JP2006171815A - 情報資産管理支援システム。 - Google Patents
情報資産管理支援システム。 Download PDFInfo
- Publication number
- JP2006171815A JP2006171815A JP2004359189A JP2004359189A JP2006171815A JP 2006171815 A JP2006171815 A JP 2006171815A JP 2004359189 A JP2004359189 A JP 2004359189A JP 2004359189 A JP2004359189 A JP 2004359189A JP 2006171815 A JP2006171815 A JP 2006171815A
- Authority
- JP
- Japan
- Prior art keywords
- information
- vulnerability
- asset
- support system
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 230000002708 enhancing effect Effects 0.000 abstract 1
- 238000000034 method Methods 0.000 description 11
- 238000001038 ionspray mass spectrometry Methods 0.000 description 8
- 241000555745 Sciuridae Species 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】
情報資産の全般に亘って、平易に、情報資産のセキュリティーを高める情報資産管理支援システムを提供する。
【課題を解決するための手段】
想定しうる全ての情報資産を分類した分類選択手段を設け、情報資産分類毎に保管場所や媒体等で分類した資産属性の属性選択手段を設け、更に該情報資産属性毎に脆弱性が有るか否かを画面表示する脆弱項目表示手段を設け、該脆弱項目に脆弱性がある場合には脆弱性があることを回答する回答入力手段を設けるとともに、予め電算機のデータテーブルには前記脆弱項目に対応して想定されるリスクとそのリスクに対応する機密性・完全性・可用性のランク及び推奨される対応策と例示を予め用意し、前記脆弱性が有ると回答手段により入力した場合にはデータベースより対応する機密性・完全性・可用性を脅かすリスクのランク並びに推奨される対応策と例示を読み出し表示させる情報資産管理支援システム。
【選択図】図3
情報資産の全般に亘って、平易に、情報資産のセキュリティーを高める情報資産管理支援システムを提供する。
【課題を解決するための手段】
想定しうる全ての情報資産を分類した分類選択手段を設け、情報資産分類毎に保管場所や媒体等で分類した資産属性の属性選択手段を設け、更に該情報資産属性毎に脆弱性が有るか否かを画面表示する脆弱項目表示手段を設け、該脆弱項目に脆弱性がある場合には脆弱性があることを回答する回答入力手段を設けるとともに、予め電算機のデータテーブルには前記脆弱項目に対応して想定されるリスクとそのリスクに対応する機密性・完全性・可用性のランク及び推奨される対応策と例示を予め用意し、前記脆弱性が有ると回答手段により入力した場合にはデータベースより対応する機密性・完全性・可用性を脅かすリスクのランク並びに推奨される対応策と例示を読み出し表示させる情報資産管理支援システム。
【選択図】図3
Description
本発明は、電子データや紙データや人が記憶している情報等の情報資産の管理を支援する情報資産管理支援システムの技術に属する。
従来、多くの政府機関、自治体、企業、事務所等において、情報漏洩や情報紛失等の情報資産の管理不備が大きな問題となっている。
ところで、情報資産は紙データが主流であったが、近時、IT環境が進み電子データの情報資産も多くなり、ソフトウェアやハードウェアの管理等の情報の管理形態も多岐にわたり、そのため、情報資産管理のセキュリティーのあり方も多岐に亘っている。
しかしながら、このように多岐に亘る情報資産の管理において、情報漏洩や情報紛失等を防ぐには、情報資産管理についての経験や他の多くの事例の習得が必要であり、これらの経験や事例の習得を身に付けた専門家は少なく、一般の会社では情報資産管理のコンサルタントに依頼し、社内の情報資産管理の環境を改善するのが普通であった。
ところで、情報資産を扱うハードウェアにおいて、不正アクセスを監視するシステム等は、例えば、特許文献1等に見られるように開発され、個々の情報資源を管理する手段は開発されているが、トータルとして脆弱性を指摘しトータルとして漏れなく情報資産の全体を管理するシステムは知られていない。
ところで、情報資産は紙データが主流であったが、近時、IT環境が進み電子データの情報資産も多くなり、ソフトウェアやハードウェアの管理等の情報の管理形態も多岐にわたり、そのため、情報資産管理のセキュリティーのあり方も多岐に亘っている。
しかしながら、このように多岐に亘る情報資産の管理において、情報漏洩や情報紛失等を防ぐには、情報資産管理についての経験や他の多くの事例の習得が必要であり、これらの経験や事例の習得を身に付けた専門家は少なく、一般の会社では情報資産管理のコンサルタントに依頼し、社内の情報資産管理の環境を改善するのが普通であった。
ところで、情報資産を扱うハードウェアにおいて、不正アクセスを監視するシステム等は、例えば、特許文献1等に見られるように開発され、個々の情報資源を管理する手段は開発されているが、トータルとして脆弱性を指摘しトータルとして漏れなく情報資産の全体を管理するシステムは知られていない。
本発明は、前述した不都合に鑑みてなされたもので、情報資産の全般に亘って、
従来のようにコンサルタントに依頼しなくても、情報資産のセイキュリティーを高めることができる情報資産管理支援システムを提供しようとするものである。
従来のようにコンサルタントに依頼しなくても、情報資産のセイキュリティーを高めることができる情報資産管理支援システムを提供しようとするものである。
上記の課題を解決するために、請求項1の発明は、各種情報資産を管理するための電算機を用いた情報資産管理支援システムであって、想定しうる全ての情報資産を電子データ情報や紙データ情報や人材情報等の形態で分類した情報資産分類を画面表示して該分類を選択する分類選択手段を設け、該情報資産分類毎に保管場所や媒体等で分類した資産属性を画面表示し該属性を選択する属性選択手段を設け、更に該情報資産属性毎に脆弱性が有るか否かを画面表示する脆弱項目表示手段を設け、該脆弱項目に脆弱性がある場合には脆弱性があることを回答する回答入力手段を設けるとともに、予め電算機のデータベースのデータテーブルには前記脆弱項目に対応して想定されるリスクとそのリスクに対応する機密性・完全性・可用性についてのランク及び推奨される対応策と例示のデータとを予め用意し、前記脆弱性が有ると回答手段により入力した場合には前記データベースのデータより対応する機密性・完全性・可用性を脅かすリスクについてのランク並びに推奨される対応策と例示を読み出し表示させることを特徴とする情報資産管理支援システムである。
請求項2の発明は、請求項1において、前記データテーブルのデータは、必要に応じて更新することを特徴とする請求項1に記載の情報資産管理支援システムである。
請求項3の発明は、請求項1及び請求項2において、前記対応策を反映して情報資産の前記脆弱項目を少なくするか又は脆弱性を改善し、前記選択手段によって再び脆弱項目を入力し、全体の機密性・完全性・可用性に影響を及ぼすリスクのランクを下げて資産管理の環境を整えることを特徴とする請求項1及び請求項2に記載の情報資産管理支援システムである。
本発明の情報資産管理支援システムによれば、政府機関、自治体、企業、事務所等の情報資産を管理者が管理する場合に、情報資産の全般に亘って、従来のようにコンサルタントに指示を仰がなくても、最低限の情報資産の管理不備を把握でき、その改善することに役立ち、情報資産のセキュリティーを高めることができる。また、予め想定できる全ての情報資産についてのパターンを用意し、全てのパターンの検討を終えるまではシステムを終了しないようにしたので、情報管理専門のコンサルタントの指示を仰がなくても、簡単で平易に最低限の情報資産管理の環境を整えることができる。
本発明は、情報資産管理者が、情報資産について情報資産とその資産属性(保管場所や媒体)を情報資産管理支援システムの端末に入力することで、機密性、完全性、可用性を脅かす要因(脆弱性)を導き出すことができ、導き出された脆弱性について、実際に脆弱性があるかを回答することにより、機密性、完全性、可用性ごとの想定脅威と被害度合が導き出され、その結果を参照して機密性、完全性、可用性を確保したいレベルに応じて、導き出された「想定脅威」を脅威として認識するか否か識別し、認識した場合に、脅威に対しては、有効な対策を「推奨される対策案」として提示し、対策を導入するか否かを決定するように指示する。
ここで、本発明の好適な実施例を図1乃至図3に沿って説明する。
図1の[表1]及びそれに続く図2の[表2]は、本発明が対象とする情報資産の全体を示すもので、管理支援システムの基礎となるものであり、予め、本情報資産管理システムが稼動する電算機のデータベース(DB)のデータテーブルに蓄積されている。
図1の[表1]に示すように、《1》情報資産として想定される形態としては、(1)電子データ、(2)紙情報、(3)ハードウエア、(4)ソフトウエア、(5)人材があり、これらを総括して、(6)資産情報管理の「全般」が分類されている。本実施例では、これら(1)〜(6)の形態が、情報資産について現状で想定される全情報資産を網羅したものと考えられる。
図1の[表1]及びそれに続く図2の[表2]は、本発明が対象とする情報資産の全体を示すもので、管理支援システムの基礎となるものであり、予め、本情報資産管理システムが稼動する電算機のデータベース(DB)のデータテーブルに蓄積されている。
図1の[表1]に示すように、《1》情報資産として想定される形態としては、(1)電子データ、(2)紙情報、(3)ハードウエア、(4)ソフトウエア、(5)人材があり、これらを総括して、(6)資産情報管理の「全般」が分類されている。本実施例では、これら(1)〜(6)の形態が、情報資産について現状で想定される全情報資産を網羅したものと考えられる。
次に、《1》情報資産分類には、その分類毎に保管場所や媒体等で分類した《2》情報資産属性がある。《2》情報資産の属性として、(1)電子データにつては「サーバのディスク」「FD、CD、DVDなどの記録メディア」に分けられ、(2)紙情報については特に資産属性に限定はなく、(3)ハードウエアについては、「サーバ内のHDD等」や「ノートパソコン」、(4)ソフトウエアについては資産属性に限定はなく、(5)人材については「正社員」「契約社員」、(6)資産情報管理の全般についても資産属性に限定はない。この情報資産の属性は、技術の発達により変わることが予想される。
ここで、図3のフローチャートをも参照しつつ、情報資産管理支援システムを説明するが、ステップ1で本システムをスタートさせると、端末装置の画面には前記(1)〜(6)の形態の情報資産の分類がデータベース(DB)のデータテーブルから読み出され端末画面に表示され、ステップ2で管理すべき情報資産の分類を選択する。
次に、例えば、ステップ2で《1》情報資産分類から(1)電子データを選択すると、ステップ3で、《2》情報資産の属性を選択する資産属性選択画面が表示され、前述した「サーバのディスク」「FD、CD、DVDなどの記録メディア」かを選択し、次のステップ4で情報資産属性毎に想定しうる《3》脆弱性が有るか否かを画面表示する脆弱項目表示手段よりデータベース(DB)のデータテーブルから読み出し脆弱性の項目を端末画面に表示させる。この場合に、(2)紙情報、(4)ソフトウエア、(6)資産情報管理の「全般」については、限定がないので、ステップ3で属性を選択することなくステップ4に移行する。
本発明での《3》脆弱性とは、《4》「CIA区分」を採用しているが、機密性、完全性、可用性を脅かす要因となるもので、C:機密性とはアクセスを許可されたものだけが情報にアクセスできることを着実にすること、I:完全性とは情報および処理方法が確実であることおよび完全であることを保障すること、A:可用性とは、許可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすることで、通常リス管理の技術分野では「CIA」と呼ばれている。
次に、例えば、ステップ2で《1》情報資産分類から(1)電子データを選択すると、ステップ3で、《2》情報資産の属性を選択する資産属性選択画面が表示され、前述した「サーバのディスク」「FD、CD、DVDなどの記録メディア」かを選択し、次のステップ4で情報資産属性毎に想定しうる《3》脆弱性が有るか否かを画面表示する脆弱項目表示手段よりデータベース(DB)のデータテーブルから読み出し脆弱性の項目を端末画面に表示させる。この場合に、(2)紙情報、(4)ソフトウエア、(6)資産情報管理の「全般」については、限定がないので、ステップ3で属性を選択することなくステップ4に移行する。
本発明での《3》脆弱性とは、《4》「CIA区分」を採用しているが、機密性、完全性、可用性を脅かす要因となるもので、C:機密性とはアクセスを許可されたものだけが情報にアクセスできることを着実にすること、I:完全性とは情報および処理方法が確実であることおよび完全であることを保障すること、A:可用性とは、許可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすることで、通常リス管理の技術分野では「CIA」と呼ばれている。
具体的には、図1の[表1]に示されるように、(1)電子データでの属性が「サーバのディスク」の《3》脆弱性の対象と想定されるものは「暗号化なし」「入退室管理の不備」「バックアップの不備」が挙げられ、「FD、CD(DVD)などの記録メディア」では「外部持ち出し手順の不備」が挙げられ、同様に、(2)紙情報では「防火設備の不備」「施錠管理の不備」が挙げられ、(3)ハードウエアの属性「サーバ内」では「冗長構成の不備」、属性「ノートPC」では「外部持ち出し手順の不備」が挙げられ、(4)ソフトウエアでは「資産管理の不備」が挙げられ、(5)人材の属性「正社員」では「教育の不備」、「契約社員」では「契約の不備」が挙げられ、(6)資産情報管理の「全般」では「セキュリティ対策に関する組織・体制の不備」が挙げられる。
ステップ4で、それぞれの《1》資産分類或いは《2》資産属性毎に対応した想定しうる全ての脆弱性の項目を表示するが、ステップ5で、資産管理者は該当する《3》脆弱性の脆弱項目がなければ(No)、ここで資産分類或いは資産属性のチェックは終了し、ステップ3に戻り次の資産属性の選択に移るか(実線)、資産属性が存在しないか、チェックが全て済んでいれば資産分類の選択に移り(点線)、前述した作業を繰り返す。
ステップ5で、資産管理者は該当する脆弱性の脆弱項目があれば(Yes)、ステップ6で、該当脆弱項目を選択すると、前述した「CIA」に対応した想定される脅威と被害度合が表示される。例えば、図1の表で示すように、(1)電子データでの属性が「サーバのディスク」で、脆弱性の対象として「暗号化なし」を選択した場合、脆弱性について、「機密性C」として想定される脅威は情報漏洩で損害の度合(ランク)は「高」が表示され、「完全性I」としては不正改ざんで損害の度合(ランク)は「中」が表示される。
ここで、情報資産管理者は、ステップ8で表示された機密性C・完全性I・可用性A毎の表示された想定される脅威と想定される被害の程度を勘案して、現実の脅威として認識するか否かを検討し、現実の脅威として認識しなければ(No)、次の脆弱項目に移行し、フローチャートには示してはいないが、該当脆弱項目がなければ、資産属性へ、資産属性もなければ資産分類へ、これもなければ終了に移行する。また、現実の脅威として認識すれば(Yes)、次のステップ9に移行する。
ステップ5で、資産管理者は該当する脆弱性の脆弱項目があれば(Yes)、ステップ6で、該当脆弱項目を選択すると、前述した「CIA」に対応した想定される脅威と被害度合が表示される。例えば、図1の表で示すように、(1)電子データでの属性が「サーバのディスク」で、脆弱性の対象として「暗号化なし」を選択した場合、脆弱性について、「機密性C」として想定される脅威は情報漏洩で損害の度合(ランク)は「高」が表示され、「完全性I」としては不正改ざんで損害の度合(ランク)は「中」が表示される。
ここで、情報資産管理者は、ステップ8で表示された機密性C・完全性I・可用性A毎の表示された想定される脅威と想定される被害の程度を勘案して、現実の脅威として認識するか否かを検討し、現実の脅威として認識しなければ(No)、次の脆弱項目に移行し、フローチャートには示してはいないが、該当脆弱項目がなければ、資産属性へ、資産属性もなければ資産分類へ、これもなければ終了に移行する。また、現実の脅威として認識すれば(Yes)、次のステップ9に移行する。
ステップ9では、ステップ8の脆弱性で指摘された脅威を、現実の脅威として認識した場合に、予め電算機のデータベース(DB)に蓄積されているデータテーブルのデータから、図2の[表2]に示すように、《5》推奨される対応策を読み出して端末画面に表示する。この《5》推奨される対応策は、ISMS認証制度により管理策がDBのデータテーブルに格納されいるが、単一或いは複数の対象脆弱性に対応しており、例えば、(1)電子データでの属性が「サーバのディスク」で、脆弱性の対象として「入退室管理の不備」を選択した場合、脆弱性のCIAついての推奨される対応策は、共に、ISMS認証制度により管理策のデータテーブルの7.1.2項のデータ「許可されたものだけにアクセスを許すことを確実にするために、適切な入力退出管理策によってセキュリティの保たれた領域を確保すること」が画面端末に表示される。この《5》でのデータテーブルでの7.1.2項の管理策のデータは、(2)紙情報での脆弱性の「施錠管理の不備」の機密性Cにも対応しており、この脆弱項目を選択した場合にも利用されることになる。本実施例では脆弱性の改善のためのISMS認証制度により管理策が予めDBに格納されおり、例えば、新たに資産属性を追加するような自体になっても、該当データテーブルの該当する項のアドレスを指定しておけばよく、新たにISMS認証制度により管理策を追加する必要がない。
また、(1)電子データでの属性が「サーバのディスク」で、脆弱性の対象として「暗号化なし」を選択し、前述の脆弱性を認識した場合には、ISMS認証制度により管理策として、データテーブルの10.3.2項([表1]及び[表2])のアドレスのデータ「取り扱いに慎重を要するまたは、重要な情報の機密性を保護するため暗号化を用いること」が画面端末に表示される。
また、(1)電子データでの属性が「サーバのディスク」で、脆弱性の対象として「暗号化なし」を選択し、前述の脆弱性を認識した場合には、ISMS認証制度により管理策として、データテーブルの10.3.2項([表1]及び[表2])のアドレスのデータ「取り扱いに慎重を要するまたは、重要な情報の機密性を保護するため暗号化を用いること」が画面端末に表示される。
情報資産管理者は、ステップ10と、ステップ9で画面端末に図2の[表2]に表示された《5》推奨される対応策を導入すべきか否を検討し、導入する必要がない(No)と判断した場合には、ステップ9に戻って、他の推奨される対応策を導入すべきか否を検討し、導入する必要がないと判断した場合にはここで終了し、必要であれば、この結果を一旦記憶し、他に該当脆弱項目がなければ、フローチャートには示してはいないが、資産属性へ、資産属性もなければ資産分類へ、これもなければ終了に移行する。
また、推奨される対応策を導入すべきか否を検討し、導入する必要があり(Yes)と判断した場合には、ステップ10に移行し、電算機のデータベース(DB)のデータテーブルに予め蓄積され格納されている具体的な《6》対策方法や対策案の例示を画面端末に表示する。例えば、(1)電子データ>サーバのディスク>暗号化なしを選択し、機密性Cに対応してデータテーブルの10.3.2項のデータ「取り扱いに慎重を要するまたは、重要な情報の機密性を保護するため暗号化を用いること」が表示された場合には、具体的な対応策として、データテーブルから「暗号化ソフトウエアの導入・管理手順の整備」の例示が画面端末に表示される。このように、電子データの情報資産について、サイバーのディスクの暗号化についての管理上の脆弱性の問題点と具体的対策が示され、一応所期の目的は達成されたことになり、これを一旦記憶装置の管理ファイルに格納し、ステップ12で、次の脆弱項目の検討に移行し、同じ作業を繰り返すことになる。
同様に、予め想定され設定される全て《3》脆弱項目についても検討が終了すると、他の資産分類・属性についても検討し、これも予め設定され想定される全ての資産分類・属性を検討して情報資産管理システムが終了する。
また、推奨される対応策を導入すべきか否を検討し、導入する必要があり(Yes)と判断した場合には、ステップ10に移行し、電算機のデータベース(DB)のデータテーブルに予め蓄積され格納されている具体的な《6》対策方法や対策案の例示を画面端末に表示する。例えば、(1)電子データ>サーバのディスク>暗号化なしを選択し、機密性Cに対応してデータテーブルの10.3.2項のデータ「取り扱いに慎重を要するまたは、重要な情報の機密性を保護するため暗号化を用いること」が表示された場合には、具体的な対応策として、データテーブルから「暗号化ソフトウエアの導入・管理手順の整備」の例示が画面端末に表示される。このように、電子データの情報資産について、サイバーのディスクの暗号化についての管理上の脆弱性の問題点と具体的対策が示され、一応所期の目的は達成されたことになり、これを一旦記憶装置の管理ファイルに格納し、ステップ12で、次の脆弱項目の検討に移行し、同じ作業を繰り返すことになる。
同様に、予め想定され設定される全て《3》脆弱項目についても検討が終了すると、他の資産分類・属性についても検討し、これも予め設定され想定される全ての資産分類・属性を検討して情報資産管理システムが終了する。
このシステムを稼動して、情報資産管理者が必要とする脆弱性の項目と推奨される対応策と具体的な対策案の例示はステップ11で一旦記憶装置の管理ファイルに格納されているので、管理者は必要に応じて管理ファイルから、《3》脆弱性の項目と《5》推奨される対応策と《6》具体的な対策案を読み出して、表示・印刷をして管理者の情報資産管理の改善に役立てることになる。
そして、対応策を反映して情報資産の属性の脆弱項目を少なくするか、若しくは改善し、本情報資産管理システムによって《3》脆弱項目を入力し、全体の機密性・完全性・可用性に影響を及ぼすリスクのランクを下げて資産管理の環境を整えることによって、効果的にセキュリティーを高めることができる。
そして、対応策を反映して情報資産の属性の脆弱項目を少なくするか、若しくは改善し、本情報資産管理システムによって《3》脆弱項目を入力し、全体の機密性・完全性・可用性に影響を及ぼすリスクのランクを下げて資産管理の環境を整えることによって、効果的にセキュリティーを高めることができる。
上記の情報資産管理システムのハード面での全体構成は、全てを1つの装置として構成してもよいが、記憶装置を伴った端末装置だけを各情報資産管理者側に配置し、前述した予め設定する脆弱性のデータや管理策や具体的対応策は、データ管理者側に配置し、両者はインターネット等を介して接続する。こうすることでデータ管理者側のデータベースの脆弱性のデータや、ISMS認証制度により管理策のテーブル、具体的対応策のテーブルのデータは、必要に応じて更新し、常に最新の対応策が示されるようにしている。
本発明の特徴の一つは、予め想定できる全ての情報資産についてのパターンを用意し、全てのパターンの検討を終えるまではシステムを終了しないようにしたので、情報管理専門のコンサルタントの指示を仰がなくても、最低限の情報資産管理の環境を整えることができる。
本発明の特徴の一つは、予め想定できる全ての情報資産についてのパターンを用意し、全てのパターンの検討を終えるまではシステムを終了しないようにしたので、情報管理専門のコンサルタントの指示を仰がなくても、最低限の情報資産管理の環境を整えることができる。
なお、本発明の特徴を損なうものでなければ、上記の実施例に限定されないことは勿論であり、例えば、情報資産の分類や属性が新たに生じた場合には、そのつど追加すればよく、ISMS認証制度により管理策のデータテーブルのデータにおいても同様である。また、ステップ7では損害の度合(ランク)を「高」「中」「低」とランク付けして表示するようにしたが、さらに細かく5段階のランクに表示してもよく、更に、被害度合の高いランクの「高」等につては、電算機に自動選択手段を設けて自動的に選択して、ステップ11でも脆弱性のデータISMS認証制度により管理策、具体的対応策(例示)等を記憶装置である管理ファイルに自動的に格納し、必要に応じて、脆弱性の項目と推奨される対応策と具体的な対策案を読み出して、表示・印刷をして管理者の情報資産管理の改善に役立てもよいことは勿論である。
Claims (3)
- 各種情報資産を管理するための電算機を用いた情報資産管理支援システムであって、想定しうる全ての情報資産を電子データ情報や紙データ情報や人材情報等の形態で分類した情報資産分類を画面表示して該分類を選択する分類選択手段を設け、該情報資産分類毎に保管場所や媒体等で分類した資産属性を画面表示し該属性を選択する属性選択手段を設け、更に該情報資産属性毎に脆弱性が有るか否かを画面表示する脆弱項目表示手段を設け、該脆弱項目に脆弱性がある場合には脆弱性があることを回答する回答入力手段を設けるとともに、予め電算機のデータベースのデータテーブルには前記脆弱項目に対応して想定されるリスクとそのリスクに対応する機密性・完全性・可用性についてのランク及び推奨される対応策と例示とを予め用意し、前記脆弱性が有ると回答手段により入力した場合には前記データベースのデータより対応する機密性・完全性・可用性を脅かすリスクについてのランク並びに推奨される対応策と例示を読み出し表示させることを特徴とする情報資産管理支援システム。
- 請求項1において、前記データテーブルのデータは、必要に応じて更新することを特徴とする請求項1に記載の情報資産管理支援システム。
- 請求項1及び請求項2において、前記対応策を反映して情報資産の前記脆弱項目を少なくするか又は脆弱性を改善し、前記選択手段によって再び脆弱項目を入力し、全体の機密性・完全性・可用性に影響を及ぼすリスクのランクを下げて資産管理の環境を整えることを特徴とする請求項1及び請求項2に記載の情報資産管理支援システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004359189A JP2006171815A (ja) | 2004-12-10 | 2004-12-10 | 情報資産管理支援システム。 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004359189A JP2006171815A (ja) | 2004-12-10 | 2004-12-10 | 情報資産管理支援システム。 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006171815A true JP2006171815A (ja) | 2006-06-29 |
Family
ID=36672533
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004359189A Withdrawn JP2006171815A (ja) | 2004-12-10 | 2004-12-10 | 情報資産管理支援システム。 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006171815A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008015953A (ja) * | 2006-07-10 | 2008-01-24 | Hitachi Software Eng Co Ltd | 情報資産の自動分類システム |
| JP2009104478A (ja) * | 2007-10-24 | 2009-05-14 | Ricoh Co Ltd | 情報資産危険度評価システム |
| JP2012133584A (ja) * | 2010-12-21 | 2012-07-12 | Canon It Solutions Inc | 情報処理装置、情報資産管理システム、情報資産管理方法、及びプログラム |
-
2004
- 2004-12-10 JP JP2004359189A patent/JP2006171815A/ja not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008015953A (ja) * | 2006-07-10 | 2008-01-24 | Hitachi Software Eng Co Ltd | 情報資産の自動分類システム |
| JP2009104478A (ja) * | 2007-10-24 | 2009-05-14 | Ricoh Co Ltd | 情報資産危険度評価システム |
| JP2012133584A (ja) * | 2010-12-21 | 2012-07-12 | Canon It Solutions Inc | 情報処理装置、情報資産管理システム、情報資産管理方法、及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gibson et al. | Managing risk in information systems | |
| Silowash et al. | Common sense guide to mitigating insider threats | |
| Swanson et al. | Generally accepted principles and practices for securing information technology systems | |
| Goodenough et al. | Toward a theory of assurance case confidence | |
| Death | Information security handbook: develop a threat model and incident response strategy to build a strong information security framework | |
| Hassan | Digital forensics basics: A practical guide using Windows OS | |
| JP2013511099A (ja) | 高いデータ完全性を維持するため、ならびに詐欺防止および検出のための機密監査を提供するための方法および装置 | |
| Clinch | ITIL V3 and information security | |
| Wald | Legal Ethics' Next Frontier: Lawyers and Cybersecurity | |
| Baars et al. | Foundations of information security based on ISO27001 and ISO27002 | |
| Phua | Protecting organisations from personal data breaches | |
| Parker | Managing threats to health data and information: toward security | |
| JP2006171815A (ja) | 情報資産管理支援システム。 | |
| Coombs | Cloud Security for Dummies | |
| Wills | The Official (ISC) 2 SSCP CBK Reference | |
| Hill et al. | Information security: An overview and resource guide for inf | |
| Weidman et al. | The acceptable state: An analysis of the current state of acceptable use policies in academic institutions | |
| Shishodia et al. | Data Leakage Prevention System for Internal Security | |
| Hancock | Security crisis management—the basics | |
| Gyabi et al. | Data Security in Rural Banking Sector: A Case Study in Ashanti Region | |
| Egli | Mitigating the risks of insider threat on unstructured data through data governance | |
| Mikeal | From patient to population | |
| JP2005293267A (ja) | 情報セキュリティマネジメント支援システム及びプログラム | |
| Harmening | Security management systems | |
| Kendall | The Openness of Higher Education and Implications on Cybersecurity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20080304 |