JP2005071087A - Decision making device and method for infringement and program thereof - Google Patents
Decision making device and method for infringement and program thereof Download PDFInfo
- Publication number
- JP2005071087A JP2005071087A JP2003300047A JP2003300047A JP2005071087A JP 2005071087 A JP2005071087 A JP 2005071087A JP 2003300047 A JP2003300047 A JP 2003300047A JP 2003300047 A JP2003300047 A JP 2003300047A JP 2005071087 A JP2005071087 A JP 2005071087A
- Authority
- JP
- Japan
- Prior art keywords
- infringement
- information asset
- content
- threat
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 89
- 238000001514 detection method Methods 0.000 claims abstract description 39
- 238000012545 processing Methods 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims description 13
- 230000006378 damage Effects 0.000 abstract description 8
- 230000008569 process Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 9
- 230000009471 action Effects 0.000 description 5
- 230000010485 coping Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 230000004075 alteration Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、計算機を利用した情報資産への不正な侵害に対応した侵害に対する意思決定装置と方法、及びプログラムに関するものである。 The present invention relates to a decision making apparatus and method for an infringement corresponding to an unauthorized infringement on information assets using a computer, and a program.
従来、情報資産に関しての危機に対しては、予め定められておいた規程や手順書があればそれに従い、文書がない場合には個々人の知識レベルにおいて対処をしていた。 Conventionally, a crisis related to information assets has been dealt with according to a predetermined rule or procedure if there is a document, and if there is no document, it has been dealt with at an individual's knowledge level.
しかし近年ではセキュリティに対する意識も高まり、ことに国際的な標準や官公庁の推奨する標準が定められ、企業や団体では標準に沿ってセキュリティポリシーを定め自身のセキュリティを維持するための活動を行っている。 In recent years, however, security awareness has increased, and international standards and standards recommended by government agencies have been established. Companies and organizations have established security policies in accordance with the standards and are carrying out activities to maintain their own security. .
セキュリティ維持とは守るべき情報資産を特定し、その情報資産に対しての侵害が発生したときの被害を想定し、被害を被らないための管理策を定め、管理策を実践し、必要に応じて見直し、改善する一連の作業のことである。 Security maintenance identifies information assets that should be protected, assumes damage when infringement of the information assets occurs, establishes management measures to prevent damage, implements management measures, and It is a series of work that is reviewed and improved accordingly.
セキュリティ維持に関する標準としては英国標準の「BS7799」や国際標準化機構(ISO)で定められた「ISO/IEC 17799」、国内では日本情報処理開発協会が定めた「情報セキュリティマネジメントシステム(ISMS)適合性評価制度」がある。 Standards related to security maintenance are the British Standard “BS7799” and “ISO / IEC 17799” established by the International Organization for Standardization (ISO), and “Information Security Management System (ISMS) compatibility” established by the Japan Information Processing Development Corporation in Japan. There is an “evaluation system”.
また、セキュリティポリシー構築を支援する技術としては、団体のセキュリティポリシーを構築する方法や装置で、最初は簡易にセキュリティポリシーのドラフトを構築し、それと団体の実態との差異を調査し、差異に基づきセキュリティポリシーのドラフトの調整、又は、団体の実際の情報システムの運用ルールの調整を行い、段階的にセキュリティポリシーを完成していく方法や装置が示されている(特許文献1参照。)。 In addition, as a technology to support the construction of security policy, a method and device for constructing a security policy of an organization, first a draft of the security policy is simply constructed and the difference between it and the actual situation of the organization is investigated, and based on the difference A method and apparatus for completing a security policy in stages by adjusting a draft of a security policy or adjusting an operation rule of an actual information system of a group is disclosed (see Patent Document 1).
また、情報資産に対する脅威を検出する装置としてはIDS(Intrusion Detection System)やIDP(Intrusion Detection and Prevention)等の技術が公知され広く製品化されている。 As devices for detecting threats to information assets, technologies such as IDS (Intrusion Detection System) and IDP (Intrusion Detection and Prevention) are known and widely commercialized.
情報資産への脅威および侵害、検出装置、セキュリティポリシーとの関連を図7に示す。セキュリティポリシーをトップポリシーとして、実際の手順は別途プロシージャとして定義している。 FIG. 7 shows the relationship between threats and infringements on information assets, detection devices, and security policies. The security policy is defined as the top policy, and the actual procedure is defined as a separate procedure.
IDS等によって情報資産への不正侵害を検知をする。検知がなされた後の行動については様々なプロシージャに記述された方式に従い実行される。 Detect illegal infringement on information assets by IDS. The behavior after the detection is performed is executed according to the methods described in various procedures.
上記の様に、侵害を検知する技術は確立されており、さらに侵害と判明したときの行動はセキュリティポリシーに基づいたプロシージャで対処ができる。 As described above, the technology for detecting the infringement has been established, and the action when the infringement is found can be dealt with by a procedure based on the security policy.
しかしながら「プロシージャに記述されていない侵害事象」が発生した場合や「プロシージャの記述が曖昧である」場合には対処が遅れ、ひいては被害を拡大せしめる要因となるという問題があった。 However, when an “infringement event not described in the procedure” occurs or when the “procedure description is ambiguous”, there is a problem that the response is delayed, which in turn increases the damage.
又、プロシージャに定められていない場合、最終的には人的リソースによる意思決定が必要となる。 Moreover, when it is not defined in the procedure, ultimately, decision making by human resources is required.
そこで本発明は、計算機を利用した情報資産への不正な侵害が発生したときにその内容に応じて脅威レベルを特定し、それへの対処要否や対処するための詳細管理策を指示することで侵害による脅威に適切に対処することが出来るように、侵害に対する意思決定装置や方法を提供することを目的とする。 Therefore, the present invention specifies a threat level according to the contents when an unauthorized infringement of information assets using a computer occurs, and indicates whether or not to deal with the threat level and a detailed management measure for dealing with it. It is an object of the present invention to provide a decision making apparatus and method for infringement so that threats due to infringement can be appropriately dealt with.
本発明の第1の侵害に対する意思決定装置は、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否がデータベースに格納され、情報資産の侵害発生時にその情報資産名、侵害内容を受け、前記データベースを参照し、脅威に対処するか否かを判断する手段を備えたことを特徴とする。 The first decision making apparatus for infringement of the present invention stores the asset name, value, content of infringement on the information asset, threat level, necessity of dealing with the threat in the database, and when the infringement of the information asset occurs The information processing apparatus is characterized by comprising means for receiving the information asset name and the content of infringement, referring to the database, and determining whether to deal with the threat.
本発明の第2の侵害に対する意思決定装置は、前記第1の侵害に対する意思決定装置に於いて、前記データベースには情報資産に対する侵害内容に対応して脅威に対処するための詳細管理策とこれが複数の場合の各詳細管理策の優先順位が登録され、侵害発生時に受けた情報資産名と侵害内容でデータベースを参照し詳細管理策を選択する手段を備えたことを特徴とする。 According to a second infringement decision-making apparatus of the present invention, in the first infringement decision-making apparatus, the database includes a detailed management measure for dealing with threats corresponding to the contents of infringement on information assets. A priority order of each detailed control measure in a plurality of cases is registered, and means for selecting a detailed control measure by referring to the database by the information asset name and the infringement content received when the infringement occurs is provided.
本発明の第3の侵害に対する意思決定装置は、前記第2の侵害に対する意思決定装置に於いて、情報資産の侵害を検知する装置からの情報資産名と侵害内容、侵害発生日時を受け取る手段を備えたことを特徴とする。 The third infringement decision making apparatus according to the present invention comprises means for receiving the information asset name, infringement content, and infringement date and time from the apparatus for detecting infringement of information assets in the second infringement decision making apparatus. It is characterized by having.
本発明の第4の侵害に対する意思決定装置は、前記第2の侵害に対する意思決定装置に於いて、情報資産への侵害に対して、脅威を取り除くための詳細管理策の手段として通報(エスカレーション)が選択されたときに予め設定された宛先の装置に侵害発生を通知する通報処理手段を有したことを特徴とする。 The decision making apparatus for infringement according to the fourth aspect of the present invention provides a notification (escalation) as means for detailed management measures for removing threats against infringement on information assets in the decision making apparatus for second infringement. And a notification processing means for notifying the occurrence of infringement to a preset destination device.
本発明の第5の侵害に対する意思決定装置は、前記第2の侵害に対する意思決定装置に於いて、“平常状態”、“アクセス侵害検知”、“脅威レベルチェック状態”、“脅威対処中状態”の状態管理手段を備えたことを特徴とする。 The fifth infringement decision-making apparatus according to the present invention is the above-described second infringement decision-making apparatus, wherein “normal state”, “access violation detection”, “threat level check state”, “threat-handling state” The state management means is provided.
本発明の第6の侵害に対する意思決定装置は、前記第2の侵害に対する意思決定装置に於いて、入力装置を介して情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否、対処するための詳細管理策とこれが複数の場合の各詳細管理策の優先順位を登録する手段を備えたことを特徴とする。 The sixth infringement decision-making apparatus of the present invention is the second infringement decision-making apparatus, wherein the asset name and value of the information asset, the content of the infringement on the information asset, its threat level, threat It is characterized in that there is a means for registering the necessity of coping with each other, detailed management measures for coping with each other, and the priority of each of the detailed management measures when there are a plurality of them.
本発明の第7の侵害に対する意思決定装置は、前記第2の侵害に対する意思決定装置に於いて、情報資産の資産名、価値、情報資産への侵害内容、その脅威レベル、脅威への対処要否、対処するための詳細管理策、優先順位を表示装置に表示する手段を有したことを特徴とする。 According to the seventh infringement decision-making apparatus of the present invention, in the decision-making apparatus for the second infringement, the asset name of the information asset, the value, the content of the infringement on the information asset, its threat level, and the countermeasure necessary for the threat No, detailed control measures for coping, and means for displaying priority on a display device.
本発明の第8の侵害に対する意思決定装置は、前記第3の侵害に対する意思決定装置に於いて、選択した詳細管理策に関し、侵害を検出した日時、情報資産名、侵害内容、検出方法、対処日時、詳細管理策としての対処内容をデータベースに格納し履歴管理する手段を備えたことを特徴とする。 An eighth infringement decision-making apparatus according to the present invention relates to a date and time when an infringement is detected, an information asset name, an infringement content, a detection method, and a countermeasure for the detailed control method selected in the third infringement decision-making apparatus. The present invention is characterized in that it includes means for storing the date and time and details of countermeasures as detailed management measures in a database for history management.
本発明の第1のプログラムは、情報資産の侵害発生時にその情報資産名、侵害内容を受ける手順と、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否が格納されたデータベースを参照し、脅威に対処するか否かを判断する手順とをコンピュータに実行させることを特徴とする。 The first program of the present invention is a procedure for receiving information asset name and content of infringement when an information asset infringement occurs, information asset name, value, content of infringement on information asset, threat level, and threat countermeasures. It is characterized by causing a computer to execute a procedure for referring to a database storing “no” and determining whether or not to deal with a threat.
本発明の第2のプログラムは、情報資産の侵害発生時にその情報資産名、侵害内容を受ける手順と、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否、対処するための詳細管理策、これが複数の場合の各詳細管理策の優先順位が格納されたデータベースを参照し、脅威に対処するか否かを判断する手順と、対処する場合にその詳細管理策を選択する手順をコンピュータに実行させることを特徴とする。 The second program of the present invention is a procedure for receiving information asset name and content of infringement when an information asset infringement occurs, information asset name, value, content of infringement on information asset, threat level, and threat countermeasures. No, detailed control measures to deal with, the procedure for judging whether to deal with threats by referring to the database storing the priority of each detailed control measure when there are multiple, and details when dealing with it The computer is caused to execute a procedure for selecting a management policy.
本発明の第3のプログラムは、情報資産の侵害を検知する装置からの情報資産名と侵害内容、侵害発生日時を受け取る手順と、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否、対処するための詳細管理策、これが複数の場合の各詳細管理策の優先順位が格納されたデータベースを参照し、脅威に対処するか否かを判断する手順と、対処する場合にその詳細管理策を選択する手順をコンピュータに実行させることを特徴とする。 The third program of the present invention includes a procedure for receiving an information asset name and infringement content from an apparatus for detecting infringement of an information asset, the date and time of occurrence of the infringement, an asset name of the information asset, a value, an infringement content to the information asset, and its threat A procedure for determining whether to deal with a threat by referring to a database storing the level, necessity of dealing with threats, detailed management measures to deal with, and the priority of each detailed management measure when there are multiple The computer is caused to execute a procedure for selecting the detailed management policy when dealing with the problem.
本発明の第4のプログラムは、情報資産の侵害発生時にその情報資産名、侵害内容を受ける手順と、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否、対処するための詳細管理策、これが複数の場合の各詳細管理策の優先順位が格納されたデータベースを参照し、脅威に対処するか否かを判断する手順と、対処する場合にその詳細管理策を選択する手順と、選択された詳細管理策が通報(エスカレーション)の場合に、予め設定された装置宛に侵害発生を通報する手順をコンピュータに実行させることを特徴とする。 The fourth program of the present invention is a procedure for receiving information asset name and content of infringement when information asset infringement occurs, information asset name, value, content of infringement on information asset, threat level, and threat countermeasures. No, detailed control measures to deal with, the procedure for judging whether to deal with threats by referring to the database storing the priority of each detailed control measure when there are multiple, and details when dealing with it When the procedure for selecting a control measure and the selected detailed control measure is a report (escalation), the computer is caused to execute a procedure for reporting the occurrence of infringement to a preset device.
本発明の第5のプログラムは、情報資産の侵害を検知する装置からの情報資産名と侵害内容、侵害発生日時を受け取る手順と、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否、対処するための詳細管理策、これが複数の場合の各詳細管理策の優先順位が格納されたデータベースを参照し、脅威に対処するか否かを判断する手順と、対処する場合に詳細管理策を選択する手順と、侵害を検出した日時、情報資産名、侵害内容、検出方法、対処日時、対処した詳細管理策内容をデータベースに格納し履歴管理する手順をコンピュータに実行させることを特徴とする。 The fifth program of the present invention includes a procedure for receiving information asset name and infringement content, date and time of occurrence of infringement from a device for detecting infringement of information asset, information asset name, value, infringement content to information asset, threat thereof A procedure for determining whether to deal with a threat by referring to a database storing the level, necessity of dealing with threats, detailed management measures to deal with, and the priority of each detailed management measure when there are multiple , The procedure for selecting detailed management measures when dealing with it, the date and time when the infringement was detected, the information asset name, the content of the infringement, the detection method, the date and time of the countermeasure, and the details of the detailed control measures that were handled in the database It is made to perform.
本発明の第1の侵害に対する意思決定方法は、情報資産の侵害発生時にその情報資産名、侵害内容を受ける手順と、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否、対処するための複数の詳細管理策、その優先順位が格納されたデータベースを参照し、脅威に対処するか否かを判断する手順と、対処する場合に詳細管理策を選択する手順とを含むことを特徴とする。 The first decision-making method for infringement according to the present invention includes a procedure for receiving information asset name and content of infringement when an information asset infringement occurs, information asset name, value, content of infringement on information asset, threat level, threat Refers to the database that stores the detailed management measures to deal with the necessity of countermeasures, the priority order, and the procedure for determining whether or not to deal with threats, and selects the detailed management measures when dealing with them And a procedure for performing.
本発明の第2の侵害に対する意思決定方法は、情報資産の侵害を検知する装置からの情報資産名と侵害内容、侵害発生日、侵害発生時間を受け取る手順と、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否、対処するための詳細管理策、これが複数の場合の各詳細管理策の優先順位が格納されたデータベースを参照し、脅威に対処するか否かを判断する手順と、対処する場合に詳細管理策を選択する手順とを含むことを特徴とする。 The second decision-making method for infringement of the present invention includes a procedure for receiving an information asset name and infringement content, an infringement occurrence date and an infringement occurrence time from a device for detecting infringement of an information asset, an asset name of an information asset, a value, Refer to the database that stores the content of infringement on information assets, threat level, necessity of dealing with threats, detailed control measures to deal with, and the priority of each detailed control measure when there are multiple threats. And a procedure for selecting a detailed management policy when dealing with it.
本発明の第3の侵害に対する意思決定方法は、情報資産の侵害発生時にその情報資産名、侵害内容を受ける手順と、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否、対処するための詳細管理策、これが複数の場合の各詳細管理策の優先順位が格納されたデータベースを参照し、脅威に対処するか否かを判断する手順と、対処する場合に詳細管理策を選択する手順と、選択された詳細管理策が通報(エスカレーション)の場合に、予め設定された装置に侵害発生を通報する手順とを含むことを特徴とする。 The third decision-making method for infringement of the present invention is the information asset name, the procedure for receiving the infringement content, the information asset name, value, the infringement content for the information asset, the threat level, the threat The procedure for determining whether or not to deal with threats by referring to the database that stores the necessity of handling, detailed management measures to deal with, and the priority order of each detailed management measure when there are multiple countermeasures And a procedure for selecting a detailed management measure in the case, and a procedure for reporting the occurrence of infringement to a preset device when the selected detailed management measure is a report (escalation).
本発明の第4の侵害に対する意思決定方法は、情報資産の侵害を検知する装置からの情報資産名と侵害内容、侵害発生日時を受け取る手順と、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否、対処するための詳細管理策、これが複数の場合の各詳細管理策の優先順位が格納されたデータベースを参照し、脅威に対処するか否かを判断する手順と、対処する場合に詳細管理策を選択する手順と、侵害を検出した日時、情報資産名、侵害内容、検出方法、対処日時、対処した詳細管理策内容をデータベースに格納し履歴管理する手順とを含むことを特徴とする。 The fourth decision-making method for infringement of the present invention is a procedure for receiving information asset name, infringement content, date of occurrence of infringement from a device for detecting infringement of information asset, infringement on information asset name, value, information asset. Whether or not to deal with threats by referring to the database that stores the contents, threat level, necessity of dealing with threats, detailed management measures to deal with, and the priority of each detailed management measure when there are multiple Judgment procedures, procedures for selecting detailed control measures to deal with, date and time of infringement detection, information asset name, content of infringement, detection method, date and time of countermeasures, content of the detailed control measures handled in the database and history management And a procedure for performing.
本発明によれば、情報資産の資産価値と資産に対する侵害の内容、その脅威レベルを特定するデータ、対処の要否、脅威に対する管理策を予めデータベースに保持し、情報資産に対する侵害発生時に、その情報資産名、侵害内容でデータベースを参照し、対処要否と、管理策が実施される乃至指示されるので不正な侵害が発生したときの遅滞なく対応がとれる。 According to the present invention, the asset value of the information asset and the content of the infringement on the asset, the data for identifying the threat level, the necessity of countermeasures, the management measures against the threat are stored in the database in advance, and when the infringement on the information asset occurs, The database is referred to by information asset name and content of infringement, and it is necessary to cope with it, and management measures are implemented or instructed so that it is possible to respond without delay when unauthorized infringement occurs.
又、データベースには情報資産に対する侵害内容に対応して複数の詳細管理策とその優先順位も含み、情報資産に対する侵害発生時に、対応する複数の詳細管理策を優先順位とそれまでの実施状況に応じて選択するので、侵害による脅威に対して適切な管理策を行うことができる。 The database also includes multiple detailed management measures and their priorities corresponding to the content of infringement on information assets. When an infringement occurs on information assets, the corresponding multiple detailed management measures are set to priorities and the implementation status so far. Therefore, appropriate management measures can be taken against threats caused by infringement.
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。図1は、本発明の侵害に対する意思決定装置の機能構成を示すブロック図である。 Next, the best mode for carrying out the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing a functional configuration of a decision making apparatus for infringement of the present invention.
資産管理台帳データベース8には、情報資産の名称、情報資産の価値、情報資産に対する侵害内容、その脅威のレベル、脅威が発生したときの対処要否、対処の優先順位、脅威に対する詳細管理策が格納されている。
The asset
管理情報登録部5は、キーボード等の入力装置6を用い、情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否、対処するための詳細管理策と優先順位を資産管理台帳データベース8に登録し、更新をする処理部である。
The management
更新を選択すると資産管理台帳データベース8の登録済みの情報をメモリに読み出して表示し、これにメモリ上で更新された情報を表示し、更新を指示すると資産管理台帳データベース8を更新する。
When update is selected, the registered information in the asset
情報資産の資産名、価値、情報資産に対する侵害内容、その脅威レベル、脅威への対処要否を対処するための詳細管理策と優先順位を初期登録し、その後詳細管理策についての追加、更新、および変更を行う様にしてもよい。 Initially register detailed control measures and priorities for dealing with information asset name, value, details of infringement of information assets, threat level, whether to deal with threats, and then add, update, and You may make it change.
登録、追加、更新、変更の結果は表示部4が資産管理台帳データベース8からデータを取り出し、CRTや液晶ディスプレイ等の表示装置7に出力する。
As a result of registration, addition, update, and change, the
侵害対応意思決定部2は、情報資産への不正侵害を検知した情報を侵害検出部1から受けると、受けた情報をキーとして資産管理台帳データベース8から情報を取得し、脅威レベルの特定をし、脅威への対処要否を指示する。また、対処要であれば詳細管理策を選択し、指示する。処理の結果内容を侵害履歴台帳データベース9に格納する。
When the infringement response decision-
侵害対応意思決定部2の処理において意思決定者へのエスカレーションが必要となったときには、通報処理部3において処理され、意思決定者への通報が行われる。通報処理部3は予め設定された通報先の装置の宛先(通信アドレス)を保持している。
When escalation to the decision maker becomes necessary in the process of the infringement
次に、資産管理台帳データベース8に格納されている情報資産名、価値、侵害内容、その脅威レベル、侵害への対処要否、対処するための詳細管理策とその優先順位について説明する。
Next, the information asset name stored in the asset
情報資産名としては、情報資産を特定する名称が格納されている。価値としては、情報資産の価値を表す値が格納されている。 As the information asset name, a name for identifying the information asset is stored. As the value, a value representing the value of the information asset is stored.
侵害内容には、情報資産に対する不正侵害の具体的な侵害内容が格納されている。脅威レベルには、その侵害が発生したときの影響度を示す値が格納されている。 The content of infringement stores specific details of infringement of information assets. The threat level stores a value indicating the degree of influence when the infringement occurs.
対処要否としては、脅威に対する対処が必要であるかどうか示す情報が格納されている。 As the necessity of countermeasure, information indicating whether or not the countermeasure against the threat is necessary is stored.
優先順位としては、脅威に対しての詳細管理策が複数存在するときに、対処の優先順位を表す値が格納されている。詳細管理策としては、脅威に対する対処内容が格納されている。 As the priority order, a value indicating the priority order of countermeasures when there are a plurality of detailed management measures for the threat is stored. As a detailed management measure, a countermeasure content for a threat is stored.
資産管理台帳データベース8の具体例を図2に示す。例えば、情報資産名の欄には「公開WEBコンテンツ」が、価値欄には「重要」が、侵害内容には「コンテンツの改ざん・破壊」という想定される侵害が格納され、脅威レベルには「中」が、対処欄には「必要」が格納されている。
A specific example of the asset
又、対処するための詳細管理策としては、優先順位1として「サーバの上位境界ルータ上においてアクセス制限を実施」が、優先順位2として「サーバ収容のHUBでUTPケーブル接続を切断」が、優先順位3として「意思決定者コールエスカレーション」が登録されている。
Also, as detailed management measures to cope with, priority is "perform access restriction on upper border router of server" as
続いて、侵害履歴台帳データベース9に格納されている発生日時、情報資産名、侵害内容、検出方法、対処日時、それと対処内容について説明する。
Next, the occurrence date and time, information asset name, infringement content, detection method, handling date and time, and handling content stored in the infringement
発生日時としては、情報資産に対する不正侵害が検出された日時が格納されている。情報資産名としては、不正侵害が発生した情報資産を特定する名称が格納されている。 As the occurrence date and time, the date and time when an infringement of information assets was detected is stored. As the information asset name, a name for identifying the information asset in which unauthorized infringement has occurred is stored.
侵害内容としては、情報資産で発生した不正侵害の内容が格納されている。検出方法としては、情報資産に対する不正侵害をどのように検出したのかという内容が格納されている。 The contents of infringement store the contents of fraud that occurred in information assets. As a detection method, the contents of how to detect an illegal infringement on information assets are stored.
対処日時には、情報資産に対する不正侵害に関して、管理策を用いて脅威が解消された日時が格納されている。対処内容には、情報資産に対する不正侵害に関して、どのような管理策を用いたのか、その内容が格納されている。 In the handling date and time, the date and time when the threat has been resolved by using a management measure for illegal infringement on information assets is stored. The countermeasure contents store what kind of management measures are used for illegal infringement on information assets.
侵害履歴台帳データベース9の具体例を図3に示す。例えば、2002年12月24日の13時45分00秒に「公開WEBコンテンツ」のコンテンツの改ざん・破壊を「Webコンテンツ監視ツール」が検出し、2002年12月24日の13時45分20秒に
サーバの上位境界ルータ上においてアクセス制限を実施したことが履歴として格納される。
A specific example of the infringement
図1に戻り、侵害対応意思決定部2は、状態管理手段21を有しており、侵害発生や、対応の処理状態管理を行っている。即ち、侵害の検出や対応処理の状態を管理し、処理の進行に伴って状態を遷移させる。
Returning to FIG. 1, the infringement response decision-
図4はこの状態遷移を示した図である。“平常状態”とは、侵害が発生していない状態を表す。侵害が発生すれば状態が変わり、侵害による脅威が解消したら“平常状態”に戻る。 FIG. 4 is a diagram showing this state transition. The “normal state” represents a state where no infringement has occurred. When an infringement occurs, the state changes, and when the threat of the infringement is resolved, the state returns to the “normal state”.
“アクセス侵害検知”とは、侵害検出手段から侵害発生情報を受けたときに“平常状態”からこの状態に変化させる。 “Access infringement detection” changes from “normal state” to this state when infringement occurrence information is received from the infringement detection means.
“脅威レベルチェック状態”とは、情報資産に対する不正侵害が資産に与える脅威を分析している状態を表す。脅威への対処が必要と判定されると“脅威対応中状態”に変化させ、対処は不要と判定されると“平常状態”に戻す。 The “threat level check state” represents a state in which a threat to an asset caused by an illegal infringement on an information asset is analyzed. If it is determined that it is necessary to deal with the threat, the state is changed to a “threat responding state”, and if it is determined that no countermeasure is necessary, the state is returned to the “normal state”.
“脅威対応中状態”とは、情報資産に対しての脅威事象に対応している状態を表す。この状態の後侵害による脅威が解消したら“平常状態”に戻し、再度侵害発生情報を受ければ、”アクセス侵害検知”状態に変化させる。 “Threat response state” represents a state corresponding to a threat event to an information asset. When the threat of infringement after this state is resolved, the state is returned to the “normal state”, and when the infringement occurrence information is received again, the state is changed to the “access infringement detection” state.
次に本発明の侵害に対する意思決定装置を含むシステムを具体例について説明する。図5を参照し、本発明の侵害に対する意思決定装置を含むシステムは侵害検出装置30、40と侵害に対する意思決定装置10と意思決定者の端末装置50とルータ60とがLAN(Local Area Network)100で通信接続されている。
Next, a specific example of a system including a decision making apparatus for infringement of the present invention will be described. Referring to FIG. 5, a system including a decision making apparatus for infringement according to the present invention includes an
侵害に対する意思決定装置10は、前記の侵害対応意思決定部2、通報処理部3、表示部4、管理情報登録部5、資産管理台帳データベース8、侵害履歴台帳データベース9、表示装置7、入力装置6及び通信部11を含む。侵害対応意思決定部2は前記の状態管理手段21を含む。
The infringement decision making device 10 includes the infringement response
侵害に対する意思決定装置10はハードウェアとしては、サーバ装置、或いはパソコン等のプログラム制御で動作する情報処理装置であり、通信部、入力装置、表示装置、ハードディスク装置等の外部記憶装置、及びこれらを制御するCPU、主記憶装置を備え、資産管理台帳データベース8や侵害履歴台帳データベース9は前記外部記憶装置に格納され、侵害対応意思決定部2、通報処理部3、表示部4、管理情報登録部5はこの情報処理装置のプログラムや配下の記憶エリアで実現される。
The infringement decision-making device 10 is an information processing device that operates under program control such as a server device or a personal computer as hardware, and includes an external storage device such as a communication unit, an input device, a display device, a hard disk device, and the like. The asset
侵害検出装置30や40は情報資産14とIDS等の侵害検出部1を備えたサーバ装置、パソコン装置、端末装置、或いは通信装置等である。
The
侵害検出部1は情報資産14の内容をアクセス部13を通じて周期的にチェックし不正アクセスによる内容改ざんや破壊を検出する。
The
ルータ60には外部ネットワーク101が接続されている。意思決定者の端末装置50は、パソコンや端末装置であり、通信機能、表示機能も備え通報処理部3から送られる情報資産の侵害発生状況をポップアップ表示手段等で表示する。
An external network 101 is connected to the
次に、本実施形態の処理の流れについて図面を参照し説明する。図6は、本実施例における侵害検出から脅威分析、脅威の解消までの処理の流れを示すフローチャートである。 Next, the processing flow of this embodiment will be described with reference to the drawings. FIG. 6 is a flowchart showing the flow of processing from intrusion detection to threat analysis and threat elimination in this embodiment.
ステップ1では、IDS等の不正侵害検出部を備えた侵害検出部1から侵害を受けた情報資産の資産名、侵害が発生した日時、侵害の内容が、通信部12、LAN100、通信部11を通じて侵害対応意思決定部2に引き渡される。
In
ステップ2では、侵害対応意思決定部2が、侵害検出装置30から引き渡された情報資産の資産名と侵害の内容をキーとして、資産管理台帳データベース8を検索し、情報資産の価値と脅威レベル、対処の要否、詳細管理策と、詳細管理策が複数ある場合に、その優先順位を資産管理台帳データベース8から取得する。
In
受信した情報資産名、受信した侵害内容から抽出したキーワードをそれぞれ資産名欄、侵害内容欄に含むエントリーを探し、その情報資産の価値と脅威レベル、対処の要否、詳細管理策とその優先順位を取得する。 Search for entries that contain the extracted information asset name and keywords extracted from the received infringement content in the asset name column and infringement content column, respectively, and the value and threat level of the information asset, necessity of countermeasure, detailed control measures and priority To get.
ステップ3では、侵害対応意思決定部2が、全体処理の状態を“アクセス侵害検知”に遷移させる。
In
ステップ4では、情報資産の価値と脅威レベルを把握する。前記ステップ2で取得した情報資産の価値と脅威レベルを利用する。
In
ステップ5では、全体処理の状態を“脅威レベルチェック状態”に遷移させる。
In
ステップ6では、脅威への対応が必要か否かを判断する。判断の方法は前記ステップ2で取得した情報資産の価値と脅威レベルを利用し、資産価値と脅威のレベルを比較し、資産価値の値が脅威レベルの値よりも大きい場合には対処が必要としてステップ7へ進む。
In
対処が不要である場合にはステップ10に進む。 If no action is required, the process proceeds to step 10.
ステップ7では、全体処理の状態を“脅威対応中状態”に遷移させる。
In
ステップ8では、脅威に対応するための詳細管理策を選択し、表示し、選択した詳細管理策を行う。或いは実施を指示し、脅威解消を行う。
In
詳細管理策の選択は、複数ある場合に優先順位に従って選択するが、侵害履歴台帳データベース9に最近の所定期間内に対処が記録されていればそれを除いた次の優先順位の詳細管理策を選択する。但し、最近の所定期間内に通報の記録があっても毎回通報する。
When there are a plurality of detailed control measures, the detailed control measures are selected according to the priority order. However, if countermeasures are recorded in the infringement
処理が完了したら(或いは実施したことを示す入力を受け)侵害履歴台帳データベース9に侵害の発生日時、侵害を受けた情報資産名、侵害の内容、侵害の検出方法、対処した日時、それから選択した詳細管理策としての対処内容を格納する。
When processing is completed (or received input indicating that it has been implemented), the date and time of infringement in the infringement
ステップ9では、対処によって脅威が解消したかどうかを判断する(所定期間以上同じ情報資産への侵害の検出を受けなければ解消したと判断する)。脅威が解消した場合にはステップ10に進む。脅威がなお解消していない場合にはステップ3に進む。
In
ステップ10では、全体処理の状態を“平常状態”に遷移させる。 In step 10, the state of the entire process is changed to the “normal state”.
ステップ3に進む場合には、同様にステップ9までを繰り返すが、ステップ8では侵害履歴台帳データベース9に優先順位1の詳細管理策が対処中の記録があるので、優先順位2の詳細管理策を選択し、表示し実施させる。
In the case of proceeding to step 3, the process up to step 9 is repeated in the same manner. However, in
2回目のステップ9で脅威が解消しなかったと判断するとステップ3以降を繰り返し、ステップ8では同様に優先順位3の詳細管理策の通報(エスカレーション)が選択され、表示されると共に、通報処理部3が起動され、通報処理部3は侵害の発生を意思決定者の端末装置50に送信する。
If it is determined that the threat has not been resolved in the
この後も脅威が解消されなければ、優先順位3の詳細管理策の通報(エスカレーション)が選択され通報処理が行われる。
After this, if the threat is not solved, the detailed management measure report (escalation) of
侵害検出装置30をWebサーバとし、情報資産14を公開WEBコンテンツとし、Webコンテンツ監視ツールを含む侵害検出部1が、コンテンツの改ざん・破壊を検出しととすると、最初のステップ8ではルータ60でのアクセス制限が選択され、実施され、2回目のステップ8ではルータ60とLAN100のケーブル接続の切断が行われる。
If the
3回目以降のステップ8では、意思決定者の端末装置50に通報される。尚、意思決定者の端末装置50への通報は、初回より毎回行う様にしてもよい。
In
上記、侵害に対する意思決定装置を含むシステムを具体例として、侵害に対する意思決定装置10が情報資産や侵害検出部をもつ侵害検出装置30や40から侵害発生情報をうけて処理する例を説明したが、侵害検出部をもつ装置に、或いは情報資産と侵害検出部を持つ装置に、侵害対応意思決定部2、通報処理部3、管理情報登録部5、表示部4と資産管理台帳データベース8、侵害履歴台帳データベース9を備えて構成する例もある。
Although the above-described system including a decision-making device for infringement has been described as a specific example, the example in which the decision-making device 10 for infringement receives infringement occurrence information from the
1 侵害検出部
2 侵害対応意思決定部
3 通報処理部
4 表示部
5 管理情報登録部
6 入力装置
7 表示装置
8 資産管理台帳データベース
9 侵害履歴台帳データベース
10 侵害に対する意思決定装置
11、12 通信部
13 アクセス部
14 情報資産
30、40 侵害検出装置
50 意思決定者の端末装置
60 ルータ
100 LAN
101 外部ネットワーク
DESCRIPTION OF
101 External network
Claims (17)
Information asset name and content of infringement from the device that detects the infringement of information assets Detailed control measures to deal with, the procedure for determining whether to deal with threats by referring to the database that stores the priority of each detail control measure when there are multiple, and the detailed control measures to deal with Intention to infringement characterized in that it includes a procedure to select and the date and time of infringement detection, information asset name, infringement content, detection method, date and time of handling, and details of the detailed control measures to be stored in the database and history management Decision method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003300047A JP2005071087A (en) | 2003-08-25 | 2003-08-25 | Decision making device and method for infringement and program thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003300047A JP2005071087A (en) | 2003-08-25 | 2003-08-25 | Decision making device and method for infringement and program thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005071087A true JP2005071087A (en) | 2005-03-17 |
Family
ID=34405101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003300047A Pending JP2005071087A (en) | 2003-08-25 | 2003-08-25 | Decision making device and method for infringement and program thereof |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005071087A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009110177A (en) * | 2007-10-29 | 2009-05-21 | Ntt Data Corp | Unit and method for supporting information security measure decision, and computer program |
JP2012503805A (en) * | 2008-09-23 | 2012-02-09 | サヴィス・インコーポレーテッド | Threat management system and method |
JP2017173940A (en) * | 2016-03-22 | 2017-09-28 | 株式会社日立製作所 | Security coping server and system |
-
2003
- 2003-08-25 JP JP2003300047A patent/JP2005071087A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009110177A (en) * | 2007-10-29 | 2009-05-21 | Ntt Data Corp | Unit and method for supporting information security measure decision, and computer program |
JP2012503805A (en) * | 2008-09-23 | 2012-02-09 | サヴィス・インコーポレーテッド | Threat management system and method |
JP2017173940A (en) * | 2016-03-22 | 2017-09-28 | 株式会社日立製作所 | Security coping server and system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9008617B2 (en) | Layered graphical event mapping | |
US8191149B2 (en) | System and method for predicting cyber threat | |
US8549637B2 (en) | Website defacement incident handling system, method, and computer program storage device | |
US10872148B2 (en) | System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user input | |
US9336388B2 (en) | Method and system for thwarting insider attacks through informational network analysis | |
US8904526B2 (en) | Enhanced network security | |
US8756087B1 (en) | Data loss prevention (DLP) system for estimating monetary costs due to data loss | |
CN112787992A (en) | Method, device, equipment and medium for detecting and protecting sensitive data | |
CN113515433A (en) | Alarm log processing method, device, equipment and storage medium | |
CN101763479A (en) | Adaptive data loss prevention policies | |
US11960604B2 (en) | Online assets continuous monitoring and protection | |
EP3704585B1 (en) | Consumer threat intelligence service | |
TW200424845A (en) | Method and system for responding to a computer intrusion | |
WO2020191110A1 (en) | Cross-network security evaluation | |
JP4092666B1 (en) | Management system, management server, and management program | |
JP2005071087A (en) | Decision making device and method for infringement and program thereof | |
JP2020086978A (en) | Information processing system and information processing method | |
JP4175574B1 (en) | Management system, management server, and management program | |
JP2010220022A (en) | Method for masking flooding alarm, network management server and program | |
JP2008250872A (en) | Management system, management server and management program | |
Prakash et al. | A Proactive Threat Hunting Model to Detect Concealed Anomaly in the Network | |
JP7258801B2 (en) | Information processing device, information processing method and program | |
JP2002334061A (en) | Illegal access monitor system and its program | |
CN118312950A (en) | Data leakage prevention method and system based on large language model | |
Meier | Warning of Affected Users About an Identity Leak |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20050315 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061226 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070126 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070724 |