JP2008287496A - セキュリティ設計・評価支援システム、装置及びプログラム - Google Patents
セキュリティ設計・評価支援システム、装置及びプログラム Download PDFInfo
- Publication number
- JP2008287496A JP2008287496A JP2007131799A JP2007131799A JP2008287496A JP 2008287496 A JP2008287496 A JP 2008287496A JP 2007131799 A JP2007131799 A JP 2007131799A JP 2007131799 A JP2007131799 A JP 2007131799A JP 2008287496 A JP2008287496 A JP 2008287496A
- Authority
- JP
- Japan
- Prior art keywords
- information
- security
- evaluator
- terminal
- designer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Document Processing Apparatus (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】 設計者にとってはSTの論理的な一貫性を容易に保持でき、評価者にとってはSTの理解及び解析に要する時間を短縮する。
【解決手段】 ISO/IEC15408に準拠したセキュリティターゲット情報F4を設計する前に、当該セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報を含むセキュリティシナリオ情報F1を作成し、このセキュリティシナリオ情報に対する評価を予めST設計前に受ける構成により、設計者にとってはSTの論理的な一貫性を容易に保持でき、評価者にとってはSTの理解及び解析に要する時間を短縮することができる。
【選択図】 図2
【解決手段】 ISO/IEC15408に準拠したセキュリティターゲット情報F4を設計する前に、当該セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報を含むセキュリティシナリオ情報F1を作成し、このセキュリティシナリオ情報に対する評価を予めST設計前に受ける構成により、設計者にとってはSTの論理的な一貫性を容易に保持でき、評価者にとってはSTの理解及び解析に要する時間を短縮することができる。
【選択図】 図2
Description
本発明は、IT製品のセキュリティ機能を保証する国際規格であるセキュリティ国際標準(ISO/IEC15408)の評価認証におけるセキュリティターゲット(ST)の設計と評価を支援するためのセキュリティ設計・評価支援システム、装置及びプログラムに関する。
IT製品のセキュリティ機能を保証する国際規格としてセキュリティ国際標準(ISO/IEC15408)がある。このセキュリティ国際標準(ISO/IEC15408)においては、IT製品のセキュリティ基本仕様となるセキュリティターゲット(以下、STともいう)を始めとして、機能設計、詳細設計などのセキュリティ設計と評価が課せられている。
ここで、設計者は、脅威や対策方針を予見して適切なセキュリティ機能要件を設定し、これらの脅威、対策方針及びセキュリティ機能要件を文書化し、また、対策方針やセキュリティ機能要件の根拠を文書化してSTを作成し、得られたSTを評価者に送る。
評価者は、STを受けると、STを読んで対象製品のセキュリティ機能を理解し、例えば、設計者が予見した脅威や対策方針に対して、セキュリティ機能要件が適切か、セキュリティ機能要件の記述内容が正しいか、根拠を含めて文書に一貫性があるか、ということを解析して評価する。
このとき、評価者は、設計者との間でSTの理解・解釈が大きく異ならないように、設計者に何回か質問やコメントを送り、それに対する回答を参照しながら解析を行う。
このようなセキュリティ設計と評価は、膨大な作業工数がかかるため、効率化を図る必要がある。ここで、セキュリティ設計の効率化を図る技術として、過去のST作成事例を再利用又は参照する方式が開示されている(例えば、特許文献1参照。)。
特開2001−222240号公報
しかしながら、特許文献1記載の技術は、過去のST作成事例を再利用又は参照する方式であるので、STを作成する設計者には効率化が図られるが、作成されたSTを理解及び解析する評価者にとっては効率化が図られていない。
このため、評価者においては、依然として、ST文書の理解・解析に多大な時間を要することに変わりはない。また、設計者にとっても、評価者の指摘事項を受け、修正するSTの論理的な一貫性を保つことは難しい。
本発明は上記実情を考慮してなされたもので、設計者にとってはSTの論理的な一貫性を容易に保持でき、評価者にとってはSTの理解及び解析に要する時間を短縮し得るセキュリティ設計・評価支援システム、装置及びプログラムを提供することを目的とする。
第1の発明は、ISO/IEC15408に準拠したセキュリティターゲット情報の設計を支援するための設計者用端末と、前記セキュリティターゲット情報の評価を支援するための評価者用端末と、前記各端末からアクセス可能なデータベース部を有するサーバ装置とを備えたセキュリティ設計・評価支援システムであって、前記設計者用端末としては、設計者の操作により、前記セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報と、当該セキュリティターゲット情報に含まれる前記3つの情報以外の文書情報とからなるセキュリティシナリオ情報を作成するセキュリティシナリオ作成手段と、前記設計者の操作により、前記セキュリティシナリオ情報を前記サーバ装置のデータベース部に書込む手段と、前記データベース部内の最新のセキュリティシナリオ情報に対する確認依頼を前記評価者用端末に送信する手段と、前記評価者用端末から受けたセキュリティシナリオ確認終了通知を表示する確認終了通知表示手段と、前記設計者の操作によって前記データベース部内の最新のセキュリティシナリオ情報が入力されると、このセキュリティシナリオ情報に含まれる前記図面情報及び文書情報を並べ替えてセキュリティターゲット情報を生成するセキュリティターゲット生成手段と、前記設計者の操作により、前記生成したセキュリティターゲット情報を前記サーバ装置のデータベース部に書込む手段と、前記データベース部内の最新のセキュリティターゲット情報に対する評価依頼を前記評価者用端末に送信する手段と、前記評価者用端末から受けたセキュリティターゲット評価終了通知を表示する評価終了通知表示手段と、前記設計者の操作により、評価済みのセキュリティターゲット情報を前記サーバ装置のデータベース部に書き込む手段とを備えており、前記評価者用端末としては、前記設計者用端末から受けた確認依頼を表示する確認依頼表示手段と、評価者の操作により、前記データベース部内の最新のセキュリティシナリオ情報を表示するセキュリティシナリオ表示手段と、前記評価者の操作により、セキュリティシナリオ確認終了通知を前記設計者用端末に送信する手段と、前記設計者用端末から受けた評価依頼を表示する評価依頼表示手段と、前記評価者の操作により、前記データベース部内の最新のセキュリティターゲット情報を表示するセキュリティターゲット表示手段と、前記評価者の操作により、セキュリティターゲット評価終了通知を前記設計者用端末に送信する手段と、を備えたセキュリティ設計・評価支援システムである。
なお、第1の発明は、各装置の集合体を「システム」として表現したが、これに限らず、各装置の集合体又は各装置を「装置」、「プログラム」、「プログラムを記憶したコンピュータ読み取り可能な記憶媒体」又は「方法」として表現することができる。
(作用)
第1の発明では、ISO/IEC15408に準拠したセキュリティターゲット情報を設計する前に、当該セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報を含むセキュリティシナリオ情報を作成し、このセキュリティシナリオ情報に対する評価を予めST設計前に受ける構成により、設計者にとってはSTの論理的な一貫性を容易に保持でき、評価者にとってはSTの理解及び解析に要する時間を短縮することができる。
第1の発明では、ISO/IEC15408に準拠したセキュリティターゲット情報を設計する前に、当該セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報を含むセキュリティシナリオ情報を作成し、このセキュリティシナリオ情報に対する評価を予めST設計前に受ける構成により、設計者にとってはSTの論理的な一貫性を容易に保持でき、評価者にとってはSTの理解及び解析に要する時間を短縮することができる。
以上説明したように本発明によれば、設計者にとってはSTの論理的な一貫性を容易に保持でき、評価者にとってはSTの理解及び解析に要する時間を短縮できる。
以下、本発明の各実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
(第1の実施形態)
図1及び図2は本発明の第1の実施形態に係るセキュリティ設計・評価支援システムの構成を示す模式図であり、図3乃至図6は同システムに適用される各種の情報の関係を示す模式図である。
図1及び図2は本発明の第1の実施形態に係るセキュリティ設計・評価支援システムの構成を示す模式図であり、図3乃至図6は同システムに適用される各種の情報の関係を示す模式図である。
このセキュリティ設計・評価支援システムは、設計者側組織における設計者側ネットワーク1が組織外ネットワーク2を介して評価者側組織における評価者側ネットワーク3に接続されている。設計者側ネットワーク1には、DB(database)サーバ装置10、設計者用端末20、システム管理者用端末40及びプリンタ装置50が接続されている。評価者側ネットワーク3には、評価者用端末60及びプリンタ装置80が接続されている。
ここで、DBサーバ装置10は、CC/CEM記憶部11、データベース部12、通信部13、識別認証部14、アクセス制御部15及び履歴管理部16を備えている。
CC/CEM記憶部11は、アクセス制御部15に読出/書込制御され、ISO/IEC15408のコモンクライテリアCC及び共通評価方法CEMの文書情報が記憶されている。
データベース部12は、アクセス制御部15に読出/書込制御され且つ履歴管理部16により履歴管理され、各端末20,40からアクセスされる記憶装置であり、セキュリティシナリオ情報F1,F1a〜F1e、コメント文書情報F2、返信付コメント情報F3、セキュリティターゲット(ST)情報F4、指摘事項付ST情報F5、所見報告書情報F6、セキュリティシナリオ確認通知M1及びST評価終了通知M2が時系列に沿って記憶される。
ここで、各情報F1〜F6,M1,M2は、図3及び図4に示すような関係がある。
セキュリティシナリオ情報F1は、ファイル名、バージョン情報及び文書データからなる電子ファイルであり、設計者の操作により、シナリオ作成部23からファイル名、バージョン情報及び文書データが入力されて作成される。
セキュリティシナリオ情報F1は、ファイル名、バージョン情報及び文書データからなる電子ファイルであり、設計者の操作により、シナリオ作成部23からファイル名、バージョン情報及び文書データが入力されて作成される。
概略的には、セキュリティシナリオ情報F1は、ST評価に必要なセキュリティ課題、対策方針、TOEセキュリティ機能の対応関係を示した図面情報とTOE(評価対象)の利用環境、保護資産、TOE記述、TOE物理構成およびTOE論理構成、TOE自体の保護に関する要約仕様を記述したデータ、評価保証レベル(EAL)、適合するPP(Protection Profile)やCC(情報技術セキュリティ評価のためのコモンクライテリア)などの文書データを含む電子ファイルである。
詳しくは、セキュリティシナリオ情報F1は、図5の左側及び図6に示すように、課題・対策方針・機能の対応図i1ss、課題i1.1ss、対策方針i1.2ss、機能i1.3ss、評価対象(TOE)の利用環境i2ss、保護資産i3ss、評価対象(TOE)の記述i4ss、TOE概要i4.1ss、TOE関係者i4.2ss、ST名称・STバージョン・ST作成者i4.3ss、評価対象(TOE)の論理構成i5ss、評価対象(TOE)の物理構成i6ss、セキュリティ機能要件(SER)i7ss、評価保証レベル(EAL)i8ss、プロテクションプロファイル(PP)の情報i9ss、PP主張i9.1ss、PP根拠i9.2ss、共通基準(CC)の情報i10ssの各項目に沿って記述された文書データを含む電子ファイルである。
ここで、セキュリティ機能要件(SFR)i7ssは、対策方針i1.2ssとTOEセキュリティ機能i1.3ssとの間に位置づけされる情報であり、対応図i1ssに基づいて、設計者の操作により、コモンクライテリアCCパート2から選択されて記述される。補足すると、セキュリティ機能要件(SFR)i7ssは、セキュリティターゲットSTにおけるTOEセキュリティ機能要件i5.1stに相当する情報であり、具体的には、CCパート2に規定された機能要件コンポーネント毎に、コンポーネント識別子、各コンポーネントのエレメントの[操作]に関する記述、対応する対策方針、対応するセキュリティ機能が記述される。このようなセキュリティ機能要件(SFR)i7ssは、CCパート2とリンク付けされ、後述するST生成部26によるセキュリティターゲットSTの自動生成に用いられる。特に、セキュリティターゲットSTにおけるTOEセキュリティ機能要件i5.1st及び各根拠i8.1st〜i8.3st(根拠の必要性の表と十分性の記述、依存性の表など)の自動生成に用いられる。
コメント付セキュリティシナリオ情報F1aは、ファイル名、バージョン情報、文書データ及びコメント情報からなる電子ファイルであり、評価者の操作により、セキュリティシナリオ情報F1に対し、コメント追記部63からコメント情報が追記されて作成される。
コメント文書情報F2は、ファイル名、バージョン情報及びコメント情報からなる電子ファイルであり、コメント文書生成部65により、コメント付セキュリティシナリオ情報F1aからコメント情報が抽出されて作成される。なお、コメント文書情報F2は、既存の文書フォーマットに成形され、読取専用で表示、印刷可能となっている。
修正したセキュリティシナリオ情報F1bは、ファイル名、バージョン情報、修正済み文書データ、チェック付コメント情報及び返信コメント情報からなる電子ファイルであり、設計者の操作により、コメント付セキュリティシナリオ情報F1aに対し、シナリオ修正部24から修正済み文書データ、チェック付コメント情報及び返信コメント情報が入力されて作成される。
返信付コメント情報F3は、ファイル名、バージョン情報、コメント情報及び返信コメント情報からなる電子ファイルであり、コメント文書生成部25により、修正したセキュリティシナリオ情報F1bからチェック付コメント情報及び返信コメント情報が抽出され、且つチェック付コメント情報からコメント情報が抽出されて作成される。返信付コメント情報F3は、既存の文書フォーマットに成形され、読取専用で表示、印刷可能となっている。
修正済みセキュリティシナリオ情報F1cは、ファイル名、バージョン情報及び修正済み文書データからなる電子ファイルであり、コメント情報生成部25により、修正したセキュリティシナリオ情報F1bからチェック付コメント情報及び返信コメント情報が削除されて作成される。
確認終了通知M1は、セキュリティシナリオ情報F1,F1cに対する確認終了を通知するメッセージ情報であり、評価者の操作により、通信部61から設計者用端末20に送信される。
確認済みセキュリティシナリオ情報F1dは、ファイル名、バージョン情報及び確認済み文書データからなる電子ファイルであり、確認終了通知M1を受けた時点での最新のセキュリティシナリオ情報F1cを意味している。
ST情報F4は、ファイル名、バージョン情報及び文書データからなる電子ファイルであり、ST生成部26により、確認済みセキュリティシナリオ情報F1d又は修正済みセキュリティシナリオ情報F1eに含まれる文書データ(図形情報及び文書情報)を図5に示すように並べ替えて生成される。
補足すると、ST情報F4は、図5の右側に示すように、ST概説i1st、ST識別・ST概要i1.1st、CC適合の主張i1.2st、EAL適合i1.2.1st、TOE記述i2st、TOE概要・利用者役割i2.1st、TOEの論理的範囲i2.2st、TOEの物理的範囲i2.3st、TOE資産i2.4st、TOEセキュリティ環境i3st、前提条件i3.1st、脅威i3.2st、組織のセキュリティ方針i3.3st、セキュリティ対策方針i4st、ITセキュリティ要件i5st、TOEセキュリティ機能要件i5.1st、TOEセキュリティ保証要件i5.2st、TOE要約仕様i6st、PP主張i7st、根拠i8st、セキュリティ対策方針根拠i8.1st、セキュリティ要件根拠i8.2st、TOE要約仕様根拠i8.3st及びPP根拠i8.4stの各項目に沿って記述された文書データを含む電子ファイルである。なお、各項目の詳細な仕様は、ISO/IEC15408に定められている。また、ST情報F4は、既存の文書フォーマットに成形され、読取専用で表示、印刷可能となっている。
指摘事項付ST情報F5は、ファイル名、バージョン情報、文書データ、リンク情報(ブックマーク指定情報)及び指摘事項情報からなる電子ファイルであり、評価者の操作により、ST情報F4に対し、指摘事項追記部67から指摘事項情報が追記されると共に、リンク付け部68からリンク情報が付加されて作成される。
CC情報Fccは、ファイル名、バージョン情報、文書データ及びブックマーク情報からなる電子ファイルであり、評価者の操作により、CC/CEM文書記憶部11内のCCの文書情報に対し、リンク付け部68からブックマーク情報が付加されて作成される。
CEM情報Fcemは、ファイル名、バージョン情報、文書データ及びブックマーク情報からなる電子ファイルであり、評価者の操作により、CC/CEM記憶部11内のCEMの文書情報に対し、リンク付け部68からブックマーク情報が付加されて作成される。
所見報告書情報F6は、ファイル名、バージョン情報及び指摘事項情報からなる電子ファイルであり、所見報告書生成部69により、指摘事項付ST情報F5から指摘事項情報が抽出されて作成される。また、所見報告書情報F6は、既存の文書フォーマットに成形され、読取専用で表示、印刷可能となっている。
修正済みセキュリティシナリオ情報F1eは、ファイル名、バージョン情報及び修正済み文書データからなる電子ファイルであり、設計者の操作により、確認済みセキュリティシナリオ情報F1dの確認済み文書データをシナリオ修正部24が修正済み文書データに修正して作成される。
ST評価終了通知M2は、ST情報F4に対する評価終了を通知するメッセージ情報であり、評価者の操作により、通信部61から設計者用端末20に送信される。
評価済みST情報F4aは、ファイル名、バージョン情報及び評価済み文書データからなる電子ファイルであり、ST評価終了通知M2を受けた時点での最新のST情報F4を意味している。
通信部13は、DBサーバ装置10内部と、各端末20,60との間の通信を実行するものである。
識別認証部14は、設計者及び評価者の識別情報と認証情報が予め登録されており、設計者及び評価者の識別認証を実行する機能と、識別認証結果が正当性を示すとき、設計者又は評価者の識別情報をアクセス制御部15に通知する機能とをもっている。
アクセス制御部15は、予め設計者及び評価者の識別情報と、データベース部12に対するアクセス権限と、CC/CEM記憶部11に対するアクセス権限とが設定されており、識別認証部14から受けた識別情報に基づいて、アクセス制御を実行する機能をもっている。例えば、データベース部12については、設計者及び評価者とも読出/書込権限があり、CC/CEM記憶部11については、評価者には読出/書込権限があり、設計者には読出権限のみあるというようにアクセス権限が設定されている。
履歴管理部16は、アクセス制御部15に制御され、設計者用端末20又は評価者用端末60から書き込まれる各情報F1〜F6及び各通知M1,M2に対し、書込時の日時情報及びバージョン情報を付加してデータベース部12に書き込む履歴管理機能をもっている。
設計者用端末20は、記憶部21、通信部22、シナリオ作成部23、シナリオ修正部24、コメント文書生成部25、ST生成部26、ST・所見報告書表示部27、リンク表示部28及びチェック済み指摘事項消去部29を備えている。
記憶部21は、各部22〜29から各種情報が読出/書込されるワークメモリであり、例えばセキュリティシナリオ情報F1,F1a〜F1e、コメント文書情報F2、返信付コメント文書情報F3、ST情報F4、指摘事項付ST情報F5、所見報告書情報F6及び各通知M1,M2が一時的に記憶される。
通信部22は、設計者の操作により、データベース部12内の最新のセキュリティシナリオ情報F1又はF1cに対する確認依頼を評価者用端末60に送信する機能と、データベース部12内の最新のST情報F4に対する評価依頼を評価者用端末60に送信する機能とをもっている。
シナリオ作成部23は、設計者の操作により、セキュリティターゲット情報に含まれる、脅威i1.1ss、セキュリティ対策方針i1.2ss及びTOEセキュリティ機能i1.3ssという3つの情報i1.1ss〜i1.3ssの対応関係を示した図面情報i1ssと、当該セキュリティターゲット情報に含まれる3つの情報以外の文書情報i2ss〜i10ssとからなるセキュリティシナリオ情報F1を作成する機能と、設計者の操作により、セキュリティシナリオ情報F1をDBサーバ装置10のデータベース部12に書込む機能とをもっている。
シナリオ修正部24は、評価者用端末60から受けたコメント文書情報F2を表示する機能と、コメント文書F2の表示中、設計者の操作により、最新のコメント付セキュリティシナリオ情報F1aを修正する機能と、修正の際にコメント情報をチェックしてチェック付コメント情報にする機能と、コメントに対する修正を行わない場合にはその旨をコメント返信欄に返信コメント情報として追記し、コメントをチェックする機能と、評価者用端末60から受けたセキュリティシナリオ確認終了通知M1を表示する機能と、指摘事項付ST情報F5の表示中、設計者の操作により、最新のセキュリティシナリオ情報F1dを修正して得られた修正済みセキュリティシナリオ情報F1eをST生成部26に入力する機能とをもっている。
コメント文書生成部25は、セキュリティシナリオ情報F1a内のコメント情報からなる返信付コメント文書情報F3を作成する機能をもっている。
ST生成部26は、設計者の操作によってデータベース部12内の最新のセキュリティシナリオ情報F1dが入力されると、図5に示すように、このセキュリティシナリオ情報F1dに含まれる図面情報i1ss及び文書情報i2ss〜i10ssを並べ替えて文書情報i1st〜i8stからなるST情報F4を生成する機能と、設計者の操作により、生成したST情報F4をDBサーバ装置10のデータベース部12に書込む機能とをもっている。なお、ST情報F4は、読取専用の既存の文書フォーマットで生成される。
ST・所見報告書表示部27は、評価者の操作により、データベース部12内の指摘事項付ST情報F5を表示する機能と、評価者用端末60から受けた所見報告書情報F6を表示する機能と、評価者用端末60から受けたST評価終了通知M2を表示する機能と、設計者の操作により、評価済みのセキュリティターゲット情報をDBサーバ装置10のデータベース部12に書き込む機能とをもっている。
リンク表示部28は、指摘事項情報及びリンク情報(ブックマーク指定情報)が付加された指摘事項付ST情報F5の表示中、設計者の操作により、リンク情報の指定に応じてCC/CEM記憶部11内のコモンクライテリアCC又は共通評価方法CEMの文書情報を表示する機能をもっている。
チェック済み指摘事項消去部29は、指摘事項を含む指摘事項付ST情報F5の表示中、設計者の操作により、指摘事項にチェック情報を付加する機能と、設計者の操作により、指摘事項付ST情報F5からチェック情報が付加された指摘事項を消去する機能とをもっている。
システム管理者用端末40は、システム管理者により操作される端末であり、例えば、システム管理者の操作により、予め識別認証部14に識別情報と認証情報とを登録する機能と、システム管理者の操作により、アクセス制御部15に識別情報とアクセス権限とを設定する機能とをもっている。
プリンタ装置50は、設計者用ネットワーク1に接続された通常のプリンタであり、設計者用端末20又は管理者用端末40から制御され、設計者用端末20又は管理者用端末40から送信された情報を印刷出力する機能をもっている。
評価者用端末60は、記憶部61、通信部62、セキュリティシナリオ表示部63、コメント追記部64、コメント文書生成部65、ST表示部66、指摘事項追記部67、リンク付け部68及び所見報告書生成部69を備えている。
記憶部61は、各部62〜69から各種情報が読出/書込されるワークメモリであり、例えばセキュリティシナリオ情報F1,F1a,F1c,F1e、コメント文書情報F2、返信付コメント文書情報F3、ST情報F4、指摘事項付ST情報F5、所見報告書情報F6及び各通知M1,M2が一時的に記憶される。
通信部62は、評価者の操作により、記憶部61内のコメント付セキュリティシナリオ情報F1a及びコメント文書情報F2をデータベース部12に書き込む機能と、評価者の操作により、記憶部61内のコメント文書情報F2を設計者用端末20に送信する機能と、評価者の操作により、記憶部61内の指摘事項付ST情報F5及び所見報告書情報F6を設計者用端末20に送信する機能とをもっている。
セキュリティシナリオ表示部63は、設計者用端末20から受けたセキュリティシナリオ情報F1,F1cに対する確認依頼を表示する機能と、評価者の操作により、データベース部13内の最新のセキュリティシナリオ情報F1,F1cを表示する機能と、評価者の操作により、セキュリティシナリオ確認終了通知M1を設計者用端末20に送信する機能とをもっている。
コメント追記部64は、評価者の操作により、確認中のセキュリティシナリオ情報F1,F1cにコメント情報を追記し、コメント付セキュリティシナリオ情報F1aを作成する機能をもっている。
コメント文書生成部65は、コメント追記部64により作成されたコメント付セキュリティシナリオ情報F1aからコメント情報を抽出してなるコメント文書情報F2を生成する機能と、作成したコメント文書情報F2を記憶部61に書き込む機能とをもっている。
ST表示部66は、設計者用端末20から受けたST評価依頼を表示する機能と、評価者の操作により、データベース部12内の最新のST情報F4を表示する機能と、評価者の操作により、セキュリティターゲット評価終了通知M2を設計者用端末20に送信する機能とをもっている。
指摘事項追記部67は、評価者の操作により、評価中のST情報F4に指摘事項情報を追記し、指摘事項付ST情報F5を作成する機能と、指摘事項付ST情報F5を記憶部61に書き込む機能とをもっている。
リンク付け部68は、評価者の操作により、CC/CEM記憶部11内のコモンクライテリアCC又は共通評価方法CEMの文書情報にブックマーク情報を付加し、ブックマーク情報を指定するリンク情報(ブックマーク指定情報)を指摘事項付ST情報F5内の指摘事項情報又は指摘事項情報近傍に付加することにより、当該指摘事項情報をコモンクライテリアCC又は共通評価方法CEMの文書情報にリンク付けする機能をもっている。
所見報告書生成部69は、指摘事項付ST情報F5内の指摘事項情報からなる所見報告書情報F6を作成する機能と、この所見報告書情報F6を記憶部61に書き込む機能とをもっている。
プリンタ装置80は、評価者用ネットワーク3に接続された通常のプリンタであり、評価者用端末60から制御され、評価者用端末60から送信された情報を印刷出力する機能をもっている。
次に、以上のように構成されたセキュリティ設計・評価支援システムの動作を図7乃至図10のフローチャートを用いて説明する。始めに、本実施形態の前提となる設計・評価工程を図7に沿って説明し、続いて、本実施形態に係る設計・評価工程の概要を図8に沿って述べる。最後に、図8に述べた概要を図9及び図10により詳細に説明する。なお、図7に示す前提となる工程は、公知技術ではなく、セキュリティシナリオ情報を用いる点で公知技術よりも優れているが、セキュリティシナリオ情報を事前に確認しない点と、設計者・評価者間がオフラインで書類を授受する点と、ST情報を自動生成しない点とで本実施形態よりも劣っているという位置付けにある。また、図7に示す工程は、図1に示すネットワーク構成とは異なり、設計者及び評価者が互いにネットワーク接続されていないパーソナルコンピュータ装置を用いて実行する。
(前提:図7)
設計者は、通常のパーソナルコンピュータ装置の操作により、1ヶ月程度でセキュリティシナリオを作成し(t1)、続いて、セキュリティシナリオに基づき、2ヶ月程度でST情報を設計する(t2)。なお、このパーソナルコンピュータ装置は、前述した設計者用端末20とは異なる、通常のコンピュータ装置である。
設計者は、通常のパーソナルコンピュータ装置の操作により、1ヶ月程度でセキュリティシナリオを作成し(t1)、続いて、セキュリティシナリオに基づき、2ヶ月程度でST情報を設計する(t2)。なお、このパーソナルコンピュータ装置は、前述した設計者用端末20とは異なる、通常のコンピュータ装置である。
しかる後、設計者は、例えば電子メールにより、セキュリティシナリオ及びST情報を評価者に送付し、ST評価を依頼する(t3)。
評価者は、セキュリティシナリオ及びST情報を受取ると、1ヶ月程度でセキュリティシナリオを理解してST評価を行い(t4,t5)、質問・コメント及び指摘事項を記載した文書を電子メール等により設計者に提示する。
設計者は、指摘事項に沿ってST情報を修正し(t6)、電子メールにより、修正後のST情報を評価者に送付する。
評価者は、修正後のST情報を評価し、必要により、再度、質問・コメント及び指摘事項を記載した文書を電子メール等により設計者に提示することにより、ST評価t5及びST修正t6が繰り返される。
評価者は、指摘事項が収束したと評価すると(t7)、ST評価が完了し(t8)、ST評価完了を設計者に通知する。なお、最初のST評価(t5)からST評価完了(t8)までは、通常、2ヶ月程度かかる。すなわち、セキュリティシナリオ作成開始(t1)からST評価完了(t9)までは、約5ヶ月かかる。
設計者は、この通知を受けると、最新のST情報を評価済みのST情報として確定する(t9)。
(本実施形態の概要:図8)
設計者用端末20は、設計者の操作により、1ヶ月程度でセキュリティシナリオ情報F1を作成し(t10)、セキュリティシナリオ情報F1の確認依頼を評価者用端末60に送信する。
設計者用端末20は、設計者の操作により、1ヶ月程度でセキュリティシナリオ情報F1を作成し(t10)、セキュリティシナリオ情報F1の確認依頼を評価者用端末60に送信する。
評価者用端末60は、評価者の操作により、セキュリティシナリオ情報F1を確認し(t20)、コメント付セキュリティシナリオ情報F1a及びコメント文書情報F2を作成し、コメント文書情報F2を設計者用端末20に送信する。
設計者用端末20は、設計者の操作により、コメント付セキュリティシナリオ情報F1a及びコメント文書情報F2に基づいて、修正したセキュリティシナリオ情報F1b及び返信付コメント文書情報F3を作成し、工程t10に戻って修正済みセキュリティシナリオ情報F1cについて評価者に確認を依頼する。
修正済みセキュリティシナリオ情報F1cに特に問題が無ければ、評価者用端末60は、評価者の操作により、確認終了通知M1を設計者用端末20に送信する。
設計者用端末20は、確認終了通知M1を受けると、確認済みセキュリティシナリオ情報F1dからST情報F4を生成し(t40)、ST評価依頼を評価者用端末60に送信する。
評価者用端末60は、ST評価依頼に基づいて、評価者の操作により、ST評価を開始する(t50)。なお、最初のセキュリティシナリオ確認(t20)からST評価の開始(t50)までは、1ヶ月程度かかる。
ST評価の結果、指摘事項があれば(t60:YES)、評価者用端末60は、評価者の操作により、ST情報F4に指摘事項を追記して(t70)、指摘事項付ST情報F5及び指摘事項情報を抽出した所見報告書情報F6を作成し、指摘事項を設計者用端末20に提示する。
設計者用端末20は、設計者の操作により、指摘事項付ST情報F5及び所見報告書情報F6を表示し、指摘事項に沿って、確認済みセキュリティシナリオ情報F1dを修正して(t80)、得られた修正済みセキュリティシナリオ情報F1eから新たなST情報F4を生成し(t40)、再度、ST評価依頼を評価者用端末60に送信して前述した工程t50〜t70を繰り返す。
一方、ST評価を開始し(t50)、指摘事項が無ければ(t60:NO)、評価者用端末60は、評価者の操作により、ST評価を完了し(t90)、ST情報F4に対する評価終了通知M2を設計者用端末20に送信する。なお、最初のST評価の開始(t50)からST評価完了(t90)までは、1ヶ月程度で済む。これは、予めセキュリティシナリオ情報F1を確認済みのため、ST情報F4に大幅な修正が生じないからである。また、セキュリティシナリオ作成開始(t10)からST評価完了(t90)までは、約3ヶ月かかる。
設計者用端末20は、ST情報F4に対する評価終了通知M2を受けると、最新のST情報F4を評価済みのST情報F4として確定する(t100)。
(本実施形態の詳細:図9及び図10)
設計者端末20においては、設計者の操作により、シナリオ作成部23がセキュリティシナリオ情報F1を作成し、セキュリティシナリオ情報F1をDBサーバ装置10のデータベース部12に書き込む(t11)。このとき、DBサーバ装置10の履歴管理部16は、この書込日時及びバージョン情報をセキュリティシナリオ情報F1に付加してデータベース部12に保存する。
設計者端末20においては、設計者の操作により、シナリオ作成部23がセキュリティシナリオ情報F1を作成し、セキュリティシナリオ情報F1をDBサーバ装置10のデータベース部12に書き込む(t11)。このとき、DBサーバ装置10の履歴管理部16は、この書込日時及びバージョン情報をセキュリティシナリオ情報F1に付加してデータベース部12に保存する。
しかる後、設計者端末20においては、設計者の操作により、通信部22が、データベース部12内の最新のセキュリティシナリオ情報F1に対する確認依頼を評価者用端末60に送信する(t12)。
評価者用端末60においては、確認依頼を受信すると(t21)、評価者の操作により、セキュリティシナリオ表示部63が確認依頼を表示する機能と、評価者の操作により、データベース部12内の最新のセキュリティシナリオ情報F1を表示する。
評価者用端末60は、評価者の操作により、セキュリティシナリオ情報F1を確認し(t22)、指摘事項があれば(t23:YES)、コメント追記部64が確認中のセキュリティシナリオ情報F1にコメント情報を追記し(t25)、コメント付セキュリティシナリオ情報F1aを作成する。また、コメント文書生成部65がコメント付セキュリティシナリオ情報F1aからコメント情報を抽出してなるコメント文書情報F2を生成する(t25)。
評価者用端末60においては、評価者の操作により、通信部61がコメント付セキュリティシナリオ情報F1a及びコメント文書情報F2をデータベース部12に書き込む。このとき、DBサーバ装置10の履歴管理部16は、この書込日時及びバージョン情報をセキュリティシナリオ情報F1a及びコメント文書情報F2に付加してデータベース部12に保存する。
また、評価者用端末60においては、評価者の操作により、通信部61がコメント文書情報F2を設計者用端末20に送信する(t26)。
設計者用端末20は、コメント文書情報F2を受信すると(t31)、設計者の操作により、シナリオ修正部25が、データベース部12内のコメント付セキュリティシナリオ情報F1a及び受信したコメント文書情報F2に基づいて、コメント付セキュリティシナリオ情報F1aに対してコメント情報のチェックや返信コメント情報の追記を行う(t32)。
これにより、設計者用端末20は、修正済みセキュリティシナリオ情報F1c及び返信付コメント文書情報F3を作成し(t33)、修正済みセキュリティシナリオ情報F1c及び返信付コメント文書情報F3をDBサーバ装置10のデータベース部12に書き込む。このとき、DBサーバ装置10の履歴管理部16は、この書込日時及びバージョン情報を修正済みセキュリティシナリオ情報F1c及び返信付コメント文書情報F3に付加してデータベース部12に保存する。
しかる後、設計者用端末20は、設計者の操作により、工程t12に戻って修正済みセキュリティシナリオ情報F1cについて評価者用端末60に確認依頼を送信する。
評価者用端末60においては、セキュリティシナリオ表示部63が修正済みセキュリティシナリオ情報F1cを表示し、修正済みセキュリティシナリオ情報F1cについて特に指摘事項が無ければ(t23)、評価者の操作により、確認終了通知M1を設計者用端末20に送信する(t27)。
設計者用端末20は、確認終了通知M1を受けると(t34)、修正済みセキュリティシナリオ情報F1cを確認済みセキュリティシナリオ情報F1dとしてデータベース部12に書き込む(t35)。このとき、DBサーバ装置10の履歴管理部16は、この書込日時及びバージョン情報を確認済みセキュリティシナリオ情報F1dに付加してデータベース部12に保存する。
設計者用端末20においては、設計者の操作によってデータベース部12内の最新のセキュリティシナリオ情報F1dをST生成部26に入力する(t41)。
ST生成部26は、図5に示すように、このセキュリティシナリオ情報F1dに含まれる図面情報i1ss及び文書情報i2ss〜i10ssを並べ替えて文書情報i1st〜i8stからなるST情報F4を生成する機能と、設計者の操作により、生成したST情報F4をDBサーバ装置10のデータベース部12に書込む(t42)。このとき、DBサーバ装置10の履歴管理部16は、この書込日時及びバージョン情報をST情報F4に付加してデータベース部12に保存する。
しかる後、設計者用端末20においては、設計者の操作により、ST評価依頼を評価者用端末60に送信する(t43)。
評価者用端末60は、ST評価依頼を受信すると(t51)、ST表示部66がST評価依頼を表示し、評価者の操作により、データベース部12内の最新のST情報F4を表示し、評価者の操作により、ST評価を開始する(t52)。
ST評価の結果、指摘事項があれば(t60:YES)、評価者用端末60は、評価者の操作により、指摘事項追記部67がST情報F4に指摘事項を追記して指摘事項付ST情報F5を作成し、所見報告書生成部69が指摘事項情報を抽出した所見報告書情報F6を作成する(t71)。
また、リンク付け部68は、評価者の操作により、CC/CEM記憶部11内のコモンクライテリアCC又は共通評価方法CEMの文書情報にブックマーク情報を付加し、ブックマーク情報を指定するリンク情報を指摘事項付ST情報F5内の指摘事項情報又は指摘事項情報近傍に付加することにより、当該指摘事項情報をコモンクライテリアCC又は共通評価方法CEMの文書情報にリンク付けする(t72)。
しかる後、評価者用端末60は、評価者の操作により、指摘事項付ST情報F5及び所見報告書情報F6をデータベース部12に書き込む。なお、DBサーバ装置10の履歴管理部16は、この書込日時及びバージョン情報を指摘事項付ST情報F5及び所見報告書情報F6に付加してデータベース部12に保存する。
また、評価者用端末60は、評価者の操作により、所見報告書情報F6を設計者用端末20に送信する(t73)。
設計者用端末20においては、所見報告書情報F6を受信すると(t81)、設計者の操作により、ST・所見報告書表示部27が指摘事項付ST情報F5及び所見報告書情報F6を表示し、シナリオ修正部24が指摘事項に沿って確認済みセキュリティシナリオ情報F1dを修正して(t82)、得られた修正済みセキュリティシナリオ情報F1eからST生成部26が新たなST情報F4を生成し(t42)、再度、ST評価依頼を評価者用端末60に送信して前述した工程t51〜t73を繰り返す。
一方、ST評価を開始し(t52)、指摘事項が無ければ(t60:NO)、評価者用端末60は、評価者の操作により、ST評価を完了し、ST情報F4に対する評価終了通知M2を設計者用端末20に送信する(t90)。
設計者用端末20は、ST情報F4に対する評価終了通知M2を受けると(t101)、最新のST情報F4を評価済みのST情報F4aとしてデータベース部12に書き込む(t102)。DBサーバ装置10の履歴管理部16は、この書込日時及びバージョン情報を評価済みのST情報F4aに付加してデータベース部12に保存する。
上述したように本実施形態によれば、ISO/IEC15408に準拠したセキュリティターゲット情報を設計する前に、当該セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報を含むセキュリティシナリオ情報を作成し、このセキュリティシナリオ情報に対する評価を予めST設計前に受ける構成により、設計者にとってはSTの論理的な一貫性を容易に保持でき、評価者にとってはSTの理解及び解析に要する時間を短縮することができる。
補足すると、ISO/IEC15408評価におけるST評価を行うにあたって、脅威と対策方針とセキュリティ機能との3つの対応関係を示した図面情報により、評価者にとって早い段階でSTの理解を深め、設計者にとって評価の指摘事項を受け修正するSTの一貫性を保ち、ST設計と評価を効率的に進めることができる。
すなわち、設計者と評価者の作業負担を軽減し、効率的にセキュリティ設計と評価を進めるためにはどのような手順で、何を自動化、効率化すればよいかという課題を解決することができる。
また、ST評価の前に、評価者に評価対象(TOE)の特徴やセキュリティ設計の骨子を述べたセキュリティシナリオを事前に確認することで、評価者のST骨子に対する理解を助け、設計者の手戻りを少なくするという効果がある。
具体的な1つめの効果として、図7に示した前提方式ではセキュリティシナリオ策定からST設計評価完了まで約5ヶ月を要していたが、本実施形態方式では図8に示すように3ヶ月程度が見込まれコスト削減が期待できる。
2つめの効果として、セキュリティシナリオ、ST、コメント文書、所見報告書をシステムで一元管理することにより、更新履歴やバージョン管理が容易になり、データの可用性が保たれる。
3つめの効果として、設計者、評価者間で合意が取れたセキュリティシナリオからSTを自動生成することにより、設計者がST文書を直接編集しないので、STの一貫性を保つことができる。
ISO/IEC15408のITセキュリティ評価におけるST設計と評価を支援するシステム及び装置である。ST評価を完成したSTだけで行うのではなく、ST設計者がTOEのセキュリティ骨子となる情報(セキュリティシナリオ)を作成した段階で、ST事前評価を行い、セキュリティシナリオからSTを自動生成し、ST評価を行うという3ステップでST設計と評価を行うことで、評価者の理解を助け、設計者の手戻りを削減し、ST設計及び評価を効率的に行う。
(第2の実施形態)
図11は本発明の第2の実施形態に係るセキュリティ設計・評価支援システムの構成を示す模式図であり、図2と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
図11は本発明の第2の実施形態に係るセキュリティ設計・評価支援システムの構成を示す模式図であり、図2と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
すなわち、本実施形態は、送受信情報および保存情報を暗号化することにより、情報の機密性を保つものであり、具体的にはDBサーバ装置10に付加された暗号化/復号部17と、設計者用端末20に付加された暗号化/復号部30と、評価者用端末60に付加された暗号化/復号部70とを備えている。
ここで、暗号化/復号部17は、設計者用端末20又は評価者用端末60から受信した暗号化された情報を復号する機能と、復号した情報を暗号化してデータベース部12に保存する機能とをもっている。
暗号化/復号部30は、DBサーバ装置10又は評価者用端末60から通信部22により受信した暗号化された情報を復号する機能と、送信対象の情報を暗号化して通信部22を介して送信する機能とをもっている。
暗号化/復号部70は、DBサーバ装置10又は設計者用端末20から通信部62により受信した暗号化された情報を復号する機能と、送信対象の情報を暗号化して通信部62を介して送信する機能とをもっている。
ここで、各暗号化/復号部17,30,70としては、共通鍵あるいは公開鍵のいずれのアルゴリズムを用いてもよく、暗号鍵の生成および配布、保存は一般的なソフトウェア実装方法を用いて実現可能となっている。
以上のような構成によれば、図12及び図13に示すように、第1の実施形態における各ステップの処理を行う際に、各種の情報F1〜F6や通知M1,M2の送受信時、およびDBサーバ装置10への保存時に暗号化し、情報の表示、作成・修正時に復号することができる。
このように、ネットワーク1〜3上及びデータベース部12内の情報が暗号化されることにより、セキュリティシナリオ情報F1やST情報F4、所見報告書F6等といった設計資料、評価資料の機密性を保つことができる。
(第3の実施形態)
図14は本発明の第3の実施形態に係るセキュリティ設計・評価支援システムの構成を示す模式図である。
図14は本発明の第3の実施形態に係るセキュリティ設計・評価支援システムの構成を示す模式図である。
本実施形態は、第1の実施形態の変形例であり、送受信情報にメッセージ認証子MAC(massage authentication code)と設計者および評価者の電子署名を付けることにより、情報の完全性を保つものであり、具体的にはDBサーバ装置10に付加された署名生成/検証部18と、設計者用端末20に付加された署名生成/検証部31と、評価者用端末60に付加された署名生成/検証部71とを備えている。
ここで、署名生成/検証部18は、設計者用端末20又は評価者用端末60から受信した署名付情報の電子署名及びMACを検証する機能と、検証した署名付情報をデータベース部12に保存する機能とをもっている。
署名生成/検証部31は、DBサーバ装置10又は評価者用端末60から通信部22により受信した署名付情報の電子署名及びMACを検証する機能と、送信対象の情報にMAC及び電子署名を付加して得られた署名付情報を通信部22により送信する機能とをもっている。
署名生成/検証部71は、DBサーバ装置10又は設計者用端末20から通信部62により受信した署名付情報の電子署名及びMACを検証する機能と、送信対象の情報にMAC及び電子署名を付加して得られた署名付情報を通信部62により送信する機能とをもっている。
ここで、各署名生成/検証部18,31,71は、信頼できるCAから発行された公開鍵証明書や一般的なPKIシステムを利用して署名を生成/検証可能となっている。
以上のような構成によれば、図15及び図16に示すように、第1の実施形態における各ステップの処理を行う際に、各種の情報F1〜F6や通知M1,M2の送受信時、およびDBサーバ装置10への保存時に署名生成及び検証を実行し、データが改ざんされていないことが確認できる(メッセージ認証)ため、セキュリティシナリオ情報F1やST情報F4、所見報告書F6等といった設計資料、評価資料の完全性を保つことができる。
また、第2及び第3の実施形態は互いに組み合わせて実施することもできる。すなわち、図1に示した構成に対し、DBサーバ装置10に付加された暗号化/復号部17及び署名生成/検証部18と、設計者用端末20に付加された暗号化/復号部30及び署名生成/検証部31と、評価者用端末60に付加された暗号化/復号部70及び署名生成/検証部71とを備えた構成を実施してもよい。このような構成としても、第2及び第3の実施形態の作用効果を同時に得ることができる。
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
1…設計者側ネットワーク、2…組織外ネットワーク、3…評価者側ネットワーク、10…DBサーバ装置、11…CC/CEM記憶部、12…データベース部、13…通信部、14…識別認証部、15…アクセス制御部、16…履歴管理部、17,30,70…暗号化/復号部、18,31,71…署名生成/検証部、20…設計者用端末、21,61…記憶部、22,62…通信部、23…シナリオ作成部、24…シナリオ修正部、25,65…コメント文書生成部、26…ST生成部、27…ST・所見報告書表示部、28…リンク表示部、29…チェック済み指摘事項消去部、40…システム管理者用端末、50,80…プリンタ装置、60…評価者用端末、63…セキュリティシナリオ表示部、64…コメント追記部、66…ST表示部、67…指摘事項追記部、68…リンク付け部、69…所見報告書生成部、F1,F1a〜F1e…セキュリティシナリオ情報、F2…コメント文書情報、F3…返信付コメント情報、F4…セキュリティターゲット(ST)情報、F5…指摘事項付ST情報、F6…所見報告書情報、M1,M2…通知。
Claims (8)
- ISO/IEC15408に準拠したセキュリティターゲット情報の設計を支援するための設計者用端末と、前記セキュリティターゲット情報の評価を支援するための評価者用端末と、前記各端末からアクセス可能なデータベース部を有するサーバ装置とを備えたセキュリティ設計・評価支援システムであって、
前記設計者用端末は、
設計者の操作により、前記セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報と、当該セキュリティターゲット情報に含まれる前記3つの情報以外の文書情報とからなるセキュリティシナリオ情報を作成するセキュリティシナリオ作成手段と、
前記設計者の操作により、前記セキュリティシナリオ情報を前記サーバ装置のデータベース部に書込む手段と、
前記データベース部内の最新のセキュリティシナリオ情報に対する確認依頼を前記評価者用端末に送信する手段と、
前記評価者用端末から受けたセキュリティシナリオ確認終了通知を表示する確認終了通知表示手段と、
前記設計者の操作によって前記データベース部内の最新のセキュリティシナリオ情報が入力されると、このセキュリティシナリオ情報に含まれる前記図面情報及び文書情報を並べ替えてセキュリティターゲット情報を生成するセキュリティターゲット生成手段と、
前記設計者の操作により、前記生成したセキュリティターゲット情報を前記サーバ装置のデータベース部に書込む手段と、
前記データベース部内の最新のセキュリティターゲット情報に対する評価依頼を前記評価者用端末に送信する手段と、
前記評価者用端末から受けたセキュリティターゲット評価終了通知を表示する評価終了通知表示手段と、
前記設計者の操作により、評価済みのセキュリティターゲット情報を前記サーバ装置のデータベース部に書き込む手段と
を備えており、
前記評価者用端末は、
前記設計者用端末から受けた確認依頼を表示する確認依頼表示手段と、
評価者の操作により、前記データベース部内の最新のセキュリティシナリオ情報を表示するセキュリティシナリオ表示手段と、
前記評価者の操作により、セキュリティシナリオ確認終了通知を前記設計者用端末に送信する手段と、
前記設計者用端末から受けた評価依頼を表示する評価依頼表示手段と、
前記評価者の操作により、前記データベース部内の最新のセキュリティターゲット情報を表示するセキュリティターゲット表示手段と、
前記評価者の操作により、セキュリティターゲット評価終了通知を前記設計者用端末に送信する手段と、
を備えたことを特徴とするセキュリティ設計・評価支援システム。 - 請求項1に記載のセキュリティ設計・評価支援システムにおいて、
前記サーバ装置は、
前記ISO/IEC15408のコモンクライテリアCC及び共通評価方法CEMの文書情報が記憶された文書情報記憶部を備えており、
前記評価者用端末は、
前記評価者の操作により、評価中のセキュリティシナリオ情報にコメント情報を追記するコメント追記手段と、
前記セキュリティシナリオ情報に追記されたコメント情報からなるコメント文書情報を作成するコメント文書作成手段と、
前記評価者の操作により、前記コメント情報を追記したセキュリティシナリオ情報及び前記コメント文書情報を前記データベース部に書き込む手段と、
前記評価者の操作により、前記コメント文書情報を前記設計者用端末に送信するコメント文書送信手段と、
前記評価者の操作により、評価中のセキュリティターゲット情報に指摘事項情報を追記する指摘事項追記手段と、
前記評価者の操作により、前記文書情報記憶部内のコモンクライテリアCC又は共通評価方法CEMの文書情報にブックマーク情報を付加し、前記ブックマーク情報を指定するブックマーク指定情報を前記セキュリティターゲット情報に追記された指摘事項情報又は指摘事項情報近傍に付加することにより、当該指摘事項情報を前記コモンクライテリアCC又は共通評価方法CEMの文書情報にリンク付けする手段と、
前記セキュリティターゲット情報に追記された指摘事項情報からなる所見報告書情報を作成する所見報告書作成手段と、
前記評価者の操作により、前記指摘事項情報を追記したセキュリティターゲット情報及び前記所見報告書情報を前記データベース部に書き込む手段と、
前記評価者の操作により、前記所見報告書情報を前記設計者用端末に送信する所見報告書送信手段と
を備えており、
前記設計者用端末は、
前記評価者用端末から受けたコメント文書情報を表示するコメント文書表示手段と、
前記コメント文書の表示中、前記設計者の操作により、前記最新のセキュリティシナリオ情報を修正する手段と、
前記評価者用端末から受けた所見報告書情報を表示する所見報告書表示手段と、
前記指摘事項情報及び前記ブックマーク指定情報が付加されたセキュリティターゲット情報の表示中、前記設計者の操作により、前記ブックマーク指定情報の指定に応じて前記コモンクライテリアCC又は共通評価方法CEMの文書情報を表示する手段と、
当該セキュリティターゲット情報の表示中、前記設計者の操作により、前記最新のセキュリティシナリオ情報を修正し、この修正後のセキュリティシナリオ情報を前記セキュリティターゲット生成手段に入力する手段と、
を備えたことを特徴とするセキュリティ設計・評価支援システム。 - ISO/IEC15408に準拠したセキュリティターゲット情報の評価を支援するための評価者用端末と、前記評価者用端末からアクセス可能なデータベース部を有するサーバ装置とに対し、前記評価者用端末及び前記サーバ装置の両者にアクセス可能で前記セキュリティターゲット情報の設計を支援するための設計者用端末であって、
設計者の操作により、前記セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報と、当該セキュリティターゲット情報に含まれる前記3つの情報以外の文書情報とからなるセキュリティシナリオ情報を作成するセキュリティシナリオ作成手段と、
前記設計者の操作により、前記セキュリティシナリオ情報を前記サーバ装置のデータベース部に書込む手段と、
前記データベース部内の最新のセキュリティシナリオ情報に対する確認依頼を前記評価者用端末に送信する手段と、
前記確認依頼の送信の後、前記評価者用端末から受けたセキュリティシナリオ確認終了通知を表示する確認終了通知表示手段と、
前記設計者の操作によって前記データベース部内の最新のセキュリティシナリオ情報が入力されると、このセキュリティシナリオ情報に含まれる前記図面情報及び文書情報を並べ替えてセキュリティターゲット情報を生成するセキュリティターゲット生成手段と、
前記設計者の操作により、前記生成したセキュリティターゲット情報を前記サーバ装置のデータベース部に書込む手段と、
前記データベース部内の最新のセキュリティターゲット情報に対する評価依頼を前記評価者用端末に送信する手段と、
前記評価依頼の送信の後、前記評価者用端末から受けたセキュリティターゲット評価終了通知を表示する評価終了通知表示手段と、
前記設計者の操作により、評価済みのセキュリティターゲット情報を前記サーバ装置のデータベース部に書き込む手段と、
を備えたことを特徴とする設計者用端末。 - 請求項3に記載の設計者用端末において、
前記設計者用端末は、
前記評価者用端末から受けたコメント文書情報を表示するコメント文書表示手段と、
前記コメント文書の表示中、前記設計者の操作により、前記最新のセキュリティシナリオ情報を修正する手段と、
前記評価者用端末から受けた所見報告書情報を表示する所見報告書表示手段と、
前記評価者用端末により指摘事項情報及びブックマーク指定情報が付加されたセキュリティターゲット情報の表示中、前記設計者の操作により、前記ブックマーク指定情報の指定に応じて当該ブックマーク指定情報に対応するブックマーク情報が評価者用端末により付加されたISO/IEC15408のコモンクライテリアCC又は共通評価方法CEMの文書情報を前記サーバ装置から読み出して表示する手段と、
当該セキュリティターゲット情報の表示中、前記設計者の操作により、前記最新のセキュリティシナリオ情報を修正し、この修正後のセキュリティシナリオ情報を前記セキュリティターゲット生成手段に入力する手段と、
を備えたことを特徴とする設計者用端末。 - ISO/IEC15408に準拠したセキュリティターゲット情報の設計を支援するための設計者用端末と、前記設計者用端末からアクセス可能なデータベース部を有するサーバ装置とに対し、前記設計者用端末及び前記サーバ装置の両者にアクセス可能で前記セキュリティターゲット情報の評価を支援するための評価者用端末であって、
前記設計者用端末から受けた確認依頼を表示する確認依頼表示手段と、
評価者の操作により、前記設計者用端末によりデータベース部に書き込まれた、前記セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報と、当該セキュリティターゲット情報に含まれる前記3つの情報以外の文書情報とからなるセキュリティシナリオ情報を、当該データベース部から読み出して表示するセキュリティシナリオ表示手段と、
前記評価者の操作により、セキュリティシナリオ確認終了通知を前記設計者用端末に送信する手段と、
前記設計者用端末から受けた評価依頼を表示する評価依頼表示手段と、
前記評価者の操作により、前記設計者用端末によりデータベース部に書き込まれた、最新のセキュリティシナリオ情報に含まれる前記図面情報及び文書情報を並べ替えて生成されたセキュリティターゲット情報を、当該データベース部から読み出して表示するセキュリティターゲット表示手段と、
前記評価者の操作により、セキュリティターゲット評価終了通知を前記設計者用端末に送信する手段と、
を備えたことを特徴とする評価者用端末。 - 請求項5に記載の評価者用端末において、
前記評価者の操作により、評価中のセキュリティシナリオ情報にコメント情報を追記するコメント追記手段と、
前記セキュリティシナリオ情報に追記されたコメント情報からなるコメント文書情報を作成するコメント文書作成手段と、
前記評価者の操作により、前記コメント情報を追記したセキュリティシナリオ情報及び前記コメント文書情報を前記データベース部に書き込む手段と、
前記評価者の操作により、前記コメント文書情報を前記設計者用端末に送信するコメント文書送信手段と、
前記評価者の操作により、評価中のセキュリティターゲット情報に指摘事項情報を追記する指摘事項追記手段と、
前記評価者の操作により、前記サーバ装置が有する文書情報記憶部内のISO/IEC15408のコモンクライテリアCC又は共通評価方法CEMの文書情報にブックマーク情報を付加し、前記ブックマーク情報を指定するブックマーク指定情報を前記セキュリティターゲット情報に追記された指摘事項情報又は指摘事項情報近傍に付加することにより、当該指摘事項情報を前記コモンクライテリアCC又は共通評価方法CEMの文書情報にリンク付けする手段と、
前記セキュリティターゲット情報に追記された指摘事項情報からなる所見報告書情報を作成する所見報告書作成手段と、
前記評価者の操作により、前記指摘事項情報を追記したセキュリティターゲット情報及び前記所見報告書情報を前記データベース部に書き込む手段と、
前記評価者の操作により、前記所見報告書情報を前記設計者用端末に送信する所見報告書送信手段と、
を備えたことを特徴とする評価者用端末。 - ISO/IEC15408に準拠したセキュリティターゲット情報の評価を支援するための評価者用端末と、前記評価者用端末からアクセス可能なデータベース部を有するサーバ装置とに対し、前記評価者用端末及び前記サーバ装置の両者にアクセス可能で前記セキュリティターゲット情報の設計を支援するための設計者用端末のプログラムであって、
前記設計者用端末のコンピュータに、
設計者の操作により、前記セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報と、当該セキュリティターゲット情報に含まれる前記3つの情報以外の文書情報とからなるセキュリティシナリオ情報を作成して前記設計者用端末の記憶部に書き込む機能、
前記設計者の操作により、前記記憶部内のセキュリティシナリオ情報を前記サーバ装置のデータベース部に書込む機能、
前記データベース部内の最新のセキュリティシナリオ情報に対する確認依頼を前記評価者用端末に送信する機能、
前記確認依頼の送信の後、前記評価者用端末から受けたセキュリティシナリオ確認終了通知を表示する機能、
前記設計者の操作によって前記データベース部内の最新のセキュリティシナリオ情報が入力されると、このセキュリティシナリオ情報に含まれる前記図面情報及び文書情報を並べ替えてセキュリティターゲット情報を生成して前記設計者用端末の記憶部に書き込む機能、
前記設計者の操作により、前記記憶部内のセキュリティターゲット情報を前記サーバ装置のデータベース部に書込む機能、
前記データベース部内の最新のセキュリティターゲット情報に対する評価依頼を前記評価者用端末に送信する機能、
前記評価依頼の送信の後、前記評価者用端末から受けたセキュリティターゲット評価終了通知を表示する機能、
前記設計者の操作により、評価済みのセキュリティターゲット情報を前記サーバ装置のデータベース部に書き込む機能、
を実現させるためのプログラム。 - ISO/IEC15408に準拠したセキュリティターゲット情報の設計を支援するための設計者用端末と、前記設計者用端末からアクセス可能なデータベース部を有するサーバ装置とに対し、前記設計者用端末及び前記サーバ装置の両者にアクセス可能で前記セキュリティターゲット情報の評価を支援するための評価者用端末のプログラムであって、
前記評価者用端末のコンピュータに、
前記設計者用端末から受けた確認依頼を表示する機能、
評価者の操作により、前記設計者用端末によりデータベース部に書き込まれた、前記セキュリティターゲット情報に含まれる、脅威、セキュリティ対策方針及びTOEセキュリティ機能という3つの情報の対応関係を示した図面情報と、当該セキュリティターゲット情報に含まれる前記3つの情報以外の文書情報とからなるセキュリティシナリオ情報を、当該データベース部から読み出して前記評価者用端末の記憶部に書き込む機能、
前記評価者の操作により、前記記憶部内のセキュリティシナリオ情報を表示する機能、
前記評価者の操作により、セキュリティシナリオ確認終了通知を前記設計者用端末に送信する機能、
前記設計者用端末から受けた評価依頼を表示する機能、
前記評価者の操作により、前記設計者用端末によりデータベース部に書き込まれた、最新のセキュリティシナリオ情報に含まれる前記図面情報及び文書情報を並べ替えて生成されたセキュリティターゲット情報を、当該データベース部から読み出して前記記憶部に書き込む機能、
前記評価者の操作により、前記記憶部内のセキュリティターゲット情報を表示する機能、表示する機能、
前記評価者の操作により、セキュリティターゲット評価終了通知を前記設計者用端末に送信する機能、
を実現させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007131799A JP2008287496A (ja) | 2007-05-17 | 2007-05-17 | セキュリティ設計・評価支援システム、装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007131799A JP2008287496A (ja) | 2007-05-17 | 2007-05-17 | セキュリティ設計・評価支援システム、装置及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008287496A true JP2008287496A (ja) | 2008-11-27 |
Family
ID=40147154
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007131799A Pending JP2008287496A (ja) | 2007-05-17 | 2007-05-17 | セキュリティ設計・評価支援システム、装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008287496A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011048560A (ja) * | 2009-08-26 | 2011-03-10 | Toshiba Corp | セキュリティ設計支援装置及びプログラム |
CN108108624A (zh) * | 2017-12-18 | 2018-06-01 | 北京邮电大学 | 基于产品和服务的信息安全质量评估方法及装置 |
-
2007
- 2007-05-17 JP JP2007131799A patent/JP2008287496A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011048560A (ja) * | 2009-08-26 | 2011-03-10 | Toshiba Corp | セキュリティ設計支援装置及びプログラム |
CN108108624A (zh) * | 2017-12-18 | 2018-06-01 | 北京邮电大学 | 基于产品和服务的信息安全质量评估方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5783630B2 (ja) | 複合リソース文書上のデジタル署名 | |
WO2009107351A1 (ja) | 情報セキュリティ装置および情報セキュリティシステム | |
CN101571900B (zh) | 一种软件版权保护方法、设备和系统 | |
JP2021524962A (ja) | ブロックチェーン上のスマート・コントラクト・グループに対する自動データ投影 | |
US8341616B2 (en) | Updating digitally signed active content elements without losing attributes associated with an original signing user | |
JP2004364070A (ja) | マスキング可能な署名技術を用いた電子文書管理システム | |
CN109787768B (zh) | 一种身份验证配置方法、装置及计算机可读存储介质 | |
CN103765429A (zh) | 数字签名机构相关的平台秘密 | |
CN112579125B (zh) | 一种固件升级方法、装置、电子设备和存储介质 | |
WO2022116761A1 (en) | Self auditing blockchain | |
US8959344B2 (en) | Method and system for handling defined areas within an electronic document | |
US9065638B2 (en) | System, method, and program for information management | |
KR101497067B1 (ko) | 디지털 포렌식 기반의 전자기록물 이관 방법 및 이관 장치 | |
WO2011096162A1 (ja) | 機密性分析支援システム、方法及びプログラム | |
US8493581B2 (en) | Electronic document having authentication function | |
JP2008287496A (ja) | セキュリティ設計・評価支援システム、装置及びプログラム | |
CN106471510B (zh) | 复合文档访问 | |
JP2001202436A (ja) | 電子申請システム及び書類保存装置並びにコンピュータ読み取り可能な記録媒体 | |
EP3902225A1 (en) | Systems and methods for secure over-the-air updates for cyber-physical systems | |
TW201610714A (zh) | 合成文件存取技術 | |
KR101936272B1 (ko) | 암호화키의 라이프 사이클 관리를 지원하는 데이터 암호화 관리 장치 및 그 동작 방법 | |
US8301894B2 (en) | Method and apparatus for applying digital signatures to translated content | |
Pintaldi | Implementation of a Blockchain-based Distributed PKI for IoT using Emercoin NVS and TPM 2.0 | |
JP5033893B2 (ja) | 診断書生成支援システム | |
CN115470525B (zh) | 一种文件保护方法、系统、计算设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091021 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091104 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100309 |