JP2010198194A - セキュリティ管理支援システム - Google Patents
セキュリティ管理支援システム Download PDFInfo
- Publication number
- JP2010198194A JP2010198194A JP2009040885A JP2009040885A JP2010198194A JP 2010198194 A JP2010198194 A JP 2010198194A JP 2009040885 A JP2009040885 A JP 2009040885A JP 2009040885 A JP2009040885 A JP 2009040885A JP 2010198194 A JP2010198194 A JP 2010198194A
- Authority
- JP
- Japan
- Prior art keywords
- security
- department
- management
- level
- asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【解決手段】セキュリティ管理支援サーバ100とクライアント端末400とからなるセキュリティ管理支援システム1であって、セキュリティ管理支援サーバ100は、資産についての情報を資産データベース220に登録する資産管理部140と、資産に対する管理策の実施状況についての診断結果を診断データベース250に登録し、各部署における現状のセキュリティレベルもしくはリスクレベルを管理対象のセキュリティ基準に基づいて採点する現状分析部110と、セキュリティレベルもしくはリスクレベルの目標レベルとその達成時期を計画策定データベース240に登録する目標管理部120とを有する。
【選択図】図1
Description
図1は、本発明の一実施の形態であるセキュリティ管理支援システムの構成例の概要を示す図である。セキュリティ管理支援システム1は、例えば、セキュリティ管理支援サーバ100と、セキュリティ管理支援サーバ100にネットワーク経由で接続されたおよびクライアント端末400から構成される。また、後述するセキュリティ管理ツールサーバ300とネットワーク経由で連携してもよい。
図2は、セキュリティ管理支援システム1を利用したセキュリティ管理業務の流れの概要を示した図である。まず、セキュリティ管理支援サーバ100の現状分析部110の機能を利用して、自部署および下位部署についてのセキュリティ対策状況およびセキュリティリスクの現状レベルを分析する(ステップS201)。
図3は、ユーザ・部署DB210のテーブルの構成例を示した図である。ユーザ・部署DB210は、セキュリティ管理支援システム1を利用する企業等のユーザや部署およびその階層等を保持するデータベースであり、例えば、会社テーブル211、部署テーブル212、所属部署テーブル213、担当ロールテーブル214、ロールテーブル215、ユーザテーブル216のテーブルから構成される。なお、図中のテーブル間の矢印は、例えば、A→Bである場合に、A:B=1:nの関係(A has many Bs)にあることを示している。
以下、図2におけるセキュリティ対策およびセキュリティリスクの現状レベルの分析(ステップS201)での処理内容について説明する。ユーザがクライアント端末400から図示しないメイン画面等を介してセキュリティレベルの現状分析を行うよう要求すると、セキュリティ管理支援サーバ100の現状分析部110は、各DBの内容を参照して、例えば図8に示すような、現状のセキュリティレベルの診断結果を表示するセキュリティ診断画面を生成してクライアント端末400上に表示する。
セキュリティレベル=
Σ(重み付け値×判定結果○(実施済み)の管理策)×100
÷Σ(重み付け値×判定結果N/Aではない管理策) …式(1)
の式によって算出する。
リスクレベル=リスク係数×(100−セキュリティレベル) …式(2)
の式によって算出する。
以下、図2における自部署および下位部署の目標レベルの設定(ステップS202)での処理内容について説明する。ユーザがクライアント端末400から図示しないメイン画面等を介してセキュリティレベルの目標設定を行うよう要求すると、セキュリティ管理支援サーバ100の目標設定部121は、例えば図14に示すような、自部署のセキュリティレベルの目標を設定する自部署目標設定画面を生成してクライアント端末400上に表示する。
以下、図2における管理策の実施状況の自己点検(ステップS204)での処理内容について説明する。ユーザがクライアント端末400から図示しないメイン画面等を介して現在のセキュリティ対策状況についての自己点検を行うよう要求すると、セキュリティ管理支援サーバ100の現状分析部110は、例えば図17に示すような、自部署のセキュリティ対策の診断結果を入力する診断明細入力画面を生成してクライアント端末400上に表示する。
100…セキュリティ管理支援サーバ、110…現状分析部、111…セキュリティレベル診断部、112…リスク分析部、113…詳細分析部、120…目標管理部、121…目標設定部、122…計画策定部、123…予実管理部、130…業務処理部、140…資産管理部、150…管理部、
210…ユーザ・部署DB、211…会社テーブル、212…部署テーブル、213…所属部署テーブル、214…担当ロールテーブル、215…ロールテーブル、216…ユーザテーブル、
220…資産DB、221…資産種別テーブル、222…資産テーブル、223…資産種別格納情報テーブル、224…情報テーブル、225…システム格納情報テーブル、
230…管理策DB、231…セキュリティ基準テーブル、232…管理策セキュリティ基準テーブル、233…管理策テーブル、234…リスク内容テーブル、235…管理策リスク内容テーブル、236…管理策実行部署テーブル、237…管理策実行パターンテーブル、
240…計画策定DB、241…目標設定テーブル、242…リスク目標設定テーブル、243…計画策定明細テーブル、244…システム計画策定明細テーブル、
250…診断DB、251…診断明細テーブル、
300…セキュリティ管理ツールサーバ、
400…クライアント端末。
Claims (9)
- 1または複数の部署からなる組織体が保持する保護すべき情報資産についてのセキュリティレベルもしくはリスクレベルを評価して管理するセキュリティ管理支援サーバと、前記セキュリティ管理支援サーバにネットワーク経由で接続するクライアント端末とからなるセキュリティ管理支援システムであって、
前記セキュリティ管理支援サーバは、
前記クライアント端末を介した前記各部署におけるユーザからの要求により、前記部署毎に、前記部署が保持する資産についての情報を資産データベースに登録または更新する資産管理部と、
前記クライアント端末を介した前記各部署における前記ユーザからの要求により、前記部署毎に、前記部署が保持する前記資産に対する管理策の実施状況についての診断結果を診断データベースに登録し、また、前記クライアント端末を介した前記各部署における前記ユーザからの要求により、前記診断データベースの内容に基づいて、前記各部署における現状の前記セキュリティレベルもしくは前記リスクレベルを管理対象のセキュリティ基準に基づいて採点し、前記ユーザにより指定された集計方法で集計した結果を前記クライアント端末に表示する現状分析部と、
前記クライアント端末を介した前記各部署における前記ユーザからの要求により、前記部署に対して前記ユーザにより指定された、前記セキュリティレベルもしくは前記リスクレベルの目標レベルとその達成時期を計画策定データベースに登録または更新する目標管理部とを有することを特徴とするセキュリティ管理支援システム。 - 請求項1に記載のセキュリティ管理支援システムにおいて、
前記現状分析部は、
前記部署が保持する前記資産の資産種別について前記セキュリティ基準によって割り当てられている実施すべき前記各管理策の総数と、実施済みの前記管理策の数との割合を所定の重み付けにより算出した値に基づいて前記セキュリティレベルを採点し、
前記セキュリティレベルと、前記部署が保持する前記資産に保持される情報の資産価値に基づいて算出したリスク係数とに基づいて前記リスクレベルを採点することを特徴とするセキュリティ管理支援システム。 - 請求項1または2に記載のセキュリティ管理支援システムにおいて、
前記現状分析部は、
前記部署が保持する前記資産に対する前記管理策の実施状況についての前記診断結果を前記診断データベースに登録する際に、前記資産におけるセキュリティ関連の設定情報を自動判別して取得するセキュリティ管理ツールによって取得された前記設定情報から前記診断結果の情報を抽出して登録することを特徴とするセキュリティ管理支援システム。 - 請求項1〜3のいずれか1項に記載のセキュリティ管理支援システムにおいて、
前記目標管理部は、
前記部署が保持する前記資産の前記資産種別について管理対象の前記セキュリティ基準によって割り当てられている前記各管理策を、前記管理策および前記管理策が含まれる前記セキュリティ基準に関する情報を保持する管理策データベースから取得して前記クライアント端末に表示し、
前記クライアント端末に表示された前記各管理策のうち、前記ユーザによって選択されたものを、前記部署における前記目標レベルを達成するために実施すべき前記管理策として前記計画策定データベースに登録または更新することを特徴とするセキュリティ管理支援システム。 - 請求項4に記載のセキュリティ管理支援システムにおいて、
前記目標管理部は、
前記ユーザが前記クライアント端末に表示された前記管理策のうち、前記部署における前記目標レベルを達成するために実施すべきものを選択する際に、選択された前記管理策が前記ユーザによって指定された前記達成時期に実施された場合の前記セキュリティレベルもしくは前記リスクレベル、および、前記管理策を前記資産種別の前記資産に適用した場合の予め定めた概算単価に基づいて算出した概算費用を算出して前記クライアント端末に表示することを特徴とするセキュリティ管理支援システム。 - 請求項4に記載のセキュリティ管理支援システムにおいて、
前記目標管理部は、
前記ユーザが前記クライアント端末に表示された前記管理策のうち、前記部署における前記目標レベルを達成するために実施すべきものを選択する際に、選択された前記管理策の内容が前記組織体単位もしくは複数の前記部署からなる階層単位で実施するものである場合は、対象の前記部署の下位層の部署においては、指定された実施時期に前記管理策が自動的に実施されるもしくはされたものとして処理することを特徴とするセキュリティ管理支援システム。 - 請求項1〜6のいずれか1項に記載のセキュリティ管理支援システムにおいて、
前記目標管理部は、
前記ユーザが第1の部署における前記セキュリティレベルもしくは前記リスクレベルの第1の目標レベルとその達成時期を指定する際に、前記第1の部署の下位層の第2の部署における第2の目標レベルとその達成時期も指定可能とし、
前記第2の部署の前記ユーザが前記第2の部署における第3の目標レベルとその達成時期を指定する際に、前記第1の部署によって指定された前記第2の目標レベルとその達成時期を満たすように制限することを特徴とするセキュリティ管理支援システム。 - 請求項1〜7のいずれか1項に記載のセキュリティ管理支援システムにおいて、
前記現状分析部は、
前記クライアント端末を介した前記各部署における前記ユーザからの要求により、前記部署毎に、前記部署が保持する前記資産に対する前記管理策の実施状況についての前記診断結果を前記診断データベースに登録する際に、以前の前記診断結果を履歴として前記診断データベースに登録し、
前記目標管理部は、
前記クライアント端末を介した前記各部署における前記ユーザからの要求により、前記計画策定データベースに登録された前記部署における前記目標レベルとその達成時期、および前記診断データベースに登録された前記診断結果の履歴とに基づいて、前記管理策の実施についての計画と実績を対比する情報を作成して前記クライアント端末に表示することを特徴とするセキュリティ管理支援システム。 - 請求項1〜8のいずれか1項に記載のセキュリティ管理支援システムにおいて、
前記現状分析部は、
前記クライアント端末を介した前記各部署における前記ユーザからの要求により、前記各部署における現状の前記セキュリティレベルもしくは前記リスクレベルを管理対象の前記セキュリティ基準に基づいて採点して前記クライアント端末に表示する際に、実施した前記管理策の総数と、実施した前記管理策のうち、実施状況についての診断もしくは前記診断結果の登録のいずれかが前記ユーザ以外によって行われたものの数との割合に基づいて第三者判定割合を算出し、前記第三者判定割合を前記クライアント端末に表示することを特徴とするセキュリティ管理支援システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009040885A JP2010198194A (ja) | 2009-02-24 | 2009-02-24 | セキュリティ管理支援システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009040885A JP2010198194A (ja) | 2009-02-24 | 2009-02-24 | セキュリティ管理支援システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010198194A true JP2010198194A (ja) | 2010-09-09 |
Family
ID=42822877
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009040885A Pending JP2010198194A (ja) | 2009-02-24 | 2009-02-24 | セキュリティ管理支援システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010198194A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012194801A (ja) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | セキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システム |
JP2016105233A (ja) * | 2014-12-01 | 2016-06-09 | 三菱電機株式会社 | 脅威分析装置、及び脅威分析方法 |
JP2016192176A (ja) * | 2015-03-31 | 2016-11-10 | 株式会社日立製作所 | セキュリティ対策支援装置およびセキュリティ対策支援方法 |
JP2017525055A (ja) * | 2014-08-13 | 2017-08-31 | ハネウェル・インターナショナル・インコーポレーテッド | 産業制御環境内のサイバーセキュリティリスクの分析 |
WO2020084675A1 (ja) * | 2018-10-22 | 2020-04-30 | 日本電気株式会社 | セキュリティ分析支援装置、セキュリティ分析支援方法、及びコンピュータ読み取り可能な記録媒体 |
CN114666170A (zh) * | 2022-05-25 | 2022-06-24 | 深圳市永达电子信息股份有限公司 | 分层分级的安全集散管控方法和系统 |
JP7474800B2 (ja) | 2022-04-28 | 2024-04-25 | 株式会社アシュアード | リスク評価システム及びリスク評価方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001101135A (ja) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
JP2002352062A (ja) * | 2001-05-24 | 2002-12-06 | Hitachi Ltd | セキュリティ評価装置 |
JP2004259197A (ja) * | 2003-02-27 | 2004-09-16 | International Network Securitiy Inc | 情報セキュリティ監査システム |
JP2005135239A (ja) * | 2003-10-31 | 2005-05-26 | Fujitsu Social Science Laboratory Ltd | 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法 |
JP2005216003A (ja) * | 2004-01-29 | 2005-08-11 | Ricoh Co Ltd | リスク管理支援方法及びリスク管理支援プログラム |
JP2005234638A (ja) * | 2004-02-17 | 2005-09-02 | Japan Research Institute Ltd | It投資診断支援装置、it投資診断支援方法およびその方法をコンピュータに実行させるit投資診断支援プログラム |
JP2006244010A (ja) * | 2005-03-02 | 2006-09-14 | Fujitsu Social Science Laboratory Ltd | 監査処理プログラム,装置及び方法 |
JP2006331383A (ja) * | 2005-04-25 | 2006-12-07 | Hitachi Ltd | システムセキュリティ設計・評価支援ツール、システムセキュリティ設計・評価支援方法、およびシステムセキュリティ設計・評価支援プログラム |
JP2007287132A (ja) * | 2006-04-19 | 2007-11-01 | Metarisk Inc | 情報技術危険管理システム及びその方法 |
JP2008059552A (ja) * | 2006-08-03 | 2008-03-13 | Quality Kk | 管理システム,管理サーバおよび管理プログラム |
-
2009
- 2009-02-24 JP JP2009040885A patent/JP2010198194A/ja active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001101135A (ja) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
JP2002352062A (ja) * | 2001-05-24 | 2002-12-06 | Hitachi Ltd | セキュリティ評価装置 |
JP2004259197A (ja) * | 2003-02-27 | 2004-09-16 | International Network Securitiy Inc | 情報セキュリティ監査システム |
JP2005135239A (ja) * | 2003-10-31 | 2005-05-26 | Fujitsu Social Science Laboratory Ltd | 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法 |
JP2005216003A (ja) * | 2004-01-29 | 2005-08-11 | Ricoh Co Ltd | リスク管理支援方法及びリスク管理支援プログラム |
JP2005234638A (ja) * | 2004-02-17 | 2005-09-02 | Japan Research Institute Ltd | It投資診断支援装置、it投資診断支援方法およびその方法をコンピュータに実行させるit投資診断支援プログラム |
JP2006244010A (ja) * | 2005-03-02 | 2006-09-14 | Fujitsu Social Science Laboratory Ltd | 監査処理プログラム,装置及び方法 |
JP2006331383A (ja) * | 2005-04-25 | 2006-12-07 | Hitachi Ltd | システムセキュリティ設計・評価支援ツール、システムセキュリティ設計・評価支援方法、およびシステムセキュリティ設計・評価支援プログラム |
JP2007287132A (ja) * | 2006-04-19 | 2007-11-01 | Metarisk Inc | 情報技術危険管理システム及びその方法 |
JP2008059552A (ja) * | 2006-08-03 | 2008-03-13 | Quality Kk | 管理システム,管理サーバおよび管理プログラム |
Non-Patent Citations (4)
Title |
---|
CSND200301339009; 'セキュリティポリシー設定と導入の基準を学ぶ(BS7799)セキュリティガイドライン' N+I NETWORK Guide 第1巻,第8号, 20011201, p.118-123, ソフトバンクパブリッシング株式会社 * |
CSND200400122001; 内田 昌宏: 'セキュリティ・ポリシー策定のためのガイドラインから手順まで' COMPUTER&NETWORK LAN 第21巻 第2号 第21巻, 20030201, p.8〜34, 株式会社オーム社 * |
JPN6009005673; 'セキュリティポリシー設定と導入の基準を学ぶ(BS7799)セキュリティガイドライン' N+I NETWORK Guide 第1巻,第8号, 20011201, p.118-123, ソフトバンクパブリッシング株式会社 * |
JPN6012062168; 内田 昌宏: 'セキュリティ・ポリシー策定のためのガイドラインから手順まで' COMPUTER&NETWORK LAN 第21巻 第2号 第21巻, 20030201, p.8〜34, 株式会社オーム社 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012194801A (ja) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | セキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システム |
JP2017525055A (ja) * | 2014-08-13 | 2017-08-31 | ハネウェル・インターナショナル・インコーポレーテッド | 産業制御環境内のサイバーセキュリティリスクの分析 |
JP2016105233A (ja) * | 2014-12-01 | 2016-06-09 | 三菱電機株式会社 | 脅威分析装置、及び脅威分析方法 |
JP2016192176A (ja) * | 2015-03-31 | 2016-11-10 | 株式会社日立製作所 | セキュリティ対策支援装置およびセキュリティ対策支援方法 |
WO2020084675A1 (ja) * | 2018-10-22 | 2020-04-30 | 日本電気株式会社 | セキュリティ分析支援装置、セキュリティ分析支援方法、及びコンピュータ読み取り可能な記録媒体 |
JPWO2020084675A1 (ja) * | 2018-10-22 | 2021-09-09 | 日本電気株式会社 | セキュリティ分析支援装置、セキュリティ分析支援方法、及びプログラム |
JP7104377B2 (ja) | 2018-10-22 | 2022-07-21 | 日本電気株式会社 | セキュリティ分析支援装置、セキュリティ分析支援方法、及びプログラム |
JP7474800B2 (ja) | 2022-04-28 | 2024-04-25 | 株式会社アシュアード | リスク評価システム及びリスク評価方法 |
CN114666170A (zh) * | 2022-05-25 | 2022-06-24 | 深圳市永达电子信息股份有限公司 | 分层分级的安全集散管控方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5405921B2 (ja) | タスク管理システムおよびセキュリティ管理支援システム | |
Spruit et al. | MD3M: The master data management maturity model | |
Yun et al. | Measuring project management inputs throughout capital project delivery | |
CN110135724A (zh) | 基于coso内部控制框架的企业全面风险管理系统与方法 | |
Lin et al. | An integrated framework for supply chain performance measurement using six-sigma metrics | |
Mohammadi et al. | Developing safety archetypes of construction industry at project level using system dynamics | |
Monteiro et al. | Defining a catalog of indicators to support process performance analysis | |
JP2010198194A (ja) | セキュリティ管理支援システム | |
Bargshady et al. | Business Inteligence Technology Implimentation Readiness Factors | |
Hsiao et al. | Assessing the efficiency of the accounting industry using multiactivity network DEA: evidence from Taiwan | |
Min et al. | Success factors affecting the intention to use business analytics: An empirical study | |
Kartika et al. | The Role Of Intellectual Capital And Good Corporate Governance Toward Financial Performance | |
Ajila et al. | Experimental use of code delta, code churn, and rate of change to understand software product line evolution | |
Pavlatos et al. | Moderating Role of Cost Accounting Information Quality on the Relationship Between the COVID‐19 Pandemic and Budgeting in Public Hospitals | |
Nguyen et al. | Factors affecting the responsibility accounting in Vietnamese firms: A case study for livestock food processing enterprises | |
Cheng et al. | Analyzing relationships between project team compositions and green building certification in green building projects | |
Roy et al. | Strategic alliance between information intensive services and supply chain integration: Impact on firm performance | |
Aburas | An integrated performance management framework for a multi-business company articles | |
Kang et al. | A framework for measuring and managing value achievement in business processes | |
Sokołowska-Durkalec | Identification of social irresponsibility manifestations in the social responsibility management system in a small enterprise—Importance, Place and Conditions | |
Herzog et al. | Quality cost account as a framework of continuous improvement at operational and strategic level | |
MARKOVIĆ et al. | A contribution to continual software service improvement based on the six-step service improvement method | |
TW201301187A (zh) | 一種最佳財報分析暨選股之資訊系統及方法 | |
Zhang | Construction cost optimization system based on AHP-BP neural network algorithm | |
Otieno | An assessment of the role of risk management practices in core banking software project success: A case of commercial banks in Kenya |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110303 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121204 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130204 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130402 |