JP2005108099A - 情報セキュリティポリシー評価システム及びその制御方法 - Google Patents
情報セキュリティポリシー評価システム及びその制御方法 Download PDFInfo
- Publication number
- JP2005108099A JP2005108099A JP2003343480A JP2003343480A JP2005108099A JP 2005108099 A JP2005108099 A JP 2005108099A JP 2003343480 A JP2003343480 A JP 2003343480A JP 2003343480 A JP2003343480 A JP 2003343480A JP 2005108099 A JP2005108099 A JP 2005108099A
- Authority
- JP
- Japan
- Prior art keywords
- data
- threat
- information processing
- processing apparatus
- threat data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 221
- 238000000034 method Methods 0.000 title claims description 12
- 230000008520 organization Effects 0.000 claims abstract description 23
- 239000000284 extract Substances 0.000 claims abstract description 10
- 230000010365 information processing Effects 0.000 claims description 216
- 230000005540 biological transmission Effects 0.000 claims description 37
- 238000013500 data storage Methods 0.000 claims description 33
- 238000013075 data extraction Methods 0.000 claims description 24
- 238000012550 audit Methods 0.000 claims description 13
- 230000000694 effects Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 6
- 238000013523 data management Methods 0.000 description 38
- 238000012552 review Methods 0.000 description 22
- 238000004891 communication Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 19
- 238000007726 management method Methods 0.000 description 17
- 238000012423 maintenance Methods 0.000 description 8
- 230000008450 motivation Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 2
- 230000003442 weekly effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/08—Insurance
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】企業等の組織において情報セキュリティポリシーを効率よくかつ適切に策定し運用することができる情報セキュリティポリシー評価システムを提供する。
【解決手段】
第二のサイト102の第二の情報処理装置112から第一のサイト101の第一の情報処理装置111に第二のサイト102で運用されている対策済み脅威を送信し、脅威に関する情報を収集している第三のサイト103から第一のサイト101の第一の情報処理装置111に脅威情報を送信し、第一の情報処理装置111は、受信した対策済み脅威のうち実際に生じた脅威に対して有効であった対策済み脅威や未対策の脅威を抽出し、それらを記載した評価レポートを生成する。また生成された評価レポートに基づいて、脅威に対する保険の補償額を変更する。
【選択図】 図1
【解決手段】
第二のサイト102の第二の情報処理装置112から第一のサイト101の第一の情報処理装置111に第二のサイト102で運用されている対策済み脅威を送信し、脅威に関する情報を収集している第三のサイト103から第一のサイト101の第一の情報処理装置111に脅威情報を送信し、第一の情報処理装置111は、受信した対策済み脅威のうち実際に生じた脅威に対して有効であった対策済み脅威や未対策の脅威を抽出し、それらを記載した評価レポートを生成する。また生成された評価レポートに基づいて、脅威に対する保険の補償額を変更する。
【選択図】 図1
Description
この発明は、情報セキュリティポリシー評価システム及びその制御方法に関し、特に企業等の組織において企業等の組織において情報セキュリティポリシーを効率よくかつ適切に策定し運用する技術に関する。
IT関連産業の発達に伴い、情報処理システムに対する脅威が問題となっている。企業等の組織においては、これら脅威に対する対策が進められている。BS7799(英国の情報セキュリティマネジメント規格)に準拠した情報セキュリティマネジメントを推進する組織も増えつつある。JIPDEC(日本情報処理開発協会)が推進するISMS(情報セキュリティマネジメントシステム)適合性評価制度等も注目されており、多くの組織において情報セキュリティポリシーが策定され運用されるようになってきている。
特開2002−288371号公報
企業等の組織において策定され運用されている情報セキュリティポリシーは、策定時に把握される情報に基づいて有効性が判断されている。そのため、既に策定され運用されている情報セキュリティポリシーが、必ずしも将来的に有効であるかどうかはわからない。情報処理システムに影響を与える脅威の種類や内容は、技術の進歩や情報処理システムを取り巻く物理的、人的な環境変化に伴って時事刻々と変化していくからである。従って、企業等の組織は、策定され運用されている情報セキュリティポリシーの妥当性について、随時評価や見直しを行っていかなければならない。ここでこのような評価や見直しを適切に行っていくためには、通信ネットワーク上で過去に発生した不正アクセスに関する情報等、脅威に関する情報収集を行う必要があり、情報セキュリティに関する豊富な知識や経験も要求される。
しかしながら、企業等の組織が自ら脅威に関する情報の収集を行い、評価や見直しを行うために必要となる技術レベルを維持していくことは、組織にとって多大な負担である。また、企業等の組織が自身で評価や見直しを行う場合、客観性が損なわれて適切な判断がされなくなる可能性もある。
特許文献1には、機械設備のユーザが、機械設備の保全次第で保守料及び保険料の支払いを削減でき、メーカーは保守費の支払いを、保険会社は保険金支払いを低減できる保守料及び保険料の設定システムが記載されている。この技術では、保全評価システムが通信回線を経由して機械設備に関する保全情報を取得して、保守契約と保全情報とに基づいて保守料を決定している。ここで情報セキュリティポリシーの妥当性の評価や見直しを行うためには、既に実施されている対策の有効性と不足している対策を把握する必要があるが、特許文献1に記載の技術では、不足している対策を把握することはできても既に実施されている対策の価値や有効性はわからない。
本発明はこのような背景に鑑みてなされたものであり、企業等の組織において情報セキュリティポリシーを効率よくかつ適切に策定し運用することができる情報セキュリティポリシー評価システムを提供することを目的とする。
上記目的を達成するための本発明のうちの主たる発明の一つは、情報セキュリティポリシー評価システムであって、互いに通信可能な、第一のサイトに設置されている第一の情報処理装置と、第二のサイトに設置されている第二の情報処理装置と、第三のサイトに設置されている第三の情報処理装置と、を備え、前記第二の情報処理装置は、前記第二のサイトで運用されている情報セキュリティポリシーが対抗できる脅威を示すデータである対策済み脅威データを記憶する対策済み脅威データ記憶部を有し、前記第三の情報処理装置は、過去に生じた脅威を示すデータである脅威データを記憶する脅威データ記憶部を有し、 前記第二の情報処理装置は、前記対策済み脅威データを前記第一の情報処理装置に送信する対策済み脅威データ送信部を有し、前記第三の情報処理装置は、前記脅威データを前記第一の情報処理装置に送信する脅威データ送信部を有し、前記第一の情報処理装置は、前記対策済み脅威データを受信する対策済み脅威データ受信部と、前記脅威データを受信する脅威データ受信部とを有し、前記第一の情報処理装置は、前記脅威データと、前記対策済み脅威データとの対応を示すデータである対応データを記憶する対応データ記憶部を有し、前記第一の情報処理装置は、前記対応データに基づいて、前記対策済み脅威データ受信部が受信した前記対策済み脅威データの中から、前記脅威データ受信部が受信した脅威データに、対応する脅威データが存在するものを抽出する有効な対策済み脅威データ抽出部と、抽出した前記対策済み脅威データを記載した評価データを生成する評価データ生成部とを有することとする。
上記第二のサイトは、例えば、情報セキュリティポリシーの評価を依頼する顧客のサイトである。上記第三のサイトは、例えば、脅威に関する情報を収集しその提供を行っている脅威情報を提供する脅威情報提供業者のサイトである。上記第一のサイトは、例えば、前記顧客からの依頼に応じて前記第二のサイトで運用されている情報セキュリティポリシーの評価を行う評価業者のサイトである。
本発明によれば、第一の情報処理装置が、前記対応データに基づいて、前記対策済み脅威データ受信部が受信した前記対策済み脅威データの中から、対応する脅威データが前記脅威データ受信部が受信した脅威データに存在する対策済み脅威データを抽出し、抽出された前記対策済み脅威データを記載した評価データを生成する。ここでこの評価データに記載されている対策済み脅威データが示す情報セキュリティポリシーは、実際に生じた脅威に対して有効であった情報セキュリティポリシーである。従って、評価データに基づいて、第二のサイトにおいて策定され運用されている情報セキュリティポリシーの妥当性を評価することができる。このように第一のサイトにおいて第二のサイトにおける情報セキュリティポリシーの妥当性を示す評価データが作成されることで、第二のサイトを運営する企業等の組織は、自らが策定し運用を行っている情報セキュリティポリシーの評価や見直しのために、自ら脅威に関する情報の収集を行う必要がなく、また、情報セキュリティポリシーの評価や見直しを行うために必要とされる技術水準を維持するための管理負担から開放される。従って、第二のサイトを運営する組織では、情報セキュリティポリシーの評価や見直しを効率よく行うことができる。また発明の評価レポートは単に未対策の脅威を指摘したレポートとは異なり、既に運用されている情報セキュリティポリシーの効果、価値、有効性等についての評価を記載したものである。従って、評価レポートは、経営層(社長、情報セキュリティ担当役員などの上位経営管理者等)や組織のメンバー(従業員等)に情報セキュリティポリシーの効果、価値、有効性等を理解させ遵守させる動機付けとなる有用な資料となり、評価レポートを活用することにより組織における情報セキュリティマネジメントの円滑的な運用が促進されることとなる。また、情報セキュリティポリシーの評価や見直しが第三の情報処理装置から送信されてくる過去に生じた脅威を示すデータに基づいて行われるため、客観的な評価が行われることになり、第二のサイトにおいて策定され運用されている情報セキュリティポリシーについての適切な評価や見直しを行うことが可能となる。
本発明のうちの主たる発明の一つは、情報セキュリティポリシー評価システムであって、互いに通信可能な、第一のサイトに設置されている第一の情報処理装置と、第二のサイトに設置されている第二の情報処理装置と、第三のサイトに設置されている第三の情報処理装置と、を備え、前記第二の情報処理装置は、前記第二のサイトで運用されている情報セキュリティポリシーが対抗できる脅威を示すデータである対策済み脅威データを記憶する対策済み脅威データ記憶部を有し、前記第三の情報処理装置は、過去に生じた脅威を示すデータである脅威データを記憶する脅威データ記憶部を有し、前記第二の情報処理装置は、前記対策済み脅威データを前記第一の情報処理装置に送信する対策済み脅威データ送信部を有し、前記第三の情報処理装置は、前記脅威データを前記第一の情報処理装置に送信する脅威データ送信部を有し、前記第一の情報処理装置は、前記対策済み脅威データを受信する対策済み脅威データ受信部と、前記脅威データを受信する脅威データ受信部とを有し、 前記第一の情報処理装置は、前記脅威データと、前記対策済み脅威データとの対応を示すデータである対応データを記憶する対応データ記憶部を有し、前記第一の情報処理装置は、前記対応データに基づいて、前記脅威データ受信部が受信した前記脅威データの中から、対応する対策済み脅威データが、前記対策済み脅威データ受信部が受信した前記対策済み脅威データ中に存在しない脅威データを抽出する未対策脅威データ抽出部と、抽出した脅威データを記載した評価データを生成する評価データ生成部とを有することとする。
本発明によれば、第一の情報処理装置が、前記脅威データ受信部が受信した前記脅威データの中から、対応する対策済み脅威データが、前記対応データに基づいて、前記対策済み脅威データ受信部が受信した前記対策済み脅威データ中に存在しない脅威データを抽出し、抽出した脅威データを記載した評価データを生成する。
ここでこの評価データに記載されている脅威データが示す脅威は、実際に生じた脅威であって、その脅威に対し第二のサイトでは何ら有効な情報セキュリティポリシーが運用されていなかった脅威である。従って、この評価データは、例えば、第二のサイトでは、次回の情報セキュリティポリシーの改訂時に優先的に対策を講ずるべき脅威を示した情報として利用される。このように第二のサイトにおいて不足している情報セキュリティポリシーを示した評価データが第一のサイトにおいて自動的に作成されることで、第二のサイトを運営する企業等の組織は、自らが策定し運用を行っている情報セキュリティポリシーの評価や見直しのために、自ら脅威に関する情報の収集を行う必要がなく、また、情報セキュリティポリシーの評価や見直しを行うために必要とされる技術水準を維持するための管理負担から開放される。従って、第二のサイトを運営する組織では、情報セキュリティポリシーの評価や見直しを効率よく行うことができる。また発明の評価レポートは単に未対策の脅威を指摘したレポートとは異なり、既に運用されている情報セキュリティポリシーの効果、価値、有効性等についての評価を記載したものである。従って、評価レポートは、経営層(社長、情報セキュリティ担当役員などの上位経営管理者等)や組織のメンバー(従業員等)に情報セキュリティポリシーの効果、価値、有効性等を理解させ遵守させる動機付けとなる有用な資料となり、評価レポートを活用することにより組織における情報セキュリティマネジメントの円滑的な運用が促進されることとなる。また、情報セキュリティポリシーの評価や見直しが第三の情報処理装置から送信されてくる過去に生じた脅威を示すデータに基づいて行われるため、客観的な評価が行われることになり、第二のサイトにおいて策定され運用されている情報セキュリティポリシーについての適切な評価や見直しを行うことが可能となる。
本発明によれば、企業等の組織における情報セキュリティポリシーの策定及び運用を効率よく適切に行うことが可能となる。
以下、本発明の実施例につき図面とともに詳細に説明する。
===第一実施例===
図1に本発明の第一実施例として説明する情報セキュリティポリシー評価システム(以後、ポリシー評価システムとも称する)の概略構成を示している。この図において、第一のサイト101は、顧客からの依頼に応じて第二のサイト102で運用されている情報セキュリティポリシーの評価を行う評価業者のサイトである。第二のサイト102は、情報セキュリティポリシーの評価を前記評価業者に依頼する前記顧客のサイトである。第三のサイト103は、脅威に関する情報を収集しその提供を行っている脅威情報を提供する脅威情報提供業者のサイトである。脅威情報提供業者は、不正アクセス等の情報提供元であり、例えば、JPCERT/CC(JaPan Computer Emergency Response Team/Coordination Center)や報道/ニュースなどのメディアセンター等は脅威情報提供業者となりうる。
図1に本発明の第一実施例として説明する情報セキュリティポリシー評価システム(以後、ポリシー評価システムとも称する)の概略構成を示している。この図において、第一のサイト101は、顧客からの依頼に応じて第二のサイト102で運用されている情報セキュリティポリシーの評価を行う評価業者のサイトである。第二のサイト102は、情報セキュリティポリシーの評価を前記評価業者に依頼する前記顧客のサイトである。第三のサイト103は、脅威に関する情報を収集しその提供を行っている脅威情報を提供する脅威情報提供業者のサイトである。脅威情報提供業者は、不正アクセス等の情報提供元であり、例えば、JPCERT/CC(JaPan Computer Emergency Response Team/Coordination Center)や報道/ニュースなどのメディアセンター等は脅威情報提供業者となりうる。
第一のサイト101には第一の情報処理装置111が設けられている。第二のサイト102には第二の情報処理装置112が設けられている。第三のサイト103には第三の情報処理装置113が設けられている。第一乃至第三の情報処理装置111,112,113はそれぞれインターネットや専用線等の通信ネットワーク50に接続しており、第一乃至第三の情報処理装置111,112,113は通信ネットワーク50を介して互いに通信可能に接続されている。第一乃至第三の情報処理装置111,112,113としては、パーソナルコンピュータやオフコン、メインフレーム等のコンピュータが用いられる。
本実施例におけるポリシー評価システムの評価対象となる情報セキュリティポリシーについて説明する。情報セキュリティポリシーとは、企業等の組織において、組織が保有する情報資産を保護するために、情報システムの機密性、完全性、可用性等を確保するための情報セキュリティに対する基本方針や対策基準等を定めたものをいう。IT社会の進展に伴い、情報セキュリティポリシーを策定し運用することは企業等の組織における社会的義務となっている。昨今では、妥当な情報セキュリティポリシーを策定していない組織はBtoB等のオープンな取引市場に参加できないことも多くなってきている。情報セキュリティポリシーは、具体的には階層的に記述された文書として表現される。情報セキュリティポリシーの一例として、外部ネットワーク接続に関する情報セキュリティについての基本方針を例示する。この基本方針は、例えば、インターネット利用に関する標準、外部公開に関する標準、専用線およびVPN接続に関する標準、リモートアクセスに関する標準、ウイルス対策に関する標準、顧客のプライバシーに関する標準、情報セキュリティ教育に関する標準、罰則に関する標準、スタンダード更新手順に関する標準等を含んでいる。また、上記インターネット利用に関する標準は、例えば、電子メール利用に関する標準、Webの利用に関する標準、アカウント管理に関する標準等を含んでいる。さらに、上記電子メール利用に関する標準には、社内の電子メールを社外のメールサーバへ転送してはならない、機密情報を社外へ送信してはならない、不用意にメールアカウントを外部へ公開してはならない、電子メールの添付ファイルにウイルスが内在することの可能性を考慮しなければならないといった基準を含んでいる。
図2に第一乃至第三の情報処理装置111,112,113として用いられるコンピュータの典型的なハードウエア構成を示している。CPU201は、情報処理装置の制御を司るもので、RAM・ROM等のメモリ202や記憶装置208に格納されたプログラム202cを実行することにより各種の機能等を実現する。記録媒体読取装置204は、記録媒体207に記録されているプログラムやデータを読み取るための装置である。読み取られたプログラムやデータは、メモリ202もしくは記憶装置208に格納される。従って、例えば、記録媒体207に記録されたプログラム202cを、記録媒体読取装置204を用いて上記記録媒体207から読み取って、メモリ202や記憶装置208に格納するようにすることができる。例えば、上述のデータベースに記憶されるデータは、メモリ202もしくは記憶装置208に格納される。記録媒体207としてはフレキシブルディスクやCD−ROM、DVD−ROM、半導体メモリ等を用いることができる。
記録媒体読取装置204は、コンピュータ200に内蔵されている形態とすることもできるし、外付されている形態とすることもできる。記憶装置208は、例えばハードディスク装置やフレキシブルディスク装置、半導体記憶装置等である。入力装置205は、オペレータ等によるコンピュータ200へのデータ入力等のために用いられる。入力装置205としては、例えば、キーボードやマウス等が用いられる。出力装置206は、情報を外部に出力するための装置である。出力装置206としては、例えば、ディスプレイやプリンタ等が用いられる。通信インタフェース203は、コンピュータ200を通信ネットワークに接続するためのインタフェースである。コンピュータ200は、通信インタフェース203を介して他のコンピュータ等の外部装置との間で通信を行うことができる。なお、第一乃至第三の情報処理装置111,112,113は、以上に説明したハードウエアの全てを必ずしも備えている必要はない。
次に、第一乃至第三の情報処理装置111,112,113の各装置においてプログラムが実行されることにより実現される各種の機能について説明する。図3は第一乃至第三の情報処理装置111,112,113の各装置において実現される各種の機能を示している。第二の情報処理装置112の対策済み脅威データ記憶部301は、第二のサイト102において策定され運用されている情報セキュリティポリシーに対応する内容を示す情報が記述されたデータである対策済み脅威データを記憶する機能である。対策済み脅威データは、対策済み脅威データ管理テーブルに管理されている。図4に対策済み脅威データ管理テーブルの一例を示している。対策済み脅威データは、脅威のカテゴリ別に分類されて管理されている。この図に示す対策済み脅威データ管理テーブル400において、脅威カテゴリコード401の欄には、脅威カテゴリごとに固有に付与される識別子である脅威カテゴリコードが設定される。脅威カテゴリ402の欄には、脅威カテゴリの内容を示す文字列が設定される。対策済み脅威の欄403には、対策済み脅威データを特定する識別子が設定される。対策済み脅威リスト404の欄には対策済み脅威データの内容を示す文字列が設定される。
第二の情報処理装置112の対策済み脅威データ送信部302は、対策済み脅威データ記憶部301によって記憶されている対策済み脅威データ管理テーブル400を、通信ネットワーク50を介して第一の情報処理装置111に送信する機能である。対策済み脅威データ送信部302は、入力装置205からオペレータ等による操作入力を受け付け、これにより受け付けた入力に応じて第二の情報処理装置112が第一の情報処理装置111に対策済み脅威データ管理テーブル400を送信するタイミングをスケジュールする機能を有する。対策済み脅威データ送信部302は、スケジュールしたタイミングが到来すると、対策済み脅威データ管理テーブル400を自動的に第一の情報処理装置111に送信する機能を有する。なお、このときの送信タイミングとしては、例えば、即時実行、毎日、毎週、毎月、指定された日時等を設定することが可能である。
第三の情報処理装置113の脅威データ記憶部303は、通信ネットワーク50において、もしくは、通信ネットワーク50に接続している装置において、過去に生じた脅威に関する情報が記述されたデータである脅威データを記憶する機能を有する。第三の情報処理装置113は、例えば、脅威データ記憶部303が記憶している脅威データを更新する脅威データ更新部304を有する。脅威データ更新部304は、例えば、通信ネットワーク50を介して当該通信ネットワーク50に接続している装置から受信した脅威に関する情報に基づいて脅威データを更新する。また、脅威データ更新部304は、例えば、通信ネットワーク50において生じた脅威を検知して、検知した脅威に対応する脅威データを生成して記憶する。さらに、脅威データ更新部304は、入力装置205からのオペレータ等の入力操作や記録媒体207からのデータの読み出し等により脅威に関する情報の入力を受け付けて、受け付けた脅威に関する情報に対応する脅威データを生成し記憶する。
脅威データは、脅威データ管理テーブルに管理されている。図5に脅威データ記憶部303が記憶している脅威データ管理テーブルの一例を示している。本実施例において、脅威データは、脅威のカテゴリ別に分類されて管理されている。この図に示す脅威データ管理テーブル500において、脅威カテゴリコードの欄501には、脅威カテゴリごとに固有に付与される識別子が設定される。脅威カテゴリと識別子との対応は、上述した対策済み脅威データ管理テーブル400の場合と同様である。脅威カテゴリの欄502には、脅威カテゴリの内容を示す文字列が設定される。脅威コードの欄503には、脅威データを特定する識別子が設定される。脅威情報の欄504には、脅威データの内容を示す文字列が設定される。被害額の欄505には、その脅威により被害を受けた場合に生じる損害の大きさを示すデータである損害量データが設定される。損害量データとしては、例えば、脅威により第二のサイト102が被害を受けた場合に生じる被害額が採用される。
図5に例示している被害額は、上記あるサイトが一年間に受けると予想される被害総額である。この被害総額は、例えば、あるサイトが有効な情報セキュリティポリシーを運用していなかったために受けた脅威により生じた被害額と、そのサイトにおける過去一年間における脅威の発生確率とを用いて求められる。各脅威についての損害量データは、基本的に第3のサイト103において管理され、第三サイト103の運営者から第一のサイト101の運営者に適宜通知される。損害量データは、第三の情報処理装置103では管理せずに第一のサイト101において管理するような運用形態を採用することもできる。
第三の情報処理装置113の脅威データ送信部305は、脅威データ記憶部303が記憶している脅威データ管理テーブル500の内容を通信ネットワーク50を介して第一の情報処理装置111に送信する。脅威データ送信部305は、入力装置205からオペレータ等による操作入力を受け付けて、受け付けた入力に応じて第二の情報処理装置112が第一の情報処理装置111に脅威データ管理テーブル400を送信するタイミングをスケジュールする。脅威データ送信部305は、スケジュールしたタイミングが到来すると、脅威データを第一の情報処理装置111に自動的に送信する機能を有する。このときの送信タイミングとしては、例えば、即時実行、毎日、毎週、毎月、指定された日時等を設定することが可能である。脅威データ送信部305は、脅威データ更新部304により脅威データ管理テーブル500の内容が更新された場合に、脅威データ管理テーブル500や更新差分を自動的に第一の情報処理装置111に送信するようにスケジュールする機能も有する。
第一の情報処理装置111の対応データ記憶部310は、脅威データと、脅威データが示す脅威に対して有効な情報セキュリティポリシーを示す対策済み脅威データとの対応を示すデータ(以後、対応データと称する)が記述された対応データ管理テーブルを記憶する機能である。図6に対応データ管理テーブル600の一例を示している。対応データ管理テーブル600には、脅威データと、その脅威データに対して有効な情報セキュリティポリシーである対策済み脅威との対応が記述されている。対策済み脅威コードの欄601には、対策済み脅威データを特定する識別子が設定される。対策済み脅威リスト602の欄には対策済み脅威データの内容を示す文字列が設定される。脅威コードの欄603には、対策済み脅威データに対応する脅威データを特定する識別子が設定される。脅威情報の欄604には、対策済み脅威データに対応する脅威データの内容を示す文字列が設定される。
第一の情報処理装置111の対策済み脅威データ受信部311は、第二の情報処理装置112の対策済み脅威データ送信部302から送信されてくる対策済み脅威データ管理テーブル400を受信して記憶する。第一の情報処理装置111の脅威データ受信部312は、第三の情報処理装置113の脅威データ送信部305から送信されてくる脅威データ管理テーブル500を受信して記憶する。
第一の情報処理装置111の有効な対策済み脅威データ抽出部313は、前記対応データに基づいて、対策済み脅威データ受信部311が受信した前記対策済み脅威データの中から、前記脅威データ受信部312が受信した脅威データに、対応する脅威データが存在するものを抽出する。例えば、対策済み脅威データ受信部が図4の対策済み脅威データ管理テーブル400を、また、脅威データ受信部500が図5に示す脅威データ管理テーブル500を受信したとする。この場合、当該対策済み脅威データ管理テーブル400の対策済み脅威データ(対策済み脅威)のうち「Webサーバへの大量のアクセス」という対策済み脅威データは、図5の脅威データ管理テーブル500に対応する脅威データが存在するので、当該対策済み脅威データは有効な対策済み脅威データ抽出部313による抽出の対象となる。
第一の情報処理装置111の評価データ生成部314は、有効な対策済み脅威データ抽出部313により抽出された前記対策済み脅威データを記載した評価データを生成する。ここで評価データ生成部314は、評価データの生成に際し、有効な対策済み脅威データ抽出部313により抽出された対策済み脅威データを、上述の対応データに対応づけられている脅威データについての損害量データの降順に整列する。第一の情報処理装置111の評価レポート出力部315は、評価データ生成部314により生成された評価データを記載した評価レポートを第一の情報処理装置111のディスプレイやプリンタ等の出力装置206に出力する。第一の情報処理装置111の評価レポート送信部316は、電子メール等により通信ネットワーク50を介して評価レポートを第二の情報処理装置112に送信する。
図7に評価レポートの一例を示している。この図に示す評価レポート700の、効果の順位の欄701には、損害量データの降順に整列された対策済み脅威データの順位が記載される。対策済み脅威の欄702には、対策済み脅威データに対応する情報セキュリティポリシーの内容が記載される。未対策時の被害額の欄703には、損害量データが記載される。この図において、未対策時の被害額の欄703に記載される損害量データは想定した被害額としている。
ここで評価レポート700に記載されている対策済み脅威データが示す情報セキュリティポリシーは、実際に生じた脅威に対して有効であった情報セキュリティポリシーである。従って、評価レポートに基づいて、第二のサイト102において策定され運用されている情報セキュリティポリシーの妥当性を評価することができる。このように第一のサイト101において第二のサイト102における情報セキュリティポリシーの妥当性を示す評価レポートが作成されることで、顧客である第二のサイト102を運営する企業等の組織は、自らが策定し運用を行っている情報セキュリティポリシーの評価や見直しのために、自ら脅威に関する情報の収集を行う手間が軽減される。また、第二のサイト102を運営する組織は、情報セキュリティポリシーの評価や見直しを行うために必要とされる技術水準を維持するための管理負担からも開放される。従って、第二のサイト102を運営する組織では、情報セキュリティポリシーの評価や見直しを効率よく行うことができる。また、第三の情報処理装置113から送信されてくる、過去に生じた脅威を示すデータである脅威データに基づいて情報セキュリティポリシーの評価や見直しが行われることになるため、評価が客観的に行われて、第二のサイト102において策定され運用されている情報セキュリティポリシーについて、その効果や有効性についての適切な評価や見直しを行うことが可能となる。また本実施例の評価レポートは単に未対策の脅威を指摘したレポートとは異なり、既に運用されている情報セキュリティポリシーの効果、価値、有効性等についての評価を記載したものである。従って、評価レポートは、経営層(社長、情報セキュリティ担当役員などの上位経営管理者等)や組織のメンバー(従業員等)に情報セキュリティポリシーの効果、価値、有効性等を理解させ遵守させる動機付けとなる有用な資料となり、評価レポートを活用することで組織における情報セキュリティマネージメントの円滑的な運用が促進されることとなる。さらに、評価レポートにおいて、対策済み脅威データは損害量データの降順に整列されている。ここで上述したように損害量データは例えば脅威により第二のサイト102が被害を受けた場合に生じる被害額である。このように対策済み脅威データが損害量データの降順に整列されていることで、例えば、顧客は評価レポートを参照することにより、効果の高かった情報セキュリティポリシーがいずれであるのかを容易に把握することができる。
第一の情報処理装置111の未対策脅威データ抽出部317は、前記対応データに基づいて、脅威データ受信部312が受信した前記脅威データの中から、対応する対策済み脅威データが、対策済み脅威データ受信部311が受信した前記対策済み脅威データ中に存在しない脅威データを抽出する。例えば、図5の脅威データ管理テーブル500の脅威データのうち「大量のICMPパケットの受信」という脅威データは、対応する対策済み脅威データが図4の対策済み脅威データ管理テーブル400中に存在しないので、当該脅威データは未対策脅威データ抽出部317による抽出対象となる。
第一の情報処理装置111の評価データ生成部314は、未対策脅威データ抽出部317により抽出された前記脅威データを記載した評価データを生成する。ここで評価データ生成部314は、評価データの生成に際し、未対策脅威データ抽出部317により抽出された脅威データを上述の対応データに対応づけられている脅威データについての損害量データの降順に整列する。第一の情報処理装置111の評価レポート出力部315は、評価データ生成部314により生成された評価データを記載した評価レポートを第一の情報処理装置111のディスプレイやプリンタ等の出力装置206に出力する。第一の情報処理装置111の評価レポート送信部316は、評価レポートを電子メール等により通信ネットワーク50を介して第二の情報処理装置112に送信する。
図8に評価レポートの一例を示している。この図に示す評価レポート800の改訂優先順位の欄801には、損害量データの降順に整列された脅威データの優先順位が記載される。優先順位が高いほど、情報セキュリティポリシーを優先的に策定する必要性の高い脅威であるといえる。未対策脅威の欄802には、脅威データに対応する脅威の内容が記載される。想定被害額の欄803には、損害量データが記載される。
ここでこの評価レポート800に記載されている脅威データが示す脅威は、実際に生じた脅威であって、その脅威に対し第二のサイト102では何ら有効な情報セキュリティポリシーの運用がなされていなかった脅威である。従って、この評価レポートは、例えば、第二のサイト102では、次回の情報セキュリティポリシーの改訂時に優先的に対策を講ずるべき脅威を示した情報として利用される。このように第二のサイト102において不足している情報セキュリティポリシーを示した評価レポートが第一のサイト101において自動的に作成されることで、第二のサイト102を運営する企業等の組織は、自らが策定し運用を行っている情報セキュリティポリシーの評価や見直しのために、自ら脅威に関する情報の収集を行う手間が軽減される。また、第二のサイト102を運営する組織は、情報セキュリティポリシーの評価や見直しを行うために必要とされる技術水準を維持するための管理負担からも開放される。従って、第二のサイト102を運営する組織では、情報セキュリティポリシーの評価や見直しを効率よく行うことができる。また第三の情報処理装置113から送信されてくる過去に生じた脅威を示すデータである脅威データに基づいて情報セキュリティポリシーの評価や見直しが行われることになるため、評価は客観的に行われることとなり、第二のサイト102において策定され運用されている情報セキュリティポリシーについて、その効果、価値、有効性等についての適切な評価や見直しを行うことが可能となる。また本実施例の評価レポートは単に未対策の脅威を指摘したレポートとは異なり、既に運用されている情報セキュリティポリシーの効果、価値、有効性等についての評価を記載したものである。従って、評価レポートは、経営層(社長、情報セキュリティ担当役員などの上位経営管理者等)や組織のメンバー(従業員等)に情報セキュリティポリシーの効果、価値、有効性等を理解させ遵守させる動機付けとなる有用な資料となり、評価レポートを活用することで組織における情報セキュリティマネージメントの円滑的な運用が促進されることとなる。さらに、評価レポートにおいて、脅威データは損害量データの降順に整列されている。ここで上述したように損害量データは例えば脅威により第二のサイト102が被害を受けた場合に生じる被害額である。このように脅威データが損害量データの降順に整列されていることで、例えば顧客は評価レポートを参照することにより、情報セキュリティポリシーの改訂時等において、優先的に考慮すべき脅威を容易に把握することができる。
次に、本実施例の情報セキュリティポリシー評価システムにより、第二のサイト102において策定され運用されている情報セキュリティポリシーについての評価に関する処理の流れを、図9に示すフローチャートとともに説明する。
まず、第二の情報処理装置112の対策済み脅威データ送信部302は、対策済み脅威データ記憶部301が記憶している対策済み脅威データ管理テーブル400を所定のタイミングで第一の情報処理装置111に送信する(S911)。第一の情報処理装置111の対策済み脅威データ受信部311は、送信されてくる対策済み脅威データ管理テーブル400を受信して記憶する(S912)。
第三の情報処理装置113の脅威データ送信部305は、脅威データ記憶部303が記憶している脅威データ管理テーブル500を所定のタイミングで第一の情報処理装置111に送信する(S913)。第一の情報処理装置111の脅威データ受信部312は、脅威データ管理テーブル500を受信して記憶する(S914)。
第三の情報処理装置113の脅威データ送信部305は、脅威データ記憶部303が記憶している脅威データ管理テーブル500を所定のタイミングで第一の情報処理装置111に送信する(S913)。第一の情報処理装置111の脅威データ受信部312は、脅威データ管理テーブル500を受信して記憶する(S914)。
次に、第一の情報処理装置111の有効な対策済み脅威データ抽出部313は、前記対応データに基づいて、対策済み脅威データ受信部311が受信した前記対策済み脅威データの中から、前記脅威データ受信部312が受信した脅威データに、対応する脅威データが存在するものを抽出する(S915)。また、第一の情報処理装置111の未対策脅威データ抽出部317は、前記対応データに基づいて、脅威データ受信部312が受信した前記脅威データの中から、対応する対策済み脅威データが、対策済み脅威データ受信部311が受信した前記対策済み脅威データ中に存在しない脅威データを抽出する(S916)。
次に、評価データ生成部314は、抽出された対策済み脅威データを記載した評価データを生成する(S917)。評価レポート出力部315は、評価データ生成部314により生成された評価データを記載した評価レポートを第一の情報処理装置111のディスプレイやプリンタ等の出力装置206に出力する(S918)。第一の情報処理装置111の評価レポート送信部316は、電子メール等により通信ネットワークを介して第二の情報処理装置112に評価レポートを送信する(S919)。
ところで、以上に説明した実施例では、対策済み脅威データを第二の情報処理装置112において記憶しておき、これを第一の情報処理装置111に送信するようにしているが、顧客のサイトである第二のサイトにおいて対策済み脅威データを管理する管理負担を無くすため、例えば、次のような形態とすることも考えられる。すなわち、まず、第二の情報処理装置112において、第二のサイトで運用されている情報セキュリティポリシーを示すデータであるポリシーデータを記憶しておく(ポリシーデータ記憶部)。第二の情報処理装置は、ポリシーデータを第一の情報処理装置111に送信する(ポリシーデータ送信部)。第一の情報処理装置111は、前記ポリシーデータを受信する(ポリシーデータ受信部)。第一の情報処理装置111は、脅威データと、脅威データが示す脅威に対して有効な情報セキュリティポリシーを示すポリシーデータとの対応を示すデータである対応データを記憶しておく。そして、第一の情報処理装置111は、前記対応データに基づいて、受信した前記ポリシーデータの中から、脅威データ受信部312が受信した脅威データに、対応する脅威データが存在するポリシーデータを抽出し(有効なポリシーデータ抽出部)、抽出した前記ポリシーデータを記載した評価データを生成するようにする。また第一の情報処理装置111は、前記対応データに基づいて、脅威データ受信部312が受信した脅威データの中から、前記ポリシーデータ受信部が受信した前記ポリシーデータ中に、対応するポリシーデータが存在しない脅威データを抽出し、抽出した脅威データを記載した評価データを生成するようにする。このような構成とすることで、第二の情報処理装置112では、第二のサイトで運用されている情報セキュリティポリシーを示すデータであるポリシーデータを管理してさえいればよく、対策済み脅威データを管理する必要が無くなる。
===第二実施例===
図10は本発明の第二実施例として説明する情報セキュリティポリシー評価システム(ポリシー評価システム)の概略構成を示している。この図において、第一のサイト101は、例えば、顧客からの依頼に応じて第二のサイト102で運用されている情報セキュリティポリシーの評価を行う評価業者のサイトである。例えば、システムコンサルタント業務やシステム監査業務を営む組織が上記評価業者となりうる。第二のサイト102は、例えば、情報セキュリティポリシーの評価を依頼する顧客のサイトである。第三のサイト103は、例えば、脅威に関する情報を収集しその提供を行っている脅威情報を提供する脅威情報提供業者のサイトである。例えば、インターネットの接続サービスを行っているインターネットサービスプロバイダは、DoSやDDoS等の不正アクセスに関する情報を把握していることが多いので、これらのものは上記脅威情報提供業者となりうる。第四のサイト104は第二のサイト102を運営する顧客を加入者とし、第二のサイト102が脅威を受けた場合に生じる損害を補償する保険を商品とする保険業を運営する保険業者のサイトである。第四のサイト104には第四の情報処理装置114が設けられている。
図10は本発明の第二実施例として説明する情報セキュリティポリシー評価システム(ポリシー評価システム)の概略構成を示している。この図において、第一のサイト101は、例えば、顧客からの依頼に応じて第二のサイト102で運用されている情報セキュリティポリシーの評価を行う評価業者のサイトである。例えば、システムコンサルタント業務やシステム監査業務を営む組織が上記評価業者となりうる。第二のサイト102は、例えば、情報セキュリティポリシーの評価を依頼する顧客のサイトである。第三のサイト103は、例えば、脅威に関する情報を収集しその提供を行っている脅威情報を提供する脅威情報提供業者のサイトである。例えば、インターネットの接続サービスを行っているインターネットサービスプロバイダは、DoSやDDoS等の不正アクセスに関する情報を把握していることが多いので、これらのものは上記脅威情報提供業者となりうる。第四のサイト104は第二のサイト102を運営する顧客を加入者とし、第二のサイト102が脅威を受けた場合に生じる損害を補償する保険を商品とする保険業を運営する保険業者のサイトである。第四のサイト104には第四の情報処理装置114が設けられている。
第一乃至第四の情報処理装置111,112,113,114のハードウエア構成は、第一実施例と同様であるのでここでは説明を省略する。図11は本発明の第二実施例にかかる第一乃至第四の情報処理装置111,112,113,114の各装置において実現される各種の機能を示す図である。この図に示すように、第一乃至第三の情報処理装置111,112,113では、各装置においてプログラムが実行されることにより第一実施例と同様の機能が実現されている。なお、第一実施例の構成に加え、第一の情報処理装置111の評価レポート送信部316は、通信ネットワーク50を介して第四の情報処理装置114に送信する機能を有する。第四の情報処理装置114は、第一の情報処理装置111から送信されてくる前記評価レポートを受信する評価レポート受信部320を有する。さらに、第四の情報処理装置114は、記憶している前記補償額を、前記評価データ受信部により受信した前記評価レポートに応じて決定される前記補償額に設定する補償額設定部321を有する。
図12は以上の構成からなるポリシー評価システムを用いて実施されるビジネスの一形態を説明している。このビジネス形態では、第二のサイト102の顧客が、第三のサイト103の評価業者に情報セキュリティポリシーの評価を依頼するための登録を行うとともに情報セキュリティポリシーの評価を依頼するための評価手数料を支払う。ここで評価の依頼登録や評価手数料の支払いは、例えば、評価業者が提供する登録用のWebページにアクセスすることにより行うことができる。評価業者は、登録された依頼を受諾するとともに顧客から前記評価手数料を受け取る(S1201)。
評価業者は、受け取った評価手数料の一部を情報提供料として脅威情報提供業者に支払う(S1202)。評価業者は、受け取った前記評価手数料の一部を顧客が上記保険のために支払う保険料として保険業者に支払う(S1203)。
顧客は評価業者に対し、顧客が第二のサイト102において策定し運用を行っている情報セキュリティポリシー(対策済み脅威リスト)を提供する(S1204)。これは具体的には第一実施例で説明したように、第二の情報処理装置112から第一の情報処理装置111に対策済み脅威データ管理テーブル400が送信されることにより行われる。
脅威情報提供業者は、評価業者に対し、過去に生じた脅威に関する情報を提供する(S1205)。これは具体的には第一実施例で説明したように、第三の情報処理装置113から第一の情報処理装置111に脅威データ管理テーブル500が送信されることにより行われる。
顧客は評価業者に対し、顧客が第二のサイト102において策定し運用を行っている情報セキュリティポリシー(対策済み脅威リスト)を提供する(S1204)。これは具体的には第一実施例で説明したように、第二の情報処理装置112から第一の情報処理装置111に対策済み脅威データ管理テーブル400が送信されることにより行われる。
脅威情報提供業者は、評価業者に対し、過去に生じた脅威に関する情報を提供する(S1205)。これは具体的には第一実施例で説明したように、第三の情報処理装置113から第一の情報処理装置111に脅威データ管理テーブル500が送信されることにより行われる。
評価業者は、顧客から入手した情報セキュリティポリシーと、脅威情報提供業者から入手した脅威に関する情報とをマッチングすることにより、評価レポートを作成する(S1206)。これらの処理は、第一実施例において説明したように、有効な対策済み脅威データ抽出部313、未対策脅威データ抽出部317、及び、評価データ生成部314の処理により行われる。
評価業者は、評価レポートを顧客及び保険業者に送付する(S1207)。この送付は、第一の情報処理装置111から第一及び第四の情報処理装置114に評価レポートをデータ伝送や電子メール等により送信すること等により行われる。第四の情報処理装置114では、評価レポートは評価レポート受信部320により受信される。
評価業者は、評価レポートを顧客及び保険業者に送付する(S1207)。この送付は、第一の情報処理装置111から第一及び第四の情報処理装置114に評価レポートをデータ伝送や電子メール等により送信すること等により行われる。第四の情報処理装置114では、評価レポートは評価レポート受信部320により受信される。
保険業者は、顧客が前記情報セキュリティポリシーに従って適切に運用を行っているかどうかを監査して(S1208)、その結果を記載した監査レポートを作成する(S1209)。保険業者は、評価レポートと監査レポートを参酌して補償額を決定する。保険業者は、例えば、評価レポートや監査レポートの内容から、第二のサイト102の顧客が策定し運用を行っている情報セキュリティポリシーの効果や価値、有効性が高いと判断した場合には、保険料を同額に保ったまま保険の補償額を増額する。逆に評価レポートや監査レポートの内容から、第二のサイト102の顧客が策定し運用を行っている情報セキュリティポリシーの効果や価値、有効性が低いと判断される場合には、保険料を同額に保ったまま保険の補償額を減額する。第四の情報処理装置114の補償額設定部321は、保険の補償額を記憶しており、上記決定により補償額が変更されると記憶している補償額を変更された補償額に設定し直す(S1210)。
このように第二実施例のポリシー評価システムによれば、第二のサイト102の顧客は、同じ保険料で保険の補償額を増額するためもしくは減額されないように、適切な情報セキュリティポリシーを策定するよう努力するようになる。一方、保険業者は、不適切な情報セキュリティポリシーを運用している顧客に対し高い補償額を設定してしまうというリスクを回避することができる。また適切な情報セキュリティポリシーを策定し運用を行っている顧客はより適切な補償額を設定してもらえるという付加価値のある保険を選定するようになる。このため、保険の加入者が増えて保険業者の収益増大に繋がることとなる。また保険の加入者が増える結果、評価業者の顧客も増えて評価業者の収益も増大し、さらに脅威情報提供業者の収益も増大する。このように本実施例のポリシー評価システムによれば、顧客、評価業者、脅威情報提供者、保険業者の全ての者が何らかのメリットを享受できることになる。
===第三実施例===
図13は本発明の第三実施例として説明する情報セキュリティポリシー評価システム(ポリシー評価システム)の概略構成を示している。この実施例では、第二実施例において第四のサイト104の機能を第一のサイト101に持たせるようにしたものである。第一のサイト101を運営する上記評価業者は同時に保険業者でもあり、第四の情報処理装置114は、第一の情報処理装置111を運営する組織と同じ組織によって運営されている。
図13は本発明の第三実施例として説明する情報セキュリティポリシー評価システム(ポリシー評価システム)の概略構成を示している。この実施例では、第二実施例において第四のサイト104の機能を第一のサイト101に持たせるようにしたものである。第一のサイト101を運営する上記評価業者は同時に保険業者でもあり、第四の情報処理装置114は、第一の情報処理装置111を運営する組織と同じ組織によって運営されている。
図14はこのような形態からなるポリシー評価システムを用いて行われるビジネスの一例を説明している。第二のサイト102の顧客は、第三のサイト103の評価業者(保険業者でもある)に情報セキュリティポリシーの評価を依頼するための登録を行うとともに情報セキュリティポリシーの評価を依頼するための評価手数料を支払う。ここで評価の依頼登録や評価手数料の支払いは、例えば評価業者が提供する登録用のWebページにアクセスすることにより行うことができる。評価業者は登録された依頼を受諾するとともに顧客から前記評価手数料を受け取る(S1401)。
評価業者は、受け取った評価手数料の一部を情報提供料として脅威情報提供業者に支払う(S1402)。なお、評価業者(保険業者でもある)は、受け取った前記評価手数料の一部を顧客が上記保険のために支払う保険料として充当する。
顧客は評価業者に対し、顧客が第二のサイト102において策定し運用を行っている情報セキュリティポリシー(対策済み脅威リスト)を提供する(S1404)。これは第一実施例で説明したように、第二の情報処理装置112から第一の情報処理装置111に対策済み脅威データ管理テーブル400が送信されることにより行われる。
脅威情報提供業者は、評価業者に対し、過去に生じた脅威に関する情報を提供する(S1405)。これは第一実施例で説明したように、第三の情報処理装置113から第一の情報処理装置111に脅威データ管理テーブル500が送信されることにより行われる。
顧客は評価業者に対し、顧客が第二のサイト102において策定し運用を行っている情報セキュリティポリシー(対策済み脅威リスト)を提供する(S1404)。これは第一実施例で説明したように、第二の情報処理装置112から第一の情報処理装置111に対策済み脅威データ管理テーブル400が送信されることにより行われる。
脅威情報提供業者は、評価業者に対し、過去に生じた脅威に関する情報を提供する(S1405)。これは第一実施例で説明したように、第三の情報処理装置113から第一の情報処理装置111に脅威データ管理テーブル500が送信されることにより行われる。
評価業者は、顧客から入手した情報セキュリティポリシーと、脅威情報提供業者から入手した脅威に関する情報とをマッチングすることにより、評価レポートを作成する(S1406)。これらの処理は、第一実施例で説明したように、有効な対策済み脅威データ抽出部313、未対策脅威データ抽出部317、及び、評価データ生成部314の機能により行われる。
評価業者は、評価レポートを顧客に送付する(S1407)。この送付は、例えば、第一の情報処理装置から第二の情報処理装置112に評価レポートをデータ伝送や電子メール等により送信することにより行われる。
評価業者は、評価レポートを顧客に送付する(S1407)。この送付は、例えば、第一の情報処理装置から第二の情報処理装置112に評価レポートをデータ伝送や電子メール等により送信することにより行われる。
評価業者(保険業者でもある)は、顧客が前記情報セキュリティポリシーに従って適切に運用を行っているかどうかを監査し(S1408)、その結果を記載した監査レポートを作成する(S1409)。評価業者は、評価レポートと監査レポートとを参酌して補償額を決定する。評価業者は、例えば、評価レポートや監査レポートの内容から、第二のサイト102の顧客が策定し運用を行っている情報セキュリティポリシーの効果や価値、有効性が高いと判断した場合には、保険料を同額に保ったまま保険の補償額を増額する。逆に評価レポートや監査レポートの内容から、第二のサイト102の顧客が策定し運用を行っている情報セキュリティポリシーの効果や価値、有効性等が低いと判断される場合には、保険料を同額に保ったまま保険の補償額を減額する。第四の情報処理装置114の補償額設定部は保険の補償額を記憶しており、上記決定により補償額が変更されると記憶している補償額を変更された補償額に設定し直す(S1410)。
このように第三実施例のポリシー評価システムによれば、第二のサイト102の顧客は、同じ保険料で保険の補償額を増額するためもしくは減額されないよう、適切な情報セキュリティポリシーを策定するよう努力するようになる。一方、保険業者でもある評価業者は、不適切な情報セキュリティポリシーを運用している顧客に対し高い補償額を設定してしまうというリスクを回避することができる。また適切な情報セキュリティポリシーを策定し運用を行っている顧客はより高額の補償額を設定してもらえる付加価値のある保険を選定するようになる。このため、保険加入者が増えて評価業者の収益増大に繋がることとなる。また保険の加入者が増える結果、評価業者の収益も増大し、脅威情報提供業者の収益も増大する。このように本実施例のポリシー評価システムによれば、顧客、保険業者でもある評価業者、脅威情報提供者の全ての者が何らかのメリットを享受できることになる。
以上の説明は本発明の理解を容易にするためのものであり、本発明を限定するものではない。本発明はその趣旨を逸脱することなく変更、改良され得ると共に本発明にはその等価物が含まれることは勿論である。
101 第一のサイト(評価業者のサイト)
102 第二のサイト(顧客のサイト)
103 第三のサイト(脅威情報提供業者のサイト)
111 第一の情報処理装置
112 第二の情報処理装置
113 第三の情報処理装置
301 対策済み脅威データ記憶部
302 対策済み脅威データ送信部
303 脅威データ記憶部
304 脅威データ更新部
305 脅威データ送信部
310 対応データ記憶部
311 対策済み脅威データ受信部
312 脅威データ受信部
313 有効な対策済み脅威データ抽出部
314 評価データ生成部
315 評価レポート出力部
316 評価レポート送信部
317 未対策脅威データ抽出部
320 評価レポート受信部
321 補償額設定部
400 対策済み脅威データ管理テーブル
500 脅威データ管理テーブル
600 対応データ管理テーブル
700 評価レポート(対策して効果の高かった脅威)
800 評価レポート(ポリシー改訂時に考慮すべき脅威)
102 第二のサイト(顧客のサイト)
103 第三のサイト(脅威情報提供業者のサイト)
111 第一の情報処理装置
112 第二の情報処理装置
113 第三の情報処理装置
301 対策済み脅威データ記憶部
302 対策済み脅威データ送信部
303 脅威データ記憶部
304 脅威データ更新部
305 脅威データ送信部
310 対応データ記憶部
311 対策済み脅威データ受信部
312 脅威データ受信部
313 有効な対策済み脅威データ抽出部
314 評価データ生成部
315 評価レポート出力部
316 評価レポート送信部
317 未対策脅威データ抽出部
320 評価レポート受信部
321 補償額設定部
400 対策済み脅威データ管理テーブル
500 脅威データ管理テーブル
600 対応データ管理テーブル
700 評価レポート(対策して効果の高かった脅威)
800 評価レポート(ポリシー改訂時に考慮すべき脅威)
Claims (16)
- 互いに通信可能な、第一のサイトに設置されている第一の情報処理装置と、第二のサイトに設置されている第二の情報処理装置と、第三のサイトに設置されている第三の情報処理装置と、を備え、
前記第二の情報処理装置は、前記第二のサイトで運用されている情報セキュリティポリシーが対抗できる脅威を示すデータである対策済み脅威データを記憶する対策済み脅威データ記憶部を有し、
前記第三の情報処理装置は、過去に生じた脅威を示すデータである脅威データを記憶する脅威データ記憶部を有し、
前記第二の情報処理装置は、前記対策済み脅威データを前記第一の情報処理装置に送信する対策済み脅威データ送信部を有し、
前記第三の情報処理装置は、前記脅威データを前記第一の情報処理装置に送信する脅威データ送信部を有し、
前記第一の情報処理装置は、前記対策済み脅威データを受信する対策済み脅威データ受信部と、前記脅威データを受信する脅威データ受信部とを有し、
前記第一の情報処理装置は、前記脅威データと、前記対策済み脅威データとの対応を示すデータである対応データを記憶する対応データ記憶部を有し、
前記第一の情報処理装置は、前記対応データに基づいて、前記対策済み脅威データ受信部が受信した前記対策済み脅威データの中から、前記脅威データ受信部が受信した脅威データに、対応する脅威データが存在するものを抽出する有効な対策済み脅威データ抽出部と、抽出した前記対策済み脅威データを記載した評価データを生成する評価データ生成部とを有すること、
を特徴とする情報セキュリティポリシー評価システム。 - 互いに通信可能な、第一のサイトに設置されている第一の情報処理装置と、第二のサイトに設置されている第二の情報処理装置と、第三のサイトに設置されている第三の情報処理装置と、を備え、
前記第二の情報処理装置は、前記第二のサイトで運用されている情報セキュリティポリシーが対抗できる脅威を示すデータである対策済み脅威データを記憶する対策済み脅威データ記憶部を有し、
前記第三の情報処理装置は、過去に生じた脅威を示すデータである脅威データを記憶する脅威データ記憶部を有し、
前記第二の情報処理装置は、前記対策済み脅威データを前記第一の情報処理装置に送信する対策済み脅威データ送信部を有し、
前記第三の情報処理装置は、前記脅威データを前記第一の情報処理装置に送信する脅威データ送信部を有し、
前記第一の情報処理装置は、前記対策済み脅威データを受信する対策済み脅威データ受信部と、前記脅威データを受信する脅威データ受信部とを有し、
前記第一の情報処理装置は、前記脅威データと、前記対策済み脅威データとの対応を示すデータである対応データを記憶する対応データ記憶部を有し、
前記第一の情報処理装置は、前記対応データに基づいて、前記脅威データ受信部が受信した前記脅威データの中から、対応する対策済み脅威データが、前記対策済み脅威データ受信部が受信した前記対策済み脅威データ中に存在しない脅威データを抽出する未対策脅威データ抽出部と、抽出した脅威データを記載した評価データを生成する評価データ生成部とを有すること、
を特徴とする情報セキュリティポリシー評価システム。 - 請求項1に記載の情報セキュリティポリシー評価システムにおいて、
前記第一の情報処理装置は、
前記脅威データのそれぞれについて、その脅威により被害を受けた場合に生じる損害の大きさを示すデータである損害量データを記憶する損害量データ記憶部を有し、
前記評価データ生成部は、前記有効な対策済み脅威データ抽出部により抽出した前記対策済み脅威データを、前記各対策済み脅威データについて前記対応データに対応づけられている前記脅威データの前記損害量データの降順に整列して記載した前記評価データを生成する効果順整列部を有すること、
を特徴とする情報セキュリティポリシー評価システム。 - 請求項1に記載の情報セキュリティポリシー評価システムにおいて、
前記第一の情報処理装置は、
前記脅威データのそれぞれについて、その脅威により被害を受けた場合に生じる損害の大きさを示すデータである損害量データを記憶する損害量データ記憶部を有し、
前記評価データ生成部は、前記未対策脅威データ抽出部により抽出された前記脅威データを、前記損害量データの降順に整列して記載した前記評価データを生成する考慮優先順整列部を有すること、
を特徴とする情報セキュリティポリシー評価システム。 - 請求項3または4に記載の情報セキュリティポリシー評価システムにおいて、
前記第三の情報処理装置の前記脅威データ送信部は、前記損害量データを前記脅威データに付帯させて前記第一の情報処理装置に送信し、
前記第一の情報処理装置の前記脅威データ受信部は、前記脅威データとともに前記損害量データを受信し、
前記第一の情報処理装置の前記損害量データ記憶部は、受信した前記損害量データを記憶すること、
を特徴とする情報セキュリティポリシー評価システム。 - 請求項1〜4のいずれかに記載の情報セキュリティポリシー評価システムにおいて、前記第三の情報処理装置は、前記脅威データを更新する脅威データ更新部を有し、前記脅威データ送信部は、前記脅威データ更新部により前記脅威データが更新された場合に前記更新後の脅威データを前記第一の情報処理装置に送信すること、
を特徴とする情報セキュリティポリシー評価システム。 - 請求項1〜4のいずれかに記載の情報セキュリティポリシー評価システムにおいて、前記評価データ生成部により生成された評価データの内容をディスプレイに表示もしくは印刷装置により印字する評価結果出力部を有すること、
を特徴とする情報セキュリティポリシー評価システム。 - 請求項1〜4のいずれかに記載の情報セキュリティポリシー評価システムにおいて、
前記第一乃至第三の情報処理装置と通信可能に接続している、第四のサイトに設置されている第四の情報処理装置を備え、
前記第四の情報処理装置は、前記第二のサイトを運営する組織が加入している、脅威による被害を受けた場合に生じる損害を補償する保険の補償額を記憶する補償額記憶部を有し、
前記第一の情報処理装置は、前記評価データ生成部により生成された前記評価データを、前記第四の情報処理装置に送信する評価データ送信部を有し、
前記第四の情報処理装置は、前記評価データを受信する評価データ受信部を有し、
前記第四の情報処理装置は、記憶している前記補償額を、前記評価データ受信部により受信した前記評価データに応じて決定される前記補償額に設定し直す補償額設定部を有すること、
を特徴とする情報セキュリティポリシー評価システム。 - 請求項1〜4のいずれかに記載の情報セキュリティポリシー評価システムにおいて、
前記第二のサイトは情報セキュリティポリシーの評価を依頼する顧客のサイトであり、前記第三のサイトは、脅威に関する情報を収集しその提供を行っている脅威情報を提供する脅威情報提供業者のサイトであり、前記第一のサイトは、前記顧客からの依頼に応じて前記第二のサイトで運用されている情報セキュリティポリシーの評価を行う評価業者のサイトであること、
を特徴とする情報セキュリティポリシー評価システム。 - 請求項8に記載の情報セキュリティポリシー評価システムにおいて、
前記第二のサイトは情報セキュリティポリシーの評価を依頼する顧客のサイトであり、
前記第三のサイトは、脅威に関する情報を収集しその提供を行っている脅威情報を提供する脅威情報提供業者のサイトであり、
前記第一のサイトは、前記顧客からの依頼に応じて前記第二のサイトで運用されている情報セキュリティポリシーの評価を行う評価業者のサイトであり、
前記第四のサイトは、前記顧客を加入者とし、前記第二のサイトが脅威を受けた場合に生じる損害を補償する保険を商品とする保険業を運営する保険業者のサイトであり、
前記顧客は、前記評価業者に前記情報セキュリティポリシーの評価を依頼するための評価手数料を支払い、
前記評価業者は、前記顧客から前記評価手数料を受け取り、
前記評価業者は、受け取った前記評価手数料の一部を情報提供料として前記脅威情報提供業者に支払い、
前記評価業者は、受け取った前記評価手数料の一部を前記補償額を変更するかわりに前記保険業者に支払い、
前記顧客が前記保険のために支払う保険料として支払い、
前記保険業者は、前記評価データに応じて前記補償額を決定すること、
を特徴とする情報セキュリティポリシー評価システム。 - 請求項10に記載の情報セキュリティポリシー評価システムにおいて、
前記評価業者もしくは前記保険業者は、前記顧客が、前記情報セキュリティポリシーに従って適切に運用を行っているかどうかを監査した監査レポートを作成し、前記監査レポートに応じて前記補償額を決定すること、
を特徴とする情報セキュリティポリシー評価システム。 - 請求項8に記載の情報セキュリティポリシー評価システムにおいて、
前記第四の情報処理装置は、前記第一のサイトに設置され、前記第一の情報処理装置を運営する組織と同じ組織によって運営されていること、
を特徴とする情報セキュリティポリシー評価システム。 - 互いに通信可能な、第一のサイトに設置されている第一の情報処理装置と、第二のサイトに設置されている第二の情報処理装置と、第三のサイトに設置されている第三の情報処理装置と、を備え、
前記第二の情報処理装置は、前記第二のサイトで運用されている情報セキュリティポリシーを示すデータであるポリシーデータを記憶するポリシーデータ記憶部を有し、
前記第三の情報処理装置は、過去に生じた脅威を示すデータである脅威データを記憶する脅威データ記憶部を有し、
前記第二の情報処理装置は、前記ポリシーデータを前記第一の情報処理装置に送信するポリシーデータ送信部を有し、
前記第三の情報処理装置は、前記脅威データを前記第一の情報処理装置に送信する脅威データ送信部を有し、
前記第一の情報処理装置は、前記ポリシーデータを受信するポリシーデータ受信部と、前記脅威データを受信する脅威データ受信部とを有し、
前記第一の情報処理装置は、前記脅威データと、前記脅威データが示す脅威に対して有効な情報セキュリティポリシーを示すポリシーデータとの対応を示すデータである対応データを記憶する対応データ記憶部を有し、
前記第一の情報処理装置は、前記対応データに基づいて、前記ポリシーデータ受信部が受信した前記ポリシーデータの中から、前記脅威データ受信部が受信した脅威データに、対応する脅威データが存在するポリシーデータを抽出する有効なポリシーデータ抽出部と、抽出した前記ポリシーデータを記載した評価データを生成する評価データ生成部とを有すること、
を特徴とする情報セキュリティポリシー評価システム。 - 互いに通信可能な、第一のサイトに設置されている第一の情報処理装置と、第二のサイトに設置されている第二の情報処理装置と、第三のサイトに設置されている第三の情報処理装置と、を備え、
前記第二の情報処理装置は、前記第二のサイトで運用されている情報セキュリティポリシーを示すデータであるポリシーデータを記憶するポリシーデータ記憶部を有し、
前記第三の情報処理装置は、過去に生じた脅威を示すデータである脅威データを記憶する脅威データ記憶部を有し、
前記第二の情報処理装置は、前記ポリシーデータを前記第一の情報処理装置に送信するポリシーデータ送信部を有し、
前記第三の情報処理装置は、前記脅威データを前記第一の情報処理装置に送信する脅威データ送信部を有し、
前記第一の情報処理装置は、前記ポリシーデータを受信するポリシーデータ受信部と、前記脅威データを受信する脅威データ受信部とを有し、
前記第一の情報処理装置は、前記脅威データと、前記脅威データが示す脅威に対して有効な情報セキュリティポリシーを示すポリシーデータとの対応を示すデータである対応データを記憶する対応データ記憶部を有し、
前記第一の情報処理装置は、前記対応データに基づいて、前記脅威データ受信部が受信した前記脅威データの中から、前記ポリシーデータ受信部が受信した前記ポリシーデータ中に、対応するポリシーデータが存在しない脅威データを抽出する未対策脅威データ抽出部と、抽出した脅威データを記載した評価データを生成する評価データ生成部とを有すること、
を特徴とする情報セキュリティポリシー評価システム。 - 互いに通信可能な、第一のサイトに設置されている第一の情報処理装置と、第二のサイトに設置されている第二の情報処理装置と、第三のサイトに設置されている第三の情報処理装置と、を備える情報セキュリティポリシー評価システムの制御方法であって、
前記第二の情報処理装置は、前記第二のサイトで運用されている情報セキュリティポリシーが対抗できる脅威を示すデータである対策済み脅威データを記憶し、
前記第三の情報処理装置は、過去に生じた脅威を示すデータである脅威データを記憶し、
前記第二の情報処理装置は、前記対策済み脅威データを前記第一の情報処理装置に送信し、
前記第三の情報処理装置は、前記脅威データを前記第一の情報処理装置に送信し、
前記第一の情報処理装置は、前記対策済み脅威データ及び前記脅威データを受信し、
前記第一の情報処理装置は、前記脅威データと、前記対策済み脅威データとの対応を示すデータである対応データを記憶し、
前記第一の情報処理装置は、前記対応データに基づいて、前記対策済み脅威データ受信部が受信した前記対策済み脅威データの中から、前記脅威データ受信部が受信した脅威データに、対応する脅威データが存在するものを抽出する有効な対策済み脅威データ抽出部と、抽出された前記対策済み脅威データを記載した評価データを生成すること、
を特徴とする情報セキュリティポリシー評価システムの制御方法。 - 互いに通信可能な、第一のサイトに設置されている第一の情報処理装置と、第二のサイトに設置されている第二の情報処理装置と、第三のサイトに設置されている第三の情報処理装置と、を備える情報セキュリティポリシー評価システムの制御方法であって、
前記第二の情報処理装置は、前記第二のサイトで運用されている情報セキュリティポリシーが対抗できる脅威を示すデータである対策済み脅威データを記憶し、
前記第三の情報処理装置は、過去に生じた脅威を示すデータである脅威データを記憶し、
前記第二の情報処理装置は、前記対策済み脅威データを前記第一の情報処理装置に送信し、
前記第三の情報処理装置は、前記脅威データを前記第一の情報処理装置に送信し、
前記第一の情報処理装置は、前記対策済み脅威データ及び前記脅威データを受信し、
前記第一の情報処理装置は、前記脅威データと、前記対策済み脅威データとの対応を示すデータである対応データを記憶し、
前記対応データに基づいて、前記脅威データ受信部が受信した前記脅威データの中から、対応する対策済み脅威データが、前記対策済み脅威データ受信部が受信した前記対策済み脅威データ中に存在しない脅威データを抽出し、抽出した脅威データを記載した評価データを生成すること、
を特徴とする情報セキュリティポリシー評価システムの制御方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003343480A JP2005108099A (ja) | 2003-10-01 | 2003-10-01 | 情報セキュリティポリシー評価システム及びその制御方法 |
| US10/817,054 US7415728B2 (en) | 2003-10-01 | 2004-04-02 | Information security policy evaluation system and method of controlling the same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003343480A JP2005108099A (ja) | 2003-10-01 | 2003-10-01 | 情報セキュリティポリシー評価システム及びその制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005108099A true JP2005108099A (ja) | 2005-04-21 |
| JP2005108099A5 JP2005108099A5 (ja) | 2006-03-02 |
Family
ID=34386283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003343480A Pending JP2005108099A (ja) | 2003-10-01 | 2003-10-01 | 情報セキュリティポリシー評価システム及びその制御方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7415728B2 (ja) |
| JP (1) | JP2005108099A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009011273A1 (ja) * | 2007-07-19 | 2009-01-22 | Nec Corporation | サービス価値算出方法、システム及びプログラム |
| JP2009230278A (ja) * | 2008-03-19 | 2009-10-08 | Toshiba Corp | 脅威分析支援装置および脅威分析支援処理プログラム |
| JP2009230279A (ja) * | 2008-03-19 | 2009-10-08 | Toshiba Corp | 情報処理装置および情報処理プログラム |
| CN104112181A (zh) * | 2014-06-12 | 2014-10-22 | 西北工业大学 | 一种基于层次分析法的信息安全贝叶斯网络评估方法 |
| KR20190059005A (ko) * | 2017-11-22 | 2019-05-30 | 엘아이지넥스원 주식회사 | 전자전에서 위협신호를 식별하기 위한 장치 및 방법 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8863277B2 (en) * | 2004-04-07 | 2014-10-14 | Fortinet, Inc. | Systems and methods for passing network traffic content |
| US8397299B2 (en) * | 2006-09-14 | 2013-03-12 | Interdigital Technology Corporation | Method and system for enhancing flow of behavior metrics and evaluation of security of a node |
| US8176561B1 (en) * | 2006-12-14 | 2012-05-08 | Athena Security, Inc. | Assessing network security risk using best practices |
| US7975286B1 (en) * | 2006-12-27 | 2011-07-05 | At&T Intellectual Property Ii, L.P. | Method and apparatus for evaluating assets for compliance to a security policy |
| US7770203B2 (en) * | 2007-04-17 | 2010-08-03 | International Business Machines Corporation | Method of integrating a security operations policy into a threat management vector |
| US8613092B2 (en) * | 2007-05-21 | 2013-12-17 | Mcafee, Inc. | System, method and computer program product for updating a security system definition database based on prioritized instances of known unwanted data |
| US7971231B2 (en) * | 2007-10-02 | 2011-06-28 | International Business Machines Corporation | Configuration management database (CMDB) which establishes policy artifacts and automatic tagging of the same |
| US8453246B2 (en) * | 2007-12-20 | 2013-05-28 | Bank Of America Corporation | Control framework generation for improving a security risk of an environment |
| US20100205014A1 (en) * | 2009-02-06 | 2010-08-12 | Cary Sholer | Method and system for providing response services |
| CN101996288A (zh) * | 2009-08-18 | 2011-03-30 | 精品科技股份有限公司 | 资讯安全管理系统 |
| JP5020373B2 (ja) * | 2010-12-28 | 2012-09-05 | 任天堂株式会社 | 通信システム、情報処理プログラム、情報処理方法、情報処理装置、情報処理システム |
| JPWO2013111532A1 (ja) * | 2012-01-25 | 2015-05-11 | 日本電気株式会社 | 管理システム、管理方法およびプログラム |
| US9258321B2 (en) | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
| US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| US9369872B2 (en) * | 2013-03-14 | 2016-06-14 | Vonage Business Inc. | Method and apparatus for configuring communication parameters on a wireless device |
| US10938943B2 (en) * | 2017-02-27 | 2021-03-02 | International Business Machines Corporation | Context aware streaming of server monitoring data |
| US11023812B2 (en) | 2017-08-28 | 2021-06-01 | Bank Of America Corporation | Event prediction and impact mitigation system |
| US10810006B2 (en) | 2017-08-28 | 2020-10-20 | Bank Of America Corporation | Indicator regression and modeling for implementing system changes to improve control effectiveness |
| US10877443B2 (en) | 2017-09-20 | 2020-12-29 | Bank Of America Corporation | System for generation and execution of improved control effectiveness |
| CN113836494A (zh) * | 2021-09-13 | 2021-12-24 | 支付宝(杭州)信息技术有限公司 | 一种对于小程序进行审核的方法、装置、设备及介质 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2706652B1 (fr) * | 1993-06-09 | 1995-08-18 | Alsthom Cge Alcatel | Dispositif de détection d'intrusions et d'usagers suspects pour ensemble informatique et système de sécurité comportant un tel dispositif. |
| JP3437065B2 (ja) * | 1997-09-05 | 2003-08-18 | 富士通株式会社 | ウイルス駆除方法,情報処理装置並びにウイルス駆除プログラムが記録されたコンピュータ読取可能な記録媒体 |
| US6279113B1 (en) * | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
| US6711127B1 (en) * | 1998-07-31 | 2004-03-23 | General Dynamics Government Systems Corporation | System for intrusion detection and vulnerability analysis in a telecommunications signaling network |
| US6910135B1 (en) * | 1999-07-07 | 2005-06-21 | Verizon Corporate Services Group Inc. | Method and apparatus for an intruder detection reporting and response system |
| US7159237B2 (en) * | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
| AU2001262958A1 (en) * | 2000-04-28 | 2001-11-12 | Internet Security Systems, Inc. | Method and system for managing computer security information |
| AU8642501A (en) * | 2000-08-10 | 2002-02-25 | Miralink Corp | Data/presence insurance tools and techniques |
| US6785732B1 (en) * | 2000-09-11 | 2004-08-31 | International Business Machines Corporation | Web server apparatus and method for virus checking |
| JP2002108865A (ja) * | 2000-09-29 | 2002-04-12 | Hitachi Kokusai Electric Inc | データ検索システム |
| JP2002288371A (ja) | 2001-03-28 | 2002-10-04 | Mitsubishi Heavy Ind Ltd | 機械設備保守料設定システム及び機械設備保険料設定システム |
| US20030097409A1 (en) * | 2001-10-05 | 2003-05-22 | Hungchou Tsai | Systems and methods for securing computers |
| US20040006704A1 (en) * | 2002-07-02 | 2004-01-08 | Dahlstrom Dale A. | System and method for determining security vulnerabilities |
| US20050022021A1 (en) * | 2003-07-22 | 2005-01-27 | Bardsley Jeffrey S. | Systems, methods and data structures for generating computer-actionable computer security threat management information |
-
2003
- 2003-10-01 JP JP2003343480A patent/JP2005108099A/ja active Pending
-
2004
- 2004-04-02 US US10/817,054 patent/US7415728B2/en not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009011273A1 (ja) * | 2007-07-19 | 2009-01-22 | Nec Corporation | サービス価値算出方法、システム及びプログラム |
| JP2009230278A (ja) * | 2008-03-19 | 2009-10-08 | Toshiba Corp | 脅威分析支援装置および脅威分析支援処理プログラム |
| JP2009230279A (ja) * | 2008-03-19 | 2009-10-08 | Toshiba Corp | 情報処理装置および情報処理プログラム |
| JP4620138B2 (ja) * | 2008-03-19 | 2011-01-26 | 株式会社東芝 | 脅威分析支援装置および脅威分析支援処理プログラム |
| CN104112181A (zh) * | 2014-06-12 | 2014-10-22 | 西北工业大学 | 一种基于层次分析法的信息安全贝叶斯网络评估方法 |
| KR20190059005A (ko) * | 2017-11-22 | 2019-05-30 | 엘아이지넥스원 주식회사 | 전자전에서 위협신호를 식별하기 위한 장치 및 방법 |
| KR102035150B1 (ko) * | 2017-11-22 | 2019-10-22 | 엘아이지넥스원 주식회사 | 전자전에서 위협신호를 식별하기 위한 장치 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050076243A1 (en) | 2005-04-07 |
| US7415728B2 (en) | 2008-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2005108099A (ja) | 情報セキュリティポリシー評価システム及びその制御方法 | |
| US10628833B2 (en) | Computer architecture incorporating blockchain based immutable audit ledger for compliance with data regulations | |
| CN101253526B (zh) | 基于因特网的广告或服务的投放和定价的方法和系统 | |
| JP4991717B2 (ja) | 知的財産管理システム、知的財産管理方法およびそのプログラム | |
| US9171333B2 (en) | Due diligence systems with integrated indication of required action | |
| US7885804B2 (en) | Computer program product and system for delivering a technical framework | |
| CN112565055B (zh) | 促进对第三方发送的电子邮件进行认证的系统和方法 | |
| US20060184865A1 (en) | Method and system for managing an electronic document | |
| US20020188430A1 (en) | Enterprise service delivery technical architecture | |
| JP2007148963A (ja) | 営業支援方法、営業支援システム及びコンピュータプログラム | |
| US20120272326A1 (en) | Tokenization system | |
| US8538788B1 (en) | System for work order refinement prior to acceptance and methods thereof | |
| Shu et al. | The Impact of the new European General Data Protection Regulation (GDPR) on the Information Governance Toolkit in Health and Social care with special reference to Primary care in England | |
| JP2008250780A (ja) | ワークフローシステムおよび処理方法 | |
| US20020188739A1 (en) | Enterprise service delivery technical framework | |
| Naseeb et al. | Outsourcing insurance in the time of COVID-19: The cyber risk dilemma | |
| Green | Best practices in supplier relationship management and response when supply is disrupted by cyber attack: An incident response framework | |
| JP2012208953A (ja) | 営業支援方法、営業支援システム及びコンピュータプログラム | |
| US11438386B2 (en) | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods | |
| JP7047436B2 (ja) | 情報処理システムおよびプログラム | |
| JP7199079B2 (ja) | 情報処理装置、情報処理方法およびプログラム | |
| EP1343104A1 (en) | Consulting contract settling system and method, recording medium, and computer data signal | |
| JP2005235077A (ja) | 遺言管理システム、遺言管理方法及び遺言管理プログラム | |
| JP2005148985A (ja) | マネジメント方法、マネジメント支援システム、マネジメントサーバ、クライアント端末、マネジメントコンピュータ、マネジメントプログラム及び記録媒体 | |
| JP2007114953A (ja) | 情報システム、アクション送信装置およびアクション送信プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060117 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060117 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081030 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081202 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090202 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090303 |