JP2002352062A - セキュリティ評価装置 - Google Patents

セキュリティ評価装置

Info

Publication number
JP2002352062A
JP2002352062A JP2001154780A JP2001154780A JP2002352062A JP 2002352062 A JP2002352062 A JP 2002352062A JP 2001154780 A JP2001154780 A JP 2001154780A JP 2001154780 A JP2001154780 A JP 2001154780A JP 2002352062 A JP2002352062 A JP 2002352062A
Authority
JP
Japan
Prior art keywords
security
evaluation
policy
database
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001154780A
Other languages
English (en)
Inventor
Masayuki Morohashi
政幸 諸橋
Yasuhiko Nagai
康彦 永井
Tatsuya Fujiyama
達也 藤山
Mitsuhiro Tsunoda
光弘 角田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001154780A priority Critical patent/JP2002352062A/ja
Publication of JP2002352062A publication Critical patent/JP2002352062A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】情報セキュリティポリシーを策定し、それを利
用してセキュリティ状態を評価する方法および装置にお
いて、本発明の目的は、分類の異なるセキュリティ基準
等を利用して簡易に組織共通ポリシーを策定することで
ある。また、本発明の他の目的は、代表的なセキュリテ
ィ策定ガイドラインに記載された定性的リスク分析手法
を満足するリスク分析方法により、セキュリティポリシ
ーの優先度を決定することにある。 【解決手段】上記の目的を達成するため、統一した分類
を提供するDBフォーマットにセキュリティ基準を格納し
たDBと、ユーザによる要求条件に応じて、DBからセキュ
リティポリシーを抽出・策定する機能を設ける。また、
上記の他の目的を達成するため、各定性的リスク分析手
法で用いる評価項目を合成したDBと、DBの評価項目に入
力されたランク値からリスクを算出する機能と、リスク
から優先度を算出する機能を設ける。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、情報資産を保護す
るための方針である情報セキュリティポリシーを策定
し、それを利用してセキュリティ状態を評価するセキュ
リティ評価方法および装置に関する。
【0002】
【従来の技術】インターネット利用などにより、企業や
組織へのセキュリティ上の脅威が増大しており、十分な
対策を実施することが必要となってきている。それに対
し、ファイアウォール設置等の個別対策ではバランスの
取れた対策でないため、対策に過不足が生じる可能性が
ある。そこで、情報資産を保護するための方針であるセ
キュリティポリシーを策定し、それに基づいた体系的な
セキュリティ対策を実施することが重要になってきてい
る。
【0003】このような背景により、セキュリティポリ
シー策定のニーズが高まってきている。しかし、一般的
なセキュリティポリシー策定方法では、高度な専門知識
が必要であり、かつ、多くの作業工数がかかるという問
題点がある。
【0004】この問題点を解決する公知の技術として
は、情報処理学会研究報告 2000-CSEC-8 (情処研報 Vo
l.2000, No.30, ISSN 0919-6072 )に掲載の研究報告
「セキュリティポリシー作成支援ツールの開発」があ
る。この中で、インターネット接続された情報システム
を対象とし、脅威分析やリスク分析等を別途に行なった
結果から作成したセキュリティポリシーDBを利用するこ
とで、セキュリティポリシーを短時間・低コストで策定
する方法と,策定したセキュリティポリシーをチェック
リストとすることによりセキュリティ状態を評価する方
法が報告されている。
【0005】
【発明が解決しようとする課題】組織の情報セキュリテ
ィポリシーは、上位の組織共通ポリシー(組織全体に共
通するポリシー)と下位の部門特定ポリシー(組織内の
各部門とその部門下の情報システム等を対象範囲とする
ポリシー)からなる階層構造になっており,上位のセキ
ュリティポリシーを詳細化・特化することで下位のセキ
ュリティポリシーが策定される。また、各階層は、管理
ポリシー(組織のセキュリティ基本方針等の管理ポリシ
ー)、情報システムポリシー(情報システムのセキュリ
ティ機能やその管理・運用等に関するポリシー)、利用
者ポリシー(エンドユーザ、管理者が実施すべきポリシ
ー)から構成される。
【0006】セキュリティポリシー策定では、セキュリ
ティポリシーを構成する全側面をサポートすることが要
求されている。しかしながら、上記従来技術では、情報
システムポリシーのみを策定範囲としている。そこで、
組織全体のセキュリティポリシー策定をサポートするた
めには、策定範囲を管理・運用面に拡張する必要があ
る。
【0007】組織共通ポリシーは、官公庁等が策定した
各種セキュリティ基準を参照して策定するのが一般的で
ある。これらの基準をDB化し、利用者が選択した基準を
マージすることによって、策定作業を効率化することが
可能である。しかし、DB化する場合に、基準毎に分類が
異なる。これを解決する方法として、基準毎に固有な分
類のままDB化し、分類の異なるDB毎にセキュリティポリ
シー策定機能を開発するという方法がある。しかし、こ
の方法では、DBを追加するたびに機能を変更しなければ
ならない。
【0008】コストや利便性などを考慮すると、立案し
た全てのセキュリティポリシーを実施することは難しい
ため、セキュリティポリシーを効果的・効率的に実施す
ることが必要となる。セキュリティポリシーの効果的・
効率的な実施には、立案したセキュリティポリシーの優
先度を決定することが有効である。また、セキュリティ
ポリシーの優先度は、対象システムの構成機器や環境等
によって変化するため、適切な優先度を得るためには評
価対象毎に優先度を決定する必要がある。しかしなが
ら、上記従来技術では、別途に行なった事前分析結果を
利用して優先度を決定しているため、事前分析時に想定
した状況と評価対象の状況とが異なる場合、出力された
優先度が適切でない可能性がある。また、優先度の決定
にはリスク分析手法が必要であるが、一般的なリスク分
析手法は複数提案されており、対象に応じて適した手法
を選択するのが現実解となっている。そのため、セキュ
リティポリシーの優先度の決定に適用するリスク分析手
法を特定しなければならない。
【0009】
【課題を解決するための手段】本発明は、分類の異なる
セキュリティ基準等を利用して、組織共通ポリシーを簡
易に策定する技術を提供する。本発明によれば、今後発
行される基準や過去のポリシー事例DBに対し、機能を変
更せずに、DB追加だけで対応できるようになる。
【0010】本発明は、また、代表的なセキュリティポ
リシー策定ガイドラインに記載されたリスク分析手法を
満足することを要件とするリスク分析方法を適用して、
セキュリティポリシーの優先度を決定する技術を提供す
る。
【0011】本発明の一態様によるセキュリティ評価方
法および装置では、以下のDBと機能を備える。 ・セキュリティポリシーの策定範囲で分類した横軸の項
目と、セキュリティポリシーの種別で分類した縦軸の項
目で構成される表形式のDBフォーマットを利用する。そ
のDBフォーマットに対し、種別毎にセキュリティポリシ
ーを格納し、セキュリティポリシーと策定範囲との対応
関係を保持するDB。 ・ユーザによって追加・削除されたDBを登録する機能。 ・登録したDBの名称と種別を識別する機能。 ・策定したいセキュリティポリシーの種別を選択させる
機能。 ・登録したDBから、選択された種別に該当するDBを抽出
する機能。 ・種別をもとに抽出したDBから、利用したいDBを1つ以
上選択させる機能。 ・策定したいセキュリティポリシーの範囲を1つ以上選
択させる機能。 ・ポリシー策定の入力情報に応じて、DBからセキュリテ
ィポリシーを抽出することにより、セキュリティポリシ
ーを策定する機能。 ・策定したセキュリティポリシーに、セキュリティポリ
シーの実施有無を入力させるためのチェック欄を追加し
たリストを作成し、それを表示する機能。 ・セキュリティポリシーの実施有無を集計した結果か
ら、DB群全体とDB毎の両方についてセキュリティ状態を
評価する機能。 ・DB群全体とDB毎の両方について、セキュリティ状態を
評価した結果を表示する機能。
【0012】本発明の他の一態様によるセキュリティ評
価方法および装置では、以下のDBと機能を備える。 ・多様な評価の視点を反映したリスク分析を行なうため
に、代表的なセキュリティポリシー策定ガイドラインに
記載された定性的リスク分析手法で利用する評価項目を
合成することによって作成したDB。 ・DBを構成する評価項目に対してランク値を入力させる
機能。 ・入力されたランク値から脅威の発生可能性と損失の大
きさのランク値を算出する機能。 ・算出した発生可能性と損失の大きさのランク値から脅
威のリスクを算出する機能。 ・算出したリスクからセキュリティポリシーの優先度を
算出する機能。 ・算出した優先度をセキュリティポリシーに追加したリ
ストを作成する機能。 ・作成したリストに、セキュリティポリシーの実施有無
を入力させるためのチェック欄を追加したリストを作成
し、表示する機能。 ・作成したセキュリティポリシーの実施有無を集計した
結果から、セキュリティポリシーの優先度に基づいて決
定した重み付けを利用して、セキュリティ状態を評価す
る機能。 ・セキュリティ状態を評価した結果を表示する機能。
【0013】
【発明の実施の形態】本発明の第1実施例を説明する。
【0014】図1は、セキュリティ評価装置の概略構成
図である。本装置は、装置内の各ハードウェアを制御
し、また、プログラムを実行するCPU101、入出力を制御
する端末入出力制御装置102、フロッピーディスクドラ
イブ103、CD-ROMドライブ104、バス105、メモリ106、デ
ィスク107、入力画面や評価結果表示画面を表示するデ
ィスプレイ108、入力情報を設定するためのキーボード1
09から構成される。
【0015】メモリ106には、ポリシーDBの登録に関す
る入力処理部121、ポリシーDBの登録処理部122、ポリシ
ーDBの識別処理部123、ポリシー生成入力処理部124、ポ
リシー生成処理部125、ポリシー表示処理部126、セキュ
リティ評価処理部127、評価結果表示処理部128が格納さ
れている。これらの各処理部は、CPU101により実行され
るプログラムである。また、ディスク107には、ポリシ
ーDB131と、CPU101が実行するポリシーDBの登録プログ
ラム132とセキュリティ評価プログラム133が格納されて
いる。各プログラムは、フロッピーディスクドライブ10
3またはCD-ROMドライブ104を経由して記憶媒体から導入
されてもよい。また、図示していないが、ネットワーク
経由で通信媒体から導入されてもよい。
【0016】図2は、セキュリティ評価装置で使用する
組織共通ポリシーDBのデータ構造である。このポリシー
DBは、列201にセキュリティポリシーが格納される。本
ポリシーDBの横軸の分類(列211〜列219)はポリシー策
定範囲の分類から構成されており、縦軸の分類はポリシ
ー種別の分類(行221〜行242)から構成されている。列
211〜列419の横軸の分類は、列411〜列413の技術、列21
4〜列217の組織、列218〜列219の利用者に分類されてお
り、さらに図2に示すように詳細に分類されている。ま
た、行221〜行242の縦軸の分類は、行221〜行224の物理
セキュリティ、行225〜行231の論理セキュリティ、行23
2〜行242の管理・運用セキュリティに分類されており、
さらに図2に示すように詳細に分類されている。
【0017】本装置においてセキュリティ基準等を利用
して組織共通ポリシーを生成したい場合、図2に示すポ
リシーDBのデータ構造を利用してDB化する必要がある。
その際、以下のような手順でDB化を行なう。まず、セキ
ュリティ基準等に記載の対策が該当する種別を行221〜
行242の中から選択し、選択した種別の行の列403に、そ
の対策を記述する。その対策が該当する適用範囲を列21
1〜列219から探し、該当する列に丸を付ける。セキュリ
ティ基準に記載された対策を全てポリシーDBに記入した
ら、“[セキュリティ基準名]_[ポリシーDBの種別]”と
いうファイル名を付け、保存する。例えば、“コンピュ
ータウイルス対策基準”の場合、種別は組織共通ポリシ
ーなので、“コンピュータウイルス対策基準_組織共
通”とする。
【0018】図3は、セキュリティ評価装置で使用する
インターネットに接続する情報システム向けポリシーDB
のデータ構造である。このポリシーDBは、列301がポリ
シー種別、列302がセキュリティポリシー、列303以降が
情報システムの構成機器になっており、セキュリティポ
リシーと構成機器との対応をマトリクス形式で保持した
DBになっている。そのため、構成機器を選択すること
で、各機器毎に必要なポリシーを抽出することができ
る。
【0019】本装置では、部門特定ポリシーとして、同
種の情報システムで細部の異なる評価対象のポリシーを
策定したい場合、対象システム分野に共通なポリシーを
集めたDBと、特定の条件下で追加される固有なポリシー
を集めたDBを作成し、これらを組合せて利用することに
より、特定のシステム形態に対応する部門特定ポリシー
を策定する。これらのポリシーDBは、“[ポリシーDB名]
_[ポリシーDBの種別]”というファイル名を付け、保存
する。例えば、本実施例では“インターネット接続シス
テム”を適用対象とし、共通なポリシーと、自社で運用
管理する場合に追加されるポリシーと、外部委託して運
用管理する場合に追加されるポリシーとに分けてDBを作
成し、それぞれ“インターネット接続システムの共通ポ
リシー_部門特定”“インターネット接続システムの固
有ポリシー(運用管理を自社で実施)_部門特定”“イ
ンターネット接続システムの固有ポリシー(運用管理を
外部委託)_部門特定”としている。以上が本実施例に
よるセキュリティ評価方法および装置における構成とDB
の概要である。
【0020】上記構成のセキュリティ評価装置の動作の
説明と、入出力画面の例を示す。図4、図5はセキュリテ
ィ評価装置の動作を説明するためのフローチャート図で
ある。本装置は、図4に示すポリシーDBの登録と、図5に
示すセキュリティ評価、の2つのフェーズから構成され
ている。
【0021】ポリシーDB登録フェーズでは、まず始め
に、ポリシーDB識別処理部123がセキュリティ評価装置
上のディスク内のポリシーDBと、フロッピーディスクや
CD-ROMなどの外部記憶媒体上のポリシーDBを識別し(ス
テップ401)、ポリシーDB登録入力処理部121が、それぞ
れを図6に示す画面に表示する(ステップ402)。
【0022】セキュリティ評価装置上のディスク内のポ
リシーDBをそのまま登録しておきたい場合はチェック欄
602にチェックを入れ、削除したい場合にはチェック欄6
02にチェックを入れない。また、外部記憶媒体上のポリ
シーDBをセキュリティ評価装置上のディスク内に追加し
たい場合はチェック欄604にチェックを入れ、追加しな
い場合はチェック欄604にチェックを入れない。以上の
チェックを終えたら、“OK”ボタン605を押す。そうす
ると、ポリシーDBの追加・削除に関する入力情報を取得
し(ステップ403)、それに応じて、ポリシーDB登録処
理部122が、セキュリティ評価装置上のディスク内のポ
リシーDBを追加・削除する(ステップ404)。
【0023】セキュリティ評価フェーズでは、まず始め
に、ポリシー生成入力処理部124が、図7に示すポリシー
DBの種別に関する入力画面を表示する(ステップ50
1)。ユーザが“組織共通ポリシー”あるいは“部門特
定ポリシー”のどちらかを選択し、“次へ”ボタン703
を押す。そうすると、選択されたポリシーDBの種別に関
する入力情報を取得する(ステップ502)。選択された
種別が“組織共通ポリシー”の場合、ポリシーDB識別処
理部123が、評価装置上のディスク内のポリシーDBを識
別し、組織共通ポリシーに該当するポリシーを抽出する
(ステップ503)。その抽出されたポリシーDBをポリシ
ーDB選択項目801と、ポリシー策定範囲に関する選択項
目803を、図8に示す入力画面に表示する(ステップ50
4)。チェック欄802にチェックを入れることで、利用し
たいポリシーDBを1つあるいは複数選択する。また、チ
ェック欄804にチェックを入れることで、生成したいポ
リシーの策定範囲を選択する。最後に、セキュリティポ
リシーを表示したい場合は“ポリシー策定”ボタン805
を押し、セキュリティ状態を評価したい場合は“セキュ
リティ評価”ボタン806を押す。そうすると、ポリシー
生成処理部125が、利用するポリシーDBとポリシーの策
定範囲に関する入力情報を取得し、入力情報に応じてセ
キュリティポリシーを生成する(ステップ505)。選択
された種別が“部門特定ポリシー”の場合、ポリシーDB
識別処理部123が、評価装置上のディスク内のポリシーD
Bを識別し、部門特定ポリシーに該当するポリシーを抽
出する(ステップ503)。その抽出されたポリシーDBを
ポリシーDB選択項目901と、ポリシー策定範囲に関する
選択項目903を、図9に示す入力画面に表示する(ステッ
プ504)。チェック欄902にチェックを入れることで、利
用したいポリシーDBを1つあるいは複数選択する。ま
た、チェック欄904にチェックを入れることで、生成し
たいポリシーの策定範囲を選択する。最後に、セキュリ
ティポリシーを表示したい場合は“ポリシー策定”ボタ
ン905を押し、セキュリティ状態を評価したい場合は
“セキュリティ評価”ボタン906を押す。そうすると、
ポリシー生成処理部125が、利用するポリシーDBとポリ
シーの策定範囲に関する入力情報を取得し、入力情報に
応じてセキュリティポリシーを作成する(ステップ50
5)。“ポリシー策定”と“セキュリティ評価”のどち
らのボタンが押されたかを判別し、各々の処理に分岐す
る(ステップ506)。“ポリシー策定”ボタンが押され
た場合、ポリシー表示処理部126が、図10に示すセキュ
リティポリシーを表示する。ポリシーは策定範囲別に別
々のシート(タブ1011〜タブ1014)に表示され、各シー
トのポリシー1003は種別毎に大分類1001、中分類1002に
分類されている。図10の出力画面は組織共通ポリシーの
場合の例を示しており、部門特定ポリシーの場合には大
分類1001を削除した画面が表示される(ステップ51
0)。“セキュリティ評価”ボタンが押された場合、セ
キュリティポリシーにチェック欄1101を追加した形式
で、図11に示すセキュリティチェックリストを表示する
(ステップ507)。そのチェック欄1101に対して、ユー
ザは、ポリシーを実施済みであればチェックを入れ、未
実施であればチェックを入れない。そのチェック結果に
基づいて、セキュリティ評価処理部127が、各ポリシー
の実施状況を集計する(ステップ508)。実施状況は、
各ポリシーDB単位とDB群全体別に集計され、ポリシー種
別の中分類毎に該当するポリシー数に対する実施済みポ
リシーの割合を計算することで集計する。評価結果表示
処理部128が、計算した集計結果を、図12に示すレーダ
ーチャートを用いて表示する。評価結果は、ポリシー策
定範囲別に別々のシート(タブ1221〜タブ1224)に表示
され、各シートのレーダーチャートはポリシーDB単位
(1231〜1232)とDB群全体(1233)別に表示される(ス
テップ509)。
【0024】本実施例によれば、以下のような効果があ
る。・ポリシーDBフォーマットを利用して、コンピュー
タ不正アクセス対策基準等のセキュリティ基準をDB化す
ることで、多様なセキュリティ基準を用いて組織共通ポ
リシーを策定することが可能となる。・選択したポリシ
ーDBから策定した組織共通ポリシーに対して、実施有無
をチェックすることで、選択したDB全体を用いたセキュ
リティ評価と、特定のDBを用いたセキュリティ評価を行
なうことができる。・新たにセキュリティ基準等を追加
する場合も、ポリシーDBフォーマットを利用してDB化す
ることにより、セキュリティ評価装置の機能を変更する
ことなしに、追加したDBを利用してセキュリティポリシ
ーを策定することが可能となる。
【0025】本発明の第2実施例を説明する。まず、本
実施例によるセキュリティ評価方法および装置における
構成とDBの概要を説明する。図13は、セキュリティ評価
装置の概略構成図である。本装置は、装置内の各ハード
ウェアを制御しプログラムを実行するCPU1301、入出力
を制御する端末入出力制御装置1302、バス1305、メモリ
1306、ディスク1307、入力画面や評価結果表示画面を表
示するディスプレイ1303、入力情報を設定するためのキ
ーボード1304から構成される。メモリ1306には、構成機
器・リスク分析手法の選択に関する入力処理部1311、脅
威抽出処理部1312、ポリシー抽出処理部1313、リスク関
連データ入力処理部1314、評価項目制限処理部1315、発
生可能性と損失の大きさのランク値算出処理部1316、リ
スク算出処理部1317、優先度算出処理部1318、ポリシー
生成処理部1319、ポリシー表示処理部1320、セキュリテ
ィ評価処理部1321、評価結果表示処理部1322が格納され
ている。これらの各処理部は、CPU1301により実行され
るプログラムである。また、ディスク1307には、構成機
器−脅威DB1331、脅威−リスクDB1332、脅威−ランク値
DB1333、脅威−ポリシーDB1334と、CPU1301が実行する
セキュリティ評価プログラム1335が格納されている。各
プログラムは、図示していないフロッピーディスクドラ
イブまたはCD-ROMドライブなどを経由して記憶媒体から
導入されてもよいし、ネットワーク経由で通信媒体から
導入されてもよい。
【0026】図14は、セキュリティ評価装置で使用する
グレード値−数値DBのデータ構造である。列1401は発生
確率のグレード値と数値の対応関係、列1402は損失額の
グレード値と数値の対応関係を示す。図15は、セキュリ
ティ評価装置で使用する構成機器−脅威DBのデータ構造
である。列1501は脅威を示し、列1502以降はその脅威が
起こり得る構成機器との対応関係を示す。図16は、セキ
ュリティ評価装置で使用する脅威−ポリシーDBのデータ
構造である。列1601はポリシー種別、列1602はセキュリ
ティポリシー、列1603以降はそのポリシーが対抗できる
脅威との対応関係を示している。
【0027】図17は、セキュリティ評価装置で使用する
発生可能性に関する評価項目−ランク値DBのデータ構造
である。列1701は発生可能性に関する評価項目の大項
目、列1702は発生可能性に関する評価項目の小項目、列
1703は発生可能性に関する評価項目の詳細項目、列1704
は発生可能性に関する詳細項目に与えるランク値の選択
肢を示す。このDBは、脅威の発生可能性のランク値を定
性的に決定するのに利用される。そのランク値の決定手
順を以下に説明する。まず、脅威を脅威の種類から偶発
的脅威と故意的脅威に分け、対応する各詳細項目を0〜4
にランク付けする。これらのランク値を平均し、正規化
した値を「脅威の発生頻度」のランク値(0〜4)とす
る。「脆弱性の程度」の各詳細項目を0〜4にランク付け
する。ただし、該当しない項目に関しては“該当なし”
を選択する。該当する項目のみを対象にしてランク値を
平均し、正規化した値を「脆弱性の程度」のランク値
(0〜4)とする。最後に、「脅威の発生頻度」のランク
値(0〜4)と「脆弱性の程度」のランク値(0〜4)を掛
け算し、5段階に正規化した値を「発生可能性」のラン
ク値(0〜4)とする。
【0028】図18は、セキュリティ評価装置で使用する
損失の大きさに関する評価項目−ランク値DBのデータ構
造である。列1801は損失の大きさに関する評価項目の大
項目、列1802は損失の大きさに関する評価項目の小項
目、列1803は損失の大きさに関する評価項目の詳細項
目、列1804は損失の大きさに関する詳細項目に与えるラ
ンク値の選択肢を示す。このDBは、脅威の損失の大きさ
のランク値を定性的に決定するのに利用される。そのラ
ンク値の決定手順を以下に説明する。
【0029】「機密性の侵害による影響の大きさ」の各
詳細項目を0〜4にランク付けする。これらのランク値を
平均し、正規化した値を「機密性の侵害による影響の大
きさ」のランク値(0〜4)とする。「完全性の侵害によ
る影響の大きさ」「可用性の侵害による影響の大きさ」
の各詳細項目に関しても、同様のランク付けと計算方法
により、それぞれ0〜4のランク値を決定する。最後に、
「機密性の侵害による影響の大きさ」「完全性の侵害に
よる影響の大きさ」「可用性の侵害による影響の大き
さ」の各ランク値を平均し、正規化した値を「損失の大
きさ」のランク値(0〜4)とする。
【0030】図19は、セキュリティ評価装置で使用する
脅威−リスクDBのデータ構造である。列1901は脅威、列
1902は発生可能性のランク値あるいは数値、列1903は損
失の大きさのランク値あるいは数値、列1904はリスクを
示す。このDBの発生可能性と損失の大きさのランク値あ
るいは数値は、入力時のデフォルト値として利用され
る。図20は、セキュリティ評価装置で使用する脅威−ラ
ンク値DBのデータ構造である。列2001は脅威、列2002は
発生可能性に関する評価項目のランク値、列2003は損失
の大きさに関する評価項目のランク値を示す。このDBの
ランク値は、入力時のデフォルト値として利用される。
【0031】上記構成のセキュリティ評価装置の動作の
説明と、入出力画面の例を示す。図21はセキュリティ評
価装置の動作を説明するためのフローチャート図、図22
〜図31は入出力画面を示す。まず、セキュリティ評価装
置上のセキュリティ評価プログラム1335を動作させる
と、構成機器・リスク分析手法の入力処理部1311が、図
22、図23に示す入力画面を表示する(ステップ2101)。
【0032】図22ではシステムを構成する機器を選択さ
せ、図23では利用するリスク分析手法を選択させる。脅
威抽出処理部1312が、構成機器に関する入力情報を取得
し、図15に示す構成機器−脅威DBを用いて該当する脅威
を抽出する。また、ポリシー抽出処理部1313が、抽出し
た脅威から、図16に示す脅威−ポリシーDBを用いて該当
するポリシーを抽出する(ステップ2102)。利用するリ
スク分析手法に関する入力情報を取得し、入力情報に応
じて処理を分岐する(ステップ2103)。ステップ2103に
おいて、“統合型の定性的リスク分析手法”が選択され
た場合、リスク関連データ入力処理部1314が、図24に示
す入力画面を表示する。列2401はステップ2102で抽出し
た脅威を表示する。また、列2402と列2403は、図19に示
す脅威−リスクDBから、その脅威に該当する発生可能性
と損失の大きさを抽出し、デフォルト値として表示す
る。まず、脅威を選択する。その脅威の発生可能性のラ
ンク値を決定したい場合は“発生可能性の入力”ボタン
2404を押し、損失の大きさのランク値を決定したい場合
は“損失の大きさの入力”ボタン2405を押す。
【0033】“発生可能性の入力”ボタン2404が押され
た場合、図25に示す入力画面を表示する。図17に示す列
1701〜列1703が、列2501〜列2503に該当し、列1704のラ
ンク値の選択肢は列2504のプルダウンメニュー2505で表
示される。このランク値のデフォルト値は、図20に示す
脅威−ランク値DBが示すランク値を設定する。ユーザ
は、列2503に示す評価項目に対して、列2504のランク値
を設定する。すべての評価項目に対してランク値を設定
し、“OK”ボタン2506を押すと、入力されたランク値を
取得する(ステップ2104)。そのランク値を用いて、発
生可能性と損失の大きさのランク値算出処理部1316が、
発生可能性のランク値を算出する(ステップ2105)。算
出したランク値が反映された図24の画面を表示する。
【0034】“損失の大きさの入力”ボタン2405が押さ
れた場合、図26に示す入力画面を表示する。図18に示す
列1801〜列1803が、列2601〜列2603に該当し、列1804の
ランク値の選択肢は列2604のプルダウンメニュー2605で
表示される。このランク値のデフォルト値は、図20に示
す脅威−ランク値DBが示すランク値を設定する。ユーザ
は、列2603に示す評価項目に対して、列2604のランク値
を設定する。すべての評価項目に対してランク値を設定
し、“OK”ボタン2606を押すと、入力されたランク値を
取得する(ステップ2104)。そのランク値を用いて、発
生可能性と損失の大きさのランク値算出処理部1316が、
損失の大きさのランク値を算出する。算出したランク値
が反映された図24の画面を表示する(ステップ2105)。
図24に示す全脅威の発生可能性と損失の大きさのランク
値を設定したら、“ポリシー策定”ボタン2406あるいは
“セキュリティ評価”ボタン2407を押す。
【0035】ステップ2103において、“FISC推奨の定性
的リスク分析手法”が選択された場合、リスク関連デー
タ入力処理部1314が、図24に示す入力画面を表示する。
ランク値の入力画面や入力方法は基本的に“統合型の定
性的リスク分析手法”と同じである。しかし、評価項目
制限処理部1315が、図25の列2501〜列2503を、図17の
「脆弱性の程度」に関する評価項目だけに制限して表示
する。この場合、「脆弱性の程度」のランク値が発生可
能性のランク値となる(ステップ2106)。
【0036】ステップ2103において、“官公推奨の定性
的リスク分析手法”が選択された場合、リスク関連デー
タ入力処理部1314が、図24に示す入力画面を表示する。
ランク値の入力画面や入力方法は基本的に“統合型の定
性的リスク分析手法”と同じである。しかし、評価項目
制限処理部1315が、図25の列2501〜列2503を、図17の
「脅威の発生頻度」に関する評価項目だけに制限して表
示する。この場合、「脅威の発生頻度」のランク値が発
生可能性のランク値となる(ステップ2106)。
【0037】ステップ2103において、“数値を入力とす
る定量的リスク分析手法”が選択された場合、リスク関
連データ入力処理部1314が、図24に示す入力画面を表示
する。列2401はステップ2102で抽出した脅威を表示す
る。また、列2402と列2403は、図19に示す脅威−リスク
DBから、その脅威に該当する発生可能性と損失の大きさ
を抽出し、デフォルト値として表示する。まず、脅威を
選択する。その脅威の発生確率を入力したい場合は“発
生可能性の入力”ボタン2404を押し、損失額を入力した
い場合は“損失の大きさの入力”ボタン2405を押す。
“発生可能性の入力”ボタン2404が押された場合、図27
に示す入力画面を表示する。ユーザは、発生可能性に関
する定量値の入力欄2701に、発生確率を入力する。“O
K”ボタン2702を押すと、入力された値を取得し、入力
値が反映された図24の画面を表示する(ステップ210
7)。
【0038】“損失の大きさの入力”ボタン2405が押さ
れた場合、図28に示す入力画面を表示する。ユーザは、
損失の大きさに関する定量値の入力欄2801に、損失額を
入力する。“OK”ボタン2802を押すと、入力された値を
取得し、入力値が反映された図24の画面を表示する。図
24に示す全脅威の発生可能性と損失の大きさの数値を設
定したら、“ポリシー策定”ボタン2406あるいは“セキ
ュリティ評価”ボタン2407を押す(ステップ2107)。
【0039】ステップ2103において、“グレード値を入
力とする定量的リスク分析手法”が選択された場合、リ
スク関連データ入力処理部1314が、図24に示す入力画面
を表示する。定量値の入力画面や入力方法は基本的に
“数値を入力とする定量的リスク分析手法”と同じであ
る。しかし、入力値がグレード値であることが異なり、
入力されたグレード値を取得した後(ステップ2108)、
図14に示すグレード値−数値DBを用いて数値に変換する
(ステップ2109)。
【0040】以上により算出した発生可能性と損失の大
きさのランク値あるいは数値を掛け算することにより、
リスク算出処理部1317が各脅威のリスクを算出する(ス
テップ2110)。優先度算出処理部1318が、図6に示す脅
威−ポリシーDBを用いて、各セキュリティポリシーが対
抗できる脅威のリスクを合計する。そのリスク合計値の
最大値から0までの範囲を5等分し、大きい順に1〜5の数
値を当てはめる。各セキュリティポリシーのリスク合計
値が該当する数値を優先度とする(ステップ2111)。こ
れまで特定したセキュリティポリシーとその優先度を利
用して、ポリシー生成処理部1319が、セキュリティポリ
シーの一覧表を生成する(ステップ2112)。図24に示す
入力画面で、“ポリシー策定”と“セキュリティ評価”
のどちらのボタンが押されたかを判別し、各々の処理に
分岐する(ステップ2113)。“ポリシー策定”が選択さ
れた場合、ポリシー表示処理部1320が、図29に示すセキ
ュリティポリシーを表示する。ポリシーは構成機器毎に
別々のシート(タブ2911〜タブ2912)に表示され、各シ
ートのポリシー2902は種別毎に分類されている。列2903
は優先度を示している(ステップ2117)。
【0041】“セキュリティ評価”が選択された場合、
セキュリティポリシーにチェック欄3004を追加した形式
で、図30に示すセキュリティチェックリストを表示する
(ステップ2114)。チェック欄3004に対して、ユーザ
は、ポリシーを実施済みであればチェックを入れ、未実
施であればチェックを入れない。そのチェック結果に基
づいて、セキュリティ評価処理部1321が、各ポリシーの
実施状況を集計する。実施状況は、ポリシー種別毎に該
当するポリシーに対して、優先度を重みに変換し、その
重みを利用して、セキュリティポリシーの達成度を算出
する(ステップ2115)。達成度の重みへの変換方法は、
優先度1の場合は重み5、優先度2の場合は重み4、優先度
3の場合は重み3、優先度4の場合は重み2、優先度5の場
合は重み1とする。評価結果表示処理部1322が、計算し
た集計結果を、図31に示すレーダーチャートを用いて表
示する(ステップ2116)。評価結果は、構成機器毎に別
々のシート(タブ3121〜タブ3122)で表示する。
【0042】本実施例によれば、以下のような効果があ
る。 ・代表的なセキュリティポリシー策定ガイドラインに記
載されたリスク分析手法で利用する評価項目を合成した
DBを作成し、それを利用することで、多様な評価の視点
を反映したリスク分析を行なうことができる。 ・上記DBの評価項目を部分利用することで、個別のセキ
ュリティポリシー策定ガイドラインに記載されたリスク
分析手法に準拠することができる。 ・同様のリスクを算出する機能を利用することにより、
脅威の発生可能性と損失の大きさに関する定量値を入力
とする場合にも、リスクを算出することができる。 ・評価対象毎に構成機器や環境等を考慮することで、評
価対象に応じた優先度を得ることができる。 ・優先度に基づいて各セキュリティポリシーに対して重
み付けを行なうことで、重みを反映した達成度を算出す
ることができる。
【0043】
【発明の効果】以上に述べたように、本発明によれば、
次のような効果を得ることができる。 ・セキュリティポリシーを格納するDBフォーマットを利
用してセキュリティ基準をDB化することで、多様なセキ
ュリティ基準を用いて組織共通ポリシーを策定すること
ができる。また、新たにDBを追加した場合も、機能変更
なしにセキュリティポリシーを策定することができる。 ・代表的なセキュリティポリシー策定ガイドラインに記
載された定性的リスク分析手法で利用する評価項目を合
成したDBを利用することで、代表的なセキュリティポリ
シー策定ガイドラインに記載された定性的リスク分析手
法を満足するリスク分析を行ない、セキュリティポリシ
ーの優先度を決定することができる。
【図面の簡単な説明】
【図1】第1の実施例におけるセキュリティ評価装置の
概略構成図である。
【図2】組織共通ポリシーDBのデータ構造である。
【図3】インターネット接続システム向けポリシーDBの
データ構造である。
【図4】ポリシーDB登録プログラムのフローチャートで
ある。
【図5】第1の実施例におけるセキュリティ評価プログ
ラムのフローチャートである。
【図6】ポリシーDB登録の入力画面である。
【図7】ポリシーDBの種別に関する入力画面である。
【図8】組織共通ポリシー策定に関する入力画面であ
る。
【図9】部門特定ポリシー策定に関する入力画面であ
る。
【図10】セキュリティポリシー表示画面である。
【図11】セキュリティチェックリスト表示画面であ
る。
【図12】評価結果表示画面である。
【図13】第2の実施例におけるセキュリティ評価装置
の概略構成図である。
【図14】グレード値−数値DBのデータ構造である。
【図15】構成機器−脅威DBのデータ構造である。
【図16】脅威ポリシーDBのデータ構造である。
【図17】発生可能性に関する評価項目−ランク値DBの
データ構造である。
【図18】損失の大きさに関する評価項目−ランク値DB
のデータ構造である。
【図19】脅威−リスクDBのデータ構造である。
【図20】脅威−評価項目のランク値DBのデータ構造で
ある。
【図21】第1の実施例におけるセキュリティ評価プロ
グラムのフローチャートである。
【図22】構成機器入力画面である。
【図23】リスク分析手法の入力画面である。
【図24】発生可能性と損失の大きさを入力する項目の
選択画面である。
【図25】発生可能性に関する評価項目のランク値の入
力画面である。
【図26】損失の大きさに関する評価項目のランク値の
入力画面である。
【図27】発生可能性に関する定量値の入力画面であ
る。
【図28】損失の大きさに関する定量値の入力画面であ
る。
【図29】セキュリティポリシー表示画面である。
【図30】セキュリティチェックリスト表示画面であ
る。
【図31】評価結果表示画面である。
【符号の説明】
121…ポリシーDB登録入力処理部、122…ポリシーDB登録
処理部、123…ポリシーDB識別処理部、124…ポリシー生
成入力処理部、125…ポリシー生成処理部、126…ポリシ
ー表示処理部、127…セキュリティ評価処理部、128…評
価結果表示処理部、131…ポリシーDB、132…ポリシーDB
登録プログラム、133…セキュリティ評価プログラム、1
311…構成機器・リスク分析手法の入力処理部、1312…
脅威抽出処理部、1313…ポリシー抽出処理部、1314…リ
スク関連データ入力処理部、1315…評価項目制限処理
部、1316…発生可能性と損失の大きさのランク値算出処
理部、1317…リスク算出処理部、1318…優先度算出処理
部、1319…ポリシー生成処理部、1320…ポリシー表示処
理部、1321…セキュリティ評価処理部、1322…評価結果
表示処理部、1331…構成機器−脅威DB、1332…脅威−リ
スクDB、1333…脅威−ランク値DB、1334…脅威−ポリシ
ーDB、1335…セキュリティ評価プログラム。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 藤山 達也 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 角田 光弘 神奈川県川崎市幸区鹿島田890番地 株式 会社日立製作所情報サービス事業部内 Fターム(参考) 5B017 AA07 BB06 CA16 5B082 GA11 5B085 AC03

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】セキュリティポリシー事例を格納するデー
    タベースを利用するセキュリティポリシー策定装置であ
    って,セキュリティポリシーと前記セキュリティポリシ
    ーの適用対象との対応関係を共通のフォーマットで格納
    するセキュリティポリシーデータベース群と,前記デー
    タベース群から一つ以上のデータベースを選択するデー
    タベース選択手段と,前記選択データベース群を動的に
    結合したデータベースとして利用して,適用対象毎のセ
    キュリティポリシー一覧を生成するポリシー生成手段と
    を備える,ことを特徴とするセキュリティポリシー策定
    装置。
  2. 【請求項2】セキュリティポリシー事例を格納するデー
    タベースを利用するセキュリティ評価装置であって,請
    求項1記載のセキュリティポリシー策定装置により生成
    されたセキュリティポリシーを,チェックリストとして
    表示するチェックリスト表示手段と,前記チェックリス
    トへの入力に基づいてセキュリティ状態を評価するセキ
    ュリティ評価手段と,前記セキュリティ評価手段による
    評価結果を出力する評価結果出力手段とを備えることを
    特徴とするセキュリティ評価装置。
  3. 【請求項3】請求項2記載のセキュリティ評価装置にお
    いて,請求項1記載のセキュリティポリシーデータベー
    ス群と共通フォーマットの任意のデータベースを追加す
    るデータベース追加手段と,前記セキュリティデータベ
    ース群から任意のデータベースを削除するデータベース
    削除手段と,前記データベース追加手段または前記デー
    タベース削除手段により、動的に拡張または縮小された
    データベース群を識別するデータベース識別手段とを備
    えることを特徴とするセキュリティ評価装置。
  4. 【請求項4】請求項1記載のポリシー生成手段により生
    成された各セキュリティポリシーの導出元であるデータ
    ベースを識別するポリシー導出元識別手段と,前記導出
    元データベース単位にチェックの個数を集計することに
    より導出元データベース単位にセキュリティ状態を評価
    するDB別セキュリティ評価手段とを備えることを特徴と
    する請求項2記載のセキュリティ評価装置。
  5. 【請求項5】一つ以上の記憶媒体に記録された請求項1
    記載のセキュリティポリシーデータベース群を認識する
    データベース群認識手段を備えることを特徴とする請求
    項2記載のセキュリティ評価装置。
  6. 【請求項6】請求項1記載の共通フォーマットとして,
    セキュリティポリシー種別毎に異なる一つ以上の共通フ
    ォーマットを識別するフォーマット識別手段と,セキュ
    リティポリシー種別を選択するポリシー種別選択手段
    と,前記ポリシー種別選択手段により選択した種別に該
    当するデータベース群から一つ以上のデータベースを選
    択する種別単位データベース選択手段とを備えることを
    特徴とする請求項2記載のセキュリティ評価装置。
  7. 【請求項7】セキュリティポリシーと前記セキュリティ
    ポリシーの適用対象との対応関係を格納するセキュリテ
    ィポリシーデータベースと,前記セキュリティポリシー
    と前記セキュリティポリシーによって対策される脅威と
    の対応関係を格納する脅威データベースと,脅威の発生
    可能性を入力する発生可能性入力手段と,脅威による損
    失の大きさを入力する損失入力手段と,発生可能性と損
    失の大きさから脅威のリスクを算出するリスク算出手段
    と,セキュリティポリシーによって対策される脅威群の
    各脅威のリスクの総和に基づいて前記セキュリティポリ
    シーの実施優先度を決定する優先度決定手段と,前記セ
    キュリティポリシーデータベースと前記実施優先度に基
    づいて、実施優先度を対応付けて各適用対象別のセキュ
    リティポリシーを生成する優先度付きポリシー生成手段
    とを備えることを特徴とするセキュリティ評価装置。
  8. 【請求項8】請求項7記載の優先度付きポリシー生成手
    段により生成されたセキュリティポリシー一覧を,チェ
    ックリストとして表示するチェックリスト表示手段と,
    前記セキュリティポリシー一覧に入力されたチェックの
    個数と各セキュリティポリシーに設定した実施優先度に
    基づいてセキュリティ状態を評価する重み付きセキュリ
    ティ評価手段と,前記評価手段による評価結果を出力す
    る評価結果出力手段とを備えることを特徴とする請求項
    7記載のセキュリティ評価装置。
  9. 【請求項9】脅威の発生可能性を定量値として入力する
    発生確率入力手段と,脅威による損失の大きさを定量値
    として入力する損失額入力手段と,発生可能性と損失の
    大きさとにより脅威のリスクを算出する定量リスク算出
    手段と,定量的なリスク評価結果に基づいてセキュリテ
    ィポリシーに実施優先度を設定する手段を備えることを
    特徴とする請求項7または8記載のセキュリティ評価装
    置。
  10. 【請求項10】脅威の発生可能性を定性的に評価するた
    めの項目群を格納する発生可能性評価項目データベース
    と,脅威による損失の大きさを定性的に評価するための
    項目群を格納する損失評価項目データベースと,脅威の
    発生可能性の評価項目毎に定性的な程度をランク値とし
    て入力する発生可能性ランク入力手段と,脅威による損
    失の大きさの評価項目毎に定性的な程度をランク値とし
    て入力する損失ランク入力手段と,発生可能性の評価項
    目群に入力したランク値から発生可能性のランク値を算
    出する発生可能性ランク算出手段と,損失の大きさの評
    価項目群に入力したランク値から損失の大きさのランク
    値を算出する損失ランク算出手段と,発生可能性のラン
    ク値と損失の大きさのランク値から脅威のリスクを算出
    する定性リスク算出手段と,定性的なリスク評価結果に
    基づいてセキュリティポリシーに実施優先度を設定する
    手段を備えることを特徴とする請求項7または8記載の
    セキュリティ評価装置。
  11. 【請求項11】複数の定性的リスク評価方法の間で共通
    の発生可能性評価項目が重複しないように足し合わせて
    格納した発生可能性評価項目統合データベースと,前記
    定性的リスク評価方法群の間で共通の損失評価項目が重
    複しないように足し合わせて格納した損失評価項目統合
    データベースと,前記定性的リスク評価方法群の間で共
    通の計算方法により脅威のリスクを算出する統合リスク
    算出手段とを備えることを特徴とする請求項10記載の
    セキュリティ評価装置。
  12. 【請求項12】前記統合リスク算出手段は、複数の定性
    的リスク評価方法の全てを包含する統合リスク分析方法
    により脅威のリスクを算出することを特徴とする請求項
    11記載のセキュリティ評価装置。
  13. 【請求項13】定性的リスク評価方法群の中から一つの
    評価方法を選択する評価方法選択手段と,請求項11記
    載の発生可能性評価項目統合データベースから前記で選
    択した評価方法で定義される評価項目を抽出する発生可
    能性評価項目抽出手段と,請求項11記載の損失評価項
    目統合データベースから前記で選択した評価方法で定義
    される評価項目を抽出する損失評価項目抽出手段と,定
    性的リスク評価方法群の中から選択された所望の評価方
    法に基づいて脅威のリスクを算出する手段とを備えるこ
    とを特徴とする請求項12記載のセキュリティ評価装
    置。
  14. 【請求項14】算出された脅威のリスクを記録するリス
    ク評価結果データベースと,前記リスク評価結果データ
    ベースから脅威のリスクを読み出すリスク取得手段と,
    実施済みリスク評価の結果を再利用する手段とを備える
    ことを特徴とする請求項7または8記載のセキュリティ
    評価装置。
  15. 【請求項15】請求項7記載の発生可能性入力手段と,
    請求項7記載の損失入力手段と,請求項7記載のリスク
    算出手段と,請求項13記載のリスク評価結果データベ
    ースのデータを変更するデータベース編集手段と,実施
    済みリスク評価の結果を修正利用する手段とを備えるこ
    とを特徴とする請求項7または8記載のセキュリティ評
    価装置。
JP2001154780A 2001-05-24 2001-05-24 セキュリティ評価装置 Pending JP2002352062A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001154780A JP2002352062A (ja) 2001-05-24 2001-05-24 セキュリティ評価装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001154780A JP2002352062A (ja) 2001-05-24 2001-05-24 セキュリティ評価装置

Publications (1)

Publication Number Publication Date
JP2002352062A true JP2002352062A (ja) 2002-12-06

Family

ID=18999067

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001154780A Pending JP2002352062A (ja) 2001-05-24 2001-05-24 セキュリティ評価装置

Country Status (1)

Country Link
JP (1) JP2002352062A (ja)

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004282662A (ja) * 2003-03-19 2004-10-07 Hitachi Ltd ポリシーベースシステム設定支援装置
JP2005258512A (ja) * 2004-03-09 2005-09-22 Hitachi Ltd 統合システムセキュリティ設計方法及びそのプログラム
JP2006023916A (ja) * 2004-07-07 2006-01-26 Laurel Intelligent Systems Co Ltd 情報保護方法、情報セキュリティ管理装置、情報セキュリティ管理システム、情報セキュリティ管理プログラム
JP2006065509A (ja) * 2004-08-25 2006-03-09 Asgent Inc セキュリティポリシー運用管理システム及びプログラム
JP2006172169A (ja) * 2004-12-16 2006-06-29 Asgent Inc セキュリティポリシー運用管理システム及びプログラム
JP2008129648A (ja) * 2006-11-16 2008-06-05 Nec Corp セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム
JP2008287435A (ja) * 2007-05-16 2008-11-27 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム
JP2009289137A (ja) * 2008-05-30 2009-12-10 Fujitsu Ltd アクセス制御ポリシーの遵守チェック用プログラム
JP2010044749A (ja) * 2008-07-16 2010-02-25 Denso Wave Inc セキュリティ機能を有する携帯端末
JP4469910B1 (ja) * 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム
US7772972B2 (en) 2006-05-24 2010-08-10 Omron Corporation Security monitoring device, security monitoring system and security monitoring method
JP2010198194A (ja) * 2009-02-24 2010-09-09 Nomura Research Institute Ltd セキュリティ管理支援システム
US7882537B2 (en) 2004-06-21 2011-02-01 Nec Corporation Method and apparatus for security policy management
JP2011192105A (ja) * 2010-03-16 2011-09-29 Mitsubishi Electric Information Systems Corp セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法
WO2012053041A1 (ja) * 2010-10-22 2012-04-26 株式会社日立製作所 セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム
JP4991968B2 (ja) * 2009-11-19 2012-08-08 株式会社日立製作所 コンピュータシステム、管理システム及び記録媒体
JP2013025429A (ja) * 2011-07-19 2013-02-04 Mitsubishi Electric Corp セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム
US8539546B2 (en) 2010-10-22 2013-09-17 Hitachi, Ltd. Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy
JP2014503099A (ja) * 2011-01-10 2014-02-06 サウジ アラビアン オイル カンパニー プラント・ネットワーク及びシステムのためのリスク評価ワークフロー・プロセス遂行システム、プログラム製品及び方法
WO2015025694A1 (ja) * 2013-08-21 2015-02-26 日立オートモティブシステムズ株式会社 セキュリティ上の脅威を評価する評価装置及びその方法
JP2016192176A (ja) * 2015-03-31 2016-11-10 株式会社日立製作所 セキュリティ対策支援装置およびセキュリティ対策支援方法
US9740851B2 (en) 2014-07-30 2017-08-22 International Business Machines Corporation Sending a password to a terminal
JP2019021161A (ja) * 2017-07-20 2019-02-07 株式会社日立製作所 セキュリティ設計支援システムおよびセキュリティ設計支援方法
JP2020060916A (ja) * 2018-10-09 2020-04-16 株式会社 みずほ銀行 リスク統制支援システム、リスク統制支援方法及びリスク統制支援プログラム

Cited By (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004282662A (ja) * 2003-03-19 2004-10-07 Hitachi Ltd ポリシーベースシステム設定支援装置
JP4504706B2 (ja) * 2004-03-09 2010-07-14 株式会社日立製作所 統合システムセキュリティ設計方法及びそのプログラム
JP2005258512A (ja) * 2004-03-09 2005-09-22 Hitachi Ltd 統合システムセキュリティ設計方法及びそのプログラム
US7882537B2 (en) 2004-06-21 2011-02-01 Nec Corporation Method and apparatus for security policy management
JP2006023916A (ja) * 2004-07-07 2006-01-26 Laurel Intelligent Systems Co Ltd 情報保護方法、情報セキュリティ管理装置、情報セキュリティ管理システム、情報セキュリティ管理プログラム
JP2006065509A (ja) * 2004-08-25 2006-03-09 Asgent Inc セキュリティポリシー運用管理システム及びプログラム
JP2006172169A (ja) * 2004-12-16 2006-06-29 Asgent Inc セキュリティポリシー運用管理システム及びプログラム
US7772972B2 (en) 2006-05-24 2010-08-10 Omron Corporation Security monitoring device, security monitoring system and security monitoring method
JP2008129648A (ja) * 2006-11-16 2008-06-05 Nec Corp セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム
JP2008287435A (ja) * 2007-05-16 2008-11-27 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム
JP2009289137A (ja) * 2008-05-30 2009-12-10 Fujitsu Ltd アクセス制御ポリシーの遵守チェック用プログラム
JP2010044749A (ja) * 2008-07-16 2010-02-25 Denso Wave Inc セキュリティ機能を有する携帯端末
JP4469910B1 (ja) * 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム
WO2010074093A1 (ja) * 2008-12-24 2010-07-01 株式会社 東芝 セキュリティ対策機能評価プログラム
JP2010152560A (ja) * 2008-12-24 2010-07-08 Toshiba Corp セキュリティ対策機能評価プログラム
US8407801B2 (en) 2008-12-24 2013-03-26 Kabushiki Kaisha Toshiba Security countermeasure function evaluation program
CN102282567B (zh) * 2008-12-24 2014-12-10 株式会社东芝 安全性对策功能评估方法
JP2010198194A (ja) * 2009-02-24 2010-09-09 Nomura Research Institute Ltd セキュリティ管理支援システム
JP4991968B2 (ja) * 2009-11-19 2012-08-08 株式会社日立製作所 コンピュータシステム、管理システム及び記録媒体
JP2011192105A (ja) * 2010-03-16 2011-09-29 Mitsubishi Electric Information Systems Corp セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法
US8539546B2 (en) 2010-10-22 2013-09-17 Hitachi, Ltd. Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy
WO2012053041A1 (ja) * 2010-10-22 2012-04-26 株式会社日立製作所 セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム
JP2014503099A (ja) * 2011-01-10 2014-02-06 サウジ アラビアン オイル カンパニー プラント・ネットワーク及びシステムのためのリスク評価ワークフロー・プロセス遂行システム、プログラム製品及び方法
JP2013025429A (ja) * 2011-07-19 2013-02-04 Mitsubishi Electric Corp セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム
WO2015025694A1 (ja) * 2013-08-21 2015-02-26 日立オートモティブシステムズ株式会社 セキュリティ上の脅威を評価する評価装置及びその方法
JP2015041167A (ja) * 2013-08-21 2015-03-02 日立オートモティブシステムズ株式会社 セキュリティ上の脅威を評価する評価装置及びその方法
US9740851B2 (en) 2014-07-30 2017-08-22 International Business Machines Corporation Sending a password to a terminal
US10255430B2 (en) 2014-07-30 2019-04-09 International Business Machines Corporation Sending a password to a terminal
JP2016192176A (ja) * 2015-03-31 2016-11-10 株式会社日立製作所 セキュリティ対策支援装置およびセキュリティ対策支援方法
JP2019021161A (ja) * 2017-07-20 2019-02-07 株式会社日立製作所 セキュリティ設計支援システムおよびセキュリティ設計支援方法
JP7058088B2 (ja) 2017-07-20 2022-04-21 株式会社日立製作所 セキュリティ設計支援システムおよびセキュリティ設計支援方法
JP2020060916A (ja) * 2018-10-09 2020-04-16 株式会社 みずほ銀行 リスク統制支援システム、リスク統制支援方法及びリスク統制支援プログラム

Similar Documents

Publication Publication Date Title
JP2002352062A (ja) セキュリティ評価装置
US20240022608A1 (en) Method, apparatus, and computer-readable medium for data protection simulation and optimization in a computer network
Johnson et al. Using enterprise architecture for cio decision-making: On the importance of theory
US11930032B2 (en) System and method for enumerating and remediating gaps in cybersecurity defenses
US20210117563A1 (en) Use of Multi-Faceted Trust Scores for Decision Making, Action Triggering, and Data Analysis and Interpretation
US6741995B1 (en) Method for dynamically creating a profile
US7865388B2 (en) Apparatus and method for providing program protection engineering, security management, and report preparation for sensitive and classified projects
RU2409835C2 (ru) Способ и машиночитаемый носитель для предоставления ключевых показателей эффективности на основе электронных таблиц
US7870607B2 (en) Security and analysis system
KR101593910B1 (ko) 개인 정보 상시 감시 시스템 및 그 상시 감시 방법
US20120005631A1 (en) Techniques for display of information related to policies
AU2020257057A1 (en) Methods and apparatus for the analyzing, manipulating, formatting, templating, styling and/or publishing of data collected from a plurality of sources
WO2004021147A2 (en) Decision analysis system and method
US20090327924A1 (en) Interactive user interface for displaying correlation
JP2007233474A (ja) 案件情報作成支援システム及びプログラム
US20030120589A1 (en) Method and apparatus for risk analysis management and quality of service analysis
US20090259622A1 (en) Classification of Data Based on Previously Classified Data
JP3872689B2 (ja) セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム
EP1475736A2 (en) Method and system for performance analysis for a function or service provided to or in an organisation
CA3135186A1 (en) Data analysis and visualization using structured data tables and nodal networks
EP3997657A1 (en) Quantifiying privacy impact
Li et al. What data should i protect? Recommender and planning support for data security analysts
JP2005216003A (ja) リスク管理支援方法及びリスク管理支援プログラム
US20140222655A1 (en) Method and System for Automatic Regulatory Compliance
US20200234152A1 (en) Data analysis and visualization using structured data tables and nodal networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050324

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060418

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070803

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070828

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071218