JP2009140041A - セキュリティ運用管理システム、方法、及び、プログラム - Google Patents
セキュリティ運用管理システム、方法、及び、プログラム Download PDFInfo
- Publication number
- JP2009140041A JP2009140041A JP2007313083A JP2007313083A JP2009140041A JP 2009140041 A JP2009140041 A JP 2009140041A JP 2007313083 A JP2007313083 A JP 2007313083A JP 2007313083 A JP2007313083 A JP 2007313083A JP 2009140041 A JP2009140041 A JP 2009140041A
- Authority
- JP
- Japan
- Prior art keywords
- service
- countermeasure
- information
- threat
- knowledge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【解決手段】リスク値計算システム構成情報反映手段102は、システム構成情報に依存しない共通脅威対策知識に、システム構成情報をあてはめることで、システム構成情報を反映したリスク値を計算するための計算式を導出する。リスク分析手段104は、計算式とシステム構成情報とを用いて情報システムのリスクを分析する。
【選択図】図1
Description
複数の情報システムに共通に適応可能な脅威と対策との関係を定義した共通脅威対策知識と、管理対象を構成する情報システムのシステム構成情報とに基づいて、前記管理対象の情報システムのリスクを分析する処理を実行させることを特徴とするセキュリティ運用管理プログラムを提供する。
複数の情報システムに共通に適応可能なサービスと該サービスを阻害する対策との関係を定義した共通サービス対策知識と、管理対象を構成する情報システムのシステム構成情報と、前記管理対象の情報システムに含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案する処理を実行させることを特徴とするプログラムを提供する。
101:システム構成情報収集手段
102:リスク値計算システム構成情報反映手段
103:対策実施情報収集手段
104:リスク分析手段
105:リスク提示手段
106:システム構成情報格納手段
200:共通サービス対策知識格納手段
201:サービス対策システム構成情報反映手段
202:サービス制約ポリシー入力手段
203:対策立案手段
204:対策実行手段
205:脅威対策制約ポリシー入力手段
206:脅威対策システム構成情報反映手段
Claims (11)
- 複数の情報システムに共通に適応可能な脅威と対策との関係を定義した共通脅威対策知識と、管理対象を構成する情報システムのシステム構成情報とに基づいて、前記管理対象の情報システムにおけるリスクを分析することを特徴とするセキュリティ運用管理方法。
- 前記共通脅威対策知識は、少なくとも1つの脅威と、情報システムを利用するユーザ、情報システムで提供されるサービス、及び/又は、情報システム内に含まれる資源について想定される攻撃手段と、該攻撃手段に対抗するための対策、及び、該対策によって期待される効果の程度とを関連づけた故障の木解析情報を1つ以上含む、請求項1に記載のセキュリティ運用管理方法。
- 前記管理対象のシステム構成情報は、管理対象のトポロジー情報と、管理対象に含まれる機器、該機器に搭載されている対策、及び、該機器が提供するサービスの情報を含むアプリケーション情報とを含む、請求項1又は2に記載のセキュリティ運用管理方法。
- 前記管理対象のシステム構成情報と、前記共通脅威対策知識と、前記管理対象における脅威対策の実施状況とに基づいて、当該情報システムのリスク値を計算する、請求項1〜3の何れか一に記載のセキュリティ運用管理方法。
- 前記管理対象のシステム構成情報と、前記共通脅威対策知識と、複数の情報システムに共通に適応可能なサービスとサービスを阻害する対策との関係を定義した共通サービス対策知識と、前記管理対象に含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案する、請求項1〜4の何れか一に記載のセキュリティ運用管理方法。
- 前記管理対象のシステム構成情報と、前記共通脅威対策知識と、前記管理対象で想定される少なくとも1つの脅威について該脅威を抑止すべき対策レベルを指定した脅威対策制約ポリシーとに基づいて、情報システムの脅威対策を立案する、請求項1〜5の何れか一に記載のセキュリティ運用管理方法。
- 複数の情報システムに共通に適応可能なサービスと該サービスを阻害する対策との関係を定義した共通サービス対策知識と、管理対象を構成する情報システムのシステム構成情報と、前記管理対象の情報システムに含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案することを特徴とするセキュリティ運用管理方法。
- 複数の情報システムに共通に適応可能な脅威と対策との関係を定義した共通脅威対策知識と、管理対象を構成する情報システムのシステム構成情報とに基づいて、前記管理対象の情報システムのリスクを分析する分析手段を備えることを特徴とするセキュリティ運用管理システム。
- 複数の情報システムに共通に適応可能なサービスと該サービスを阻害する対策との関係を定義した共通サービス対策知識と、管理対象を構成する情報システムのシステム構成情報と、前記管理対象の情報システムに含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案する立案手段を備えることを特徴とするセキュリティ運用管理システム。
- 情報システムのセキュリティを運用管理するコンピュータのためのプログラムであって、前記コンピュータに、
複数の情報システムに共通に適応可能な脅威と対策との関係を定義した共通脅威対策知識と、管理対象を構成する情報システムのシステム構成情報とに基づいて、前記管理対象の情報システムのリスクを分析する処理を実行させることを特徴とするプログラム。 - 情報システムのセキュリティを運用管理するコンピュータのためのプログラムであって、前記コンピュータに、
複数の情報システムに共通に適応可能なサービスと該サービスを阻害する対策との関係を定義した共通サービス対策知識と、管理対象を構成する情報システムのシステム構成情報と、前記管理対象の情報システムに含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案する処理を実行させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007313083A JP5145907B2 (ja) | 2007-12-04 | 2007-12-04 | セキュリティ運用管理システム、方法、及び、プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007313083A JP5145907B2 (ja) | 2007-12-04 | 2007-12-04 | セキュリティ運用管理システム、方法、及び、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009140041A true JP2009140041A (ja) | 2009-06-25 |
JP5145907B2 JP5145907B2 (ja) | 2013-02-20 |
Family
ID=40870617
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007313083A Active JP5145907B2 (ja) | 2007-12-04 | 2007-12-04 | セキュリティ運用管理システム、方法、及び、プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5145907B2 (ja) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011022903A (ja) * | 2009-07-17 | 2011-02-03 | Nec Corp | 分析装置、分析方法およびプログラム |
JP2011028613A (ja) * | 2009-07-28 | 2011-02-10 | Nec Corp | 対策候補生成システム、対策候補生成方法およびプログラム |
JP2012043013A (ja) * | 2010-08-12 | 2012-03-01 | Toshiba Corp | 脅威分析支援装置及び脅威分析支援プログラム |
JP4991968B2 (ja) * | 2009-11-19 | 2012-08-08 | 株式会社日立製作所 | コンピュータシステム、管理システム及び記録媒体 |
JP2013525927A (ja) * | 2010-05-07 | 2013-06-20 | アルカテル−ルーセント | 情報システムインフラストラクチャのセキュリティポリシーを適合させるための方法 |
EP3599565A1 (en) | 2018-07-27 | 2020-01-29 | Hitachi, Ltd. | Risk analysis support device, risk analysis support method, and risk analysis support program |
JP2022079717A (ja) * | 2020-07-28 | 2022-05-26 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
WO2022244179A1 (ja) * | 2021-05-20 | 2022-11-24 | 日本電気株式会社 | ポリシー生成装置、ポリシー生成方法及びプログラムが格納された非一時的なコンピュータ可読媒体 |
US11822671B2 (en) | 2016-03-30 | 2023-11-21 | Nec Corporation | Information processing device, information processing method, and non-transitory computer readable medium for identifying terminals without security countermeasures |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7220095B2 (ja) | 2019-02-22 | 2023-02-09 | 株式会社日立製作所 | セキュリティ設計立案支援装置 |
-
2007
- 2007-12-04 JP JP2007313083A patent/JP5145907B2/ja active Active
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011022903A (ja) * | 2009-07-17 | 2011-02-03 | Nec Corp | 分析装置、分析方法およびプログラム |
JP2011028613A (ja) * | 2009-07-28 | 2011-02-10 | Nec Corp | 対策候補生成システム、対策候補生成方法およびプログラム |
JP4991968B2 (ja) * | 2009-11-19 | 2012-08-08 | 株式会社日立製作所 | コンピュータシステム、管理システム及び記録媒体 |
JP2013525927A (ja) * | 2010-05-07 | 2013-06-20 | アルカテル−ルーセント | 情報システムインフラストラクチャのセキュリティポリシーを適合させるための方法 |
JP2012043013A (ja) * | 2010-08-12 | 2012-03-01 | Toshiba Corp | 脅威分析支援装置及び脅威分析支援プログラム |
US11822671B2 (en) | 2016-03-30 | 2023-11-21 | Nec Corporation | Information processing device, information processing method, and non-transitory computer readable medium for identifying terminals without security countermeasures |
EP3599565A1 (en) | 2018-07-27 | 2020-01-29 | Hitachi, Ltd. | Risk analysis support device, risk analysis support method, and risk analysis support program |
JP2022079717A (ja) * | 2020-07-28 | 2022-05-26 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
WO2022244179A1 (ja) * | 2021-05-20 | 2022-11-24 | 日本電気株式会社 | ポリシー生成装置、ポリシー生成方法及びプログラムが格納された非一時的なコンピュータ可読媒体 |
Also Published As
Publication number | Publication date |
---|---|
JP5145907B2 (ja) | 2013-02-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5145907B2 (ja) | セキュリティ運用管理システム、方法、及び、プログラム | |
JP5304243B2 (ja) | セキュリティリスク管理システム、装置、方法、およびプログラム | |
Tsigkanos et al. | On the interplay between cyber and physical spaces for adaptive security | |
EP2738708B1 (en) | Methods and Systems for Architecture-Centric Threat Modeling, Analysis and Visualization | |
Tjoa et al. | A formal approach enabling risk-aware business process modeling and simulation | |
JP5719431B2 (ja) | コンテキストを認識するためのデータを保護するための方法、並びに、そのデータ処理システム、及びコンピュータ・プログラム | |
US20130055342A1 (en) | Risk-based model for security policy management | |
EP1995681A1 (en) | Authenticity assurance system for spreadsheet data | |
Spanakis et al. | Cyber-attacks and threats for healthcare–a multi-layer thread analysis | |
US10887261B2 (en) | Dynamic attachment delivery in emails for advanced malicious content filtering | |
JP5366864B2 (ja) | セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 | |
JP2008129648A (ja) | セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム | |
Goluch et al. | Integration of an ontological information security concept in risk aware business process management | |
KR20220110676A (ko) | 클라우드 서버에서 인스턴스 리스크 레벨을 결정하는 방법, 장치 및 전자 기기 | |
do Amaral et al. | Integrating Zero Trust in the cyber supply chain security | |
JP5971115B2 (ja) | 情報処理プログラム、情報処理方法及び装置 | |
JP7099533B2 (ja) | 影響範囲推定装置、影響範囲推定方法、及びプログラム | |
CN112579929A (zh) | 一种可视化区块链浏览器页面构建方法及装置 | |
Awiszus et al. | Building resilience in cybersecurity: An artificial lab approach | |
Zawoad et al. | FAL: A forensics aware language for secure logging | |
Johnstone | Threat modelling with STRIDE and UML | |
JPWO2013114911A1 (ja) | リスク評価システム、リスク評価方法、及びプログラム | |
Khan et al. | Automatic verification of health regulatory compliance in cloud computing | |
Nassar et al. | Risk management and security in service-based architectures | |
Kittel et al. | Flexible Controls for Compliance in Catastrophe Management Processes. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20100225 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101105 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111213 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120228 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120501 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120522 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120822 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20120829 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121030 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121112 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5145907 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151207 Year of fee payment: 3 |