JP2004220459A - Security design support device - Google Patents
Security design support device Download PDFInfo
- Publication number
- JP2004220459A JP2004220459A JP2003009001A JP2003009001A JP2004220459A JP 2004220459 A JP2004220459 A JP 2004220459A JP 2003009001 A JP2003009001 A JP 2003009001A JP 2003009001 A JP2003009001 A JP 2003009001A JP 2004220459 A JP2004220459 A JP 2004220459A
- Authority
- JP
- Japan
- Prior art keywords
- definition information
- security
- case data
- case
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は,所定の基準に基づく既存仕様書事例から,前記基準に基づいて仕様書に記載された各種定義情報の事例データを抽出,マージした事例データ群を再利用することにより,前記基準に基づく仕様書の編集作業(定義情報の追加,削除,修正)を支援する技術,特に,国際セキュリティ評価基準に基づく既存セキュリティ仕様書の編集作業を支援する技術に関する。
【0002】
【従来の技術】
情報関連製品や情報システムのセキュリティ機能の設計・評価に関する基準として国際セキュリティ評価基準ISO/IEC 15408 (CC:Common Criteria)がある。このISO15408に準拠した製品やシステムの開発を行い,その評価・認証を取得するためには,ISO15408特有のセキュリティ要求仕様書(PP:Protection Profile),および,セキュリティ設計仕様書(ST:Security Target)を作成することが必須となっている。しかし,これらのセキュリティ仕様書を作成するには,セキュリティ全般およびISO15408に関する高度な専門知識やリスク分析等の解析作業に関わる専門技術やノウハウが必要である上,その実施には膨大な時間を要することが問題となっている。
【0003】
このISO15408準拠セキュリティ仕様書(PP,ST)の作成を支援するツールとして米国セキュリティ認証組織であるNIAP(The National Information Assurance Partnership)による”CC Toolbox(TM) (商標権者 National Security Agency)”や、非特許文献1にて紹介されているものが存在する。これらのツールは,仕様書に記載すべき,脅威やセキュリティ対策方針等の各種定義情報の事例データベースから必要な定義情報を選択して仕様書に追記することにより,セキュリティ仕様書の効率的な作成を支援するものである。
【0004】
ところでISO15408では,製品・システム固有のセキュリティ設計仕様書STを効率的に作成するために,セキュリティ要求仕様書PPを雛型として利用するための枠組みが規定されている。この枠組みに沿って認証済みPPを世界中から効率よく利用できるように各国ばらばらに認証されたPP群を集中管理するための基準として,認証済みPPの登録手続きに関する国際標準(ISO15292)が2001年に制定されている。
【0005】
このような登録機関によって管理される既存PP群や,過去に作成し蓄積してきた既存PP群の再利用に着目した仕様書作成支援方法として,特許文献1がある。この文献には,所定の基準に基づく仕様書,特にISO15408に基づくセキュリティ仕様書の作成作業において,公開された仕様書群や過去に作成した仕様書事例群,および,仕様書内に記載すべき,脅威やセキュリティ対策方針等の各種定義情報の事例データ群を事前に用意しておき,これを再利用することにより,専門知識・ノウハウや専門技術を持たない一般的な設計者でも一定品質を確保した仕様書を効率よく作成できるように支援するものである。
【0006】
【非特許文献1】
「セキュリティ設計評価支援ツール(V3.0) 利用者マニュアル」,情報処理振興事業協会セキュリティセンター,平成14年5月,P.2−69
【特許文献1】
特開2001−222420号公報
【0007】
【発明が解決しようとする課題】
前述のように,ISO15408準拠の開発および評価・認証で必須となるセキュリティ仕様書(PP,ST)の作成には,対象製品・システム固有の脅威や対策事例に関する豊富な知識,どの脅威に対してどの対策が有効であるかといったセキュリティに関するノウハウ,リスク分析等の高度な専門技術などが必要となる。さらに,実際の仕様書作成作業では,脅威や対策等の抜け漏れのない洗い出し,対策に対する適切なセキュリティ要件の選択,リスク分析等の解析作業等が必要であり,その実施には膨大な時間を要することが問題となっている。
【0008】
そこで,セキュリティ仕様書を効率よく作成するための共通アプローチとして,セキュリティ仕様書事例やセキュリティ仕様書に記述する各種定義情報の事例データを再利用する方法がとられており,その公知例として,上述のツールや、特許文献1が存在する。これらの公知例は,既存のセキュリティ仕様書や専門家等により作成された各種定義情報の事例データベースを利用することにより,一般のセキュリティ設計者でも,対象製品・システムに適切なセキュリティ仕様書事例や各種定義情報事例を事例データベースから選択するだけで,セキュリティ仕様書原案を作成したり必要な定義情報を追加することを可能とするものである。
【0009】
ところで,これらの公知例の方法では,仕様書事例や各種定義情報事例のデータベースを事前に用意しておく必要がある。仕様書については,登録機関で管理されている認証済みのセキュリティ仕様書群や過去に作成し蓄積した仕様書事例群をデータベースとして利用することが可能であるが,仕様書の中に記述する各種の定義情報については,事例データベースを別途新規に作成する必要がある。
【0010】
また,これらの公知例は,定義情報の事例データを利用して不足する定義情報の追加を可能とするものであるが,仕様書の編集時に発生する他の作業,例えば,重複や矛盾のため不要となった定義情報の削除作業やばらつきのある用語を統一するための修正作業を支援するものではない。
【0011】
【課題を解決するための手段】
本発明は,所定の基準に基づく仕様書の作成,特にISO15408準拠セキュリティ仕様書の作成において,定義情報の追加等の編集作業に利用するための定義情報事例データ群を効率よく作成する技術,さらに,前記の定義情報事例データ群を利用して,仕様書に対する多様な編集作業を効率的に支援する技術を提供する。
【0012】
本発明は,種類別の各種定義情報事例データ群を作成するための機能とインタフェースを提供する定義情報事例データ作成部分と,作成した各種定義情報事例データ群を利用して,仕様書の効率的な編集を支援するための機能とインタフェースを提供する仕様書編集支援部分とから構成される。
【0013】
種類別の各種定義情報事例データ群を作成するために,前記定義情報事例データ作成部分に,所定の基準に基づく既存仕様書事例を格納する仕様書事例データベースと,セキュリティ環境(脅威,前提条件,組織のセキュリティ方針),セキュリティ対策方針,セキュリティ要件,実現方式の各定義情報と,セキュリティ環境とセキュリティ対策方針,セキュリティ対策方針とセキュリティ要件,セキュリティ要件と実現方式の各定義情報事例データ間の対応関係情報とを記載した既存セキュリティ仕様書事例を格納するセキュリティ仕様書事例データベースと,仕様書事例データから仕様書に記載された各種定義情報事例データを抽出する手段と,仕様書事例データから仕様書に記載された各種対応関係情報事例データを抽出する手段と,一つ以上の仕様書事例から抽出した各種定義情報事例データを種類別にマージする手段と,一つ以上の仕様書事例から抽出した各種対応関係情報事例データを種類別にマージする手段と,種類別にマージした定義情報事例データ群をデータベースとして格納する手段と,種類別にマージした対応関係情報事例データ群をデータベースとして格納する手段とを備える。
【0014】
さらに,定義情報事例データ群を利用して仕様書の効率的な編集を支援するために,前記仕様書編集支援部分に,前記定義情報事例データ作成部分で作成した定義情報事例のデータベースと,セキュリティ仕様書が対象とする情報関連製品や情報システムの特徴情報種別間の継承関係に基づいて,各定義情報事例データを階層構造化したデータベースと,前記定義情報事例データ作成部分で作成した対応関係情報事例のデータベースと,脅威を特定する脅威属性情報(攻撃者,保護対象資産,攻撃方法)を表す用語の意味の包含関係に基づいて,各セキュリティ環境事例データを階層構造化したデータベースと,脅威属性情報の包含関係に基づいて,その用語事例データを階層構造化したデータベースと,指定した特徴情報に基づいて該当する定義情報事例データを検索する手段と,指定した脅威属性情報に基づいて,該当するセキュリティ環境事例データを検索する手段と,指定したセキュリティ環境と脅威属性情報において包含関係(一致を含む)にある設計対象セキュリティ仕様書に記載のセキュリティ環境を検索する手段と,種類別の定義情報事例データを一覧表示する手段と,各種の検索結果を一覧表示する手段と,指定したセキュリティ環境から,対応関係情報事例データベースを参照して,対応するセキュリティ対策方針とセキュリティ要件と実現方式を導出する手段と,指定した定義情報事例データを設計対象の仕様書の所定の位置に配置する手段と,設計対象の仕様書から各種定義情報を抽出する手段と,指定した定義情報データを設計対象の仕様書から削除する手段と,指定したセキュリティ環境と,対応関係情報事例データベースを参照して導出されたセキュリティ対策方針とセキュリティ要件と実現方式を,設計対象の仕様書の所定の位置に一括配置する手段と,指定したセキュリティ環境と,対応関係情報事例データベースを参照して導出されたセキュリティ対策方針とセキュリティ要件と実現方式を,設計対象の仕様書から一括削除する手段と,設計対象の仕様書に記載された属性情報クラスが同一である一種類以上の用語事例を,前記属性情報クラスに属する指定した用語事例によって一括変換する手段とを備える。
【0015】
【発明の実施の形態】
図1は,本発明のセキュリティ設計作成支援方法の特徴を示す概要図である。本方法では,所定の基準に基づくセキュリティ仕様書(国際セキュリティ評価基準ISO15408の場合,PP(Protection Profile)およびST(Security Target))の事例群13から脅威と前提条件と組織のセキュリティ方針とセキュリティ対策方針とセキュリティ要件と実現方式の各定義情報事例データを抽出し,セキュリティ設計支援装置11のディスプレイ26に一覧表示,あるいは,外部記憶装置にデータベース12として保存する。この一覧情報またはデータベース12を利用して,既存の仕様書を雛が他とした作成途中のセキュリティ仕様書ドラフト版の補正作業(修正,追加,削除)を支援してセキュリティ仕様書完成版を作成支援するものである。
【0016】
以下に,所定の基準が国際セキュリティ評価基準ISO15408である場合を例とする本発明の第一の実施形態について説明する。本実施形態は,セキュリティ仕様書作成者が,セキュリティ設計支援装置11を使用して,セキュリティ仕様書を登録・公開している複数機関のセキュリティ仕様書事例データベース13から定義情報事例データを抽出し,その定義情報事例データを利用してセキュリティ仕様書ドラフト版16の補正編集(追加,削除,修正)作業を実行する場合と,前記補正編集作業に再利用できるように抽出した定義情報事例データから定義情報事例データベース12を作成する場合に関するものである。
【0017】
図21は本実施形態のシステム構成概要を示す図である。前記システムは,セキュリティ仕様書作成を支援するセキュリティ設計支援装置11と作成済みのセキュリティ仕様書(PPおよびST)の事例データベース13と前記データベースを管理する仕様書事例DB管理装置15とから構成され,セキュリティ設計支援装置11と仕様書事例DB管理装置15がネットワークを介して接続される。さらに,セキュリティ設計支援装置11は,セキュリティ仕様書事例データベース13を利用して作成した定義情報事例データベースを格納する外部記憶装置12と接続している。
【0018】
図2は,本方式のセキュリティ設計支援方法および装置で使用するセキュリティ設計支援装置11の構成例を示す図である。21は装置内の各ハードウェアを制御しプログラムを実行するCPU,22は端末入出力制御部,23はバス,24は外部記憶装置,25は主記憶装置(メモリ),26は端末入出力制御部に接続されたディスプレイ,27は端末入出力制御部に接続されたキーボード,28は他の装置との間のネットワーク回線を制御するネットワーク制御部を示す。
【0019】
さらに,241〜243は外部記憶装置24に格納された電子情報,251〜2514はメモリ25上にロードされた電子情報であり,241はネットワーク回線を介して通信を行うための通信モジュール,242はセキュリティ設計支援プログラム,243はセキュリティ設計支援プログラムが作成した定義情報事例データベース,251はネットワーク回線を介した通信を行うための通信処理部,252はセキュリティ仕様書の事例データベース13から定義情報種別毎の定義情報事例データを抽出するための定義情報事例データ抽出処理部,253は事例データ抽出処理部252で抽出した定義情報事例データ2513をマージしてデータベースとして保存する定義情報事例DB作成処理部,254は事例データ抽出処理部252で抽出した定義情報事例データ2512をディスプレイ26上に一覧表示する定義情報事例データ表示処理部,255はセキュリティ仕様書13から抽出した定義情報事例データ2512や定義情報事例データベース243から事例データの絞り込みを行う定義情報事例データ検索処理部,256は新規に追加する定義情報と作成中のセキュリティ仕様書データ2513中の定義情報データとの間の重複または矛盾,または,作成中のセキュリティ仕様書データ2513中の定義情報データ間の重複または矛盾を検出支援する定義情報事例データ比較処理部,257は一覧表示された定義情報事例データ2512の中から選択した事例データをセキュリティ仕様書データ2513に追加する定義情報事例データ追加処理部,258はセキュリティ設計仕様書データ2513内の定義情報データの中から選択した定義情報データを削除する定義情報データ削除処理部,259は定義情報事例データ間の対応関係に基づいて関連する全ての定義情報事例データを導出する対応関係データ導出処理部,2510は定義情報事例データで使用されている用語事例を集めた用語事例データベースを利用してセキュリティ仕様書データ2513内の用語統一を行う用語選択・変換処理部,2511は事例データ抽出処理252を実行する際に一時的にセキュリティ仕様書データを格納する領域,2512は事例データ抽出処理252によりセキュリティ仕様書から抽出した定義情報事例データの格納領域,2513はセキュリティ設計支援プログラム242を使用して作成中のセキュリティ仕様書のデータ格納領域を示す。
【0020】
図4は,本方式のセキュリティ設計支援方法および装置が使用するセキュリティ仕様書(PP/ST)事例データベース13を管理する仕様書事例DB管理装置15の構成例を示す図である。41は装置内の各ハードウェアを制御しプログラムを実行するCPU,42は端末入出力制御部,43はバス,44は外部記憶装置,45は主記憶装置(メモリ),46は端末入出力制御部に接続されたディスプレイ,47は端末入出力制御部に接続されたキーボード,48は他の装置との間のネットワーク回線を制御するネットワーク制御部を示す。
【0021】
さらに,441〜443は外部記憶装置24に格納された電子情報,451〜454はメモリ45上にロードされた電子情報であり,441はネットワーク回線を介して通信を行うための通信モジュール,442は事例データ提供プログラム,443は仕様書事例データ提供プログラムが提供するセキュリティ仕様書事例データを格納するセキュリティ仕様書事例データベース,451はネットワーク回線を介した通信を行うための通信処理部,452はネットワーク経由の要求に基づいてセキュリティ仕様書事例データを提供する仕様書事例データ抽出処理部,453はネットワーク経由の要求に基づいて提供するセキュリティ仕様書事例データの絞り込みを行う仕様書事例データ検索処理部,454はセキュリティ仕様書事例データから定義情報事例データを抽出する定義情報事例データ抽出処理部,455は仕様書事例データ抽出処理部452と仕様書事例データ検索処理部453が出力するセキュリティ仕様書事例データを一時格納する領域,456は定義情報事例データ抽出処理部が出力する定義情報事例データを格納する領域を示す。ただし,仕様書事例データ検索処理部453,定義情報事例データ抽出処理部454は必須ではない。
【0022】
図5は,セキュリティ仕様書事例データベース443に格納される各セキュリティ仕様書事例データのフォーマット例を示す。本発明におけるセキュリティ仕様書は所定の基準に基づくフォーマットで記述される文書であり,例えば国際セキュリティ評価基準ISO15408に基づくセキュリティ仕様書(PP,ST)の場合,所定の目次構成51に従って記述される。なお,下線部分がST固有の目次であり,下線がない部分がPPとSTに共通する目次である。さらに,セキュリティ環境とセキュリティ対策方針とセキュリティ要件とTOE仕様概要の各セクションにはそれぞれ,セキュリティ環境定義情報(脅威,前提条件,組織のセキュリティ方針),セキュリティ対策方針定義情報,セキュリティ要件定義情報,実現方式定義情報の各定義情報52が記述される。
【0023】
これらの定義情報の記述は,個々の定義情報を識別するためのラベル(A.ADMIN,T.ABUSE,P.MAC,O.I&A,FAU_GEN.1,ADV_CAP.1等)とその定義内容の組で構成される。さらに,各定義情報間の対応関係53が根拠を記述するセクションに記述される。なお,上記目次構成と定義情報記述形式は54,55,56の例で示すようなマーク形式で記述することも可能である。
【0024】
以降より,図21に示すシステム構成において,セキュリティ仕様書ドラフト版16を補正してセキュリティ仕様書完成版17を作成支援する場合の実施形態を説明する。
【0025】
図12は,セキュリティ仕様書支援装置11内のセキュリティ設計支援プログラム242の仕様書編集画面110を示す図である。補正作業時には,この画面上に表示されているセキュリティ仕様書ドラフト版データ16をテキスト編集することにより,各種定義情報の定義内容の修正を行う。さらに,前記仕様書編集画面110のコマンドメニューからは編集を支援する各種機能を実行可能とする。ドラフト版補正作業時には,この画面から定義情報の追加メニュー1101や定義情報の削除メニュー1102を選択することにより,各種定義情報事例データの追加・削除を行う。また,ドラフト版で統一されていない各種用語を統一する場合は,用語変換メニュー1103により,同じ意味で使用したい異なる複数用語を変換する。また,補正作業時における各種定義情報事例データの追加・削除に再利用するために定義情報事例データベースを事前に作成するためのインタフェースとして,定義情報事例DB作成メニュー1104を備える。
【0026】
図13は,セキュリティ設計支援装置11を使用して,セキュリティ仕様書ドラフト版16に定義情報を追加する場合,または,定義情報の追加に利用するための定義情報事例データベースを作成する場合の動作概要を示すフローである。以降より,セキュリティ仕様書ドラフト版16に定義情報を追加する場合と定義情報の追加に繰り返し利用するための定義情報事例データベースを作成する場合の動作概要(フロー131)を説明する。
【0027】
ユーザが,セキュリティ設計支援プログラム242を起動して仕様書編集画面110上で定義情報の追加メニュー1101,または,定義情報事例DB作成メニュー1104を選択すると,仕様書事例データベース13を指定するためのアドレス入力欄1501と,対象とするセキュリティ仕様書事例データの特徴を表すキーワードを入力する特徴情報入力欄1502〜1505を備える入力画面150を表示する(図14)。この入力画面150に対して,ユーザは,定義情報事例データの収集対象とする仕様書事例データベースのアドレスと,定義情報事例データを利用したいセキュリティ仕様書事例の特徴情報を指定して入力ボタン1511押下により入力する(ステップ1311)。
【0028】
入力結果はそれぞれ1506〜1510に表示される。この時,既に事例データ取得済みならば,スキップボタン1514を押下により(ステップ22),ステップ1316にジャンプして取得済みの事例データを再利用した処理を行う。一方,OKボタン1513を押下すると,事例データを取得済みかどうかにかかわらず,セキュリティ設計支援プログラム242の定義情報事例データ抽出処理部252は,通信処理部251と連携して,指定したアドレスにある仕様書事例データベースに対して,指定した特徴情報に合致するセキュリティ仕様書事例データから定義情報事例データを取得するように要求する(ステップ1312)。指定した仕様書事例データベースを管理する仕様書事例データベース管理装置15上の事例データ提供プログラム442は,セキュリティ設計支援装置11からの要求を受け取ると,仕様書事例データ検索処理部453でセキュリティ設計支援装置11から要求された特徴情報リストに基づいてセキュリティ仕様書事例を検索し,仕様書事例データ抽出処理部が該当するセキュリティ仕様書事例データを抽出して仕様書事例データ領域455に格納する(ステップ1321)。
【0029】
もし仕様書事例データ検索処理部453を持たない場合,または,特徴情報が指定されていない場合,全てのセキュリティ仕様書事例データを抽出して仕様書事例データ領域455に格納する。さらに,もし定義情報事例データ抽出処理部454がある場合は,仕様書事例データ領域455に格納されたデータから,所定の目次構成と定義情報記述形式(51〜56)を利用して各種定義情報事例データを抽出し,定義情報事例データ領域456に格納する(ステップ1322)。通信処理部451は,定義情報事例データ領域456に格納されたデータがあれば,定義情報事例データを,なければ,仕様書事例データ領域455に格納された仕様書事例データをセキュリティ設計支援装置11に送信する(ステップ1323)。
【0030】
セキュリティ設計支援装置11は,仕様書事例DB管理装置から送信されてきた事例データを受信して,仕様書事例データは仕様書事例データ領域2511に,定義情報事例データは定義情報事例データ領域2512に分類して格納する(ステップ1313)。入力画面150で指定したアドレス1506にある仕様書事例データベース13のうち,まだアクセスしていない仕様書事例データベース13があれば(ステップ1314),ステップ1312とステップ1313を繰り返し,受信した事例データを同様に分類して格納する。指定した全ての仕様書事例データベースから事例データを受信後,受信した事例データの中に仕様書事例データがある場合は,定義情報事例データ抽出処理部252が仕様書事例データ領域2511の仕様書事例データから,所定の目次構成と定義情報記述形式(51〜56)を利用して各種定義情報事例データを抽出し,定義情報事例データ領域2512に追加格納する(ステップ1315)。
【0031】
さてここで,仕様書編集画面110で選択したコマンドメニューが定義情報事例DB作成1104か定義情報の追加1101のいずれかであるかにより処理を分岐する(ステップ1316)。
【0032】
まず,仕様書編集画面110で定義情報事例DB作成1104を選択した場合は,定義情報事例データ処理部252が定義情報事例データ領域2512のデータを外部記憶装置24内に定義情報事例データベース243として保存する(ステップ1317)。保存した定義情報事例データベースは,セキュリティ設計支援プログラム242の実行中,随時メモリ上の定義情報事例データ領域2512に読み込まれて(ステップ1321),編集処理に利用される。
【0033】
さて,この時,定義情報事例データ領域2512および定義情報事例データベース243に格納される定義情報事例データの構成例を図6〜図11により説明する。
【0034】
図6,図7は,定義情報事例データ領域2512および定義情報事例データベース243の最小限のデータ構成例を示す図である。61〜68はそれぞれ,脅威,前提条件,組織のセキュリティ方針,TOEのセキュリティ対策方針,環境のセキュリティ対策方針,セキュリティ機能要件,セキュリティ保証要件,実現方式の各種定義情報のデータ構造例を示す。各定義情報事例データは,定義情報事例データ領域2512または定義情報事例データベース243においてユニークな番号と定義情報事例を識別するためのラベルとその定義内容と定義情報事例データの導出元となったセキュリティ仕様書の識別子とから構成される。
【0035】
例えば,脅威事例データ61の場合は,脅威ID 611と脅威ラベル612と脅威事例記述613と導出元仕様書ID 614とから構成される。前提条件,組織のセキュリティ方針,TOEのセキュリティ対策方針,環境のセキュリティ対策方針,セキュリティ機能要件,セキュリティ保証要件,実現方式の他の定義情報事例データについても同様である。
【0036】
図8は,脅威を特定するために必要な情報(以降,脅威属性情報と呼ぶ)である攻撃者,保護対象資産,脅威種別・攻撃方法の各脅威属性情報のクラス階層構造イメージ(71〜73)とクラス階層構造のデータ構成例(74:攻撃者の場合)と脅威属性情報事例の階層構造のデータ構成例(75:攻撃者の場合)を示す図である。図9は,脅威事例データ,前提条件事例データおよび組織のセキュリティ方針事例データの各定義情報事例データを,各定義情報事例データの定義内容に基づいて,図8で示した攻撃者,保護対象資産,脅威種別・攻撃方法の各階層構造と対応付けたデータ構成例を示す図である。
【0037】
各定義情報事例データは,定義情報事例データ領域2512または定義情報事例データベース243においてユニークな番号と定義情報事例を識別するためのラベルとその定義内容と攻撃者クラス名と保護対象資産クラス名と脅威種別・攻撃方法クラス名とから構成される。例えば,脅威事例81の場合は,脅威ID 811と脅威ラベル812と脅威事例記述813と攻撃者クラス名814と保護対象資産クラス名815と脅威種別・攻撃方法クラス名816とから構成される。前提条件,組織のセキュリティ方針についても同様である。
【0038】
図10は,製品やシステムを分類するための特徴情報のクラス階層構造イメージ(91)と脅威事例データ,前提条件事例データおよび組織のセキュリティ方針事例データの各定義情報事例データを,各定義情報事例が記載されていたセキュリティ仕様書の特徴情報に基づいて特徴情報階層構造91の各階層クラスと対応付けたデータ構成例を示す図である。各定義情報事例データは,定義情報事例データ領域2512または定義情報事例データベース243においてユニークな番号と定義情報事例を識別するためのラベルとその定義内容と特徴情報クラス名とから構成される。例えば,脅威事例92の場合は,脅威ID 921と脅威ラベル922と脅威事例記述923と特徴情報クラス名924とから構成される。前提条件,組織のセキュリティ方針についても同様である。
【0039】
図11は,セキュリティ仕様書記載の各定義情報事例データ間の対応関係イメージ(101)と脅威,前提条件,組織のセキュリティ方針の各事例データとTOEのセキュリティ対策方針および環境のセキュリティ対策方針との対応関係(102〜104),TOEのセキュリティ対策方針とセキュリティ機能要件およびセキュリティ保証要件との対応関係(105),および,セキュリティ機能要件と実現方式との対応関係(106)を表すデータ構成例を示す図である。
【0040】
各定義情報事例データは,ある定義情報事例データのID番号とそれに対応する定義情報事例データのID番号とから構成される。例えば,脅威事例102の場合,脅威ID”1”と対応関係にあるセキュリティ対策方針事例データは,ID”3”のTOEのセキュリティ対策方針事例データとID”8”の環境のセキュリティ対策方針事例データであることを示す。前提条件,組織のセキュリティ方針,TOEのセキュリティ対策方針,環境のセキュリティ対策方針,セキュリティ機能要件,セキュリティ保証要件,実現方式の他の定義情報事例データについても同様である。
【0041】
以上のように,フロー131において作成される定義情報事例データおよびデータベースは,前記図6〜図11に示すデータ構成例に基づいて定義情報事例データ領域2512または定義情報事例データベース243に格納されるものとする。また,設計対象の仕様書の定義情報データも前記図6〜図11に示すデータ構成例に基づいて格納されているものとする。
【0042】
さて一方,仕様書編集画面110で定義情報の追加1101を選択した場合は,定義情報事例追加画面160を表示して,設計対象の仕様書に定義情報事例データを追加する処理(フロー141)を実行する(ステップ1319)。
【0043】
図16は前記定義情報事例追加画面160の構成例を示す図である。事例追加画面160は,脅威,前提条件,組織のセキュリティ方針等の定義情報事例データ種別毎に事例追加のためのインタフェースを用意しており(1601),定義情報事例データ種別毎の事例追加画面は,定義情報事例データ一覧表示欄1602と,定義情報事例データ一覧から選択した追加事例データ表示欄1603と,前記の追加事例選択と選択取り消しを行うための登録ボタン1604および除外ボタン1605と,前記定義情報事例データ一覧表示欄1602または追加事例データ表示欄1603で指定した定義情報事例データの定義内容を表示する定義内容表示欄1606と,同じく前記定義情報事例データ一覧表示欄1602または追加事例データ表示欄1603で指定した定義情報事例データに対して重複や矛盾の可能性がある編集中のセキュリティ仕様書ドラフト版16記載の定義情報事例データを表示する関連定義情報事例データ表示欄1607と,事例データ追加時に対応関係にあるセキュリティ対策方針,セキュリティ要件,実現方式を同時に追加するかどうかを決定する対応定義情報導出チェックボックス1608と,定義情報事例データ一覧表示欄1602に表示する定義情報事例データを絞り込むための絞り込み検索ボタン1609と,指定した追加定義情報事例データを編集中のセキュリティ仕様書ドラフト版に追加するためのOKボタン1610とから構成される。なお,定義内容表示欄1606と関連定義情報事例データ表示欄1607に表示するラベルや定義内容は,図6〜図11の各データ構成を持つ定義情報事例データから取得する。特に,関連定義情報事例データ表示欄1607に表示する重複または矛盾の可能性のある定義情報事例データは,定義情報事例データ比較処理部256が図20記載の重複例201および矛盾例202に示すような属性情報の包含関係を利用した類推により導出する。
【0044】
さらに,定義情報事例追加画面160の絞り込み検索ボタン1609の押下により,事例データ検索処理部255が脅威属性情報を絞り込み条件として指定する絞込条件入力画面170を表示して,指定した絞り込み条件に基づいて定義情報事例データ一覧表示欄1602に表示する定義情報事例データの絞り込みを行う(ステップ1320)。
【0045】
図17は,定義情報事例データの絞り込むための脅威属性情報を指定する絞り込み条件入力画面170を示す図である。絞り込み条件入力画面170は,脅威属性情報である攻撃者・要因,保護対象資産,脅威種別,攻撃方法の選択肢を表示する各属性選択欄1701〜1704と,指定した各属性情報を表示する指定属性情報表示欄1705〜1708と,脅威属性情報の階層構造71〜73を利用して脅威属性情報の包含関係を考慮した絞り込みを行うための包含関係対応絞り込みチェックボックス1711と,指定した属性情報に基づいて絞り込みを実施するためのOKボタン1712とから構成される。
【0046】
この画面のOKボタン1712が押下されると,指定属性情報表示欄1705〜1708に表示された各属性情報クラスと一致するクラスに関連付けられた定義情報事例データを定義情報事例データ構成81〜83を参照して抽出する。包含関係対応絞り込みチェックボックス1711がチェックされている場合は,各属性情報用語の包含関係を考慮して,階層構造71〜73において指定した属性情報クラスの下位にあるクラスに関連付けられた定義情報事例データも抽出する。
【0047】
さてここで,定義情報事例追加画面160および絞り込み条件入力画面170を使用した,設計対象の仕様書への定義情報事例の追加処理の動作概要(フロー141)を説明する。
【0048】
フロー141では,まず定義情報事例データ領域2512にある定義情報事例データを定義情報事例追加画面160上に表示する(ステップ1412)。ここでもし,絞り込み検索ボタン1609が押下された場合は,絞り込み条件入力画面170から絞り込み条件を設定し,この条件に基づいて定義情報事例データを絞り込んで(ステップ1411),定義情報事例追加画面160上に表示する(ステップ1412)。この定義情報事例追加画面160上の定義情報事例データ一覧表示欄1602または追加事例データ表示欄1603にある定義情報事例データが選択された場合,選択した定義情報の内容と,脅威属性情報のクラス階層構造上で同一または下位のクラスに属する定義情報事例の内容を表示する(ステップ1414)。
【0049】
また,定義情報事例データ一覧表示欄1602の定義情報事例データが選択された状態で登録ボタン1604が押下された場合(ステップ1415),追加候補へ登録されて追加事例データ表示欄1603に追加され,追加事例データ表示欄1603の定義情報事例データが選択された状態で除外ボタン1605が押下された場合(ステップ1415),追加候補から除外されて追加事例データ表示欄1603から削除される(ステップ1416)。上記の処理は,定義情報事例追加画面160上でOKボタン1610またはキャンセルボタンが押下されるまで繰り返される(ステップ1417)。そして,OKボタンが押下された場合,追加候補に登録されていた定義情報事例データを設計対象の仕様書に追加する(ステップ1418)。なお,対応定義情報導出チェックボックス1608がチェックされている場合は,対応関係データ導出処理部259が定義情報事例データ間対応関係データ102〜106を利用して対応関係にある定義情報事例データを抽出し,定義情報事例データ追加処理部257と連携して一括追加する(ステップ1418)。
【0050】
以上が,セキュリティ仕様書ドラフト版16に定義情報を追加する場合と定義情報の追加に繰り返し利用するための定義情報事例データベースを作成する場合の動作概要の説明である。
【0051】
次に,セキュリティ仕様書ドラフト版16に定義情報を削除する場合の動作概要(フロー142)を説明する。
【0052】
仕様書編集画面110上で,ユーザが定義情報の削除メニュー1102を選択すると,定義情報データ削除処理部258がセキュリティ仕様書ドラフト版16に記載済みの定義情報データから指定した定義情報データを削除するための定義情報削除画面180を表示して,設計対象の仕様書からの定義情報の削除処理(フロー142)を実行する。
【0053】
図18は,前記定義情報削除画面180の構成例を示す図である。定義情報削除画面180は,脅威,前提条件,組織のセキュリティ方針等の定義情報事例データ種別毎に定義情報削除のためのインタフェースを用意しており(1801),各種別毎の定義情報削除画面では,記載済み定義情報一覧表示欄1802と,記載済み定義情報一覧から選択した削除定義情報データの表示欄1803と,前記の削除データ選択とその選択取り消しを行うための追加ボタン1804および取り消しボタン1805と,前記記載済み定義情報一覧表示欄1802または削除定義情報データの表示欄1803で指定した定義情報データの定義内容を表示する定義内容表示欄1806と,同じく前記記載済み定義情報一覧表示欄1802または削除定義情報データの表示欄1803で指定した定義情報データに対して重複や矛盾の可能性がある編集中のセキュリティ仕様書ドラフト版16記載の定義情報データを表示する関連定義情報事例データ表示欄1807と,定義情報データ削除時に対応関係にあるセキュリティ対策方針,セキュリティ要件,実現方式を同時に削除するかどうかを決定する対応定義情報導出チェックボックス1808と,指定した削除定義情報データを編集中のセキュリティ仕様書ドラフト版16から削除するためのOKボタン1809とから構成される。
【0054】
なお,定義内容表示欄1806と関連定義情報事例データ表示欄1807に表示するラベルや定義内容は,図6〜図11に示す各データ構成でセキュリティ仕様書データ領域2513に格納された定義情報事例データから取得する。特に,関連定義情報事例データ表示欄1807に表示する重複または矛盾の可能性のある定義情報事例データは,定義情報事例データ比較処理部256が図20記載の重複例201および矛盾例202に示すような属性情報の包含関係を利用した属性情報クラスの比較処理により導出する。
【0055】
さてここで,前記定義情報削除画面180を使用した,設計対象の仕様書への定義情報事例の削除処理の動作概要(フロー142)を説明する。
【0056】
フロー142では,まず定義情報事例データ領域2512にある定義情報事例データを定義情報削除画面180上に表示する(ステップ1422)。この定義情報削除画面180上の記載済み定義情報一覧表示欄または削除定義情報表示欄1803にある定義情報データが選択された場合,選択した定義情報の内容と,脅威属性情報のクラス階層構造上で同一または下位のクラスに属する記載済み定義情報の内容を表示する(ステップ1424)。また,記載済み定義情報一覧表示欄1802の定義情報事例データが選択された状態で登録ボタン1804が押下された場合(ステップ1425),削除候補へ登録されて削除定義情報表示欄1803に追加され,削除定義情報表示欄1803の定義情報事例データが選択された状態で除外ボタン1805が押下された場合(ステップ1425),削除候補から除外されて削除定義情報データ表示欄1803から削除される(ステップ1426)。
【0057】
上記の処理は,定義情報削除画面180上でOKボタン1809またはキャンセルボタンが押下されるまで繰り返される(ステップ1427)。そして,OKボタン1809が押下された場合,削除候補に登録されていた定義情報データを設計対象の仕様書から削除する(ステップ1428)。なお,対応定義情報導出チェックボックス1808がチェックされている場合は,対応関係データ導出処理部259が定義情報事例データ間対応関係データ102〜106を利用して対応関係にある定義情報を抽出し,定義情報事例データ追加処理部257と連携して一括削除する(ステップ1428)。
【0058】
以上のようにセキュリティ仕様書ドラフト版16に記載された記載済み定義情報データ一覧1802から,関連定義情報事例データ表示欄1807を参照しながら重複や矛盾があるとユーザが判断した削除定義情報データ1803を,削除ボタン1809押下により,定義情報データ削除処理部258がセキュリティ仕様書データ領域2513に格納される仕様書データ中の定義情報データから削除する。対応定義情報導出チェックボックス1808がチェックされている場合は,対応関係データ導出処理部259が定義情報事例データ間対応関係データ102〜106を利用して対応関係にある定義情報事例データを導出し,定義データ削除処理部258と連携して一括削除する。
【0059】
以上が,セキュリティ仕様書ドラフト版16から定義情報を削除する場合の動作概要の説明である。
【0060】
次に,セキュリティ仕様書ドラフト版16において同じ意味で異なる用語をしている記述を修正して用語統一を図る場合の動作概要を説明する。
【0061】
仕様書編集画面110上で,ユーザが用語変換メニュー1103を選択すると,用語選択・変換処理部2510が各種属性情報用語を統一するための用語指定画面190を表示する。
【0062】
図19は,前記用語指定画面190の構成例を示す図である。用語指定画面190は,攻撃者・要因,保護対象資産,脅威種別・攻撃方法の各脅威属性情報種別毎に用語選択・変換のためのインタフェースを用意しており(1901),各種別毎の用語指定画面では,属性情報階層構造71〜73に基づくクラスツリー図1902と,各属性用語事例のデータ構成75を利用して得られる各クラス毎の用語・表現事例一覧から統一的に使用する用語を選択するための用語選択欄1903と,脅威属性情報の階層構造71〜73を利用して脅威属性情報の包含関係を考慮した用語変換を行うための包含関係対応絞り込みチェックボックス1904と,指定した属性情報に基づいて用語変換を実施するためのOKボタン1905とから構成される。
【0063】
この画面のOKボタン1905が押下されると,用語変換処理部2510がセキュリティ仕様書データ内で使用される各属性情報クラス毎の用語を,クラスツリー1902の各クラス毎に用語選択欄1903から選択した用語事例で置換する。この時,置換確認画面191で,全て置換ボタン1913を押下することにより一括置換を実施し,置換対象となっている部分1901を参照して置換するかどうかをユーザが判断することにより逐次置換1912や置換しない1914も可能とする。
【0064】
以上が,図21に示すシステム構成において,セキュリティ仕様書ドラフト版16を補正してセキュリティ仕様書完成版17を作成支援する場合の実施形態の説明である。
【0065】
次に,所定の基準が国際セキュリティ評価基準ISO15408である場合を例とする本発明における第二の実施形態について説明する。本実施形態は,まず,公的機関・業界団体,セキュリティ情報・ノウハウ提供企業,セキュリティ設計支援企業,組織内のセキュリティ管理部門等のセキュリティ情報・ノウハウ提供者が,定義情報事例DB生成・管理装置14を使用して,セキュリティ仕様書を登録・公開している複数機関のセキュリティ仕様書事例データベース13,および,前記機関から取得したセキュリティ仕様書事例データを再構成して独自に構築した仕様書事例データベース18から定義情報事例データを抽出して定義情報事例データベース12を作成し,セキュリティ設計支援装置からの要求に応じて定義情報事例データを提供するものである。
【0066】
そして,セキュリティ仕様書作成者は,セキュリティ設計支援装置11を使用して,公開されているセキュリティ仕様書事例データベース13および提供されている定義情報事例データベース18から定義情報事例データを取得し,その定義情報事例データを利用してセキュリティ仕様書ドラフト版16の補正編集作業を実行する,あるいは,前記補正編集作業に再利用できるように抽出した定義情報事例データから定義情報事例データベース12を作成するものである。
【0067】
図22は本実施形態のシステム構成概要を示す図である。前記システムは,セキュリティ仕様書作成を支援するセキュリティ設計支援装置11と作成済みのセキュリティ仕様書(PPおよびST)の事例データベース13と前記データベースを管理する仕様書事例DB管理装置15と前記セキュリティ仕様書事例データベースから定義情報事例データを作成し提供する定義情報事例DB生成・管理装置14とから構成され,セキュリティ設計支援装置11と定義情報事例DB生成・管理装置14と仕様書事例DB管理装置15とがネットワークを介して接続される。さらに,セキュリティ設計支援装置11は,セキュリティ仕様書事例データベース13を利用して作成した定義情報事例データベースを格納する外部記憶装置12と接続している。
【0068】
図3は,本方式のセキュリティ設計支援方法および装置で使用する定義情報事例DB生成・管理装置14の構成例を示す図である。31は装置内の各ハードウェアを制御しプログラムを実行するCPU,32は端末入出力制御部,33はバス,34は外部記憶装置,35は主記憶装置(メモリ),36は端末入出力制御部に接続されたディスプレイ,37は端末入出力制御部に接続されたキーボード,38は他の装置との間のネットワーク回線を制御するネットワーク制御部を示す。
【0069】
さらに,341〜344は外部記憶装置34に格納された電子情報,351〜356はメモリ35上にロードされた電子情報であり,341はネットワーク回線を介して通信を行うための通信モジュール,342は定義情報事例データベースを作成するための事例DB生成プログラム,344は事例DB生成プログラム342が作成した定義情報事例データベース,343はセキュリティ設計支援装置11からの要求に応じて定義情報事例データを提供する事例データ提供プログラム,351はネットワーク回線を介した通信を行うための通信処理部,352はセキュリティ仕様書の事例データベース13から定義情報種別毎の定義情報事例データを抽出するための定義情報事例データ抽出処理部,353は事例データ抽出処理部252で抽出した定義情報事例データ356をマージしてデータベース344として保存する定義情報事例DB作成処理部,354は作成した定義情報事例DB 344の定義情報事例データを通信処理部351と連携してネットワーク経由で提供するための定義情報事例データ提供処理部,355は事例データ抽出処理352を実行する際に一時的にセキュリティ仕様書データを格納する領域,356は事例データ抽出処理352によりセキュリティ仕様書から抽出した定義情報事例データの格納領域および定義情報事例データ提供処理部354が提供する定義情報事例データの格納領域を示す。
【0070】
本実施形態では,セキュリティ設計支援装置11の仕様書事例データベースの指定と対象とする仕様書事例の絞り込みのための入力画面150において,指定アドレス1506の接続先として定義情報事例データベース12も可能とし,フロー131における事例データ取得先を定義情報事例DB生成・管理装置14とすることによって,本実施形態の説明に第一の実施形態の説明をそのまま適用することができる。また,第一の実施形態における定義情報事例データ抽出処理部252と本実施形態における定義情報事例データ抽出処理部352,第一の実施形態における定義情報事例DB作成処理部253と本実施形態における定義情報事例データ抽出処理部353のそれぞれが同一の処理とみなし,定義情報事例DB生成・管理装置14が第一の実施形態におけるセキュリティ設計支援装置11の定義情報事例データベース作成機能を実装することにより,第一の実施形態と同じ処理内容および手順により本実施形態を説明できる。
【0071】
以上で第一および第二の実施形態で実現するセキュリティ設計支援装置および方法において,定義情報事例データベース12を格納する外部記憶媒体はハードディスクドライブ等の装置内蔵型の媒体だけでなく,CD−R/RWドライブやDVD−R/RWドライブ等の書き込み可能な可搬型記憶媒体であってもよい。
【0072】
以上の実施形態により,製品・システムの開発者は,セキュリティ仕様書を作成する場合に,公開されたセキュリティ仕様書事例を利用したセキュリティ仕様書作成の効率化や評価済み事例の利用による高品質化を図ることができる。また,セキュリティ情報・ノウハウ提供企業やセキュリティ設計支援サービス企業は,公開されたセキュリティ仕様書事例をもとに独自の定義情報事例データベースを構築して,付加価値のあるセキュリティ事例データを提供したり,その定義情報事例データベースを利用することのより,効率的で高品質なセキュリティ設計支援サービスを提供することができる。
【0073】
上記実施例によれば,所定の基準に基づく仕様書,特に情報関連製品や情報システムの計画および設計段階で用いられる国際セキュリティ評価基準に基づくセキュリティ仕様書の作成時に,登録機関に登録されている認証済みセキュリティ仕様書群や過去に作成し蓄積したセキュリティ仕様書群から脅威やセキュリティ対策方針等の各種定義情報事例データを種類別に取り出して,その中から定義情報を個別に選択して仕様書への追加等に利用できる。
【0074】
さらに,取り出した定義情報事例データ群に,製品やシステムの特徴情報(対象規模,製品カテゴリ,製品タイプ,製品の用途等)の継承関係,脅威の属性情報(攻撃者,保護対象資産,攻撃方法)に使用する用語の包含関係,各定義情報事例間の対応関係などの情報を付与することにより,仕様書への定義情報の追加,削除,修正といった編集作業全体の効率的な支援を可能となる。
【0075】
これにより,事例データ利用型の仕様書作成支援ツールにおいて,専門家等の手作業で行われていた事例データベース作成作業を大幅に軽減する。また,仕様書ドラフト版を対象の固有性を考慮して修正したり,記述内容の重複,矛盾,用語のばらつきを排除して完成版にする場合に,作業者の専門知識やノウハウに依存する定義情報の追加,削除,修正作業を軽減するとともに,高品質な仕様書を作成することが可能となる。
【0076】
【発明の効果】
本発明によれば,セキュリティ仕様書の作成を効率よく行うことが可能となる。
【図面の簡単な説明】
【図1】本発明に基づくセキュリティ設計支援方法の特徴概要
【図2】セキュリティ設計支援装置
【図3】定義情報事例DB生成・管理装置
【図4】仕様書事例DB管理装置
【図5】所定の基準(ISO15408)に基づく仕様書フォーマット例
【図6】定義情報事例データフォーマット(セキュリティ環境,セキュリティ対策方針)
【図7】定義情報事例データフォーマット(セキュリティ要件,実現方式)
【図8】脅威属性情報の階層構造イメージ,階層構造表現例,属性情報事例データフォーマット例
【図9】脅威属性情報付きセキュリティ環境事例データフォーマット
【図10】製品・システム特徴情報の階層構造イメージ,特徴情報付き定義情報事例データフォーマット例
【図11】定義情報間の対応関係イメージ,定義情報事例データ間対応関係データフォーマット例
【図12】セキュリティ設計支援ツールの仕様書編集画面例および編集支援機能メニュー一覧
【図13】定義情報事例データの収集,DB作成フロー
【図14】定義情報事例データの追加および定義情報の削除フロー
【図15】定義情報事例データ収集用入力画面例
【図16】定義情報事例データ追加用入力画面例
【図17】脅威属性情報に基づく絞り込み設定画面例
【図18】定義情報データ削除用入力画面例
【図19】用語置換用入力画面例
【図20】定義情報間の重複例,矛盾例および属性情報の関連
【図21】セキュリティ設計支援システム構成例(第一の実施形)
【図22】セキュリティ設計支援システム構成例(第二の実施形)
【符号の説明】
11…セキュリティ設計支援装置,12…定義情報事例データベース,13…仕様書(PP/ST)事例データベース,14…定義情報事例DB生成・管理装置,15…仕様書事例DB管理装置,16…設計対象のセキュリティ仕様書(PP/ST)ドラフト版,17…設計対象のセキュリティ仕様書(PP/ST)完成版,18…仕様書(PP/ST)事例データベース,21…CPU,22…端末入出力制御部,23…バス,24…外部記憶装置(ディスク),25…主記憶装置(メモリ),26…ディスプレイ,27…キーボード,28…ネットワーク制御部,241…通信モジュール,242…セキュリティ設計支援プログラム,243…定義情報事例DB,243…用語事例DB,251…通信処理部,252…定義情報事例データ抽出処理部,253…定義情報事例DB作成処理部,254…定義情報事例データ表示処理部,255…定義情報事例データ検索処理部,256…定義情報事例データ比較処理処理部,257…定義情報事例データ追加処理部,258…定義情報データ削除処理部,259…対応関係データ導出処理部,2510…用語選択・変換処理部,2511…仕様書事例データ領域,2512…定義情報事例データ領域,2513…セキュリティ仕様書データ領域,31…CPU,32…端末入出力制御部,33…バス,34…外部記憶装置(ディスク),35…主記憶装置(メモリ),36…ディスプレイ,37…キーボード,38…ネットワーク制御部,341…通信モジュール,342…事例DB生成プログラム,343…事例データ提供プログラム,344…定義情報事例DB,351…通信処理部,352…定義情報事例データ抽出処理部,353…定義情報事例DB作成処理部,354…定義情報事例データ提供処理部,355…仕様書事例データ領域,356…定義情報事例データ領域,41…CPU,42…端末入出力制御部,43…バス,44…外部記憶装置(ディスク),45…主記憶装置(メモリ),46…ディスプレイ,47…キーボード,48…ネットワーク制御部,441…通信モジュール,442…事例データ提供プログラム,443…セキュリティ仕様書事例データベース,451…通信処理部,452…仕様書事例データ抽出処理部,453…仕様書事例データ検索処理部,454…定義情報事例データ抽出処理部,455…仕様書事例データ領域,456…定義情報事例データ領域,51…基準に基づく仕様書構成(PP/ST),52…各種定義情報の記述,53…定義情報間の対応関係の記述,54…基準に基づく仕様書構成(マーク付き),55…各種定義情報の記述(マーク付き),56…定義情報間の対応関係の記述(マーク付き),61…脅威事例データ部,611…脅威ID,612…ラベル,613…事例記述,614…導出元仕様書ID,62…前提条件データ部,621…前提条件ID,622…ラベル,623…事例記述,624…導出元仕様書ID,63…組織のセキュリティ方針データ部,631…ポリシーID,632…ラベル,633…事例記述,634…導出元仕様書ID,64…TOEセキュリティ対策方針データ部,641…TOE対策ID,642…ラベル,643…事例記述,644…導出元仕様書ID,65…環境セキュリティ対策方針データ部,651…環境対策ID,652…ラベル,653…事例記述,654…導出元仕様書ID,66…セキュリティ機能要件データ部,661…機能要件ID,662…ラベル,663…事例記述,664…導出元仕様書ID,67…セキュリティ保証要件データ部,671…保証要件ID,672…ラベル,673…事例記述,674…導出元仕様書ID,68…実現方式データ部,681…実現方式ID,682…ラベル,683…事例記述,684…導出元仕様書ID,71…攻撃者のクラス階層,72…保護対象資産のクラス階層,73…脅威種別・要因のクラス階層,74…攻撃者クラス階層構造部,741…クラスID,742…クラス名,743…上位クラスID,75…攻撃者用語事例データ部,751…用語・表現事例,752…攻撃者クラス名,81…脅威事例データ部,811…脅威ID,812…ラベル,813…事例記述,814…攻撃者・要因,815…保護対象資産,816…脅威種別・攻撃方法,82…前提条件データ部,821…前提条件ID,822…ラベル,823…事例記述,824…攻撃者・要因,825…保護対象資産,826…脅威種別・攻撃方法,83…組織のセキュリティ方針データ部,831…ポリシーID,832…ラベル,833…事例記述,834…攻撃者・要因,835…保護対象資産,836…脅威種別・攻撃方法,91…特徴情報のクラス階層構造イメージ,92…脅威事例データ部,921…脅威ID,922…ラベル,923…事例記述,924…特徴情報クラス,101…定義情報事例データ間の対応関係イメージ,102…脅威−セキュリティ対策間対応関係データ部,1021…脅威ID,1022…TOE対策ID,1023…環境対策ID,103…前提条件−セキュリティ対策間対応関係データ部,1031…前提条件ID,1032…TOE対策ID,1033…環境対策ID,104…組織のセキュリティ方針−セキュリティ対策間対応関係データ部,1041…ポリシーID,1042…TOE対策ID,1043…環境対策ID,105…セキュリティ対策−セキュリティ要件間対応関係データ部,1051…TOE対策ID,1052…機能要件ID,1053…保証要件ID,106…セキュリティ要件−実現方式間対応関係データ部,1061…機能要件ID,1062…実現方式ID,,110…セキュリティ設計支援ツール仕様書編集画面,1101…定義情報の追加メニュー,1102…定義情報の削除メニュー,1103…用語変換メニュー,1104…定義情報事例DBメニュー,131…セキュリティ設計支援装置フロー,1311…特徴情報指定ステップ,1312…事例データ要求ステップ,1313…事例データ取得ステップ,1314…対象仕様書事例DB残り判定ステップ,1315…事例データ抽出ステップ,1316…DB作成処理判定ステップ,1317…データベース作成ステップ,1318…DB読み込みステップ,1319…データ一覧表示ステップ,1320…絞り込みステップ,1321…事例データ利用ステップ,133…セキュリティ設計支援装置フロー,1331…特徴情報指定ステップ,1332…事例データ要求ステップ,1333…事例データ取得ステップ,141…設計対象の仕様書への定義情報事例の追加フロー,1411…定義情報事例データ絞り込みステップ,1412…定義情報事例データ一覧表示ステップ,1413…定義情報事例データ選択判定ステップ,1414…関連定義情報事例データ表示ステップ,1415…追加候補登録・除外判定ステップ,1416…追加候補への登録・除外ステップ,1417…画面クリック判定ステップ,1418…定義情報事例データ追加ステップ,142…設計対象の仕様書からの定義情報の削除フロー,1422…定義情報データ一覧表示ステップ,1423…定義情報データ選択判定ステップ,1424…関連定義情報データ表示ステップ,1425…削除候補登録・除外判定ステップ,1426…削除候補への登録・除外ステップ,1427…画面クリック判定ステップ,1428…定義情報データ削除ステップ,150…アドレス・特徴情報入力画面,1501…アドレス入力欄,1502…規模入力欄,1503…カテゴリ入力欄,1504…その他の特徴情報入力欄,1505…キーワード入力欄,1506…アドレス決定欄,1507…規模決定欄,1508…カテゴリ決定欄,1509…その他の特徴情報決定欄,1510…キーワード決定欄,1511…追加ボタン,1512…削除ボタン,1513…OKボタン,1514…スキップボタン,160…定義情報事例データ追加画面,1601…定義情報種別タブ,1602…事例データ一覧表示欄,1603…追加事例データ表示欄,1604…追加ボタン,1605…削除ボタン,1606…定義内容表示欄,1607…仕様書記載済み関連定義情報表示欄,1608…対応関係チェックボックス,1609…絞込検索ボタン,1610…追加ボタン,170…絞込条件入力画面,1701…攻撃者・要因入力欄,1702…保護対象資産入力欄,1703…脅威種別入力欄,1704…攻撃方法入力欄,1705…攻撃者・要因決定欄,1706…保護対象資産決定欄,1707…脅威種別決定欄,1708…攻撃方法決定欄,1709…追加ボタン,1710…削除ボタン,1711…脅威属性情報包含関係チェックボックス,1712…OKボタン,180…用語選択画面,1801…定義情報種別タブ,1802…記載済み定義情報表示欄,1803…削除定義情報データ表示欄,1804…追加ボタン,1805…削除ボタン,1806…定義内容表示欄,1807…仕様書記載済み関連定義情報表示欄,1808…対応関係チェックボックス,1809…削除ボタン,190…用語選択画面,1901…脅威属性情報タブ,1902…脅威属性ツリー表示欄,1903…脅威属性用語事例表示欄,1904…脅威属性包含関係チェックボックス,1905…OKボタン,191…置換確認画面,1911…置換候補表示欄,1912…逐次置換ボタン,1913…一括置換ボタン,1914…次候補検索ボタン,201…重複例,202…矛盾例。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention extracts the case data of the various definition information described in the specification based on the standard from the existing specification case based on the predetermined standard, and reuses the merged case data group. The present invention relates to a technology that supports editing work of a specification based on (addition, deletion, and modification of definition information), and particularly to a technology that supports editing work of an existing security specification based on international security evaluation standards.
[0002]
[Prior art]
There is an international security evaluation standard ISO / IEC 15408 (CC: Common Criteria) as a standard for designing and evaluating security functions of information-related products and information systems. In order to develop products and systems compliant with this ISO 15408 and obtain evaluation and certification, a security requirement specification (PP: Protection Profile) specific to ISO 15408 and a security design specification (ST: Security Target) It is mandatory to create However, in order to create these security specifications, it is necessary to have advanced expertise in general security and ISO15408, and specialized techniques and know-how related to analysis work such as risk analysis. That is the problem.
[0003]
"CC Toolbox" by NIAP (The National Information Assurance Partnership), a US security certification organization, is a tool to support the creation of this ISO15408 compliant security specification (PP, ST). (TM) (Trademark holder National Security Agency) "and Non-Patent
[0004]
By the way, ISO15408 defines a framework for using the security requirement specification PP as a template in order to efficiently create a security design specification ST unique to a product / system. An international standard (ISO15292) on the registration procedure of certified PPs was established in 2001 as a standard for centrally managing PPs that were certified separately in each country so that certified PPs could be used efficiently from all over the world in accordance with this framework. Has been established.
[0005]
[0006]
[Non-patent document 1]
"Security Design Evaluation Support Tool (V3.0) User Manual", Information Processing Promotion Agency Security Center, May 2002, p. 2-69
[Patent Document 1]
JP 2001-222420 A
[0007]
[Problems to be solved by the invention]
As described above, the creation of security specifications (PP, ST), which are essential for development, evaluation, and certification in accordance with ISO15408, requires a wealth of knowledge on threats specific to the target product / system and examples of countermeasures. It requires security know-how such as which measures are effective, and advanced technical skills such as risk analysis. Furthermore, in the actual work of creating specifications, it is necessary to identify threats and countermeasures without omission, to select appropriate security requirements for countermeasures, and to perform analysis work such as risk analysis. What is needed is a problem.
[0008]
Therefore, as a common approach to efficiently create a security specification, a method of reusing security specification examples and case data of various types of definition information described in the security specifications has been adopted. And
[0009]
By the way, in the methods of these known examples, it is necessary to prepare a database of specification examples and various definition information examples in advance. Regarding specifications, it is possible to use a group of authenticated security specifications managed by a registration organization or a group of specifications created and stored in the past as a database. For the definition information of, it is necessary to create a new case database separately.
[0010]
In addition, these known examples allow the addition of missing definition information using the case data of the definition information. However, other work that occurs when the specification is edited, for example, due to duplication or inconsistency. It does not support the work of deleting unnecessary definition information or the work of correcting unified terms.
[0011]
[Means for Solving the Problems]
The present invention provides a technology for efficiently creating a definition information example data group to be used for editing work such as addition of definition information in the creation of a specification based on a predetermined standard, particularly in the creation of a security specification conforming to ISO15408. The present invention provides a technology for efficiently supporting various editing operations on a specification using the above-described definition information example data group.
[0012]
The present invention uses a definition information case data creation part that provides a function and an interface for creating various types of definition information case data groups for each type, and uses the created various definition information case data groups to efficiently execute specification documents. It consists of a specification editing support part that provides a function for supporting a simple editing and an interface.
[0013]
In order to create a group of definition information case data for each type, the definition information case data creation part stores a specification case database that stores existing specification case examples based on predetermined criteria, and a security environment (threats, preconditions, Organizational security policy), security objectives, security requirements, and realization method definition information, and the corresponding relationship between security environment and security objectives, security objectives and security requirements, and security requirement and realization method definition information example data A security specification case database that stores existing security specification cases that describe information, a means for extracting various definition information case data described in specifications from specification case data, and a specification document from specification case data Means for extracting the described various correspondence information case data, Means for merging various definition information case data extracted from one or more specification cases by type, means for merging various correspondence information case data extracted from one or more specification cases by type, and merging by type There is provided a means for storing the definition information case data group as a database, and a means for storing the correspondence information case data group merged for each type as a database.
[0014]
Further, in order to support efficient editing of the specification using the definition information case data group, a database of the definition information case created in the definition information case data creation portion and a security A database in which each definition information example data is hierarchically structured based on the inheritance relationship between the information related products and information system feature information types targeted by the specification, and the correspondence information created in the definition information example data creation part A database in which each security environment case data is hierarchically structured based on the case database and the inclusive relation of the meanings of terms indicating threat attribute information (attackers, assets to be protected, attack methods) that identify threats, and threat attributes Based on the inclusive relation of the information, the term case data is hierarchically structured based on the database and the specified feature information A means for retrieving definition information case data, a means for retrieving relevant security environment case data based on specified threat attribute information, and a design that has an inclusive relationship (including coincidence) between the specified security environment and threat attribute information A means for searching the security environment described in the target security specification, a means for displaying a list of definition information case data by type, a means for displaying a list of various search results, and a case for correspondence information from the specified security environment Means for deriving the corresponding security objectives, security requirements, and implementation methods by referring to the database; means for arranging the specified definition information example data at predetermined positions in the specification for the design; and specification for the design Means for extracting various definition information from the specification and deleting the specified definition information data from the specification Means for arranging the security objectives, security requirements, and implementation methods derived by referring to the means, the specified security environment, and the correspondence information case database at predetermined positions in the specification document to be designed; Means for deleting security objectives, security requirements, and implementation methods derived from the security environment and correspondence information case database from the specification of the design target, and the attribute information described in the specification of the design target Means for batch-converting one or more types of term instances having the same class using designated term instances belonging to the attribute information class.
[0015]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 1 is a schematic diagram showing the features of the security design creation support method of the present invention. In this method, threats, prerequisites, organizational security policies and security measures are obtained from a
[0016]
Hereinafter, a first embodiment of the present invention will be described in which the predetermined standard is the international security evaluation standard ISO15408 as an example. In the present embodiment, the security specification creator uses the security
[0017]
FIG. 21 is a diagram showing an outline of the system configuration of the present embodiment. The system comprises a security
[0018]
FIG. 2 is a diagram showing a configuration example of a security
[0019]
Further, 241 to 243 are electronic information stored in the
[0020]
FIG. 4 is a diagram showing a configuration example of a specification case
[0021]
441 to 443 are electronic information stored in the
[0022]
FIG. 5 shows a format example of each security specification case data stored in the security
[0023]
The description of these definition information is a set of labels (A. ADMIN, T. ABUSE, P. MAC, O. I & A, FAU_GEN.1, ADV_CAP.1, etc.) for identifying each definition information and the definition contents. It consists of. Further, the
[0024]
Hereinafter, an embodiment will be described in which the security
[0025]
FIG. 12 is a diagram showing the specification editing screen 110 of the security
[0026]
FIG. 13 shows an outline of the operation when definition information is added to the security
[0027]
When the user starts the security
[0028]
The input results are displayed at 1506 to 1510, respectively. At this time, if the case data has already been acquired, by pressing the skip button 1514 (step 22), the process jumps to step 1316 to perform the process of reusing the acquired case data. On the other hand, when the
[0029]
If there is no specification case data
[0030]
The security
[0031]
The process branches depending on whether the command menu selected on the specification editing screen 110 is either the definition information
[0032]
First, when the definition information
[0033]
Now, a configuration example of the definition information case data stored in the definition information
[0034]
6 and 7 are diagrams showing examples of the minimum data configuration of the definition information
[0035]
For example, the threat case data 61 includes a
[0036]
FIG. 8 shows a class hierarchy structure image (71 to 73) of threat attribute information of an attacker, an asset to be protected, a threat type and an attack method, which are information necessary for identifying a threat (hereinafter referred to as threat attribute information). ), A data configuration example of a class hierarchical structure (74: case of an attacker), and a data configuration example of a hierarchical structure of threat attribute information case examples (75: case of an attacker). FIG. 9 illustrates the definition information example data of the threat case data, the prerequisite condition case data, and the organizational security policy case data based on the definition contents of each definition information case data. FIG. 7 is a diagram showing an example of a data configuration associated with each hierarchical structure of threat types and attack methods.
[0037]
Each definition information case data has a unique number in the definition information
[0038]
FIG. 10 is a diagram showing a class hierarchical structure image (91) of characteristic information for classifying products and systems, and definition information example data of threat case data, prerequisite case data, and organizational security policy case data. FIG. 9 is a diagram showing an example of a data configuration in which each hierarchical class of the feature information
[0039]
FIG. 11 shows a correspondence image (101) between the definition information case data described in the security specification document and each case data of threats, preconditions, organizational security policies, the TOE security objectives, and the environmental security objectives. Data configuration examples showing correspondences (102-104), correspondences between TOE security objectives, security function requirements and security assurance requirements (105), and correspondences between security function requirements and implementation methods (106) FIG.
[0040]
Each definition information case data includes an ID number of a certain definition information case data and an ID number of the corresponding definition information case data. For example, in the case of the
[0041]
As described above, the definition information case data and database created in the
[0042]
On the other hand, when the definition
[0043]
FIG. 16 is a diagram showing a configuration example of the definition information
[0044]
Further, when the refinement search button 1609 on the definition information
[0045]
FIG. 17 is a diagram showing a narrow-down
[0046]
When an
[0047]
Now, an operation outline (flow 141) of a process of adding a definition information case to a specification to be designed using the definition information
[0048]
In the
[0049]
If the
[0050]
The above is the description of the outline of the operation in the case where the definition information is added to the security
[0051]
Next, an operation outline (flow 142) when the definition information is deleted in the security
[0052]
When the user selects the definition
[0053]
FIG. 18 is a diagram showing a configuration example of the definition
[0054]
Note that the labels and definition contents displayed in the definition
[0055]
Now, an operation outline (flow 142) of the process of deleting the definition information case from the specification to be designed using the definition
[0056]
In the
[0057]
The above processing is repeated until the OK button 1809 or the cancel button is pressed on the definition information deletion screen 180 (step 1427). Then, when the OK button 1809 is pressed, the definition information data registered as the deletion candidate is deleted from the specification to be designed (step 1428). If the correspondence definition information
[0058]
As described above, from the written definition
[0059]
The above is the outline of the operation when deleting the definition information from the security
[0060]
Next, an outline of the operation in a case where the description in which different terms have the same meaning in the security
[0061]
When the user selects the
[0062]
FIG. 19 is a diagram showing a configuration example of the
[0063]
When an OK button 1905 on this screen is pressed, the term conversion processing unit 2510 selects a term for each attribute information class used in the security specification data from the
[0064]
The above is the description of the embodiment in the case where the security
[0065]
Next, a description will be given of a second embodiment of the present invention in which the predetermined standard is the international security evaluation standard ISO15408. In this embodiment, first, a security information / knowledge provider such as a public organization / industry group, a security information / know-how providing company, a security design support company, and a security management department in the organization is used by a definition information case DB generation / management apparatus. 14, security
[0066]
Then, the creator of the security specification uses the security
[0067]
FIG. 22 is a diagram showing an outline of a system configuration of the present embodiment. The system includes a security
[0068]
FIG. 3 is a diagram showing a configuration example of the definition information case DB generation /
[0069]
341 to 344 are electronic information stored in the external storage device 34; 351 to 356 are electronic information loaded on the
[0070]
In the present embodiment, on the
[0071]
As described above, in the security design support apparatus and method realized in the first and second embodiments, the external storage medium for storing the definition
[0072]
According to the above embodiments, when creating a security specification, a product / system developer can improve the efficiency of security specification creation using published security specification examples and improve quality by using evaluated examples. Can be achieved. In addition, companies that provide security information and know-how and security design support service companies build their own definition information case databases based on the published security specification cases and provide value-added security case data. By using the definition information case database, an efficient and high-quality security design support service can be provided.
[0073]
According to the above embodiment, when a specification based on a predetermined standard, especially a security specification based on international security evaluation standards used in planning and designing an information-related product or information system, is registered with a registration agency. Extracts various definition information example data such as threats and security objectives from the authenticated security specification group and the security specification group created and accumulated in the past by type, and individually selects the definition information from among them to the specification Can be used to add
[0074]
In addition, the extracted definition information example data group contains the inheritance relationship of product and system feature information (target size, product category, product type, product use, etc.), and threat attribute information (attacker, protected assets, attack method) ), It is possible to efficiently support the entire editing work such as addition, deletion, and modification of definition information to the specification by adding information such as the inclusive relation of terms used in) and the correspondence relation between each definition information case. Become.
[0075]
This greatly reduces the case database creation work that has been manually performed by an expert or the like in the case data utilization type specification creation support tool. In addition, depending on the expertise and know-how of the operator, when the draft specification is revised in consideration of the uniqueness of the target, or when the completed version is created by eliminating duplication, inconsistency, and variation in terms of the description, Addition, deletion, and modification of definition information can be reduced, and a high-quality specification can be created.
[0076]
【The invention's effect】
According to the present invention, it is possible to efficiently create a security specification.
[Brief description of the drawings]
FIG. 1 is a feature outline of a security design support method based on the present invention.
FIG. 2 is a security design support device.
FIG. 3 is a definition information case DB generation / management device.
FIG. 4 is a specification case DB management device.
FIG. 5 is an example of a specification format based on a predetermined standard (ISO15408).
FIG. 6: Definition information example data format (security environment, security objectives)
FIG. 7: Definition information example data format (security requirements, implementation method)
FIG. 8 is a diagram illustrating a hierarchical structure image of threat attribute information, a hierarchical structure expression example, and an attribute information example data format.
FIG. 9 is a security environment example data format with threat attribute information.
FIG. 10 is an example of a hierarchical structure image of product / system feature information and a definition information example data format with feature information.
FIG. 11 shows an example of a correspondence image between definition information and a correspondence data format between definition information example data.
FIG. 12 is an example of a specification editing screen of a security design support tool and a list of editing support function menus.
FIG. 13 is a flow of collecting definition information example data and creating a DB.
FIG. 14 is a flow for adding definition information example data and deleting definition information.
FIG. 15 is an example of an input screen for collecting definition information example data
FIG. 16 is an example of an input screen for adding definition information example data
FIG. 17 shows an example of a refinement setting screen based on threat attribute information.
FIG. 18 is an example of an input screen for deleting definition information data
FIG. 19 is an example of an input screen for term replacement
FIG. 20 shows an example of overlap, inconsistency, and attribute information between definition information.
FIG. 21 is a configuration example of a security design support system (first embodiment)
FIG. 22 is a configuration example of a security design support system (second embodiment).
[Explanation of symbols]
11: Security design support device, 12: Definition information case database, 13: Specification (PP / ST) case database, 14: Definition information case DB generation / management device, 15: Specification case DB management device, 16: Design target Security specification (PP / ST) draft version, 17 ... Security specification (PP / ST) completed version to be designed, 18 ... Specification (PP / ST) case database, 21 ... CPU, 22 ... Terminal input / output control Unit, 23 bus, 24 external storage device (disk), 25 main storage device (memory), 26 display, 27 keyboard, 28 network control unit, 241 communication module, 242 security design support program, 243: definition information case DB, 243: term case DB, 251: communication processing unit, 252: definition information case data Extraction processing unit, 253: Definition information case DB creation processing unit, 254: Definition information case data display processing unit, 255: Definition information case data search processing unit, 256: Definition information case data comparison processing unit, 257: Definition information case Data addition processing unit, 258 Definition data deletion processing unit, 259 Correspondence data derivation processing unit, 2510 Term selection / conversion processing unit, 2511 Specification case data area, 2512 Definition information case data area, 2513 Security specification data area, 31 CPU, 32 terminal I / O controller, 33 bus, 34 external storage device (disk), 35 main storage device (memory), 36 display, 37 keyboard, 38 Network controller, 341, communication module, 342, case DB generation program, 343, case data provision program Gram, 344: Definition information case DB, 351: Communication processing unit, 352: Definition information case data extraction processing unit, 353: Definition information case DB creation processing unit, 354: Definition information case data provision processing unit, 355: Specification case Data area, 356: Definition information case data area, 41: CPU, 42: Terminal input / output control unit, 43: Bus, 44: External storage device (disk), 45: Main storage device (memory), 46: Display, 47 ... keyboard, 48 ... network control unit, 441 ... communication module, 442 ... case data providing program, 443 ... security specification case database, 451 ... communication processing unit, 452 ... specification case data extraction processing unit, 453 ... specification case Data search processing unit, 454 ... Definition information case data extraction processing unit, 455 ... Specification case data area, 4 56: Definition information case data area, 51: Specification structure based on criteria (PP / ST), 52: Description of various definition information, 53: Description of correspondence between definition information, 54: Specification structure based on criteria ( 55) Description of various definition information (with mark), 56 ... Description of correspondence between definition information (with mark), 61 ... Threat case data part, 611 ... Threat ID, 612 ... Label, 613 ... Case Description, 614: Source specification ID, 62: Precondition data part, 621: Precondition ID, 622: Label, 623: Case description, 624: Derivation specification ID, 63: Security policy data part of organization, 631 ... Policy ID, 632 ... Label, 633 ... Case Description, 634 ... Derivation Source Specification ID, 64 ... TOE Security Objective Policy Data Section, 641 ... TOE Countermeasure ID, 642 Label, 643 ... Case description, 644 ... Derivation source specification ID, 65 ... Environmental security objectives data part, 651: Environment countermeasure ID, 652 ... Label, 653 ... Case description, 654 ... Derivation source specification ID, 66 ... Security Functional requirement data section, 661: Functional requirement ID, 662: Label, 663: Case description, 664: Derivation source specification ID, 67: Security assurance requirement data section, 671: Assurance requirement ID, 672: Label, 673: Case description , 674: Derivation source specification ID, 68: Realization method data part, 681: Realization method ID, 682: Label, 683: Case description, 684: Derivation source specification ID, 71: Class hierarchy of attacker, 72: Protection Target asset class hierarchy, 73: threat type / factor class hierarchy, 74: attacker class hierarchy structure part, 741: class ID, 742 Class name, 743: upper class ID, 75: attacker term case data section, 751: term / expression case, 752: attacker class name, 81: threat case data section, 811: threat ID, 812: label, 813 ... Case description, 814: attacker / factor, 815: protected asset, 816: threat type / attack method, 82: precondition data section, 821: precondition ID, 822: label, 823: case description, 824: attacker・ Factor, 825: Asset to be protected, 826: Threat type / attack method, 83: Organizational security policy data section, 831: Policy ID, 832: Label, 833: Case description, 834: Attacker / factor, 835: Protection Target asset, 836: Threat type / attack method, 91: Class hierarchical structure image of feature information, 92: Threat case data section, 921: Threat ID, 922 ... label, 923 ... case description, 924 ... feature information class, 101 ... correspondence image between definition information case data, 102 ... threat-security measure correspondence data part, 1021 ... threat ID, 1022 ... TOE measure ID, 1023 ... Environmental measure ID, 103 ... Prerequisite-security measure correspondence data part, 1031 ... Prerequisite ID, 1032 ... TOE measure ID, 1033 ... Environmental measure ID, 104 ... Organizational security policy-security measure correspondence data part , 1041... Policy ID, 1042... TOE countermeasure ID, 1043... Environmental countermeasure ID, 105... Security countermeasure-security requirement correspondence relationship data section, 1051... TOE countermeasure ID, 1052. … Correspondence between security requirements and implementation method Related data section, 1061 ... Function requirement ID, 1062 ... Realization method ID, 110 ... Security design support tool specification edit screen, 1101 ... Definition information addition menu, 1102 ... Definition information deletion menu, 1103 ... Term conversion menu, 1104: Definition information case DB menu, 131: Security design support device flow, 1311: Feature information designation step, 1312: Case data request step, 1313: Case data acquisition step, 1314 ... Target specification case DB remaining judgment step, 1315 ... Case data extraction step, 1316 ... DB creation processing determination step, 1317 ... Database creation step, 1318 ... DB reading step, 1319 ... Data list display step, 1320 ... Filtering step, 1321 ... Case data use step, 33: security design support device flow, 1331: feature information designation step, 1332: case data request step, 1333: case data acquisition step, 141: flow of adding definition information cases to the specification to be designed, 1411: definition information cases Data narrowing down step, 1412 ... definition information case data list display step, 1413 ... definition information case data selection judgment step, 1414 ... related definition information case data display step, 1415 ... addition candidate registration / exclusion judgment step, 1416 ... addition candidate Registration / exclusion step, 1417 ... Screen click determination step, 1418 ... Definition information case data addition step, 142 ... Deletion flow of definition information from design target specification document, 1422 ... Definition information data list display step, 1423 ... Definition information data Selection judgment Step: 1424: Related definition information data display step, 1425: Deletion candidate registration / exclusion determination step, 1426: Registration / exclusion step to deletion candidate, 1427: Screen click determination step, 1428: Definition information data deletion step, 150: Address Characteristic information input screen, 1501 ... Address input field, 1502 ... Scale input field, 1503 ... Category input field, 1504 ... Other feature information input fields, 1505 ... Keyword input field, 1506 ... Address determination field, 1507 ... Scale determination field , 1508: Category determination field, 1509: Other feature information determination field, 1510: Keyword determination field, 1511: Add button, 1512: Delete button, 1513: OK button, 1514: Skip button, 160: Definition information example data addition screen , 1601 ... definition information type , 1602 ... case data list display field, 1603 ... additional case data display field, 1604 ... addition button, 1605 ... deletion button, 1606 ... definition content display field, 1607 ... specification definition related already-defined information display field, 1608 ... correspondence Relationship check box, 1609: Refine search button, 1610: Add button, 170: Refinement condition input screen, 1701: Attacker / factor input field, 1702: Protected asset input field, 1703: Threat type input field, 1704 ... Attack method input field, 1705: attacker / factor determination field, 1706: protection target asset determination field, 1707: threat type determination field, 1708: attack method determination field, 1709: add button, 1710: delete button, 1711: threat attribute Information inclusion relation check box, 1712... OK button, 180... Term selection screen, 1801. Information type tab, 1802 ... Defined definition information display field, 1803 ... Deleted definition information data display field, 1804 ... Add button, 1805 ... Delete button, 1806 ... Definition contents display field, 1807 ... Specified specification written related definition information display field , 1808: Correspondence check box, 1809: Delete button, 190: Term selection screen, 1901: Threat attribute information tab, 1902: Threat attribute tree display field, 1903: Threat attribute term example display field, 1904: Threat attribute inclusion relation check Box, 1905 OK button, 191 replacement confirmation screen, 1911 replacement candidate display field, 1912 sequential replacement button, 1913 batch replacement button, 1914 next candidate search button, 201 duplicate example, 202 contradiction example.
Claims (9)
前記基準に基づいて一種類以上の定義情報が記述された既存仕様書事例群を格納する仕様書事例データベースと,
前記仕様書事例データベースに格納された仕様書事例データから前記基準に基づいて記述された定義情報事例データを抽出する定義情報事例データ抽出手段と,
前記仕様書事例データベース内の一つ以上の仕様書事例データから前記定義情報事例データ抽出手段により抽出した定義情報事例データ群を定義情報の種類別にマージする定義情報事例データマージ手段と,
前記マージした定義情報事例データ群を種類別に一覧表示する定義情報事例データ表示手段と,
前記一覧表示した定義情報事例データ群から指定した定義情報事例データを,設計対象の仕様書の所定の位置に配置する定義情報事例データ追加手段と
を備え,
所定の基準に基づく既存仕様書事例群で使用されている任意の定義情報記述例を個別に再利用して,前記基準に基づく仕様書の作成を支援するセキュリティ設計支援装置。In a security design support device that supports the creation of specifications based on predetermined criteria,
A specification case database storing an existing specification case group in which one or more types of definition information are described based on the criteria,
Definition information case data extraction means for extracting definition information case data described based on the criteria from the specification case data stored in the specification case database;
Definition information case data merging means for merging definition information case data groups extracted by the definition information case data extraction means from one or more specification case data in the specification case database for each type of definition information;
Definition information case data display means for displaying a list of the merged definition information case data groups by type;
Definition information case data adding means for arranging the definition information case data designated from the list-displayed definition information case data group at a predetermined position in the specification document to be designed;
A security design support apparatus that supports the creation of a specification based on a criterion by individually reusing arbitrary definition information description examples used in a group of existing specifications based on a predetermined criterion.
前記基準に基づいて一種類以上の定義情報が記述された既存仕様書事例群を格納する仕様書事例データベースと,
前記仕様書事例データベースに格納された仕様書事例データから前記基準に基づいて記述された定義情報事例データを抽出する定義情報事例データ抽出手段と,
前記仕様書事例データベース内の一つ以上の仕様書事例データから前記定義情報事例データ抽出手段により抽出した定義情報事例データ群を定義情報の種類別にマージする定義情報事例データマージ手段と,
前記マージした定義情報事例データ群から定義情報種類別の定義情報事例データベースを作成する定義情報事例データベース作成手段と,
前記定義情報事例データベースから定義情報事例データを読み取って種類別に一覧表示する定義情報事例データ表示手段と,
前記一覧表示した定義情報事例データ群から指定した定義情報事例データを,設計対象の仕様書の所定の位置に配置する定義情報事例データ追加手段と
を備え,
所定の基準に基づく既存仕様書事例群で使用されている任意の定義情報記述例を個別に再利用して前記基準に基づく仕様書の作成を支援するセキュリティ設計支援装置。In a security design support device that supports the creation of specifications based on predetermined criteria,
A specification case database storing an existing specification case group in which one or more types of definition information are described based on the criteria,
Definition information case data extraction means for extracting definition information case data described based on the criteria from the specification case data stored in the specification case database;
Definition information case data merging means for merging definition information case data groups extracted by the definition information case data extraction means from one or more specification case data in the specification case database for each type of definition information;
Definition information case database creation means for creating a definition information case database for each definition information type from the merged definition information case data group;
Definition information case data display means for reading definition information case data from the definition information case database and displaying a list by type;
Definition information case data adding means for arranging the definition information case data designated from the list-displayed definition information case data group at a predetermined position in the specification document to be designed;
A security design support apparatus that supports the creation of a specification based on a criterion by individually reusing any definition information description example used in a group of existing specifications based on a predetermined criterion.
前記基準に基づいて脅威,前提条件,組織のセキュリティ方針,セキュリティ対策方針,セキュリティ要件,実現方式の各定義情報が記述された既存のセキュリティ仕様書の事例群を格納する仕様書事例データベースと,
前記仕様書事例データベースに格納されたセキュリティ仕様書事例データから前記各定義情報の事例データを抽出する定義情報事例データ抽出手段と,
前記仕様書事例データベース内の一つ以上のセキュリティ仕様書事例データから前記定義情報事例データ抽出手段により抽出した定義情報事例データを前記各定義情報別にマージする定義情報事例データマージ手段と,
前記マージした定義情報事例データ群を種類別に一覧表示する定義情報事例データ表示手段と,
前記一覧表示した定義情報事例データ群から指定した定義情報事例データを前記基準に基づく設計対象のセキュリティ仕様書の所定の位置に配置する定義情報事例データ追加手段と
を備え,
国際セキュリティ評価基準に基づく既存セキュリティ仕様書事例で使用されている定義情報記述例を個別に再利用して前記基準に基づくセキュリティ仕様書の作成を支援するセキュリティ設計支援装置。In a security design support device that supports the creation of security specifications based on international security evaluation standards,
A specification case database that stores case groups of existing security specifications in which each definition information of threats, assumptions, organizational security policies, security objectives, security requirements, and realization methods is described based on the above criteria;
Definition information case data extraction means for extracting case data of each definition information from security specification case data stored in the specification case database;
Definition information case data merging means for merging definition information case data extracted by the definition information case data extraction means from one or more security specification case data in the specification case database for each of the definition information;
Definition information case data display means for displaying a list of the merged definition information case data groups by type;
Definition information case data adding means for arranging definition information case data designated from the list of definition information case data groups displayed in a predetermined position of a security specification to be designed based on the criterion,
A security design support apparatus that supports the creation of a security specification based on international security evaluation standards by individually reusing definition information description examples used in existing security specification cases based on international security evaluation standards.
前記基準に基づいて脅威,前提条件,組織のセキュリティ方針,セキュリティ対策方針,セキュリティ要件,実現方式の各定義情報が記述された既存のセキュリティ仕様書の事例群を格納する仕様書事例データベースと,
前記仕様書事例データベースに格納されたセキュリティ仕様書事例データから前記各定義情報の事例データを抽出する定義情報事例データ抽出手段と,
前記仕様書事例データベース内の一つ以上のセキュリティ仕様書事例データから前記定義情報事例データ抽出手段により抽出した定義情報事例データを前記各定義情報別にマージする定義情報事例データマージ手段と,
前記マージした定義情報事例データ群から前記各定義情報別の定義情報事例データベースを作成する定義情報事例データベース作成手段と,
前記定義情報事例データベースから定義情報事例データを読み取り種類別に一覧表示する定義情報事例データ表示手段と,
前記一覧表示した定義情報事例データ群から指定した定義情報事例データを前記基準に基づく設計対象のセキュリティ仕様書の所定の位置に配置する定義情報事例データ追加手段と
を備え,
国際セキュリティ評価基準に基づく既存セキュリティ仕様書事例で使用されている定義情報記述例を個別に再利用して前記基準に基づくセキュリティ仕様書の作成を支援するセキュリティ設計支援装置。In a security design support device that supports the creation of security specifications based on international security evaluation standards,
A specification case database that stores case groups of existing security specifications in which each definition information of threats, assumptions, organizational security policies, security objectives, security requirements, and realization methods is described based on the above criteria;
Definition information case data extraction means for extracting case data of each definition information from security specification case data stored in the specification case database;
Definition information case data merging means for merging definition information case data extracted by the definition information case data extraction means from one or more security specification case data in the specification case database for each of the definition information;
Definition information case database creating means for creating a definition information case database for each definition information from the merged definition information case data group;
Definition information case data display means for displaying a list of definition information case data by reading type from the definition information case database;
Definition information case data adding means for arranging definition information case data designated from the list of definition information case data groups displayed in a predetermined position of a security specification to be designed based on the criterion,
A security design support apparatus that supports the creation of a security specification based on international security evaluation standards by individually reusing definition information description examples used in existing security specification cases based on international security evaluation standards.
定義情報事例データベース作成手段により作成した定義情報事例データベースを,既存セキュリティ仕様書の事例群が対象とする情報関連製品または情報システムの特徴情報種別間の継承関係に基づいて階層構造化した階層構造化定義情報事例データベースと,
指定した特徴情報に基づいて,前記階層構造化定義情報事例データベースから該当する定義情報事例データを検索する定義情報事例データ検索手段と
を備え,
設計対象のセキュリティ仕様書作成に適切な定義情報記述例を,設計対象固有の特徴情報から発見することで,対象の固有性を考慮したセキュリティ仕様書の作成を支援するセキュリティ設計支援装置。The security design support device according to claim 4,
Hierarchical structure of the definition information case database created by the definition information case database creation means, based on the inheritance relationship between the characteristic information types of information-related products or information systems targeted by the existing security specification case groups Definition information case database,
A definition information case data search means for searching for the corresponding definition information case data from the hierarchically structured definition information case database based on the designated feature information;
A security design support device that supports creation of a security specification in consideration of the uniqueness of a target by finding an example of definition information description suitable for creating a security specification of the target from the characteristic information unique to the target.
前記基準に基づいて脅威,前提条件,組織のセキュリティ方針,セキュリティ対策方針,セキュリティ要件,実現方式の各定義情報と,脅威とセキュリティ対策方針,前提条件とセキュリティ対策方針,組織のセキュリティ方針とセキュリティ対策方針,セキュリティ対策方針とセキュリティ要件,セキュリティ要件と実現方式の各定義情報間の対応関係情報とが記述された既存のセキュリティ仕様書の事例群を格納する仕様書事例データベースと,
前記仕様書事例データベースに格納されたセキュリティ仕様書事例データから前記各定義情報の事例データおよび前記各対応関係の事例データを抽出する定義情報事例データ抽出手段と,
前記仕様書事例データベース内の一つ以上のセキュリティ仕様書事例データから前記定義情報事例データ抽出手段により抽出した定義情報事例データを前記各定義情報別にマージし,かつ,同じく抽出した対応関係事例データを前記各対応関係別にマージする対応関係付き定義情報事例データマージ手段と,
指定した脅威,前提条件,および組織のセキュリティ方針から,前記の指定定義情報に該当する対応関係事例データを参照して,対応するセキュリティ対策方針,セキュリティ要件,実現方式を順番に導出する対応関係定義情報導出手段と,
前記対応関係定義情報導出手段により導出した脅威,セキュリティ対策方針,セキュリティ要件,実現方式の定義情報事例データ一式,または,前提条件,セキュリティ対策方針,セキュリティ要件,実現方式の定義情報事例データ一式,または,組織のセキュリティ方針,セキュリティ対策方針,セキュリティ要件,実現方式の定義情報事例データ一式を,セキュリティ仕様書のそれぞれの所定の目次に一括して配置する,あるいは,それぞれの所定の目次から除外する対応関係定義情報一括追加・削除手段と
を備え,
設計対象のセキュリティ仕様書の編集作業において,各定義情報間の対応関係を常に維持した追加または削除によりセキュリティ仕様書の編集を支援するセキュリティ設計支援装置。In the security design support device according to claim 3 or 4,
Based on the above criteria, the definition information of threats, assumptions, organizational security policies, security objectives, security requirements, and realization methods, threats and security objectives, assumptions and security objectives, organizational security policies and security objectives A specification case database that stores case groups of existing security specifications that describe policies, security objectives and security requirements, and information on the correspondence between each definition information of security requirements and implementation methods;
Definition information case data extraction means for extracting case data of each of the definition information and case data of each of the correspondence relationships from security specification case data stored in the specification case database;
The definition information case data extracted by the definition information case data extracting means from one or more security specification case data in the specification case database is merged for each of the definition information, and the corresponding relationship case data also extracted is merged. Means for merging definition information example data with a correspondence relationship for each of the correspondence relationships;
A correspondence definition that derives the corresponding security objectives, security requirements, and realization methods in order from the specified threats, prerequisites, and organizational security policies by referring to the correspondence example data corresponding to the specified definition information. Information deriving means,
A set of definition information example data for threats, security objectives, security requirements, and realization methods derived by the correspondence definition information deriving means, or a set of definition information example data for preconditions, security objectives, security requirements, and realization methods, or A set of definition information example data for organizational security policies, security objectives, security requirements, and realization methods is placed together in each predetermined table of contents of the security specification, or is excluded from each predetermined table of contents. It has a means for adding and deleting relationship definition information all at once.
A security design support device that assists in editing security specifications by adding or deleting information while constantly maintaining the correspondence between definition information in the editing of security specifications to be designed.
脅威を特定する属性情報を表す用語の意味の包含関係に基づいて階層構造化して定義した各属性情報毎の属性情報クラスに基づいて,定義情報事例データベース内の脅威,前提条件,組織のセキュリティ方針の事例データを階層構造化した階層構造化セキュリティ環境事例データベースと,
指定した攻撃者,保護対象資産,または,対処すべき攻撃に基づいて,前記階層構造化セキュリティ環境事例データベースから該当する脅威,前提条件,または,組織のセキュリティ方針の各事例データを検索する定義情報事例データ検索手段と
を備える,
セキュリティ設計時に想定する攻撃者,保護対象資産,または,対処すべき攻撃に合致する定義情報記述例を検索して利用することで,想定する利用環境を考慮したセキュリティ仕様書の作成を支援することを特徴とする
セキュリティ設計支援装置。The security design support device according to claim 4,
Threats, preconditions, and organizational security policies in the definition information case database based on the attribute information class for each attribute information defined in a hierarchical structure based on the inclusive relation of the meaning of the term representing the attribute information that identifies the threat A hierarchically structured security environment case database in which case data of
Definition information that searches the hierarchically structured security environment case database for each case data of applicable threats, prerequisites, or organizational security policies based on the specified attacker, assets to be protected, or attacks to be dealt with With case data search means,
Support creation of security specifications in consideration of the assumed usage environment by searching for and using definition information description examples that match the attackers, assets to be protected, or attacks to be addressed during security design A security design support device characterized by the following.
設計対象のセキュリティ仕様書から各種定義情報を抽出する設計対象定義情報抽出手段と,
前記設計対象定義情報抽出手段により抽出した定義情報を種類別に一覧表示する設計対象定義情報一覧表示手段と,
前記設計対象定義情報一覧表示手段により一覧表示した設計対象の定義情報から指定した脅威,前提条件,または,組織のセキュリティ方針の属性情報クラスと同一または上下関係にある属性情報クラスに属する,設計対象のセキュリティ仕様書記載の脅威,前提条件,組織のセキュリティ方針を検索する関連セキュリティ環境検索手段と,
前記関連セキュリティ環境検索手段による検索結果の脅威,前提条件,および組織のセキュリティ方針を一覧表示する関連セキュリティ環境表示手段と
を備え,
指定した脅威,前提条件,または組織のセキュリティ方針のセキュリティ環境定義情報と属性情報が一致または包含関係にあるセキュリティ環境定義情報の事例データを検索して抽出することで,セキュリティ仕様書に記載済みの各セキュリティ環境の定義情報間の重複・矛盾の補正,または,セキュリティ仕様書に新規追加するセキュリティ環境定義情報と記載済みの各定義情報との間の重複・矛盾を補正する場合に,重複・矛盾の可能性のある関連事例データを発見して,重複または矛盾のないセキュリティ仕様書の作成を支援するセキュリティ設計支援装置。The security design support device according to claim 7,
A design object definition information extracting means for extracting various definition information from the security specification document to be designed;
A design object definition information list display means for displaying a list of the definition information extracted by the design object definition information extraction means by type;
The design object that belongs to the attribute information class that is the same as or a hierarchical relationship with the threat information, prerequisites, or attribute information class of the organization's security policy specified from the definition information of the design object listed by the design object definition information list display means Related security environment search means to search for threats, assumptions, and organizational security policies described in the security specifications of
Related security environment display means for displaying a list of threats, assumptions, and organizational security policies of the search results by the related security environment search means,
By searching for and extracting case data of security environment definition information in which the specified threats, preconditions, or security environment definition information of the organization's security policy and attribute information match or have an inclusive relationship, the data is already described in the security specification. Correction of duplication or inconsistency between definition information of each security environment, or duplication or inconsistency when correcting duplication or inconsistency between security environment definition information newly added to the security specification and each definition information already described A security design support device that discovers related case data that may have a possibility of creating a security specification without duplication or inconsistency.
属性情報クラスに基づいて,攻撃者,保護対象資産,および,攻撃方法の各属性情報の用語事例を階層構造化した属性情報用語事例データベースと,
設計対象のセキュリティ仕様書に記載された,同一の属性情報クラスに属する一種類以上の用語事例を,前記属性情報クラスに属する指定した用語事例によって一括変換する用語変換手段と
を備えることにより,
一つの用語を指定するだけで複数種類の用語を一括変換して,セキュリティ仕様書の用語統一作業を支援するセキュリティ設計支援装置。The security design support device according to claim 7,
An attribute information term case database in which term instances of each attribute information of an attacker, a protected asset, and an attack method are hierarchically structured based on the attribute information class;
Term conversion means for batch-converting one or more types of term instances belonging to the same attribute information class described in the security specification document to be designed by the designated term instances belonging to the attribute information class,
A security design support device that converts multiple types of terms collectively by simply specifying one term and supports the work of unifying terms in security specifications.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003009001A JP2004220459A (en) | 2003-01-17 | 2003-01-17 | Security design support device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003009001A JP2004220459A (en) | 2003-01-17 | 2003-01-17 | Security design support device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004220459A true JP2004220459A (en) | 2004-08-05 |
Family
ID=32898619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003009001A Pending JP2004220459A (en) | 2003-01-17 | 2003-01-17 | Security design support device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004220459A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008250680A (en) * | 2007-03-30 | 2008-10-16 | Ntt Data Corp | Security requirement analysis support device and computer program |
| JP2011154662A (en) * | 2010-01-28 | 2011-08-11 | Ntt Data Corp | Evaluation support device, evaluation support method, and computer program |
| JP2016105233A (en) * | 2014-12-01 | 2016-06-09 | 三菱電機株式会社 | Threat analysis device and threat analysis method |
-
2003
- 2003-01-17 JP JP2003009001A patent/JP2004220459A/en active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008250680A (en) * | 2007-03-30 | 2008-10-16 | Ntt Data Corp | Security requirement analysis support device and computer program |
| JP2011154662A (en) * | 2010-01-28 | 2011-08-11 | Ntt Data Corp | Evaluation support device, evaluation support method, and computer program |
| JP2016105233A (en) * | 2014-12-01 | 2016-06-09 | 三菱電機株式会社 | Threat analysis device and threat analysis method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9116899B2 (en) | Managing changes to one or more files via linked mapping records | |
| US20070022023A1 (en) | Method and apparatus for populating a software catalogue with software knowledge gathering | |
| CN110705237B (en) | Automatic document generation method, data processing device and storage medium | |
| CN105893509A (en) | Marking and explaining system and method for large-data analysis model | |
| US7853595B2 (en) | Method and apparatus for creating a tool for generating an index for a document | |
| JP5675676B2 (en) | Business analysis design support device, business analysis design support method, and business analysis design support program | |
| CN108665244B (en) | 61850 model-based constant value list automatic generation method and storage medium | |
| CN111061733B (en) | Data processing method, device, electronic equipment and computer readable storage medium | |
| JP2008123432A (en) | Software asset management system | |
| CN109636303B (en) | Storage method and system for semi-automatically extracting and structuring document information | |
| JPH09212353A (en) | Method and device for supporting reused design | |
| CN113608955B (en) | Log recording method, device, equipment and storage medium | |
| CN104484156B (en) | The edit methods of multilingual formula, editing system and multilingual formula editors | |
| CN104520821A (en) | Dynamic directory controls | |
| JP2019211805A (en) | Database migration support system and program | |
| JP5510031B2 (en) | Information security management support method and apparatus | |
| JP2004220459A (en) | Security design support device | |
| JP2004341623A (en) | Security specification creation support device and security specification creation support method | |
| JPH0850559A (en) | File memory protector | |
| JP2004185270A (en) | Unload program, load program and method of migrating data | |
| JP3933407B2 (en) | Document processing apparatus, document processing method, and storage medium storing document processing program | |
| JP2013058168A (en) | Information processor and information processing program | |
| JPH0895764A (en) | Software design support device | |
| JP5582065B2 (en) | Browsing information generation apparatus and browsing information generation method | |
| JP2010113389A (en) | Information processing apparatus and program |