JP2002279057A - セキュリティマネジメント装置 - Google Patents
セキュリティマネジメント装置Info
- Publication number
- JP2002279057A JP2002279057A JP2001083653A JP2001083653A JP2002279057A JP 2002279057 A JP2002279057 A JP 2002279057A JP 2001083653 A JP2001083653 A JP 2001083653A JP 2001083653 A JP2001083653 A JP 2001083653A JP 2002279057 A JP2002279057 A JP 2002279057A
- Authority
- JP
- Japan
- Prior art keywords
- user
- evaluation
- security management
- security
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
(57)【要約】
【課題】 高度なスキルを持たない者でも効率的かつ実
効的なセキュリティマネジメントを行うことのできるセ
キュリティマネジメント装置を提供する。 【解決手段】設問データ提示部2は、設問DB1とユー
ザDB18を参照し、ユーザに応じてセキュリティに関
する設問を提示する。受領した回答データを、回答評価
部4、レスポンスタイム評価部5、回答データの相関性
評価部6、監査結果との比較評価部7で回答を評価し、
評価DB8に記録する。教材・教育プラン作成部10は
評価結果から、ユーザに適した教育プランを作成し、ユ
ーザに提示する。受講管理部12は、受講修了試験結果
を含む受講データを受講管理DB13に記録する。アク
セス制御ポリシー作成部14は評価DB8、受講管理D
B13等からユーザのアクセス権限を設定する。また、
レポート作成部16はレポートを作成し、ユーザや管理
者に提示する。
効的なセキュリティマネジメントを行うことのできるセ
キュリティマネジメント装置を提供する。 【解決手段】設問データ提示部2は、設問DB1とユー
ザDB18を参照し、ユーザに応じてセキュリティに関
する設問を提示する。受領した回答データを、回答評価
部4、レスポンスタイム評価部5、回答データの相関性
評価部6、監査結果との比較評価部7で回答を評価し、
評価DB8に記録する。教材・教育プラン作成部10は
評価結果から、ユーザに適した教育プランを作成し、ユ
ーザに提示する。受講管理部12は、受講修了試験結果
を含む受講データを受講管理DB13に記録する。アク
セス制御ポリシー作成部14は評価DB8、受講管理D
B13等からユーザのアクセス権限を設定する。また、
レポート作成部16はレポートを作成し、ユーザや管理
者に提示する。
Description
【0001】
【発明の属する技術分野】本発明は、セキュリティマネ
ジメントのノウハウを標準化したシステムにより、高度
なスキルを持たない者でも効率的かつ実効的にセキュリ
ティマネジメントを行うことのできるセキュリティマネ
ジメント装置に関するものである。
ジメントのノウハウを標準化したシステムにより、高度
なスキルを持たない者でも効率的かつ実効的にセキュリ
ティマネジメントを行うことのできるセキュリティマネ
ジメント装置に関するものである。
【0002】
【従来の技術】現在、情報資産を情報漏えいの脅威から
保護するための技術的対策(ファイアウォール、アクセ
ス制御機能等)が提供され、また、それらを導入してい
る企業も多い。これらの対策は、外部からの侵入者や、
アクセス権限を持たない社員等のアクセスに対し有効で
ある。しかし、上述のアクセス権限は、業務上の必要に
応じ設定されているため、従業員や派遣社員等の過失に
よる情報漏えいや私的利用、また自社ネットと接続して
いる取引先企業に起因する不正アクセス等に対して有効
なものではない。従業員や外部委託先の過失による情報
漏えいや私的利用に対しては、セキュリティ教育を定期
的に実施し、セキュリティ意識やセキュリティ基準の理
解を向上させないければならない。しかし、従来は、意
識が高い社員も低い社員も同一のセキュリティ教育がな
され、社員のレベルに応じた教育ができていなかった。
そこで、セキュリティ評価やセキュリティ教育といった
セキュリティマネジメントが重要になる。
保護するための技術的対策(ファイアウォール、アクセ
ス制御機能等)が提供され、また、それらを導入してい
る企業も多い。これらの対策は、外部からの侵入者や、
アクセス権限を持たない社員等のアクセスに対し有効で
ある。しかし、上述のアクセス権限は、業務上の必要に
応じ設定されているため、従業員や派遣社員等の過失に
よる情報漏えいや私的利用、また自社ネットと接続して
いる取引先企業に起因する不正アクセス等に対して有効
なものではない。従業員や外部委託先の過失による情報
漏えいや私的利用に対しては、セキュリティ教育を定期
的に実施し、セキュリティ意識やセキュリティ基準の理
解を向上させないければならない。しかし、従来は、意
識が高い社員も低い社員も同一のセキュリティ教育がな
され、社員のレベルに応じた教育ができていなかった。
そこで、セキュリティ評価やセキュリティ教育といった
セキュリティマネジメントが重要になる。
【0003】
【発明が解決しようとする課題】しかし、従来のセキュ
リティマネジメントは、実現のために必要なノウハウや
リソースが不足しており、また、適切なセキュリティマ
ネジメントのためには、図11に示すように、各職場の
セキュリティ管理者、各システムやネツトワークのシス
テム管理者などの多数の作業を必要とし、多大な稼働が
かかっていた。本発明は、高度なスキルを持たない者で
も効率的かつ実効的なセキュリティマネジメントを行う
ことのできるセキュリティマネジメント装置を提供する
ことを目的としている。
リティマネジメントは、実現のために必要なノウハウや
リソースが不足しており、また、適切なセキュリティマ
ネジメントのためには、図11に示すように、各職場の
セキュリティ管理者、各システムやネツトワークのシス
テム管理者などの多数の作業を必要とし、多大な稼働が
かかっていた。本発明は、高度なスキルを持たない者で
も効率的かつ実効的なセキュリティマネジメントを行う
ことのできるセキュリティマネジメント装置を提供する
ことを目的としている。
【0004】
【課題を解決するための手段】本発明は上記の目的を達
成するためになされたもので、本発明は、情報資産にア
クセスし得るユーザに対しセキュリティマネジメントを
実行するセキュリティマネジメント装置であって、ユー
ザの端末に通信ネットワークを介してセキュリティに関
する設問を提示する提示部と、前記端末からの設問の回
答を評価した評価結果を生成する評価部(例えば、図1
の回答評価部4、レスポンスタイム評価部5、回答デー
タの相関性評価部6、監査結果との比較評価部7)と、
前記評価結果に基づいて、ユーザの情報資産に対するア
クセス権限を示すアクセス制御ポリシーを作成するアク
セス制御ポリシー作成部とを備えることを特徴とするセ
キュリティマネジメント装置である。
成するためになされたもので、本発明は、情報資産にア
クセスし得るユーザに対しセキュリティマネジメントを
実行するセキュリティマネジメント装置であって、ユー
ザの端末に通信ネットワークを介してセキュリティに関
する設問を提示する提示部と、前記端末からの設問の回
答を評価した評価結果を生成する評価部(例えば、図1
の回答評価部4、レスポンスタイム評価部5、回答デー
タの相関性評価部6、監査結果との比較評価部7)と、
前記評価結果に基づいて、ユーザの情報資産に対するア
クセス権限を示すアクセス制御ポリシーを作成するアク
セス制御ポリシー作成部とを備えることを特徴とするセ
キュリティマネジメント装置である。
【0005】また、上記セキュリティマネジメント装置
において、前記評価結果に基づいて、前記ユーザに必要
な教育や教材を判断し、教育プランを作成するプラン作
成部と、教育の受講状況を記録する受講記録部とをさら
に備え、前記アクセス制御ポリシー作成部は、前記評価
結果と前記受講状況の少なくとも一方に基づいて、ユー
ザの情報資産に対するアクセス権限を示すアクセス制御
ポリシーを作成することを特徴とする。
において、前記評価結果に基づいて、前記ユーザに必要
な教育や教材を判断し、教育プランを作成するプラン作
成部と、教育の受講状況を記録する受講記録部とをさら
に備え、前記アクセス制御ポリシー作成部は、前記評価
結果と前記受講状況の少なくとも一方に基づいて、ユー
ザの情報資産に対するアクセス権限を示すアクセス制御
ポリシーを作成することを特徴とする。
【0006】また、上記セキュリティマネジメント装置
において、前記評価結果、前記受講状況、前記アクセス
制御ポリシー等に関するレポートを作成するレポート作
成部とをさらに備えることを特徴とする。
において、前記評価結果、前記受講状況、前記アクセス
制御ポリシー等に関するレポートを作成するレポート作
成部とをさらに備えることを特徴とする。
【0007】また、上記セキュリティマネジメント装置
において、前記評価結果、前記受講状況の少なくとも一
方に基づいて作成した誓約書を提示し、ユーザの承認を
得た前記誓約書を受領する誓約書提示・受領部とをさら
に備え、前記アクセス制御ポリシー作成部は前記ユーザ
の承認を得た誓約書に基づいて、前記アクセス制御ポリ
シーを変更することを特徴とする。
において、前記評価結果、前記受講状況の少なくとも一
方に基づいて作成した誓約書を提示し、ユーザの承認を
得た前記誓約書を受領する誓約書提示・受領部とをさら
に備え、前記アクセス制御ポリシー作成部は前記ユーザ
の承認を得た誓約書に基づいて、前記アクセス制御ポリ
シーを変更することを特徴とする。
【0008】また、本発明は、情報資産にアクセスし得
るユーザに対しセキュリティマネジメントを実行するセ
キュリティマネジメント装置において、ユーザの端末に
通信ネットワークを介してセキュリティに関する設問を
提示する提示部と、前記端末からの設問の回答を評価し
た評価結果を生成する評価部と、前記評価結果から、前
記ユーザに必要な教育や教材を判断し、教育プランを作
成するプラン作成部とを備えることを特徴とするセキュ
リティマネジメント装置である。
るユーザに対しセキュリティマネジメントを実行するセ
キュリティマネジメント装置において、ユーザの端末に
通信ネットワークを介してセキュリティに関する設問を
提示する提示部と、前記端末からの設問の回答を評価し
た評価結果を生成する評価部と、前記評価結果から、前
記ユーザに必要な教育や教材を判断し、教育プランを作
成するプラン作成部とを備えることを特徴とするセキュ
リティマネジメント装置である。
【0009】また、本発明は、情報資産にアクセスし得
るユーザに対しセキュリティマネジメントを実行するセ
キュリティマネジメント装置用のプログラムであって、
コンピュータに、ユーザの端末に通信ネットワークを介
してセキュリティに関する設問を提示する第1のステッ
プと、前記端末からの設問の回答を評価し評価結果を出
す第2のステップと、前記評価結果に基づいて、ユーザ
の情報資産に対するアクセス権限を示すアクセス制御ポ
リシーを作成する第3のステップを実行させるためのプ
ログラムである。
るユーザに対しセキュリティマネジメントを実行するセ
キュリティマネジメント装置用のプログラムであって、
コンピュータに、ユーザの端末に通信ネットワークを介
してセキュリティに関する設問を提示する第1のステッ
プと、前記端末からの設問の回答を評価し評価結果を出
す第2のステップと、前記評価結果に基づいて、ユーザ
の情報資産に対するアクセス権限を示すアクセス制御ポ
リシーを作成する第3のステップを実行させるためのプ
ログラムである。
【00010】
【発明の実施の形態】以下図面を参照し、この発明の実
施の形態を説明する。まず、本実施の形態の概要を図1
2を参照して説明する。セキュリティマネジメントを行
うセキュリティマネジメント装置は、ユーザのセキュリ
ティ意識・知識を評価する仕組みを設け、評価結果に応
じてシステムヘのアクセス権限の自動設定、及びセキュ
リティ教育プログラムを自動生成する機能を有する。処
理の流れを簡単に説明する。まず、ユーザ101は、セ
キュリティマネジメント装置102が提供する設問に回
答する。セキュリティマネジメント装置102は、回答
データを分析し、例えば、ユーザ101の「セキュリテ
ィ意識、知識、実施状況」を把握・評価する。また、ユ
ーザ101の入力した回答データの信憑性を評価する。
次に、評価結果に基づき、各ユーザに最適な教育コンテ
ンツ、プランを作成する。また、評価結果および信憑性
を分析し、各利用者のアクセス権限ポリシー103を作
成する。これにより、ユーザのセキュリティ意識・知識
レベルに応じたアクセス制御が可能となり、さらに、最
適なセキュリティ教育も可能となる。
施の形態を説明する。まず、本実施の形態の概要を図1
2を参照して説明する。セキュリティマネジメントを行
うセキュリティマネジメント装置は、ユーザのセキュリ
ティ意識・知識を評価する仕組みを設け、評価結果に応
じてシステムヘのアクセス権限の自動設定、及びセキュ
リティ教育プログラムを自動生成する機能を有する。処
理の流れを簡単に説明する。まず、ユーザ101は、セ
キュリティマネジメント装置102が提供する設問に回
答する。セキュリティマネジメント装置102は、回答
データを分析し、例えば、ユーザ101の「セキュリテ
ィ意識、知識、実施状況」を把握・評価する。また、ユ
ーザ101の入力した回答データの信憑性を評価する。
次に、評価結果に基づき、各ユーザに最適な教育コンテ
ンツ、プランを作成する。また、評価結果および信憑性
を分析し、各利用者のアクセス権限ポリシー103を作
成する。これにより、ユーザのセキュリティ意識・知識
レベルに応じたアクセス制御が可能となり、さらに、最
適なセキュリティ教育も可能となる。
【0011】セキュリティ評価や教育状況からアクセス
制御ポリシー103を生成する方法には以下の3つの動
作例が存在する。 A)評価と教育の結果両方からアクセス制御ポリシーを
導く動作例 B)評価の結果からアクセス制御ポリシーを導く動作例 C)教育の結果からアクセス制御ポリシーを導く動作例 まず、上記動作例Aについて、本発明の一実施形態を図
面を参照して詳細に説明する。
制御ポリシー103を生成する方法には以下の3つの動
作例が存在する。 A)評価と教育の結果両方からアクセス制御ポリシーを
導く動作例 B)評価の結果からアクセス制御ポリシーを導く動作例 C)教育の結果からアクセス制御ポリシーを導く動作例 まず、上記動作例Aについて、本発明の一実施形態を図
面を参照して詳細に説明する。
【0012】図1は本発明のセキュリティマネジメント
を行うセキュリティマネジメント装置20の構成を示す
ブロック図である。この図において、1は設問DB(デ
ータベース)であり、設問を一意に識別するための設問
ID、設問の属性、セキュリティに関する設問等とから
成る複数の設問データを記憶するデータベースである。
2は設問データ提示部であり、ユーザを認識し、認識し
たユーザに最適な設問を提示する。3は回答データ受領
部であり、ユーザの回答を評価DB8に格納する。4は
回答評価部であり、ユーザの回答に対する評価を行い、
その結果を評価DB8に格納する。5はレスポンスタイ
ム評価部であり、設問の回答にかかった時間を評価す
る。6は回答データの相関性評価部であり、回答データ
間の相関を評価し、その結果を評価DB8に格納する。
7は監査結果との比較評価部であり、ユーザの回答を他
の回答と比較評価をし、その結果を評価DB8に格納す
る。上述したレスポンスタイム評価部5、回答データの
相関性評価部6、監査結果との比較評価部7は、ユーザ
の信憑性の評価に用いられる。
を行うセキュリティマネジメント装置20の構成を示す
ブロック図である。この図において、1は設問DB(デ
ータベース)であり、設問を一意に識別するための設問
ID、設問の属性、セキュリティに関する設問等とから
成る複数の設問データを記憶するデータベースである。
2は設問データ提示部であり、ユーザを認識し、認識し
たユーザに最適な設問を提示する。3は回答データ受領
部であり、ユーザの回答を評価DB8に格納する。4は
回答評価部であり、ユーザの回答に対する評価を行い、
その結果を評価DB8に格納する。5はレスポンスタイ
ム評価部であり、設問の回答にかかった時間を評価す
る。6は回答データの相関性評価部であり、回答データ
間の相関を評価し、その結果を評価DB8に格納する。
7は監査結果との比較評価部であり、ユーザの回答を他
の回答と比較評価をし、その結果を評価DB8に格納す
る。上述したレスポンスタイム評価部5、回答データの
相関性評価部6、監査結果との比較評価部7は、ユーザ
の信憑性の評価に用いられる。
【0013】9は教材DBであり、教材を一意に識別す
る教材ID、教材属性、教材コンテンツ等を一組とする
複数の教材データ記憶するデータベースである。10は
教材・教育プラン作成部であり、各ユーザの評価結果か
ら必要な教育内容を決定する。11は教材提供部であ
り、ユーザを認証し教材を提供する。12は受講管理部
であり、受講者の受講履歴および受講成績をユーザID
との関連で受講管理DB13に格納する。13は受講管
理DBであり、ユーザID、受講履歴、成績を一組とし
て記憶するデータベースである。14はアクセス制御ポ
リシー作成部であり、評価DB8内の評価結果および受
講管理DB13内の受講結果にもとづいて、アクセス制
御ポリシーを作成する。15はアクセス制御設定部であ
り、アクセス制御ポリシーを各機器の設定ファイルのフ
ォーマットに変換し、そのフォーマットにより、各機器
の設定を変更する。16はレポート作成部であり、ユー
ザ個人向けあるいは管理者向けのレポートを作成する。
17は誓約書提示・受領部であり、誓約書を作成してユ
ーザに提示し、また、ユーザの承認を得た誓約書を受領
したことをアクセス制御ポリシー作成部14に伝送す
る。18はユーザDBであり、ユーザID、パスワー
ド、役職・所属等のユーザ属性を示す情報等を一組とす
る複数のユーザ情報を記録するデータベースである。
る教材ID、教材属性、教材コンテンツ等を一組とする
複数の教材データ記憶するデータベースである。10は
教材・教育プラン作成部であり、各ユーザの評価結果か
ら必要な教育内容を決定する。11は教材提供部であ
り、ユーザを認証し教材を提供する。12は受講管理部
であり、受講者の受講履歴および受講成績をユーザID
との関連で受講管理DB13に格納する。13は受講管
理DBであり、ユーザID、受講履歴、成績を一組とし
て記憶するデータベースである。14はアクセス制御ポ
リシー作成部であり、評価DB8内の評価結果および受
講管理DB13内の受講結果にもとづいて、アクセス制
御ポリシーを作成する。15はアクセス制御設定部であ
り、アクセス制御ポリシーを各機器の設定ファイルのフ
ォーマットに変換し、そのフォーマットにより、各機器
の設定を変更する。16はレポート作成部であり、ユー
ザ個人向けあるいは管理者向けのレポートを作成する。
17は誓約書提示・受領部であり、誓約書を作成してユ
ーザに提示し、また、ユーザの承認を得た誓約書を受領
したことをアクセス制御ポリシー作成部14に伝送す
る。18はユーザDBであり、ユーザID、パスワー
ド、役職・所属等のユーザ属性を示す情報等を一組とす
る複数のユーザ情報を記録するデータベースである。
【0014】次に、図2を参照し、同実施形態における
セキュリティマネジメント装置20の動作を説明する。
ユーザはインターネットにアクセスできる端末等を利用
し、セキュリティマネジメント装置20にアクセスす
る。セキュリティマネジメント装置20の設問データ提
示部2は、ユーザにユーザIDやパスワード等の入力を
要求する。入力されたユーザIDやパスワード等をユー
ザDB18のデータと照合してユーザの識別認証を行
い、本システムにアクセスする権限があるか審査する。
なお、ここでいうインターネットとは、イントラネット
並びにエキストラネット等を含む通信ネットワークのこ
とを指す。ユーザの正当性が確認されると、設問データ
提示部2はユーザの役職、職務等のユーザ属性と、セキ
ュリティ管理、情報管理等の設問属性とから最適な設問
を設問DB1から抽出する。例えば、管理職にあたるユ
ーザにはセキュリティ管理でも上級の設問を抽出する。
図3は設問の一例である。設問データ提示部2は抽出し
た設問を、ユーザが前回または他者の回答を模倣するこ
とを防ぐために(WWWべースで)ランダムに提供す
る。設問は、インターネットを介して端末のディスプレ
イ等に表示され、ユーザはキーボード、マウス等のイン
ターフェイスを介して、設問の回答を入力する。
セキュリティマネジメント装置20の動作を説明する。
ユーザはインターネットにアクセスできる端末等を利用
し、セキュリティマネジメント装置20にアクセスす
る。セキュリティマネジメント装置20の設問データ提
示部2は、ユーザにユーザIDやパスワード等の入力を
要求する。入力されたユーザIDやパスワード等をユー
ザDB18のデータと照合してユーザの識別認証を行
い、本システムにアクセスする権限があるか審査する。
なお、ここでいうインターネットとは、イントラネット
並びにエキストラネット等を含む通信ネットワークのこ
とを指す。ユーザの正当性が確認されると、設問データ
提示部2はユーザの役職、職務等のユーザ属性と、セキ
ュリティ管理、情報管理等の設問属性とから最適な設問
を設問DB1から抽出する。例えば、管理職にあたるユ
ーザにはセキュリティ管理でも上級の設問を抽出する。
図3は設問の一例である。設問データ提示部2は抽出し
た設問を、ユーザが前回または他者の回答を模倣するこ
とを防ぐために(WWWべースで)ランダムに提供す
る。設問は、インターネットを介して端末のディスプレ
イ等に表示され、ユーザはキーボード、マウス等のイン
ターフェイスを介して、設問の回答を入力する。
【0015】回答データ受領部3は、入力された回答を
表示し、ユーザが自らの入力した回答を確認するための
確認ボタンを表示する。また、回答データ受領部3は、
レスポンスタイム評価部5に、ユーザが設問の回答にか
かった時間を渡す。ユーザが確認ボタンを押すと、回答
データ受領部3は、入力された回答を受領し、受領した
回答データを評価DB8に保存し、回答評価部4に回答
データを渡す(ステップS51)。なお、回答データ受
領部3は、ユーザが設問を十分に理解せずに回答するこ
とを防ぐために、一定の回答時間が経過しないと回答デ
ータを受領できないようにすることも可能である。回答
評価部4は、回答データを受け取ると、独自の評価アル
ゴリズムにより、ユーザのセキュリティ意識、実施状
況、知識等について数値化し、それを評価結果として評
価DB8に記録する。レスポンスタイム評価部5は、ユ
ーザが回答にかかった時間を受け取り、セキュリティ実
施状況に関する設問の解答にかかった時間があまりにも
短い場合、設問を十分に把握せず点数の良い回答をして
いる可能性が高いので、疑わしさ度合いを数値化して信
憑性とし、評価DB8の信憑性フィールドに記録する。
表示し、ユーザが自らの入力した回答を確認するための
確認ボタンを表示する。また、回答データ受領部3は、
レスポンスタイム評価部5に、ユーザが設問の回答にか
かった時間を渡す。ユーザが確認ボタンを押すと、回答
データ受領部3は、入力された回答を受領し、受領した
回答データを評価DB8に保存し、回答評価部4に回答
データを渡す(ステップS51)。なお、回答データ受
領部3は、ユーザが設問を十分に理解せずに回答するこ
とを防ぐために、一定の回答時間が経過しないと回答デ
ータを受領できないようにすることも可能である。回答
評価部4は、回答データを受け取ると、独自の評価アル
ゴリズムにより、ユーザのセキュリティ意識、実施状
況、知識等について数値化し、それを評価結果として評
価DB8に記録する。レスポンスタイム評価部5は、ユ
ーザが回答にかかった時間を受け取り、セキュリティ実
施状況に関する設問の解答にかかった時間があまりにも
短い場合、設問を十分に把握せず点数の良い回答をして
いる可能性が高いので、疑わしさ度合いを数値化して信
憑性とし、評価DB8の信憑性フィールドに記録する。
【0016】回答データの相関性評価部6は回答データ
の相関性を評価する。その方法の一例をロジック1、ロ
ジック2とし、ロジック1は図4を参照して以下に説明
する。 1)ロジック1 設問DB1から回答のぶれがないと想定される設問
を抽出する。例えば、「設問属性=セキュリティ実施状
況AND物理セキュリティ」を抽出の条件にすると、図
4のa「設問100」に示すような、「オフィスにおけ
る入出管理実施状況に関する設問」が抽出される。 ユーザDB18からの設問の回答のぶれがないと
想定されるユーザを抽出する。例えば、「ユーザ属性=
○○ビル××階」を抽出の条件とする。 評価DB8からで抽出された設問に対する、で
抽出されたユーザの回答を抽出する。例えば、前述の
「オフィスにおける入出管理実施状況に関する設問」の
回答は、同じオフィスに勤務するユーザ間では、極端に
異なる回答はでないはずである。しかし実際には、図4
の表bにおいて、ユーザA、ユーザBの設問100に対
する回答内容が3であるのに対しユーザCの回答内容が
1であるように、異なる回答をするユーザが存在する。 のように異なる回答をするユーザを抽出するた
め、回答の平均点、標準偏差を計算し、正規分布からか
け離れたユーザを抽出する。例えば、図4のグラフcに
おいて、回答内容が1のユーザのように、平均とはかけ
離れた回答をしているユーザ層を抽出する。 で抽出されたユーザの疑わしさを数値化して信憑
性とし、ユーザID毎に評価DB8の信憑性フィールド
に記録する。 2)ロジック2 回答データの相関性評価部6は、評価DB8から、
ユーザの意識・知識と実施状況の評価結果を抽出し、比
較する。 比較した結果、セキュリティ意識や知識が低いにも
かかわらず実施状況の結果が高い場合、ユーザの疑わし
さを数値化して信憑性とし、ユーザID毎に評価DB8
の信憑性フィールドに記録する。
の相関性を評価する。その方法の一例をロジック1、ロ
ジック2とし、ロジック1は図4を参照して以下に説明
する。 1)ロジック1 設問DB1から回答のぶれがないと想定される設問
を抽出する。例えば、「設問属性=セキュリティ実施状
況AND物理セキュリティ」を抽出の条件にすると、図
4のa「設問100」に示すような、「オフィスにおけ
る入出管理実施状況に関する設問」が抽出される。 ユーザDB18からの設問の回答のぶれがないと
想定されるユーザを抽出する。例えば、「ユーザ属性=
○○ビル××階」を抽出の条件とする。 評価DB8からで抽出された設問に対する、で
抽出されたユーザの回答を抽出する。例えば、前述の
「オフィスにおける入出管理実施状況に関する設問」の
回答は、同じオフィスに勤務するユーザ間では、極端に
異なる回答はでないはずである。しかし実際には、図4
の表bにおいて、ユーザA、ユーザBの設問100に対
する回答内容が3であるのに対しユーザCの回答内容が
1であるように、異なる回答をするユーザが存在する。 のように異なる回答をするユーザを抽出するた
め、回答の平均点、標準偏差を計算し、正規分布からか
け離れたユーザを抽出する。例えば、図4のグラフcに
おいて、回答内容が1のユーザのように、平均とはかけ
離れた回答をしているユーザ層を抽出する。 で抽出されたユーザの疑わしさを数値化して信憑
性とし、ユーザID毎に評価DB8の信憑性フィールド
に記録する。 2)ロジック2 回答データの相関性評価部6は、評価DB8から、
ユーザの意識・知識と実施状況の評価結果を抽出し、比
較する。 比較した結果、セキュリティ意識や知識が低いにも
かかわらず実施状況の結果が高い場合、ユーザの疑わし
さを数値化して信憑性とし、ユーザID毎に評価DB8
の信憑性フィールドに記録する。
【0017】監査結果との比較評価部7は、第3者であ
る監査人と、ユーザと類似すると考えられる隣の組織の
ユーザ等との比較をする。 1)第三者監査との比較 まず、第3者である監査人が、実施状況に関する設問画
面より監査した結果を入力する。監査人が入力した結果
と該当ユーザが入力した結果を比較し、ユーザの疑わし
さを数値化し信憑性として、評価DB8の信憑性フィー
ルドに記録する。 2)相互監査との比較 まず、隣の組織のユーザ等が、実施状況に関する設問画
面より監査した結果を入力する。隣の組織のユーザ等が
入力した結果と該当ユーザが入力した結果を比較し、ユ
ーザの疑わしさを数値化し信憑性として、評価DB8の
信憑性フィールドに記録する。以上のように、ユーザの
回答評価及び回答に対する信憑性評価を実行し、評価D
B8に記録する(図2におけるステップS52)。
る監査人と、ユーザと類似すると考えられる隣の組織の
ユーザ等との比較をする。 1)第三者監査との比較 まず、第3者である監査人が、実施状況に関する設問画
面より監査した結果を入力する。監査人が入力した結果
と該当ユーザが入力した結果を比較し、ユーザの疑わし
さを数値化し信憑性として、評価DB8の信憑性フィー
ルドに記録する。 2)相互監査との比較 まず、隣の組織のユーザ等が、実施状況に関する設問画
面より監査した結果を入力する。隣の組織のユーザ等が
入力した結果と該当ユーザが入力した結果を比較し、ユ
ーザの疑わしさを数値化し信憑性として、評価DB8の
信憑性フィールドに記録する。以上のように、ユーザの
回答評価及び回答に対する信憑性評価を実行し、評価D
B8に記録する(図2におけるステップS52)。
【0018】次に、教材・教育プラン作成部10は教育
プランを作成する。その動作を図5を参照して説明す
る。 1)まず、教材・教育プラン作成部10は、評価DB8
を参照し、各ユーザの評価結果から強化すべき分野を明
確にする。例えば、図5のグラフaに示す評価結果とな
ったユーザは、セキュリティ意識と、セキュリティ知識
の評価が低いと判断する。また、ユーザDB18及び受
講管理DB13を参照し、各ユーザの役職・職務や過去
の受講履歴・成績を認識する。 2)ユーザの評価結果、役職・職務、過去の受講履歴・
成績とから、強化すべき分野のレベルを明確にし、教材
を選択する。例えば、図5のグラフaに示す評価結果の
ユーザは、図5の表bのように、中レベルのセキュリテ
ィ意識に関する教育と、高レベルのセキュリティ知識に
関する教育が必要であり、特にセキュリティ意識に関し
ては強化すべきと判断する。 3)教材・教育プラン作成部10は、選択された教材の
プライオリティ、受講期限を明確にし、教材DB9を参
照し、各ユーザの教育プランを作成する。例えば、図5
のグラフaに示す評価結果となったユーザには、図5に
示す教育プランcのように、セキュリティ意識に関する
教材「セキュリティマナー」を必須とし、セキュリティ
知識に関する教材「アクセス制御」を推奨とする。以上
のように、教材・教育プラン作成部10は教育プランを
作成し、当該ユーザが上記教材・教育プランで選択した
教材にアクセスできる権限である受講権限を有している
ことを受講管理DB13に記録する。また、各ユーザに
教育・教材プランに基づいて、受講依頼を送信する(図
2におけるステップS53)。
プランを作成する。その動作を図5を参照して説明す
る。 1)まず、教材・教育プラン作成部10は、評価DB8
を参照し、各ユーザの評価結果から強化すべき分野を明
確にする。例えば、図5のグラフaに示す評価結果とな
ったユーザは、セキュリティ意識と、セキュリティ知識
の評価が低いと判断する。また、ユーザDB18及び受
講管理DB13を参照し、各ユーザの役職・職務や過去
の受講履歴・成績を認識する。 2)ユーザの評価結果、役職・職務、過去の受講履歴・
成績とから、強化すべき分野のレベルを明確にし、教材
を選択する。例えば、図5のグラフaに示す評価結果の
ユーザは、図5の表bのように、中レベルのセキュリテ
ィ意識に関する教育と、高レベルのセキュリティ知識に
関する教育が必要であり、特にセキュリティ意識に関し
ては強化すべきと判断する。 3)教材・教育プラン作成部10は、選択された教材の
プライオリティ、受講期限を明確にし、教材DB9を参
照し、各ユーザの教育プランを作成する。例えば、図5
のグラフaに示す評価結果となったユーザには、図5に
示す教育プランcのように、セキュリティ意識に関する
教材「セキュリティマナー」を必須とし、セキュリティ
知識に関する教材「アクセス制御」を推奨とする。以上
のように、教材・教育プラン作成部10は教育プランを
作成し、当該ユーザが上記教材・教育プランで選択した
教材にアクセスできる権限である受講権限を有している
ことを受講管理DB13に記録する。また、各ユーザに
教育・教材プランに基づいて、受講依頼を送信する(図
2におけるステップS53)。
【0019】ユーザは、受講依頼を受信し、教育・教材
プランに基づいて教育を受ける。まず、端末を利用して
セキュリティマネジメント装置20にアクセスし、教育
の受講を申請する。セキュリティマネジメント装置20
の教材提供部11は、ユーザがアクセスした際にユーザ
認証を実施する。まず、教材提供部11は、ユーザの使
用する端末のディスプレイ等に、ユーザIDやパスワー
ド等の入力画面を表示する。受講管理DB13を参照
し、入力されたユーザID及びパスワード等から、当該
ユーザが受講権限を有しているか審査する。審査承認
後、教材DB9から、申請された教材(デジタルコンテ
ンツ)を提供する。ユーザは、教育を受講し、修了試験
を受け、回答を送信する。セキュリティマネジメント装
置20の受講管理部12は、終了試験の回答データを受
け取り、受講した教材、終了試験の回答から得られる成
績等から成る受講結果を、受講管理DB13に格納する
(図2におけるステップS54)。
プランに基づいて教育を受ける。まず、端末を利用して
セキュリティマネジメント装置20にアクセスし、教育
の受講を申請する。セキュリティマネジメント装置20
の教材提供部11は、ユーザがアクセスした際にユーザ
認証を実施する。まず、教材提供部11は、ユーザの使
用する端末のディスプレイ等に、ユーザIDやパスワー
ド等の入力画面を表示する。受講管理DB13を参照
し、入力されたユーザID及びパスワード等から、当該
ユーザが受講権限を有しているか審査する。審査承認
後、教材DB9から、申請された教材(デジタルコンテ
ンツ)を提供する。ユーザは、教育を受講し、修了試験
を受け、回答を送信する。セキュリティマネジメント装
置20の受講管理部12は、終了試験の回答データを受
け取り、受講した教材、終了試験の回答から得られる成
績等から成る受講結果を、受講管理DB13に格納する
(図2におけるステップS54)。
【0020】次に、アクセス制御ポリシー作成部14が
アクセス制御ポリシーを作成する動作を、図6を参照し
て説明する。 システム管理者は、あらかじめ、どのような役職や
評価結果や受講結果ならば情報資産やオフィス等にアク
セスしてよいか条件を設定し、ハードディスク等に記録
している。その条件は、例えば、図6のアクセス認可の
条件aに示すような、情報資産「メール」を使用するに
は、セキュリティに関する意識評価が60点以上、実施
状況評価が60点以上、知識評価が60点以上・・・と
いう条件を満たさなければならない、というものであ
る。 評価DB8、受講管理DB13、ユーザDB18か
らの条件に該当するレコードを参照し、ユーザがどの
情報資産や建物にアクセス可能か示すアクセス制御ポリ
シーを自動的に生成する。アクセス制御ポリシーの一例
を図6のbに示す。このように、ユーザ毎に情報資産へ
のアクセスの可否や、アクセスする際の条件を設定す
る。アクセス制御ポリシー作成部14は、上述のように
アクセス制御ポリシーを作成し(図2におけるステップ
S55)、アクセス制御設定部15に伝送する。
アクセス制御ポリシーを作成する動作を、図6を参照し
て説明する。 システム管理者は、あらかじめ、どのような役職や
評価結果や受講結果ならば情報資産やオフィス等にアク
セスしてよいか条件を設定し、ハードディスク等に記録
している。その条件は、例えば、図6のアクセス認可の
条件aに示すような、情報資産「メール」を使用するに
は、セキュリティに関する意識評価が60点以上、実施
状況評価が60点以上、知識評価が60点以上・・・と
いう条件を満たさなければならない、というものであ
る。 評価DB8、受講管理DB13、ユーザDB18か
らの条件に該当するレコードを参照し、ユーザがどの
情報資産や建物にアクセス可能か示すアクセス制御ポリ
シーを自動的に生成する。アクセス制御ポリシーの一例
を図6のbに示す。このように、ユーザ毎に情報資産へ
のアクセスの可否や、アクセスする際の条件を設定す
る。アクセス制御ポリシー作成部14は、上述のように
アクセス制御ポリシーを作成し(図2におけるステップ
S55)、アクセス制御設定部15に伝送する。
【0021】アクセス制御設定部15は、受け取ったア
クセス制御ポリシーを、ファイアウォール、侵入検知シ
ステム、URLフィルタ、メールサーバ、WWWサー
バ、入退管理装置等の設定ファイルのフォーマットに変
換する。例えば、図7に示すようなアクセス制御ポリシ
ーaを、「経理システム」や「○○ビル××階」等の情
報資産毎に分割し、各ユーザのアクセス可否とアクセス
する際の条件を設定する設定ファイルb、cに変換す
る。次に、変換した設定ファイルを各機器に渡し、設定
ファイルを置き換える等して、設定を変更する。レポー
ト作成部16は、評価結果に対するレポートを自動的に
作成する。作成するレポートは個人向けと管理者向けと
がある。個人向けレポートとは、評価結果、受講結果に
ついて個人に対してフィードバックするレポートであ
る。他人との比較、他組織の水準等との比較等を示し、
モチベーションを与える。また、特定の情報資産に対し
アクセス権限を認められなかった者に対しては、どの教
育を受講し、また、どこまでセキュリティ意識・知識を
高めればアクセス権限を認められるか示す。管理者向け
のレポートとは、各人の評価結果、受講結果、それによ
って明確になった要注意人物、管理上の留意点等を示
す。また、セキュリティ施策のプライオリティ等を明確
にした実行計画を作成する。
クセス制御ポリシーを、ファイアウォール、侵入検知シ
ステム、URLフィルタ、メールサーバ、WWWサー
バ、入退管理装置等の設定ファイルのフォーマットに変
換する。例えば、図7に示すようなアクセス制御ポリシ
ーaを、「経理システム」や「○○ビル××階」等の情
報資産毎に分割し、各ユーザのアクセス可否とアクセス
する際の条件を設定する設定ファイルb、cに変換す
る。次に、変換した設定ファイルを各機器に渡し、設定
ファイルを置き換える等して、設定を変更する。レポー
ト作成部16は、評価結果に対するレポートを自動的に
作成する。作成するレポートは個人向けと管理者向けと
がある。個人向けレポートとは、評価結果、受講結果に
ついて個人に対してフィードバックするレポートであ
る。他人との比較、他組織の水準等との比較等を示し、
モチベーションを与える。また、特定の情報資産に対し
アクセス権限を認められなかった者に対しては、どの教
育を受講し、また、どこまでセキュリティ意識・知識を
高めればアクセス権限を認められるか示す。管理者向け
のレポートとは、各人の評価結果、受講結果、それによ
って明確になった要注意人物、管理上の留意点等を示
す。また、セキュリティ施策のプライオリティ等を明確
にした実行計画を作成する。
【0022】上述の評価の結果、アクセス権限を認めら
れなかったが、特定の情報資産に業務上どうしてもアク
セスする必要がある場合、誓約書提示・受領部17は、
セキュリティ評価の結果等を反映し、その情報資産の利
用に関する誓約書の文面を自動生成し、ユーザに提示す
る。ユーザは誓約書に電子署名することにより承認を
し、セキュリティマネジメント装置20に提出する。セ
キュリティマネジメント装置20は、誓約書を受領する
と、アクセス制御ポリシー作成部14に、特定の情報資
産に関する誓約書を受領したことを伝送する。アクセス
制御ポリシー作成部1は、誓約書で認証した情報資産の
アクセス制御ポリシーを変更し、暫定的なアクセス権を
与える。なお、誓約書は、印刷文面に手書き署名したも
のをFax受領してもよい。
れなかったが、特定の情報資産に業務上どうしてもアク
セスする必要がある場合、誓約書提示・受領部17は、
セキュリティ評価の結果等を反映し、その情報資産の利
用に関する誓約書の文面を自動生成し、ユーザに提示す
る。ユーザは誓約書に電子署名することにより承認を
し、セキュリティマネジメント装置20に提出する。セ
キュリティマネジメント装置20は、誓約書を受領する
と、アクセス制御ポリシー作成部14に、特定の情報資
産に関する誓約書を受領したことを伝送する。アクセス
制御ポリシー作成部1は、誓約書で認証した情報資産の
アクセス制御ポリシーを変更し、暫定的なアクセス権を
与える。なお、誓約書は、印刷文面に手書き署名したも
のをFax受領してもよい。
【0023】次に、評価の結果からアクセス制御ポリシ
ーを導く動作例Bを、図8を参照して説明する。この動
作例Bの動作は上述の動作例Aとほぼ同じである。管理
者は予め、各情報資産に対してアクセスするために満た
していなければならない評価結果を定めるアクセス許可
条件を設定し、ハードディスク等に記録しておく。ま
ず、設問データ提示部2は、ユーザに設問を送信する。
ユーザの回答を回答データ受領部3で受け、回答データ
を評価DB8に記録する(図8におけるステップS6
1)。回答評価部4は、ユーザの回答から、ユーザのセ
キュリティ意識、実施状況、知識等を数値化し、数値化
した評価結果を評価DB8に記録する。また、レスポン
スタイム評価部5、回答データの相関性評価部6、監査
結果との比較評価部7は、各々回答に対する信憑性を数
値化して評価DB8に記録する(図8におけるステップ
S62)。アクセス制御ポリシー作成部14は、評価D
B8に記録されている意識、実施状況、知識等の評価結
果及び信憑性と、管理者の設定したアクセス許可条件と
を参照し、アクセス制御ポリシーを作成する(図8にお
けるステップS63)。
ーを導く動作例Bを、図8を参照して説明する。この動
作例Bの動作は上述の動作例Aとほぼ同じである。管理
者は予め、各情報資産に対してアクセスするために満た
していなければならない評価結果を定めるアクセス許可
条件を設定し、ハードディスク等に記録しておく。ま
ず、設問データ提示部2は、ユーザに設問を送信する。
ユーザの回答を回答データ受領部3で受け、回答データ
を評価DB8に記録する(図8におけるステップS6
1)。回答評価部4は、ユーザの回答から、ユーザのセ
キュリティ意識、実施状況、知識等を数値化し、数値化
した評価結果を評価DB8に記録する。また、レスポン
スタイム評価部5、回答データの相関性評価部6、監査
結果との比較評価部7は、各々回答に対する信憑性を数
値化して評価DB8に記録する(図8におけるステップ
S62)。アクセス制御ポリシー作成部14は、評価D
B8に記録されている意識、実施状況、知識等の評価結
果及び信憑性と、管理者の設定したアクセス許可条件と
を参照し、アクセス制御ポリシーを作成する(図8にお
けるステップS63)。
【0024】次に、教育の結果からアクセス制御ポリシ
ーを導く動作例Cを、図9を参照して説明する。この動
作例Cの動作は上述の動作例Aとほぼ同じである。管理
者は予め、各情報資産に対してアクセスするために受講
しなければならない教育とその教育の成績を定めるアク
セス許可条件を設定し、ハードディスク等に記録してお
く。教材・教育プラン作成部10はユーザに必要な教育
プランを設定し、通知する。ユーザは受講プランに従っ
て、セキュリティマネジメント装置20にアクセスし、
教育の受講を申請する。教材提供部11は、まず、ユー
ザの承認を行い、認証すると、教材DB9から教育プラ
ンに基づいて教育コンテンツをユーザに提供する(図9
におけるステップS71)。受講管理部12は提供した
教育の修了試験結果等を受講管理DB13に記録する。
アクセス制御ポリシー作成部14は、受講管理DB13
に記録されている修了試験結果等と、管理者の設定した
アクセス許可条件とを参照し、アクセス制御ポリシーを
作成する(図8におけるステップS72)。
ーを導く動作例Cを、図9を参照して説明する。この動
作例Cの動作は上述の動作例Aとほぼ同じである。管理
者は予め、各情報資産に対してアクセスするために受講
しなければならない教育とその教育の成績を定めるアク
セス許可条件を設定し、ハードディスク等に記録してお
く。教材・教育プラン作成部10はユーザに必要な教育
プランを設定し、通知する。ユーザは受講プランに従っ
て、セキュリティマネジメント装置20にアクセスし、
教育の受講を申請する。教材提供部11は、まず、ユー
ザの承認を行い、認証すると、教材DB9から教育プラ
ンに基づいて教育コンテンツをユーザに提供する(図9
におけるステップS71)。受講管理部12は提供した
教育の修了試験結果等を受講管理DB13に記録する。
アクセス制御ポリシー作成部14は、受講管理DB13
に記録されている修了試験結果等と、管理者の設定した
アクセス許可条件とを参照し、アクセス制御ポリシーを
作成する(図8におけるステップS72)。
【0025】なお、上述した実施形態は、エキストラネ
ット、マーケットプレイス型ビジネスモデルにおいて、
企業間の信頼の仕組みとして、単に機密保持義務契約だ
けでなく実際のセキュリティ確保が求められる場合にも
適応可能である。例えば、図10に示すように、A社が
B社や消費者と取引する場合、B社、消費者の取引情報
や個人情報等の機密情報の保持に関しては、機密保持義
務契約が交わされるのが普通であり、セキュリティマネ
ジメント状況は公開されない。しかし、これでは不特定
の企業や消費者が参加するマーケットでの信頼を得るに
は不十分である。そこで、上述の実施形態を、マーケッ
トプレイスに参加する企業等に適応し、参加企業等のセ
キュリティマネジメント状況を評価する。その結果をマ
ーケットプレイス管理者あるいは取引相手に公開する。
セキュリティ上信頼できないと判断した企業等にはマー
ケットプレイスに参加させない等の処置を取ることによ
り、安心して情報交換することができる。このように、
インターネット接続されている企業に対して効率的かつ
実効的なセキュリティマネジメント装置を提供できるも
のである。
ット、マーケットプレイス型ビジネスモデルにおいて、
企業間の信頼の仕組みとして、単に機密保持義務契約だ
けでなく実際のセキュリティ確保が求められる場合にも
適応可能である。例えば、図10に示すように、A社が
B社や消費者と取引する場合、B社、消費者の取引情報
や個人情報等の機密情報の保持に関しては、機密保持義
務契約が交わされるのが普通であり、セキュリティマネ
ジメント状況は公開されない。しかし、これでは不特定
の企業や消費者が参加するマーケットでの信頼を得るに
は不十分である。そこで、上述の実施形態を、マーケッ
トプレイスに参加する企業等に適応し、参加企業等のセ
キュリティマネジメント状況を評価する。その結果をマ
ーケットプレイス管理者あるいは取引相手に公開する。
セキュリティ上信頼できないと判断した企業等にはマー
ケットプレイスに参加させない等の処置を取ることによ
り、安心して情報交換することができる。このように、
インターネット接続されている企業に対して効率的かつ
実効的なセキュリティマネジメント装置を提供できるも
のである。
【0026】また、図1のセキュリティマネジメント装
置の各部の機能のうち一部またはすべてを実現するため
のプログラムをコンピュータ読み取り可能な記録媒体に
記録して、この記録媒体に記録されたプログラムをコン
ピュータシステムに読み込ませ、実行することにより、
各部の機能を実現させてもよい。なお、ここでいう「コ
ンピュータシステム」とは、OSや周辺機器等のハード
ウェアを含むものとする。また、「コンピュータシステ
ム」は、WWWシステムを利用している場合であれば、
ホームページ提供環境(あるいは表示環境)も含むもの
とする。また、「コンピュータ読み取り可能な記録媒
体」とは、フロッピー(登録商標)ディスク、光磁気デ
ィスク、ROM、CD−ROM等の可搬媒体、コンピュ
ータシステムに内蔵されるハードディスク等の記憶装置
のことをいう。さらに「コンピュータ読み取り可能な記
録媒体」とは、インターネット等のネットワークや電話
回線等の通信回線を介してプログラムを送信する場合の
通信線のように、短時間の間、動的にプログラムを保持
するもの、その場合のサーバやクライアントとなるコン
ピュータシステム内部の揮発性メモリのように、一定時
間プログラムを保持しているものも含むものとする。ま
た上記プログラムは、前述した機能の一部を実現するた
めのものであっても良く、さらに前述した機能をコンピ
ュータシステムにすでに記録されているプログラムとの
組み合わせで実現できるものであっても良い
置の各部の機能のうち一部またはすべてを実現するため
のプログラムをコンピュータ読み取り可能な記録媒体に
記録して、この記録媒体に記録されたプログラムをコン
ピュータシステムに読み込ませ、実行することにより、
各部の機能を実現させてもよい。なお、ここでいう「コ
ンピュータシステム」とは、OSや周辺機器等のハード
ウェアを含むものとする。また、「コンピュータシステ
ム」は、WWWシステムを利用している場合であれば、
ホームページ提供環境(あるいは表示環境)も含むもの
とする。また、「コンピュータ読み取り可能な記録媒
体」とは、フロッピー(登録商標)ディスク、光磁気デ
ィスク、ROM、CD−ROM等の可搬媒体、コンピュ
ータシステムに内蔵されるハードディスク等の記憶装置
のことをいう。さらに「コンピュータ読み取り可能な記
録媒体」とは、インターネット等のネットワークや電話
回線等の通信回線を介してプログラムを送信する場合の
通信線のように、短時間の間、動的にプログラムを保持
するもの、その場合のサーバやクライアントとなるコン
ピュータシステム内部の揮発性メモリのように、一定時
間プログラムを保持しているものも含むものとする。ま
た上記プログラムは、前述した機能の一部を実現するた
めのものであっても良く、さらに前述した機能をコンピ
ュータシステムにすでに記録されているプログラムとの
組み合わせで実現できるものであっても良い
【0027】以上、この発明の実施形態を図面を参照し
て詳述してきたが、具体的な構成はこの実施形態に限ら
れるものではなく、この発明の要旨を逸脱しない範囲の
設計変更等も含まれる。
て詳述してきたが、具体的な構成はこの実施形態に限ら
れるものではなく、この発明の要旨を逸脱しない範囲の
設計変更等も含まれる。
【0028】
【発明の効果】以上説明したように、本発明のセキュリ
ティマネジメント装置は、情報資産にアクセスし得るユ
ーザに対しセキュリティマネジメントを実行するセキュ
リティマネジメント装置において、ユーザの端末に通信
ネットワークを介してセキュリティに関する設問を提示
する提示部と、前記端末からの設問の回答を評価した評
価結果を生成する評価部と、前記評価結果に基づいて、
ユーザの情報資産に対するアクセス権限を示すアクセス
制御ポリシーを作成するアクセス制御ポリシー作成部を
有することを特徴とするので、オンラインで情報資産に
アクセスする組織や個人のセキュリティレベルを把握
し、また、そのセキュリティレベルに対する信憑性を評
価することができる。さらに、情報資産にアクセスする
組織や個人のセキュリティレベルや役職等に応じてアク
セス権限を与え、各情報資産へのアクセス権限の設定変
更をオンラインで自動的に行うことができる。また、上
述のセキュリティマネジメント装置は、前記評価結果か
ら、前記ユーザに必要な教育や教材を判断し、教育プラ
ンを作成するプラン作成部と、教育の受講状況を記録す
る受講記録部とをさらに備え、前記アクセス制御ポリシ
ー作成部は前記評価結果と前記受講状況の少なくとも一
方に基づいて、前記アクセス制御ポリシーを作成するこ
とを特徴とするので、組織や個人のセキュリティレベル
に合わせて最適な教材を用意し、また、情報資産にアク
セスする組織や個人の受講状況や役職等に応じてアクセ
ス権限を与え、各情報資産へのアクセス権限の設定変更
をオンラインで自動的に行うことができる。また、上述
のセキュリティマネジメント装置は前記評価結果、前記
受講状況、前記アクセス制御ポリシー等に関するレポー
トを作成するレポート作成部とをさらに備えることを特
徴とするので、評価結果をレポートにし、セキュリティ
管理者や情報資産にアクセスする組織や個人に提示する
ことにより、セキュリティレベルを認識させ、結果をフ
ィードバックさせることができる。また、上述のセキュ
リティマネジメント装置は前記評価結果と前記受講状況
の少なくとも一方に基づいて作成した誓約書を提示し、
ユーザの承認を得た前記誓約書を受領する誓約書提示・
受領部とをさらに備え、前記アクセス制御ポリシー作成
部は前記ユーザの承認を得た誓約書に基づいて、前記ア
クセス制御ポリシーを更新することを特徴とするので、
前記評価結果、前記受講状況からはアクセス権限が認め
られないが業務上どうしても特定の情報資産にアクセス
する必要がある場合、暫定的にアクセス権限を与えるこ
とができる。また、本発明のセキュリティマネジメント
装置は、情報資産にアクセスし得るユーザに対しセキュ
リティマネジメントを実行するセキュリティマネジメン
ト装置において、ユーザの端末に通信ネットワークを介
してセキュリティに関する設問を提示する提示部と、前
記端末からの設問の回答を評価した評価結果を生成する
評価部と、前記評価結果から、前記ユーザに必要な教育
や教材を判断し、教育プランを作成するプラン作成部と
を備えることを特徴とするので、ユーザのセキュリティ
レベルに最適な教育プランを作成することができる。
ティマネジメント装置は、情報資産にアクセスし得るユ
ーザに対しセキュリティマネジメントを実行するセキュ
リティマネジメント装置において、ユーザの端末に通信
ネットワークを介してセキュリティに関する設問を提示
する提示部と、前記端末からの設問の回答を評価した評
価結果を生成する評価部と、前記評価結果に基づいて、
ユーザの情報資産に対するアクセス権限を示すアクセス
制御ポリシーを作成するアクセス制御ポリシー作成部を
有することを特徴とするので、オンラインで情報資産に
アクセスする組織や個人のセキュリティレベルを把握
し、また、そのセキュリティレベルに対する信憑性を評
価することができる。さらに、情報資産にアクセスする
組織や個人のセキュリティレベルや役職等に応じてアク
セス権限を与え、各情報資産へのアクセス権限の設定変
更をオンラインで自動的に行うことができる。また、上
述のセキュリティマネジメント装置は、前記評価結果か
ら、前記ユーザに必要な教育や教材を判断し、教育プラ
ンを作成するプラン作成部と、教育の受講状況を記録す
る受講記録部とをさらに備え、前記アクセス制御ポリシ
ー作成部は前記評価結果と前記受講状況の少なくとも一
方に基づいて、前記アクセス制御ポリシーを作成するこ
とを特徴とするので、組織や個人のセキュリティレベル
に合わせて最適な教材を用意し、また、情報資産にアク
セスする組織や個人の受講状況や役職等に応じてアクセ
ス権限を与え、各情報資産へのアクセス権限の設定変更
をオンラインで自動的に行うことができる。また、上述
のセキュリティマネジメント装置は前記評価結果、前記
受講状況、前記アクセス制御ポリシー等に関するレポー
トを作成するレポート作成部とをさらに備えることを特
徴とするので、評価結果をレポートにし、セキュリティ
管理者や情報資産にアクセスする組織や個人に提示する
ことにより、セキュリティレベルを認識させ、結果をフ
ィードバックさせることができる。また、上述のセキュ
リティマネジメント装置は前記評価結果と前記受講状況
の少なくとも一方に基づいて作成した誓約書を提示し、
ユーザの承認を得た前記誓約書を受領する誓約書提示・
受領部とをさらに備え、前記アクセス制御ポリシー作成
部は前記ユーザの承認を得た誓約書に基づいて、前記ア
クセス制御ポリシーを更新することを特徴とするので、
前記評価結果、前記受講状況からはアクセス権限が認め
られないが業務上どうしても特定の情報資産にアクセス
する必要がある場合、暫定的にアクセス権限を与えるこ
とができる。また、本発明のセキュリティマネジメント
装置は、情報資産にアクセスし得るユーザに対しセキュ
リティマネジメントを実行するセキュリティマネジメン
ト装置において、ユーザの端末に通信ネットワークを介
してセキュリティに関する設問を提示する提示部と、前
記端末からの設問の回答を評価した評価結果を生成する
評価部と、前記評価結果から、前記ユーザに必要な教育
や教材を判断し、教育プランを作成するプラン作成部と
を備えることを特徴とするので、ユーザのセキュリティ
レベルに最適な教育プランを作成することができる。
【図1】 本発明の一実施形態におけるセキュリティマ
ネジメント装置20の構造を示すブロック図である。
ネジメント装置20の構造を示すブロック図である。
【図2】 同実施形態において、評価と教育の結果両方
からアクセス制御ポリシーを導く動作例を説明する図で
ある。
からアクセス制御ポリシーを導く動作例を説明する図で
ある。
【図3】 同実施形態において、ユーザに提示する設問
の一例である。
の一例である。
【図4】 同実施形態において、回答データの相関性評
価を説明する図である。
価を説明する図である。
【図5】 同実施形態において、教材・教育プランの作
成を説明する図である。
成を説明する図である。
【図6】 同実施形態において、アクセス制御ポリシー
の作成を説明する図である。
の作成を説明する図である。
【図7】 同実施形態において、アクセス制御ポリシー
から設定ファイルを作成する動作を説明する図である。
から設定ファイルを作成する動作を説明する図である。
【図8】 同実施形態において、評価の結果からアクセ
ス制御ポリシーを導く動作例を説明する図である。
ス制御ポリシーを導く動作例を説明する図である。
【図9】 同実施形態において、教育の結果からアクセ
ス制御ポリシーを導く動作例を説明する図である。
ス制御ポリシーを導く動作例を説明する図である。
【図10】 同実施形態をエキストラネット、マーケッ
トプレイス型ビジネスモデルに適応したときの説明図で
ある。
トプレイス型ビジネスモデルに適応したときの説明図で
ある。
【図11】 従来のセキュリティマネジメントを説明す
る図である。
る図である。
【図12】 本発明の一実施形態の概要を説明する図で
ある。
ある。
1:設問DB 2:設問データ提示部 3:回答データ受領部 4:回答評価部 5:レスポンスタイム評価部 6:回答データの相関性評価部 7:監査結果との比較評価部 8:評価DB 9:教材DB 10:教材・教育プラン作成部 11:教材提供部 12:受講管理部 13:受講管理DB 14:アクセス制御ポリシー作成部 15:アクセス制御設定部 16:レポート作成部 17:誓約書提示・受領部 18:ユーザDB 20:セキュリティマネジメントサーバ 101:ユーザ 102:セキュリティマネジメント装置 103:アクセス制御ポリシー
Claims (6)
- 【請求項1】 情報資産にアクセスし得るユーザに対し
セキュリティマネジメントを実行するセキュリティマネ
ジメント装置において、 ユーザの端末に通信ネットワークを介してセキュリティ
に関する設問を提示する提示部と、 前記端末からの設問の回答を評価した評価結果を生成す
る評価部と、 前記評価結果に基づいて、ユーザの情報資産に対するア
クセス権限を示すアクセス制御ポリシーを作成するアク
セス制御ポリシー作成部を有することを特徴とするセキ
ュリティマネジメント装置。 - 【請求項2】 前記評価結果から、前記ユーザに必要な
教育や教材を判断し、教育プランを作成するプラン作成
部と、 教育の受講状況を記録する受講記録部とをさらに備え、 前記アクセス制御ポリシー作成部は、前記評価結果と前
記受講状況の少なくとも一方に基づいて、前記アクセス
制御ポリシーを作成することを特徴とする請求項1に記
載のセキュリティマネジメント装置。 - 【請求項3】 前記評価結果、前記受講状況、前記アク
セス制御ポリシー等に関するレポートを作成するレポー
ト作成部とをさらに備えることを特徴とする請求項1ま
たは請求項2に記載のセキュリティマネジメント装置。 - 【請求項4】 前記評価結果と前記受講状況の少なくと
も一方に基づいて作成した誓約書を提示し、ユーザの承
認を得た前記誓約書を受領する誓約書提示・受領部とを
さらに備え、 前記アクセス制御ポリシー作成部は、前記ユーザの承認
を得た誓約書に基づいて、前記アクセス制御ポリシーを
更新することを特徴とする請求項1または請求項2また
は請求項3に記載のセキュリティマネジメント装置。 - 【請求項5】 情報資産にアクセスし得るユーザに対し
セキュリティマネジメントを実行するセキュリティマネ
ジメント装置において、 ユーザの端末に通信ネットワークを介してセキュリティ
に関する設問を提示する提示部と、 前記端末からの設問の回答を評価した評価結果を生成す
る評価部と、 前記評価結果から、前記ユーザに必要な教育や教材を判
断し、教育プランを作成するプラン作成部とを備えるこ
とを特徴とするセキュリティマネジメント装置。 - 【請求項6】 情報資産にアクセスし得るユーザに対し
セキュリティマネジメントを実行するセキュリティマネ
ジメント装置用のプログラムであって、 コンピュータに、 ユーザの端末に通信ネットワークを介してセキュリティ
に関する設問を提示する第1のステップと、 前記端末からの設問の回答を評価し評価結果を生成する
第2のステップと、 前記評価結果に基づいて、ユーザの情報資産に対するア
クセス権限を示すアクセス制御ポリシーを作成する第3
のステップを実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001083653A JP2002279057A (ja) | 2001-03-22 | 2001-03-22 | セキュリティマネジメント装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001083653A JP2002279057A (ja) | 2001-03-22 | 2001-03-22 | セキュリティマネジメント装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002279057A true JP2002279057A (ja) | 2002-09-27 |
Family
ID=18939437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001083653A Pending JP2002279057A (ja) | 2001-03-22 | 2001-03-22 | セキュリティマネジメント装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002279057A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006178855A (ja) * | 2004-12-24 | 2006-07-06 | Ntt Communications Kk | 利用者権限制御装置、利用者権限制御方法、及び利用者権限制御プログラム |
| JP2007334552A (ja) * | 2006-06-14 | 2007-12-27 | Pfu Ltd | アクセス許可システム |
| JP2008112284A (ja) * | 2006-10-30 | 2008-05-15 | Fujitsu Ltd | 資源管理方法、資源管理システム、およびコンピュータプログラム |
| WO2008105210A1 (ja) * | 2007-02-26 | 2008-09-04 | Nec Corporation | 教育サービス提供システム、教育サービス提供装置、教育サービス提供方法およびプログラム |
| JP2009140472A (ja) * | 2008-09-29 | 2009-06-25 | Quality Kk | 管理システムおよび管理プログラム |
| JP2010102457A (ja) * | 2008-10-22 | 2010-05-06 | Fuji Xerox Co Ltd | 情報処理装置、情報処理システム及びプログラム |
| JP2017191517A (ja) * | 2016-04-14 | 2017-10-19 | 日本放送協会 | アンケートデータ精査装置及びそのプログラム |
| JP2019046349A (ja) * | 2017-09-06 | 2019-03-22 | ファナック株式会社 | エッジサーバ及び管理サーバ |
| JP2019164570A (ja) * | 2018-03-19 | 2019-09-26 | 株式会社リコー | 情報処理システム、情報処理方法および情報処理プログラム |
-
2001
- 2001-03-22 JP JP2001083653A patent/JP2002279057A/ja active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006178855A (ja) * | 2004-12-24 | 2006-07-06 | Ntt Communications Kk | 利用者権限制御装置、利用者権限制御方法、及び利用者権限制御プログラム |
| JP4490254B2 (ja) * | 2004-12-24 | 2010-06-23 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 利用者権限制御装置、利用者権限制御方法、及び利用者権限制御プログラム |
| JP2007334552A (ja) * | 2006-06-14 | 2007-12-27 | Pfu Ltd | アクセス許可システム |
| JP2008112284A (ja) * | 2006-10-30 | 2008-05-15 | Fujitsu Ltd | 資源管理方法、資源管理システム、およびコンピュータプログラム |
| WO2008105210A1 (ja) * | 2007-02-26 | 2008-09-04 | Nec Corporation | 教育サービス提供システム、教育サービス提供装置、教育サービス提供方法およびプログラム |
| JP2009140472A (ja) * | 2008-09-29 | 2009-06-25 | Quality Kk | 管理システムおよび管理プログラム |
| JP2010102457A (ja) * | 2008-10-22 | 2010-05-06 | Fuji Xerox Co Ltd | 情報処理装置、情報処理システム及びプログラム |
| JP2017191517A (ja) * | 2016-04-14 | 2017-10-19 | 日本放送協会 | アンケートデータ精査装置及びそのプログラム |
| JP2019046349A (ja) * | 2017-09-06 | 2019-03-22 | ファナック株式会社 | エッジサーバ及び管理サーバ |
| US10805304B2 (en) | 2017-09-06 | 2020-10-13 | Fanuc Corporation | Edge server and management server |
| JP2019164570A (ja) * | 2018-03-19 | 2019-09-26 | 株式会社リコー | 情報処理システム、情報処理方法および情報処理プログラム |
| JP7095339B2 (ja) | 2018-03-19 | 2022-07-05 | 株式会社リコー | 情報処理システム、情報処理方法および情報処理プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Krutz et al. | The CISSP Prep Guide: Gold Edition | |
| US7231668B2 (en) | Network policy management and effectiveness system | |
| Stewart et al. | CISSP: Certified information systems security professional study guide | |
| US20080072334A1 (en) | System and method for electronic collaboration | |
| US20070233538A1 (en) | Systems, methods, and apparatus to manage offshore software development | |
| US20150026760A1 (en) | System and Method for Policy-Based Confidentiality Management | |
| WO2001082205A1 (en) | Method, system, and computer program product for assessing information security | |
| Johnson et al. | Security policies and implementation issues | |
| Osmanoglu | Identity and access management: business performance through connected intelligence | |
| US11238408B2 (en) | Interactive electronic employee feedback systems and methods | |
| Alavi et al. | Analyzing human factors for an effective information security management system | |
| US20070240223A1 (en) | Systems, methods, and apparatus to manage offshore software development | |
| JP2002279057A (ja) | セキュリティマネジメント装置 | |
| US20170103231A1 (en) | System and method for distributed, policy-based confidentiality management | |
| Bochnia et al. | Self-Sovereign Identity for Organizations: Requirements for Enterprise Software | |
| Majchrzak | Information security in cross-enterprise collaborative knowledge work | |
| Sinclair | Access control in and for the real world | |
| Maahs | Managerial strategies small businesses use to prevent cybercrime | |
| KR20010000366A (ko) | 네트워크를 이용한 인력정보 보호거래 방법 | |
| US20220383262A1 (en) | Method and system for providing portable curriculum vitae | |
| Majchrzak | Human issues in secure cross-enterprise collaborative knowledge-sharing: A conceptual framework for understanding the issues and identifying critical research | |
| Alsay | A quantitative regression study of the effect of security factors on the social engineering awareness level of healthcare end-users | |
| Harville | Exploring the Print Service Strategies Needed to Secure an Organization's Printer Network | |
| Johansson et al. | The impact of organizational culture on information security during development and management of IT systems: A comparative study between Japanese and Swedish banking industry | |
| O’Regan | Introduction to Ethical and Legal Aspects of Computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060320 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080925 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081007 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090113 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090519 |