703)。そして、全ての確認項目に
対して確認できたならば、監査結果は良好であるので、
監査結果として「実施済」を情報セキュリティポリシー
/セキュリティ管理・監査プログラム関連付け制御部113
に応答する(ステップS1705)。一方、そうでないなら
ば、監査結果は不良となるので、監査結果として「実施
未」を情報セキュリティポリシー/セキュリティ管理・
監査プログラム関連付け制御部113に応答する(ステップ
S1704)。
【0048】さて、図7に戻り、情報セキュリティポリ
シー/セキュリティ管理・監査プログラム関連付け制御
部113は、監査結果の応答を受けとると、それを表示装
置16に表示する(ステップS710)。
【0049】以上、本発明の第1実施形態について説明
した。
【0050】ところで、本実施形態では、図4のプログ
ラム名44に記述されるプログラムを単位として、管理・
監査プログラムを設けた場合について説明した。しかし
ながら本発明はこれに限定されない。たとえば、図4に
示すシステムの構成機器情報データベース131におい
て、装置種別42に記述される装置やソフトウエア種別43
に記述されるソフトウエアを単位として、この単位毎に
管理・監査プログラムを設け、選択された装置種別やソ
フトウエア種別とキュリティ施策に応じて、管理・監査
プログラムを実行するようにしてもよい。
【0051】なお、装置種別を単位として、管理・監査
プログラムを設ける場合、監査結果の表示は、たとえ
ば、次のように行うことができる。
【0052】図14は、監査結果を、図4に示すシステ
ムの構成機器情報データベース131の装置種別42毎に、
図5に示す情報セキュリティポリシーデータベースの施
策種別52毎の、当該施策種別の全セキュリティ施策数53
に対する実施済の割合を、いわゆるレーダーチャートを
用いて表示する例を示している。また、図15は、前記
実施済の割合を表を用いて表示する例を示している。
【0053】図14あるいは図15において、操作者
は、タグ1201を指定することで、装置種別42毎の監査結
果を表示させることができる。また、操作者が、施策種
別1202を指定し、ボタン「詳細」1203を選択したなら
ば、図17に示すような、図5に示す情報セキュリティ
ポリシーデータベースの施策種別52毎に、セキュリティ
施策53毎の応答された監査結果を表示する。
【0054】図17において、操作者は、監査結果に基
づき、設定変更などの管理を実施したい場合や、再度、
監査を実施したい場合、列1402の選択欄をチェックし、
管理プログラムを用いてセキュリティ施策の変更を行う
ためのボタン「管理」1402、あるいは、監査プログラム
を用いて情報セキュリティポリシーの実施状況の確認を
行うためのボタン「監査」1403を選択することができ
る。
【0055】図16は、監査結果を、図5に示す情報セ
キュリティポリシーデータベースの施策種別52毎に、図
4に示すシステムの構成機器情報データベース131の装
置種別42毎の、当該施策種別の全セキュリティ施策数53
に対する実施済の割合を、いわゆるレーダーチャートを
用いて表示する例を示している。
【0056】図16において、操作者は、タグ1501を指
定することで、施策種別52毎の監査結果を表示させるこ
とができる。また、操作者が、装置種別1502を指定し、
ボタン「詳細」1503を選択したならば、図17に示すよ
うな、図5に示す情報セキュリティポリシーデータベー
スの施策種別52毎に、セキュリティ施策53毎の応答され
た監査結果を表示する。
【0057】さて、本実施形態によれば、以下のような
効果がある。
【0058】(1)操作者が管理・監査対象となるシステ
ムを指定し、情報セキュリティポリシーを選択するだけ
で、その構成で必要となるセキュリティ管理・監査プロ
グラムが選択される。このため、情報セキュリティポリ
シーに従ったセキュリティ対策を実現するために導入し
たセキュリティシステムとの対応付けが容易となる。
【0059】(2)操作者が入力した情報セキュリティポ
リシーの管理実施を指定するだけで、その対象システム
の情報セキュリティポリシーの適用を行う管理プログラ
ムを起動することができる。このため、情報セキュリテ
ィポリシーに従った情報システムの運用管理を行うため
に、高度な専門知識を有しない管理者の場合にも、運用
管理が容易となる。
【0060】(3)操作者が入力した情報セキュリティポ
リシーの状態を監査実施を指定するだけで、その対象シ
ステムの情報セキュリティポリシーに基づくセキュリテ
ィ施策の状態を評価することができる。このため、情報
セキュリティポリシーに従った情報システムの運用管理
状態を把握するために、高度な専門知識を有しない管理
者の場合にも実施が容易となる。
【0061】次に、本発明の第2実施形態について説明
する。
【0062】本実施形態では、上記の第1実施形態で説
明したセキュリティポリシー管理・監査支援装置31に若
干の修正を加え、この修正された装置31’を用いて、管
理者が、ユーザの情報システムに適用すべき情報セキュ
リティポリシーの作成、当該情報セキュリティポリシー
に従ったセキュリティシステムの前記情報システムへの
導入および運用管理といった一連の手順を実施できるよ
うに支援する場合について説明する。
【0063】図18に、セキュリティポリシー管理・監
査支援装置31’の構成を示す。
【0064】図示するように、本実施形態で用いるセキ
ュリティポリシー管理・監査支援装置31’の構成は、図
2に示す第1実施形態のものと基本的に同様である。た
だし、CPU11が、外部記憶装置13上に格納されている
支援プログラム134をメモリ12上にロードし実行するこ
とにより、外部記憶装置13上に、システム構成機器情報
データベース131、情報セキュリティデータベース132お
よびセキュリティ管理・監査プログラムデータベース13
3に加えて、管理・監査対象システムの構成機器情報/セ
キュリティ状態データベース135が形成される。このデ
ータベース135には、図6に示したセキュリティ管理・
監査プログラムデータベース133において対応付けがさ
れている監査プログラムの実行により当該プログラムの
監査対象システムから入手した、当該システムに対する
セキュリティ施策の状態と、当該システムを構築するソ
フトウエアプログラムのバージョン情報や当該システム
が稼動する装置の型式といった諸情報が格納される。
【0065】図19に、管理・監査対象システムの構成
機器情報/セキュリティ状態データベース135の内容を示
す。
【0066】図中、各行において、列71には、監査プロ
グラムの名称(AUDITID)が記述される。列72には、列71
の対応する欄に記述されたAUDITIDにより特定される監
査プログラムが対応するシステムのSYSID721(セキュリ
ティ管理・監査プログラムデータベース133より特定で
きる)と、当該監査プログラムの実行によりSYSID721で
示されるシステムから入手した、当該システムを構築す
るソフトウェアプログラムのソフトウエア種別722、プ
ログラム名称723およびバージョンやパッチといった更
新情報724と、当該システムが稼動する装置の種別725お
よび型式情報726とを含む、当該監査プログラムが監査
対象とするシステムの最新の諸情報が記述される。ま
た、列73には、列71の対応する欄に記述されたAUDITID
により特定される監査プログラムの実行により入手し
た、図6に示したセキュリティ管理・監査プログラムデ
ータベース133において当該監査プログラムに対応付け
られているPOLCYID61により特定される情報セキュリテ
ィポリシーが示すセキュリティ施策(情報セキュリティ
ポリシーデータベース132より特定できる)の実施の有
無731と、当該システムの当該セキュリティ施策に関す
るセキュリティ状態732とを含む、当該監査プログラム
が監査対象とするシステムに対するセキュリティ情報が
記述される。ここで、セキュリティ状態732としては、
例えば、セキュリティ施策が「外部ネットワークにアク
セス可能な端末の限定」であり、監査対象とするシステ
ムが「ルータ」の場合、当該ルータの外部ネットワーク
への接続に関する設定情報が該当する。セキュリティ状
態732として、どのような情報を入手するかは、監査プ
ログラム毎に、当該監査プログラムが監査するシステム
や情報セキュリティポリシー等によって定まる。
【0067】次に、このセキュリティポリシー管理・監
査支援装置31’を用いることで実現できる情報システム
のセキュリティ管理の支援について説明する。
【0068】図20は、セキュリティポリシー管理・監
査支援装置31’を用いることで実現可能な情報システム
のセキュリティ管理の支援手順を概念的に表した図であ
る。
【0069】図示するように、本実施形態による情報シ
ステムのセキュリティ管理の支援手順は、以下の3つの
フェーズに分かれる。
【0070】設計フェーズ セキュリティポリシー管理・監査支援装置31’を用い
て、ユーザが構築したあるいは構築しようとしている情
報システムの仕様を受け付け(2001)、当該情報システ
ムに適用可能なセキュリティ仕様を策定する。そして、
このセキュリティ仕様をユーザに提示して(2002)、当
該情報システムに適用する情報セキュリティポリシーを
決定し、この決定された情報セキュリティポリシーに従
ったセキュリティ施策の監査・管理を行えるように情報
セキュリティポリシー管理・監査支援装置31’を設定す
る(2003)。
【0071】導入フェーズ ユーザの情報システムにセキュリティポリシー管理・監
査支援装置31’を接続する(2004)。そして、当該情報
システムの、設計フェーズで決定された情報セキュリテ
ィポリシーに関するセキュリティ状態を診断し(2005、
2006)、必要に応じて、当該システムのセキュリティ状
態を変更する(2007、2008)。
【0072】運用フェーズ ユーザの情報システムの、設計フェーズで決定された情
報セキュリティポリシーに関するセキュリティ状態を定
期的に診断し(2009、2010)、導入フェーズ後に、ソフ
トウエアバージョン、型式といった諸情報あるいはセキ
ュリティ状態に変更があった箇所を特定し(2011)、必
要に応じて当該箇所のセキュリティ状態を変更する(20
12)。また、セキュリティ状態の診断結果とCERT(C
omputerEmergency Response Team)等のセキュリティ情
報機関が公表したセキュリティホール情報とを照合し
(2013)、セキュリティ状態を変更する必要が生じた箇
所を特定して(2011)、そのセキュリティ状態を変更す
る(2012)。
【0073】なお、管理者は、ユーザの情報システムか
ら入手したセキュリティ診断結果(2010)とセキュリテ
ィ情報機関が公表したセキュリティホール情報(2013)
が、構成機器情報データベース131、情報セキュリティ
ポリシーデータベース132、および、セキュリティ管理
・監査プログラムデータベース133に反映されるように
情報セキュリティポリシー管理・監査支援プログラム13
4を更新することにより、今後、新たにユーザの情報シ
ステムへ導入するセキュリティシステムにその内容が反
映されるようにするとよい(2014)。
【0074】次に、図20に示した設計、導入および運
用の各フェーズでのセキュリティポリシー管理・監査装
置31’の動作について説明する。
【0075】まず、設計フェーズでの動作について説明
する。
【0076】図21に、設計フェーズでのセキュリティ
ポリシー管理・監査装置31’の動作手順を示す。この手
順は、通常、セキュリティポリシー管理・監査装置31’
がユーザの情報システムに接続されていない状態(この
段階では、ユーザの情報システムが未だ構築されていな
い可能性がある)で行われる。
【0077】まず、管理・監査対象領域制御部111は、
入出力制御部114を用いて、表示装置16に、図8に示し
たような、外部記憶装置13上に形成されているシステム
構成機器情報データベース131に登録されている内容を
表した情報セキュリティポリシー管理・監査対象領域選
択画面を表示する(ステップS2101)。この画面上で、管
理者は、ユーザより示された、当該ユーザが構築したあ
るいは構築しようとしている情報システムの構成機器を
指定し選択することができる。この選択結果は、管理・
監査対象領域制御部111によって、システム構成機器情
報データベース131の列45に反映され、選択された構成
機器(装置種別、ソフトウエア種別およびプログラム名
の組み合わせで特定される)が記述された行の列45に、
選択可否として「YES」が登録される。
【0078】次に、管理者によって、ユーザの情報シス
テムの構成機器が選択されると、(ステップS2102)、情
報セキュリティポリシー選択制御部112は、システム構
成機器情報データベース131において列45に「Yes」が登
録されているSYSIDに対応付けられているAUDITIDおよび
PLICYIDを、セキュリティ管理・監査プログラムデータ
ベース133から検索する。
【0079】それから、情報セキュリティポリシー選択
制御部112は、図22に示すような、システム構成機器
情報データベース131において列45に「Yes」が登録され
ている行に記述された情報2201により特定される構成機
器毎に、当該機器のSYSIDに対応付けられているPOLICYI
Dの施策種別およびセキュリティ施策(情報セキュリテ
ィポリシーデータベース132より特定できる)2202と、
前記SYSIDおよび前記POLICYIDに対応付けられているAUD
ITIDの監査プログラムの監査(診断)項目(これは、監
査プログラムに対応付けて外部記憶装置13等に予め格納
しておくとよい)2203とを記述した、セキュリティ仕様
書を作成する。そして、この作成したセキュリティ仕様
書を、入出力制御部114を用いて表示装置16に表示した
り、あるいは、図示していない印刷装置から出力したり
する(ステップS2103)。操作者は、このセキュリティ仕
様書をユーザに提示することで、当該ユーザに、当該ユ
ーザが構築したあるいは構築しようとしている情報シス
テムに適用すべきセキュリティ施策を決定させることが
できる。
【0080】次に、情報セキュリティポリシー選択制御
部112は、入出力制御部114を用いて、表示装置16に、図
9に示したような、システム構成機器情報データベース
131において列45に「Yes」が登録されている行の列41に
記述されたSYSIDに対応付けられてセキュリティ管理・
監査プログラムデータベース133に登録されているPOLIC
YIDの施策種別およびセキュリティ施策(情報セキュリ
ティポリシーデータベース132より特定できる)を表し
た情報セキュリティポリシー選択画面を表示する(ステ
ップS2104)。この画面上で、操作者は、ユーザより示さ
れた、当該ユーザが構築したあるいは構築しようとして
いる情報システムに適用すべき施策種別およびセキュリ
ティ施策を指定し選択することができる。この選択結果
は、情報セキュリティポリシーデータベース132の列54
に反映され、選択された施策種別およびセキュリティ施
策が記述された行の列54に、選択可否として「YES」が
登録される。
【0081】次に、管理者によって、情報セキュリティ
ポリシーが選択されると(ステップS2105)、情報セキュ
リティポリシー/セキュリティ管理・監査プログラム関
連付け制御部113は、ステップS2101〜S2105により選択
された結果に基づき、選択された情報セキュリティポリ
シーと構成機器とに対応する管理・監査プログラムを、
セキュリティ管理・監査プログラムデータベース133か
ら抽出する。そして、抽出した管理・監査プログラムの
対応付けの列623、633に「要」を登録する(ステップS21
06)。なお、この抽出手順は、先に図10で示した手順
と同様である。
【0082】以上により、ユーザの情報システムに適用
すべき情報セキュリティポリシー各々の実施状況を監査
する監査プログラムとその状況を変更する管理プログラ
ムが、セキュリティポリシー管理・監査装置31’に設定
されたことになる。
【0083】次に、導入フェーズでの動作について説明
する。
【0084】図23に、導入フェーズでのセキュリティ
ポリシー管理・監査装置31’の動作手順を示す。この手
順は、設計フェーズを経たセキュリティポリシー管理・
監査装置31’をユーザが構築した情報システムに接続し
たときに行われる。
【0085】まず、情報セキュリティポリシー/セキュ
リティ管理・監査プログラム関連付け制御部113は、管
理・監査対象計算機32上の管理・監査プログラム群136
のうち、セキュリティ管理・監査プログラムデータベー
ス133の対応付けの列633に「要」がマークされた監査プ
ログラムを、ネットワーク33を介して起動し、管理・監
査対象計算機32上にセキュリティ監査部140を構築する
(ステップS2301)。
【0086】セキュリティ監査部140は、監査対象シス
テムの構成機器の諸情報(監査対象システムを構築する
ソフトウエアプログラムのバージョン情報や監査対象シ
ステムが稼動する装置の型式といった情報を含む)とセ
キュリティ状態(監査プログラムに対応する情報セキュ
リティポリシーが示すセキュリティ施策の実施の有無
と、当該セキュリティ施策に関連する監査対象システム
のセキュリティ状況)とを監査する。そして、その監査
結果をネットワーク33を介して情報セキュリティポリ
シー/セキュリティ管理・監査プログラム関連付け制御
部113に応答する。情報セキュリティポリシー/セキュリ
ティ管理・監査プログラム関連付け制御部113は、応答
された監査結果に従い、管理・監査対象システムの構成
機器情報/セキュリティ状態データベース135の内容を更
新する(ステップS2302)。
【0087】次に、情報セキュリティポリシー/セキュ
リティ管理・監査プログラム関連付け制御部113は、入
出力制御部114を介して、管理者より監査結果報告指示
を受け付けると(ステップS2303)、管理・監査対象シス
テムの構成機器情報/セキュリティ状態データベース135
の内容を、入出力制御部114を用いて、最新の監査結果
報告書として、表示装置16に表示したり、あるいは、図
示していない印刷装置から出力する(ステップS2304)。
【0088】図24に、監査結果報告書の一例を示す。
図示するように、管理・監査対象システムの構成機器情
報/セキュリティ状態データベース135の列72に記述され
たシステム最新諸情報により特定される構成機器2401毎
に、当該機器のSYSIDに対応付けられているPOLICYIDの
情報セキュリティポリシーが示す施策種別およびセキュ
リティ施策(情報セキュリティポリシーデータベース13
2より特定できる)2402と、当該機器のSYSIDに対応付け
られて列71に記述されているAUDITIDの監査プログラム
の監査項目に対する監査(診断)結果2403とが記述され
る。なお、監査結果2403は、管理・監査対象システムの
構成機器情報/セキュリティ状態データベース135の列73
に記述されたセキュリティ情報に基づいて作成される。
上述したように、セキュリティ情報は、監査プログラム
が監査するシステムや情報セキュリティポリシー等によ
って定まる。例えば、監査プログラムに対応付けられた
SYSIDにより特定されるシステムがルータであり、監査
プログラムに対応付けられたPOLICYIDの情報セキュリテ
ィポリシーが示す施策種別、セキュリティ施策がアクセ
ス監視、不正アクセスの検知である場合、同じSYSIDお
よびPOLCYIDに対応付けられた管理プログラムの起動に
より管理・監査対象計算機32上に構築されたセキュリテ
ィ管理部139が検知した不正アクセスの履歴がセキュリ
ティ情報となる。この場合、図25に示すように、不正
アクセスの履歴が監査結果2403として表示される。
【0089】さて、管理者は、この監査結果報告書か
ら、設計フェーズにて、ユーザの情報システムに適用す
べき旨決定した情報セキュリティポリシー各々が示すセ
キュリティ施策の実施状況を確認することができ、セキ
ュリティ状態の変更が必要なシステム構成機器を特定す
ることができる。
【0090】次に、情報セキュリティポリシー/セキュ
リティ管理・監査プログラム関連付け制御部113は、入
出力制御部114を介して、管理者よりセキュリティ状態
の変更指示を受け付けると(ステップS2305)、入出力制
御部114を用いて、表示装置16に、管理者が、セキュリ
ティ管理・監査プログラムデータベース133の対応付け
の列633に「要」がマークされた管理プログラムの中か
ら所望の管理プログラムを選択して、セキュリティ施策
の変更を指定するための画面を表示する(ステップS230
6)。この画面では、セキュリティ管理・監査プログラム
データベース133の対応付けの列633に「要」がマークさ
れた各管理プログラムに対応するPOLICYID61の情報セキ
ュリティポリシーが示す施策種別およびセキュリティ施
策(情報セキュリティポリシーデータベース132より特
定できる)を一覧表示するとよい。このようにすれば、
管理者は、変更したい施策種別およびセキュリティ施策
を選択することで、管理プログラムに対する知識がなく
ても、当該セキュリティ施策を変更するための管理プロ
グラムを選択することが可能となる。
【0091】さて、管理者により、管理プログラムが選
択されると(ステップS2307)、情報セキュリティポリシ
ー/セキュリティ管理・監査プログラム関連付け制御部1
13は、管理・監査対象計算機32上の管理・監査プログラ
ム群136のうち、選択された管理プログラムをネットワ
ーク33を介して起動し、管理・監査対象計算機32上にセ
キュリティ管理部139を構築する(ステップS2308)。
【0092】セキュリティ管理部139は、自身を管理・
監査対象計算機32上に構築した管理プログラムに対応付
けられている情報セキュリティポリシーが示すセキュリ
ティ施策に従った処理を実行する。たとえば、図12に
示したような、セキュリティ状態の設定変更などの管理
画面を、ネットワーク33を介して、セキュリティポリシ
ー管理・監査装置31’に表示装置16に表示させ、管理者
にセキュリティ状態の設定変更内容を入力を促す。そし
て、管理者より受け付けたセキュリティ状態の設定変更
内容を、ネットワーク33を介して、セキュリティポリシ
ー管理・監査装置31’から入手し、その内容に従ってセ
キュリティ状態を変更する。
【0093】以上により、ユーザが構築した情報システ
ムに、設計フェーズで決定した情報セキュリティポリシ
ー各々のセキュリティ施策が実施されていることを確実
にすることができる。
【0094】次に、運用フェーズでの動作について説明
する。
【0095】図26に、運用フェーズでのセキュリティ
ポリシー管理・監査装置31’の動作手順を示す。この手
順は、運用フェーズでの処理により、設計フェーズで決
定した情報セキュリティポリシー各々のセキュリティ施
策が実施されていることが確認された情報システムに対
して行われる。
【0096】まず、情報セキュリティポリシー/セキュ
リティ管理・監査プログラム関連付け制御部113は、図
23に示したステップS2301〜S2302を定期的に実行し
(ステップS2601〜ステップS2602)、管理・監査対象シ
ステムの構成機器情報/セキュリティ状態データベース1
35の内容を最新状態に更新する。また、入出力制御部11
4を介して、管理者より監査結果報告指示を受け付ける
と(ステップS2603)、図23に示したS2304〜S2308を実
行する(ステップS2604)。
【0097】このようにすることで、管理者は、最新状
態に更新された管理・監査対象システムの構成機器情報
/セキュリティ状態データベース135の内容に基づいて作
成された監査結果報告書から、導入フェーズ後に、ソフ
トウエアのバージョンアップやパッチの適用、あるい
は、装置型式の変更が行われたシステムや、セキュリテ
ィ状態に変更があったシステムを特定することができ
る。そして、必要に応じて当該システムのセキュリティ
状態を変更することが可能となる。
【0098】また、管理者は、CERT等のセキュリテ
ィ情報機関が公表したセキュリティホール情報と前記監
査結果報告書とを照合して、セキュリティホールが見つ
かったシステムを構築するソフトウエア等、セキュリテ
ィ状態を変更する必要が生じたシステムを特定すること
ができる。そして、必要に応じて当該システムのセキュ
リティ状態を変更することが可能となる。
【0099】さらに、管理者は、前記監査結果報告書か
ら、導入フェーズ後に何ら変更されていないシステムを
特定し、当該システムを構築するソフトウエアにバージ
ョンアップ版やパッチが公開されている場合はそれらの
適用を促したり、当該システムが稼動する装置に新しい
装置型式のものが製品化されている場合は、当該装置を
この新しい装置型式のものに変更するように促すことも
できる。
【0100】以上、本発明の第2実施形態について説明
した。
【0101】なお、本実施形態では、設計、導入および
運用フェーズのそれぞれにおいて用いるセキュリティポ
リシー管理・監査装置31’は、同じものであることを前
提に説明した。しかしながら、設計フェーズにおいてセ
キュリティ仕様書を作成し出力する装置(図21のステ
ップS2101〜S2106をまでの処理を行う装置)は、セキュ
リティポリシー管理・監査装置31’とは別に設けた装置
であってもよい。
【0102】すなわち、図18において、少なくとも、
管理・監査対象領域制御部111、情報セキュリティポリ
シー選択制御部112および入手力制御部114を構築し、か
つ、システムの構成機器情報データベース131、情報セ
キュリティポリシー132およびセキュリティ管理・監査
プログラムデータベース135を、外部記憶装置13等に形
成することができる情報セキュリティポリシー管理・監
査支援プログラム134が搭載された電子計算機を用い
て、ユーザより指示された情報システムの仕様に従い、
セキュリティ仕様書を作成して、これをユーザに提示す
る。そして、ユーザが決定した、情報システムに適用す
る情報セキュリティポリシーをセキュリティポリシー管
理・監査装置31’に入力することで、当該情報セキュリ
ティポリシーの実施状況を監査する監査プログラムとそ
の状況を変更する管理プログラムとを、セキュリティポ
リシー管理・監査装置31’に設定するようにしてもよ
い。
【0103】さて、本実施形態によれば、上記の第1の
実施形態の効果に加え、管理者に、情報セキュリティポ
リシーならびにセキュリティシステムに関する高度な専
門知識がなくても、当該管理者が情報セキュリティポリ
シーの作成、情報セキュリティポリシーに従った情報シ
ステムのセキュリティシステムの導入および運用管理と
いった一連の手順を実施できるように支援にすることが
可能となる。
【0104】なお、本発明は上記の各実施形態に限定さ
れるものではなく、その要旨の範囲内で数々の変形が可
能である。
【0105】例えば、上記の各実施形態では、管理・監
査プログラムを管理・監査対象計算機32上に配置した
が、これらをネットワーク33を介して管理・監査対象
計算機32上のシステムを管理・監査する、いわゆるエ
ージェントプログラムとして構成し、これらを情報セキ
ュリティポリシー管理・監査支援装置31、31’上に配置
するようにしてもよい。
【0106】また、上記の各実施形態において、管理プ
ログラムや監査プログラム自身が、ウイルスチェックや
パスワードの変更やログの収拾など、情報セキュリティ
ポリシーに関わるその他の処理を実行するようにしても
よいし、あるいは、これらの処理を行うプログラムの実
行を、管理プログラムや監査プログラムが管理・監査す
るようにしてもよい。
【0107】
【発明の効果】以上のように、本発明によれば、情報セ
キュリティポリシーに従った、情報システムのセキュリ
ティの状態の制御や管理を簡単にすることができる。ま
た、情報セキュリティポリシーならびにセキュリティシ
ステムに関する高度な専門知識がなくても、情報セキュ
リティポリシーの作成、情報セキュリティポリシーに従
ったセキュリティシステムの情報システムへの導入およ
び運用管理といった一連の手順を実施できるように支援
することができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態が適用された情報システ
ムの概略構成図である。
【図2】図1に示す情報セキュリティポリシー管理・監
査支援装置31の概略構成図である。
【図3】図1に示す管理・監査対象計算機32の概略構成
図である。
【図4】図2に示すシステム構成機器情報データベース
131の内容を説明するための図である。
【図5】図2に示す情報セキュリティポリシーデータベ
ース132の内容を説明するための図である。
【図6】図2に示すセキュリティ管理・監査プログラム
データベース133の内容を説明するための図である。
【図7】図1に示す情報セキュリティポリシー管理・監
査支援装置31の動作手順を示すフロー図である。
【図8】図7のステップS701で表示される、情報セキュ
リティポリシー管理・監査対象領域選択画面を示す図で
ある。
【図9】図7のステップS703で表示される、情報セキュ
リティポリシー選択画面を示す図である。
【図10】図7のステップS705における処理手順を示す
フロー図である。
【図11】図7のステップS706で表示される、情報セキ
ュリティポリシーの実施状況/セキュリティ施策の変更
画面を示す図である。
【図12】管理プログラムが起動された場合の表示画面
例を示す図である。
【図13】監査プログラムの起動された場合の処理手順
例を示すフロー図である。
【図14】情報セキュリティポリシーの監査結果表示画
面を示す図である。
【図15】情報セキュリティポリシーの監査結果表示画
面を示す図である。
【図16】情報セキュリティポリシーの監査結果表示画
面を示す図である。
【図17】情報セキュリティポリシーの監査結果表示画
面を示す図である。
【図18】本発明の第2実施形態で用いる情報セキュリ
ティポリシー管理・監査支援装置31’の概略構成図であ
る。
【図19】図18に示す管理・監査対象システムの構成
機器情報/セキュリティ状態データベース135の内容を説
明するための図である。
【図20】図18に示すセキュリティポリシー管理・監
査支援装置31’を用いることで実現可能な、情報システ
ムのセキュリティ管理の支援手順を、概念的に表した図
である。
【図21】図20に示す設計フェーズでのセキュリティ
ポリシー管理・監査装置31’の動作手順を示すフロー図
である。
【図22】セキュリティ仕様書の一例を示す図である。
【図23】図20に示す導入フェーズでのセキュリティ
ポリシー管理・監査装置31’の動作手順を示すフロー図
である。
【図24】監査結果報告書の一例を示す図である。
【図25】不正アクセスの履歴が監査結果2403として表
示される場合の監査結果報告書の一例を示す図である。
【図26】図20に示す運用フェーズでのセキュリティ
ポリシー管理・監査装置31’の動作手順を示すフロー図
である。
【符号の説明】
11…CPU 31、31’…情報セキュリティポリシー管理・監査支援装
置 32…管理・監査対象計算機 33…ネットワーク 111…管理・監査対象領域制御部 112…情報セキュリティポリシー選択制御部 113…情報セキュリティポリシー/セキュリティ管理・監
査プログラム関連付け制御部 114…入出力制御部 131…システム構成機器情報データベース 132…情報セキュリティポリシーデータベース 133…セキュリティ管理・監査プログラムデータベース 134…情報セキュリティポリシー管理・監査支援プログ
ラム 135…管理・監査対象システムの構成機器情報/セキュリ
ティ状態データベース 136…セキュリティ管理・監査支援プログラム群 137…アプリケーションプログラム 138…アプリケーション部 139…セキュリティ管理部 140…セキュリティ監査部 150…OSプログラム 151…OS
フロントページの続き (72)発明者 永井 康彦 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 礒川 弘実 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 松永 和男 神奈川県横浜市戸塚区戸塚町5030番地 株 式会社日立製作所ソフトウェア事業部内 (72)発明者 加藤 恵理 神奈川県横浜市戸塚区戸塚町5030番地 株 式会社日立製作所ソフトウェア事業部内 Fターム(参考) 5B049 AA01 BB00 EE56 GG07

Claims (13)

    【特許請求の範囲】
  1. 【請求項1】情報システムを構成する複数の被管理対象
    システムのセキュリティ状態を、セキュリティ施策のポ
    リシーを表す情報セキュリティポリシーに従って制御す
    るセキュリティ管理システムであって、 少なくとも1つの被管理対象システムおよび情報セキュ
    リティポリシーに対応し、当該対応する被管理対象シス
    テムのセキュリティ状態を、当該対応する情報セキュリ
    ティポリシーに整合するように制御する、複数の管理手
    段と、 情報セキュリティポリシー、被管理対象システムおよび
    管理手段の対応を登録したデータベースと、 ユーザより、情報セキュリティポリシーおよび被管理対
    象システムの範囲の選択を受け付けるセキュリティ内容
    受付手段と、 前記データベースから、前記セキュリティ内容受付手段
    が選択を受け付けた範囲に含まれる情報セキュリティポ
    リシーおよび被管理対象システムに対応して登録されて
    いる管理手段を抽出する抽出手段と、 前記抽出手段が抽出した管理手段に、当該管理手段に対
    応する被管理対象システムのセキュリティ状態を、当該
    管理手段に対応する情報セキュリティポリシーに整合す
    るように変更させる管理制御手段と、を有することを特
    徴とするセキュリティ管理システム。
  2. 【請求項2】情報システムを構成する複数の被管理対象
    システムの、セキュリティ施策のポリシーを表す情報セ
    キュリティポリシーに関わるセキュリティ状態を監査す
    るセキュリティ管理システムであって、 少なくとも1つの被管理対象システムおよび情報セキュ
    リティポリシーに対応し、当該対応する被管理対象シス
    テムの当該対応する情報セキュリティポリシーに関わる
    セキュリティ状態を監査する、複数の監査手段と、 情報セキュリティポリシー、被管理対象システムおよび
    監査手段の対応を登録したデータベースと、 ユーザより、情報セキュリティポリシーおよび被管理対
    象システムの範囲の選択を受け付けるセキュリティ内容
    受付手段と、 前記データベースから、前記セキュリティ内容受付手段
    が選択を受け付けた範囲に含まれる情報セキュリティポ
    リシーおよび被管理対象システムに対応して登録されて
    いる監査手段を抽出する抽出手段と、 前記抽出手段が抽出した監査手段に、当該監査手段に対
    応する被管理対象システムの当該対応する情報セキュリ
    ティポリシーに関わるセキュリティ状態を監査させる監
    査制御手段と、を有することを特徴とするセキュリティ
    管理システム。
  3. 【請求項3】情報システムを構成する複数の被管理対象
    システムのセキュリティ状態を、セキュリティ施策のポ
    リシーを表す情報セキュリティポリシーに従って制御す
    るセキュリティ管理システムであって、 少なくとも1つの被管理対象システムおよび情報セキュ
    リティポリシーに対応し、当該対応する被管理対象シス
    テムのセキュリティ状態を、当該対応する情報セキュリ
    ティポリシーに整合するように制御する、複数の管理手
    段と、 少なくとも1つの被管理対象システムおよび情報セキュ
    リティポリシーに対応し、当該対応する被管理対象シス
    テムの当該対応する情報セキュリティポリシーに関わる
    セキュリティ状態を監査する、複数の監査手段と、 情報セキュリティポリシー、被管理対象システム、管理
    手段および監査手段の対応を登録したデータベースと、 ユーザより、情報セキュリティポリシーおよび被管理対
    象システムの範囲の選択を受け付けるセキュリティ内容
    受付手段と、 前記データベースから、前記セキュリティ内容受付手段
    が選択を受け付けた範囲に含まれる情報セキュリティポ
    リシーおよび被管理対象システムに対応して登録されて
    いる管理手段と監査手段を抽出する抽出手段と、 前記抽出手段が抽出した管理手段に、当該管理手段に対
    応する被管理対象システムのセキュリティ状態を、当該
    管理手段に対応する情報セキュリティポリシーに整合す
    るように変更させる管理制御手段と、 前記抽出手段が抽出した監査手段に、当該監査手段に対
    応する被管理対象システムの当該対応する情報セキュリ
    ティポリシーに関わるセキュリティの状態を監査させる
    監査制御手段と、を有することを特徴とするセキュリテ
    ィ管理システム。
  4. 【請求項4】電子計算機を用いて、情報システムを構成
    する複数の被管理対象システムのセキュリティ状態を、
    セキュリティ施策のポリシーを表す情報セキュリティポ
    リシーに従って制御するセキュリティ管理方法であっ
    て、 ユーザより、情報セキュリティポリシーおよび被管理対
    象システムの範囲の選択を受け付けるステップと、 予め記憶された、少なくとも1つの被管理対象システム
    および情報セキュリティポリシーに対応し、当該対応す
    る被管理対象システムのセキュリティ状態を当該対応す
    る情報セキュリティポリシーに整合するように制御する
    処理が記述された、複数の管理プログラムから、選択を
    受け付けた範囲に含まれる情報セキュリティポリシーお
    よび被管理対象システムに対応する管理プログラムを抽
    出するステップと、 抽出した管理プログラムを実行させ、当該管理プログラ
    ムに対応する被管理対象システムのセキュリティ状態
    を、当該管理プログラムに対応する情報セキュリティポ
    リシーに整合するように変更させるステップと、を有す
    ることを特徴とするセキュリティ管理方法。
  5. 【請求項5】電子計算機を用いて、情報システムを構成
    する複数の被管理対象システムの、セキュリティ施策の
    ポリシーを表す情報セキュリティポリシーに関わるセキ
    ュリティ状態を監査するセキュリティ管理方法であっ
    て、 ユーザより、情報セキュリティポリシーと被管理対象シ
    ステムの範囲の選択を受け付けるステップと、 予め記憶された、少なくとも1つの被管理対象システム
    および情報セキュリティポリシーに対応し、当該対応す
    る被管理対象システムの当該対応する情報セキュリティ
    ポリシーに関わるセキュリティ状態を監査する処理が記
    述された、複数の監査プログラムから、選択を受け付け
    た範囲に含まれる情報セキュリティポリシーおよび被管
    理対象システムに対応して登録されている監査プログラ
    ムを抽出するステップと、 抽出した監査プログラムを実行させ、当該監査プログラ
    ムに対応する被管理対象システムの当該監査プログラム
    に対応する情報セキュリティポリシーに関わるセキュリ
    ティ状態を監査させるステップと、を有することを特徴
    とするセキュリティ管理方法。
  6. 【請求項6】情報システムを構成する複数の被管理対象
    システムのセキュリティ状態を、セキュリティ施策のポ
    リシーを表す情報セキュリティポリシーに従って制御す
    るためのプログラムが記憶された記憶媒体であって、 前記プログラムは、電子計算機に読み取られて実行され
    ることで、 ユーザより、情報セキュリティポリシーおよび被管理対
    象システムの範囲の選択を受け付けるセキュリティ内容
    受付手段と、 少なくとも1つの被管理対象システムおよび情報セキュ
    リティポリシーに対応し、当該対応する被管理対象シス
    テムのセキュリティ状態を当該対応する情報セキュリテ
    ィポリシーに整合するように制御する処理が記述された
    複数の管理プログラムを格納するデータベースから、前
    記セキュリティ内容受付手段が選択を受け付けた範囲に
    含まれる情報セキュリティポリシーおよび被管理対象シ
    ステムに対応する管理プログラムを抽出する抽出手段
    と、 前記抽出手段が抽出した管理プログラムを実行させ、当
    該管理プログラムに対応する被管理対象システムのセキ
    ュリティ状態を、当該管理プログラムに対応する情報セ
    キュリティポリシーに整合するように変更させる管理制
    御手段とを、前記電子計算機上に構築することを特徴と
    するプログラムが記憶された記憶媒体。
  7. 【請求項7】情報システムを構成する複数の被管理対象
    システムの、セキュリティ施策のポリシーを表す情報セ
    キュリティポリシーに関わるセキュリティ状態を監査す
    るためのプログラムが記憶された記憶媒体であって、 前記プログラムは、電子計算機に読み取られて実行され
    ることで、 ユーザより、情報セキュリティポリシーと被管理対象シ
    ステムの範囲の選択を受け付けるセキュリティ内容受付
    手段と、 少なくとも1つの被管理対象システムおよび情報セキュ
    リティポリシーに対応し、当該対応する被管理対象シス
    テムの当該対応する情報セキュリティポリシーに関わる
    セキュリティ状態を監査する処理が記述された複数の監
    査プログラムを格納するデータベースから、前記セキュ
    リティ内容受付手段が選択を受け付けた範囲に含まれる
    情報セキュリティポリシーおよび被管理対象システムに
    対応して登録されている監査プログラムを抽出する抽出
    手段と、 前記抽出手段が抽出した監査プログラムを実行させ、当
    該監査プログラムに対応する被管理対象システムの当該
    監査プログラムに対応する情報セキュリティポリシーに
    関わるセキュリティ状態を監査させる監査制御手段と
    を、前記電子計算機上に構築することを特徴とするプロ
    グラムが記憶された記憶媒体。
  8. 【請求項8】電子計算機を用いて、情報システムを構成
    する複数の被管理対象システムのセキュリティ管理を支
    援するセキュリティ管理方法であって、 セキュリティ施策のポリシーを表す情報セキュリティポ
    リシーと、少なくとも1つの被管理対象システムとの対
    応が記述されたデータベースから、ユーザより指定され
    た情報システムを構成する被管理対象システム各々に対
    応付けられている情報セキュリティポリシーを抽出し
    て、当該情報システムに適用すべきセキュリティ仕様を
    策定するセキュリティ仕様策定ステップと、 前記セキュリティ仕様策定ステップで策定されたセキュ
    リティ仕様により特定される情報セキュリティポリシー
    および被管理対象システムの組の各々に対応付けられて
    記憶された、当該被管理対象システムの型式やソフトウ
    エアバージョンといった諸情報、および、当該被管理対
    象システムの当該情報セキュリティポリシーに関わるセ
    キュリティ状態を監査するための処理が記述された複数
    の監査プログラムを実行し、前記ユーザより指定された
    情報システムを構成する被管理対象システム各々の型式
    やソフトウエアバージョンといった諸情報およびセキュ
    リティ状態を監査して、前記情報システムのセキュリテ
    ィを診断するセキュリティ診断ステップと、 前記セキュリティ仕様策定ステップで策定されたセキュ
    リティ仕様により特定される情報セキュリティポリシー
    および被管理対象システムの組の各々に対応付けられて
    記憶された、当該被管理対象システムの当該情報セキュ
    リティポリシーに関わるセキュリティ状態を制御する処
    理が記述された複数の管理プログラムの中から、ユーザ
    により指定された管理プログラムを実行し、当該管理プ
    ログラムに対応する被管理対象システムのセキュリティ
    状態を、当該管理プログラムに対応する情報セキュリテ
    ィポリシーに整合するように変更させるセキュリティ運
    用管理ステップと、を有することを特徴とするセキュリ
    ティ管理方法。
  9. 【請求項9】請求項8記載のセキュリティ管理方法であ
    って、 前記セキュリティ診断ステップは、 情報セキュリティポリシーと、被管理対象システムと、
    前記被管理対象システムの型式やソフトウエアバージョ
    ンといった諸情報および前記被管理対象システムの前記
    情報セキュリティポリシーに関わるセキュリティ状態を
    監査する処理が記述された監査プログラムとの対応が記
    述されたデータベースから、前記セキュリティ仕様策定
    ステップで策定されたセキュリティ仕様により特定され
    る情報セキュリティポリシーおよび被管理対象システム
    の組の各々に対応付けられている監査プログラムを抽出
    して実行することにより、前記ユーザより指定された情
    報システムのセキュリティを診断し、 前記セキュリティ運用管理ステップは、 情報セキュリティポリシーと、被管理対象システムと、
    前記被管理対象システムのセキュリティの前記情報セキ
    ュリティポリシーに関わるセキュリティ状態を制御する
    処理が記述された管理プログラムとの対応が記述された
    データベースから、前記セキュリティ仕様策定ステップ
    で策定されたセキュリティ仕様により特定される情報セ
    キュリティポリシーおよび被管理対象システムの組の各
    々に対応付けられている管理プログラムを抽出し、さら
    にその中からユーザにより指定された管理プログラムを
    抽出して実行することにより、当該管理プログラムに対
    応する被管理対象システムのセキュリティ状態を、当該
    管理プログラムに対応する情報セキュリティポリシーに
    整合するように変更させることを特徴とするセキュリテ
    ィ管理方法。
  10. 【請求項10】請求項8または9記載のセキュリティ管
    理方法であって、 前記セキュリティ診断ステップは、定期的に実行される
    ことを特徴とするセキュリティ管理方法。
  11. 【請求項11】請求項8、9または10記載のセキュリ
    ティ管理方法であって、 前記管理プログラムは、 ユーザより受け付けた設定内容に従って、当該管理プロ
    グラムに対応する被管理対象システムのセキュリティ状
    態を、当該管理プログラムに対応する情報セキュリティ
    ポリシーに整合するように変更することを特徴とするセ
    キュリティ管理方法。
  12. 【請求項12】請求項8、9、10または11記載のセ
    キュリティ管理方法であって、 情報セキュリティポリシーと少なくとも1つの被管理対
    象システムとの対応が記述されたデータベース、およ
    び、情報セキュリティポリシーと被管理対象システムと
    の組に各々対応付けられて記憶された監査/管理プログ
    ラムには、CERT(Computer Emergency Response Te
    am)等のセキュリティ情報機関が公表したセキュリティ
    ホール情報、および、ユーザより指定された情報システ
    ムに対して実施した前記セキュリティ診断ステップでの
    診断結果が反映されることを特徴とするセキュリティ管
    理方法。
  13. 【請求項13】情報システムを構成する複数の被管理対
    象システムのセキュリティ管理を支援するセキュリティ
    管理システムであって、 セキュリティ施策のポリシーを表す情報セキュリティポ
    リシーと、少なくとも1つの被管理対象システムとの対
    応が記述されたデータベースと、 ユーザより指定された情報システムを構成する被管理対
    象システム各々に対応付けられている情報セキュリティ
    ポリシーを前記データベースから抽出して、当該情報シ
    ステムに適用すべきセキュリティ仕様を策定するセキュ
    リティ仕様策定手段と、 前記セキュリティ仕様策定手段で策定されたセキュリテ
    ィ仕様により特定される情報セキュリティポリシーおよ
    び被管理対象システムの組の各々に対応付けられて設け
    られた、当該被管理対象システムの型式やソフトウエア
    バージョンといった諸情報、および、当該被管理対象シ
    ステムの当該情報セキュリティポリシーに関わるセキュ
    リティ状態を監査する複数の監査手段と、 前記複数の監査手段での監査結果に基づいて、前記ユー
    ザより指定された情報システムのセキュリティを診断す
    るセキュリティ診断手段と、 前記セキュリティ仕様策定ステップで策定されたセキュ
    リティ仕様により特定される情報セキュリティポリシー
    および被管理対象システムの組の各々に対応付けられて
    設けられた、当該被管理対象システムの当該情報セキュ
    リティポリシーに関わるセキュリティ状態を制御する複
    数の管理手段と、 ユーザより指定された管理手段を実行して、当該管理プ
    ログラムに対応する被管理対象システムのセキュリティ
    状態を、当該管理プログラムに対応する情報セキュリテ
    ィポリシーに整合するように変更させるセキュリティ運
    用管理手段と、を有することを特徴とするセキュリティ
    管理システム。
JP2000270186A 2000-01-20 2000-09-06 セキュリティ管理システムおよび方法 Pending JP2001273388A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2000270186A JP2001273388A (ja) 2000-01-20 2000-09-06 セキュリティ管理システムおよび方法
US09/859,429 US20010023486A1 (en) 2000-01-20 2001-05-18 Security management system and security managing method
US09/761,742 US20010025346A1 (en) 2000-01-20 2001-05-18 Security management system and security managing method

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2000-12123 2000-01-20
JP2000012123 2000-01-20
JP2000270186A JP2001273388A (ja) 2000-01-20 2000-09-06 セキュリティ管理システムおよび方法

Publications (2)

Publication Number Publication Date
JP2001273388A true JP2001273388A (ja) 2001-10-05
JP2001273388A5 JP2001273388A5 (ja) 2005-01-27

Family

ID=26583870

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000270186A Pending JP2001273388A (ja) 2000-01-20 2000-09-06 セキュリティ管理システムおよび方法

Country Status (2)

Country Link
US (2) US20010025346A1 (ja)
JP (1) JP2001273388A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005250803A (ja) * 2004-03-03 2005-09-15 It Service:Kk 業務支援装置及び業務支援プログラム
JP2006185416A (ja) * 2004-09-30 2006-07-13 Rockwell Automation Technologies Inc 産業用オートメーションのためのスケーラブルで柔軟な情報セキュリティ
JP2006244373A (ja) * 2005-03-07 2006-09-14 It Service:Kk 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム
JP2009187587A (ja) * 2003-03-31 2009-08-20 Intel Corp セキュリティポリシーを管理する方法及びシステム
US8533850B2 (en) 2010-06-29 2013-09-10 Hitachi, Ltd. Fraudulent manipulation detection method and computer for detecting fraudulent manipulation
JP2014032595A (ja) * 2012-08-06 2014-02-20 Canon Inc 情報処理システム及びその制御方法、並びにプログラム
DE112018008112T5 (de) 2018-12-03 2021-07-29 Mitsubishi Electric Corporation Informationsverarbeitungsvorrichtung, informationsverarbeitungsverfahren und informationsverarbeitungsprogramm

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7047562B2 (en) * 2001-06-21 2006-05-16 Lockheed Martin Corporation Conditioning of the execution of an executable program upon satisfaction of criteria
US20030033463A1 (en) * 2001-08-10 2003-02-13 Garnett Paul J. Computer system storage
US7574501B2 (en) * 2001-09-25 2009-08-11 Siebel Systems, Inc. System and method for configuring and viewing audit trails in an information network
US7225461B2 (en) * 2002-09-04 2007-05-29 Hitachi, Ltd. Method for updating security information, client, server and management computer therefor
US9118711B2 (en) * 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US7237267B2 (en) * 2003-10-16 2007-06-26 Cisco Technology, Inc. Policy-based network security management
US20050102534A1 (en) * 2003-11-12 2005-05-12 Wong Joseph D. System and method for auditing the security of an enterprise
US20050131781A1 (en) * 2003-12-10 2005-06-16 Ford Motor Company System and method for auditing
US7475424B2 (en) * 2004-09-02 2009-01-06 International Business Machines Corporation System and method for on-demand dynamic control of security policies/rules by a client computing device
JP2006085816A (ja) * 2004-09-16 2006-03-30 Hitachi Ltd 再生装置及び記録再生装置
US7421739B2 (en) * 2004-10-04 2008-09-02 American Express Travel Related Services Company, Inc. System and method for monitoring and ensuring data integrity in an enterprise security system
US7661124B2 (en) * 2004-10-05 2010-02-09 Microsoft Corporation Rule-driven specification of web service policy
US7310669B2 (en) * 2005-01-19 2007-12-18 Lockdown Networks, Inc. Network appliance for vulnerability assessment auditing over multiple networks
US7810138B2 (en) 2005-01-26 2010-10-05 Mcafee, Inc. Enabling dynamic authentication with different protocols on the same port for a switch
US8520512B2 (en) 2005-01-26 2013-08-27 Mcafee, Inc. Network appliance for customizable quarantining of a node on a network
US20060164199A1 (en) * 2005-01-26 2006-07-27 Lockdown Networks, Inc. Network appliance for securely quarantining a node on a network
US8095962B2 (en) * 2005-02-17 2012-01-10 At&T Intellectual Property I, L.P. Method and system of auditing databases for security compliance
US7810142B2 (en) * 2005-03-21 2010-10-05 International Business Machines Corporation Auditing compliance with a hippocratic database
US7290108B2 (en) * 2005-03-25 2007-10-30 Hitachi, Ltd. Information processing system having volume guard function
US7739721B2 (en) * 2005-07-11 2010-06-15 Microsoft Corporation Per-user and system granular audit policy implementation
US20080086463A1 (en) * 2006-10-10 2008-04-10 Filenet Corporation Leveraging related content objects in a records management system
JP5112751B2 (ja) * 2007-06-05 2013-01-09 株式会社日立ソリューションズ セキュリティ対策状況の自己点検システム
ATE551817T1 (de) 2008-05-07 2012-04-15 Ericsson Telefon Ab L M System zum abliefern von autonom wiederzugebendem inhalt
US9270748B2 (en) * 2008-12-18 2016-02-23 Telefonaktiebolaget L M Ericsson (Publ) Method for content delivery involving a policy database
US20100205014A1 (en) * 2009-02-06 2010-08-12 Cary Sholer Method and system for providing response services
JP5320561B2 (ja) * 2009-03-19 2013-10-23 株式会社日立製作所 真正性を保証する端末システム、端末及び端末管理サーバ
US8601573B2 (en) * 2009-09-17 2013-12-03 International Business Machines Corporation Facial recognition for document and application data access control
TWI494872B (zh) * 2012-11-06 2015-08-01 Quanta Comp Inc 自動軟體稽核系統及自動軟體稽核方法
US9607163B2 (en) * 2013-12-17 2017-03-28 Canon Kabushiki Kaisha Information processing apparatus, control method, and storage medium storing program
JP2015204061A (ja) * 2014-04-16 2015-11-16 株式会社日立製作所 システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム
US9866592B2 (en) * 2015-09-28 2018-01-09 BlueTalon, Inc. Policy enforcement system
US9871825B2 (en) 2015-12-10 2018-01-16 BlueTalon, Inc. Policy enforcement for compute nodes
US11157641B2 (en) 2016-07-01 2021-10-26 Microsoft Technology Licensing, Llc Short-circuit data access
US10250723B2 (en) 2017-04-13 2019-04-02 BlueTalon, Inc. Protocol-level identity mapping
US10491635B2 (en) 2017-06-30 2019-11-26 BlueTalon, Inc. Access policies based on HDFS extended attributes
CN108537039A (zh) * 2018-04-08 2018-09-14 中国联合网络通信集团有限公司 移动终端的管控装置、方法、设备及计算机可读存储介质
US11520903B2 (en) * 2020-04-10 2022-12-06 Jpmorgan Chase Bank, N.A. Method and apparatus for implementing a release automation dashboard module
CN115473824A (zh) * 2022-09-06 2022-12-13 北京天融信网络安全技术有限公司 运维管控的处理方法、运维终端及运维审计系统

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07177142A (ja) * 1993-10-27 1995-07-14 Hitachi Ltd メッセージの保証システム
US5859966A (en) * 1995-10-10 1999-01-12 Data General Corporation Security system for computer systems
US6216231B1 (en) * 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
US6532543B1 (en) * 1996-08-13 2003-03-11 Angel Secure Networks, Inc. System and method for installing an auditable secure network
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US6104700A (en) * 1997-08-29 2000-08-15 Extreme Networks Policy based quality of service
US6317868B1 (en) * 1997-10-24 2001-11-13 University Of Washington Process for transparently enforcing protection domains and access control as well as auditing operations in software components
US6021439A (en) * 1997-11-14 2000-02-01 International Business Machines Corporation Internet quality-of-service method and system
CA2228687A1 (en) * 1998-02-04 1999-08-04 Brett Howard Secured virtual private networks
US6484261B1 (en) * 1998-02-17 2002-11-19 Cisco Technology, Inc. Graphical network security policy management
US6374358B1 (en) * 1998-08-05 2002-04-16 Sun Microsystems, Inc. Adaptive countermeasure selection method and apparatus
US6463470B1 (en) * 1998-10-26 2002-10-08 Cisco Technology, Inc. Method and apparatus of storing policies for policy-based management of quality of service treatments of network data traffic flows
US6226372B1 (en) * 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
US6466984B1 (en) * 1999-07-02 2002-10-15 Cisco Technology, Inc. Method and apparatus for policy-based management of quality of service treatments of network data traffic flows by integrating policies with application programs
US7020697B1 (en) * 1999-10-01 2006-03-28 Accenture Llp Architectures for netcentric computing systems
US6990591B1 (en) * 1999-11-18 2006-01-24 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
US6950865B1 (en) * 2001-03-26 2005-09-27 Cisco Technology, Inc. Network audit tool

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
永井 康彦 YASUHIKO NAGAI: "情報システムセキュリティ:Secureplazaとセキュアシステムソリューション", 日立評論 第81巻 第6号 THE HITACHI HYORON, vol. 第81巻, CSNH200000044010, 1 June 1999 (1999-06-01), pages 49 - 54, ISSN: 0000902135 *
藤田 健志: "『ISO/TR13569』の紹介", 金融情報システム NO.218 THE CENTER FOR FINANCIAL INDUSTRY INFORMATION SYSTEMS, CSNI200000002005, 1 August 1999 (1999-08-01), pages 82 - 87, ISSN: 0000902136 *

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10110632B2 (en) 2003-03-31 2018-10-23 Intel Corporation Methods and systems for managing security policies
JP2009187587A (ja) * 2003-03-31 2009-08-20 Intel Corp セキュリティポリシーを管理する方法及びシステム
JP4516331B2 (ja) * 2004-03-03 2010-08-04 東芝Itサービス株式会社 業務支援装置及び業務支援プログラム
JP2005250803A (ja) * 2004-03-03 2005-09-15 It Service:Kk 業務支援装置及び業務支援プログラム
JP2006185416A (ja) * 2004-09-30 2006-07-13 Rockwell Automation Technologies Inc 産業用オートメーションのためのスケーラブルで柔軟な情報セキュリティ
US8607307B2 (en) 2004-09-30 2013-12-10 Rockwell Automation Technologies, Inc. Scalable and flexible information security for industrial automation
JP2006244373A (ja) * 2005-03-07 2006-09-14 It Service:Kk 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム
JP4728017B2 (ja) * 2005-03-07 2011-07-20 東芝Itサービス株式会社 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム
US8533850B2 (en) 2010-06-29 2013-09-10 Hitachi, Ltd. Fraudulent manipulation detection method and computer for detecting fraudulent manipulation
JP2014032595A (ja) * 2012-08-06 2014-02-20 Canon Inc 情報処理システム及びその制御方法、並びにプログラム
DE112018008112T5 (de) 2018-12-03 2021-07-29 Mitsubishi Electric Corporation Informationsverarbeitungsvorrichtung, informationsverarbeitungsverfahren und informationsverarbeitungsprogramm
DE112018008112B4 (de) 2018-12-03 2022-10-20 Mitsubishi Electric Corporation Informationsverarbeitungsvorrichtung mit einer kandidatenerfassungseinheit zur erfassung von sicherheitesbewertungsfragen und informationsverarbeitungsverfahren sowie informationsverarbeitungsprogramm hierfür
US11977642B2 (en) 2018-12-03 2024-05-07 Mitsubishi Electric Corporation Information processing device, information processing method and computer readable medium

Also Published As

Publication number Publication date
US20010025346A1 (en) 2001-09-27
US20010023486A1 (en) 2001-09-20

Similar Documents

Publication Publication Date Title
JP2001273388A (ja) セキュリティ管理システムおよび方法
JP3744361B2 (ja) セキュリティ管理システム
US11379582B2 (en) Methods and apparatus for malware threat research
US8245222B2 (en) Image installer
US8938523B2 (en) System and method for deploying and maintaining software applications
US8584119B2 (en) Multi-scenerio software deployment
US8413237B2 (en) Methods of simulating vulnerability
US6415246B1 (en) Method for limit checking
US20110231361A1 (en) Consolidated security application dashboard
US20070088630A1 (en) Assessment and/or deployment of computer network component(s)
US20060149408A1 (en) Agent-less discovery of software components
US20070022480A1 (en) System for tracking and analyzing the integrity of an application
US7774855B2 (en) Integrity monitoring system and data visualization tool for viewing data generated thereby
EP3065077B1 (en) Gap analysis of security requirements against deployed security capabilities
US20150213272A1 (en) Conjoint vulnerability identifiers
US20200073781A1 (en) Systems and methods of injecting fault tree analysis data into distributed tracing visualizations
US20200136925A1 (en) Interactive software renormalization
US20230396497A1 (en) Secure management of devices
CN107766068B (zh) 应用系统补丁安装方法、装置、计算机设备和存储介质
CN112148545A (zh) 嵌入式系统的安全基线检测方法以及安全基线检测系统
JP6885255B2 (ja) フロー生成プログラム、フロー生成装置及びフロー生成方法
JP5064337B2 (ja) ソフトウェア開発管理システム
CN111898125A (zh) 基于注册表的漏洞扫描方法与装置
US6975955B1 (en) Method and system for managing manufacturing test stations
CN117785650A (zh) 一种针对内嵌浏览器软件的自动化模糊测试系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040224

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040224

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20040224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071002

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080729