JP2006350399A - 重要度取得装置、セキュリティ設計支援システム、関連度取得装置及びプログラム - Google Patents

重要度取得装置、セキュリティ設計支援システム、関連度取得装置及びプログラム Download PDF

Info

Publication number
JP2006350399A
JP2006350399A JP2005171801A JP2005171801A JP2006350399A JP 2006350399 A JP2006350399 A JP 2006350399A JP 2005171801 A JP2005171801 A JP 2005171801A JP 2005171801 A JP2005171801 A JP 2005171801A JP 2006350399 A JP2006350399 A JP 2006350399A
Authority
JP
Japan
Prior art keywords
threat
security
security function
risk value
requirement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005171801A
Other languages
English (en)
Inventor
Masayuki Morohashi
政幸 諸橋
Yasuhiko Nagai
康彦 永井
Tomoko Yamamoto
倫子 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005171801A priority Critical patent/JP2006350399A/ja
Publication of JP2006350399A publication Critical patent/JP2006350399A/ja
Withdrawn legal-status Critical Current

Links

Images

Abstract

【課題】 セキュリティシステムの構築を支援する技術を提供する。
【解決手段】 情報システムの脅威のリスク値と、当該脅威に対する対策方針と、当該脅威に対する対策方針のセキュリティ機能要件から、当該セキュリティ機能要件の重要度を取得する。また、セキュリティ機能要件の重要度と、当該セキュリティ機能要件と既存の情報関連製品のセキュリティ機能との関連度と、当該情報関連製品のセキュリティ機能の満足度とから、情報システムへ導入する情報関連製品を導出する。
【選択図】 図1

Description

本発明は、セキュリティシステムの構築を支援する技術に関するものである。
近年、インターネットの普及等により、プライバシー情報や企業機密情報の漏洩、改竄などの情報セキュリティに関する脅威が増大している。このため、情報セキュリティの基本設計の段階から、最適なセキュリティ対策を施しておくことが必須の前提条件となってきている。このことは、1996年6月に情報システムに関する国際セキュリティ評価基準ISO/IEC15408(CC:Common Criteria)が標準化されたことにも現れている。本基準は、情報関連製品や情報システムの調達要件、システム相互接続基準、法制度上の要件などとして活用される見込みであり、今後の情報関連製品・システム開発において、本基準でのセキュリティ設計・開発と評価・認証取得がビジネス上及びシステム運用上の前提条件となる。なお、情報関連製品とは、例えば、PC等の情報処理装置や当該情報処理装置で実行するプログラム、情報処理装置の周辺機器等である。
ところで、ISO/IEC15408の認証取得のためには、情報関連製品やシステムのセキュリティ基本設計書(セキュリティターゲット、以下STとする)を作成することが必須の条件である。STとは、国際標準で形式や使用言語が統一された、セキュリティに特化した情報システムの基本設計書である。STには、評価対象の概要、評価対象が利用される環境(前提条件、脅威、組織のセキュリティポリシー)の定義、環境からの脅威等への対抗としてのセキュリティ対策方針やセキュリティ機能要件の定義、セキュリティ機能要件に対応する実現方式等を記述する必要がある。開発者は、まず、STを作成し、当該STを元にセキュリティを含むセキュリティ機能設計や設計詳細を行う。即ち、ST作成は情報製品やネットワークシステムのセキュリティ設計の基盤となる。
上述のST作成において、セキュリティ機能要件の実現方式はコスト対効果の高いことを望まれる。特に、システムの場合には、既存の情報関連製品の組合せで構築したほうがコスト対効果が高いので、実現方式は既存製品の組合せで決定される。
しかし、セキュリティ機能要件を実現する情報関連製品は多種多様であり、これらの候補の中からコスト対効果の高い製品の組合せを決定するのは困難である。
これに対する解決策として、非特許文献1に記載された方法がある。この方法では、2章「セキュリティ基本設計法」に記載されているように、セキュリティ対策目標(セキュリティ機能要件)の重要度、実現方法の満足度、セキュリティ対策目標と実現方式との関連度を設定し、最適対策目標・実現方式決定問題を定式化したものを解くことにより、情報システムに最適な既存製品の組合せを取得する方法である。
「セキュリティ機能的適合性を考慮した情報システムのセキュリティ基本設計法の提案」情報処理学会論文誌 Vol.45,No.4,P1163〜1175 2004年
上述の非特許文献1に記載された方法を用いる場合、セキュリティ機能要件の重要度、情報関連製品の持つセキュリティ機能の満足度、セキュリティ機能要件と情報関連製品の持つセキュリティ機能との関連度を設定する必要がある。
ここで、情報関連製品の持つセキュリティ機能の満足度を設定するためには、情報関連製品の備えるセキュリティ機能の各々に対して満足度を示す値を直接設定すればよい。
しかし、セキュリティ機能要件の重要度を取得するためには、設計対象の情報システムの脅威のリスク値を取得する必要がある。脅威のリスク値を取得する方法として、例えば、リスク分析手法がある。リスク分析手法とは、FTA(Fault Tree Analysis)手法を情報システム向けに改良したものである。リスク分析方法等により脅威のリスク値を取得した後に、セキュリティ機能要件の重要度を算出するため、重要度を取得するのには工数がかかる。
また、セキュリティ機能要件と情報関連製品のセキュリティ機能との関連度を設定するためには、ISO/IEC15408で定義された複数のセキュリティ機能要件の各々と、情報関連製品のセキュリティ機能との関連度を、当該情報関連製品の備えるセキュリティ機能ごとに設定する必要がある。情報システムへの導入候補となる市販の情報関連製品の数は多く、また、1の情報関連製品が複数のセキュリティ機能を有する場合もあるので、情報関連製品のセキュリティ機能の各々に、セキュリティ機能要件との関連度を設定するのは工数がかかる。
本発明はこのような事情に鑑みてなされたものでセキュリティシステムの構築を支援する技術を提供することを目的とする。
本発明は上記の目的を達成するためになされたもので、脅威毎のリスク値を、当該脅威の各々に対する対策方針に特定の規則に従って割り振り、当該対策方針の各々に割り振られた脅威のリスク値を、当該対策方針の各々を実現するセキュリティ機能要件に特定の規則に従って割り振ることにより、セキュリティ機能要件毎のリスク値を算出し、当該セキュリティ機能要件毎のリスク値に応じて、各セキュリティ機能要件の重要度を取得するものである。また、予め、セキュリティ機能要件と、セキュリティ機能との関連度を記憶しておき、導入候補となる情報関連製品の有するセキュリティ機能が、セキュリティ機能要件との関連度を記憶したセキュリティ機能のいずれかに該当するかにより、導入候補となる情報関連製品のセキュリティ機能とセキュリティ機能要件との関連度を取得するものである。また、上述のように取得した脅威の対抗となるセキュリティ機能要件の重要度と、当該セキュリティ機能要件と導入候補となる情報関連製品のセキュリティ機能との関連度と、当該情報関連製品のセキュリティ機能の満足度等とから、情報システムへ導入する情報関連製品を選択するものである。
本発明は、例えば、情報システムに想定される脅威に対抗できるセキュリティ機能要件の重要度を取得する重要度取得装置であって、前記脅威毎に、当該脅威に対する対策方針と、当該対策方針を実現するセキュリティ機能要件とを記憶する脅威・対策方針・機能要件記憶手段と、前記脅威毎のリスク値を記憶する脅威リスク値記憶手段と、前記脅威・対策方針・機能要件記憶手段から前記脅威の各々に対する対策方針及び当該対策方針を実現するセキュリティ機能要件を読出し、前記脅威リスク値記憶手段から読み出した脅威毎のリスク値を、当該脅威の各々に対する対策方針に特定の規則に従って割り振り、当該対策方針の各々に割り振られた脅威のリスク値を、当該対策方針の各々を実現するセキュリティ機能要件に特定の規則に従って割り振ることにより、セキュリティ機能要件毎のリスク値を算出するセキュリティ機能要件リスク値取得手段と、前記取得したセキュリティ機能要件毎のリスク値の各々を、1つ以上の特定の閾値と比較し、当該セキュリティ機能要件毎のリスク値の各々が前記特定の閾値の各々より大きいか否かにより、各セキュリティ機能要件の重要度を取得する重要度取得手段と、前記取得した重要度を出力する出力手段と、を備えることを特徴とする。
また、例えば、情報関連製品の有するセキュリティ機能と、セキュリティ機能要件との関連度を取得する関連度取得装置であって、セキュリティ機能要件と、セキュリティ機能との関連度とを記憶する関連度記憶手段と、前記関連度記憶手段内のセキュリティ機能を表示する共通セキュリティ機能表示手段と、前記情報関連製品の各々の有するセキュリティ機能が、前記表示したセキュリティ機能のうちいずれかに該当するかを示す情報が入力されると、当該セキュリティ機能とセキュリティ機能要件との関連度を取得する関連度取得手段と、前記取得した関連度を出力する関連度出力手段と、を備えることを特徴とする。
また、例えば、情報システムに想定される脅威の対策として、セキュリティ機能を有する複数の情報関連製品候補から1又は複数を選択するセキュリティ設計支援システムであって、前記脅威毎に、当該脅威に対する対策方針と、当該対策方針を実現するセキュリティ機能要件とを記憶する脅威・対策方針・機能要件記憶手段と、前記脅威毎のリスク値を記憶する脅威リスク値記憶手段と、前記脅威・対策方針・機能要件記憶手段から前記脅威の各々に対する対策方針及び当該対策方針を実現するセキュリティ機能要件を読出し、前記脅威リスク値記憶手段から読み出した脅威毎のリスク値を、当該脅威の各々に対する対策方針に特定の規則に従って割り振り、当該対策方針の各々に割り振られた脅威のリスク値を、当該対策方針の各々を実現するセキュリティ機能要件に特定の規則に従って割り振ることにより、セキュリティ機能要件毎のリスク値を算出するセキュリティ機能要件リスク値取得手段と、前記取得したセキュリティ機能要件毎のリスク値の各々を、1つ以上の特定の閾値と比較し、当該セキュリティ機能要件毎のリスク値の各々が前記特定の閾値の各々より大きいか否かにより、各セキュリティ機能要件の重要度を取得する重要度取得手段と、セキュリティ機能要件と、セキュリティ機能との関連度とを記憶する関連度記憶手段と、前記関連度記憶手段内のセキュリティ機能を表示する共通セキュリティ機能表示手段と、前記情報関連製品候補の各々の有するセキュリティ機能が、前記表示したセキュリティ機能のうちいずれかに該当するかを示す情報が入力されると、当該セキュリティ機能とセキュリティ機能要件との関連度を取得する関連度取得手段と、前記情報関連製品候補の各々の有するセキュリティ機能の満足度を記憶する情報関連製品満足度記憶手段と、前記脅威の各々へ対抗できるセキュリティ機能要件を全て実現できる情報関連製品候補の組合せを1組以上取得する情報関連製品組合せ取得手段と、前記組み合わせの各々に対し、前記脅威の各々に対抗できるセキュリティ機能要件と、当該組み合わせを構成する情報関連製品候補の各々の有するセキュリティ機能と、当該セキュリティ機能と当該セキュリティ機能要件との関連度と、当該セキュリティ機能の満足度と、当該セキュリティ機能要件の重要度と、当該セキュリティ機能要件の数とから、特定の計算式に従い、当該組み合わせの各々の機能過不足度を算出する過不足度算出手段と、前記取得した機能過不足度と、当該機能過不足度を算出した情報関連製品候補の組み合わせとを出力する出力手段と、を備えることを特徴とする。
本発明による技術によれば、セキュリティ機能要件の重要度を容易に取得することができる。また、セキュリティ機能要件と情報関連製品の有するセキュリティ機能との関連度を取得する時間を短縮することができる。また、情報システムに最適な情報関連製品を選択することが容易となる。
以下、本発明の一実施形態を図面を参照して詳細に説明する。本実施形態では、STに記載する情報のうち、設計対象の情報システムの評価対象の概要、評価対象が利用される環境(前提条件、脅威、組織のセキュリティポリシー)の定義、当該情報システムの脅威の対抗としてのセキュリティ対策方針、当該対策方針を実現するセキュリティ機能要件の定義を既に取得している。ここでは、STに記載するセキュリティ機能要件の実現方式を取得するために、当該セキュリティ機能要件を実現する1又は複数の情報関連製品を、既存の複数の情報関連製品から選択するものとする。
<第1の実施形態>
まず、第1の実施形態を説明する。
図1は、情報システムセキュリティ設計装置1の構成を示す図である。図1において、情報システムセキュリティ設計装置1は、メモリ11、記憶装置12、バス13、CPU(Central Processing Unit)14、端末入出力インタフェース15、通信インタフェース18等を備える。端末入出力インタフェース15には、キーボード、マウス等の入力装置16と、ディスプレイ、プリンタ、スピーカ等の出力装置17とが接続される。
記憶装置12は、ここではHDD(Hard Disk Drive)であるものとするが、これに限られるわけではなく、例えば、CD(Compact Disc)−RAM(Random Access Memory)、DVD(Digital Versatile Disk)−RAM等書き込み及び読出し可能な記憶メディアでもよい。記憶装置12には、機能固有名称・共通名称対応テーブル50、機能共通名称テーブル51、関連度テーブル52、脅威・対策方針対応テーブル53、対策方針・機能要件対応テーブル54、脅威リスク値テーブル55、機能要件重要度変換テーブル56、情報関連製品群導出テーブル57、データ設計支援プログラム80、システムセキュリティ設計プログラム81等を備える。
機能固有名称・共通名称対応テーブル50は、既存の情報関連装置の備えるセキュリティ機能の固有名称と、当該セキュリティ機能に対応する共通名称とを記憶するテーブルである。機能共通名称テーブル51は、セキュリティ機能の共通名称を記憶するテーブルである。関連度テーブル52は、セキュリティ機能要件と、セキュリティ機能との関連度を示すテーブルである。脅威・対策方針対応テーブル53は、設計対象の情報システムの脅威(以下、単に脅威とする)と、対策方針との対応関係の有無を示すテーブルである。対策方針・機能要件対応テーブル54は、脅威に対する対策方針と、セキュリティ機能要件との対応関係の有無を示すテーブルである。脅威リスク値テーブル55は、脅威と、当該脅威毎の被害の大きさと、当該脅威毎の発生可能性と、当該脅威毎のリスク値とを記憶するテーブルである。機能要件重要度変換テーブル56は、セキュリティ機能要件が脅威に対抗できるリスク値(以下、単にセキュリティ機能要件のリスク値という)に応じて、当該セキュリティ機能要件の重要度を取得するためのテーブルである。情報関連製品群導出テーブル57は、設計対象の情報システムに最適な情報関連製品の組み合わせを導出するためのテーブルである。
データ設計支援プログラム80は、上述のテーブルに格納するデータを取得するためのプログラムである。システムセキュリティ設計プログラム81は、複数の既存の情報関連製品の中から、設計対象の情報システムに最適な情報関連製品を選択するためのプログラムである。
CPU14は、機能固有名称・共通名称対応取得処理部70、関連度導出処理部71、脅威・対策方針・機能要件対応取得処理部72、脅威リスク値算出データ取得処理部73、リスク値算出処理部74、機能要件重要度導出処理部75、情報関連製品導出処理部76、情報関連製品出力処理部77等を有する。
機能固有名称・共通名称対応取得処理部70は、既存の情報関連製品の有するセキュリティ機能の固有名称と、当該セキュリティ機能の共通名称とを対応付ける処理を行う。関連度導出処理部71は、セキュリティ機能要件と、情報関連製品の有するセキュリティ機能との関連度を取得する。脅威・対策方針・機能要件対応取得処理部72は、STのRationaleから、設計対象の情報システムの脅威と、当該脅威の各々に対する対策方針と、当該対策方針毎のセキュリティ機能要件とを取得する。脅威リスク値算出データ取得処理部73は、設計対象の情報システムの脅威毎の大きさと、当該脅威の発生可能性とを取得する。リスク値算出処理部74は、脅威リスク値算出データ取得処理部73により取得された脅威の大きさ及び脅威の発生可能性から、当該脅威のリスク値を取得する。機能要件重要度導出処理部75は、設計対象の情報システムの脅威と、当該脅威毎のリスク値と、当該脅威の各々に対する対策方針と、当該対策方針の各々を実現するセキュリティ機能要件とから、当該セキュリティ機能要件毎のリスク値を取得し、当該セキュリティ機能要件のリスク値に応じて、当該セキュリティ機能要件の重要度を取得する。情報関連製品導出処理部76は、設計対象の情報システムの脅威の各々に対抗できるセキュリティ機能要件の全てを実現するセキュリティ機能を網羅する情報関連製品の組合せを取得し、当該情報関連製品の組合せの各々に、関連度と、満足度と、重要度等とから機能過不足度を算出し、機能過不足度が最小であり、且つ、コストが最も低い情報関連製品の組合せを、最適な情報関連製品であると判定する。情報関連製品出力処理部77は、情報関連製品導出処理部76により取得された情報関連製品の組合せ及び機能過不足度を出力する。
なお、機能固有名称・共通名称対応取得処理部70、関連度導出処理部71、脅威・対策方針・機能要件対応取得処理部72、脅威リスク値算出データ取得処理部73、リスク値算出処理部74、機能要件重要度導出処理部75は、メモリ11にロードしたデータ設計支援プログラム80をCPU14が実行することにより実現する。また、情報関連製品導出処理部76、情報関連製品出力処理部77は、メモリ11にロードしたシステムセキュリティ設計プログラム81をCPU14が実行することにより実現する。
ここで、各テーブルを詳細に説明する。
機能固有名称・共通名称対応テーブル50の一例を図2に示す。図2において、機能固有名称・共通名称対応テーブル50は、列501が既存の情報関連製品の製品名、列502が当該情報関連製品の有するセキュリティ機能の固有名称、列503が当該固有名称に対応する共通名称を示す。図2の例では、製品Aはカタログ上では識別・認識機能、アクセス制御機能、監査ログ取得機能を備えており、これらのセキュリティ機能を共通名称で置き換えると、ID/パスワード機能、アプリケーションレベルアクセス制御機能、監査機能となることを示している。
機能共通名称テーブル51の一例を図3に示す。図3において、機能共通名称テーブル51は、列511がセキュリティ機能の分類、列512がセキュリティ機能の共通名称を示す。
関連度テーブル52の一例を図4に示す。図4において、関連度テーブル52は、列521がセキュリティ機能要件の識別子、列522が機能要件コンポーネント識別子、行523がセキュリティ機能の分類、行524がセキュリティ機能の共通名称を示し、行と列の交差する値は、セキュリティ機能要件とセキュリティ機能との関連度を示す。
列521のセキュリティ機能要件の識別子及び列522の機能要件コンポーネント識別子は、ISO/IEC15408で定義されたセキュリティ機能要件の識別子である。行523に示すセキュリティ機能の分類は、上述した機能共通名称テーブル51内の列511のセキュリティ機能の分類のいずれかである。列522に示すセキュリティ機能要件は、上述した機能共通名称テーブル51内の列512のセキュリティ機能のいずれかである。関連度とは、セキュリティ機能要件とセキュリティ機能との対応関係の強さの度合いである。図4に示す例では、関連度「1」は直接対応する、関連度「0.75」は関連が強い、関連度「0.5」は関連がある、関連度「0.25」は少し関連がある、関連度「0」は関連無を示す。例えば、共通名称「ID/パスワード」というセキュリティ機能と、機能要件コンポーネント識別子「FIA_UID.1」というセキュリティ機能要件との関連度は「0.5」であることを示す。
図5は、本実施形態で用いるセキュリティ機能要件の識別子と、ISO/IEC15408で規定する機能要件との対応関係を示す図である。図5において、テーブル59は、列591が本実施形態で使用するセキュリティ機能要件の識別子、列592が機能要件コンポーネント識別子、列593が機能要件コンポーネント名である。列592の機能要件コンポーネント識別子及び列593の機能要件コンポーネント名は、ISO/IEC15408で定められたものである。
脅威・対策方針対応テーブル53の一例を図6に示す。図6において、脅威・対策方針対応テーブル53は、列532が設計対象の情報システムの脅威、列531が当該脅威の識別子、行533が当該脅威に対する対策方針の識別子を示し、マトリクス部分は、脅威と対策方針との対応関係の有無を示す。図6に示す例では、「1」が対応関係有を示し、「0」が対応関係無を示す。例えば、識別子が「T1」である脅威と、識別子が「O3」である対策方針は対応関係が有ることを示す。
対策方針・機能要件対応テーブル54の一例を図7に示す。図7において、対策方針・機能要件対応テーブル54は、列542が対策方針、列541が当該対策方針の識別子、行543がセキュリティ機能要件の識別子を示し、マトリクス部分は対策方針とセキュリティ機能要件との対応関係の有無を示す。列541の対策方針の識別子は、脅威・対策方針対応テーブル53の行533の対策方針の識別子のいずれかである。行543のセキュリティ機能要件の識別子とは、テーブル59の列591のセキュリティ機能要件の識別子である。図7に示す例では「1」が対応関係有りを示し、「0」が対応関係無を示す。例えば、識別子が「O1」である対策方針と、識別子が「FR1」であるセキュリティ機能要件とは、対応関係が有ることを示す。
脅威リスク値テーブル55の一例を図8に示す。図8において、脅威リスク値テーブル55は、列532が設計対象の情報システムの脅威、列531が当該脅威の識別子、列551が当該脅威の被害の大きさ、列552が当該脅威の発生可能性、列553が当該脅威のリスク値を示す。列531の脅威の識別子及び列532の脅威は、脅威・対策方針対応テーブル53の列531の脅威の識別子及び列532の脅威のいずれかである。例えば、脅威の識別子「T1」の「管理者が不正利益取得のために顧客情報にアクセスして改竄する」という脅威の被害の大きさは「2」、当該脅威の発生可能性は「1」、当該脅威のリスク値は「2」を示す。
機能要件重要度変換テーブル56の一例を図9に示す。図9において、機能要件重要度変換テーブル56は、列562がセキュリティ機能要件のリスク値の範囲、列561が当該セキュリティ機能要件のリスク値の範囲に対応する重要度を示す。例えば、ある情報システムにおいて、当該情報システムの脅威に対抗するセキュリティ機能要件が複数であり、各々のセキュリティ機能要件のリスク値のうち最大値が「Z」である場合、他のセキュリティ機能要件のリスク値が「(1/5)Z以上(2/5)Z未満」である場合、当該セキュリティ機能要件の重要度は「0.25」であることを示す。
情報関連製品群導出テーブル57の一例を図10に示す。図10において、情報関連製品群導出テーブル57は、列571がセキュリティ機能要件の識別子、列572が当該セキュリティ機能要件の重要度、行573が既存の情報関連製品の製品名、行574が既存の情報関連製品のコスト、行575が既存の情報関連製品の備えるセキュリティ機能の共通名称、行576がセキュリティ機能の満足度を示し、マトリクス部分はセキュリティ機能要件とセキュリティ機能との関連度を示す。列571のセキュリティ機能要件の識別子は、上述した対策方針・機能要件対応テーブル54の行543のセキュリティ機能要件の識別子のいずれかである。行573の情報関連製品名称及び行575のセキュリティ機能の共通名称は、上述した機能固有名称・共通名称対応テーブル50の列501の情報関連製品の製品名及び列503の共通名称のいずれかである。図10に示す例では、満足度「1」は十分使える、満足度「0.75」は結構使える、満足度「0.5」は使える、満足度「0.25」はあまり使えない、満足度「0」は全く使えないことを示す。重要度は、後述する動作により取得し、格納される。図10の例では、例えば、情報関連製品名称「製品A」のセキュリティ機能の共通名称「ID/パスワード」は満足度「0.5」であり、当該セキュリティ機能と、識別子が「FR1」であるセキュリティ機能要件との関連度は「0.5」であることを示す。
なお、上述の機能共通名称テーブル51、関連度テーブル52、機能要件重要度変換テーブル56は、予め記憶装置12に格納しておくものとする。また、上述の機能固有名称・共通名称対応テーブル50、脅威・対策方針対応テーブル53、対策方針・機能要件対応テーブル54、情報関連製品群導出テーブル57、脅威リスク値テーブル55は、後述する動作により追記され、格納されるものとする。
また、上述のテーブルにおいて、満足度及び関連度は、客観データの入力が困難であり、且つ、計算も複雑になることから、設計者の主観データに基づき定めておくものとする。
次に、情報システムセキュリティ設計装置1の動作を説明する。
まず、設計対象の情報システムへの導入候補である情報関連製品の備えるセキュリティ機能の固有名称と、当該セキュリティ機能の共通名称とを対応付ける動作を、図11を参照して説明する。ここでは、予め、機能固有名称・共通名称対応テーブル50は、既存の情報関連製品の製品名(列501)と、当該情報関連製品の有するセキュリティ機能の固有名称(列502)とを格納しており、以下に説明する動作で、各セキュリティ機能の固有名称に対応する共通名称を追加格納する。
情報システムセキュリティ設計装置1の機能固有名称・共通名称対応取得処理部70は、既存の情報関連製品の各々のセキュリティ機能の固有名称に対応する共通名称を、機能共通名称テーブル51内の共通名称(列512)から取得し、各々の情報関連製品のセキュリティ機能毎の固有名称と共通名称とを対応付けて機能固有名称・共通名称対応テーブル50に格納する(図11におけるステップ1101)。具体的には、例えば、機能固有名称・共通名称対応取得処理部70は、機能共通名称テーブル51と、機能固有名称・共通名称対応テーブル50とを参照し、特定のフォーマットに基づく等して、図12に一例を示すような画面1201を出力装置17に出力する。図12の例では、機能固有名称・共通名称対応取得処理部70は、機能固有名称・共通名称対応テーブル50の情報関連製品の製品名(列501)と、当該製品の備えるセキュリティ機能の固有名称(列502)とを出力し、プルダウン等により、セキュリティ機能の固有名称毎に、機能共通名称テーブル51内のセキュリティ機能の共通名称(列512)を出力する。利用者がキーボードやマウス等の入力装置16を用いて表示された共通名称の何れかを指定し格納を指示すると、機能固有名称・共通名称対応取得処理部70は、当該指示に従い、各々の情報関連製品の備えるセキュリティ機能の固有名称毎の共通名称を取得し、取得した共通名称を機能固有名称・共通名称対応テーブル50に格納する。
ステップ1102については後述する。
次に、セキュリティ機能要件の重要度を取得する動作例を、図13を参照して説明する。
上述したように、本実施形態では、設計対象の情報システムに関し、セキュリティ機能要件の実現方式以外の情報は明確となっている。情報システムセキュリティ設計装置1の脅威・対策方針・機能要件対応取得処理部72は、STのRationaleから、設計対象の情報システムの脅威と、当該脅威の各々に対する対策方針と、各脅威と対策方針との対応関係の有無と、各対策方針とセキュリティ機能要件との対応関係の有無とを取得し、取得した情報を脅威・対策方針対応テーブル53、対策方針・機能要件対応テーブル54に格納する(図13におけるステップ1301)。脅威・対策方針・機能要件対応取得処理部72は、例えば、利用者が入力装置16を操作して入力した情報から、設計対象の情報システムの脅威と、当該脅威の各々に対する対策方針と、各対策方針を実現するセキュリティ機能要件と、脅威と対策方針との対応関係の有無と、対策方針とセキュリティ機能要件との対応関係の有無とを取得してもよく、また、特定フォーマットに基づき記載され記憶されたSTから特定箇所の情報を読み出すことにより、当該情報を取得しても良い。
脅威リスク値算出データ取得処理部73は、脅威毎の被害の大きさ及び脅威毎の発生可能性を取得し、リスク値算出処理部74は、脅威毎の被害の大きさ及び脅威毎の発生可能性から、脅威毎のリスク値を算出する(図13におけるステップ1302)。具体的には、例えば、脅威リスク値算出データ取得処理部73は、脅威・対策方針対応テーブル53に含まれる脅威の各々に対し、当該脅威の被害の大きさと、当該脅威の発生可能性とを入力させるための画面データをディスプレイ等の出力装置17に出力する。脅威リスク値算出データ取得処理部73は、利用者に入力された脅威毎の被害の大きさと発生可能性とを脅威リスク値テーブル55に格納する。リスク値算出処理部74は、脅威リスク値テーブル55に格納された被害の大きさ(列551)と発生可能性(列552)とを積算し、脅威のリスク値を算出する。例えば、図8に一例を示す脅威リスク値テーブル55の場合、識別子が「T1」である脅威は、被害の大きさが「2」であり、脅威の発生可能性が「1」であるので、積算により、当該脅威のリスク値は「2」となる。
なお、脅威の被害の大きさ及び発生可能性は、予め不特定の情報システムに想定される脅威と、当該脅威毎の被害の大きさと、当該脅威毎の発生可能性とを対応付けるテーブルを作成しておき、当該テーブルを参照することにより、利用者又は情報システムセキュリティ設計装置1が、設計対象の情報システムの脅威の被害の大きさ及び発生可能性を取得してもよい。
機能要件重要度導出処理部75は、設計対象の情報システムの脅威のリスク値と、当該脅威の各々に対する対策方針と、当該対策方針を実現するセキュリティ機能要件とから、セキュリティ機能要件毎のリスク値を取得し、当該セキュリティ機能要件のリスク値に応じて、当該セキュリティ機能要件の重要度を算出する。具体的には、例えば、機能要件重要度導出処理部75は、まず、各々の脅威のリスク値を、当該脅威の各々に対する対策方針に均等に割り振り、当該対策方針に割り振られたリスク値の合計を、当該対策方針が脅威に対抗できるリスク値とする(図13におけるステップ1303)。以下、対策方針が脅威に対抗できるリスク値を、単に対策方針のリスク値という。次に、機能要件重要度導出処理部75は、各々の対策方針のリスク値を、各対策方針を実現するセキュリティ機能要件に均等に割り振った値を、当該セキュリティ機能要件のリスク値とする(図13におけるステップ1304)。
上述のステップ1303及びステップ1304の動作を、図14を参照して具体的に説明する。図14において、脅威の識別子1401は、図6に一例を示す脅威・対策方針対応テーブル53の脅威の識別子「T1」〜「T3」を示す。対策方針の識別子1402は、図6に一例を示す脅威・対策方針対応テーブル53及び図7に一例を示す対策方針・機能要件対応テーブル54の対策方針の識別子「O1」〜「O3」を示す。セキュリティ機能要件の識別子1403は、図7に一例を示す対策方針・機能要件対応テーブル54のセキュリティ機能要件の識別子「FR1」〜「FR7」を示す。識別子が「T1」である脅威は、脅威・対策方針対応テーブル53から、識別子が「O3」である対策方針との対応関係を有する。識別子が「O3」である対策方針は、対策方針・機能要件対応テーブル54から、識別子が「FR6」及び「FR7」であるセキュリティ機能要件との対応関係を有する。同様に、識別子が「T2」である脅威は、識別子が「O1」である対策方針と対応関係を有し、当該対策方針は、識別子が「FR1」及び「FR2」であるセキュリティ機能要件と対応関係を有する。識別子が「T3」である脅威は、識別子が「O1」、「O2」、「O3」である対策方針と対応関係を有し、当該対策方針は、各々、識別子が「FR1」及び「FR2」、「FR3」〜「FR5」、「FR6」及び「FR7」であるセキュリティ機能要件と対応関係を有する。
識別子が「T1」である脅威のリスク値は、図8に一例を示す脅威リスク値テーブル55から「2」であるので、当該リスク値を当該脅威に対する対策方針に均等に割り振ると「O3」に「2」となる。同様に、識別子が「T2」である脅威のリスク値は「6」であるので、当該リスク値を当該脅威に対する対策方針に均等に割り振ると「O1」に「6」となる。識別子が「T3」である脅威のリスク値は「4」であるので、当該リスク値を当該脅威に対する対策方針に均等に割り振ると「O1」〜「O3」の各々に「1.3」となる。従って、識別子「O1」の対策方針のリスク値は「T2」からの「6」と「T3」からの「1.3」との和になるので「7.3」となる。同様に、識別子「O2」の対策方針のリスク値は「1.3」となる。識別子「O3」の対策方針のリスク値は「3.3」となる。
識別子「O1」の対策方針と対応関係のあるセキュリティ機能要件の識別子は「FR1」及び「FR2」であるので、この対策方針のリスク値「7.3」を均等に割り振ると、識別子「FR1」及び「FR2」のセキュリティ機能要件のリスク値は「3.65」となる。同様に、識別子「O2」の対策方針と対応関係のあるセキュリティ機能要件の識別子は「FR3」〜「FR5」であるので、当該対策方針のリスク値「1.3」を均等に割り振った値「0.4」が、識別子「FR3」〜「FR5」のセキュリティ機能要件のリスク値となる。識別子「O3」の対策方針と対応関係のあるセキュリティ機能要件の識別子は「FR6」及び「FR7」であるので、当該対策方針のリスク値「3.3」を均等に割り振った値「1.65」が、識別子「FR6」及び「FR7」のセキュリティ機能要件のリスク値となる。
上述のようにセキュリティ機能要件のリスク値を取得した後、機能要件重要度導出処理部75は、機能要件重要度変換テーブル56を参照し、セキュリティ機能要件のリスク値に応じて、当該セキュリティ機能要件の重要度を取得する(図13におけるステップ1305)。
図14の例で説明すると、識別子「FR1」〜「FR7」のセキュリティ機能要件のリスク値の最大値はFR1及びFR2の「3.65」であるので、当該最大値を図9に示す機能要件重要度変換テーブル56に適用すると、図15のテーブル1501となる。テーブル1501に従い、図14の識別子「FR1」〜「FR7」のセキュリティ機能要件のリスク値を判定すると、識別子「FR1」及び「FR2」のセキュリティ機能要件のリスク値は「3.65」であるので、重要度は「1」となる。また、識別子「FR3」〜「FR5」のセキュリティ機能要件のリスク値は「0.4」であるので、重要度は「0」となる。また、識別子「FR6」及び「FR7」のセキュリティ機能要件のリスク値は「1.65」であるので、重要度は「0.5」となる。
次に、情報関連製品群導出テーブル57に各情報を格納する動作を説明する。
情報システムセキュリティ設計装置1の関連度導出処理部71は、既存の情報関連製品の製品名と、当該情報関連製品の有するセキュリティ機能の共通名称と、当該セキュリティ機能とセキュリティ機能要件との関連度等を情報関連製品群導出テーブル57に追加格納する。
具体的には、例えば、脅威・対策方針・機能要件対応取得処理部72は、上述のように脅威・対策方針対応テーブル53及び対策方針・機能要件対応テーブル54に各情報を格納した後、脅威・対策方針対応テーブル53及び対策方針・機能要件対応テーブル54に格納したセキュリティ機能要件を、情報関連製品群導出テーブル57に格納しておく。関連度導出処理部71は、機能固有名称・共通名称対応テーブル50を参照し、既存の情報関連製品の製品名、当該製品の備えるセキュリティ機能の共通名称等を取得する。さらに、関連度導出処理部71は、情報関連製品群導出テーブル57からセキュリティ機能要件を取得し、当該セキュリティ機能要件と、導入候補となる情報関連製品のセキュリティ機能との関連度を関連度テーブル52から取得する(図11におけるステップ1102)。次に、関連度導出処理部71は、情報関連製品群導出テーブル57に、取得した既存の情報関連製品の製品名、当該情報関連製品の有するセキュリティ機能の共通名称、当該セキュリティ機能とセキュリティ機能要件との関連度等を格納する。さらに、関連度導出処理部71は、利用者から入力された情報又は予め記憶装置12等に格納された情報により、既存の情報関連製品のコストを情報関連製品群導出テーブル57に格納する。
機能要件重要度導出処理部75は、上述の動作により取得したセキュリティ機能要件毎の重要度を情報関連製品群導出テーブル57に格納する。
情報関連製品導出処理部76は、既存の情報関連製品の有するセキュリティ機能毎の満足度を取得し、情報関連製品群導出テーブル57に格納する。この満足度は、例えば、利用者から入力された情報により取得してもよく、また、予め記憶装置12等に格納された情報を読み出すことにより取得してもよい。
情報システムセキュリティ設計装置1は、上述のように情報関連製品群導出テーブル57に情報を格納した後、設計対象の情報システムに最適な情報関連製品を導出する。最適な情報関連製品を導出する動作例を、図16を参照して説明する。
なお、後述するステップ1601及びステップ1602は、設計対象の情報システムの脅威に対抗できるセキュリティ機能要件の組み合わせを取得する動作であるが、上述したように、本実施形態では、STのRationaleから、当該条件を満たすセキュリティ機能要件の組み合わせ「FR1」〜「FR7」を取得しているので、当該ステップを省略してもよい。
情報関連製品導出処理部76は、セキュリティ機能要件の組み合わせを取得する(図16におけるステップ1601)。具体的には、例えば、情報関連製品導出処理部76は、記憶装置12等に格納しているセキュリティ機能要件一覧のリスト等から1以上の任意のセキュリティ機能要件を取得する。
次に、情報関連製品導出処理部76は、当該セキュリティ機能要件の組合せが、設計対象の情報システムの脅威に対抗できるセキュリティ機能要件の全てを網羅しているか否か判定する(図16におけるステップ1602)。具体的には、例えば、情報関連製品導出処理部76は、脅威・対策方針対応テーブル53及び対策方針・機能要件対応テーブル54等から、設計対象の情報システムの全て脅威と、当該脅威の各々に対抗できるセキュリティ機能要件とを読出し、ステップ1601の処理により取得したセキュリティ機能要件の組合せが、読み出したセキュリティ機能要件の全てを網羅しているか否か判定する。
当該判定の結果、取得したセキュリティ機能要件の組合せが、脅威に対抗できるセキュリティ機能要件の全てを網羅していない場合、再度ステップ1601の処理を行い、別のセキュリティ機能要件の組み合わせを取得する。
当該判定の結果、取得したセキュリティ機能要件の組合せが、脅威に対する対策方針のセキュリティ機能要件の全てを網羅している場合、情報関連製品導出処理部76は、既存の情報関連製品の組み合わせの全てを取得する(図16におけるステップ1603)。具体的には、例えば、情報関連製品導出処理部76は、情報関連製品群導出テーブル57内の情報関連製品のうち1以上の任意の製品を情報関連製品の組合せとし、考えられる情報関連製品の組合せの全てを取得する。
次に、情報関連製品導出処理部76は、ステップ1603の処理で取得した情報関連製品の組合せから、任意の1組を選択する(図16におけるステップ1604)。
次に、情報関連製品導出処理部76は、ステップ1604の処理で選択した組み合わせを構成する各々の情報関連製品の有するセキュリティ機能が、上述のステップ1601及びステップ1602の処理で取得したセキュリティ機能要件の全てを実現できるか否かを判定する(図16におけるステップ1605)。具体的には、例えば、情報関連製品導出処理部76は、情報関連製品群導出テーブル57を参照し、各情報関連製品の有するセキュリティ機能が、識別子が「FR1」〜「FR7」であるセキュリティ機能要件のいずれかと関連度を有している場合、当該情報関連製品は関連度を有するセキュリティ機能要件を実現できるものと判定する。情報関連製品導出処理部76は、この判定を、上述のステップ1604の処理で選択した組み合わせを構成する情報関連製品の各々に対して行い、当該情報関連製品の組み合わせ全体で、識別子が「FR1」〜「FR7」であるセキュリティ機能要件の全てを実現できるか否か判定する。
判定の結果、選択した情報関連製品の組合せが、セキュリティ機能要件の全てを実現していない場合、再度ステップ1604の処理を行い、別の情報関連製品の組み合わせを選択する。
判定の結果、選択した情報関連製品の組み合わせが、セキュリティ機能要件の全てを実現できる場合、情報関連製品導出処理部76は、ステップ1603の処理で取得した全ての情報関連製品の組合せに対しステップ1605の判定をした否か判定する(図16におけるステップ1606)。具体的には、例えば、情報関連製品導出処理部76は、ステップ1605の判定を行った数をカウントし、ステップ1603の処理で取得した全ての情報関連製品の組合せの数と、カウントした数とが一致する場合、全ての情報関連製品の組合せに対し判定したと判定する。
判定の結果、全ての情報関連製品の組合せに対しステップ1605の判定をしていない場合、再度ステップ1604の処理を行い、別の情報関連製品の組み合わせを選択する。
判定の結果、全ての情報関連製品の組合せに対しステップ1605の判定をした場合、情報関連製品導出処理部76は、上述のステップで取得した、設計対象の情報システムの脅威に対抗できるセキュリティ機能要件の全てを実現できる1組以上の情報関連製品の組合せから、任意の1組を選択する(図16におけるステップ1607)。
次に、情報関連製品導出処理部76は、選択した情報関連製品の組合せに対し、情報関連製品群導出テーブル57内の関連度と、満足度と、重要度等とから、情報関連製品の組み合わせ毎の機能過不足度を算出する(図16におけるステップ1608)。具体的には、例えば、情報関連製品導出処理部76は、まず、情報関連製品群導出テーブル57を参照し、選択された組み合わせを構成する情報関連製品のセキュリティ機能の各々の満足度(行576)と、当該セキュリティ機能とセキュリティ機能要件との関連度とを読出し、ファジイ合成演算を用いて、取得した満足度及び関連度からセキュリティ機能要件に対するセキュリティ機能の達成度を算出する。達成度を算出する式の例を具体的に説明すると、セキュリティ機能要件「s」の集合を「S」、情報関連製品の備えるセキュリティ機能「f」の集合を「F」、セキュリティ機能要件と情報関連製品の備えるセキュリティ機能との関連度「mR(s,f)」、情報関連製品の備えるセキュリティ機能の満足度「mF(f)」とすると、関連度をファジイ関係とする以下の写像関数式により、セキュリティ機能要件「s」に対するセキュリティ機能の達成度「mI’(s)」を算出することができる。
Figure 2006350399
次に、情報関連製品導出処理部76は、情報関連製品群導出テーブル57を参照してセキュリティ機能要件毎の重要度(列572)を取得し、セキュリティ機能要件毎に、当該セキュリティ機能要件の重要度と、上述の数1により算出したセキュリティ機能の達成度との差分の絶対値を算出する。次に、情報関連製品導出処理部76は、算出した差分の絶対値を合計し、当該合計値をセキュリティ機能要件の数で割った値を機能過不足度として取得する。機能過不足度を算出する式の例を具体的に説明すると、セキュリティ機能要件「s」の重要度を「mI(s)」、セキュリティ機能要件「s」の集合「S」に含まれるセキュリティ機能要件の個数を「t」とすると、情報関連製品の組合せの機能過不足度「x」の値は以下の式で算出される。
Figure 2006350399
図10に一例を示す情報関連製品群導出テーブル57を一例として説明すると、上述のように、設計対象の情報システムの脅威の全てに対抗できるセキュリティ機能要件は「FR1」〜「FR7」である。既存の情報関連製品は「製品A」、「製品B」、「製品C」であるので、これらの情報関連製品の組合せとして、「製品A」、「製品B」、「製品C」、「製品A及び製品B」、「製品A及び製品C」、「製品B及び製品C」、「製品A及び製品B並びに製品C」が考えられる。これらの組合せの各々のうち、セキュリティ機能要件「FR1」〜「FR7」全てを実現する情報関連製品の組み合わせは「製品A」、「製品A及び製品B」、「製品A及び製品C」、「製品B及び製品C」、「製品A及び製品B並びに製品C」である。情報関連製品の組み合わせ「製品A及び製品B」を例にして説明すると、セキュリティ機能要件「FR1」の重要度は「1」、当該機能要件の達成度は「0.75」であるので、これらの差分の絶対値は「0.25」である。同様に、「FR2」〜「FR7」に関し、重要度と達成度との差分の絶対値を取得すると、「0.25」、「0.25」、「0.25」、「0.25」、「0」、「0」となる。これらの差分の合計を、セキュリティ機能要件の数である「7」(FR1〜FR7)で割ると「0.18」となるので、この値が、情報関連製品の組み合わせ「製品A及び製品B」の機能過不足度となる。同様に、他の情報関連製品の組み合わせ「製品A」、「製品A及び製品C」、「製品B及び製品C」、「製品A及び製品B並びに製品C」に関し機能過不足度を算出すると、「0.25」、「0.39」、「0.39」、「0.32」となる。
次に、情報関連製品導出処理部76は、選択された情報関連製品の組合せのコストを算出する(図16におけるステップ1609)。具体的には、例えば、情報関連製品導出処理部76は、情報関連製品群導出テーブル57を参照し、当該組合せを構成する情報関連製品の各々のコストを取得し、当該コストを合計することにより、当該組合せのコストを産出する。
次に、情報関連製品導出処理部76は、選択された情報関連製品の組み合わせに、当該組み合わせの機能過不足度と、当該組み合わせのコストとを対応付けて、メモリ11等の特定の記憶エリアに格納する(図16におけるステップ1610)。
次に、情報関連製品導出処理部76は、上述のステップ(S1601〜S1606)で取得した設計対象の情報システムの脅威に対抗できるセキュリティ機能要件の全てを実現できる情報関連製品の組合せの全てに対し、機能過不足度及びコストを算出したか否か判定する(図16におけるステップ1611)。この判定の具体例は、上述のステップ1606と同様である。
判定の結果、全ての情報関連製品の組合せに対し機能過不足度及びコストの算出をしていない場合、情報関連製品導出処理部76は、再度ステップ1607の処理を行い、別の情報関連製品の組み合わせを選択する。
判定の結果、全ての情報関連製品の組合せに対し機能過不足度及びコストの算出した場合、情報関連製品導出処理部76は、予め設定され記憶装置12等に記憶された優先順位に基づいて、メモリ11等の特定の記憶エリアに格納した、各情報関連製品の組み合わせをソートする(図16におけるステップ1612)。
図16に一例を示す処理が終了すると、情報関連製品出力処理部77は、特定の記憶エリア等を参照し、結果をディスプレイ等の出力装置17に出力する。ディスプレイ等の出力装置17への表示例を図17に示す。図17の画面1701は、ソートする優先順位を機能過不足度、コストの順とし、機能過不足度及びコストの小さい順にソートして表示した例である。
これにより、機能過不足度やコストのみではなく、システム運用者や設計者の意見等も考慮して導入する情報関連製品を決定することができる。
<第2の実施形態>
次に、第2の実施形態を説明する。第2の実施形態と第1の実施形態との差異は、図13を参照して説明したセキュリティ機能要件の重要度を算出する機能要件重要度導出処理部75の動作である。他の動作は第1の実施形態と同じであるので、異なる動作のみ詳細に説明する。以下、第2の実施形態の機能要件重要度導出処理部75の動作を、図18を参照して説明する。
上述したように、設計対象の情報システムのSTは、セキュリティ機能要件の実現方式以外は作成されている。情報システムセキュリティ設計装置1の脅威・対策方針・機能要件対応取得処理部72は、上述の実施例と同様に、STのRationaleから、設計対象の情報システムの脅威と、当該脅威の各々に対する対策方針と、各対策方針を実現するセキュリティ機能要件とを取得し、取得した情報を脅威・対策方針対応テーブル53、対策方針・機能要件対応テーブル54に格納する(図18におけるステップ1801)。
脅威リスク値算出データ取得処理部73は、設計対象の情報システムの脅威毎に、当該脅威の被害の大きさと、当該脅威の発生可能性とを取得する。リスク値算出処理部74は、脅威毎の被害の大きさ及び発生可能性から、脅威毎のリスク値を算出する(図18におけるステップ1802)。
機能要件重要度導出処理部75は、脅威・対策方針対応テーブル53及び対策方針・機能要件対応テーブル54を参照し、設計対象の情報システムの脅威と、当該脅威の各々に対する対策方針と、当該対策方針毎のセキュリティ機能要件とを取得する(図18におけるステップ1803)。次に、機能要件重要度導出処理部75は、取得した脅威毎のリスク値を、当該脅威の各々に対する対策方針にそのまま割り振り、各々の対策方針に割り振った脅威のリスク値のうち最大値を、当該対策方針を実現するセキュリティ機能要件のリスク値とする(図18におけるステップ1804)。
ステップ1803及びステップ1804の動作を、図19を参照して詳細に説明する。上述と同様に、識別子が「T1」である脅威のリスク値は、図8に一例を示す脅威リスク値テーブル55から「2」であるので、当該脅威に対する対策方針にそのまま割り振ると、識別子が「O3」である対策方針に「2」となる。同様に、識別子が「T2」である脅威のリスク値は「6」であるので、当該脅威に対する対策方針にそのまま割り振ると、識別子が「O1」である対策方針に「6」となる。識別子が「T3」である脅威のリスク値は「4」であるので、当該脅威に対する対策方針にそのまま割り振ると識別子が「O1」〜「O3」である対策方針に「4」となる。各々の対策方針のリスク値は、割り振られた脅威のリスク値のうち最大値となるので、識別子「O1」の対策方針のリスク値は「6」となる。同様に、識別子「O2」の対策方針のリスク値は「4」となる。識別子「O3」の対策方針のリスク値は「4」となる。
識別子「O1」の対策方針と対応関係のあるセキュリティ機能要件の識別子は「FR1」及び「FR2」であるので、当該対策方針のリスク値「6」をそのまま割り振ると、識別子が「FR1」及び「FR2」のセキュリティ機能要件のリスク値は「6」となる。同様に、識別子「O2」の対策方針と対応関係のあるセキュリティ機能要件の識別子は「FR3」〜「FR5」であり、当該セキュリティ機能要件のリスク値は「4」となる。識別子「O3」の対策方針と対応関係のあるセキュリティ機能要件の識別子は「FR6」及び「FR7」であり、当該セキュリティ機能要件のリスク値は「4」となる。
上述のようにセキュリティ機能要件毎のリスク値を取得した後、機能要件重要度導出処理部75は、機能要件重要度変換テーブル56とセキュリティ機能要件毎のリスク値とにより、セキュリティ機能要件毎の重要度を取得する(図18におけるステップ1805)。図19の例で具体的に説明すると、識別子「FR1」〜「FR7」のセキュリティ機能要件のリスク値の最大値がFR1及びFR2の「6」であるので、当該最大値を図9に示す機能要件重要度変換テーブル56に適用すると、図20のテーブル2001となる。テーブル2001に従い、図19の識別子「FR1」〜「FR7」のセキュリティ機能要件のリスク値を判定すると、「FR1」及び「FR2」のセキュリティ機能要件のリスク値は「6」であるので、重要度は「1」となる。また、「FR3」〜「FR5」のセキュリティ機能要件のリスク値は「4」であるので、重要度は「0.75」となる。また、「FR6」及び「FR7」のセキュリティ機能要件のリスク値は「4」であるので、重要度は「0.75」となる。
<第3の実施形態>
次に、第3の実施形態を説明する。第3の実施形態と上述した第1の実施形態及び第2の実施形態との差異は、セキュリティ機能要件の重要度を算出する機能要件重要度導出処理部75の動作である。以下、上述した第1の実施形態及び第2の実施形態と異なる構成及び動作のみ詳細に説明する。
図21は、第3の実施形態の情報システムセキュリティ設計装置1の構成を示す図である。図21における情報システムセキュリティ設計装置1は、図1に示す情報システムセキュリティ設計装置1の各部に加え、記憶装置12に、対策種別・効果対応テーブル58をさらに有する。
対策種別・効果対応テーブル58とは、脅威に対する対策方針及びセキュリティ機能要件の種別と、当該種別毎の効果とを対応付けるためのテーブルである。本実施形態では、セキュリティ対策方針/セキュリティ機能要件の種別は、後述する2つのテーブルの一方が選択され、選択されたテーブル内のセキュリティ対策方針/セキュリティ機能要件の種別の何れかが重要度の算出に適用されるものとする。以下、この2つのテーブルを特に区別して説明する場合、対策種別・効果対応テーブル58a、対策種別・効果対応テーブル58bとして説明する。
対策種別・効果対応テーブル58の一例を図22及び図23に示す。図22及び図23において、対策種別・効果対応テーブル58a及び対策種別・効果対応テーブル58bは、列2201及び列2301がセキュリティ対策方針/セキュリティ機能要件の種別、列2202及び列2302が当該種別の効果の大きさを示す。図22及び図23の例では、数値が大きいほど効果が大きいことを示している。なお、対策種別・効果対応テーブル58は、予め記憶装置12に格納されているものとする。
次に、図24を参照し、セキュリティ機能要件の重要度を算出する動作を説明する。
上述したように、設計対象の情報システムのSTは、セキュリティ機能要件の実現方式以外は作成されている。情報システムセキュリティ設計装置1の脅威・対策方針・機能要件対応取得処理部72は、上述の実施例と同様に、STのRationaleから、設計対象の情報システムの脅威と、当該脅威の各々に対する対策方針と、各脅威と対策方針との対応関係の有無と、各対策方針とセキュリティ機能要件との対応関係の有無とを取得し、取得した情報を脅威・対策方針対応テーブル53、対策方針・機能要件対応テーブル54に格納する(図24におけるステップ2401)。
脅威リスク値算出データ取得処理部73は、脅威毎に、当該脅威の被害の大きさと、当該脅威の発生可能性とを取得する。リスク値算出処理部74は、脅威毎の被害の大きさ及び発生可能性から、脅威毎のリスク値を算出する(図24におけるステップ2402)。
機能要件重要度導出処理部75は、脅威のリスク値の割り振り方法を取得する(図24におけるステップ2403)。具体的には、例えば、機能要件重要度導出処理部75は、予め記憶装置12に格納したテーブル等により、図25に一例を示すような画面データを出力装置17に出力し、脅威から対策方針へのリスク値割り振り方法、及び、対策方針からセキュリティ機能要件へのリスク値割り振り方法の指示を受け付ける。
図25の例を参照して、脅威リスク値の割り振り方法の一例を詳細に説明する。機能要件重要度導出処理部75は、「(1)脅威から対策方針へのリスク割り振り方法」と「(2)対策方針からセキュリティ機能要件へのリスクの割り振り方法」とを選択させる。また、(1)、(2)各々の選択肢として、「方法1:対策方針毎/機能要件毎にリスク値を均等に割り振る」、「方法2:対策方針種別/機能要件種別に応じた割合でリスク値を割り振る(1)、(2)」、「方法3:対策方針内容/機能要件内容に応じて自由にリスク値を割り振る」という4つを設定する。
ここで、「(1)脅威から対策方針へのリスク割り振り方法」とは、設計対象の情報システムの脅威毎のリスク値を、当該脅威の各々に対する対策方針にどのように割り振るかを示す方法であり、例えば、図28の例において、識別子「T3」の脅威のリスク値「4」を、識別子「O1」〜「O3」である対策方針にどのように割り振るかを示すものである。また、「(2)対策方針からセキュリティ機能要件へのリスクの割り振り方法」とは、各々の対策方針のリスク値を、当該対策方針を実現するセキュリティ機能要件にどのように割り振るべきかを示す方法であり、例えば、図28の例において、識別子「O1」の対策方針のリスク値を、識別子が「FR1」及び「FR2」であるセキュリティ機能要件にどのように割り振るかを示すものである。
なお、ここでは、方法2は、「方法2−1:対策方針種別/機能要件種別に応じた割合でリスク値を割り振る(1)」と「方法2−2:対策方針種別/機能要件種別に応じた割合でリスク値を割り振る(2)」との2つが選択可能であり、「方法2−1」は、図22に一例を示す対策種別・効果対応テーブル58a内の種別のうち何れかを選択し、「方法2−2」は、図23に一例を示す対策種別・効果対応テーブル58b内の種別のうち何れかを選択することにより、種別を指定するものとする。
上述のように脅威のリスク値の割り振り方法を取得した後、機能要件重要度導出処理部75は、対策方針へのリスク値割り振り方法の指示がどの方法を指示するものであるか判定する(図24におけるステップ2404)。図25の例では、「(1)脅威から当該脅威に対する対策方針へのリスク割り振り方法」が、どの方法を指示するものであるか判定する。
ステップ2404の判定の結果、方法1の対策方針を指示している場合、機能要件重要度導出処理部75は、上述した第1の実施形態と同様に、各脅威のリスク値を、当該脅威に対する対策方針の各々に均等に割り振り、各対策方針に割り振られたリスク値の合計を、当該対策方針のリスク値とする(図24におけるステップ2405)。
ステップ2404の判定の結果、方法2の対策方針を指示している場合、機能要件重要度導出処理部75は、対策方針毎の対策方針種別を取得する(図24におけるステップ2406)。具体的には、例えば、機能要件重要度導出処理部75は、図26に一例を示すような画面2601を出力装置17に出力する。図26は、図25の例に示す画面2501において、「(1)脅威から対策方針へのリスク値割り振り方法」の「方法2−2」を選択した場合の例である。この場合、機能要件重要度導出処理部75は、図7に一例を示す対策方針・機能要件対応テーブル54を参照して脅威に対する対策方針(列541及び列542)を取得し、さらに、図23に一例を示す対策種別・効果対応テーブル58bから取得した対策方針の種別(列2301)をプルダウン等により出力する。利用者が、出力装置17に表示された対策方針の種別のうち1つを指定すると、機能要件重要度導出処理部75は、対策種別・効果対応テーブル58bを参照し、指定された対策方針種別に対応する効果の大きさ(列2302)を取得する。
次に、機能要件重要度導出処理部75は、脅威毎のリスク値を、当該脅威の各々に対する対策方針の種別に対応する効果の大きさに応じて割り振り、各対策方針に割り振られたリスク値の合計を、当該対策方針のリスク値とする(図24におけるステップ2407)。
この処理を図28を参照して具体的に説明する。図28は、図25に一例を示す画面2501において「(1)脅威から対策方針へのリスク値割り振り方法」の「方法2−2」を選択し、図26に一例を示す画面2601において、対策方針の識別子「O1」及び「O2」の対策方針の種別が「防止」、対策方針の識別子「O3」の対策方針の種別が「検知」と指定された場合の例である。この場合、機能要件重要度導出処理部75は、対策種別・効果対応テーブル58bを参照し、対策方針の種別「防止」の効果の大きさ「3」と、対策方針の種別「検知」の効果の大きさ「1」とを取得する。次に、機能要件重要度導出処理部75は、脅威・対策方針対応テーブル53を参照し、設計対象の情報システムの脅威と、当該脅威の各々と対応関係を有する対策方針とを取得する。識別子が「T3」である脅威の場合の例を説明すると、識別子が「T3」である脅威と対応関係を有する対策方針の識別子は「O1」〜「O3」である。機能要件重要度導出処理部75は、各々の対策方針の効果の大きさに応じて、脅威のリスク値「4」を割り振る。上述のように、識別子が「O1」及び「O2」である対策方針の効果の大きさは「3」、識別子が「O3」である対策方針の効果の大きさは「1」であるので、機能要件重要度導出処理部75は、各々の対策方針の効果の大きさに応じて、「T3」の脅威のリスク値「4」を割り振り、対抗できるリスク値として、対策方針「O1」及び「O2」が「1.7」、対策方針「O3」が「0.6」を取得する。上述と同様に、識別子が「T1」及び「T2」である脅威のリスク値を割り振ると、識別子が「T1」である脅威と対応関係を有する対策方針は「O3」のみであるので、「O3」には「T1」の脅威のリスク値「2」をそのまま割り振る。識別子が「T2」である脅威と対応関係を有する対策方針は「O1」のみであるので、「O1」には「T2」の脅威のリスク値「6」をそのまま割り振る。従って、識別子「O1」の対策方針のリスク値は、「T2」からの「6」と「T3」からの「1.7」との和になるので「7.7」となる。同様に、識別子「O2」の対策方針のリスク値は「1.7」となる。識別子「O3」の対策方針のリスク値は「2.6」となる。
ステップ2404の判定の結果、方法3の対策方針を指示している場合、機能要件重要度導出処理部75は、対策方針ごとの効果の大きさを取得する(図24におけるステップ2408)。具体的には、例えば、機能要件重要度導出処理部75は、図27に一例を示すような画面2701を出力する。図27は、図25に一例を示す画面2501において、「(1)脅威から対策方針へのリスク値割り振り方法」の「方法3」を選択した場合の例である。この場合、機能要件重要度導出処理部75は、図6に一例を示す脅威・対策方針対応テーブル53を参照し、設計対象の情報システムの脅威(列531及び列532)と、当該脅威の各々に対する対策方針(行533)とを取得して出力する。図27の例では、行の脅威と、列の対策方針とのマトリクス部分2702が、当該脅威に対する対策方針の効果の大きさを示す。従って、例えば、図27の例において、脅威「T3」に対する対策方針「O1」の効果の大きさは「5」である。利用者は、入力装置16等を用いて図27の例のマトリクス部分2702に効果の大きさを入力等して、対策方針毎の効果の大きさを指示する。機能要件重要度導出処理部75は、当該指示に従い、対策方針毎の効果の大きさを取得する。
次に、機能要件重要度導出処理部75は、脅威毎のリスク値を、上述した方法2と同様に、当該脅威の各々に対する対策方針毎の効果の大きさに応じて割り振り、当該対策方針の各々に割り振られたリスク値の合計を、当該対策方針のリスク値とする(図24におけるステップ2409)。
次に、機能要件重要度導出処理部75は、対策方針からセキュリティ機能要件へのリスク値割り振り方法がどの方法を指示するものであるか判定する(図24におけるステップ2410)。図25の例では、「(2)対策方針から機能要件へのリスク割り振り方法」が、どの方法を指示するものであるか判定する。
ステップ2410の判定の結果、方法1を選択している場合、機能要件重要度導出処理部75は、上述した第1の実施形態と同様に、対策方針毎のリスク値を、当該対策方針を実現できるセキュリティ機能要件毎に均等に割り振って、セキュリティ機能要件毎のリスク値を算出する(図24におけるステップ2411)。
ステップ2410の判定の結果、方法2を選択している場合、機能要件重要度導出処理部75は、セキュリティ機能要件毎の対策種別を取得する(図24におけるステップ2412)。具体的には、例えば、上述のステップ2406と同様に、図26に一例を示すような対策種別の指示を受け付けるための画面を出力装置17に出力し、利用者の指示に応じて、セキュリティ機能要件毎の対策種別を取得する。次に、機能要件重要度導出処理部75は、対策方針毎のリスク値を、当該対策方針を実現できるセキュリティ機能要件の対策種別に応じて割り振り、セキュリティ機能要件毎のリスク値を算出する(図24におけるステップ2413)。この処理は、上述したステップ2407と同様である。
ステップ2410の判定の結果、方法3を選択している場合、機能要件重要度導出処理部75は、セキュリティ機能要件毎の効果の大きさを取得する(図24におけるステップ2414)。具体的には、例えば、上述のステップ2408と同様に、図27に一例を示すようなセキュリティ機能要件毎の効果の大きさの指示を受け付けるための画面を出力装置17に出力し、利用者の指示に応じて、セキュリティ機能要件毎の効果の大きさを取得する。次に、機能要件重要度導出処理部75は、対策方針毎のリスク値を、当該対策方針を実現できるセキュリティ機能要件毎の効果の大きさに応じて割り振り、各セキュリティ機能要件のリスク値を算出する(図24におけるステップ2415)。この処理は、上述したステップ2409と同様である。
次に、機能要件重要度導出処理部75は、取得したセキュリティ機能要件のリスク値と、機能要件重要度変換テーブル56とから、セキュリティ機能要件の重要度を算出する(図24におけるステップ2416)。図28の例で具体的に説明すると、識別子「FR1」〜「FR7」のセキュリティ機能要件1403が対抗できるリスク値の最大値がFR1及びFR2の「6」であるので、当該最大値を図9に示す機能要件重要度変換テーブル56に適用すると、図29のテーブル2901となる。テーブル2901に従い、図28の識別子「FR1」〜「FR7」のセキュリティ機能要件のリスク値を判定すると、「FR1」及び「FR2」のセキュリティ機能要件のリスク値は「6」であるので、重要度は「1」となる。また、「FR3」〜「FR5」のセキュリティ機能要件のリスク値は「4」であるので、重要度は「0.75」となる。また、「FR6」及び「FR7」のセキュリティ機能要件のリスク値は「4」であるので、重要度は「0.75」となる。
以上、この発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。
例えば、図1、図21に示す各処理部又はテーブルの一部を他装置が備えてもよい。この場合、複数人で同時に上述の動作を行うことが可能となる。
また、上述の実施形態では、入力された脅威の被害の大きさ及び脅威の発生可能性から当該脅威のリスク値を算出するものとしたが、これに限られるわけではなく、予め、設計対象の情報システムの脅威と当該脅威のリスク値とを記憶しておいても良い。
また、上述の第1の実施形態、第2の実施形態、第3の実施形態は、いずれか1つを行うものでもよく、利用者が選択できるようにしてもよい。
また、上述の第3の実施形態において、脅威から対策方針へのリスク値割り振り方法、及び、対策方針からセキュリティ機能要件へのリスク値割り振り方法は、両方が選択できるものとしたが、いずれか一方を選択できるようにしてもよい。また、同実施形態において、第2の実施形態に記載の脅威から対策方針へのリスク値割り振り方法、及び、対策方針からセキュリティ機能要件へのリスク値割り振り方法少なくとも一方を選択できるようにしてもよい。
本発明の一実施形態において、情報システムセキュリティ設計支援装置の構成を示す図である。 同実施形態において、機能固有名称・共通名称対応テーブルの一例を示す図である。 同実施形態において、機能共通名称テーブルの一例を示す図である。 同実施形態において、関連度テーブルの一例を示す図である。 同実施形態において、セキュリティ機能要件の識別子の内容を説明する図である。 同実施形態において、脅威・対策方針対応テーブルの一例を示す図である。 同実施形態において、対策方針・機能要件対応テーブルの一例を示す図である。 同実施形態において、脅威リスク値テーブルの一例を示す図である。 同実施形態において、機能要件重要度変換テーブルの一例を示す図である。 同実施形態において、情報関連製品の組み合わせ導出テーブルの一例を示す図である。 同実施形態において、情報関連製品の備えるセキュリティ機能の共通名称を取得する動作例を説明する図である。 同実施形態において、情報関連製品の備えるセキュリティ機能の共通名称を取得する動作例を説明する図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、最適な情報関連製品の組み合わせを取得する動作例を説明する図である。 同実施形態において、最適な情報関連製品の組み合わせの候補を出力する例である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、情報システムセキュリティ設計装置の構成を示す図である。 同実施形態において、対策種別・効果対応テーブルの一例を示す図である。 同実施形態において、対策種別・効果対応テーブルの一例を示す図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。 同実施形態において、セキュリティ機能要件の重要度を取得する動作例を説明する図である。
符号の説明
1:情報システムセキュリティ設計装置、11:メモリ、12:記憶装置、13:バス、14:CPU、15:端末入出力インタフェース、16:入力装置、17:出力装置、18:通信インタフェース、50:機能固有名称・共通名称対応テーブル、51:機能共通名称テーブル、52:関連度テーブル、53:脅威・対策方針対応テーブル、54:対策方針・セキュリティ機能要件対応テーブル、55:脅威リスク値テーブル、56:機能要件重要度変換テーブル、57:情報関連製品の組み合わせ導出テーブル、58:対策種別・効果対応テーブル、59:テーブル、70:セキュリティ機能固有名称・共通名称対応取得処理部、71:関連度導出処理部、72:脅威・対策方針・セキュリティ機能要件対応取得処理部、73:脅威リスク値算出データ取得処理部、74:リスク値算出処理部、75:機能要件重要度導出処理部、76:情報関連製品導出処理部、77:情報関連製品出力処理部、80:データ設計支援プログラム、81:システムセキュリティ設計プログラム、501:列、502:列、503:列、511:列、512:列、521:列、522:列、523:行、524:行、591:列、592:列、593:列、531:列、532:列、533:行、541:列、542:列、543:行、551:列、552:列、553:列、561:列、562:列、571:列、572:列、573:行、574:行、575:行、576:行、1201:画面、1401:脅威、1402:対策方針、1403:セキュリティ機能要件、1501:テーブル、1701:画面、2001:テーブル、2201:列、2202:列、2301:列、2302:列、2501:画面、2601:画面、2701:画面、2901:テーブル

Claims (10)

  1. 情報システムに想定される脅威に対抗できるセキュリティ機能要件の重要度を取得する重要度取得装置であって、
    前記脅威毎に、当該脅威に対する対策方針と、当該対策方針を実現するセキュリティ機能要件とを記憶する脅威・対策方針・機能要件記憶手段と、
    前記脅威毎のリスク値を記憶する脅威リスク値記憶手段と、
    前記脅威・対策方針・機能要件記憶手段から前記脅威の各々に対する対策方針及び当該対策方針を実現するセキュリティ機能要件を読出し、前記脅威リスク値記憶手段から読み出した脅威毎のリスク値を、当該脅威の各々に対する対策方針に特定の規則に従って割り振り、当該対策方針の各々に割り振られた脅威のリスク値を、当該対策方針の各々を実現するセキュリティ機能要件に特定の規則に従って割り振ることにより、セキュリティ機能要件毎のリスク値を算出するセキュリティ機能要件リスク値取得手段と、
    前記取得したセキュリティ機能要件毎のリスク値の各々を、1つ以上の特定の閾値と比較し、当該セキュリティ機能要件毎のリスク値の各々が前記特定の閾値の各々より大きいか否かにより、各セキュリティ機能要件の重要度を取得する重要度取得手段と、
    前記取得した重要度を出力する出力手段と、
    を備えることを特徴とする重要度取得装置。
  2. 請求項1記載の重要度取得装置であって、
    前記セキュリティ機能要件リスク値取得手段は、前記脅威毎のリスク値を、当該脅威に対する対策方針の各々に均等に割り振り、各対策方針に割り振られたリスク値の合計を、各対策方針を実現するセキュリティ機能要件に均等に割り振ることにより、各セキュリティ機能要件のリスク値を取得することを特徴とする重要度取得装置。
  3. 請求項1記載の重要度取得装置であって、
    前記セキュリティ機能要件リスク値取得手段は、前記脅威毎のリスク値を、当該脅威に対する各対策方針の各々にそのまま割り振り、各対策方針に割り振られたリスク値の最大値を、各対策方針を実現するセキュリティ機能要件にそのままに割り振ることにより、各セキュリティ機能要件のリスク値を算出することを特徴とする重要度取得装置。
  4. 請求項1記載の重要度取得装置であって、
    前記セキュリティ機能要件リスク値取得手段は、前記脅威毎のリスク値を、当該脅威に対する各対策方針の各々の種別に応じて割り振り、各対策方針に割り振られたリスク値の合計を、各対策方針を実現するセキュリティ機能要件の種別に応じて割り振ることにより、各セキュリティ機能要件のリスク値を算出することを特徴とする重要度取得装置。
  5. 請求項1記載の重要度取得装置であって、
    前記セキュリティ機能要件リスク値取得手段は、前記脅威毎のリスク値を、当該脅威に対する対策方針の各々に指定された効果の大きさに応じて割り振り、各対策方針に割り振られたリスク値の合計を、各対策方針を実現するセキュリティ機能要件毎に指定された効果の大きさに応じて割り振ることにより、各セキュリティ機能要件のリスク値を算出することを特徴とする重要度取得装置。
  6. 請求項1記載の重要度取得装置であって、
    入力された指示に応じて、脅威から対策方針へのリスク値の割り振り、及び、対策方針からセキュリティ機能要件へのリスク値割り振りの少なくとも一方を、請求項2乃至5いずれかに記載の前記セキュリティ機能要件リスク値取得手段により取得することを特徴とする重要度取得装置。
  7. 情報システムに想定される脅威の対策として、セキュリティ機能を有する複数の情報関連製品候補から1又は複数を選択するセキュリティ設計支援システムであって、
    前記脅威毎に、当該脅威に対する対策方針と、当該対策方針を実現するセキュリティ機能要件とを記憶する脅威・対策方針・機能要件記憶手段と、
    前記脅威毎のリスク値を記憶する脅威リスク値記憶手段と、
    前記脅威・対策方針・機能要件記憶手段から前記脅威の各々に対する対策方針及び当該対策方針を実現するセキュリティ機能要件を読出し、前記脅威リスク値記憶手段から読み出した脅威毎のリスク値を、当該脅威の各々に対する対策方針に特定の規則に従って割り振り、当該対策方針の各々に割り振られた脅威のリスク値を、当該対策方針の各々を実現するセキュリティ機能要件に特定の規則に従って割り振ることにより、セキュリティ機能要件毎のリスク値を算出するセキュリティ機能要件リスク値取得手段と、
    前記取得したセキュリティ機能要件毎のリスク値の各々を、1つ以上の特定の閾値と比較し、当該セキュリティ機能要件毎のリスク値の各々が前記特定の閾値の各々より大きいか否かにより、各セキュリティ機能要件の重要度を取得する重要度取得手段と、
    セキュリティ機能要件と、セキュリティ機能との関連度とを記憶する関連度記憶手段と、
    前記関連度記憶手段内のセキュリティ機能を表示する共通セキュリティ機能表示手段と、
    前記情報関連製品候補の各々の有するセキュリティ機能が、前記表示したセキュリティ機能のうちいずれかに該当するかを示す情報が入力されると、当該セキュリティ機能とセキュリティ機能要件との関連度を取得する関連度取得手段と、
    前記情報関連製品候補の各々の有するセキュリティ機能の満足度を記憶する情報関連製品満足度記憶手段と、
    前記脅威の各々へ対抗できるセキュリティ機能要件を全て実現できる情報関連製品候補の組合せを1組以上取得する情報関連製品組合せ取得手段と、
    前記組み合わせの各々に対し、前記脅威の各々に対抗できるセキュリティ機能要件と、当該組み合わせを構成する情報関連製品候補の各々の有するセキュリティ機能と、当該セキュリティ機能と当該セキュリティ機能要件との関連度と、当該セキュリティ機能の満足度と、当該セキュリティ機能要件の重要度と、当該セキュリティ機能要件の数とから、特定の計算式に従い、当該組み合わせの各々の機能過不足度を算出する過不足度算出手段と、
    前記取得した機能過不足度と、当該機能過不足度を算出した情報関連製品候補の組み合わせとを出力する出力手段と、
    を備えることを特徴とするセキュリティ設計支援システム。
  8. 請求項7記載のセキュリティ設計支援システムであって、
    前記情報関連製品候補毎の価格を記憶する情報関連製品候補価格記憶手段と、
    前記情報関連製品候補の組み合わせの価格を算出する価格算出手段とをさらに備え、
    前記出力手段は、前記取得した機能過不足度と、当該機能過不足度を算出した情報関連製品候補の組み合わせと、当該情報関連製品候補の組み合わせの価格とを出力することを特徴とするセキュリティ設計支援システム。
  9. 情報関連製品の有するセキュリティ機能と、セキュリティ機能要件との関連度を取得する関連度取得装置であって、
    セキュリティ機能要件と、セキュリティ機能との関連度とを記憶する関連度記憶手段と、
    前記関連度記憶手段内のセキュリティ機能を表示する共通セキュリティ機能表示手段と、
    前記情報関連製品の各々の有するセキュリティ機能が、前記表示したセキュリティ機能のうちいずれかに該当するかを示す情報が入力されると、当該セキュリティ機能とセキュリティ機能要件との関連度を取得する関連度取得手段と、
    前記取得した関連度を出力する関連度出力手段と、
    を備えることを特徴とする関連度取得装置。
  10. 情報システムに想定される脅威に対抗できるセキュリティ機能要件の重要度を取得するプログラムであって、
    記憶手段を有するコンピュータが、
    前記記憶手段に、前記脅威毎に、当該脅威に対する対策方針と、当該対策方針を実現するセキュリティ機能要件とを記憶する脅威・対策方針・機能要件記憶ステップと、
    前記記憶手段に、前記脅威毎のリスク値を記憶する脅威リスク値記憶ステップと、
    前記記憶手段から前記脅威の各々に対する対策方針及び当該対策方針を実現するセキュリティ機能要件を読出し、前記記憶手段から読み出した脅威毎のリスク値を、当該脅威の各々に対する対策方針に特定の規則に従って割り振り、当該対策方針の各々に割り振られた脅威のリスク値を、当該対策方針の各々を実現するセキュリティ機能要件に特定の規則に従って割り振ることにより、セキュリティ機能要件毎のリスク値を算出するセキュリティ機能要件リスク値取得ステップと、
    前記前記取得したセキュリティ機能要件毎のリスク値の各々を、1つ以上の特定の閾値と比較し、当該セキュリティ機能要件毎のリスク値の各々が前記特定の閾値の各々より大きいか否かにより、各セキュリティ機能要件の重要度を取得する重要度取得ステップと、
    前記取得した重要度を出力する出力ステップと、
    をコンピュータに実行させることを特徴とするプログラム。
JP2005171801A 2005-06-13 2005-06-13 重要度取得装置、セキュリティ設計支援システム、関連度取得装置及びプログラム Withdrawn JP2006350399A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005171801A JP2006350399A (ja) 2005-06-13 2005-06-13 重要度取得装置、セキュリティ設計支援システム、関連度取得装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005171801A JP2006350399A (ja) 2005-06-13 2005-06-13 重要度取得装置、セキュリティ設計支援システム、関連度取得装置及びプログラム

Publications (1)

Publication Number Publication Date
JP2006350399A true JP2006350399A (ja) 2006-12-28

Family

ID=37646210

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005171801A Withdrawn JP2006350399A (ja) 2005-06-13 2005-06-13 重要度取得装置、セキュリティ設計支援システム、関連度取得装置及びプログラム

Country Status (1)

Country Link
JP (1) JP2006350399A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008287435A (ja) * 2007-05-16 2008-11-27 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム
JP2011198190A (ja) * 2010-03-23 2011-10-06 Toshiba Corp 脆弱性検査ツール選定支援装置およびプログラム
JP2011197799A (ja) * 2010-03-17 2011-10-06 Mitsubishi Electric Corp セキュリティ製品情報提供装置、セキュリティ製品情報提供装置のセキュリティ製品情報提供方法およびセキュリティ製品情報提供プログラム
JP2012022544A (ja) * 2010-07-15 2012-02-02 Mitsubishi Electric Corp セキュリティ製品組合せ候補特定装置、セキュリティ製品組合せ候補特定装置のセキュリティ製品組合せ候補特定方法およびセキュリティ製品組合せ候補特定プログラム
JP2013191042A (ja) * 2012-03-14 2013-09-26 Ntt Docomo Inc 情報処理装置、情報処理システムおよび情報処理方法
WO2014061326A1 (ja) * 2012-10-15 2014-04-24 日本電気株式会社 セキュリティ機能設計支援装置、セキュリティ機能設計支援方法、およびプログラム
WO2014061325A1 (ja) * 2012-10-15 2014-04-24 日本電気株式会社 セキュリティ機能設計支援装置、セキュリティ機能設計支援方法、およびプログラム
WO2015177832A1 (ja) * 2014-05-19 2015-11-26 株式会社 日立製作所 セキュリティ対策決定支援装置およびセキュリティ対策決定支援方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008287435A (ja) * 2007-05-16 2008-11-27 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム
JP2011197799A (ja) * 2010-03-17 2011-10-06 Mitsubishi Electric Corp セキュリティ製品情報提供装置、セキュリティ製品情報提供装置のセキュリティ製品情報提供方法およびセキュリティ製品情報提供プログラム
JP2011198190A (ja) * 2010-03-23 2011-10-06 Toshiba Corp 脆弱性検査ツール選定支援装置およびプログラム
JP2012022544A (ja) * 2010-07-15 2012-02-02 Mitsubishi Electric Corp セキュリティ製品組合せ候補特定装置、セキュリティ製品組合せ候補特定装置のセキュリティ製品組合せ候補特定方法およびセキュリティ製品組合せ候補特定プログラム
JP2013191042A (ja) * 2012-03-14 2013-09-26 Ntt Docomo Inc 情報処理装置、情報処理システムおよび情報処理方法
WO2014061326A1 (ja) * 2012-10-15 2014-04-24 日本電気株式会社 セキュリティ機能設計支援装置、セキュリティ機能設計支援方法、およびプログラム
WO2014061325A1 (ja) * 2012-10-15 2014-04-24 日本電気株式会社 セキュリティ機能設計支援装置、セキュリティ機能設計支援方法、およびプログラム
JPWO2014061326A1 (ja) * 2012-10-15 2016-09-05 日本電気株式会社 セキュリティ機能設計支援装置、セキュリティ機能設計支援方法、およびプログラム
JPWO2014061325A1 (ja) * 2012-10-15 2016-09-05 日本電気株式会社 セキュリティ機能設計支援装置、セキュリティ機能設計支援方法、およびプログラム
US9602542B2 (en) 2012-10-15 2017-03-21 Nec Corporation Security-function-design support device, security-function-design support method, and program storage medium
US9767269B2 (en) 2012-10-15 2017-09-19 Nec Corporation Security-function-design support device, security-function-design support method, and program
WO2015177832A1 (ja) * 2014-05-19 2015-11-26 株式会社 日立製作所 セキュリティ対策決定支援装置およびセキュリティ対策決定支援方法

Similar Documents

Publication Publication Date Title
US11757938B2 (en) Method, apparatus, and computer-readable medium for data protection simulation and optimization in a computer network
Latimer et al. Adjusting for treatment switching in randomised controlled trials–a simulation study and a simplified two-stage method
US8959115B2 (en) Permission tracking systems and methods
JP2006350399A (ja) 重要度取得装置、セキュリティ設計支援システム、関連度取得装置及びプログラム
JP6597066B2 (ja) 個人情報匿名化方法、プログラム、及び情報処理装置
US20150163252A1 (en) Healthcare Privacy Breach Prevention Through Integrated Audit and Access Control
US20100161634A1 (en) Best-value determination rules for an entity resolution system
US20090259622A1 (en) Classification of Data Based on Previously Classified Data
US20150154713A1 (en) Claim work assignment using weighted workloads
US20050229001A1 (en) Security and analysis system
Sivaraman et al. Intelligent decision making service framework based on analytic hierarchy process in cloud environment
Wainer et al. How productivity and impact differ across computer science subareas
JP2005216003A (ja) リスク管理支援方法及びリスク管理支援プログラム
Limb et al. When plans are used to no effect: Considering implementation performance of greater Brisbane’s compact activity centre policies
Schefer-Wenzl et al. A review of delegation and break-glass models for flexible access control management
Lehtinen et al. What are problem causes of software projects? Data of root cause analysis at four software companies
JP6280270B1 (ja) 内部取引判定装置、内部取引判定方法および内部取引判定プログラム
KR20200073824A (ko) 악성코드 프로파일링 방법 및 그 장치
WO2023031938A1 (en) System and method for managing data access requests
Degen GDA-NT 2021–a computer program for population genetic data analysis and assignment
Hayat et al. A goal based framework by adopting square process for privacy and security requirement engineering
JP6472904B2 (ja) データ参照権限管理装置、データ参照権限管理方法およびデータ参照権限管理プログラム
JP2018190383A (ja) 内部取引判定装置、内部取引判定方法および内部取引判定プログラム
JP6280269B1 (ja) データ参照権限管理装置、データ参照権限管理方法およびデータ参照権限管理プログラム
JP6065657B2 (ja) 電子データ承認方法、及び電子データ承認サーバ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071217

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20081117