JP2009146260A - Security evaluating method, and information processor - Google Patents

Security evaluating method, and information processor Download PDF

Info

Publication number
JP2009146260A
JP2009146260A JP2007324483A JP2007324483A JP2009146260A JP 2009146260 A JP2009146260 A JP 2009146260A JP 2007324483 A JP2007324483 A JP 2007324483A JP 2007324483 A JP2007324483 A JP 2007324483A JP 2009146260 A JP2009146260 A JP 2009146260A
Authority
JP
Japan
Prior art keywords
security evaluation
countermeasure
evaluation value
asset
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007324483A
Other languages
Japanese (ja)
Inventor
Daisaku Horie
大作 保理江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Konica Minolta Inc
Original Assignee
Konica Minolta Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Konica Minolta Inc filed Critical Konica Minolta Inc
Priority to JP2007324483A priority Critical patent/JP2009146260A/en
Publication of JP2009146260A publication Critical patent/JP2009146260A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a security evaluating method and an information processor for calculating, for each terminal, a security evaluation value reflecting damage when protection target assets are illegally acquired by a terminal on a path that accesses a terminal storing the protection target assets. <P>SOLUTION: The security evaluating method includes: a normal access probability inputting process for inputting a normal access probability; an illegal acquisition probability inputting process for inputting an illegal acquisition probability; an assets damage degree inputting process; a countermeasure break damage degree calculating process for calculating a countermeasure break damage degree in the case of breaking countermeasure on the basis of the illegal acquisition probability, the normal access probability and the assets damage degree; a threat occurrence frequency inputting process for inputting a threat occurrence frequency; a prevention performance inputting process for inputting prevention performance; and a security evaluation value calculating process for calculating a security evaluation value in the case of breaking the countermeasure on the basis of the countermeasure break damage degree or the assets damage degree, the threat occurrence frequency and the prevention performance. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、セキュリティ評価方法、情報処理装置に関する。   The present invention relates to a security evaluation method and an information processing apparatus.

近年、電子情報による資産をハッカーなどの脅威から守るためのセキュリティ対策がますます重要になりつつある。このようなセキュリティ対策は、対策を施せば施すほどセキュリティレベルが高くなり、セキュリティ上は好ましい状態になる。   In recent years, security measures for protecting electronic information assets from hackers and other threats are becoming increasingly important. Such security measures are more desirable as they are taken, and the security level becomes better.

一方、特にセキュリティ対策を打たなくてもほとんど電子情報を侵害されるおそれが無い場合(資産侵害に繋がりうる脅威が滅多に発生しない場合)は、セキュリティ対策を施す必要は無いと一般的に考えられる。また、侵害があったとしても発生する被害が微少な場合も同様である。   On the other hand, it is generally considered that there is no need to take security measures when there is almost no risk of infringement of electronic information even if no security measures are taken (when rare threats that can lead to asset infringements occur). It is done. The same applies to the case where the damage caused is small even if there is an infringement.

このように、セキュリティ対策を導入するにあたってセキュリティ評価を行うときは、セキュリティ対策の導入コストと導入効果との比較が必要である。比較しやすいように導入コストは定量的な値を算出し、導入効果も定量的な値を算出することが好ましい。   Thus, when security evaluation is performed when introducing security measures, it is necessary to compare the introduction cost and the effect of the security measures. For easy comparison, it is preferable to calculate a quantitative value for the introduction cost and to calculate a quantitative value for the introduction effect.

一般的に用いられている定量的にセキュリティ評価を行う方法としては、例えば、非特許文献1に資産侵害確率と侵害時の損害度の積をセキュリティ評価値とする方法が開示されている(非特許文献1参照)。   As a generally used quantitative security evaluation method, for example, Non-Patent Document 1 discloses a method in which a product of an asset infringement probability and a damage degree at the time of infringement is used as a security evaluation value (Non-Patent Document 1). Patent Document 1).

非特許文献1に開示されている方法では、侵害確率を1年毎の確率値とし、損害度を損害額とすると、セキュリティ評価値は1年毎の損害額の期待値として算出することができる。したがって、1年あたりの平均的なセキュリティコストと比較すれば、コスト面から見たセキュリティ対策の妥当性を判断することができる。   In the method disclosed in Non-Patent Document 1, when the infringement probability is a probability value for each year and the damage level is a damage amount, the security evaluation value can be calculated as an expected value of the damage amount for each year. . Therefore, if compared with the average security cost per year, it is possible to determine the appropriateness of security measures from the viewpoint of cost.

しかしながら、非特許文献1に開示されている方法では、対象システムを構成する各コンポーネント毎のセキュリティ対策の妥当性を判断することはできない。   However, the method disclosed in Non-Patent Document 1 cannot determine the appropriateness of security measures for each component constituting the target system.

そのため、対象システムを構成する各コンポーネントによる脅威低減効果の比を寄与率として算出し、トータルとしての各コンポーネントのセキュリティ面での重要度を数値化し、各コンポーネント毎のコストを合わせて表示する方法が提案されている(例えば、特許文献1参照)。   Therefore, there is a method to calculate the ratio of threat reduction effect by each component that constitutes the target system as a contribution rate, quantify the security importance of each component as a total, and display the cost of each component together. It has been proposed (see, for example, Patent Document 1).

特許文献1に開示されているセキュリティ評価方法では、保護対象資産が格納されているサーバ内の電子情報が侵害された場合についてのみ損害度が算出されている。例えば、文書サーバ内に格納されている個人情報データを保護対象資産とすると、このサーバの防御性能と、このサーバに不正アクセスが試みられた確率から評価される。   In the security evaluation method disclosed in Patent Document 1, the degree of damage is calculated only when the electronic information in the server storing the assets to be protected is infringed. For example, assuming that personal information data stored in a document server is an asset to be protected, it is evaluated from the defense performance of this server and the probability of unauthorized access to this server.

サーバの防御性能は、例えばこのサーバにアクセス可能な端末へログインする際のログイン認証、サーバにアクセスが認められた端末かどうかのデバイス認証、サーバにアクセス可能な端末が置いてある部屋へ入室する際の個人認証などによって算定される。
ISO/IEC TR13335「The Guideline for the management IT Security」 特開2006−331383号公報 The server's defense performance is, for example, login authentication when logging in to a terminal accessible to this server, device authentication as to whether or not the terminal is permitted to access the server, and entering a room where a terminal accessible to the server is placed. It is calculated by personal authentication.
ISO / IEC TR13335 "The Guideline for the management IT Security" JP 2006-331383 A

しかしなから、実際には、保護対象の資産が格納されているサーバを設置した部屋の入退室管理の個人認証さえ突破できれば、保護対象の資産にアクセス中の端末を覗き見ることもできる。さらに、保護対象の資産にアクセス中の端末にリモート端末からアクセスされた場合、アクセス中の端末が一次的に手元にダウンロードした保護対象の資産のデータを覗き見ることもできる。   However, in reality, if the personal authentication of the entrance / exit management of the room in which the server storing the assets to be protected is installed, it is possible to look into the terminal that is accessing the assets to be protected. Furthermore, when a terminal that is accessing the asset to be protected is accessed from a remote terminal, the data of the asset to be protected that the accessing terminal temporarily downloaded at hand can be viewed.

覗き見によって資産のセキュリティが侵害される度合いは、覗き見対象の端末に対する正規アクセス頻度に依存する。従って、セキュリティ評価には評価対象システム上においてどれだけ頻繁に正規アクセスが発生しているか、といった点も加味して評価されることが好ましいといえる。   The degree to which the security of assets is breached by peeping depends on the regular access frequency for the terminal to be peeped. Therefore, it can be said that the security evaluation is preferably performed in consideration of how often regular access occurs on the evaluation target system.

特許文献1に開示されている方法では保護対象の資産を格納した端末への侵害のみが考慮されており、経路上の端末から保護対象の資産を不正に取得する場合は考慮されていない。そのため、正規の権限を持つ利用者が端末に正規に保護対象の資産にアクセスする確率に係わらずセキュリティ評価値は同じであり、評価結果をもとにセキュリティ対策を経路上の各端末の前後に適切に設定することができない。   In the method disclosed in Patent Document 1, only the infringement of the terminal storing the asset to be protected is considered, and the case of illegally acquiring the asset to be protected from the terminal on the route is not considered. Therefore, the security evaluation value is the same regardless of the probability that a user with legitimate authority can access the protected asset to the terminal normally, and security measures are applied before and after each terminal on the route based on the evaluation result. It cannot be set properly.

本発明は、上記課題に鑑みてなされたものであって、保護対象の資産が格納されている端末にアクセスする経路上の端末から保護対象資産を不正に取得された場合の損害を反映したセキュリティ評価値を、各対策毎に算出するセキュリティ評価方法、情報処理装置を提供することを目的とする。   The present invention has been made in view of the above problems, and reflects security in the case where a protected asset is illegally acquired from a terminal on a path for accessing the terminal in which the protected asset is stored. It is an object of the present invention to provide a security evaluation method and an information processing apparatus for calculating an evaluation value for each countermeasure.

本発明の目的は、下記構成により達成することができる。   The object of the present invention can be achieved by the following constitution.

1.
保護対象の資産が格納された主情報処理装置にアクセスする経路に、該資産に対する脅威による侵害を防御する複数の対策が施された情報システムのセキュリティレベルを評価するセキュリティ評価方法において、
前記脅威が前記対策を突破した後、正規の権限を持つ利用者がアクセスしている前記資産を前記脅威が不正に取得する不正取得確率を入力する不正取得確率入力工程と、
前記利用者が前記資産にアクセスしている確率である正規アクセス確率を入力する正規アクセス確率入力工程と、
前記資産が侵害された場合の資産損害度を入力する資産損害度入力工程と、
前記不正取得確率と前記正規アクセス確率と前記資産損害度と、に基づいて前記対策を突破された場合の対策突破損害度を算出する対策突破損害度算出工程と、
前記脅威が前記資産を侵害する脅威発生頻度を入力する脅威発生頻度入力工程と、
前記侵害を防御する前記対策の防御性能を入力する防御性能入力工程と、
前記対策突破損害度と前記脅威発生頻度と前記防御性能とに基づいてセキュリティ評価値を算出するセキュリティ評価値算出工程と、
を有することを特徴とするセキュリティ評価方法。 1.
In a security evaluation method for evaluating the security level of an information system in which a plurality of measures for preventing infringement by a threat to the asset are provided in a path to access a main information processing apparatus in which the asset to be protected is stored,
An unauthorized acquisition probability input step of inputting an unauthorized acquisition probability that the threat illegally acquires the asset accessed by a user having a legitimate authority after the threat breaks through the countermeasure;
A normal access probability input step of inputting a normal access probability which is a probability that the user is accessing the asset;
An asset damage level input step of inputting an asset damage level when the asset is infringed;
A countermeasure breakage damage degree calculating step for calculating a countermeasure breakage damage degree when the countermeasure is broken based on the unauthorized acquisition probability, the regular access probability, and the asset damage degree;
A threat occurrence frequency input step of inputting a threat occurrence frequency at which the threat infringes the asset; and
A defensive performance input step of inputting the defensive performance of the countermeasure to prevent the infringement;
A security evaluation value calculating step of calculating a security evaluation value based on the countermeasure damage damage degree, the threat occurrence frequency, and the defense performance;
A security evaluation method characterized by comprising:

2.
前記セキュリティ評価値算出工程に、前記資産損害度と前記脅威発生頻度と前記防御性能とに基づいて全ての前記対策を突破した場合のセキュリティ評価値を算出する工程が含まれることを特徴とする1に記載のセキュリティ評価方法。 2.
The security evaluation value calculating step includes a step of calculating a security evaluation value when all the countermeasures are broken based on the asset damage level, the threat occurrence frequency, and the defense performance. Security evaluation method described in 1.

3.
前記セキュリティ評価値算出工程で算出した前記セキュリティ評価値の総和からシステムセキュリティ評価値を算出するシステムセキュリティ評価値算出工程を有することを特徴とする2に記載のセキュリティ評価方法。 3.
3. The security evaluation method according to 2, further comprising a system security evaluation value calculation step of calculating a system security evaluation value from the sum of the security evaluation values calculated in the security evaluation value calculation step.

4.
前記不正取得確率入力工程の前に、
前記不正取得確率に関連する要因と前記不正取得確率とを対応付けた対応表を表示する対応表表示工程を有することを特徴とする1乃至3の何れか1項に記載のセキュリティ評価方法。 4).
Before the fraud acquisition probability input step,
4. The security evaluation method according to any one of claims 1 to 3, further comprising a correspondence table display step of displaying a correspondence table in which a factor related to the unauthorized acquisition probability is associated with the unauthorized acquisition probability.

5.
保護対象の資産が格納された主情報処理装置にアクセスする経路に、該資産に対する脅威による侵害を防御する複数の対策が施された情報システムのセキュリティレベルに関する評価値を算出する情報処理装置において、
前記脅威が前記対策を突破した後、正規の権限を持つ利用者がアクセスしている前記資産を、前記脅威が不正に取得する不正取得確率を入力する不正取得確率入力手段と、
前記利用者が前記資産にアクセスしている確率である正規アクセス確率を入力する正規アクセス確率入力手段と、
前記資産が侵害された場合の資産損害度を入力する資産損害度入力手段と、
前記不正取得確率と前記正規アクセス確率と前記資産損害度とに基づいて前記対策を突破された場合の対策突破損害度を算出する対策突破損害度算出手段と、
前記脅威が前記資産を侵害する脅威発生頻度を入力する脅威発生頻度入力手段と、
前記侵害を防御する前記対策の防御性能を入力する防御性能入力手段と、
前記対策突破損害度と前記脅威発生頻度と前記防御性能とに基づいてセキュリティ評価値を算出するセキュリティ評価値算出手段と、
を有することを特徴とする情報処理装置。 5).
In an information processing apparatus that calculates an evaluation value related to a security level of an information system in which a plurality of measures for preventing infringement by a threat to the asset are provided in a path to access a main information processing apparatus in which assets to be protected are stored,
An unauthorized acquisition probability input means for inputting an unauthorized acquisition probability that the threat illegally acquires the asset accessed by a user having a legitimate authority after the threat has broken through the countermeasure;
Normal access probability input means for inputting a normal access probability that is a probability that the user is accessing the asset;
Asset damage level input means for inputting the asset damage level when the asset is infringed;
Countermeasure damage damage degree calculating means for calculating a countermeasure damage damage degree when the countermeasure is broken based on the unauthorized acquisition probability, the regular access probability, and the asset damage degree;
A threat occurrence frequency input means for inputting a threat occurrence frequency at which the threat infringes the asset;
Defensive performance input means for inputting the defensive performance of the countermeasure to prevent the infringement;
Security evaluation value calculating means for calculating a security evaluation value based on the countermeasure damage damage degree, the threat occurrence frequency, and the defense performance;
An information processing apparatus comprising:

6.
前記セキュリティ評価値算出手段は、前記資産損害度と前記脅威発生頻度と前記防御性能とに基づいて全ての前記対策を突破した場合のセキュリティ評価値を算出することを特徴とする5に記載の情報処理装置。 6).
6. The information according to 5, wherein the security evaluation value calculating means calculates a security evaluation value when all the countermeasures are broken based on the asset damage level, the threat occurrence frequency, and the defense performance. Processing equipment.

7.
前記セキュリティ評価値算出手段が算出した前記セキュリティ評価値の総和からシステムセキュリティ評価値を算出するシステムセキュリティ評価値算出手段を有することを特徴とする6に記載の情報処理装置。 7).
7. The information processing apparatus according to claim 6, further comprising a system security evaluation value calculating unit that calculates a system security evaluation value from a sum of the security evaluation values calculated by the security evaluation value calculating unit.

8.
前記不正取得確率に関連する要因と前記不正取得確率とを対応付けた対応表を表示する対応表表示手段を有することを特徴とする5乃至7の何れか1項に記載の情報処理装置。 8).
8. The information processing apparatus according to claim 5, further comprising: a correspondence table display unit configured to display a correspondence table in which a factor related to the fraud acquisition probability is associated with the fraud acquisition probability.

本発明によれば、保護対象の資産が格納されている情報処理装置にアクセスする経路に施された対策を突破した脅威が、正規の権限を持つ利用者がアクセスしている前記保護対象の資産を、不正に取得した場合の損害度を算出し、各対策毎にセキュリティ評価値を算出する。したがって、保護対象の資産が格納されている端末にアクセスする経路上の端末から保護対象資産を不正に取得された場合の損害を反映したセキュリティ評価値を、各端末毎に算出するセキュリティ評価方法、情報処理装置を提供できる。   According to the present invention, the protection target asset accessed by a user having a legitimate authority is detected by a threat that broke through a countermeasure applied to a route for accessing the information processing apparatus in which the protection target asset is stored. Is calculated as a security evaluation value for each measure. Accordingly, a security evaluation method for calculating for each terminal a security evaluation value that reflects damage in the case where the protected asset is illegally acquired from a terminal on the path to access the terminal where the protected asset is stored, An information processing apparatus can be provided.

以下、図面に基づき本発明の実施形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

まず、本発明の実施形態について、図1を用いて説明する。   First, an embodiment of the present invention will be described with reference to FIG.

図1は、本発明の実施形態に係る情報処理装置2の内部構成の一例を示すブロック図である。   FIG. 1 is a block diagram showing an example of the internal configuration of the information processing apparatus 2 according to the embodiment of the present invention.

情報処理装置2は、全体を制御するCPU211、ユーザが入力と操作を行う入力部218、イーサネット(登録商標)などで通信を行う送信部224と受信部225を備えた通信部210などから構成されている。また、情報処理装置2は、画像や文字を表示する表示部219、および図示せぬRAM(Randam Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)などから構成される記憶部213を備えている。   The information processing apparatus 2 includes a CPU 211 that controls the entire system, an input unit 218 that a user inputs and operates, a communication unit 210 that includes a transmission unit 224 and a reception unit 225 that communicate via Ethernet (registered trademark) and the like. ing. The information processing apparatus 2 includes a display unit 219 that displays images and characters, and a storage unit 213 including a RAM (Random Access Memory), a ROM (Read Only Memory), an HDD (Hard Disk Drive), and the like (not shown). It has.

記憶部213は、例えばOS(オペレーティングシステム)、本発明に係るセキュリティ評価のプログラム等を記憶しており、CPU211がこれらのプログラムを実行する。本実施形態では情報処理装置2をスタンドアロンで使用する例を説明するが、例えば情報処理装置2にインストールされたセキュリティ評価のプログラムを、ネットワークを介して遠隔地の端末から実行するようにしても良い。   The storage unit 213 stores, for example, an OS (Operating System), a security evaluation program according to the present invention, and the like, and the CPU 211 executes these programs. In the present embodiment, an example in which the information processing apparatus 2 is used stand-alone will be described. For example, a security evaluation program installed in the information processing apparatus 2 may be executed from a remote terminal via a network. .

CPU211は、不正取得確率入力部250、正規アクセス確率入力部251、資産損害度入力部252、脅威発生頻度入力部253、防御性能入力部254、対策突破損害度算出部255、セキュリティ評価値算出部256、システムセキュリティ評価値算出部257、対応表表示部258を有している。   The CPU 211 includes an unauthorized acquisition probability input unit 250, a regular access probability input unit 251, an asset damage degree input unit 252, a threat occurrence frequency input unit 253, a defense performance input unit 254, a countermeasure sudden damage degree calculation unit 255, and a security evaluation value calculation unit. 256, a system security evaluation value calculation unit 257, and a correspondence table display unit 258.

不正取得確率入力部250は本発明の不正取得確率入力手段、正規アクセス確率入力部251は本発明の正規アクセス確率入力手段、資産損害度入力部252は本発明の資産損害度入力手段である。脅威発生頻度入力部253は本発明の脅威発生頻度入力手段、防御性能入力部254は本発明の防御性能入力手段、対策突破損害度算出部255は本発明の対策突破損害度算出手段である。セキュリティ評価値算出部256は本発明のセキュリティ評価値算出手段、システムセキュリティ評価値算出部257は本発明のシステムセキュリティ評価値算出手段、対応表表示部258は本発明の対応表表示手段である。   The unauthorized acquisition probability input unit 250 is an unauthorized acquisition probability input unit of the present invention, the normal access probability input unit 251 is a normal access probability input unit of the present invention, and the asset damage level input unit 252 is an asset damage level input unit of the present invention. The threat occurrence frequency input unit 253 is the threat occurrence frequency input unit of the present invention, the defense performance input unit 254 is the defense performance input unit of the present invention, and the countermeasure sudden damage degree calculation unit 255 is the countermeasure sudden damage degree calculation unit of the present invention. The security evaluation value calculation unit 256 is the security evaluation value calculation unit of the present invention, the system security evaluation value calculation unit 257 is the system security evaluation value calculation unit of the present invention, and the correspondence table display unit 258 is the correspondence table display unit of the present invention.

これらのCPU211の有する各機能要素を説明する前に、図7、図8に示すセキュリティ評価の対象となる情報システムの構成例を用いて本発明のセキュリティ評価方法を説明する。図7は、本発明の実施形態を説明するために具体例として使用する情報システムの説明図である。   Before describing each functional element of the CPU 211, the security evaluation method of the present invention will be described using a configuration example of an information system to be subjected to security evaluation shown in FIGS. FIG. 7 is an explanatory diagram of an information system used as a specific example for explaining the embodiment of the present invention.

図7に示す情報システム220は、サーバ室200の中にサーバ1と端末10、端末11がイントラネット5により接続されている。20は正規の権限を持つ利用者である。サーバ1には例えば顧客情報データベースなど保護対象の資産が格納されている。   In the information system 220 illustrated in FIG. 7, the server 1, the terminal 10, and the terminal 11 are connected to the server room 200 via the intranet 5. Reference numeral 20 denotes a user having regular authority. The server 1 stores assets to be protected such as a customer information database.

サーバ室200には生体認証やパスワード認証により利用者20を認証する入退室管理装置201が設置されており、認証できない場合はドア202が開閉しないようになっている。   The server room 200 is provided with an entrance / exit management device 201 that authenticates the user 20 by biometric authentication or password authentication, and the door 202 is not opened and closed when authentication is not possible.

図8は、図7に示す情報システム220を例に脅威が保護対象の資産が格納された主情報処理装置であるサーバ1にアクセスする経路をステップ毎に説明する説明図である。   FIG. 8 is an explanatory diagram for explaining, for each step, a path for accessing the server 1 that is the main information processing apparatus in which the asset to be protected is stored in the information system 220 shown in FIG. 7 as an example.

サーバ室200の外部から脅威Tが侵入し、サーバ1の保護対象の資産を侵害する経路rについて順に説明する。   The route r in which the threat T enters from the outside of the server room 200 and infringes on the protected assets of the server 1 will be described in order.

脅威Tは、ステップS50ではサーバ室200の外部から侵入する機会を窺っているが、サーバ室200には前述のように入退室管理装置201が設置され入退室管理認証が行われている。図8では、この入退室管理認証を対策Aと記している。ステップS51は、対策Aであり、脅威Tがサーバ室200に侵入するためには、最初に対策Aを突破しなければならない。   The threat T gives an opportunity to enter from the outside of the server room 200 in step S50, but the server room 200 is provided with the entrance / exit management device 201 as described above, and the entrance / exit management authentication is performed. In FIG. 8, this entrance / exit management authentication is indicated as measure A. Step S51 is a countermeasure A. In order for the threat T to enter the server room 200, the countermeasure A must first be broken.

対策Aを突破すると、次のステップS52として脅威Tはサーバ室200の室内に到達する。サーバ室200の中には図7のようにサーバ1にアクセス可能な端末10、端末11が設置されている。しかしながら、端末10、端末11には例えばログインのための認証パスワード等が設定されており、ログインが認証されないと利用することができない。図8では、このPCログイン認証を対策Bと記している。ステップS53は対策Bであり、脅威Tが保護対象の資産を侵害するためにはログインのための認証パスワード等を取得しなければいけない。   When the measure A is broken, the threat T reaches the server room 200 as the next step S52. In the server room 200, a terminal 10 and a terminal 11 that are accessible to the server 1 are installed as shown in FIG. However, for example, an authentication password for login is set in the terminal 10 and the terminal 11 and cannot be used unless the login is authenticated. In FIG. 8, this PC login authentication is described as countermeasure B. Step S53 is Countermeasure B. In order for the threat T to infringe on the asset to be protected, an authentication password for login must be acquired.

対策Bを突破すると、次のステップS54では、脅威Tは例えば端末10を利用できるようになる。しかし、端末10、端末11からサーバ1にアクセスするためには、正規のサービスユーザに設定された認証パスワード等を入力するように対策されている。図8では、このサービスユーザ認証を対策Cと記している。ステップS55は対策Cであり、脅威Tが保護対象の資産を侵害するためにはサービスユーザ認証のパスワード等を取得しなければいけない。   When the measure B is broken, in the next step S54, the threat T can use the terminal 10, for example. However, in order to access the server 1 from the terminal 10 and the terminal 11, measures are taken to input an authentication password or the like set for a regular service user. In FIG. 8, this service user authentication is indicated as countermeasure C. Step S55 is Countermeasure C. In order for the threat T to infringe on the asset to be protected, a service user authentication password or the like must be acquired.

対策Cを突破すると、次のステップS56では脅威Tはサーバ1を利用できるようになり、保護対象の資産へのアクセスも全て可能である。このようにステップS56まで侵害されると被害は甚大である。本発明では、脅威TがステップS56まで到達し、保護対象の資産が侵害された場合の損害を資産損害度Dと呼ぶ。本実施形態では、説明のため資産損害度Dを仮に400万円とする。   If the countermeasure C is broken, the threat T can use the server 1 in the next step S56, and all the assets to be protected can be accessed. As described above, if the infringement is performed up to step S56, the damage is enormous. In the present invention, the damage when the threat T reaches step S56 and the protected asset is infringed is referred to as an asset damage degree D. In the present embodiment, the asset loss degree D is assumed to be 4 million yen for explanation.

このように、脅威Tが対策A、対策B、対策Cを突破しないと保護対象の資産に直接アクセスすることはできない。しかしながら、脅威Tが対策Aを突破し、サーバ室200の室内に侵入したときに、正規の権限を持つ利用者20が端末10から保護対象の資産にアクセスしていたとすると、例えば脅威Tはこれを覗き見ることができる。脅威Tが覗き見することによって例えば顧客データベースの一部の情報を取得される可能性があり、またこの情報を悪用されるおそれもある。   As described above, unless the threat T breaks through the countermeasure A, the countermeasure B, and the countermeasure C, the protected asset cannot be directly accessed. However, when the threat T breaks through the countermeasure A and enters the room of the server room 200, if the user 20 having the proper authority has accessed the assets to be protected from the terminal 10, for example, the threat T You can peek. When the threat T peeks, for example, some information in the customer database may be acquired, and this information may be misused.

さらに脅威Tが対策Bを突破し、端末10または端末11を利用できるようになっても対策Cを突破しないとサーバ1にアクセスできない。しかし、脅威Tが利用可能となった端末に、正規の権限を持つ利用者20がサーバ1の例えば顧客データベースを使って作業中の画面またはデータが残されていたら、脅威Tがこの情報を取得する可能性があり、同様にこの情報を悪用されるおそれもある。   Furthermore, even if the threat T breaks through the countermeasure B and the terminal 10 or the terminal 11 can be used, the server 1 cannot be accessed unless the countermeasure C is broken. However, if a screen or data in which a user 20 having a legitimate authority is working using, for example, a customer database of the server 1 is left on a terminal where the threat T can be used, the threat T acquires this information. This information can be abused as well.

本発明では、このように脅威Tが対策を突破した後、正規の権限を持つ利用者20がアクセスしている資産を脅威Tが不正に取得した場合の損害を、対策突破損害度Lと呼ぶ。対策突破損害度Lを算出することにより各対策毎に対策を突破された場合の損害を定量的に評価することができる。したがって、セキュリティ対策に必要な費用を勘案して適切なセキュリティ対策の投資を行うこともできる。   In the present invention, after the threat T breaks through the countermeasure in this way, the damage when the threat T illegally acquires the asset accessed by the user 20 having the authorized authority is called the countermeasure sudden damage degree L. . By calculating the countermeasure breakage damage degree L, it is possible to quantitatively evaluate the damage when the countermeasure is broken for each countermeasure. Therefore, it is possible to invest in appropriate security measures in consideration of the cost required for the security measures.

対策突破損害度Lは、脅威TがステップS56まで侵入し、保護対象の資産が侵害された場合の損害である資産損害度Dの一部であると考えられる。本発明では、対策を突破した脅威Tが、正規の権限を持つ利用者20がアクセスしている資産を取得する確率と、資産損害度Dから対策突破損害度Lを算出する。   The countermeasure damage damage degree L is considered to be a part of the asset damage degree D that is a damage when the threat T enters the step S56 and the protected asset is infringed. In the present invention, the countermeasure T breakage damage degree L is calculated from the probability that the threat T that broke through the countermeasures acquires the asset accessed by the user 20 having the proper authority and the asset damage degree D.

例えば対策Aを突破した脅威Tが、正規の権限を持つ利用者20がアクセスしている資産を取得する確率は次のように考えられる。   For example, the probability that the threat T that broke through the countermeasure A acquires the asset accessed by the user 20 having the proper authority is considered as follows.

最初の条件として、脅威Tがサーバ室200の室内に侵入したときに、正規の権限を持つ利用者20が保護対象の資産にアクセスしていなければならない。次の条件として、正規の権限を持つ利用者20が保護対象の資産にアクセスしていたとしても、必ずしも脅威Tが覗き見できたり、情報を取得できるとは限らない。例えば、サーバ室200が明るくて、多くの人がいる場合は、脅威Tは容易に覗き見することはできない。   As a first condition, when the threat T enters the room of the server room 200, the user 20 having the proper authority must access the assets to be protected. As a next condition, even if a user 20 with a legitimate authority has accessed the assets to be protected, the threat T cannot always be seen or information cannot be acquired. For example, when the server room 200 is bright and there are many people, the threat T cannot be easily peeped.

利用者20が保護対象の資産にアクセスしている確率を正規アクセス確率Zと呼び、保護対象の資産を、脅威Tが不正に取得する確率を不正取得確率Yと呼ぶ。経路上で保護対象の資産に最も近い3番目の対策Cを除くm番目の対策を突破した場合の対策突破損害度Lmは(1)式で求められる。 The probability that the user 20 is accessing the asset to be protected is called a normal access probability Z, and the probability that the threat T is illegally acquired by the threat T is called an unauthorized acquisition probability Y. The countermeasure breakage damage degree L m when the m-th countermeasure excluding the third countermeasure C closest to the asset to be protected on the route is obtained by the equation (1).

対策突破損害度Lm=正規アクセス確率Zm×不正取得確率Ym×資産損害度Dm・・・・・・・・(1)
例えば、対策Aを突破した脅威Tがサーバ室200に侵入したときの正規アクセス確率Z1を0.5、不正取得確率Y1を0.4、資産損害度Dを400万円、対策突破損害度をL1とすると、(1)式に代入して対策突破損害度L1は80万円となる。 Countermeasure damage damage degree L m = regular access probability Z m × unauthorized acquisition probability Y m × asset damage degree D m (1)
For example, when the threat T that broke through the countermeasure A enters the server room 200, the normal access probability Z 1 is 0.5, the unauthorized acquisition probability Y 1 is 0.4, the asset damage degree D is 4 million yen, and the countermeasure damage damage When the degree is L 1 , the countermeasure damage damage degree L 1 is 800,000 yen by substituting it into the equation (1).

また、例えば、対策Bを突破した脅威Tが端末10に侵入したときの正規アクセス確率Z2を0.2、不正取得確率Y2を0.5、資産損害度Dを400万円、対策突破損害度をL2とすると、(1)式に代入して対策突破損害度L2は40万円となる。 In addition, for example, when the threat T that breaks out of the countermeasure B enters the terminal 10, the normal access probability Z 2 is 0.2, the unauthorized acquisition probability Y 2 is 0.5, the asset damage degree D is 4 million yen, and the countermeasure is broken. Assuming that the damage degree is L 2 , the countermeasure sudden damage damage degree L 2 is 400,000 yen by substituting it into the equation (1).

これまでの手順で脅威Tが各対策を突破した場合の損害度を算出したが、情報システム220のセキュリティレベルを定量的に評価するためにはこのような損害が発生する頻度を考慮する必要がある。本発明では、脅威Tが各対策を突破する頻度を考慮したセキュリティ評価値Bを算出し、情報システム220のセキュリティを定量的に評価する。   The degree of damage when the threat T breaks through each countermeasure has been calculated in the above procedure. However, in order to quantitatively evaluate the security level of the information system 220, it is necessary to consider the frequency with which such damage occurs. is there. In the present invention, the security evaluation value B considering the frequency with which the threat T breaks through each countermeasure is calculated, and the security of the information system 220 is quantitatively evaluated.

本発明では、脅威Tの発生する頻度を脅威発生頻度H、各対策が脅威Tの侵入を防御できる確率を防御性能Xと呼ぶ。以下の説明では対策Aの防御性能を防御性能X1、対策Bの防御性能を防御性能X2、対策Cの防御性能を防御性能X3と呼び、サフィックスを付けて区別する。 In the present invention, the frequency of occurrence of the threat T is called the threat occurrence frequency H, and the probability that each countermeasure can prevent the intrusion of the threat T is called the defense performance X. In the following description, the defense performance of measure A is called defense performance X 1 , the defense performance of measure B is called defense performance X 2 , and the defense performance of measure C is called defense performance X 3 .

例えば、脅威Tが対策Aを突破してサーバ室200に侵入したが、対策Bに阻まれて端末10、11には侵入できなかった場合について説明する。ここでは一例として、脅威発生頻度Hは4(回/年)とし、防御性能X1は0.5、防御性能X2は0.8、防御性能X3は0.4とする。 For example, a case will be described in which the threat T broke through the countermeasure A and entered the server room 200 but was prevented by the countermeasure B and could not enter the terminals 10 and 11. Here, as an example, the threat occurrence frequency H is 4 (times / year), the defense performance X 1 is 0.5, the defense performance X 2 is 0.8, and the defense performance X 3 is 0.4.

脅威Tが対策Aを突破する確率Q1は、防御性能X1は0.5なので、確率Q1=(1−防御性能X1)=(1−0.5)=0.5である。一方、防御性能X2は0.8なので、0.5×0.8=0.4が、脅威Tが対策Aを突破してサーバ室200に侵入したが、対策Bに阻まれて端末10、11には侵入できなかった場合の確率Q2である。さらに、脅威発生頻度Hにこの確率Q2をかけると年間の発生頻度が求められる。この例では、H×Q2=4×0.4=1.6(回/年)である。 The probability Q1 that the threat T breaks through the measure A is 0.5 because the defense performance X 1 is 0.5, so the probability Q 1 = (1−defense performance X 1 ) = (1−0.5) = 0.5. On the other hand, since the defense performance X 2 is 0.8, 0.5 × 0.8 = 0.4 has passed the countermeasure A and has entered the server room 200, but the terminal 10 is blocked by the countermeasure B. , 11 is the probability Q2 when the intrusion cannot be made. Furthermore, when the probability Q2 is multiplied by the threat occurrence frequency H, the annual occurrence frequency is obtained. In this example, H × Q2 = 4 × 0.4 = 1.6 (times / year).

前述のように、脅威Tが対策を突破したときの対策突破損害度Lに脅威発生頻度Hと年間の発生頻度をかけると年間の損害度の期待値が求められる。本発明ではこの値をセキュリティ評価値Bと呼ぶ。   As described above, when the threat occurrence frequency H and the annual occurrence frequency are multiplied by the countermeasure damage damage degree L when the threat T breaks through the countermeasure, an expected value of the annual damage degree is obtained. In the present invention, this value is called a security evaluation value B.

例えば、脅威Tが対策Aを突破してサーバ室200に侵入したが、対策Bに阻まれて端末10、11には侵入できなかった場合のセキュリティ評価値B1は(3)式で算出できる。 For example, when the threat T breaks through the countermeasure A and enters the server room 200 but is blocked by the countermeasure B and cannot enter the terminals 10 and 11, the security evaluation value B 1 can be calculated by the equation (3). .

セキュリティ評価値B1=対策突破損害度L1×脅威発生頻度H×(1−防御性能X1)×防御性能X2・・・・・・・(3)
(3)式に代入すると、セキュリティ評価値B1=80×4×(1−0.5)×0.8=128(万円/年)となる。セキュリティ評価値Bは、年間の損害額の期待値でありこの例では年間128万円の損害が発生すると想定される。 Security evaluation value B 1 = Countermeasure damage severity L 1 × Threat occurrence frequency H × (1-Defense performance X 1 ) × Defense performance X 2 (3)
(3) are substituted into equation to become a security evaluation value B 1 = 80 × 4 × ( 1-0.5) × 0.8 = 128 ( yen / year). The security evaluation value B is an expected value of the annual amount of damage, and in this example, it is assumed that damage of 1.28 million yen occurs annually.

同様に、脅威Tが対策A、対策Bを突破してサーバ室200に侵入したが、対策Cに阻まれてサーバ1には侵入できなかった場合についても各対策の防御性能から年間の発生頻度を求め、セキュリティ評価値を算出する。この場合のセキュリティ評価値B2は(4)式で算出できる。 Similarly, when the threat T broke through the countermeasure A and the countermeasure B and invaded the server room 200, but it was blocked by the countermeasure C and could not enter the server 1, the annual occurrence frequency is determined from the defense performance of each countermeasure. To calculate the security evaluation value. In this case, the security evaluation value B 2 can be calculated by equation (4).

セキュリティ評価値B2=対策突破損害度L2×脅威発生頻度H×(1−防御性能X1)×(1−防御性能X2)×防御性能X3・・・・・・・(4)
(4)式に代入すると、セキュリティ評価値B2=40×4×(1−0.5)×(1−0.8)×0.4=6.4(万円/年)の損害が発生すると想定される。 Security evaluation value B 2 = Countermeasure damage severity L 2 × Threat occurrence frequency H × (1-Defense performance X 1 ) × (1-Defense performance X 2 ) × Defense performance X 3 (4)
When substituted into the equation (4), the security evaluation value B 2 = 40 × 4 × (1-0.5) × (1-0.8) × 0.4 = 6.4 (10,000 yen / year) It is assumed that it will occur.

さらに、脅威Tが対策A、対策B、対策Cを突破してサーバ1の資産を侵害した場合についても各対策の防御性能から年間の発生頻度を求め、セキュリティ評価値を算出する。この場合のセキュリティ評価値B3は(5)式で算出できる。 Further, even when the threat T breaks through the countermeasure A, the countermeasure B, and the countermeasure C, and infringes the assets of the server 1, an annual occurrence frequency is obtained from the defense performance of each countermeasure, and a security evaluation value is calculated. In this case, the security evaluation value B 3 can be calculated by equation (5).

セキュリティ評価値B3=資産損害度D×脅威発生頻度H×(1−防御性能X1)×(1−防御性能X2)×(1−防御性能X3)・・・・・・・(5)
(5)式に代入すると、セキュリティ評価値B3=400×4×(1−0.5)×(1−0.8)×(1−0.4)=96(万円/年)の損害が発生すると想定される。 Security evaluation value B 3 = asset damage degree D × threat occurrence frequency H × (1−protection performance X 1 ) × (1−protection performance X 2 ) × (1−protection performance X 3 ) 5)
Substituting into equation (5), security evaluation value B 3 = 400 × 4 × (1-0.5) × (1-0.8) × (1-0.4) = 96 (10,000 yen / year) It is assumed that damage will occur.

このように保護対象の資産が格納されている端末にアクセスする経路上の端末から保護対象資産を不正に取得された場合の損害を反映したセキュリティ評価値を、各対策毎に算出することができる。このことにより、ユーザは、セキュリティ評価値が大きい、すなわち評価の結果想定損失額が大きい対策をより堅固にすることができる。   In this way, it is possible to calculate for each measure a security evaluation value that reflects the damage caused when a protected asset is illegally acquired from a terminal on the path that accesses the terminal that stores the protected asset. . Thus, the user can more firmly take a countermeasure with a large security evaluation value, that is, a large estimated loss amount as a result of the evaluation.

堅固にする方法としては、例えばパスワード認証のパスワードの長さを長くする、生体認証の認証閾値をきつく設定し直す、などが考えられる。また、フィルタリングルールを変更する等の性能変更や、より性能のいい生体認証やより複雑なフィルタリングルールを記述可能なファイアウォールに取り替える等の交換や、パスワードだけだったのをカード認証も要求するように変更する等の多重認証化などの対策の追加を行っても良い。   For example, the length of the password for password authentication may be increased, or the authentication threshold value for biometric authentication may be re-set. Also, performance changes such as changing filtering rules, replacement with a firewall that can describe better-performing biometric authentication and more complicated filtering rules, and card authentication that requires only a password are also required. It is also possible to add measures such as multiple authentication such as changing.

図7、図8では、セキュリティ手段として、入退室管理認証、PCログイン認証、サービスユーザ認証を例に説明したが、本発明の適用はこれらに限定されるものでは無く、暗号、アンチウイルスソフト、IPS(侵入防止システム)、ファイアウォール等でも良い。例えば、ファイアウォールをかいくぐった後に暗号を解除してから認証成りすましを行うといった侵害経路でも同様に、セキュリティ対策の方法が対策Aはファイアウォール、対策Bは暗号、対策Cは認証になるだけであり、本発明を適用することができる。また、脅威の種類についても、盗聴、ウイルス、DOS攻撃等、さまざまな脅威についても本発明を適用できる。   In FIG. 7 and FIG. 8, entrance / exit management authentication, PC login authentication, and service user authentication have been described as examples of security means. However, the application of the present invention is not limited to these, and encryption, antivirus software, An IPS (Intrusion Prevention System), a firewall, or the like may be used. For example, in the case of an infringement route in which encryption is canceled after passing through a firewall and authentication impersonation is performed, the security countermeasure method is only firewall A, countermeasure B encryption, and countermeasure C authentication. The invention can be applied. The present invention can also be applied to various threats such as eavesdropping, viruses, DOS attacks, and the like.

各セキュリティ対策の防御性能Xは、ログ等をもとにした過去の統計量や、セキュリティ手段のアルゴリズム等から設定することができる。例えば、社員に実験的に故意に不正アクセスを促した場合に成功した事例を計数したり、対象セキュリティ対策で防御された脅威数と、防御されずにこのセキュリティ対策を通過し後段のセキュリティ対策で検出された脅威数の比率を用いることができる。また、セキュリティ対策を製品として販売している企業や公的機関による開示情報(たとえば、セキュリティ手段がアンチウイルスソフトだった場合には、ウイルス発生総数と新規ウイルス被害件数等が開示されている場合がある)を用いることで統計的な数値をもとに設定が可能である。   The defense performance X of each security measure can be set from past statistics based on logs or the like, security means algorithms, and the like. For example, the number of successful cases when an employee was intentionally urged to gain unauthorized access experimentally, the number of threats protected by the target security measures, and the security measures at the later stage after passing through these security measures without being protected. The ratio of the number of detected threats can be used. Also, disclosure information by companies and public institutions that sell security measures as products (for example, if the security measure was anti-virus software, the total number of virus occurrences and the number of new virus damage may be disclosed. Can be set based on statistical values.

また、認証が単純な4桁数字の暗証番号によるものであった場合には、暗証番号の漏洩がなかったとしても、暗証番号のパターンは10000通りしかないため1/10000の確率で認証が成功してしまうのでこの確率を防御性能Xとしても良い。他にも、誕生日を暗証番号に設定した場合は容易に対策を突破されると想定する場合は、誕生日を暗証番号に設定している社員の数を社内調査し、その割合を防御性能Xとして設定しても良い。   Also, if the authentication is based on a simple four-digit password, even if there is no leakage of the password, the authentication succeeds with a probability of 1/10000 because there are only 10,000 password patterns. Therefore, this probability may be used as the defense performance X. In addition, if it is assumed that if the birthday is set as a personal identification number, it is easy to break through the countermeasures. X may be set.

同様に、正規アクセス手段についてもログやアンケート調査結果等をもとに設定すればよい。   Similarly, the regular access means may be set based on the log or questionnaire survey results.

次に、このようにして求めたセキュリティ評価値Bから情報システム220全体を評価するシステムセキュリティ評価値Fを算出する方法を説明する。   Next, a method for calculating the system security evaluation value F for evaluating the entire information system 220 from the security evaluation value B thus obtained will be described.

図7、図8の例では、セキュリティ評価値B1は128(万円/年)、セキュリティ評価値B2は6.4(万円/年)、セキュリティ評価値B3は96(万円/年)であった。セキュリティ評価値の総和は128+6.4+96=230.4(万円/年)であり、この値が対策A、B、Cを行ったときに情報システム220で発生する損害の期待値である。 7 and 8, the security evaluation value B 1 is 128 (10,000 yen / year), the security evaluation value B 2 is 6.4 (10,000 yen / year), and the security evaluation value B 3 is 96 (10,000 yen / year). Year). The sum of the security evaluation values is 128 + 6.4 + 96 = 230.4 (10,000 yen / year), and this value is an expected value of damage that occurs in the information system 220 when measures A, B, and C are performed.

一方、図7、図8の例では、対策を行わない場合の脅威発生頻度Hは4(回/年)、資産損害度Dは400万円なので、対策を行わないときに情報システム220で発生する損害の期待値は、4×400=1600(万円/年)である。   On the other hand, in the examples of FIGS. 7 and 8, the threat occurrence frequency H when countermeasures are not taken is 4 (times / year), and the asset damage degree D is 4 million yen, so it occurs in the information system 220 when no countermeasures are taken. The expected value of damage is 4 × 400 = 1600 (10,000 yen / year).

このように、対策A、B、Cを行うことにより情報システム220で発生する損害の期待値は1600(万円/年)から230.4(万円/年)に低減されている。すなわち、この例での対策A、B、Cを行った対策効果は、1600−230.4=1396.6(万円/年)と算出される。このように脅威発生頻度Hと資産損害度Dから求めた損害の期待値から各対策のセキュリティ評価値Bの総和を減算して算出した値を、本発明ではシステムセキュリティ評価値Fと呼ぶ。   In this way, the expected value of damage caused in the information system 220 by taking measures A, B, and C is reduced from 1600 (10,000 yen / year) to 230.4 (10,000 yen / year). That is, the measure effect obtained by taking measures A, B, and C in this example is calculated as 1600−230.4 = 1396.6 (10,000 yen / year). The value calculated by subtracting the sum of the security evaluation values B of the countermeasures from the expected damage value obtained from the threat occurrence frequency H and the asset damage level D is referred to as a system security evaluation value F in the present invention.

対策A、B、Cを行ったときに年間発生する費用の総額を仮に1000(万円/年)とすると、対策効果として算出した1396.6(万円/年)から1000(万円/年)を引いた396.6(万円/年)が対策A、B、Cの価値と考えられる。   Assuming that the total cost incurred annually when taking measures A, B, and C is 1000 (10,000 yen / year), it will be 1000 (10,000 yen / year) from 1396.6 (10,000 yen / year) calculated as a measure effect. ) Minus 396.6 (10,000 yen / year) is considered to be the value of measures A, B, and C.

なお、システムセキュリティ評価値Fを算出する際に、ユーザビリティ等、何らかの他の要因を考慮して各端末毎にセキュリティ評価値Bに重み付けを行って加算してもよい。   When the system security evaluation value F is calculated, the security evaluation value B may be weighted and added for each terminal in consideration of some other factor such as usability.

図1に戻って、CPU211の有する各機能要素を説明する。   Returning to FIG. 1, each functional element of the CPU 211 will be described.

不正取得確率入力部250は、表示部219に不正取得確率の入力を促すGUI(Graphical User Interface)を表示し、入力部218から入力された不正取得確率を記憶部213に一時記憶する。   The unauthorized acquisition probability input unit 250 displays a GUI (Graphical User Interface) that prompts an input of an unauthorized acquisition probability on the display unit 219, and temporarily stores the unauthorized acquisition probability input from the input unit 218 in the storage unit 213.

正規アクセス確率入力部251は、表示部219に正規アクセス確率の入力を促すGUIを表示し、入力部218から入力された正規アクセス確率を記憶部213に一時記憶する。   The normal access probability input unit 251 displays a GUI that prompts the user to input the normal access probability on the display unit 219, and temporarily stores the normal access probability input from the input unit 218 in the storage unit 213.

資産損害度入力部252は、表示部219に資産損害度の入力を促すGUIを表示し、入力部218から入力された資産損害度を記憶部213に一時記憶する。   The asset damage level input unit 252 displays a GUI that prompts input of the asset damage level on the display unit 219, and temporarily stores the asset damage level input from the input unit 218 in the storage unit 213.

脅威発生頻度入力部253は、表示部219に脅威発生頻度の入力を促すGUIを表示し、入力部218から入力された脅威発生頻度を記憶部213に一時記憶する。   The threat occurrence frequency input unit 253 displays a GUI for prompting input of the threat occurrence frequency on the display unit 219, and temporarily stores the threat occurrence frequency input from the input unit 218 in the storage unit 213.

防御性能入力部254は、表示部219に防御性能の入力を促すGUIを表示し、入力部218から入力された防御性能を記憶部213に一時記憶する。   The defense performance input unit 254 displays a GUI that prompts input of defense performance on the display unit 219, and temporarily stores the defense performance input from the input unit 218 in the storage unit 213.

対策突破損害度算出部255は、不正取得確率と正規アクセス確率と資産損害度に基づいて対策突破損害度を算出する。   The countermeasure damage damage degree calculation unit 255 calculates the countermeasure damage damage degree based on the fraud acquisition probability, the normal access probability, and the asset damage degree.

セキュリティ評価値算出部256は、対策突破損害度または資産損害度と脅威発生頻度と防御性能とに基づいてセキュリティ評価値を算出する。   The security evaluation value calculation unit 256 calculates a security evaluation value based on the countermeasure sudden damage damage degree or asset damage degree, the threat occurrence frequency, and the defense performance.

システムセキュリティ評価値算出部257は、前記対策を突破した場合毎に算出した複数の前記セキュリティ評価値の総和を算出する。   The system security evaluation value calculation unit 257 calculates the sum of the plurality of security evaluation values calculated every time the countermeasure is broken.

対応表表示部258は、記憶部213に記憶されている表示部219に対応表を表示する。   The correspondence table display unit 258 displays the correspondence table on the display unit 219 stored in the storage unit 213.

次に、本発明の実施形態において、情報処理装置2がセキュリティ評価値とシステムセキュリティ評価値を算出する手順について説明する。   Next, a procedure for the information processing apparatus 2 to calculate the security evaluation value and the system security evaluation value in the embodiment of the present invention will be described.

図2は、本発明の実施形態において、システムセキュリティ評価値を算出するメインルーチンの手順を説明するフローチャート、図3は、本発明の実施形態において、情報処理装置2がセキュリティ評価値を算出するセキュリティ評価値算出ルーチンの手順を説明するフローチャートである。   FIG. 2 is a flowchart for explaining a procedure of a main routine for calculating a system security evaluation value in the embodiment of the present invention. FIG. 3 is a security for the information processing apparatus 2 to calculate a security evaluation value in the embodiment of the present invention. It is a flowchart explaining the procedure of an evaluation value calculation routine.

最初に図2のメインルーチンの手順について説明する。具体的な例は、図7、図8で説明した情報システム220に適用した場合を説明する。   First, the procedure of the main routine of FIG. 2 will be described. As a specific example, a case where the present invention is applied to the information system 220 described with reference to FIGS. 7 and 8 will be described.

S10:セキュリティ対策の数nを入力するステップである。   S10: This is a step of inputting the number n of security measures.

ユーザは、表示部219のGUIに従って、セキュリティ評価を行う情報システムのセキュリティ対策の数nを入力部218を操作して入力する。セキュリティ対策の数nは2以上の正の整数であり、図7、図8の情報システム220の例ではn=3である。   In accordance with the GUI of the display unit 219, the user operates the input unit 218 to input the number n of security measures for the information system that performs security evaluation. The number n of security measures is a positive integer of 2 or more, and n = 3 in the example of the information system 220 in FIGS.

S11:対応表を表示するステップである。   S11: This is a step of displaying a correspondence table.

対応表表示部258は、ユーザが不正取得確率Yを入力する際に目安となる対応表を表示部219に表示する。ステップS11で表示するGUIの例を図4〜図6に示す。図4、図5、図6に図示するGUIの例では、それぞれ内容の異なる対応表500、501、502を例示している。例えば、対応表500では、セキュリティパッチの適用状況に応じた不正取得確率Yの値を示している。また、対応表501では、資産にアクセス可能なPCが置かれている部屋の状況に応じた不正取得確率Yの値、対応表502では、前段のセキュリティ対策が侵害された場合に応じた不正取得確率Yの値を示している。   The correspondence table display unit 258 displays a correspondence table on the display unit 219 as a guide when the user inputs the fraud acquisition probability Y. Examples of GUI displayed in step S11 are shown in FIGS. In the GUI examples illustrated in FIGS. 4, 5, and 6, correspondence tables 500, 501, and 502 having different contents are illustrated. For example, the correspondence table 500 shows the value of the fraud acquisition probability Y corresponding to the security patch application status. In addition, the correspondence table 501 shows the value of the unauthorized acquisition probability Y according to the situation of the room where the PC that can access the asset is placed, and the correspondence table 502 shows the unauthorized acquisition according to the case where the previous security measure is violated. The value of probability Y is shown.

S12:不正取得確率Yを入力するステップである。   S12: It is a step which inputs the fraud acquisition probability Y.

ユーザは、表示部219に表示される対応表を参照してセキュリティ対策毎に不正取得確率Yを入力部218を操作して入力する。不正取得確率入力部250は、入力された不正取得確率Yを記憶部213に一時記憶する。   The user refers to the correspondence table displayed on the display unit 219 and inputs the fraud acquisition probability Y for each security measure by operating the input unit 218. The unauthorized acquisition probability input unit 250 temporarily stores the input unauthorized acquisition probability Y in the storage unit 213.

不正取得確率Yは、脅威Tが対策を突破した後、正規の権限を持つ利用者がアクセスしている資産を、脅威が不正に取得する確率であり、最後の対策を突破し資産を侵害する場合は含まない。図7、図8の情報システム220の例では対策の数n=3であり、この場合ユーザは1つ目の対策Aと2つ目の対策Bを突破した場合の不正取得確率Y1、Y2を入力する。 The fraud acquisition probability Y is the probability that the threat will illegally acquire an asset accessed by a user with a legitimate authority after the threat T breaks through the countermeasure, and breaks through the last countermeasure and infringes the asset. Does not include cases. In the example of the information system 220 in FIG. 7 and FIG. 8, the number of countermeasures n = 3. In this case, the unauthorized acquisition probability Y 1 , Y when the user breaks through the first countermeasure A and the second countermeasure B Enter 2 .

例えば図4のGUIの例では、セキュリティパッチがほとんど適用されていない場合には、ユーザは対応表500を参照し不正取得確率Y1として0.9を入力ボックス600に入力し、決定ボタン601を押す。なお、602はキャンセルボタンである。 For example, in the example of the GUI in FIG. 4, when almost no security patch is applied, the user refers to the correspondence table 500, inputs 0.9 as the unauthorized acquisition probability Y 1 in the input box 600, and presses the decision button 601. Push. Reference numeral 602 denotes a cancel button.

S13:正規アクセス確率Zを入力するステップである。   S13: This is a step of inputting a normal access probability Z.

ユーザは、表示部219のGUIに従って、正規アクセス確率Zを入力部218を操作して入力する。正規アクセス確率入力部251は、入力された正規アクセス確率Zを記憶部213に一時記憶する。   The user inputs the normal access probability Z by operating the input unit 218 in accordance with the GUI of the display unit 219. The normal access probability input unit 251 temporarily stores the input normal access probability Z in the storage unit 213.

正規アクセス確率Zは、脅威Tが対策を突破した後、利用者20が保護対象の資産にアクセスしている確率であり、ユーザは端末10、11の利用状況を勘案して適切な値を入力する。図7、図8で説明した情報システム220の例では、対策Aを突破した脅威Tが端末10に侵入したときの正規アクセス確率Z1は0.5、対策Bを突破した脅威Tが端末10に侵入したときの正規アクセス確率Z2は0.2である。 The regular access probability Z is the probability that the user 20 has accessed the assets to be protected after the threat T breaks through the countermeasure, and the user inputs an appropriate value in consideration of the usage status of the terminals 10 and 11. To do. In the example of the information system 220 described with reference to FIGS. 7 and 8, the normal access probability Z 1 when the threat T that broke through the countermeasure A enters the terminal 10 is 0.5, and the threat T that broke through the countermeasure B is the terminal 10. The normal access probability Z 2 when entering the network is 0.2.

S14:資産損害度Dを入力するステップである。   S14: This is a step of inputting the asset damage degree D.

ユーザは、表示部219のGUIに従って、保護対象の資産が侵害された場合の損害すなわち資産損害度Dを入力部218を操作して入力する。資産損害度入力部252は、入力された資産損害度Dを記憶部213に一時記憶する。図7、図8で説明した情報システム220の例では、資産損害度Dは400万円である。   The user operates the input unit 218 to input the damage when the asset to be protected is infringed, that is, the asset damage degree D, according to the GUI of the display unit 219. The asset damage level input unit 252 temporarily stores the input asset damage level D in the storage unit 213. In the example of the information system 220 described with reference to FIGS. 7 and 8, the asset damage degree D is 4 million yen.

S15:m=nとするステップである。   S15: This step is m = n.

対策突破損害度算出部255は、変数mにステップS10で入力されたnを代入する。   The countermeasure crash damage degree calculation unit 255 substitutes n input in step S10 for the variable m.

S16:m=m−1とするステップである。   S16: This is a step of setting m = m-1.

対策突破損害度算出部255は、m=m−1とする。   The countermeasure crash damage degree calculation unit 255 sets m = m−1.

S17:m=0か、否か、判定するステップである。   S17: A step of determining whether m = 0.

対策突破損害度算出部255は、m=0か、否か、判定する。   The countermeasure crash damage degree calculation unit 255 determines whether m = 0.

m≠0の場合、(ステップS17;No)、ステップS18に進む。   If m ≠ 0 (step S17; No), the process proceeds to step S18.

S18:対策突破損害度Lmを算出するステップである。 S18: a step of calculating the measures topped damage of L m.

対策突破損害度算出部255は、(1)式に基づいて対策突破損害度Lmを算出する。 Measures topped damage calculation portion 255 calculates a measure break damage degree L m based on equation (1).

図7、図8で説明した情報システム220の場合はn=3であり、1回目に本ステップを実行すると対策突破損害度L2を算出する。 In the case of the information system 220 described with reference to FIGS. 7 and 8, n = 3, and when this step is executed for the first time, the countermeasure crash damage degree L 2 is calculated.

対策突破損害度L2=正規アクセス確率Z2×不正取得確率Y2×資産損害度D2=0.2×0.5×400万円=40万円となる。 Countermeasure damage damage degree L 2 = Regular access probability Z 2 × Unauthorized acquisition probability Y 2 × Asset damage degree D 2 = 0.2 × 0.5 × 4 million yen = 400,000 yen.

2回目に本ステップを実行するときに対策突破損害度L1を算出する。 When this step is executed for the second time, the countermeasure crash damage degree L 1 is calculated.

対策突破損害度L1=正規アクセス確率Z1×不正取得確率Y1×資産損害度D1=0.5×0.4×400万円=80万円となる。 Countermeasure damage damage degree L 1 = Regular access probability Z 1 × Unauthorized acquisition probability Y 1 × Asset damage degree D 1 = 0.5 × 0.4 × 4 million yen = 800,000 yen.

m=0場合、(ステップS17;Yes)、ステップS19に進む。   When m = 0 (step S17; Yes), the process proceeds to step S19.

S19:脅威発生頻度Hを入力するステップである。   S19: This is a step of inputting the threat occurrence frequency H.

ユーザは、表示部219のGUIに従って、脅威Tが発生する頻度すなわち脅威発生頻度Hを入力部218を操作して入力する。脅威発生頻度入力部253は、入力された脅威発生頻度Hを記憶部213に一時記憶する。図7、図8で説明した情報システム220の例では、脅威発生頻度Hは4(回/年)である。   The user operates the input unit 218 to input the frequency of occurrence of the threat T, that is, the threat occurrence frequency H, in accordance with the GUI of the display unit 219. The threat occurrence frequency input unit 253 temporarily stores the input threat occurrence frequency H in the storage unit 213. In the example of the information system 220 described with reference to FIGS. 7 and 8, the threat occurrence frequency H is 4 (times / year).

S20:防御性能Xを入力するステップである。   S20: This is a step of inputting the defense performance X.

ユーザは、表示部219のGUIに従って、各対策が脅威Tの侵入を防御できる確率すなわち防御性能Xを入力部218を操作して入力する。防御性能入力部254は、入力された防御性能Xを記憶部213に一時記憶する。図7、図8で説明した情報システム220の例では、対策Aの防御性能X1は0.5、、対策Bの防御性能X2は0.8、対策Cの防御性能X3は0.4である。 The user operates the input unit 218 to input the probability that each countermeasure can prevent the intrusion of the threat T, that is, the defense performance X, according to the GUI of the display unit 219. The defense performance input unit 254 temporarily stores the input defense performance X in the storage unit 213. In the example of the information system 220 described with reference to FIGS. 7 and 8, the defense performance X 1 of the countermeasure A is 0.5, the defense performance X 2 of the countermeasure B is 0.8, and the defense performance X 3 of the countermeasure C is 0. 4.

S21:セキュリティ評価値Bを算出するステップである。   S21: This is a step of calculating a security evaluation value B.

セキュリティ評価値算出部256は、セキュリティ評価値算出ルーチンをコールし、脅威Tが1〜n番目の対策を突破した場合毎に算出したセキュリティ評価値B1〜Bnを得る。セキュリティ評価値算出ルーチンの詳細については後に説明する。 The security evaluation value calculation unit 256 calls a security evaluation value calculation routine to obtain security evaluation values B 1 to Bn calculated every time the threat T breaks through the 1st to nth countermeasures. Details of the security evaluation value calculation routine will be described later.

S22:システムセキュリティ評価値Fを算出する。   S22: A system security evaluation value F is calculated.

システムセキュリティ評価値算出部257は、脅威発生頻度H×資産損害度DからステップS21で算出したセキュリティ評価値B1〜Bnの総和を減算し、システムセキュリティ評価値Fを算出する。 The system security evaluation value calculation unit 257 calculates a system security evaluation value F by subtracting the sum of the security evaluation values B 1 to Bn calculated in step S 21 from the threat occurrence frequency H × the asset damage degree D.

図7、図8で説明した情報システム220の例では、脅威発生頻度Hは4(回/年)、資産損害度Dは400万円、セキュリティ評価値B1は128(万円/年)、セキュリティ評価値B2は6.4(万円/年)、セキュリティ評価値B3は96(万円/年)である。したがって、システムセキュリティ評価値F=4×400−(128+6.4+96)=396.6(万円/年)となる。 In the example of the information system 220 described in FIG. 7 and FIG. 8, the threat occurrence frequency H is 4 (times / year), the asset damage degree D is 4 million yen, and the security evaluation value B 1 is 128 (10,000 yen / year). The security evaluation value B 2 is 6.4 (10,000 yen / year), and the security evaluation value B 3 is 96 (10,000 yen / year). Therefore, the system security evaluation value F = 4 × 400− (128 + 6.4 + 96) = 396.6 (10,000 yen / year).

CPU211は、算出したセキュリティ評価値Bとシステムセキュリティ評価値Fを表示部219に表示する。   The CPU 211 displays the calculated security evaluation value B and system security evaluation value F on the display unit 219.

以上で、メインルーチンの説明は終了である。   This is the end of the description of the main routine.

次に図3のセキュリティ評価値算出ルーチンの手順について説明する。具体的な例は、同様に図7、図8で説明した情報システム220に適用した場合を説明する。   Next, the procedure of the security evaluation value calculation routine of FIG. 3 will be described. As a specific example, a case where the information system 220 described with reference to FIGS. 7 and 8 is applied will be described.

S100:m=n、c=nとするステップである。   S100 is a step of setting m = n and c = n.

セキュリティ評価値算出部256は、変数m、変数cに初期値として対策の数nの値を代入する。図7、図8の例ではm=c=3である。   The security evaluation value calculation unit 256 assigns the value of the number n of countermeasures to the variables m and c as initial values. In the example of FIGS. 7 and 8, m = c = 3.

S101:セキュリティ評価値Bm=資産損害度D×脅威発生頻度H×(1−防御性能Xc)を算出するステップである。   S101: This is a step of calculating the security evaluation value Bm = the asset damage degree D × the threat occurrence frequency H × (1−defense performance Xc).

セキュリティ評価値算出部256は、全ての対策を突破した場合のセキュリティ評価値Bmするためにまずセキュリティ評価値Bm=資産損害度D×脅威発生頻度H×(1−防御性能Xc)を算出する。図7、図8の例では、セキュリティ評価値B3=資産損害度D×脅威発生頻度H×(1−防御性能X3)=400万円×4(回/年)×(1−0.4)=960(万円/年)である。 The security evaluation value calculation unit 256 first calculates the security evaluation value Bm = the asset damage degree D × the threat occurrence frequency H × (1−protection performance Xc) in order to obtain the security evaluation value Bm when all countermeasures are broken. In the example of FIGS. 7 and 8, security evaluation value B 3 = asset damage degree D × threat occurrence frequency H × (1-defense performance X 3 ) = 4 million yen × 4 (times / year) × (1-0. 4) = 960 (10,000 yen / year).

S102:c=1か、否か、判定するステップである。   S102: A step of determining whether c = 1.

セキュリティ評価値算出部256は、c=1か、否か、判定する。   The security evaluation value calculation unit 256 determines whether c = 1.

c≠1の場合、(ステップS102;No)、ステップS103に進む。   When c ≠ 1, (step S102; No), the process proceeds to step S103.

S103:c=c−1するステップである。   S103: This is a step of c = c-1.

セキュリティ評価値算出部256は、c=c−1とする。   The security evaluation value calculation unit 256 sets c = c−1.

S104:Bm=Bm×(1−Xc)を算出するステップである。   S104: This is a step of calculating Bm = Bm × (1−Xc).

セキュリティ評価値算出部256は、ステップS101で求めたセキュリティ評価値Bm×(1−防御性能Xc)を算出する。図7、図8の例では、1回目の本ステップの処理では、ステップS101で算出したセキュリティ評価値B3に(1−防御性能X2)をかけ算した値が算出される。すなわち960(万円/年)×(1−0.8)=192(万円/年)である。 The security evaluation value calculation unit 256 calculates the security evaluation value Bm × (1−defense performance Xc) obtained in step S101. In the example of FIGS. 7 and 8, in the first processing of this step, a value obtained by multiplying the security evaluation value B 3 calculated in step S101 by (1-defense performance X 2 ) is calculated. That is, 960 (10,000 yen / year) × (1-0.8) = 192 (10,000 yen / year).

2回目の本ステップの処理では、前回ステップS104で算出したセキュリティ評価値B3に(1−防御性能X1)をかけ算した値が算出される。すなわち192(万円/年)×(1−0.5)=96(万円/年)である。 In the second processing of this step, a value obtained by multiplying the security evaluation value B 3 calculated in the previous step S104 by (1-defense performance X 1 ) is calculated. That is, 192 (10,000 yen / year) × (1-0.5) = 96 (10,000 yen / year).

c=1場合、(ステップS102;Yes)、ステップS105に進む。   When c = 1 (step S102; Yes), the process proceeds to step S105.

ここまでのステップで(5)式の演算が行われ、セキュリティ評価値Bmが算出された。   The calculation of the expression (5) is performed in the steps so far, and the security evaluation value Bm is calculated.

S105:m=n−1、c=nとするステップである。   S105: This is a step of setting m = n−1 and c = n.

セキュリティ評価値算出部256は、変数mにn−1、変数cにnを代入する。図7、図8の例ではm=2、c=3である。   The security evaluation value calculation unit 256 substitutes n−1 for the variable m and n for the variable c. In the example of FIGS. 7 and 8, m = 2 and c = 3.

S106:m=0か、否か、判定するステップである。   S106: A step of determining whether m = 0.

セキュリティ評価値算出部256は、m=0か、否か、判定する。   The security evaluation value calculation unit 256 determines whether m = 0.

m=0の場合、(ステップS106;Yes)、処理を終了しメインルーチンに戻る。   If m = 0 (step S106; Yes), the process ends and returns to the main routine.

m≠0の場合、(ステップS106;No)、ステップS107に進む。   If m ≠ 0 (step S106; No), the process proceeds to step S107.

S107:セキュリティ評価値Bm=対策突破損害度Lm×脅威発生頻度H×防御性能Xcを算出するステップである。   S107: This is a step of calculating security evaluation value Bm = countermeasure damage severity Lm × threat occurrence frequency H × protection performance Xc.

セキュリティ評価値算出部256は、侵害経路の最終の対策までに設けられた対策をそれぞれ突破した場合のセキュリティ評価値Bmを算出するために、まずセキュリティ評価値Bm=対策突破損害度Lm×脅威発生頻度H×防御性能Xcを算出する。   The security evaluation value calculation unit 256 first calculates the security evaluation value Bm when each of the measures provided up to the final countermeasure of the infringement route is broken through, first, security evaluation value Bm = countermeasure damage damage degree Lm × threat occurrence Frequency H × defense performance Xc is calculated.

図7、図8の例では対策の数n=3なので、1回目に本ステップを実行するとセキュリティ評価値B2が算出される。本ステップで算出されるセキュリティ評価値B2=対策突破損害度L2×脅威発生頻度H×防御性能X3=40万円×4(回/年)×0.4=64(万円/年)である。 In the example of FIGS. 7 and 8, since the number of countermeasures n = 3, the security evaluation value B 2 is calculated when this step is executed for the first time. Security evaluation value B 2 calculated in this step = Countermeasure damage severity L 2 × Threat occurrence frequency H × Defense performance X 3 = 400,000 yen × 4 (times / year) × 0.4 = 64 (10,000 yen / year) ).

S108:c=1か、否か、判定するステップである。   S108: A step of determining whether c = 1.

セキュリティ評価値算出部256は、c=1か、否か、判定する。   The security evaluation value calculation unit 256 determines whether c = 1.

c≠1の場合、(ステップS102;No)、ステップS103に進む。   When c ≠ 1, (step S102; No), the process proceeds to step S103.

S109:c=c−1するステップである。   S109: This is the step of c = c-1.

セキュリティ評価値算出部256は、c=c−1とする。   The security evaluation value calculation unit 256 sets c = c−1.

S110:Bm=Bm×(1−Xc)とするステップである。   S110: This is the step of Bm = Bm × (1−Xc).

セキュリティ評価値算出部256は、ステップS101で求めたセキュリティ評価値Bmに(1−防御性能Xc)をかけ算する。   The security evaluation value calculation unit 256 multiplies the security evaluation value Bm obtained in step S101 by (1-defense performance Xc).

図7、図8の例では、1回目の本ステップの処理では、ステップS107で算出したセキュリティ評価値B2に(1−防御性能X2)をかけ算した値が算出される。すなわち64(万円/年)×(1−0.8)=12.8(万円/年)である。 In the example of FIGS. 7 and 8, in the first processing of this step, a value obtained by multiplying the security evaluation value B 2 calculated in step S107 by (1−defense performance X 2 ) is calculated. That is, 64 (10,000 yen / year) × (1-0.8) = 12.8 (10,000 yen / year).

ステップS108から戻った2回目の本ステップの処理では、前回ステップS110で算出したセキュリティ評価値B3に(1−防御性能X1)をかけ算した値が算出される。すなわちセキュリティ評価値B2=1.28(万円/年)×(1−0.5)=6.4(万円/年)である。2回目の本ステップの処理で式(4)の演算を行ったことになりセキュリティ評価値B2が求められる。 In the process of the second present step returns from step S108, a value obtained by multiplying (1-defense performance X 1) to the security evaluation value B 3 calculated in the previous step S110 is calculated. That is, the security evaluation value B 2 = 1.28 (10,000 yen / year) × (1-0.5) = 6.4 (10,000 yen / year). Since the calculation of Expression (4) is performed in the second processing of this step, the security evaluation value B 2 is obtained.

S111:m=m−1、c=m+1とするステップである。   S111: This is a step of setting m = m−1 and c = m + 1.

セキュリティ評価値算出部256は、m=m−1、c=m+1とする。例えばm=1、c=2である。   The security evaluation value calculation unit 256 sets m = m−1 and c = m + 1. For example, m = 1 and c = 2.

S112:m=0か、否か、判定するステップである。   S112: A step of determining whether m = 0.

セキュリティ評価値算出部256は、m=0か、否か、判定する。   The security evaluation value calculation unit 256 determines whether m = 0.

m≠0の場合、(ステップS112;No)、ステップS107に戻る。   If m ≠ 0 (step S112; No), the process returns to step S107.

例えばm=1のときは、ステップS107に戻り、セキュリティ評価値B1=対策突破損害度L1×脅威発生頻度H×防御性能X2を算出する。ステップS108〜ステップS110を実行し、ステップS107で算出したセキュリティ評価値B1に(1−防御性能X1)をかけ算した値が算出される。すなわちセキュリティ評価値B1=80×4×(1−0.5)=128(万円/年)である。一連の処理で式(3)の演算を行ったことになりセキュリティ評価値B1が求められる。 For example, when m = 1, the process returns to step S107, and security evaluation value B 1 = countermeasure damage damage degree L 1 × threat occurrence frequency H × defense performance X 2 is calculated. Perform step S108~ step S110, a value obtained by multiplying the security evaluation value B 1 calculated (1-defense performance X 1) at step S107 is calculated. That is, the security evaluation value B 1 = 80 × 4 × (1-0.5) = 128 (10,000 yen / year). The calculation of Expression (3) is performed in a series of processes, and the security evaluation value B 1 is obtained.

m=0の場合、(ステップS112;Yes)、処理を終了しメインルーチンに戻る。   If m = 0 (step S112; Yes), the process ends and returns to the main routine.

セキュリティ評価値算出ルーチンの説明は以上である。   This completes the description of the security evaluation value calculation routine.

なお、本実施形態では全ての対策のセキュリティ評価値Bを算出したが、例えば特定の対策のセキュリティ評価値Bだけを算出しても良い。   In the present embodiment, the security evaluation values B of all the countermeasures are calculated. However, for example, only the security evaluation value B of a specific countermeasure may be calculated.

以上このように、本発明によれば、保護対象の資産が格納されている端末にアクセスする経路上の端末から保護対象資産を不正に取得された場合の損害を反映したセキュリティ評価値を、各端末毎に算出するセキュリティ評価方法、情報処理装置を提供することができる。   As described above, according to the present invention, each security evaluation value reflecting damage when a protected asset is illegally acquired from a terminal on a path for accessing the terminal in which the protected asset is stored, A security evaluation method and an information processing apparatus that are calculated for each terminal can be provided.

本発明の実施形態に係る情報処理装置2の内部構成の一例を示すブロック図である。It is a block diagram which shows an example of the internal structure of the information processing apparatus 2 which concerns on embodiment of this invention. 本発明の実施形態において、情報処理装置2がセキュリティ評価値を算出するセキュリティ評価値算出ルーチンの手順を説明するフローチャートである。6 is a flowchart illustrating a procedure of a security evaluation value calculation routine in which the information processing apparatus 2 calculates a security evaluation value in the embodiment of the present invention. 本発明の実施形態において、システムセキュリティ評価値を算出するメインルーチンの手順を説明するフローチャートである。6 is a flowchart illustrating a procedure of a main routine for calculating a system security evaluation value in the embodiment of the present invention. 本発明の実施形態において、ユーザが不正取得確率Yを入力する際に目安となる対応表のGUIの例である。In the embodiment of the present invention, it is an example of a GUI of a correspondence table that serves as a guide when a user inputs an unauthorized acquisition probability Y. 本発明の実施形態において、ユーザが不正取得確率Yを入力する際に目安となる対応表のGUIの例である。In the embodiment of the present invention, it is an example of a GUI of a correspondence table that serves as a guide when a user inputs an unauthorized acquisition probability Y. 本発明の実施形態において、ユーザが不正取得確率Yを入力する際に目安となる対応表のGUIの例である。In the embodiment of the present invention, it is an example of a GUI of a correspondence table that serves as a guide when a user inputs an unauthorized acquisition probability Y. 本実施形態を説明するために使用する情報システムの一例の説明図である。It is explanatory drawing of an example of the information system used in order to demonstrate this embodiment. 図7に示す情報システム220を例に脅威が保護対象の資産が格納された主情報処理装置にアクセスする経路に至るステップを説明する説明図である。FIG. 8 is an explanatory diagram illustrating steps leading to a path for accessing a main information processing apparatus in which a threat is stored as an example of the information system 220 illustrated in FIG. 7.

符号の説明Explanation of symbols

2 情報端末装置
5 イントラネット
10 端末
11 端末
20 利用者
200 サーバ室
201 入退室管理装置
210 通信部
213 記憶部
218 入力部
219 表示部
220 情報システム
235 ペーストボタン
250 不正取得確率入力部
251 正規アクセス確率入力部
252 資産損害度入力
253 脅威発生頻度入力部
254 防御性能入力部
255 対策突破損害度算出部
256 セキュリティ評価値算出部
257 システムセキュリティ評価値算出部
258 対応表表示部 2 Information terminal device 5 Intranet 10 Terminal 11 Terminal 20 User 200 Server room 201 Entrance / exit management device 210 Communication unit 213 Storage unit 218 Input unit 219 Display unit 220 Information system 235 Paste button 250 Unauthorized acquisition probability input unit 251 Regular access probability input Section 252 Asset damage level input 253 Threat occurrence frequency input section 254 Defense performance input section 255 Countermeasure damage damage degree calculation section 256 Security evaluation value calculation section 257 System security evaluation value calculation section 258 Correspondence table display section

Claims (8)

保護対象の資産が格納された主情報処理装置にアクセスする経路に、該資産に対する脅威による侵害を防御する複数の対策が施された情報システムのセキュリティレベルを評価するセキュリティ評価方法において、
前記脅威が前記対策を突破した後、正規の権限を持つ利用者がアクセスしている前記資産を前記脅威が不正に取得する不正取得確率を入力する不正取得確率入力工程と、
前記利用者が前記資産にアクセスしている確率である正規アクセス確率を入力する正規アクセス確率入力工程と、
前記資産が侵害された場合の資産損害度を入力する資産損害度入力工程と、
前記不正取得確率と前記正規アクセス確率と前記資産損害度と、に基づいて前記対策を突破された場合の対策突破損害度を算出する対策突破損害度算出工程と、
前記脅威が前記資産を侵害する脅威発生頻度を入力する脅威発生頻度入力工程と、
前記侵害を防御する前記対策の防御性能を入力する防御性能入力工程と、
前記対策突破損害度と前記脅威発生頻度と前記防御性能とに基づいてセキュリティ評価値を算出するセキュリティ評価値算出工程と、
を有することを特徴とするセキュリティ評価方法。 In a security evaluation method for evaluating the security level of an information system in which a plurality of measures for preventing infringement by a threat to the asset are provided in a path to access a main information processing apparatus in which the asset to be protected is stored,
An unauthorized acquisition probability input step of inputting an unauthorized acquisition probability that the threat illegally acquires the asset accessed by a user having a legitimate authority after the threat breaks through the countermeasure;
A normal access probability input step of inputting a normal access probability which is a probability that the user is accessing the asset;
An asset damage level input step of inputting an asset damage level when the asset is infringed;
A countermeasure breakage damage degree calculating step for calculating a countermeasure breakage damage degree when the countermeasure is broken based on the unauthorized acquisition probability, the regular access probability, and the asset damage degree;
A threat occurrence frequency input step of inputting a threat occurrence frequency at which the threat infringes the asset; and
A defensive performance input step of inputting the defensive performance of the countermeasure to prevent the infringement;
A security evaluation value calculating step of calculating a security evaluation value based on the countermeasure damage damage degree, the threat occurrence frequency, and the defense performance;
A security evaluation method characterized by comprising: 前記セキュリティ評価値算出工程に、前記資産損害度と前記脅威発生頻度と前記防御性能とに基づいて全ての前記対策を突破した場合のセキュリティ評価値を算出する工程が含まれることを特徴とする請求項1に記載のセキュリティ評価方法。 The security evaluation value calculating step includes a step of calculating a security evaluation value when all the countermeasures are broken based on the asset damage level, the threat occurrence frequency, and the defense performance. Item 2. The security evaluation method according to Item 1. 前記セキュリティ評価値算出工程で算出した前記セキュリティ評価値の総和からシステムセキュリティ評価値を算出するシステムセキュリティ評価値算出工程を有することを特徴とする請求項2に記載のセキュリティ評価方法。 The security evaluation method according to claim 2, further comprising a system security evaluation value calculation step of calculating a system security evaluation value from a sum of the security evaluation values calculated in the security evaluation value calculation step. 前記不正取得確率入力工程の前に、
前記不正取得確率に関連する要因と前記不正取得確率とを対応付けた対応表を表示する対応表表示工程を有することを特徴とする請求項1乃至3の何れか1項に記載のセキュリティ評価方法。 Before the fraud acquisition probability input step,
The security evaluation method according to claim 1, further comprising a correspondence table display step of displaying a correspondence table in which a factor related to the fraud acquisition probability is associated with the fraud acquisition probability. . 保護対象の資産が格納された主情報処理装置にアクセスする経路に、該資産に対する脅威による侵害を防御する複数の対策が施された情報システムのセキュリティレベルに関する評価値を算出する情報処理装置において、
前記脅威が前記対策を突破した後、正規の権限を持つ利用者がアクセスしている前記資産を、前記脅威が不正に取得する不正取得確率を入力する不正取得確率入力手段と、
前記利用者が前記資産にアクセスしている確率である正規アクセス確率を入力する正規アクセス確率入力手段と、
前記資産が侵害された場合の資産損害度を入力する資産損害度入力手段と、
前記不正取得確率と前記正規アクセス確率と前記資産損害度とに基づいて前記対策を突破された場合の対策突破損害度を算出する対策突破損害度算出手段と、
前記脅威が前記資産を侵害する脅威発生頻度を入力する脅威発生頻度入力手段と、
前記侵害を防御する前記対策の防御性能を入力する防御性能入力手段と、
前記対策突破損害度と前記脅威発生頻度と前記防御性能とに基づいてセキュリティ評価値を算出するセキュリティ評価値算出手段と、
を有することを特徴とする情報処理装置。 In an information processing apparatus that calculates an evaluation value related to a security level of an information system in which a plurality of measures for preventing infringement by a threat to the asset are provided in a path to access a main information processing apparatus in which assets to be protected are stored,
An unauthorized acquisition probability input means for inputting an unauthorized acquisition probability that the threat illegally acquires the asset accessed by a user having a legitimate authority after the threat has broken through the countermeasure;
Normal access probability input means for inputting a normal access probability that is a probability that the user is accessing the asset;
Asset damage level input means for inputting the asset damage level when the asset is infringed;
Countermeasure damage damage degree calculating means for calculating a countermeasure damage damage degree when the countermeasure is broken based on the unauthorized acquisition probability, the regular access probability, and the asset damage degree;
A threat occurrence frequency input means for inputting a threat occurrence frequency at which the threat infringes the asset;
Defensive performance input means for inputting the defensive performance of the countermeasure to prevent the infringement;
Security evaluation value calculating means for calculating a security evaluation value based on the countermeasure damage damage degree, the threat occurrence frequency, and the defense performance;
An information processing apparatus comprising: 前記セキュリティ評価値算出手段は、前記資産損害度と前記脅威発生頻度と前記防御性能とに基づいて全ての前記対策を突破した場合のセキュリティ評価値を算出することを特徴とする請求項5に記載の情報処理装置。 The said security evaluation value calculation means calculates the security evaluation value at the time of breaking through all the said countermeasures based on the said asset damage degree, the said threat occurrence frequency, and the said defense performance, The said evaluation values are characterized by the above-mentioned. Information processing device. 前記セキュリティ評価値算出手段が算出した前記セキュリティ評価値の総和からシステムセキュリティ評価値を算出するシステムセキュリティ評価値算出手段を有することを特徴とする請求項6に記載の情報処理装置。 The information processing apparatus according to claim 6, further comprising a system security evaluation value calculating unit that calculates a system security evaluation value from a sum of the security evaluation values calculated by the security evaluation value calculating unit. 前記不正取得確率に関連する要因と前記不正取得確率とを対応付けた対応表を表示する対応表表示手段を有することを特徴とする請求項5乃至7の何れか1項に記載の情報処理装置。 The information processing apparatus according to claim 5, further comprising: a correspondence table display unit that displays a correspondence table in which a factor related to the fraud acquisition probability and the fraud acquisition probability are associated with each other. .
JP2007324483A 2007-12-17 2007-12-17 Security evaluating method, and information processor Pending JP2009146260A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007324483A JP2009146260A (en) 2007-12-17 2007-12-17 Security evaluating method, and information processor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007324483A JP2009146260A (en) 2007-12-17 2007-12-17 Security evaluating method, and information processor

Publications (1)

Publication Number Publication Date
JP2009146260A true JP2009146260A (en) 2009-07-02

Family

ID=40916777

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007324483A Pending JP2009146260A (en) 2007-12-17 2007-12-17 Security evaluating method, and information processor

Country Status (1)

Country Link
JP (1) JP2009146260A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011022903A (en) * 2009-07-17 2011-02-03 Nec Corp Analyzing device, analysis method, and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002024526A (en) * 2000-07-10 2002-01-25 Mitsubishi Electric Corp Device for evaluating information security, method for the same and recording medium with information security evaluation program recorded
JP2005293267A (en) * 2004-03-31 2005-10-20 Ricoh Co Ltd Information security management supporting system and program
JP2007316821A (en) * 2006-05-24 2007-12-06 Omron Corp Security monitoring device, security monitoring system, and security monitoring method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002024526A (en) * 2000-07-10 2002-01-25 Mitsubishi Electric Corp Device for evaluating information security, method for the same and recording medium with information security evaluation program recorded
JP2005293267A (en) * 2004-03-31 2005-10-20 Ricoh Co Ltd Information security management supporting system and program
JP2007316821A (en) * 2006-05-24 2007-12-06 Omron Corp Security monitoring device, security monitoring system, and security monitoring method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011022903A (en) * 2009-07-17 2011-02-03 Nec Corp Analyzing device, analysis method, and program

Similar Documents

Publication Publication Date Title
Smith Elementary information security
US20070113281A1 (en) Method used in the control of a physical system affected by threats
US20140259095A1 (en) Method of providing cyber security as a service
Panaousis et al. Cybersecurity games and investments: A decision support approach
US10637883B1 (en) Systems and methods for determining optimal remediation recommendations in penetration testing
Mazzarolo et al. Insider threats in Cyber Security: The enemy within the gates
Khan et al. What matters for financial inclusions? Evidence from emerging economy
JP5413010B2 (en) Analysis apparatus, analysis method, and program
Pal et al. Cyber security risks and challenges in supply chain.
Kshetri et al. cryptoRAN: A review on cryptojacking and ransomware attacks wrt banking industry-threats, challenges, & problems
Fagade et al. Malicious insider threat detection: A conceptual model
JP2009048317A (en) Security evaluation method, security evaluation apparatus
JP2009146260A (en) Security evaluating method, and information processor
Gantz et al. The link between pirated software and cybersecurity breaches
US20140359780A1 (en) Anti-cyber attacks control vectors
Türpe et al. Testing production systems safely: Common precautions in penetration testing
Lestari et al. Factors Affecting Security Information Systems: Information Security, Threats and Cyber Attack, Physical Security, and Information Technology
Popescu The influence of vulnerabilities on the information systems and methods of prevention
Kumar et al. Generic security risk profile of e-governance applications—A case study
Granadillo et al. Considering technical and financial impact in the selection of security countermeasures against Advanced Persistent Threats (APTs)
Oosthuizen et al. Cyber security investment cost-benefit investigation using system dynamics modelling
Tanenbaum IT Systems Put Security into Health Care Cybersecurity.
CN109583233A (en) Data leak monitoring method and device
Taal et al. Increased C-suite recognition of insider threats through modern technological and strategic mechanisms
Ikuomola et al. A framework for collaborative, adaptive and cost sensitive intrusion response system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100611

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120605

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120606

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20121009