JP2003271832A - Electronic business transaction method and electronic business transaction device - Google Patents
Electronic business transaction method and electronic business transaction deviceInfo
- Publication number
- JP2003271832A JP2003271832A JP2002070518A JP2002070518A JP2003271832A JP 2003271832 A JP2003271832 A JP 2003271832A JP 2002070518 A JP2002070518 A JP 2002070518A JP 2002070518 A JP2002070518 A JP 2002070518A JP 2003271832 A JP2003271832 A JP 2003271832A
- Authority
- JP
- Japan
- Prior art keywords
- security
- commercial transaction
- security evaluation
- electronic commerce
- customers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000011156 evaluation Methods 0.000 claims abstract description 144
- 238000012937 correction Methods 0.000 claims description 37
- 238000012545 processing Methods 0.000 claims description 26
- 238000012550 audit Methods 0.000 description 39
- 238000010586 diagram Methods 0.000 description 28
- 238000007689 inspection Methods 0.000 description 25
- 238000007726 management method Methods 0.000 description 21
- 230000005540 biological transmission Effects 0.000 description 16
- 238000012790 confirmation Methods 0.000 description 13
- 238000003745 diagnosis Methods 0.000 description 12
- 238000012854 evaluation process Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002250 progressing effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、電子商取引方法お
よび電子商取引装置に係り、特にコンピュータ環境のセ
キュリティ評価に基づいて顧客間の商取引を行う電子商
取引方法および電子商取引装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an electronic commerce method and an electronic commerce apparatus, and more particularly to an electronic commerce method and an electronic commerce apparatus for carrying out commerce between customers based on a security evaluation of a computer environment.
【0002】[0002]
【従来の技術】近年、インターネットなどのコンピュー
タネットワーク上で商取引を行う電子商取引(Electron
ic Commerce)が行われるようになった。電子商取引に
は、企業と一般消費者との間で行うBtoC(Business
to Consumer)、企業と企業との間で行うBtoB(Bu
siness to Business)等がある。2. Description of the Related Art In recent years, electronic commerce (Electron Commerce) for conducting commerce on a computer network such as the Internet
ic Commerce) has started. For electronic commerce, BtoC (Business
to Consumer), BtoB (Bu
siness to Business) etc.
【0003】例えば企業間で行うBtoB(以下、企業
間の商取引という)は、LAN(Local Area Network)
またはWAN(Wide Area Network)等を用いて構築さ
れた互いの企業内ネットワークをインターネットなどの
コンピュータネットワークを介して接続することで行わ
れていた。For example, BtoB (hereinafter referred to as business transaction between companies) performed between companies is a LAN (Local Area Network).
Alternatively, it has been carried out by connecting mutual corporate networks constructed by using WAN (Wide Area Network) or the like via a computer network such as the Internet.
【0004】[0004]
【発明が解決しようとする課題】ところで、企業内ネッ
トワークをインターネットなどに接続する場合、不正ア
クセスや機密データの漏洩を防止して機密性を保つた
め、企業内ネットワークのセキュリティレベルを高くし
ておく必要があった。By the way, when connecting a corporate network to the Internet or the like, the security level of the corporate network is set high to prevent unauthorized access and leakage of confidential data to maintain confidentiality. There was a need.
【0005】しかし、企業間の商取引を行う場合、相手
側の企業内ネットワークのセキュリティレベルも高くな
ければ、相手側の企業内ネットワークのセキュリティが
破られてセキュリティレベルの高い企業のデータも漏洩
してしまう可能性が高いという問題があった。However, when conducting business transactions between companies, if the security level of the company network of the other party is not high, the security of the company network of the other party is broken and the data of the company having a high security level is also leaked. There was a high possibility that it would end up.
【0006】したがって、企業内ネットワークのセキュ
リティレベルの異なる企業間で商取引を行う場合、セキ
ュリティレベルの高い企業にとってリスクが大きいとい
う問題があった。[0006] Therefore, there is a problem that when a business transaction is carried out between companies having different security levels of the in-house network, a company having a high security level has a large risk.
【0007】本発明は、上記の点に鑑みなされたもの
で、コンピュータ環境のセキュリティレベルの異なる顧
客間で商取引を行うときに、セキュリティレベルの高い
企業のリスクを補償することが可能な電子商取引方法お
よび電子商取引装置を提供することを目的とする。The present invention has been made in view of the above points, and when conducting a commercial transaction between customers having different security levels in a computer environment, an electronic commercial transaction method capable of compensating for the risk of a company having a high security level. And an electronic commerce device.
【0008】[0008]
【課題を解決するための手段】そこで、上記課題を解決
するため、本発明は、コンピュータを用いて、顧客間の
商取引を行う電子商取引方法であって、前記コンピュー
タが、商取引を行う顧客毎にコンピュータ環境のセキュ
リティ評価を取得し、前記セキュリティ評価の差に応じ
て前記顧客間の商取引を行う商取引段階を有することを
特徴とする。In order to solve the above-mentioned problems, the present invention is an electronic commerce method for carrying out commercial transactions between customers using a computer, wherein the computer carries out a commercial transaction for each customer. It is characterized by having a commercial transaction step of obtaining a security evaluation of a computer environment and conducting a commercial transaction between the customers according to the difference in the security evaluation.
【0009】このような電子商取引方法では、商取引を
行う顧客毎にコンピュータ環境のセキュリティ評価を取
得し、セキュリティ評価の差に応じて顧客間の商取引を
行うことができるので、セキュリティレベルの高い企業
のリスクを補償することが可能である。In such an electronic commerce method, the security evaluation of the computer environment can be obtained for each customer who conducts the business transaction, and the business transaction between the customers can be performed according to the difference in the security evaluation. It is possible to compensate the risk.
【0010】また、本発明は、前記商取引段階は、商取
引を行う顧客のコンピュータ環境のセキュリティ評価を
取得し、取得したセキュリテ評価の差に応じて前記顧客
間の商取引条件を設定する商取引条件設定段階と、前記
商取引条件に応じた商取引価格で前記顧客間の商取引を
行う商取引処理段階とを有することを特徴とする。Further, in the present invention, in the commercial transaction step, a commercial transaction condition setting step of acquiring a security evaluation of a computer environment of a customer who conducts a commercial transaction and setting a commercial transaction condition between the customers according to a difference in the acquired security evaluations. And a commercial transaction processing step of performing a commercial transaction between the customers at a commercial transaction price according to the commercial transaction conditions.
【0011】このような電子商取引方法では、セキュリ
テ評価の差に応じて顧客間の商取引条件を設定し、商取
引条件に応じた商取引価格で顧客間の商取引を行うこと
ができるので、セキュリティレベルの高い企業のリスク
を商取引価格の調整で補償することが可能である。In such an electronic commerce method, since the business transaction condition between customers can be set according to the difference in security evaluation and the business transaction between customers can be performed at the commercial transaction price according to the business transaction condition, the security level is high. Corporate risk can be compensated by adjusting the transaction price.
【0012】また、本発明は、前記商取引条件は、商取
引を行う顧客間のセキュリティ評価の差に応じた商取引
価格の補正率であることを特徴とする。Further, the present invention is characterized in that the commercial transaction condition is a correction rate of a commercial transaction price according to a difference in security evaluation between customers who conduct a commercial transaction.
【0013】このような電子商取引方法では、商取引条
件として商取引価格の補正率を設定できる。In such an electronic commerce method, the correction rate of the commerce price can be set as the commerce condition.
【0014】また、本発明は、前記商取引処理段階は、
商取引価格の補正率に基づく補正金額を算出し、セキュ
リティ評価の高い顧客からセキュリティ評価の低い顧客
に対する商取引価格に前記補正金額を上乗せする一方、
セキュリティ評価の低い顧客からセキュリティ評価の高
い顧客に対する商取引価格から前記補正金額を差し引く
ことを特徴とする。In the present invention, the commercial transaction processing step is
While calculating a correction amount based on the correction rate of the commercial transaction price, while adding the correction amount to the commercial transaction price from the customer with a high security evaluation to the customer with a low security evaluation,
It is characterized in that the correction amount is subtracted from a commercial transaction price for a customer having a high security evaluation from a customer having a low security evaluation.
【0015】このような電子商取引方法では、商取引価
格の補正率に基づく補正金額を算出し、セキュリティ評
価の高い顧客からセキュリティ評価の低い顧客に対する
商取引価格に補正金額を上乗せする一方、セキュリティ
評価の低い顧客からセキュリティ評価の高い顧客に対す
る商取引価格から補正金額を差し引くことにより、セキ
ュリティレベルの差に応じた商取引価格の調整を行うこ
とができる。In such an electronic commerce method, the correction amount is calculated based on the correction rate of the commerce price, and the correction amount is added to the commerce price from the customer with high security evaluation to the customer with low security evaluation, while the security evaluation is low. By subtracting the correction amount from the customer transaction price for the customer with a high security evaluation, the customer transaction price can be adjusted according to the difference in security level.
【0016】この結果、セキュリティレベルの高い企業
のリスクを商取引価格の調整で補償することが可能であ
る。As a result, it is possible to compensate the risk of a company having a high security level by adjusting the transaction price.
【0017】また、上記課題を解決するため、本発明
は、顧客間の商取引を行う電子商取引装置であって、商
取引を行う顧客毎にコンピュータ環境のセキュリティ評
価を取得し、前記セキュリティ評価の差に応じて前記顧
客間の商取引を行う商取引手段を有することを特徴とす
る。In order to solve the above-mentioned problems, the present invention is an electronic commerce device for conducting commercial transactions between customers, wherein a security evaluation of a computer environment is acquired for each customer who conducts commercial transactions, and the difference between the security evaluations is obtained. According to the present invention, there is provided a commercial transaction means for conducting commercial transactions between the customers.
【0018】このような電子商取引装置では、商取引を
行う顧客毎にコンピュータ環境のセキュリティ評価を取
得し、セキュリティ評価の差に応じて顧客間の商取引を
行うことができるので、セキュリティレベルの高い企業
のリスクを補償することが可能である。In such an electronic commerce device, the security evaluation of the computer environment can be obtained for each customer who conducts a commercial transaction, and the commercial transaction between the customers can be performed according to the difference in the security evaluation. It is possible to compensate the risk.
【0019】[0019]
【発明の実施の形態】次に、本発明の実施の形態につい
て図面に基づいて説明する。BEST MODE FOR CARRYING OUT THE INVENTION Next, embodiments of the present invention will be described with reference to the drawings.
【0020】図1は、本発明による電子商取引システム
の一例の構成図を示す。図1の電子商取引システム1
は、セキュリティ監査装置10と,電子商取引装置15
と,情報提供装置20と,ユーザAのコンピュータ環境
30と,ユーザBのコンピュータ環境40とが、例えば
インターネットなどのネットワーク50を介して接続さ
れている。FIG. 1 is a block diagram showing an example of an electronic commerce system according to the present invention. Electronic commerce system 1 of FIG.
Is a security inspection device 10 and an electronic commerce device 15
The information providing apparatus 20, the computer environment 30 of the user A, and the computer environment 40 of the user B are connected via a network 50 such as the Internet.
【0021】情報提供装置20は、非営利の情報提供団
体などが管理するものであり、例えばセキュリティ評価
の低い問題ユーザの情報を提供する。また、コンピュー
タ環境30および40は、セキュリティサービス会社に
セキュリティ監査を依頼しているユーザのLAN等であ
る。The information providing device 20 is managed by a non-profit information providing organization or the like, and provides, for example, information of problem users with low security evaluation. The computer environments 30 and 40 are, for example, the LAN of the user who requests the security audit from the security service company.
【0022】セキュリティ監査装置10は、セキュリテ
ィ監査を行うセキュリティサービス会社が管理するもの
である。セキュリティサービス会社はコンピュータ環境
30および40を有する企業等とセキュリティ監査に関
する契約を行い、その契約内容に応じてコンピュータ環
境30および40のセキュリティ監査を行う。電子商取
引装置15は、ユーザ間で行う商取引を仲介するもので
ある。例えば電子商取引装置15はユーザAとユーザB
との間で行う商取引を仲介する。The security inspection device 10 is managed by a security service company that performs a security inspection. The security service company makes a security audit contract with a company or the like having the computer environments 30 and 40, and carries out a security audit of the computer environments 30 and 40 according to the contents of the contract. The electronic commerce device 15 mediates a commercial transaction between users. For example, the electronic commerce device 15 has user A and user B.
Mediate business transactions with.
【0023】次に、セキュリティ監査装置10および電
子商取引装置15の詳細について説明する。図2は、本
発明によるセキュリティ監査装置および電子商取引装置
の一実施例のハードウェア構成図を示す。セキュリティ
監査装置10または電子商取引装置15は、それぞれバ
スBで相互に接続されている入力装置100と,表示装
置101と,ドライブ装置102と,記録媒体103
と,補助記憶装置104と,メモリ装置105と,演算
処理装置106と,インターフェース装置107とを有
するように構成される。Next, details of the security inspection device 10 and the electronic commerce device 15 will be described. FIG. 2 is a hardware configuration diagram of an embodiment of the security inspection device and the electronic commerce device according to the present invention. The security inspection device 10 or the electronic commerce device 15 includes an input device 100, a display device 101, a drive device 102, and a recording medium 103 which are connected to each other by a bus B.
And an auxiliary storage device 104, a memory device 105, an arithmetic processing device 106, and an interface device 107.
【0024】入力装置100はキーボード及びマウスな
どで構成され、様々な操作指示を入力するために用いら
れる。表示装置101は、操作に必要な各種ウインドウ
やデータ等を表示する。インターフェース装置107は
例えばモデム(MODEM),ルータ(Router)等で構成さ
れ、ネットワーク50に接続するために用いられる。The input device 100 is composed of a keyboard and a mouse, and is used for inputting various operation instructions. The display device 101 displays various windows and data necessary for operation. The interface device 107 includes, for example, a modem (MODEM), a router (Router), etc., and is used to connect to the network 50.
【0025】セキュリティ監査装置10が利用するセキ
ュリティ監査プログラムまたは電子商取引装置15が利
用する電子商取引プログラムは、CD−ROM等の記録
媒体103によって提供される。セキュリティ監査プロ
グラムまたは電子商取引プログラムを記録した記録媒体
103は、ドライブ装置102にセットされ、セキュリ
ティ監査プログラムまたは電子商取引プログラムが記録
媒体103からドライブ装置102を介して補助記憶装
置104にインストールされる。The security inspection program used by the security inspection apparatus 10 or the electronic commercial transaction program used by the electronic commercial transaction apparatus 15 is provided by a recording medium 103 such as a CD-ROM. The recording medium 103 recording the security inspection program or the electronic commerce program is set in the drive device 102, and the security inspection program or the electronic commerce program is installed in the auxiliary storage device 104 from the recording medium 103 via the drive device 102.
【0026】補助記憶装置104は、インストールされ
たセキュリティ監査プログラムまたは電子商取引プログ
ラムを格納すると共に、必要なファイルやデータ等を格
納する。例えば補助記憶装置104は、セキュリティ監
査プログラムまたは電子商取引プログラムの処理に必要
な、後述する各種テーブルを格納している。なお、各種
テーブルはセキュリティ監査装置10または電子商取引
装置15の他に設けられたデータベースサーバに管理さ
せてもよい。The auxiliary storage device 104 stores the installed security audit program or electronic commerce program, and also stores necessary files and data. For example, the auxiliary storage device 104 stores various tables, which will be described later, necessary for processing the security audit program or the electronic commerce program. The various tables may be managed by a database server provided in addition to the security inspection device 10 or the electronic commerce device 15.
【0027】メモリ装置105は、セキュリティ監査装
置10または電子商取引装置15の起動時に補助記憶装
置104からセキュリティ監査プログラムまたは電子商
取引プログラムを読み出して格納する。演算処理装置1
06は、メモリ装置105に格納されたセキュリティ監
査プログラムまたは電子商取引プログラムに従ってセキ
ュリティ監査装置10または電子商取引装置15に係る
機能を実行する。The memory device 105 reads out and stores the security inspection program or the electronic commerce program from the auxiliary storage device 104 when the security inspection device 10 or the electronic commerce device 15 is activated. Processor 1
06 executes a function relating to the security inspection device 10 or the electronic commerce device 15 according to the security inspection program or the electronic commerce program stored in the memory device 105.
【0028】図3は、本発明によるセキュリティ監査装
置の一実施例の機能構成図を示す。図3のセキュリティ
監査装置10は、実施周期決定部61と,問題ユーザ情
報確認部62と,セキュリティ診断部63と,セキュリ
ティ評価部64と,業種別セキュリティ評価部65と,
実施周期基準テーブル66と,製品リリース時期管理テ
ーブル67と,セキュリティホール情報発信数管理テー
ブル68と,製品別の実施周期テーブル69と,サーバ
別の実施周期テーブル70と,セキュリティ診断結果テ
ーブル71と,セキュリティ評価結果テーブル72と,
業種別のセキュリティ評価基準テーブル73と,ユーザ
別のセキュリティ評価結果テーブル74とを有するよう
に構成される。FIG. 3 is a functional block diagram of an embodiment of the security inspection device according to the present invention. The security inspection device 10 of FIG. 3 includes an implementation period determination unit 61, a problem user information confirmation unit 62, a security diagnosis unit 63, a security evaluation unit 64, a security evaluation unit 65 for each industry,
Implementation cycle reference table 66, product release time management table 67, security hole information transmission number management table 68, product implementation cycle table 69, server implementation cycle table 70, security diagnosis result table 71, A security evaluation result table 72,
It is configured to have a security evaluation reference table 73 for each industry and a security evaluation result table 74 for each user.
【0029】以下、図3のセキュリティ監査装置10の
処理手順について説明していく。図4は、セキュリティ
監査装置の処理の一実施例のフローチャートを示す。The processing procedure of the security inspection device 10 of FIG. 3 will be described below. FIG. 4 shows a flowchart of an embodiment of the processing of the security inspection device.
【0030】ステップS10では、実施周期決定部61
がセキュリティ監査の実施周期を決定する図5のような
処理を行う。図5は、セキュリティ監査の実施周期決定
処理の一実施例のフローチャートを示す。In step S10, the implementation cycle determining unit 61
Performs the processing shown in FIG. 5 for determining the security audit implementation cycle. FIG. 5 shows a flowchart of an embodiment of security audit implementation cycle determination processing.
【0031】ステップS11では、実施周期決定部61
が、製品リリース情報を収集して製品リリース時期管理
テーブル67を作成する。図6は、製品リリース時期管
理テーブルの一例の構成図を示す。製品リリース時期管
理テーブル67は、オペレーションシステム(以下、O
Sという)やアプリケーションなど製品のカテゴリを表
す製品カテゴリと,製品名と,その製品のリリース時期
とをデータ項目として有している。製品リリース時期管
理テーブル67は、製品がリリースされてからのリリー
ス期間を製品毎に表すためのものである。In step S11, the implementation cycle determining unit 61
Collects the product release information and creates the product release time management table 67. FIG. 6 is a block diagram showing an example of the product release time management table. The product release time management table 67 is an operation system (hereinafter referred to as “O”).
S)), a product category representing a product category such as an application, a product name, and a release time of the product are included as data items. The product release time management table 67 is for displaying the release period after the product is released for each product.
【0032】ステップS11に続いてステップS12に
進み、実施周期決定部61は製品のセキュリティホール
情報を収集してセキュリティホール情報発信数管理テー
ブル68を作成する。図7は、セキュリティホール情報
発信数管理テーブルの一例の構成図を示す。セキュリテ
ィホール情報発信数管理テーブル68は、製品カテゴリ
と,製品名と,所定期間に発信されたセキュリティホー
ル情報の数を表す情報発信数とをデータ項目として有し
ている。セキュリティホール情報発信数管理テーブル6
8は、所定期間に発信されたセキュリティホール情報の
数を製品毎に表すものである。In step S12 following step S11, the implementation cycle determining unit 61 collects the security hole information of the product and creates the security hole information transmission number management table 68. FIG. 7 is a block diagram showing an example of a security hole information transmission number management table. The security hole information transmission number management table 68 has, as data items, a product category, a product name, and an information transmission number indicating the number of security hole information transmitted in a predetermined period. Security hole information transmission number management table 6
8 shows the number of security hole information transmitted in a predetermined period for each product.
【0033】ステップS12に続いてステップS13に
進み、実施周期決定部61は製品リリース時期管理テー
ブル67から製品毎のリリース期間を読み出すと共に、
セキュリティホール情報発信数管理テーブル68から製
品毎のセキュリティホール情報の情報発信数を読み出
す。そして、実施周期決定部61は読み出したリリース
期間およびセキュリティホール情報の情報発信数に基づ
き、実施周期基準テーブル66からリモート監査の実施
周期およびオンサイトの実施周期を読み出す。In step S13 following step S12, the implementation cycle determination unit 61 reads the release period of each product from the product release time management table 67, and
The information transmission number of security hole information for each product is read from the security hole information transmission number management table 68. Then, the implementation cycle determining unit 61 reads out the remote audit implementation cycle and the on-site implementation cycle from the implementation cycle reference table 66 based on the read release period and the information transmission number of the security hole information.
【0034】図8は、実施周期基準テーブルの一例の構
成図を示す。実施周期基準テーブル66は、製品カテゴ
リと,製品のリリース期間およびセキュリティホール情
報の情報発信数に基づく実施周期の基準と,セキュリテ
ィ監査の実施周期とをデータ項目として有している。実
施周期基準テーブル66は、製品のリリース期間および
セキュリティホール情報の情報発信数に応じてセキュリ
ティ監査の実施周期を導出するものである。FIG. 8 is a block diagram showing an example of the implementation cycle reference table. The implementation cycle reference table 66 has, as data items, a product category, a release cycle of the product, a reference of an execution cycle based on the number of information transmissions of security hole information, and a security audit execution cycle. The implementation cycle reference table 66 derives a security audit implementation cycle according to the product release period and the number of transmitted security hole information.
【0035】ステップS13に続いてステップS14に
進み、実施周期決定部61はステップS13の結果に応
じて製品別の実施周期テーブル69を作成する。図9
は、製品別の実施周期テーブルの一例の構成図を示す。
製品別の実施周期テーブル69は、製品カテゴリと,製
品名と,その製品のセキュリティ監査の実施周期とをデ
ータ項目として有している。Progressing to step S14 following step S13, the implementation cycle determining unit 61 creates a product-specific implementation cycle table 69 according to the result of step S13. Figure 9
[Fig. 3] shows a configuration diagram of an example of an implementation cycle table for each product.
The product-specific execution cycle table 69 has, as data items, a product category, a product name, and a security audit execution cycle of the product.
【0036】例えば現時点を2002年4月1日と仮定
して製品別の実施周期テーブル69を作成する処理につ
いて説明する。実施周期決定部61は、図6の製品リリ
ース時期管理テーブル67から製品「AAA」のリリー
ス期間「1年6ヶ月」を取得する。実施周期決定部61
は、図7のセキュリティホール情報発信数管理テーブル
68から製品「AAA」のセキュリティホール情報の情
報発信数「120」を取得する。For example, assuming that the current time is April 1, 2002, the process for creating the product-specific implementation cycle table 69 will be described. The implementation cycle determination unit 61 acquires the release period “1 year 6 months” of the product “AAA” from the product release time management table 67 of FIG. Implementation cycle determination unit 61
Acquires the information transmission number "120" of the security hole information of the product "AAA" from the security hole information transmission number management table 68 of FIG.
【0037】そして、実施周期決定部61は実施周期基
準テーブル66の製品カテゴリ「OS」に対応する実施
周期の基準からリリース期間「1年6ヶ月」およびセキ
ュリティホール情報の情報発信数「120」に合致する
ものを選択することで、その製品のリモート監査の実施
周期「1」およびオンサイト監査の実施周期「2」を導
出する。すべての製品についてリモート監査の実施周期
およびオンサイト監査の実施周期を導出することによ
り、図9の製品別の実施周期テーブル69を作成でき
る。Then, the implementation cycle determining unit 61 sets the release period "1 year and 6 months" and the number of security hole information transmissions "120" from the implementation cycle reference corresponding to the product category "OS" in the implementation cycle reference table 66. By selecting the matching ones, the remote audit execution cycle “1” and the on-site audit execution cycle “2” of the product are derived. By deriving the execution cycle of the remote audit and the execution cycle of the on-site audit for all products, the execution cycle table 69 for each product in FIG. 9 can be created.
【0038】ステップS14に続いてステップS15に
進み、実施周期決定部61はセキュリティ監査を行うユ
ーザのコンピュータ環境を構成するサーバ,そのサーバ
上のOSおよびアプリケーションの情報を取得し、製品
別の実施周期テーブル69からサーバ上のOSおよびア
プリケーションのリモート監査の実施周期およびオンサ
イト監査の実施周期をそれぞれ導出する。In step S15 following step S14, the implementation cycle determination unit 61 acquires information on the server that constitutes the computer environment of the user who performs the security audit, the OS and applications on the server, and the implementation cycle for each product. The remote audit execution cycle and the on-site audit execution cycle of the OS and the application on the server are derived from the table 69, respectively.
【0039】ステップS15に続いてステップS16に
進み、実施周期決定部61はサーバ上のOSおよびアプ
リケーションのリモート監査の実施周期およびオンサイ
ト監査の実施周期を比較する。そして、実施周期決定部
61は最も短いリモート監査の実施周期およびオンサイ
ト監査の実施周期をそのサーバのリモート監査の実施周
期およびオンサイト監査の実施周期として確定する。In step S16 following step S15, the execution period determination unit 61 compares the remote inspection execution period of the OS and the application on the server with the on-site inspection execution period. Then, the execution cycle determination unit 61 determines the shortest execution cycle of the remote audit and the shortest execution cycle of the on-site audit as the remote audit execution cycle and the on-site audit execution cycle of the server.
【0040】例えば図9の製品別の実施周期テーブル6
9を利用し、製品「EEE」,製品「aaa」,製品
「ccc」からなるサーバのリモート監査の実施周期お
よびオンサイト監査の実施周期を確定する例について簡
単に説明する。図9の製品別の実施周期テーブル69を
参照すると、製品「EEE」,製品「aaa」および製
品「ccc」のリモート監査の実施周期が1,1および
1ヶ月である。また、製品「EEE」,製品「aaa」
および製品「ccc」のオンサイト監査の実施周期が
2,1および1ヶ月である。For example, the execution cycle table 6 for each product in FIG.
An example of determining the remote audit execution cycle and the on-site audit execution cycle of the server composed of the product "EEE", the product "aaa", and the product "ccc" by using 9 will be briefly described. Referring to the product-specific execution cycle table 69 in FIG. 9, the remote audit execution cycles of the product “EEE”, the product “aaa”, and the product “ccc” are 1, 1 and 1 month. In addition, product "EEE", product "aaa"
And the on-site audit period for product "ccc" is 2, 1 and 1 month.
【0041】この場合、実施周期決定部61は最も短い
リモート監査の実施周期1ヶ月およびオンサイト監査の
実施周期1ヶ月をそのサーバのリモート監査の実施周期
およびオンサイト監査の実施周期として確定する。In this case, the implementation cycle determining unit 61 determines the shortest remote audit implementation cycle of 1 month and the on-site audit implementation cycle of 1 month as the remote audit implementation cycle and the on-site audit implementation cycle of the server.
【0042】ステップS16に続いてステップS17に
進み、実施周期決定部61は全てのサーバについてリモ
ート監査の実施周期およびオンサイト監査の実施周期を
確定してサーバ別の実施周期テーブル70を作成する。
図10は、サーバ別の実施周期テーブルの一例の構成図
を示す。サーバ別の実施周期テーブル70は、サーバ名
と,製品カテゴリと,使用製品名と,セキュリティ監査
の実施周期とをデータ項目として有している。サーバ別
の実施周期テーブル70は、セキュリティ監査の実施周
期としてリモート監査の実施周期およびオンサイト監査
の実施周期をサーバ毎に表すものである。In step S17 following step S16, the implementation cycle determination unit 61 determines the remote audit implementation cycle and the on-site audit implementation cycle for all servers and creates the server-specific implementation cycle table 70.
FIG. 10 shows a configuration diagram of an example of the implementation cycle table for each server. The server-based implementation cycle table 70 has, as data items, a server name, a product category, a product name used, and a security audit implementation cycle. The server-based implementation cycle table 70 represents, for each server, a remote audit implementation cycle and an on-site audit implementation cycle as security audit implementation cycles.
【0043】図4に戻り、ステップS20では、問題ユ
ーザ情報確認部62が問題ユーザ情報を確認し、その問
題ユーザ情報に応じたセキュリティ評価処理する図11
のような処理を行う。図11は、問題ユーザ情報確認処
理の一実施例のフローチャートを示す。Returning to FIG. 4, in step S20, the problem user information confirmation unit 62 confirms the problem user information and performs a security evaluation process according to the problem user information.
Perform processing such as. FIG. 11 shows a flowchart of an example of the problem user information confirmation processing.
【0044】ステップS21では、問題ユーザ情報確認
部62が、問題ユーザ情報の更新状況を定期的に確認す
る。例えば問題ユーザ情報は、非営利団体によるブラッ
クリスト情報,公共機関または公共企業が提供するセキ
ュリティトラブル企業情報などを含むものである。In step S21, the problem user information confirmation section 62 periodically confirms the update status of the problem user information. For example, the problem user information includes blacklist information by a non-profit organization, security trouble company information provided by a public institution or public company, and the like.
【0045】ステップS21に続いてステップS22に
進み、問題ユーザ情報確認部62は問題ユーザ情報が更
新されているか否かを判定する。問題ユーザ情報が更新
されているか否かの判定は、例えばWebページの更新
日やメールの発信日などを用いて行うことができる。In step S22 following step S21, the problem user information confirmation unit 62 determines whether the problem user information has been updated. The determination as to whether or not the problem user information has been updated can be made using, for example, the update date of the Web page or the date of sending the mail.
【0046】問題ユーザ情報が更新されていないと判定
すれば(S22においてNO)、問題ユーザ情報確認部
62はステップS21に進む。一方、問題ユーザ情報が
更新されていると判定すると(S22においてYE
S)、問題ユーザ情報確認部62はステップS23に進
む。If it is determined that the problem user information has not been updated (NO in S22), problem user information confirmation unit 62 proceeds to step S21. On the other hand, if it is determined that the problem user information has been updated (YES in S22)
S), the problem user information confirmation unit 62 proceeds to step S23.
【0047】ステップS23では、問題ユーザ情報確認
部62が、問題ユーザ情報の中からユーザ名およびホス
ト名(サーバ名)を確認する。ステップS23に続いて
ステップS24に進み、ステップS23で確認したユー
ザ名およびホスト名が正式契約ユーザのものか否かを判
定する。ここで、正式契約ユーザとはセキュリティ監査
装置10を管理するセキュリティサービス会社がセキュ
リティ監査に関する契約を行った企業等である。In step S23, the problem user information confirmation unit 62 confirms the user name and host name (server name) from the problem user information. Progressing to step S24 following step S23, it is determined whether the user name and host name confirmed in step S23 belong to the official contract user. Here, the formal contract user is, for example, a company to which the security service company that manages the security auditing device 10 has made a contract regarding security auditing.
【0048】正式契約ユーザであると判定すると(S2
4においてYES)、問題ユーザ情報確認部62はステ
ップS25に進み、問題ユーザ情報に含まれていた正式
契約ユーザの他のサービス(例えばセキュリティ保険,
メンテナンス費用など)の料金を割り引くと共に、セキ
ュリティ評価を例えば1ランク下げる。一方、正式契約
ユーザでないと判定すると(S24においてNO)、問
題ユーザ情報確認部62はステップS26に進み、セキ
ュリティ評価を例えば1ランク下げる。When it is determined that the user is a formal contract user (S2
4), the problem user information confirmation unit 62 proceeds to step S25, and other services of the formal contract user included in the problem user information (for example, security insurance,
The security evaluation is reduced, for example, by one rank while the fee for maintenance etc.) is discounted. On the other hand, when determining that the user is not a formal contract user (NO in S24), the problem user information confirmation unit 62 proceeds to step S26 and lowers the security evaluation by, for example, one rank.
【0049】図4に戻り、ステップS30では、セキュ
リティ診断部63が、例えば「コンピュータ&ネットワ
ークLAN」(オーム社)2001年12月号の特集
「セキュリティのレベルを上げろ!!不正アクセス編」
に記載された公知のセキュリティ診断方法によりセキュ
リティ診断処理を行う。セキュリティ診断部63はセキ
ュリティ診断処理の結果をセキュリティ診断結果テーブ
ル71に格納する。Returning to FIG. 4, in step S30, the security diagnosis unit 63 issues a special feature, for example, "Computer & Network LAN" (Ohm Co., Ltd.), December 2001, "Improve Security Level! Unauthorized Access Edition".
Security diagnosis processing is performed by the publicly known security diagnosis method described in 1. The security diagnosis unit 63 stores the result of the security diagnosis processing in the security diagnosis result table 71.
【0050】ステップS30に続いてステップS40に
進み、セキュリティ評価部64は例えば「コンピュータ
&ネットワークLAN」(オーム社)2001年12月
号の特集「セキュリティのレベルを上げろ!!不正アク
セス編」、「N+I NETWORK Guide」
(ソフトバングパブリッシング株式会社)2001年1
2月号の特集「セキュリティ・マネジメント」に記載さ
れた公知のセキュリティ評価方法により、サーバ毎のセ
キュリティ評価処理を行う。セキュリティ評価部64
は、セキュリティ評価処理の結果をセキュリティ評価結
果テーブル72に格納する。After step S30, the security evaluation section 64 proceeds to step S40, and the security evaluation unit 64, for example, features "Increase the level of security! Unauthorized access" in the December 2001 issue of "Computer & Network LAN" (Ohm Co.). N + I NETWORK GUIDE "
(Soft Bang Publishing Co., Ltd.) 2001 1
Security evaluation processing for each server is performed by the publicly known security evaluation method described in the special issue “Security Management” in the February issue. Security evaluation unit 64
Stores the result of the security evaluation process in the security evaluation result table 72.
【0051】ステップS40に続いてステップS50に
進み、業種別セキュリティ評価部65は業種別のセキュ
リティ評価基準テーブル73に基づき、ユーザ毎のセキ
ュリティ評価を行う。図12は、業種別のセキュリティ
評価基準テーブルの一例の構成図を示す。業種別のセキ
ュリティ評価基準テーブル73は、監査基準と,評価ラ
ンクとをデータ項目として有している。業種別のセキュ
リティ評価基準テーブル73は、サーバ毎のセキュリテ
ィ評価ランクからユーザのセキュリティ評価ランクを確
定するためのものである。In step S50 following step S40, the industry-specific security evaluation section 65 performs security evaluation for each user based on the industry-specific security evaluation reference table 73. FIG. 12 is a block diagram of an example of a security evaluation standard table for each industry. The industry-specific security evaluation standard table 73 has an inspection standard and an evaluation rank as data items. The industry-specific security evaluation standard table 73 is for determining the security evaluation rank of the user from the security evaluation rank of each server.
【0052】図12(a)は、例えば銀行や省庁など世
間に対する信用を重視するユーザのセキュリティ評価基
準テーブルの一例である。また、図12(b)は、例え
ば銀行や省庁など世間に対する信用を重視するユーザ以
外の一般ユーザのセキュリティ評価基準テーブルの一例
である。業種別セキュリティ評価部65はセキュリティ
評価結果テーブル72から一のユーザのコンピュータ環
境を構成するサーバのセキュリティ評価ランクを読み出
し、業種別のセキュリティ評価基準テーブル73に応じ
てユーザ別のセキュリティ評価ランクを決定する。FIG. 12A is an example of a security evaluation standard table of a user who places importance on trust in the public, such as a bank or a ministry. Further, FIG. 12B is an example of a security evaluation reference table of general users other than users who place importance on trust in the public such as banks and ministries. The industry-specific security evaluation unit 65 reads the security evaluation rank of the server constituting the computer environment of one user from the security evaluation result table 72, and determines the security evaluation rank for each user according to the security evaluation reference table 73 for each industry. .
【0053】例えば一のユーザのコンピュータ環境を構
成するサーバのうちセキュリティ評価ランクCのサーバ
が5%未満かつセキュリティ評価ランクAのサーバが8
0%以上であれば、図12(b)の業種別のセキュリテ
ィ評価基準テーブルを利用するユーザはセキュリティ評
価ランクAとなる。For example, of the servers constituting the computer environment of one user, less than 5% of servers have security evaluation rank C and 8 servers have security evaluation rank A.
If it is 0% or more, the user who uses the security evaluation reference table for each industry shown in FIG. 12B has the security evaluation rank A.
【0054】一方、一のユーザのコンピュータ環境を構
成するサーバのうちセキュリティ評価ランクCのサーバ
が1台でもあれば、図12(a)の業種別のセキュリテ
ィ評価基準テーブルを利用するユーザはセキュリティ評
価ランクCとなる。このように、業種別のセキュリティ
評価基準テーブル73を設けることで、ユーザのニーズ
や背景に合わせて柔軟かつ動的にセキュリティ監査を行
うことができる。On the other hand, if there is at least one server of security evaluation rank C among the servers constituting the computer environment of one user, the user who uses the security evaluation reference table for each industry shown in FIG. Rank C. As described above, by providing the security evaluation reference table 73 for each industry, it is possible to flexibly and dynamically perform a security audit according to the needs and background of the user.
【0055】業種別セキュリティ評価部65はユーザ別
のセキュリティ評価の結果をユーザ別のセキュリティ評
価結果テーブル74に格納する。図13は、ユーザ別の
セキュリティ評価結果テーブルの一例の構成図を示す。
ユーザ別のセキュリティ評価結果テーブル74は、ユー
ザ名と,業種と,評価ランクとをデータ項目として有し
ている。ユーザ別のセキュリティ評価結果テーブル74
は、ユーザ毎のセキュリティ評価ランクを表すためのも
のである。The industry-specific security evaluation unit 65 stores the result of security evaluation for each user in the security evaluation result table 74 for each user. FIG. 13 is a block diagram showing an example of a security evaluation result table for each user.
The security evaluation result table 74 for each user has a user name, a business type, and an evaluation rank as data items. Security evaluation result table 74 for each user
Is for indicating the security evaluation rank for each user.
【0056】図14は、本発明による電子商取引装置の
一実施例の機能構成図を示す。図14の電子商取引装置
15は、セキュリティ評価ランク取得部80と,商取引
部81と,ユーザ別のセキュリティ評価結果テーブル8
2と,商取引価格の補正テーブル83とを有するように
構成される。FIG. 14 is a functional block diagram of an embodiment of the electronic commerce device according to the present invention. The electronic commerce device 15 of FIG. 14 includes a security evaluation rank acquisition unit 80, a commerce unit 81, and a security evaluation result table 8 for each user.
2 and a commercial transaction price correction table 83.
【0057】以下、図14の電子商取引装置15の処理
手順について説明していく。図15は、電子商取引装置
の処理の一実施例のフローチャートを示す。The processing procedure of the electronic commerce device 15 of FIG. 14 will be described below. FIG. 15 shows a flowchart of an embodiment of processing of the electronic commerce device.
【0058】ステップS60では、セキュリティ評価ラ
ンク取得部80がユーザ別のセキュリティ評価ランクを
セキュリティ監査装置10のユーザ別のセキュリティ評
価結果テーブル74から取得し、ユーザ別のセキュリテ
ィ評価結果テーブル82に格納する。In step S60, the security evaluation rank acquisition unit 80 acquires the security evaluation rank for each user from the security evaluation result table 74 for each user of the security inspection apparatus 10 and stores it in the security evaluation result table 82 for each user.
【0059】ステップS70では、商取引部81がセキ
ュリティ評価ランクを考慮した図16のような電子商取
引処理を行う。図16は、セキュリティ評価ランクを考
慮した電子商取引処理の一実施例のフローチャートを示
す。ここでは、セキュリティ評価ランクがBのX社とセ
キュリティ評価ランクがCのY社とが行う電子商取引処
理の一例について説明する。In step S70, the commercial transaction section 81 performs the electronic commercial transaction processing as shown in FIG. 16 in consideration of the security evaluation rank. FIG. 16 shows a flowchart of an embodiment of the electronic commerce process in consideration of the security evaluation rank. Here, an example of the electronic commerce process performed by company X with security evaluation rank B and company Y with security evaluation rank C will be described.
【0060】ステップS71では、商取引部81が、ユ
ーザ別のセキュリティ評価結果テーブル82からX社の
セキュリティ評価ランクBとY社のセキュリティ評価ラ
ンクCとを読み出す。そして、商取引部81は商取引価
格の補正テーブル83を参照し、X社のセキュリティ評
価ランクBとY社のセキュリティ評価ランクCとに応じ
たX社の補正率とY社の補正率とを決定する。In step S71, the commercial transaction section 81 reads the security evaluation rank B of company X and the security evaluation rank C of company Y from the security evaluation result table 82 for each user. Then, the commercial transaction unit 81 refers to the commercial transaction price correction table 83 and determines the correction rate of the X company and the correction rate of the Y company according to the security evaluation rank B of the X company and the security evaluation rank C of the Y company. .
【0061】図17は、商取引価格の補正テーブルの一
例の構成図を示す。商取引価格の補正テーブル83は、
セキュリティ評価ランクと,補正率とをデータ項目とし
て有している。商取引価格の補正テーブル83は、セキ
ュリティ評価ランクごとの補正率を表すためのものであ
る。例えば図17の商取引価格の補正テーブル83の場
合、X社の補正率が−3%,Y社の補正率が−5%とな
る。FIG. 17 is a block diagram showing an example of the correction table of the commercial transaction price. The transaction price correction table 83 is
It has a security evaluation rank and a correction factor as data items. The commercial transaction price correction table 83 is for displaying the correction rate for each security evaluation rank. For example, in the case of the commercial transaction price correction table 83 in FIG. 17, the correction rate for company X is -3% and the correction rate for company Y is -5%.
【0062】ステップS71に続いてステップS72に
進み、商取引部81はX社およびY社が互いに相手のセ
キュリティ評価ランクを確認するための処理を行う。ス
テップS72に続いてステップS73に進み、商取引部
81はステップS71で読み出したX社のセキュリティ
評価ランクとY社の評価ランクとに差があるか否かを判
定する。Proceeding to step S72 following step S71, the commercial transaction section 81 performs processing for the company X and the company Y to confirm the security evaluation ranks of the other. In step S73 following step S72, the commercial transaction unit 81 determines whether or not there is a difference between the security evaluation rank of company X and the evaluation rank of company Y read in step S71.
【0063】X社のセキュリティ評価ランクとY社の評
価ランクとに差があると判定すると(S73においてY
ES)、商取引部81はステップS75に進む。本実施
例では、X社のセキュリティ評価ランクがB,Y社のセ
キュリティ評価ランクがCの例を説明しているため、ス
テップS73でX社のセキュリティ評価ランクとY社の
評価ランクとに差があると判定される。なお、X社のセ
キュリティ評価ランクとY社の評価ランクとに差がない
と判定すると(S73においてNO)、商取引部81は
ステップS74に進む。If it is determined that there is a difference between the security evaluation rank of company X and the evaluation rank of company Y (Y in S73).
ES), the commercial transaction unit 81 proceeds to step S75. In this embodiment, the security evaluation rank of company X is B, and the security evaluation rank of company Y is C. Therefore, there is a difference between the security evaluation rank of company X and the evaluation rank of company Y in step S73. It is determined that there is. If it is determined that there is no difference between the security evaluation rank of company X and the evaluation rank of company Y (NO in S73), the commercial transaction unit 81 proceeds to step S74.
【0064】ステップS74では、商取引部81が、X
社のセキュリティ評価ランクとY社のセキュリティ評価
ランクとに差がないため、セキュリティリスク手数率を
0%に設定してステップS76に進む。また、ステップ
S75では、商取引部81が、X社とY社との間で行う
商取引の商取引価格に対し、X社の補正率とY社の補正
率との差をセキュリティリスク手数率として算出する。
本実施例では、X社の補正率が−3%,Y社の補正率が
−5%の例を説明しているため、+2%がセキュリティ
リスク手数率として算出される。In step S74, the commercial transaction section 81 determines that X
Since there is no difference between the security evaluation rank of the company and the security evaluation rank of the company Y, the security risk labor ratio is set to 0% and the process proceeds to step S76. Further, in step S75, the commercial transaction unit 81 calculates the difference between the correction rate of the X company and the correction rate of the Y company as the security risk step rate with respect to the commercial transaction price of the commercial transaction performed between the X company and the Y company. .
In this embodiment, the correction rate of company X is -3%, and the correction rate of company Y is -5%. Therefore, + 2% is calculated as the security risk step rate.
【0065】そして、商取引部81は算出したセキュリ
ティリスク手数率を、セキュリティ評価ランクが上位の
会社のセキュリティリスク手数率として設定してステッ
プS76に進む。例えば本実施例では、X社がY社に対
して+2%のセキュリティリスク手数率を設定する。Then, the commercial transaction section 81 sets the calculated security risk rate as the security risk rate of a company having a higher security evaluation rank, and proceeds to step S76. For example, in the present embodiment, company X sets a security risk labor ratio of + 2% for company Y.
【0066】ステップS76では、商取引部81が、X
社からY社への販売か否かを判定する。X社からY社へ
の販売であると判定すると(S76においてYES)、
商取引部81はステップS77に進み、通常の商取引価
格にセキュリティリスク手数料を上乗せしてY社に通知
する。したがって、X社は通常の商取引価格にセキュリ
ティリスク手数料を上乗せした商取引価格で商品の販売
ができる。In step S76, the commercial transaction section 81 determines that X
Company to Y company. If it is determined that the sales are from X company to Y company (YES in S76),
The commercial transaction unit 81 proceeds to step S77 and notifies the company Y by adding a security risk fee to the normal commercial transaction price. Therefore, Company X can sell the product at the commercial transaction price in which the security risk fee is added to the normal commercial transaction price.
【0067】一方、Y社からX社への販売であると判定
すると(S76においてNO)、商取引部81はステッ
プS78に進み、通常の商取引価格からセキュリティ手
数料を差し引いてX社に通知する。したがって、X社は
通常の商取引価格からセキュリティリスク手数料を差し
引いた商取引価格で商品の購入ができる。なお、セキュ
リティリスク手数料は、セキュリティリスク手数率を利
用して算出される。On the other hand, when it is determined that the sale is from Y company to X company (NO in S76), the commercial transaction section 81 proceeds to step S78 and subtracts the security fee from the normal commercial transaction price to notify X company. Therefore, Company X can purchase the product at the commercial transaction price obtained by subtracting the security risk fee from the normal commercial transaction price. The security risk fee is calculated by using the security risk labor ratio.
【0068】本発明では、セキュリティレベルの高い企
業と、セキュリティレベルの低い企業とで電子商取引を
行うとき、セキュリティレベルの高い企業が有利となる
ように商取引価格を調整することで、セキュリティレベ
ルの高い企業に対してデータ漏洩のリスクを補償するこ
とが可能となる。According to the present invention, when a company having a high security level and a company having a low security level are engaged in electronic commerce, by adjusting the commerce price so that the company having a high security level is advantageous, the security level is high. It is possible to compensate a company for the risk of data leakage.
【0069】なお、図1の電子商取引システム1では、
セキュリティ監査装置10と電子商取引装置15とを別
々に設けた構成としたが、セキュリティ監査装置10の
機能を電子商取引装置10に設けてもよい。In the electronic commerce system 1 of FIG. 1,
Although the security inspection device 10 and the electronic commerce device 15 are separately provided, the function of the security inspection device 10 may be provided in the electronic commerce device 10.
【0070】図18は、本発明による電子商取引システ
ムの他の一例の構成図を示す。図18の電子商取引シス
テム2は、図1のセキュリティ監査装置10と電子商取
引装置15とを組み合わせて電子商取引装置17を構成
している点で図1の電子商取引システム1と異なってい
る。なお、電子商取引装置17以外の詳細は前述したの
で説明を省略する。FIG. 18 is a block diagram showing another example of the electronic commerce system according to the present invention. The electronic commerce system 2 of FIG. 18 is different from the electronic commerce system 1 of FIG. 1 in that the security inspection device 10 and the electronic commerce device 15 of FIG. 1 are combined to form an electronic commerce device 17. Since the details other than the electronic commerce device 17 have been described above, the description thereof will be omitted.
【0071】電子商取引装置17は、例えば図19のよ
うに構成される。図19は、本発明による電子商取引装
置の他の実施例の機能構成図を示す。図19の電子商取
引装置17は、実施周期決定部61と,問題ユーザ情報
確認部62と,セキュリティ診断部63と,セキュリテ
ィ評価部64と,業種別セキュリティ評価部65と,実
施周期基準テーブル66と,製品リリース時期管理テー
ブル67と,セキュリティホール情報発信数管理テーブ
ル68と,製品別の実施周期テーブル69と,サーバ別
の実施周期テーブル70と,セキュリティ診断結果テー
ブル71と,セキュリティ評価結果テーブル72と,業
種別のセキュリティ評価基準テーブル73と,ユーザ別
のセキュリティ評価結果テーブル74と,商取引部81
と,商取引価格の補正テーブル83とを有するように構
成される。The electronic commerce device 17 is constructed, for example, as shown in FIG. FIG. 19 is a functional block diagram of another embodiment of the electronic commerce device according to the present invention. The electronic commerce device 17 of FIG. 19 includes an execution cycle determination unit 61, a problem user information confirmation unit 62, a security diagnosis unit 63, a security evaluation unit 64, an industry-specific security evaluation unit 65, and an execution cycle reference table 66. A product release time management table 67, a security hole information transmission number management table 68, a product-specific execution cycle table 69, a server-specific execution cycle table 70, a security diagnosis result table 71, and a security evaluation result table 72. , A security evaluation standard table 73 by industry, a security evaluation result table 74 by user, and a commercial transaction section 81
And a commercial transaction price correction table 83.
【0072】電子商取引装置17では、ユーザ別のセキ
ュリティ評価結果テーブル74を有するため、セキュリ
ティ評価ランク取得部80およびユーザ別のセキュリテ
ィ評価結果テーブル82を設けていない。なお、電子商
取引装置17を構成する各機能ブロックおよびテーブル
の詳細は前述したので説明を省略する。Since the electronic commerce device 17 has the security evaluation result table 74 for each user, the security evaluation rank acquisition unit 80 and the security evaluation result table 82 for each user are not provided. The details of each functional block and the table that constitute the electronic commerce device 17 have been described above, and thus the description thereof will be omitted.
【0073】以上、本発明による電子商取引システム
1,2を利用することで、顧客ごとのセキュリティ監査
を行い、そのセキュリティ監査の結果を利用することで
セキュリティレベルの差を考慮した電子商取引が可能と
なる。As described above, by using the electronic commerce systems 1 and 2 according to the present invention, a security audit for each customer is performed, and by using the result of the security audit, it is possible to perform electronic commerce in consideration of the difference in security level. Become.
【0074】本発明は、以下に記載する付記のような構
成が考えられる。
(付記1) コンピュータを用いて、顧客間の商取引を
行う電子商取引方法であって、前記コンピュータが、商
取引を行う顧客毎にコンピュータ環境のセキュリティ評
価を取得し、前記セキュリティ評価の差に応じて前記顧
客間の商取引を行う商取引段階を有することを特徴とす
る電子商取引方法。
(付記2) 前記商取引段階は、商取引を行う顧客のコ
ンピュータ環境のセキュリティ評価を取得し、取得した
セキュリテ評価の差に応じて前記顧客間の商取引条件を
設定する商取引条件設定段階と、前記商取引条件に応じ
た商取引価格で前記顧客間の商取引を行う商取引処理段
階とを有することを特徴とする付記1記載の電子商取引
方法。
(付記3) 前記商取引条件は、商取引を行う顧客間の
セキュリティ評価の差に応じた商取引価格の補正率であ
ることを特徴とする付記2記載の電子商取引方法。
(付記4) 前記商取引処理段階は、商取引価格の補正
率に基づく補正金額を算出し、セキュリティ評価の高い
顧客からセキュリティ評価の低い顧客に対する商取引価
格に前記補正金額を上乗せする一方、セキュリティ評価
の低い顧客からセキュリティ評価の高い顧客に対する商
取引価格から前記補正金額を差し引くことを特徴とする
付記3記載の電子商取引方法。
(付記5) 顧客間の商取引を行う電子商取引装置であ
って、商取引を行う顧客毎にコンピュータ環境のセキュ
リティ評価を取得し、前記セキュリティ評価の差に応じ
て前記顧客間の商取引を行う商取引手段を有することを
特徴とする電子商取引装置。
(付記6) コンピュータに、商取引を行う顧客毎にコ
ンピュータ環境のセキュリティ評価を取得し、前記セキ
ュリティ評価の差に応じて前記顧客間の商取引を行う商
取引手順を実行させるための電子商取引プログラム。
(付記7) コンピュータに、商取引を行う顧客毎にコ
ンピュータ環境のセキュリティ評価を取得し、前記セキ
ュリティ評価の差に応じて前記顧客間の商取引を行う商
取引手順を実行させるための電子商取引プログラムを記
録したコンピュータ読み取り可能な記録媒体。The present invention is conceivable as the following additional configurations. (Supplementary Note 1) An electronic commerce method for performing a commercial transaction between customers using a computer, wherein the computer acquires a security evaluation of a computer environment for each customer making a commercial transaction, and the computer environment is evaluated according to a difference in the security evaluation. An electronic commerce method characterized by having a commercial transaction stage of performing commercial transactions between customers. (Supplementary Note 2) In the commercial transaction step, a commercial transaction condition setting step of acquiring a security evaluation of a computer environment of a customer who conducts a commercial transaction and setting a commercial transaction condition between the customers according to a difference in the acquired security evaluations; And a commercial transaction processing step of performing a commercial transaction between the customers at a commercial transaction price according to the above item. (Supplementary Note 3) The electronic commercial transaction method according to Supplementary Note 2, wherein the commercial transaction condition is a correction rate of a commercial transaction price according to a difference in security evaluation between customers who conduct a commercial transaction. (Supplementary Note 4) In the commercial transaction processing step, a corrected amount is calculated based on the correction rate of the commercial transaction price, and the corrected amount is added to the commercial transaction price from a customer with a high security evaluation to a customer with a low security evaluation, while the security evaluation is low. 4. The electronic commerce method according to appendix 3, wherein the correction amount is subtracted from the commerce price of the customer who has a high security evaluation. (Supplementary Note 5) An electronic commerce device for performing a commercial transaction between customers, comprising: a commercial transaction means for acquiring a security evaluation of a computer environment for each customer performing the commercial transaction and performing a commercial transaction between the customers according to the difference in the security evaluation. An electronic commerce device characterized by having. (Supplementary Note 6) An electronic commerce program for causing a computer to obtain a security evaluation of a computer environment for each customer who conducts a commercial transaction and execute a commercial transaction procedure for performing a commercial transaction between the customers according to the difference in the security evaluation. (Supplementary Note 7) An electronic commerce program for acquiring a security evaluation of a computer environment for each customer who conducts a commercial transaction and executing a commercial transaction procedure for performing a commercial transaction between the customers according to the difference in the security evaluation is recorded on a computer. Computer-readable recording medium.
【0075】[0075]
【発明の効果】上述の如く、本発明によれば、商取引を
行う顧客毎にコンピュータ環境のセキュリティ評価を取
得し、セキュリティ評価の差に応じて顧客間の商取引を
行うことができるので、セキュリティレベルの高い企業
のリスクを補償することが可能である。As described above, according to the present invention, the security evaluation of the computer environment can be obtained for each customer who conducts a commercial transaction, and the commercial transaction between the customers can be performed according to the difference in the security evaluation. It is possible to compensate the risk of high-value companies.
【0076】[0076]
【図1】本発明による電子商取引システムの一例の構成
図である。FIG. 1 is a configuration diagram of an example of an electronic commerce system according to the present invention.
【図2】本発明によるセキュリティ監査装置および電子
商取引装置の一実施例のハードウェア構成図である。FIG. 2 is a hardware configuration diagram of an embodiment of a security inspection device and an electronic commerce device according to the present invention.
【図3】本発明によるセキュリティ監査装置の一実施例
の機能構成図である。FIG. 3 is a functional configuration diagram of an embodiment of a security inspection device according to the present invention.
【図4】セキュリティ監査装置の処理の一実施例のフロ
ーチャートである。FIG. 4 is a flowchart of an example of processing of a security inspection device.
【図5】セキュリティ監査の実施周期決定処理の一実施
例のフローチャートである。FIG. 5 is a flowchart of an embodiment of security audit implementation cycle determination processing.
【図6】製品リリース時期管理テーブルの一例の構成図
である。FIG. 6 is a configuration diagram of an example of a product release time management table.
【図7】セキュリティホール情報発信数管理テーブルの
一例の構成図である。FIG. 7 is a configuration diagram of an example of a security hole information transmission number management table.
【図8】実施周期基準テーブルの一例の構成図である。FIG. 8 is a configuration diagram of an example of an implementation cycle reference table.
【図9】製品別の実施周期テーブルの一例の構成図であ
る。FIG. 9 is a block diagram of an example of an implementation cycle table for each product.
【図10】サーバ別の実施周期テーブルの一例の構成図
である。FIG. 10 is a block diagram of an example of an implementation cycle table for each server.
【図11】問題ユーザ情報確認処理の一実施例のフロー
チャートである。FIG. 11 is a flowchart of an example of a problem user information confirmation process.
【図12】業種別のセキュリティ評価基準テーブルの一
例の構成図である。FIG. 12 is a configuration diagram of an example of a security evaluation standard table for each industry.
【図13】ユーザ別のセキュリティ評価結果テーブルの
一例の構成図である。FIG. 13 is a block diagram of an example of a security evaluation result table for each user.
【図14】本発明による電子商取引装置の一実施例の機
能構成図である。FIG. 14 is a functional configuration diagram of an embodiment of an electronic commerce device according to the present invention.
【図15】電子商取引装置の処理の一実施例のフローチ
ャートである。FIG. 15 is a flowchart of an example of processing of the electronic commerce device.
【図16】セキュリティ評価ランクを考慮した電子商取
引処理の一実施例のフローチャートである。FIG. 16 is a flowchart of an example of electronic commerce processing in consideration of a security evaluation rank.
【図17】商取引価格の補正テーブルの一例の構成図で
ある。FIG. 17 is a block diagram of an example of a commercial transaction price correction table.
【図18】本発明による電子商取引システムの他の一例
の構成図である。FIG. 18 is a block diagram of another example of the electronic commerce system according to the present invention.
【図19】本発明による電子商取引装置の他の実施例の
機能構成図である。FIG. 19 is a functional configuration diagram of another embodiment of the electronic commerce device according to the present invention.
1 セキュリティ監査システム 10 セキュリティ監査装置 15 電子商取引装置 20 情報提供装置 30,40 コンピュータ環境 50 ネットワーク 61 実施周期決定部 62 問題ユーザ情報確認部 63 セキュリティ診断部 64 セキュリティ評価部 65 業種別セキュリティ評価部 66 実施周期基準テーブル 67 製品リリース時期管理テーブル 68 セキュリティホール情報発信数管理テーブル 69 製品別の実施周期テーブル 70 サーバ別の実施周期テーブル 71 セキュリティ診断結果テーブル 72 セキュリティ評価結果テーブル 73 業種別のセキュリティ評価基準テーブル 74 ユーザ別のセキュリティ評価結果テーブル 80 セキュリティ評価ランク取得部 81 商取引部 82 ユーザ別のセキュリティ評価結果テーブル 83 商取引価格の補正テーブル 100 入力装置 101 表示装置 102 ドライブ装置 103 記録媒体 104 補助記憶装置 105 メモリ装置 106 演算処理装置 107 インターフェース装置 B バス 1 Security audit system 10 Security inspection device 15 Electronic Commerce Equipment 20 Information providing device 30,40 computer environment 50 network 61 Implementation cycle determination unit 62 Problem User Information Confirmation Section 63 Security Diagnosis Department 64 Security Evaluation Department 65 Industry Security Evaluation Department 66 Implementation cycle reference table 67 Product Release Timing Management Table 68 Security hole information transmission number management table 69 Implementation cycle table for each product 70 Implementation cycle table for each server 71 Security diagnosis result table 72 Security evaluation result table 73 Security Evaluation Criteria Table by Industry 74 Security Evaluation Result Table by User 80 Security Evaluation Rank Acquisition Department 81 Commerce Department 82 Security Evaluation Result Table by User 83 Commerce Price Correction Table 100 input device 101 display device 102 Drive device 103 recording medium 104 auxiliary storage 105 memory device 106 arithmetic processing unit 107 Interface device B bus
Claims (5)
を行う電子商取引方法であって、 前記コンピュータが、商取引を行う顧客毎にコンピュー
タ環境のセキュリティ評価を取得し、前記セキュリティ
評価の差に応じて前記顧客間の商取引を行う商取引段階
を有することを特徴とする電子商取引方法。1. An electronic commerce method for performing a commercial transaction between customers using a computer, wherein the computer acquires a security evaluation of a computer environment for each customer making a commercial transaction, and according to the difference in the security evaluation. An electronic commerce method comprising a commercial transaction step of performing a commercial transaction between the customers.
コンピュータ環境のセキュリティ評価を取得し、取得し
たセキュリテ評価の差に応じて前記顧客間の商取引条件
を設定する商取引条件設定段階と、 前記商取引条件に応じた商取引価格で前記顧客間の商取
引を行う商取引処理段階とを有することを特徴とする請
求項1記載の電子商取引方法。2. A commercial transaction condition setting step of acquiring a security evaluation of a computer environment of a customer who conducts a commercial transaction and setting a commercial transaction condition between the customers according to a difference in the acquired security evaluations, the commercial transaction step: 2. The electronic commerce method according to claim 1, further comprising: a commercial transaction processing step of performing a commercial transaction between the customers at a commercial transaction price according to a condition.
のセキュリティ評価の差に応じた商取引価格の補正率で
あることを特徴とする請求項2記載の電子商取引方法。3. The electronic commercial transaction method according to claim 2, wherein the commercial transaction condition is a correction rate of a commercial transaction price according to a difference in security evaluation between customers who conduct a commercial transaction.
正率に基づく補正金額を算出し、セキュリティ評価の高
い顧客からセキュリティ評価の低い顧客に対する商取引
価格に前記補正金額を上乗せする一方、セキュリティ評
価の低い顧客からセキュリティ評価の高い顧客に対する
商取引価格から前記補正金額を差し引くことを特徴とす
る請求項3記載の電子商取引方法。4. The commercial transaction processing step calculates a correction amount based on a correction rate of a commercial transaction price, and adds the correction amount to a commercial transaction price from a customer with a high security evaluation to a customer with a low security evaluation, while 4. The electronic commerce method according to claim 3, wherein the correction amount is subtracted from a commerce price for a customer having a high security evaluation from a customer having a low security.
あって、 商取引を行う顧客毎にコンピュータ環境のセキュリティ
評価を取得し、前記セキュリティ評価の差に応じて前記
顧客間の商取引を行う商取引手段を有することを特徴と
する電子商取引装置。5. An electronic commerce device for conducting commerce between customers, wherein a commerce means for obtaining a security evaluation of a computer environment for each customer making a commerce and performing a commerce between the customers according to the difference in the security evaluation. An electronic commerce device comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002070518A JP2003271832A (en) | 2002-03-14 | 2002-03-14 | Electronic business transaction method and electronic business transaction device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002070518A JP2003271832A (en) | 2002-03-14 | 2002-03-14 | Electronic business transaction method and electronic business transaction device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003271832A true JP2003271832A (en) | 2003-09-26 |
Family
ID=29201067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002070518A Pending JP2003271832A (en) | 2002-03-14 | 2002-03-14 | Electronic business transaction method and electronic business transaction device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003271832A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010266966A (en) * | 2009-05-12 | 2010-11-25 | Soriton Syst:Kk | Method and apparatus for evaluating security countermeasure |
| JP2019021161A (en) * | 2017-07-20 | 2019-02-07 | 株式会社日立製作所 | Security design assist system and security design assist method |
-
2002
- 2002-03-14 JP JP2002070518A patent/JP2003271832A/en active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010266966A (en) * | 2009-05-12 | 2010-11-25 | Soriton Syst:Kk | Method and apparatus for evaluating security countermeasure |
| JP2019021161A (en) * | 2017-07-20 | 2019-02-07 | 株式会社日立製作所 | Security design assist system and security design assist method |
| JP7058088B2 (en) | 2017-07-20 | 2022-04-21 | 株式会社日立製作所 | Security design support system and security design support method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9558018B2 (en) | Methods and apparatus for simulating a distributed business process | |
| US6856963B1 (en) | Facilitating electronic commerce through automated data-based reputation characterization | |
| US20110161180A1 (en) | Systems and methods for providing information and conducting business using the internet | |
| US20040148336A1 (en) | Massively distributed processing system architecture, scheduling, unique device identification and associated methods | |
| JP2008276764A (en) | System and method for providing custom store | |
| US11522859B2 (en) | Systems and methods for facilitating authentication of emails sent by 3rd parties | |
| US11645670B2 (en) | Multi-axis blockchain clearance of offers | |
| JP2005070835A (en) | Test supporting program and test supporting method | |
| US20120022963A1 (en) | Buyer/Supplier Network that Aids Supplier Enablement Through Collaboration between Buyers and Suppliers | |
| US20030225667A1 (en) | Security rating system | |
| CA2495410A1 (en) | A portal value indicator framework and tool | |
| JP2003271832A (en) | Electronic business transaction method and electronic business transaction device | |
| US20090204516A1 (en) | Accounting data retrieval method and system | |
| JP6841541B1 (en) | Ordering / financing system, ordering / financing method, and program | |
| US20020120870A1 (en) | Rating information publishing system | |
| US8473358B1 (en) | Generating a data feed of items for a referral network site | |
| KR20140115267A (en) | A centrally managed and accessed system and method for performing data processing on multiple independent servers and datasets | |
| JP2003271723A (en) | Method and apparatus for security checkup | |
| US8458039B1 (en) | Inclusion of items in a data feed | |
| JP3863826B2 (en) | Product evaluation method and apparatus, and program | |
| Cohen et al. | Service migration in an enterprise system architecture | |
| JP2022131305A (en) | Customer information management system | |
| JP2021022164A (en) | Business support system | |
| US20060026050A1 (en) | System and method for global delivery | |
| JP5345510B2 (en) | Information providing apparatus and method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051116 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060327 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070109 |