JP2010250677A - Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device - Google Patents

Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device Download PDF

Info

Publication number
JP2010250677A
JP2010250677A JP2009101001A JP2009101001A JP2010250677A JP 2010250677 A JP2010250677 A JP 2010250677A JP 2009101001 A JP2009101001 A JP 2009101001A JP 2009101001 A JP2009101001 A JP 2009101001A JP 2010250677 A JP2010250677 A JP 2010250677A
Authority
JP
Japan
Prior art keywords
evaluation
security
determination data
recognition
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009101001A
Other languages
Japanese (ja)
Inventor
Hatsumi Nakano
初美 中野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2009101001A priority Critical patent/JP2010250677A/en
Publication of JP2010250677A publication Critical patent/JP2010250677A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To check whether a user correctly identifies (recognizes) a security measure, and understands and conducts the security measure to adequately evaluate the degree of infiltration into the user of the security measure. <P>SOLUTION: A security determination data storage part 141 stores, in a storage device, evaluation determination data for evaluating the degrees of recognition, understanding and execution. A computation part 131 inputs the evaluation determination data and computes, through a processing device, a value of the degree of the recognition which indicates at what degree the user recognizes the security measure, a value of the degree of the understanding which indicates at what degree the user understands the security measure, and a value of the degree of the execution which indicates at what degree the user executes the security measure. An operational state-evaluating part 132 evaluates, through the processing device, a security measure-operated state by using an operational state evaluation reference which is preliminarily stored in the storage device on the basis of the value of the degree of the recognition, the value of the degree of the understanding and the value of the degree of the execution, which are all computed by the computation part 131, to store the security measure-operated state, as a result of an operational state evaluation, in an evaluation result storage part 137. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、組織のセキュリティ施策の運用状況を評価するセキュリティ評価装置及びセキュリティ評価方法及びセキュリティ評価プログラムに関する。   The present invention relates to a security evaluation device, a security evaluation method, and a security evaluation program for evaluating the operational status of security measures of an organization.

組織における情報セキュリティの運用管理を支援する従来技術として、組織の現在のセキュリティポリシーと組織のセキュリティ運用実態との差異を分析し、組織内のセキュリティ運用ルールの調整を行うことによって組織のセキュリティポリシーの改善を行うという方式がある(特許文献1)。また、他の従来技術として、ネットワークに接続された情報機器に関するセキュリティ監査を、ログ情報等を定期的に収集することによって自動的に行い、改善すべきセキュリティ施策を洗い出す、という技術方式がある(特許文献2)。   As a conventional technology that supports the operation management of information security in an organization, the difference between the current security policy of the organization and the actual security operation status of the organization is analyzed, and the security policy of the organization is adjusted by adjusting the security operation rules in the organization. There is a method of improving (Patent Document 1). As another conventional technique, there is a technical method in which a security audit on an information device connected to a network is automatically performed by periodically collecting log information and the like and a security measure to be improved is identified ( Patent Document 2).

特開2002−056176号公報JP 2002-056176 A 特開2004−185455号公報JP 2004-185455 A

従来技術では、情報セキュリティの運用管理を行う場合、ヒアリングやアンケートによって、さらには、ネットワーク接続機器からPC設定状況等のデータを取得することによって、エンドユーザが組織内で指示された施策を実施しているかどうかを確認していた。しかし、このような方式では、以下のような課題がある。   In the conventional technology, when managing information security operations, end users are implemented measures that are instructed within the organization by interviews and questionnaires, and by acquiring data such as PC settings from network-connected devices. I was checking whether or not. However, such a method has the following problems.

第一に、実施状況を収集しているだけでは、事故が発生しないとわからない潜在リスクを検出することができない、という課題がある。例えば、近年、オフィスの外部へ持出したPCの盗難等による情報漏えい事件の発生が多数報告されている。このような事故に対して、通常業態として、PCを持出すエンドユーザは、PC持出しの実施状況を確認することができるが、業務上、PCを持出す必要がなかったために、PC持出を行ったことがないエンドユーザについては、実施したことがないために、実施状況を確認することはできない。このようなエンドユーザがPC持出し時の施策について認識していなかった場合、PC持出しを行った際に情報漏えい事故が起こるリスクが高い。このリスクは、事故が発生して初めて認識されることになる。   First, there is a problem that it is impossible to detect potential risks that cannot be understood unless an accident occurs only by collecting the implementation status. For example, in recent years, many cases of information leakage incidents due to theft of PCs taken outside the office have been reported. As a normal business condition, end users who take out PCs can check the implementation status of taking out PCs, but they do not have to take out PCs for business purposes. For end users who have never been there, the implementation status cannot be confirmed because it has never been done. When such an end user is not aware of the measures for taking out the PC, there is a high risk of an information leakage accident when taking out the PC. This risk is only recognized when an accident occurs.

第二に、ITシステム上でセキュリティ施策の実施状況を取得していても、セキュリティ事故が発生した場合の根本原因はわからない、という課題がある。例えば、あるエンドユーザが、指示されたセキュリティ上の施策を実施していないことが確認された場合、業務の都合上、一時的に敢えてそのセキュリティ施策実施していなかったのか、それとも指示されたセキュリティ施策事項である、という点を認識していなかったために実施していなかったのかは、判別できない。前者の場合は、その原因となる業務が終了したタイミングで該当セキュリティ施策を実施するようにエンドユーザに徹底すればよいが、後者の場合は、エンドユーザに対して該当セキュリティ施策に関する再教育が必要になる。もし、後者のようなエンドユーザが組織内に多数いた場合は、セキュリティ施策の指示方法の見直しが必要になる場合もある。このように、あるセキュリティ施策が実施されていなかった場合、その原因によって異なる対処をしなければならない。   Second, there is a problem that even if the implementation status of security measures is acquired on the IT system, the root cause when a security accident occurs is not known. For example, if it is confirmed that a certain end user has not implemented the specified security measures, whether the security measures have been temporarily implemented for the convenience of work or the specified security It is not possible to determine whether it was not implemented because it did not recognize that it was a policy item. In the former case, the end user should be thoroughly instructed to implement the relevant security measures at the timing when the work that causes them ends. In the latter case, the end users need to be retrained about the relevant security measures. become. If there are many end users such as the latter in the organization, it may be necessary to review the security policy instruction method. Thus, when a certain security measure has not been implemented, different measures must be taken depending on the cause.

この発明は上記のような課題を解決するためになされたもので、エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施しているかどうかを確認することによってエンドユーザへのセキュリティ施策の浸透度を適切に測るとともに、確認した結果に基づいて適切な対処を提示することができるシステムを提供する。   The present invention has been made to solve the above-described problems, and by confirming whether the end user correctly identifies (recognizes), understands and implements the security measure, the security measure for the end user is confirmed. Provided is a system capable of appropriately measuring the degree of penetration and presenting an appropriate countermeasure based on the confirmed result.

本発明におけるセキュリティ評価装置は、
組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、
前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部と、
前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出部と、
前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価部と
を備えたことを特徴とする。 The security evaluation device in the present invention is:
In a security evaluation device that evaluates the operational status of security measures in an organization,
A security determination data storage unit that stores recognition determination data for determining a recognition status of the security measure in the organization and an execution determination data for determining an implementation status of the security measure in the organization in a storage device;
The degree to which the user recognizes the security measure based on the input recognition determination data and the execution determination data by inputting the recognition determination data and the execution determination data from the security determination data storage unit And a calculation unit that calculates a value of the degree of recognition indicating the degree of implementation and the degree of implementation indicating the degree of implementation of the security measure by the user,
Based on the recognition level value and the implementation level value calculated by the calculation unit, the operation status of the security measure is evaluated by a processing device using an operation status evaluation criterion stored in advance in a storage device. And an operation status evaluation unit that stores the operation status evaluation result in a storage device.

本発明におけるセキュリティ評価装置は、組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、セキュリティ判定データ記憶部が、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶し、算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出し、運用状況評価部が、前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶するので、エンドユーザがセキュリティ施策を正しく認知(識別、理解)して実施しているかどうかを確認することができ、エンドユーザへのセキュリティ施策の浸透度をより適切に評価可能なセキュリティ管理装置を提供することができる。   The security evaluation device according to the present invention is a security evaluation device that evaluates the operational status of a security measure in an organization, wherein the security judgment data storage unit recognizes the recognition status of the security measure in the organization, Implementation determination data for determining the implementation status of the security measure in the organization is stored in a storage device, the calculation unit inputs the recognition determination data and the implementation determination data from the security determination data storage unit, Based on the input recognition determination data and the execution determination data, the degree of recognition indicating the degree of recognition of the security measure by the user and the degree of implementation of the security measure by the user are indicated. The implementation level value is calculated by the processing device, and the operation status evaluation unit Based on the recognition level value and the implementation level value calculated by the calculation unit, the operation status of the security measure is evaluated by a processing device using an operation status evaluation criterion stored in advance in a storage device. As the operation status evaluation result is stored in the storage device, it is possible to check whether the end user is correctly recognizing (identifying and understanding) the security measure and confirming the penetration of the security measure to the end user. It is possible to provide a security management device that can be more appropriately evaluated.

実施の形態1に係る情報セキュリティ管理装置100の機能ブロック図である。2 is a functional block diagram of the information security management apparatus 100 according to Embodiment 1. FIG. 実施の形態に係るセキュリティ管理装置100の外観の一例を示す図である。It is a figure which shows an example of the external appearance of the security management apparatus 100 which concerns on embodiment. 実施の形態に係るセキュリティ管理装置100のハードウェア資源の一例を示す図である。It is a figure which shows an example of the hardware resource of the security management apparatus 100 which concerns on embodiment. 実施の形態1に係る設計部110による評価情報設計処理及び評価情報記憶処理のフロー図である。6 is a flowchart of evaluation information design processing and evaluation information storage processing by the design unit 110 according to Embodiment 1. FIG. 実施の形態1における評価判定データ情報設計部111が記憶する評価判定データ情報記憶部121の一例を示す図である。It is a figure which shows an example of the evaluation determination data information storage part 121 which the evaluation determination data information design part 111 in Embodiment 1 memorize | stores. 実施の形態1におけるリスク改善策設計部113が記憶するリスク改善策情報記憶部123の一例を示す図である。6 is a diagram illustrating an example of a risk improvement measure information storage unit 123 stored by a risk improvement measure design unit 113 according to Embodiment 1. FIG. 実施の形態1における評価式設計部112が記憶する評価式情報記憶部122の一例を示す図である。6 is a diagram illustrating an example of an evaluation formula information storage unit 122 stored by an evaluation formula design unit 112 according to Embodiment 1. FIG. 実施の形態1に係る評価判定データ取得処理及び運用状況評価処理を示すフロー図である。It is a flowchart which shows the evaluation determination data acquisition process and operation condition evaluation process which concern on Embodiment 1. 実施の形態1に係るリスク問合せ処理を示すフロー図である。6 is a flowchart showing risk inquiry processing according to Embodiment 1. FIG. 実施の形態2におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。6 is a functional block configuration diagram of a security management device 100 according to Embodiment 2. FIG. 実施の形態2に係る評価結果3次元表示部138の評価結果3次元グラフ表示処理の流れを示すフロー図である。FIG. 10 is a flowchart showing a flow of an evaluation result three-dimensional graph display process of an evaluation result three-dimensional display unit 138 according to Embodiment 2. 実施の形態2において表示装置に表示される評価結果3次元グラフの一例を示す図である。10 is a diagram illustrating an example of an evaluation result three-dimensional graph displayed on a display device in Embodiment 2. FIG. 実施の形態3におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。FIG. 10 is a diagram illustrating a functional block configuration diagram of a security management device 100 according to a third embodiment. 実施の形態3に係る相関分析部139の相関分析処理の流れを示すフロー図である。FIG. 10 is a flowchart showing a flow of correlation analysis processing of a correlation analysis unit 139 according to Embodiment 3.

以下に、本発明の実施の形態について、図を用いて説明する。   Embodiments of the present invention will be described below with reference to the drawings.

実施の形態1.
本実施の形態では、会社、事務所、役所等の組織(以下、ユーザともいう)内におけるセキュリティ施策の運用状況について評価し、評価結果(評価レベル)を出力し、さらには出力した評価結果からリスク改善策等をユーザに提示することができるセキュリティ管理装置100について説明する。セキュリティ管理装置100はセキュリティ評価装置の一例である。すなわち、実施の形態1におけるセキュリティ管理装置100は、組織内のセキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100である。 Embodiment 1 FIG.
In this embodiment, the operational status of security measures within an organization (hereinafter also referred to as a user) such as a company, office, or government office is evaluated, and an evaluation result (evaluation level) is output. The security management apparatus 100 that can present a risk improvement measure and the like to the user will be described. The security management device 100 is an example of a security evaluation device. That is, the security management apparatus 100 according to the first embodiment is a security management apparatus 100 for the purpose of confirming whether or not the security measure in the organization is being implemented by the end user.

組織(ユーザ)内におけるセキュリティ施策とは、組織内でのセキュリティを高めるための個々の施策を意味する。例えば、「セキュリティプログラムによる定期チェックの実行施策」や、「PCの社外持ち出し禁止施策」や、「秘匿ファイルへのアクセス権取得義務施策」や、「セキュリティソフトの実行施策」等、様々なセキュリティ施策がある。また、以下において、ユーザとは、セキュリティ施策を実践する会社等の組織あるいは組織内の個々のユーザを意味し、セキュリティ管理装置100を実際に利用するのはユーザ内の管理者400(セキュリティ管理者)である。以下では、ユーザの一員である管理者400を「ユーザ」と呼ぶ場合もあるものとする。また、ユーザ(組織)で実際にセキュリティ施策を実施する個々の者を、エンドユーザと呼ぶ場合もある。   The security measure in the organization (user) means an individual measure for enhancing the security in the organization. For example, various security measures, such as “Periodic Check Execution Measures by Security Program”, “Prohibition to Take Outside PCs”, “Obligation to Obtain Access Rights to Secret Files”, and “Security Software Execution Measures” There is. In the following, a user means an organization such as a company that implements security measures or individual users in the organization, and the security management apparatus 100 is actually used by an administrator 400 (security administrator) within the user. ). Hereinafter, the administrator 400 who is a member of the user may be referred to as a “user”. In addition, an individual who actually implements security measures by a user (organization) may be called an end user.

図1は、実施の形態1に係る情報セキュリティ管理装置100の機能ブロック図である。図1を用いて、セキュリティ管理装置100の各機能ブロックの機能について説明する。   FIG. 1 is a functional block diagram of an information security management apparatus 100 according to the first embodiment. The function of each functional block of the security management device 100 will be described with reference to FIG.

本実施の形態のセキュリティ管理装置100は、組織内のセキュリティ施策の運用状況を評価するための評価尺度として、認知度、理解度、実施度を用いる。認知度は、ユーザ(組織)内において、エンドユーザがどれだけセキュリティ施策を認知しているかの度合いを示す値である。理解度は、ユーザ内において、エンドユーザがどれだけセキュリティ施策を理解しているかの度合いを示す値である。実施度は、ユーザ内において、エンドユーザがどれだけセキュリティ施策を実施しているかの度合いを示す値である。すなわち、認知度、理解度、実施度の値は、百分率で表すことができる。セキュリティ管理装置100において、認知度、理解度、実施度を判定するとは、例えば、認知度、理解度、実施度の値をそれぞれ百分率で表すことを意味する。   The security management apparatus 100 according to the present embodiment uses the degree of recognition, the degree of understanding, and the degree of implementation as an evaluation scale for evaluating the operational status of security measures in the organization. The degree of recognition is a value indicating how much the end user recognizes the security measure in the user (organization). The degree of understanding is a value indicating how much the end user understands the security measure in the user. The implementation level is a value indicating the degree of security measures implemented by the end user within the user. That is, the values of recognition level, understanding level, and implementation level can be expressed as percentages. In the security management device 100, determining the degree of recognition, the degree of understanding, and the degree of implementation means, for example, that the values of the degree of recognition, the degree of understanding, and the degree of implementation are expressed as percentages.

セキュリティ管理装置100は、設計部110、評価情報記憶部120、評価部130、評価判定データ取得部140、セキュリティ判定データ記憶部141、根源リスク特定部150、リスク対策提示部160を備えている。   The security management apparatus 100 includes a design unit 110, an evaluation information storage unit 120, an evaluation unit 130, an evaluation determination data acquisition unit 140, a security determination data storage unit 141, a root risk identification unit 150, and a risk countermeasure presentation unit 160.

設計部110及び評価情報記憶部120は、セキュリティ管理装置100を利用して組織内のセキュリティ施策の運用状況を評価したい管理者400(ユーザ)が、組織内の複数のセキュリティ施策毎に、該当するセキュリティ施策を評価するために必要な評価情報等を、入力装置を用いて設定するための機能(インタフェース等)を提供する。また、設計部110及び評価情報記憶部120は、管理者400から入力装置を介して入力したデータや、ユーザ(組織)内の情報システムのデータベース等から取得したデータをもとに、セキュリティ施策を評価するために必要な評価情報を記憶装置に記憶する。   The design unit 110 and the evaluation information storage unit 120 correspond to an administrator 400 (user) who wants to evaluate the operational status of security measures in the organization using the security management apparatus 100 for each of the plurality of security measures in the organization. A function (interface, etc.) for setting evaluation information and the like necessary for evaluating a security measure using an input device is provided. In addition, the design unit 110 and the evaluation information storage unit 120 implement security measures based on data input from the administrator 400 via an input device or data acquired from an information system database in the user (organization). Evaluation information necessary for evaluation is stored in a storage device.

設計部110は、評価判定データ情報設計部111、評価式設計部112、リスク改善策設計部113、質問生成部114を備えている。また、評価情報記憶部120は、評価判定データ情報記憶部121、評価式情報記憶部122、リスク改善策情報記憶部123を備えている。   The design unit 110 includes an evaluation determination data information design unit 111, an evaluation formula design unit 112, a risk improvement measure design unit 113, and a question generation unit 114. The evaluation information storage unit 120 includes an evaluation determination data information storage unit 121, an evaluation formula information storage unit 122, and a risk improvement measure information storage unit 123.

評価判定データ情報設計部111は、組織内におけるエンドユーザへのセキュリティ施策の浸透度を評価尺度(認知度と理解度と実施度)毎に評価するために、評価尺度(認知度と理解度と実施度)毎に評価判定データ情報を設定し、設定した評価判定データ情報を評価判定データ情報記憶部121に記憶する。評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度(認知度と理解度と実施度)毎に評価判定データ情報を設定する。評価判定データ情報とは、該当するセキュリティ施策の評価尺度(認知度と理解度と実施度)を判定するために、取得すべき評価判定データを示すものである。例えば、セキュリティ施策A「セキュリティプログラムAの定期的の実行」についての認知度を判定するための評価判定データ情報とは、「セキュリティプログラムAの実行手順が書かれた指定URLへのアクセスの有無」や「指定URLアクセス時間」等である。   The evaluation judgment data information design unit 111 evaluates the degree of penetration of the security measure to the end user in the organization for each evaluation scale (recognition degree, understanding degree and implementation degree). Evaluation determination data information is set for each implementation degree), and the set evaluation determination data information is stored in the evaluation determination data information storage unit 121. For example, the evaluation determination data information design unit 111 sets evaluation determination data information for each evaluation scale (recognition degree, understanding degree, and implementation degree) based on an input from a user (such as the administrator 400) via an input device. To do. The evaluation determination data information indicates evaluation determination data to be acquired in order to determine the evaluation scale (recognition level, understanding level, and implementation level) of the corresponding security measure. For example, the evaluation determination data information for determining the degree of recognition of the security measure A “regular execution of the security program A” is “whether or not there is access to a specified URL in which the execution procedure of the security program A is written”. Or “specified URL access time”.

組織内でのセキュリティ施策の浸透度を評価尺度(認知度と理解度と実施度)毎に判定するために、組織内ではエンドユーザへのアンケートやヒアリングを行う。質問生成部114は、このエンドユーザへのアンケートやヒアリングの際の質問を生成する。質問生成部114は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度毎に質問を生成する。また、質問生成部114は、生成した評価尺度毎の質問に対するエンドユーザの回答データの集計サンプル情報を生成する。質問生成部114は、回答データの集計情報を、評価尺度毎の評価判定データ情報として評価判定データ情報設計部111に出力する。評価判定データ情報設計部111は、集計した回答データの集計サンプル情報を評価尺度毎の評価判定データ情報として設定してもよい。   In order to determine the degree of penetration of security measures within the organization for each evaluation scale (recognition, comprehension and implementation), the organization conducts questionnaires and interviews with end users. The question generation unit 114 generates a question for a questionnaire or interview with the end user. For example, the question generation unit 114 generates a question for each evaluation scale based on an input from a user (such as the administrator 400) via the input device. Further, the question generation unit 114 generates aggregate sample information of end user answer data for the generated questions for each evaluation scale. The question generation unit 114 outputs the total information of the answer data to the evaluation determination data information design unit 111 as evaluation determination data information for each evaluation scale. The evaluation determination data information design unit 111 may set the total sample information of the totaled answer data as evaluation determination data information for each evaluation scale.

また、評価判定データ情報設計部111は、特定した評価判定データ情報を評価するための基準であるデータ別評価基準を設定する。評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価判定データ情報に対応するデータ別評価基準を設定する。あるいは、例えば、評価判定データ情報「指定URLへのアクセス時間」に対するデータ別評価基準として、「アクセス時間が5分以上でOK」といった評価の満足条件を設定する。ここで、評価判定データ情報は、評価尺度(認知度と理解度と実施度)毎に複数特定されていてもよい。評価判定データ情報設計部111は、評価尺度(認知度と理解度と実施度)毎に複数特定された(1つでも構わない)評価判定データ情報に対して、対応するデータ別評価基準を設定して評価判定データ情報記憶部121に記憶する。ここで、1つの評価判定データ情報に対応するデータ別評価基準は、複数であってもよい。評価判定データ情報記憶部121の詳細説明については、後述する。   Further, the evaluation determination data information design unit 111 sets an evaluation criterion for each data that is a criterion for evaluating the specified evaluation determination data information. For example, the evaluation determination data information design unit 111 sets an evaluation criterion for each data corresponding to the evaluation determination data information based on an input from a user (such as the administrator 400) via the input device. Alternatively, for example, an evaluation satisfaction condition such as “OK when access time is 5 minutes or more” is set as an evaluation criterion for each data with respect to the evaluation determination data information “access time to specified URL”. Here, a plurality of pieces of evaluation determination data information may be specified for each evaluation scale (recognition level, understanding level, and implementation level). The evaluation determination data information design unit 111 sets a corresponding evaluation criterion for each piece of evaluation determination data information specified for each evaluation scale (recognition level, understanding level, and implementation level). And stored in the evaluation determination data information storage unit 121. Here, there may be a plurality of evaluation criteria for each data corresponding to one piece of evaluation determination data information. Details of the evaluation determination data information storage unit 121 will be described later.

リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価判定データ情報に対応するリスク改善策を設定する。リスク改善策設計部113は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度(認知度と理解度と実施度)毎に設定された評価判定データ情報に対して、対応するリスク改善策を設定する。対応するリスク改善策とは、該当する評価判定データ情報がデータ別評価基準を満足していない場合(例えば、評価判定データ情報「指定URLへのアクセスの有無」のデータが5分未満であった場合)の、ユーザがとるべきリスクの改善策である。リスク改善策設計部113は、評価判定データ情報に対して、対応するリスク改善策を設定してリスク改善策情報記憶部123に記憶する。   The risk improvement measure design unit 113 sets a risk improvement measure corresponding to the evaluation determination data information for each evaluation scale (recognition level, understanding level, and implementation level). The risk improvement measure design unit 113, for example, evaluation determination data information set for each evaluation scale (recognition degree, understanding degree, and implementation degree) based on an input from a user (such as the administrator 400) via an input device. Corresponding risk improvement measures. The corresponding risk improvement measure is when the corresponding evaluation judgment data information does not satisfy the evaluation criteria for each data (for example, the data of the evaluation judgment data information “presence of access to specified URL” is less than 5 minutes) The risk improvement measures that the user should take. The risk improvement measure design unit 113 sets a corresponding risk improvement measure for the evaluation determination data information and stores it in the risk improvement measure information storage unit 123.

評価式設計部112は、セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルを設定するとともに、設定した複数の評価レベルの各評価レベルに対して、対応する理解度の値と認知度の値と実施度の値との組み合わせを設定し、運用状況評価基準(以下、評価式ともいう)として記憶装置である評価式情報記憶部122に記憶する。評価式設計部112は、評価基準設定部の一例である。   The evaluation formula design unit 112 sets a plurality of evaluation levels that represent the rating of the evaluation of the operational status of the security measure, and for each evaluation level of the set plurality of evaluation levels, the corresponding understanding level and recognition level And a combination of the value of the implementation level and the operation condition evaluation criteria (hereinafter, also referred to as an evaluation expression) are stored in the evaluation expression information storage unit 122 which is a storage device. The evaluation formula design unit 112 is an example of an evaluation standard setting unit.

評価式設計部112は、評価レベルを決定するための評価式(運用状況評価基準)を設定して評価式情報記憶部122に記憶する。評価式設計部112は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価式を設定する。評価式とは、例えば、セキュリティAについては「全ての評価尺度において90%以上を満たしていれば評価レベル1(リスク対応は不要)」、「実施度が90%を満たしていれば評価レベル2(即座対応は不要)」等の条件のことである。   The evaluation formula design unit 112 sets an evaluation formula (operation status evaluation standard) for determining the evaluation level and stores it in the evaluation formula information storage unit 122. The evaluation formula design unit 112 sets an evaluation formula based on an input from a user (such as the administrator 400) via the input device, for example. For example, with respect to security A, “evaluation level 1 (if risk measures are not required)” for security A is 90% or more, and “evaluation level 2 if implementation is 90%” (Immediate action is not required).

以上の説明が、設計部110が評価情報記憶部120を設定する処理を行う機能ブロックの説明である。次に、セキュリティ管理装置100が、管理者400等からのセキュリティ施策評価要求を入力して、該当セキュリティ施策の評価処理を行う機能ブロックについて説明する。   The above description is a functional block for the design unit 110 to perform processing for setting the evaluation information storage unit 120. Next, functional blocks in which the security management apparatus 100 inputs a security measure evaluation request from the administrator 400 or the like and performs an evaluation process for the corresponding security measure will be described.

評価部130は、算出部131、運用状況評価部132を備える。算出部131は、施策認知度分析部133、施策理解度分析部134、施策実施度分析部135を備える。運用状況評価部132は、評価ゾーン算出部136、評価結果記憶部137を備える。   The evaluation unit 130 includes a calculation unit 131 and an operation status evaluation unit 132. The calculation unit 131 includes a measure recognition level analysis unit 133, a measure understanding level analysis unit 134, and a measure implementation level analysis unit 135. The operation status evaluation unit 132 includes an evaluation zone calculation unit 136 and an evaluation result storage unit 137.

評価部130は、管理者400から入力装置を介してセキュリティ施策評価要求(評価対象のセキュリティ施策及びユーザID(組織ID)を含む)を入力して、該当ユーザについての該当セキュリティ施策に関する評価処理を実行する。   The evaluation unit 130 inputs a security measure evaluation request (including a security measure to be evaluated and a user ID (organization ID)) from the administrator 400 via an input device, and performs an evaluation process on the corresponding security measure for the corresponding user. Execute.

評価部130は、エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施していることを尺度として評価するための評価判定データ情報のリストを、評価情報記憶部120の評価判定データ情報記憶部121から取得する。評価部130は、取得した評価判定データ情報のリストに基づいて、評価判定データ取得部140に評価判定データ取得要求を出力する。   The evaluation unit 130 uses the evaluation determination data in the evaluation information storage unit 120 as a list of evaluation determination data information for evaluating the end user correctly identifying (recognizing), understanding, and implementing security measures. Obtained from the information storage unit 121. The evaluation unit 130 outputs an evaluation determination data acquisition request to the evaluation determination data acquisition unit 140 based on the acquired list of evaluation determination data information.

評価判定データ取得部140は、評価部130から入力した評価判定データ取得要求にしたがって、組織内の情報システムのデータベース(記憶装置)等に記憶されている情報や、エンドユーザからの入力(回答データ)の情報等から、必要な評価判定データを取得して記憶装置に記憶する。すなわち、評価判定データ取得部140は、ユーザにおけるセキュリティ施策の認知状況を判定するための認知判定データと、ユーザにおけるセキュリティ施策の理解状況を判定するための理解判定データと、ユーザにおけるセキュリティ施策の実施状況を判定するための実施判定データとを評価判定データとして記憶装置であるセキュリティ判定データ記憶部141に記憶する。   In accordance with the evaluation determination data acquisition request input from the evaluation unit 130, the evaluation determination data acquisition unit 140 receives information stored in an information system database (storage device) or the like within the organization, or input from an end user (answer data) The necessary evaluation determination data is acquired from the information etc.) and stored in the storage device. That is, the evaluation determination data acquisition unit 140 includes recognition determination data for determining the recognition status of the security measure for the user, understanding determination data for determining the understanding status of the security measure for the user, and implementation of the security measure for the user. Implementation determination data for determining the situation is stored as evaluation determination data in the security determination data storage unit 141 serving as a storage device.

算出部131は、評価尺度(認知度、理解度、実施度)についての値、すなわち、認知度の値、理解度の値、実施度の値を算出する。すなわち、施策認知度分析部133は、セキュリティ判定データ記憶部141から認知判定データを入力して、入力した前記認知判定データに基づいて、該当ユーザが該当セキュリティ施策を認知している度合いを示す認知度の値を処理装置により算出する。施策理解度分析部134は、セキュリティ判定データ記憶部141から理解判定データを入力して、入力した前記理解判定データに基づいて、該当ユーザが該当セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出する。施策実施度分析部135は、セキュリティ判定データ記憶部141から実施判定データを入力して、入力した前記実施判定データに基づいて、該当ユーザが該当セキュリティ施策を実施している度合いを示す実施度の値を処理装置により算出する。   The calculation unit 131 calculates values for the evaluation scale (recognition level, understanding level, implementation level), that is, a recognition level value, an understanding level value, and an implementation level value. That is, the measure recognition degree analysis unit 133 inputs the recognition determination data from the security determination data storage unit 141, and based on the input recognition determination data, the recognition indicating the degree of recognition of the corresponding security measure by the corresponding user The degree value is calculated by the processing device. The measure understanding degree analysis unit 134 inputs the understanding determination data from the security determination data storage unit 141 and, based on the input understanding determination data, the degree of understanding indicating the degree that the corresponding user understands the corresponding security measure. The value is calculated by the processing device. The measure implementation degree analysis unit 135 inputs the execution determination data from the security determination data storage unit 141 and, based on the input execution determination data, the execution degree indicating the degree that the corresponding user implements the corresponding security measure. The value is calculated by the processing device.

運用状況評価部132は、算出部131により算出された認知度の値と理解度の値と実施度の値とに基づいて、セキュリティ施策の運用状況を、予め記憶装置を用いて評価式情報記憶部122に記憶された評価式(運用状況評価基準)を用いて処理装置により評価して運用状況評価結果として記憶装置である評価結果記憶部137に記憶する。   The operation status evaluation unit 132 stores the operation status of the security measure based on the recognition value, the understanding value, and the implementation value calculated by the calculation unit 131 in advance using the storage device as an evaluation formula information storage. The evaluation formula (operation status evaluation criteria) stored in the unit 122 is used for evaluation by the processing device, and the operation status evaluation result is stored in the evaluation result storage unit 137 as a storage device.

評価ゾーン算出部136は、評価式情報記憶部122に記憶されている評価式(運用状況評価基準)に設定されている複数の評価レベルの中から、算出部131により算出された認知度の値と理解度の値と実施度の値との組み合わせが対応する評価レベルを処理装置により取得する。評価ゾーン算出部136は、取得した評価レベルを含む情報を運用状況評価結果として記憶装置である評価結果記憶部137に記憶する。   The evaluation zone calculation unit 136 is a recognition value calculated by the calculation unit 131 from among a plurality of evaluation levels set in the evaluation formula (operational condition evaluation standard) stored in the evaluation formula information storage unit 122. And the evaluation level corresponding to the combination of the understanding value and the implementation value is acquired by the processing device. The evaluation zone calculation unit 136 stores information including the acquired evaluation level in the evaluation result storage unit 137 that is a storage device as an operation status evaluation result.

評価ゾーン算出部136は、評価対象のユーザIDと、評価対象のセキュリティ施策と、評価対象について算出した評価尺度の値(認知度の値と理解度の値と実施度の値)と、評価尺度の値から取得した評価レベルとを対応付けて、運用状況評価結果として評価対象毎に評価結果記憶部137に記憶する。また、評価ゾーン算出部136は、さらに、評価対象の各評価尺度(認知度、理解度、実施度)に対応する評価判定データと、その評価判定データのデータ別評価基準による判定結果とを対応させた情報も、運用状況評価結果として評価結果記憶部137に記憶する。ここで、評価対象とは、ユーザID(組織ID)毎かつセキュリティ施策ID毎を想定している。しかし、評価対象として、エンドユーザ毎かつセキュリティ施策ID毎でもよく、エンドユーザ毎かつセキュリティ施策ID毎に運用状況評価結果を評価結果記憶部137に記憶してもよい。   The evaluation zone calculation unit 136 includes an evaluation target user ID, an evaluation target security measure, an evaluation scale value calculated for the evaluation target (a recognition value, an understanding value, and an implementation value), and an evaluation scale. The evaluation level acquired from the value is stored in the evaluation result storage unit 137 for each evaluation target as the operation status evaluation result. Further, the evaluation zone calculation unit 136 further associates the evaluation determination data corresponding to each evaluation scale (recognition level, understanding level, implementation level) of the evaluation target and the determination result based on the evaluation criteria for each data of the evaluation determination data. The determined information is also stored in the evaluation result storage unit 137 as the operation status evaluation result. Here, the evaluation target assumes each user ID (organization ID) and each security measure ID. However, the evaluation target may be for each end user and each security measure ID, and the operation status evaluation result may be stored in the evaluation result storage unit 137 for each end user and for each security measure ID.

評価部130は、評価結果記憶部137に記憶された運用状況評価結果を表示装置等に表示して管理者400に提示する。例えば、評価部130は、評価対象のユーザIDと評価対象のセキュリティ施策とに対応付けて、評価対象について算出した評価尺度の値(認知度の値と理解度の値と実施度の値)、評価尺度の値から取得した評価レベル、各評価尺度(認知度、理解度、実施度)に対応する評価判定データ、評価判定データのデータ別評価基準による判定結果等を併せて表示装置に表示してもよい。   The evaluation unit 130 displays the operation status evaluation result stored in the evaluation result storage unit 137 on a display device or the like and presents it to the administrator 400. For example, the evaluation unit 130 associates the evaluation target user ID and the evaluation target security measure with the evaluation scale value (recognition value, understanding value, and implementation value) calculated for the evaluation target, The evaluation level obtained from the value of the evaluation scale, evaluation judgment data corresponding to each evaluation scale (recognition level, understanding level, implementation level), judgment results based on the evaluation criteria for each data of the evaluation judgment data, etc. are displayed together on the display device. May be.

以上のように、セキュリティ管理装置100は、管理者400等からのセキュリティ施策評価要求を入力して、該当ユーザにおける該当セキュリティ施策の評価処理を行う。次に、セキュリティ管理装置100が、管理者400等からのリスク問合せ要求を入力装置を介して入力し、該当ユーザにおける該当セキュリティ施策のリスク改善策を提示する処理の機能ブロックについて説明する。   As described above, the security management apparatus 100 inputs a security measure evaluation request from the administrator 400 or the like, and performs an evaluation process of the corresponding security measure for the corresponding user. Next, a functional block of processing in which the security management device 100 inputs a risk inquiry request from the administrator 400 or the like via the input device and presents a risk improvement measure of the corresponding security measure for the corresponding user will be described.

根源リスク特定部150は、管理者400から入力装置を介してリスク問合せ要求(対象セキュリティ施策、ユーザID(組織ID)を含む)を入力する。根源リスク特定部150は、評価結果記憶部137に記憶された運用状況評価結果から、該当ユーザの該当セキュリティ施策の各評価尺度(認知度、理解度、実施度)に対応する評価判定データと判定結果(OK/NG)(データ別評価基準に達していたかどうか)を抽出する。NGである評価判定データがあれば、その評価判定データに対応するリスク情報とそのリスク改善策を取得し、リスク対策提示部160に通知する。OKである評価判定データの場合は、特に通知する必要もないが、OKである評価判定データを表示装置に表示して、今後もセキュリティの維持に努めるように注意を喚起してもよい。   The root risk specifying unit 150 inputs a risk inquiry request (including a target security measure and a user ID (organization ID)) from the administrator 400 via the input device. The root risk identification unit 150 determines, from the operation status evaluation result stored in the evaluation result storage unit 137, evaluation determination data corresponding to each evaluation measure (recognition level, understanding level, implementation level) of the corresponding security measure of the corresponding user. The result (OK / NG) (whether or not the evaluation criteria for each data has been reached) is extracted. If there is evaluation judgment data that is NG, the risk information corresponding to the evaluation judgment data and the risk improvement measures are acquired and notified to the risk countermeasure presentation unit 160. In the case of evaluation determination data that is OK, there is no need to notify in particular, but the evaluation determination data that is OK may be displayed on the display device to call attention to maintain security in the future.

根源リスク特定部150は、全評価尺度について評価判定データの判定結果の達成状況を確認した後、対応するリスク情報が抽出されなければ、追加対策が不要と判断してリスク対策提示部160に通知しないとしてもよい。最終的にリスク対策提示部160では、根源リスク特定部150より通知された結果を表示装置に出力(表示)する。   After confirming the achievement status of the evaluation determination data for all evaluation measures, the root risk identification unit 150 determines that no additional measures are required and notifies the risk measure presentation unit 160 if no corresponding risk information is extracted. You don't have to. Finally, the risk countermeasure presentation unit 160 outputs (displays) the result notified from the root risk identification unit 150 to the display device.

以上のように、セキュリティ管理装置100によるセキュリティ管理システムは、大きく次のような手順に分けられる。(1)エンドユーザへのセキュリティ施策浸透度を評価するための評価情報(評価判定データ情報、評価式)を作成し(評価情報設計フェーズ)、(2)評価のために必要な実施データを取得して分析・評価し(運用状況評価フェーズ)、(3)問題があれば必要な対策を提示する(リスク問合せフェーズ)。   As described above, the security management system by the security management apparatus 100 is roughly divided into the following procedures. (1) Create evaluation information (evaluation judgment data information, evaluation formula) for evaluating the penetration of security measures to end users (evaluation information design phase), and (2) obtain implementation data required for evaluation Analyze and evaluate (operation status evaluation phase), and (3) present any necessary countermeasures if there is a problem (risk inquiry phase).

図2は、以下の実施の形態に係るセキュリティ管理装置100の外観の一例を示す図である。図2において、セキュリティ管理装置100は、システムユニット910、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disk・ Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907、タッチパネル908などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。システムユニット910は、コンピュータであり、ファクシミリ機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク942(LAN)、ゲートウェイ941を介してインターネット940に接続されている。   FIG. 2 is a diagram illustrating an example of an appearance of the security management device 100 according to the following embodiment. In FIG. 2, the security management apparatus 100 includes a system unit 910, a display device 901 having a CRT (Cathode / Ray / Tube) or LCD (liquid crystal) display screen, a keyboard 902 (Key / Board: K / B), and a mouse 903. , FDD904 (Flexible Disk Drive), compact disk device 905 (CDD), printer device 906, scanner device 907, touch panel 908, and the like, which are connected by cables and signal lines. The system unit 910 is a computer, and is connected to the facsimile machine 932 and the telephone 931 via a cable, and is connected to the Internet 940 via a local area network 942 (LAN) and a gateway 941.

図3は、実施の形態に係るセキュリティ管理装置100のハードウェア資源の一例を示す図である。図3において、セキュリティ管理装置100は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、タッチパネル908、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。   FIG. 3 is a diagram illustrating an example of hardware resources of the security management device 100 according to the embodiment. In FIG. 3, the security management apparatus 100 includes a CPU 911 (also referred to as a central processing unit, a central processing unit, a processing unit, an arithmetic unit, a microprocessor, a microcomputer, or a processor) that executes a program. The CPU 911 is connected to the ROM 913, the RAM 914, the communication board 915, the display device 901, the keyboard 902, the mouse 903, the FDD 904, the CDD 905, the printer device 906, the scanner device 907, the touch panel 908, and the magnetic disk device 920 via the bus 912. Control hardware devices. Instead of the magnetic disk device 920, a storage device such as an optical disk device or a memory card read / write device may be used.

RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。   The RAM 914 is an example of a volatile memory. The storage media of the ROM 913, the FDD 904, the CDD 905, and the magnetic disk device 920 are an example of a nonvolatile memory. These are examples of a storage device or a storage unit.

通信ボード915、キーボード902、スキャナ装置907、FDD904、表示装置901(表示画面801)、タッチパネル908などは、入力部、入力装置の一例である。また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。   The communication board 915, the keyboard 902, the scanner device 907, the FDD 904, the display device 901 (display screen 801), the touch panel 908, and the like are examples of an input unit and an input device. Further, the communication board 915, the display device 901, the printer device 906, and the like are examples of an output unit and an output device.

通信ボード915は、ファクシミリ機932、電話器931、LAN942等に接続されている。通信ボード915は、LAN942に限らず、インターネット940、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。インターネット940或いはISDN等のWANに接続されている場合、ゲートウェイ941は不用となる。   The communication board 915 is connected to the facsimile machine 932, the telephone 931, the LAN 942, and the like. The communication board 915 is not limited to the LAN 942 and may be connected to the Internet 940, a WAN (wide area network) such as ISDN, or the like. When connected to a WAN such as the Internet 940 or ISDN, the gateway 941 is unnecessary.

磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。   The magnetic disk device 920 stores an operating system 921 (OS), a window system 922, a program group 923, and a file group 924. The programs in the program group 923 are executed by the CPU 911, the operating system 921, and the window system 922.

上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」、「〜手段」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」、「〜データベース」、「〜データ」の各項目として記憶されている。「〜ファイル」、「〜データベース」、「〜データ」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。   The program group 923 stores programs for executing functions described as “˜unit” and “˜means” in the description of the embodiments described below. The program is read and executed by the CPU 911. The file group 924 includes information, data, signal values, variable values, and parameters that are described as “determination results of”, “calculation results of”, and “processing results of” in the description of the embodiments described below. Are stored as items “˜file”, “˜database”, and “˜data”. “˜file”, “˜database”, and “˜data” are stored in a recording medium such as a disk or a memory. Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the CPU 911 via a read / write circuit, and extracted, searched, referenced, compared, Used for CPU operations such as calculation, calculation, processing, output, printing, and display. Information, data, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory during the CPU operations of extraction, search, reference, comparison, operation, calculation, processing, output, printing, and display. Is remembered.

また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。   In addition, the arrows in the flowcharts described in the following description of the embodiments mainly indicate input / output of data and signals. The data and signal values are the RAM 914 memory, the FDD 904 flexible disk, the CDD 905 compact disk, and the magnetic field. The data is recorded on a recording medium such as a magnetic disk of the disk device 920, another optical disk, a mini disk, and a DVD (Digital Versatile Disk). Data and signals are transmitted online via a bus 912, signal lines, cables, or other transmission media.

また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。   In addition, what is described as “to part” in the description of the embodiment described below may be “to circuit”, “to device”, “to device”, “means”, and “to step”. ”,“ ˜procedure ”, or“ ˜processing ”. That is, what is described as “˜unit” may be realized by firmware stored in the ROM 913. Alternatively, it may be implemented only by software, or only by hardware such as elements, devices, substrates, and wirings, by a combination of software and hardware, or by a combination of firmware. Firmware and software are stored as programs in a recording medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, and a DVD. The program is read by the CPU 911 and executed by the CPU 911. That is, the program causes the computer to function as “to part” described below. Alternatively, the procedure or method of “to part” described below is executed by a computer.

図4は、実施の形態1に係る設計部による評価情報設計処理及び評価情報記憶処理のフロー図である。図4を用いて、設計部110による評価情報設計処理及び評価情報記憶処理の流れについて説明する。   FIG. 4 is a flowchart of the evaluation information design process and the evaluation information storage process by the design unit according to the first embodiment. The flow of the evaluation information design process and the evaluation information storage process by the design unit 110 will be described with reference to FIG.

S201において、設計部110は、管理者400から入力装置を介して評価対象のセキュリティ施策を識別する情報(例えば、セキュリティ施策ID)を入力する。   In S201, the design unit 110 inputs information (for example, security measure ID) for identifying the security measure to be evaluated from the administrator 400 via the input device.

S202は、設計部110が評価対象のセキュリティ施策(S201にて入力されたセキュリティ施策IDの示すセキュリティ施策Aとする)の各評価尺度(認知度、理解度、実施度)について以降の処理を行う繰り返し処理である。   In S202, the design unit 110 performs the following processing for each evaluation measure (recognition, understanding, implementation) of the security measure to be evaluated (the security measure A indicated by the security measure ID input in S201). It is an iterative process.

以下のS203からS206の説明では、セキュリティ施策Aについての「認知度」を評価するための評価判定データ情報の設計処理、リスク改善策の設計処理について説明する。設計部110では、理解度、実施度についても同様の処理を行うので、ここでは説明を省略する。   In the following description of S203 to S206, a design process for evaluation determination data information and a process for designing a risk improvement measure for evaluating the “recognition level” of the security measure A will be described. Since the design unit 110 performs the same processing for the understanding level and the implementation level, the description thereof is omitted here.

S203では、評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400)からの入力に基づいて、認知度を判定するために取得すべき評価判定データ情報を処理装置により特定する。評価判定データ情報とは、評価対象のセキュリティ施策の認知度を判定するために取得すべき評価判定データを示すものである。例えば、「セキュリティ施策A:セキュリティプログラムAの定期的の実行」についての認知度を判定するための評価判定データ情報とは、セキュリティプログラムAをダウンロード等するための「指定URLへのアクセスの有無」や「指定URLへのアクセス時間」等である。   In S203, the evaluation determination data information design unit 111 uses the processing device to obtain evaluation determination data information to be acquired in order to determine the degree of recognition based on, for example, an input from the user (administrator 400) via the input device. Identify. The evaluation determination data information indicates evaluation determination data to be acquired in order to determine the recognition degree of the security measure to be evaluated. For example, the evaluation determination data information for determining the degree of recognition of “security measure A: periodic execution of security program A” is “whether or not access to the designated URL” is for downloading security program A, etc. Or “access time to specified URL”.

S204では、評価判定データ情報設計部111は、特定した評価判定データ情報を評価するための基準であるデータ別評価基準を設定する。評価判定データ情報設計部111は、例えば、入力装置を介した管理者400からの入力に基づいて、評価判定データ情報に対応するデータ別評価基準を処理装置により設定する。評価判定データ情報に対応するデータ別評価基準とは、例えば、評価判定データ情報「指定URLへのアクセス時間」に対して「指定URLへのアクセス時間が10分以上」等の2値判断が用いられる。あるいは、指定URLへのアクセス時間によるセキュリティレベル分け(例「10分以上ならセキュリティレベル3」)等を規定するとしてもよい。評価判定データ情報設計部111は、認知度に対して複数の評価判定データ情報を設定しても構わない。評価判定データ情報設計部111は、上述したように処理装置を用いて評価判定データ情報に対して対応するデータ別評価基準を設定して、評価判定データ情報記憶部121に記憶する。   In S204, the evaluation determination data information design unit 111 sets an evaluation criterion for each data, which is a criterion for evaluating the specified evaluation determination data information. For example, the evaluation determination data information design unit 111 sets the evaluation criterion for each data corresponding to the evaluation determination data information by the processing device based on the input from the administrator 400 via the input device. As the evaluation criteria for each data corresponding to the evaluation determination data information, for example, binary determination such as “access time to specified URL is 10 minutes or more” with respect to evaluation determination data information “access time to specified URL” is used. It is done. Alternatively, security level classification (for example, “security level 3 if 10 minutes or more”) according to the access time to the specified URL may be defined. The evaluation determination data information design unit 111 may set a plurality of evaluation determination data information for the degree of recognition. The evaluation determination data information design unit 111 sets a corresponding evaluation criterion for each data for the evaluation determination data information using the processing device as described above, and stores it in the evaluation determination data information storage unit 121.

図5は、実施の形態1における評価判定データ情報設計部111により記憶装置に記憶される評価判定データ情報記憶部121の一例を示す図である。評価判定データ情報記憶部121では、評価尺度「認知度」に対して、評価判定データ情報として「指定URLアクセス有無」、「指定URLアクセス時間」、「指定ファイルアクセスの有無」、「指定ファイルアクセス時間」が設定されている。また、評価判定データ情報「指定URLアクセス有無」のデータ別評価基準(満足条件)として、「1回が5分以上」との条件が設定されている。ここで、図5に示すように、評価判定データ情報記憶部121の構成は、評価尺度(認知度)に対して評価項目(URLアクセス、ファイルアクセス)を設定し、各評価項目に対して評価判定データ情報を設定する構成となっているが、評価項目はなくてもよい。また、図5では、評価判定データ情報記憶部121の構成に、各評価判定データ情報(評価判定データ情報のデータ)がデータ別評価基準(満足条件)を満足しない場合のリスクに関するリスク情報も加えられている。   FIG. 5 is a diagram illustrating an example of the evaluation determination data information storage unit 121 stored in the storage device by the evaluation determination data information design unit 111 according to the first embodiment. In the evaluation determination data information storage unit 121, for the evaluation scale “recognition”, “specified URL access presence / absence”, “specified URL access time”, “specified file access presence / absence”, “specified file access” are set as evaluation determination data information. "Time" is set. In addition, as an evaluation criterion (satisfaction condition) for each data of the evaluation determination data information “specified URL access presence / absence”, a condition “one time is 5 minutes or more” is set. Here, as shown in FIG. 5, the configuration of the evaluation determination data information storage unit 121 sets evaluation items (URL access, file access) for the evaluation scale (recognition), and evaluates each evaluation item. The determination data information is set, but there is no need for an evaluation item. In addition, in FIG. 5, risk information related to risk when each evaluation determination data information (data of evaluation determination data information) does not satisfy the evaluation criteria for each data (satisfaction condition) is added to the configuration of the evaluation determination data information storage unit 121. It has been.

設計部110は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「評価情報設計フェーズ」を選択することにより、設計部110が処理装置により記憶装置から読み出されて、処理装置により起動される。設計部110は、起動されると表示装置901に評価情報設計入力画面(図示せず)を表示する。設計部110(評価判定データ情報設計部111)は、表示装置901の評価情報設計入力画面を介して、管理者400からの入力情報(評価判定データ、データ別評価基準、リスク情報等)を入力し、評価判定データ情報記憶部121に記憶する。   For example, the design unit 110 is activated as follows. When the security management device 100 is activated, an initial screen of the security management system is displayed on the display device 901. When the administrator 400 selects “evaluation information design phase” on the initial screen, the design unit 110 uses the processing device. It is read from the storage device and activated by the processing device. When started, the design unit 110 displays an evaluation information design input screen (not shown) on the display device 901. The design unit 110 (evaluation determination data information design unit 111) inputs input information (evaluation determination data, evaluation criteria for each data, risk information, etc.) from the administrator 400 via the evaluation information design input screen of the display device 901. And stored in the evaluation determination data information storage unit 121.

セキュリティ管理装置100では、取得可能な評価判定データ情報の一覧及びデータ別評価基準の一覧及びリスク情報の一覧を予め記憶装置に記憶してあるとしてもよい。設計部110(評価判定データ情報設計部111)は、予め記憶装置に記憶されているこれらの一覧を用いて、評価情報設計入力画面において、プルダウンメニュー等により管理者400に選択させるというインタフェースを用いてもよい。   In the security management device 100, a list of obtainable evaluation determination data information, a list of evaluation criteria for each data, and a list of risk information may be stored in the storage device in advance. The design unit 110 (evaluation determination data information design unit 111) uses an interface that allows the administrator 400 to select a list by using a pull-down menu or the like on the evaluation information design input screen using these lists stored in advance in the storage device. May be.

あるいは、セキュリティ管理装置100では、図5の評価判定データ情報記憶部121に示すような構成のデータベース(評価判定データ情報DB)が、予めシステム設計時等に生成され記憶装置に記憶されているものとしてもよい。評価判定データ情報設計部111は、データの特定にあたって、予め記憶装置に記憶された評価判定データ情報DBを利用してもよい。また、管理者400等により、評価判定データ情報DBを更新することができるとしてもよい。   Alternatively, in the security management device 100, a database (evaluation determination data information DB) configured as shown in the evaluation determination data information storage unit 121 in FIG. 5 is generated in advance at the time of system design or the like and stored in the storage device. It is good. The evaluation determination data information design unit 111 may use an evaluation determination data information DB stored in advance in a storage device when specifying data. The evaluation determination data information DB may be updated by the administrator 400 or the like.

S205において、リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価判定データに対応するリスク改善策を設定する。あるいは、リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価項目に対応するリスク改善策を設定する。リスク改善策設計部113は、例えば、表示装置901に表示された評価情報設計入力画面のインタフェースを用いて管理者400から入力された情報と評価判定データ情報記憶部121に記憶されている情報とに基づいて、認知度の評価判定データ情報(評価項目)に対応するリスク情報とリスク改善策とを設定して、リスク改善策情報記憶部123に記憶する。   In S205, the risk improvement measure design unit 113 sets a risk improvement measure corresponding to the evaluation determination data for each evaluation scale (recognition level, understanding level, and implementation level). Alternatively, the risk improvement measure design unit 113 sets a risk improvement measure corresponding to an evaluation item for each evaluation scale (recognition level, understanding level, and implementation level). The risk improvement measure design unit 113, for example, information input from the administrator 400 using the interface of the evaluation information design input screen displayed on the display device 901, information stored in the evaluation determination data information storage unit 121, and Based on the above, risk information and risk improvement measures corresponding to the evaluation evaluation data information (evaluation items) of the degree of recognition are set and stored in the risk improvement measure information storage unit 123.

図6は、実施の形態1におけるリスク改善策設計部113により記憶されるリスク改善策情報記憶部123の一例を示す図である。図6に示すように、リスク改善策情報記憶部123では、例えば、認知度を判定するための評価判定データ情報「指定URLアクセスの有無」に対応するリスク情報「施策(規定)が見つけにくい」に対して、その改善策として、リスク改善策「規程をWEBに掲示」、「WEB上の検索アルゴリズムの改善」、「規程の階層構造の見直し」が設定されている。リスク改善策は、評価尺度毎に設定されていてもよいし、評価項目毎に設定されていてもよいし、評価判定データ毎に設定されていてもよい。   FIG. 6 is a diagram illustrating an example of the risk improvement measure information storage unit 123 stored by the risk improvement measure design unit 113 according to the first embodiment. As shown in FIG. 6, in the risk improvement measure information storage unit 123, for example, risk information “measure (regulation) is difficult to find” corresponding to evaluation determination data information “presence / absence of specified URL access” for determining the degree of recognition On the other hand, risk improvement measures “post rules on the web”, “improvement of search algorithms on the web”, and “review of the hierarchical structure of the rules” are set as the improvement measures. The risk improvement measure may be set for each evaluation scale, may be set for each evaluation item, or may be set for each evaluation determination data.

S206において、設計部110は、処理装置を用いて、全評価尺度(認知度、理解度、実施度)について、評価判定データ情報、データ別評価基準、リスク改善策が、評価判定データ情報記憶部121、リスク改善策情報記憶部123に記憶されたか否かを判定する。設計部110は、全評価尺度(認知度、理解度、実施度)について、評価判定データ情報記憶部121及びリスク改善策情報記憶部123への格納処理が完了したと判定すると(S206でYES)、処理をS207に進める。設計部110は、全評価尺度(認知度、理解度、実施度)について格納処理が完了していないと判定すると(S206でNO)、処理をS202に戻す。   In S <b> 206, the design unit 110 uses the processing device to calculate evaluation determination data information, evaluation criteria for each data, and risk improvement measures for all evaluation measures (recognition level, understanding level, implementation level). 121, it is determined whether or not the risk improvement measure information storage unit 123 has been stored. When the design unit 110 determines that the storage processing in the evaluation determination data information storage unit 121 and the risk improvement measure information storage unit 123 has been completed for all evaluation scales (recognition level, understanding level, implementation level) (YES in S206). The process proceeds to S207. If the design unit 110 determines that the storage process has not been completed for all evaluation scales (recognition level, understanding level, implementation level) (NO in S206), the design unit 110 returns the process to S202.

S207では、評価式設計部112は、セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルを設定するとともに、設定した複数の評価レベルの各評価レベルに対応させて「理解度の値と認知度の値と実施度の値との組み合わせ」をそれぞれ設定し、評価式情報記憶部122に記憶する。評価式設計部112は、評価レベルを決定するための評価式(運用状況評価基準の一例)を設定して評価式情報記憶部122に記憶する。評価式設計部112は、例えば、表示装置901に表示された評価情報設計入力画面インタフェースを介して入力された管理者400からの入力情報に基づいて、評価式を設定して評価式情報記憶部122に記憶する。   In S207, the evaluation formula design unit 112 sets a plurality of evaluation levels representing the rating of the evaluation of the operational status of the security measure, and sets the “understanding value and the value corresponding to each evaluation level of the set plurality of evaluation levels”. Each combination of the value of the degree of recognition and the value of the degree of implementation is set and stored in the evaluation formula information storage unit 122. The evaluation formula design unit 112 sets an evaluation formula for determining the evaluation level (an example of an operational status evaluation standard) and stores it in the evaluation formula information storage unit 122. For example, the evaluation formula design unit 112 sets an evaluation formula based on input information from the administrator 400 input via the evaluation information design input screen interface displayed on the display device 901, and sets an evaluation formula information storage unit. 122.

図7は、実施の形態1における評価式設計部112により記憶される評価式情報記憶部122の一例を示す図である。図7に示すように、評価式とは、セキュリティ施策Aについて、「認知度の値90%以上、理解度の値90%以上、実施度の値90%以上」の場合は評価レベル「1:(リスク対応不要)」、「認知度の値90%以上、理解度の値90%〜50%、実施度の値90%以上」の場合は評価レベル「2:(即座リスク対応不要)」、「認知度の値90%〜50%、理解度の値50%〜30%、実施度の値90%以上」の場合は評価レベル「3:(リスク対応再教育要)」等の条件式である。   FIG. 7 is a diagram illustrating an example of the evaluation formula information storage unit 122 stored by the evaluation formula design unit 112 in the first embodiment. As shown in FIG. 7, the evaluation formula is that when the security measure A is “recognition value 90% or higher, understanding level 90% or higher, implementation level 90% or higher”, the evaluation level “1: (Risk handling unnecessary) ”,“ recognition value of 90% or higher, understanding level of 90% to 50%, implementation level of 90% or higher ”, evaluation level“ 2: (immediate risk handling unnecessary) ”, In the case of “recognition value 90% to 50%, understanding value 50% to 30%, implementation level value 90% or more”, the conditional expression such as evaluation level “3: (risk correspondence retraining required)” is there.

以上で、実施の形態1に係る設計部110による評価情報設計処理及び評価情報記憶処理の説明を終わる。   This is the end of the description of the evaluation information design process and the evaluation information storage process by the design unit 110 according to the first embodiment.

図8は、実施の形態1に係る評価判定データ取得処理及び運用状況評価処理を示すフロー図である。図8を用いて、評価判定データ取得部140による評価判定データ取得処理と、評価部130による運用状況評価処理について説明する。   FIG. 8 is a flowchart showing evaluation determination data acquisition processing and operation status evaluation processing according to the first embodiment. The evaluation determination data acquisition process performed by the evaluation determination data acquisition unit 140 and the operation status evaluation process performed by the evaluation unit 130 will be described with reference to FIG.

評価部130は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「運用状況評価フェーズ」を選択することにより評価部130が処理装置により記憶装置から読み出されて、処理装置により起動される。評価部130は、起動されると表示装置901に評価対象入力画面(図示せず)を、処理装置により表示する。   The evaluation unit 130 is activated as follows, for example. When the security management device 100 is activated, an initial screen of the security management system is displayed on the display device 901. When the administrator 400 selects “operation status evaluation phase” on the initial screen, the evaluation unit 130 stores it in the processing device. It is read from the device and activated by the processing device. When activated, the evaluation unit 130 displays an evaluation target input screen (not shown) on the display device 901 by the processing device.

S301において、評価部130(算出部131)は、表示装置901に表示された評価対象入力画面を介して、管理者400からのセキュリティ施策評価要求を入力する。評価部130(算出部131)は、処理装置により、入力したセキュリティ施策評価要求に含まれるユーザIDとセキュリティ施策IDとを抽出して記憶装置に記憶する。   In S <b> 301, the evaluation unit 130 (calculation unit 131) inputs a security measure evaluation request from the administrator 400 via the evaluation target input screen displayed on the display device 901. The evaluation unit 130 (calculation unit 131) extracts the user ID and the security measure ID included in the input security measure evaluation request by the processing device and stores them in the storage device.

S302において、算出部131は、処理装置により、入力したセキュリティ施策ID(ここでは、セキュリティ施策Aが指定されたものとする)をもとに、評価式情報記憶部122を検索して、セキュリティ施策Aに対応する評価式情報(図7の情報)を抽出する。   In S302, the calculation unit 131 searches the evaluation formula information storage unit 122 based on the input security measure ID (here, it is assumed that the security measure A is designated) by the processing device, and performs the security measure. Evaluation formula information (information in FIG. 7) corresponding to A is extracted.

S303は、算出部131が評価対象のセキュリティ施策Aの各評価尺度(認知度、理解度、実施度)について、認知度/理解度/実施度に関して以降の処理を行う繰り返し処理である。   S303 is an iterative process in which the calculation unit 131 performs the subsequent processing on the recognition level / understanding level / implementation level for each evaluation scale (recognition level, understanding level, implementation level) of the security measure A to be evaluated.

以下のS304からS306の説明では、施策認知度分析部133が評価対象のセキュリティ施策Aについての「認知度の値」を算出するための評価判定データを取得する評価判定データ取得処理と、施策認知度分析部133が取得した評価判定データ(認知判定データ)を用いて「認知度の値」を算出する施策認知度算出処理について説明する。算出部131(施策認知度分析部133、施策理解度分析部134、施策実施度分析部135)では、理解度、実施度についても認知度の処理と同様の処理を行うので、理解度、実施度については説明を省略する。   In the following description of S304 to S306, the measure recognition data acquisition process in which the measure recognition degree analysis unit 133 obtains the evaluation decision data for calculating the “recognition value” for the security measure A to be evaluated, and the measure recognition The measure recognition degree calculation process for calculating the “recognition value” using the evaluation determination data (recognition determination data) acquired by the degree analysis unit 133 will be described. The calculation unit 131 (the measure recognition level analysis unit 133, the measure understanding level analysis unit 134, and the measure implementation level analysis unit 135) performs the same processing as the recognition level processing on the understanding level and the implementation level. A description of the degree is omitted.

S304では、施策認知度分析部133は、処理装置により、入力したユーザIDとセキュリティ施策IDとをもとに評価判定データ情報記憶部121を検索して、認知度の判定のために取得すべき評価判定データ情報を抽出する。施策認知度分析部133は、処理装置により、抽出した評価判定データ情報に対応する評価判定データを取得するための評価判定データ取得要求を評価判定データ取得部140に出力する。   In S304, the measure recognition degree analysis unit 133 should search the evaluation determination data information storage unit 121 based on the input user ID and the security measure ID by the processing device, and acquire the recognition degree determination. Evaluation evaluation data information is extracted. The measure recognition degree analysis unit 133 outputs an evaluation determination data acquisition request for acquiring evaluation determination data corresponding to the extracted evaluation determination data information to the evaluation determination data acquisition unit 140 by the processing device.

S305では、評価判定データ取得部140は、処理装置により、評価判定データ取得要求により指定された評価判定データ情報に対応する評価判定データを取得する。評価判定データ取得部140は、例えば、ユーザ(組織)内情報システムにおいて蓄積されているログ情報から評価判定データを取得する。あるいは、評価判定データ取得部140は、処理装置により、ユーザ(組織)内のエンドユーザの回答(上述した質問生成部114により生成された質問に対する回答)を蓄積した回答データを集計して、評価判定データとして取得する。評価判定データ取得部140は、取得した評価判定データをセキュリティ判定データ記憶部141に認知判定データとして記憶する。   In S305, the evaluation determination data acquisition unit 140 acquires evaluation determination data corresponding to the evaluation determination data information designated by the evaluation determination data acquisition request by the processing device. For example, the evaluation determination data acquisition unit 140 acquires evaluation determination data from log information accumulated in the user (organization) information system. Alternatively, the evaluation determination data acquisition unit 140 aggregates the answer data that accumulates the answers of the end users in the user (organization) (answers to the questions generated by the question generation unit 114 described above) by the processing device, and evaluates them. Obtained as judgment data. The evaluation determination data acquisition unit 140 stores the acquired evaluation determination data in the security determination data storage unit 141 as recognition determination data.

S306では、施策認知度分析部133は、処理装置により、セキュリティ判定データ記憶部141に記憶された認知判定データを読み込んで、読み込んだ認知判定データに基づいて認知度の値を算出する。施策認知度分析部133は、例えば、評価判定データ情報が「指定URLアクセス時間」であり、データ別評価判定基準「総アクセス時間が30分以上」の場合、「すべてのエンドユーザがデータ別評価判定基準を満たすアクセス時間」に対する「取得した認知判定データ(認知度を評価するための評価判定データ)から得られる実状況のアクセス時間」の度合いを処理装置により算出する。施策認知度分析部133は、すべての評価判定データ情報について上記のように度合いを算出してその平均値を認知度の値として算出する。   In S306, the measure recognition degree analysis unit 133 reads the recognition determination data stored in the security determination data storage unit 141 by the processing device, and calculates the value of the recognition degree based on the read recognition determination data. For example, when the evaluation determination data information is “specified URL access time” and the evaluation criterion for each data “total access time is 30 minutes or more”, the measure recognition degree analysis unit 133 determines that “all end users evaluate by data”. The degree of “access time in actual situation obtained from acquired recognition determination data (evaluation determination data for evaluating recognition degree)” with respect to “access time satisfying determination criterion” is calculated by the processing device. The measure recognition degree analysis unit 133 calculates the degree of all the evaluation determination data information as described above, and calculates the average value as the recognition degree value.

S307では、算出部131は、処理装置により、評価尺度(認知度、理解度、実施度)すべてについて、セキュリティ施策Aについての認知度の値、理解度の値、実施度の値が算出されたか否かを判定する。算出部131が、評価尺度(認知度、理解度、実施度)すべてについて算出されたと判断した場合(S307でYES)、処理はS308に進む。算出部131が、評価尺度(認知度、理解度、実施度)すべてについて算出されていないと判断した場合(S307でNO)、処理はS303に戻る。   In S307, the calculation unit 131 has calculated the recognition value, the understanding value, and the enforcement value for the security measure A with respect to all the evaluation scales (recognition degree, understanding degree, and implementation degree) by the processing device. Determine whether or not. If the calculation unit 131 determines that all the evaluation scales (recognition level, understanding level, implementation level) have been calculated (YES in S307), the process proceeds to S308. When the calculation unit 131 determines that all the evaluation scales (recognition level, understanding level, implementation level) have not been calculated (NO in S307), the process returns to S303.

S308では、運用状況評価部132(評価ゾーン算出部136)が、処理装置により、算出部131により算出された「認知度の値と理解度の値と実施度の値との組み合わせ」と、S302において取得したセキュリティ施策Aの評価式情報とを比較して、比較した結果に基づいて、評価対象のセキュリティ施策Aの評価レベルを決定する。運用状況評価部132(評価ゾーン算出部136)は、処理装置により、決定された評価レベルを運用状況評価結果として評価結果記憶部137に記憶する。また、運用状況評価部132(評価ゾーン算出部136)は、ユーザIDにおけるセキュリティ施策Aの運用状況評価結果として、評価レベルとともに、各評価尺度の値(認知度の値、理解度の値、実施度の値)と、各評価尺度(認知度、理解度、実施度)について取得した評価判定データとそのデータ別評価基準の判定結果とを評価結果記憶部137に記憶する。   In S308, the operation status evaluation unit 132 (evaluation zone calculation unit 136) causes the processing device to calculate the “combination of recognition value, understanding value, and implementation value” calculated by the calculation unit 131, and S302. Is compared with the evaluation formula information of the security measure A acquired in step 1, and the evaluation level of the security measure A to be evaluated is determined based on the comparison result. The operation status evaluation unit 132 (evaluation zone calculation unit 136) stores the evaluation level determined by the processing device in the evaluation result storage unit 137 as an operation status evaluation result. In addition, the operation status evaluation unit 132 (evaluation zone calculation unit 136), as the operation status evaluation result of the security measure A in the user ID, together with the evaluation level, values of each evaluation scale (recognition value, understanding value, implementation Degree value), evaluation determination data acquired for each evaluation scale (recognition level, understanding level, implementation level) and the determination result of the evaluation criterion for each data are stored in the evaluation result storage unit 137.

以上で、実施の形態1に係る評価判定データ取得処理及び運用状況評価処理の説明を終わる。   This is the end of the description of the evaluation determination data acquisition process and the operation status evaluation process according to the first embodiment.

図9は、実施の形態1に係るリスク問合せ処理を示すフロー図である。図9を用いて、リスク問合せ処理について説明する。   FIG. 9 is a flowchart showing risk inquiry processing according to the first embodiment. The risk inquiry process will be described with reference to FIG.

根源リスク特定部150は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「リスク問合せフェーズ」を選択することにより根源リスク特定部150が処理装置により記憶装置から読み出されて、処理装置により起動される。根源リスク特定部150は、起動されると、表示装置901にリスク問合せ入力画面(図示せず)を表示する。   The root risk identification unit 150 is activated as follows, for example. When the security management device 100 is activated, an initial screen of the security management system is displayed on the display device 901. When the administrator 400 selects “risk inquiry phase” on the initial screen, the root risk identification unit 150 is executed by the processing device. It is read from the storage device and activated by the processing device. When activated, the root risk identification unit 150 displays a risk inquiry input screen (not shown) on the display device 901.

S401において、根源リスク特定部150は、処理装置により、表示装置901に表示されたリスク問合せ入力画面を介して、管理者400からのリスク問合せ要求を入力する。根源リスク特定部150は、処理装置により、入力したリスク問合せ要求に含まれるユーザIDとセキュリティ施策IDとを抽出する。   In S401, the root risk identification unit 150 inputs a risk inquiry request from the administrator 400 via the risk inquiry input screen displayed on the display device 901 by the processing device. The root risk identification unit 150 extracts the user ID and the security measure ID included in the input risk inquiry request by the processing device.

S402は、根源リスク特定部150が、対象のユーザIDにおけるセキュリティ施策Aについて、S403からS406の処理を各評価尺度(認知度、理解度、実施度)すべてについて行う繰り返し処理である。以下の説明では、根源リスク特定部150が、対象ユーザIDの対象セキュリティ施策IDをもとに、評価結果記憶部137を参照して、認知度に対応する評価判定データすべてについてそれぞれデータ別評価基準を満足したか否かをチェックする処理について説明する。ここでは、理解度、実施度についても同様の処理を行うため、その説明は省略する。   S402 is an iterative process in which the source risk identification unit 150 performs the processes of S403 to S406 for all the evaluation scales (recognition degree, understanding degree, implementation degree) for the security measure A for the target user ID. In the following description, the root risk identification unit 150 refers to the evaluation result storage unit 137 based on the target security measure ID of the target user ID, and each evaluation criterion for each of the evaluation determination data corresponding to the degree of recognition. A process for checking whether or not the above is satisfied will be described. Here, the same processing is performed for the degree of understanding and the degree of implementation, and the description thereof is omitted.

S403では、根源リスク特定部150は、処理装置により、入力した対象ユーザIDと対象セキュリティ施策IDをもとに、評価結果記憶部137を参照して、認知度に対応する評価判定データのすべてについて、それぞれデータ別評価基準を満足したか否か(判定結果がOKかNGか)をチェックする。   In S403, the source risk identification unit 150 refers to the evaluation result storage unit 137 based on the input target user ID and the target security measure ID by the processing device, and all of the evaluation determination data corresponding to the degree of recognition. Then, it is checked whether or not each data evaluation criterion is satisfied (whether the determination result is OK or NG).

根源リスク特定部150は、認知度のすべての評価判定データについてチェックを行い、すべての評価判定データがデータ別評価基準を満足している場合(S403でYES)は、S404aへ処理をうつす。   The root risk identification unit 150 checks all the evaluation determination data of the degree of recognition. If all the evaluation determination data satisfy the evaluation criteria for each data (YES in S403), the process proceeds to S404a.

S404aでは、根源リスク特定部150は、処理装置により、認知度のすべての評価判定データがデータ別評価基準に達している旨をリスク対策提示部に通知するための通知情報を記憶装置に記憶する。   In S404a, the root risk identification unit 150 stores, in the storage device, notification information for notifying the risk countermeasure presenting unit that all the evaluation determination data of the degree of recognition has reached the evaluation criteria for each data by the processing device. .

S404では、根源リスク特定部150は、処理装置により、全評価尺度(認知度、理解度、実施度)について処理を行ったか否かを判定する。根源リスク特定部150は、全評価尺度について処理を行ったと判断した場合には(S404でYES)、処理をS404bに進める。S404bでは、根源リスク特定部150は、記憶装置に記憶されている通知情報により、全評価尺度について評価基準の達成状況(すなわち、認知度、理解度、実施度ついての全評価判定データのデータ別評価基準の判定結果状況)を確認する。根源リスク特定部150は、通知情報を確認した結果、全評価尺度についてすべての評価判定データがデータ別評価基準に達している場合には、対応するリスクが抽出されなかったことを意味するので、追加対策が不要との旨の通知を通知情報に記憶する。   In S <b> 404, the root risk identification unit 150 determines whether or not processing has been performed for all evaluation scales (recognition level, understanding level, implementation level) by the processing device. If the root risk specifying unit 150 determines that the processing has been performed for all the evaluation scales (YES in S404), the process proceeds to S404b. In S404b, the root risk identification unit 150 uses the notification information stored in the storage device to determine the achievement status of the evaluation criteria for all evaluation measures (that is, for each evaluation determination data for the degree of recognition, understanding, and implementation). Check the evaluation criteria status). As a result of checking the notification information, the root risk identification unit 150 means that if all the evaluation determination data has reached the evaluation criteria for each data for all evaluation scales, it means that the corresponding risk has not been extracted. A notification to the effect that no additional measures are required is stored in the notification information.

S404にて、根源リスク特定部150は、全評価尺度について処理を行っていないと判断した場合には(S404でNO)、処理をS402に戻す。   If the source risk identification unit 150 determines in S404 that the process has not been performed for all evaluation measures (NO in S404), the process returns to S402.

S403で、根源リスク特定部150が、認知度のすべての評価判定データが基準を満足しているわけではない場合(S403でNO)は、S405へ処理を進める。   In S403, if all the evaluation determination data of the degree of recognition do not satisfy the standard (NO in S403), the root risk specifying unit 150 advances the process to S405.

S405では、根源リスク特定部150は、処理装置により、データ別評価基準を満足していない評価判定データを取得するとともに、取得した評価判定データに対応するリスク改善策をリスク改善策情報記憶部123を参照して取得し、認知度に対応するリスク改善策情報として記憶装置に記憶する。S405では、根源リスク特定部150は、処理装置により、記憶装置に記憶されている認知度に対応するリスク改善策情報をリスク対策提示部160に通知するために、通知情報に認知度に対応するリスク改善策情報を記憶する。   In S <b> 405, the source risk identification unit 150 acquires evaluation determination data that does not satisfy the evaluation criteria for each data by the processing device, and also displays a risk improvement measure corresponding to the acquired evaluation determination data as a risk improvement measure information storage unit 123. And stored in the storage device as risk improvement measure information corresponding to the degree of recognition. In S405, the root risk identification unit 150 uses the processing device to correspond to the notification information in order to notify the risk countermeasure presentation unit 160 of the risk improvement measure information corresponding to the recognition degree stored in the storage device. Store risk improvement information.

S406では、根源リスク特定部150は、処理装置により、全評価尺度(認知度、理解度、実施度)について処理を行ったか否かを判定する。根源リスク特定部150は、全評価尺度について処理を行ったと判断した場合には(S406でYES)、処理をS407に進める。根源リスク特定部150は、全評価尺度について処理を行っていないと判断した場合には(S406でNO)、処理をS402に戻す。   In S <b> 406, the root risk identification unit 150 determines whether or not processing has been performed for all evaluation scales (recognition level, understanding level, implementation level) by the processing device. If the root risk identification unit 150 determines that the process has been performed for all the evaluation scales (YES in S406), the process proceeds to S407. If the root risk specifying unit 150 determines that the processing is not performed for all the evaluation scales (NO in S406), the process returns to S402.

S407では、リスク対策提示部160は、処理装置を用いて、根源リスク特定部150が記憶装置に記憶した通知情報にしたがって、各評価尺度に対応するリスク改善策情報を表示装置901に表示する。また、リスク対策提示部160は、「追加対策が不要」との通知を通知情報により入力した場合には、その旨を表示装置901に表示する。   In S407, the risk countermeasure presentation unit 160 displays risk improvement measure information corresponding to each evaluation scale on the display device 901 according to the notification information stored in the storage device by the root risk identification unit 150 using the processing device. Further, when the notification indicating that “additional measures are not required” is input as the notification information, the risk countermeasure presenting unit 160 displays that fact on the display device 901.

本実施の形態では、以下のような特徴と有するセキュリティ管理装置100について説明した。   In the present embodiment, the security management apparatus 100 having the following features has been described.

実施の形態1におけるセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、
エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施していることを尺度として(すなわち、評価尺度(認知度、理解度、実施度)により)評価する評価部130と、
評価目的(評価尺度)別の収集可能な情報(評価判定データ情報)のリストから、評価部130で評価するための式を設計する評価式設計部112と、
評価尺度(認知度、理解度、実施度)に従って評価した結果が不適切と判断された場合の改善策を設計する改善対策案設計部(リスク改善策設計部113)と、
評価判定データ取得部140によって取得した評価判定データを評価した結果から、根源となるリスクを特定する根源リスク特定部150と、
根源となるリスクに対する対策を提示するリスク対策提示部160と
を備えることを特徴とする。 The security management device 100 according to the first embodiment is a security management device 100 for the purpose of confirming whether an information security measure in an organization is implemented by an end user,
An evaluation unit 130 that evaluates that the end user correctly identifies (recognizes), understands and implements the security measure as a scale (that is, by an evaluation scale (recognition, understanding, implementation));
An evaluation expression design unit 112 that designs an expression to be evaluated by the evaluation unit 130 from a list of information (evaluation determination data information) that can be collected by evaluation purpose (evaluation scale);
An improvement plan design unit (risk improvement plan design unit 113) for designing an improvement plan when the result evaluated according to the evaluation scale (recognition level, understanding level, implementation level) is determined to be inappropriate;
From a result of evaluating the evaluation determination data acquired by the evaluation determination data acquisition unit 140, a source risk specifying unit 150 that specifies a risk as a source,
And a risk countermeasure presenting unit 160 that presents a countermeasure against the underlying risk.

実施の形態1におけるセキュリティ管理装置100は、
評価部130が、エンドユーザがセキュリティ施策を正しく識別していることを分析する施策認知度分析部133と、エンドユーザがセキュリティ施策の内容を正しく理解していることを分析する施策理解度分析部134と、エンドユーザがセキュリティ施策を正しく実施していることを分析する施策実施度分析部135とを備え、
実施の形態1におけるセキュリティ管理装置100は、さらに、
施策認知度分析部133、施策理解度分析部134、施策実施度分析部135の3つの分析部が出力する分析結果(例えば、認知度の値、理解度の値、実施度の値)から、エンドユーザが属する評価ゾーン(評価レベル)を特定する評価ゾーン算出部136を備えることを特徴とする。 The security management device 100 in the first embodiment
The evaluation unit 130 analyzes a measure recognition degree analysis unit 133 that analyzes that the end user correctly identifies the security measure, and a measure understanding level analysis unit that analyzes that the end user correctly understands the contents of the security measure 134 and a measure implementation level analysis unit 135 for analyzing that the end user is correctly implementing the security measure,
The security management device 100 in the first embodiment further includes:
From the analysis results (for example, the value of recognition, the value of understanding, and the value of implementation) output by the three analysis units of the measure recognition degree analysis unit 133, the measure understanding degree analysis unit 134, and the measure execution degree analysis unit 135, An evaluation zone calculation unit 136 for specifying an evaluation zone (evaluation level) to which the end user belongs is provided.

以上のように、実施の形態1におけるセキュリティ管理装置100によれば、ある情報セキュリティ施策に対して、エンドユーザがそれを実施しているかどうかを確認する際に、認知度、理解度、実施度の三つの評価尺度により判断するようにしているので、エンドユーザが当該セキュリティ施策を実施していない場合に、その根源となる原因を特定することができる。   As described above, according to the security management apparatus 100 in the first embodiment, when an end user confirms whether or not an information security measure is implemented, the degree of recognition, understanding, and implementation Therefore, when the end user does not implement the security measure, the cause that is the source can be specified.

実施の形態2.
実施の形態1のセキュリティ管理装置100では、ユーザのセキュリティ施策に対して評価式を用いて評価レベルを決定し、運用状況評価結果として出力していた。本実施の形態のセキュリティ管理装置100では、運用状況評価結果を出力(表示)方式として、三次元グラフを用いて運用状況評価結果を表示装置901に表示する場合について説明する。 Embodiment 2. FIG.
In the security management apparatus 100 according to the first embodiment, an evaluation level is determined using an evaluation formula for a user's security measure and output as an operation status evaluation result. In the security management apparatus 100 according to the present embodiment, a case will be described in which an operation status evaluation result is displayed on the display device 901 using a three-dimensional graph as an operation status evaluation result output (display) method.

図10は、実施の形態2におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。図10は、図1に対応する図であり、図1と同様の機能を有する機能ブロックについては同一の符号を付しその説明を省略する。図10において、図1と異なる点は、評価結果3次元表示部138を備える点である。   FIG. 10 is a diagram illustrating a functional block configuration diagram of the security management device 100 according to the second embodiment. FIG. 10 is a diagram corresponding to FIG. 1, and functional blocks having the same functions as those in FIG. 10 is different from FIG. 1 in that an evaluation result three-dimensional display unit 138 is provided.

評価結果3次元表示部138は、評価結果記憶部137に記憶された運用状況評価結果を、認知度、理解度、実施度を軸とした3次元空間上に表示して、表示装置901に評価結果3次元グラフとして表示する。評価結果3次元表示部138は、評価結果表示部の一例である。   The evaluation result three-dimensional display unit 138 displays the operation status evaluation result stored in the evaluation result storage unit 137 on a three-dimensional space with recognition, understanding, and implementation as axes, and evaluates the result on the display device 901. The result is displayed as a three-dimensional graph. The evaluation result three-dimensional display unit 138 is an example of an evaluation result display unit.

図11は、実施の形態2に係る評価結果3次元表示部138の評価結果3次元グラフ表示処理の流れを示すフロー図である。図11を用いて、評価結果3次元グラフ表示処理の流れについて説明する。   FIG. 11 is a flowchart showing the flow of the evaluation result three-dimensional graph display process of the evaluation result three-dimensional display unit 138 according to the second embodiment. The flow of the evaluation result three-dimensional graph display process will be described with reference to FIG.

評価結果3次元表示部138は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「評価結果3次元表示」ボタン等を選択することにより評価結果3次元表示部138が処理装置により記憶装置から読み出されて、処理装置により起動される。評価結果3次元表示部138は、起動されると、例えば、表示装置901に評価結果3次元グラフ要求画面を表示する。   The evaluation result three-dimensional display unit 138 is activated as follows, for example. When the security management apparatus 100 is activated, an initial screen of the security management system is displayed on the display device 901, and the administrator 400 selects an “evaluation result three-dimensional display” button or the like on the initial screen to display a three-dimensional evaluation result. The unit 138 is read from the storage device by the processing device and activated by the processing device. When the evaluation result three-dimensional display unit 138 is activated, for example, the evaluation result three-dimensional graph request screen is displayed on the display device 901.

S901において、評価結果3次元表示部138は、処理装置により、表示装置901に表示された評価結果3次元グラフ要求画面を介して、管理者400からの評価結果3次元グラフ表示要求を入力する。   In S901, the evaluation result three-dimensional display unit 138 inputs an evaluation result three-dimensional graph display request from the administrator 400 via the evaluation result three-dimensional graph request screen displayed on the display device 901 by the processing device.

S901において、評価結果3次元表示部138は、処理装置により、入力した評価結果3次元グラフ表示要求に含まれるセキュリティ施策IDを抽出する。ここで、対象セキュリティ施策としてセキュリティ施策Aが特定されたとする。また、評価結果3次元表示部138は、全ユーザについてのセキュリティ施策Aの運用状況評価結果を表示するものとする。すなわち、評価結果3次元表示部138は、S902からS904の処理を、全ユーザについて繰り返す。   In step S901, the evaluation result three-dimensional display unit 138 extracts the security measure ID included in the input evaluation result three-dimensional graph display request by the processing device. Here, it is assumed that the security measure A is specified as the target security measure. Moreover, the evaluation result three-dimensional display part 138 shall display the operation condition evaluation result of the security measure A about all the users. That is, the evaluation result three-dimensional display unit 138 repeats the processing from S902 to S904 for all users.

S902において、評価結果3次元表示部138は、まず、対象ユーザを特定する。評価結果3次元表示部138は、例えば、セキュリティ管理装置100が予め備える登録ユーザ一覧等のデータにより、特定された対象セキュリティ施策に対応する対象ユーザを決定することができる。   In S902, the evaluation result three-dimensional display unit 138 first identifies the target user. The evaluation result three-dimensional display unit 138 can determine a target user corresponding to the specified target security measure based on data such as a registered user list provided in advance in the security management apparatus 100, for example.

S903において、評価結果3次元表示部138は、特定した対象ユーザの対象ユーザIDと抽出したセキュリティ施策IDをもとに、評価結果記憶部137を検索して、対象ユーザIDについてのセキュリティ施策Aの認知度の値と理解度の値と実施度の値とを抽出する。評価結果3次元表示部138は、処理装置により、認知度、理解度、実施度を軸とした3次元空間を生成して、生成した3次元空間上に抽出した対象ユーザIDにおけるセキュリティ施策Aの認知度の値と理解度の値と実施度の値とをプロットし、評価結果3次元グラフデータを生成する。   In S903, the evaluation result three-dimensional display unit 138 searches the evaluation result storage unit 137 based on the target user ID of the specified target user and the extracted security measure ID, and the security measure A of the target user ID Extract the values of recognition, understanding and implementation. The evaluation result three-dimensional display unit 138 generates a three-dimensional space centered on the degree of recognition, comprehension, and implementation by the processing device, and extracts the security measure A in the target user ID extracted on the generated three-dimensional space. A recognition value, an understanding value, and an implementation value are plotted, and evaluation result three-dimensional graph data is generated.

S904では、評価結果3次元表示部138は、処理装置により、全ユーザについて3次元空間へのプロットが完了したか否かを判定する。評価結果3次元表示部138は、全ユーザについて3次元空間へのプロットが完了したと判定した場合(S904でYES)、処理をS905に進める。評価結果3次元表示部138は、全ユーザについて3次元空間へのプロットが完了していないと判定した場合(S904でNO)、処理をS902に戻す。   In S904, the evaluation result three-dimensional display unit 138 determines whether plotting in the three-dimensional space has been completed for all users by the processing device. If the evaluation result three-dimensional display unit 138 determines that plotting in the three-dimensional space has been completed for all users (YES in S904), the process proceeds to S905. If the evaluation result three-dimensional display unit 138 determines that plotting in the three-dimensional space is not completed for all users (NO in S904), the process returns to S902.

S905では、評価結果3次元表示部138は、処理装置により、生成した評価結果3次元グラフデータをもとに、評価結果3次元グラフを表示装置901に表示する。   In S905, the evaluation result three-dimensional display unit 138 causes the processing device to display the evaluation result three-dimensional graph on the display device 901 based on the generated evaluation result three-dimensional graph data.

図12は、実施の形態2において表示装置に表示される評価結果3次元グラフの一例を示す図である。図12では、X軸に認知度、Y軸に理解度、Z軸に実施度を示している。また、3次元空間を複数の略直方体のブロック1〜27で区分けしているが、これらは実施の形態1の評価レベルと対応するとすることができる。   FIG. 12 is a diagram illustrating an example of a three-dimensional evaluation result graph displayed on the display device in the second embodiment. In FIG. 12, the recognition level is shown on the X axis, the understanding level is shown on the Y axis, and the implementation level is shown on the Z axis. Further, although the three-dimensional space is divided into a plurality of substantially rectangular parallelepiped blocks 1 to 27, these can correspond to the evaluation levels of the first embodiment.

また、3次元空間上の1つのプロットは1つのユーザを示し、プロットの形・色の違いによりセキュリティ施策の種類を示している。   In addition, one plot on the three-dimensional space indicates one user, and indicates the type of security measure by the difference in the shape and color of the plot.

例えば、ブロック1に多くのユーザがプロットされているプロットa1は、セキュリティ施策Aを示すとする。ブロック1は、認知度、理解度、実施度ともに値が低いブロックであるので、セキュリティ施策Aについては「リスク高:実施されていない、あるいは、実施したことがないのでどのような施策があるのか認識していない」という評価を下すことができる。ブロック19に多くのユーザがプロットされているプロットa2は、セキュリティ施策Bを示すとする。ブロック19は、実施度は高いが、認知度と理解度とは値が低いブロックであるので、セキュリティ施策Bについては「リスク中:実施度はOKだが、施策をきちんと識別(認知)・理解していないので、セキュリティ施策変更に対応できないリスクが高い」という評価を下すことができる。   For example, it is assumed that the plot a1 in which many users are plotted in the block 1 indicates the security measure A. Block 1 is a block with low values for recognition, understanding, and implementation. For security measure A, “High risk: not implemented or what has been implemented since it has never been implemented. You can make an evaluation that you don't recognize. It is assumed that the plot a2 in which many users are plotted in the block 19 indicates the security measure B. Block 19 is a block that has a high degree of implementation but a low level of recognition and understanding. For security measure B, “In mid-risk: The degree of implementation is OK, but the measure is clearly identified (recognized) and understood. Therefore, it can be evaluated that there is a high risk that it cannot respond to changes in security measures.

実施の形態2に係るセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、各ユーザの運用状況評価結果を評価結果3次元グラフで表示する処理を行う評価結果3次元表示部138を備えたことを特徴とする。   The security management apparatus 100 according to the second embodiment is a security management apparatus 100 for the purpose of confirming whether or not an information security measure in the organization is being implemented by an end user. Is provided with an evaluation result three-dimensional display unit 138 that performs a process of displaying the evaluation result in a three-dimensional graph.

以上のように、本実施の形態に係るセキュリティ管理装置100によれば、ある情報セキュリティ施策に対する各ユーザの評価結果を3次元グラフ上に表示することにより、ユーザの評価結果の分布状況がわかりやすく表示される。また、各ユーザの評価結果が平均化されることないので、全体的に対策を採る必要があるのか、それとも特定のユーザだけに追加対策を施せばよいのかが判断しやすくなり、より適切な対策をとることが可能となる。   As described above, according to the security management apparatus 100 according to the present embodiment, by displaying the evaluation results of each user for a certain information security measure on a three-dimensional graph, it is easy to understand the distribution status of the user evaluation results. Is displayed. In addition, since the evaluation results of each user are not averaged, it becomes easier to determine whether it is necessary to take overall measures or whether additional measures should be taken only for specific users. It becomes possible to take.

実施の形態3.
上述した実施の形態1及び実施の形態2のセキュリティ管理装置100では、運用状況評価結果を表示装置等に表示し、ユーザが適切なリスク対策を採用することができるようにすることを目的としたものである。本実施の形態では、セキュリティ管理装置100が、運用状況評価結果に基づいて、取得する評価式を改善する実施の形態について説明する。 Embodiment 3 FIG.
The security management device 100 according to the first embodiment and the second embodiment described above is intended to display an operation status evaluation result on a display device or the like so that the user can adopt an appropriate risk countermeasure. Is. In the present embodiment, an embodiment will be described in which the security management device 100 improves the evaluation formula to be acquired based on the operation status evaluation result.

図13は、実施の形態3におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。図13は、図1に対応する図であり、図1と同様の機能を有する機能ブロックについては同一の符号を付しその説明を省略する。図13において、図1と異なる点は、相関分析部139を備える点である。   FIG. 13 is a functional block configuration diagram of the security management apparatus 100 according to the third embodiment. FIG. 13 is a diagram corresponding to FIG. 1, and functional blocks having the same functions as those in FIG. 1 are denoted by the same reference numerals and description thereof is omitted. 13 is different from FIG. 1 in that a correlation analysis unit 139 is provided.

相関分析部139は、各評価尺度の評価結果の相関関係を分析し、その分析結果を評価式情報にフィードバックする機能を備えている。相関分析部139は、評価結果記憶部137に記憶された認知度の値と理解度の値と実施度の値とに基づいて、認知度の値と理解度の値との要否を処理装置により決定して要否情報として記憶装置(評価式情報記憶部122)に記憶する。相関分析部139は、要否情報設定部の一例である。   The correlation analysis unit 139 has a function of analyzing the correlation of the evaluation results of each evaluation scale and feeding back the analysis results to the evaluation formula information. The correlation analysis unit 139 determines whether or not the recognition level value and the understanding level value are necessary based on the recognition level value, the understanding level value, and the implementation level value stored in the evaluation result storage unit 137. Is stored in the storage device (evaluation formula information storage unit 122) as necessity information. The correlation analysis unit 139 is an example of a necessity information setting unit.

図14は、実施の形態3に係る相関分析部の相関分析処理の流れを示すフロー図である。図14を用いて、相関分析部139の相関分析処理の流れについて説明する。   FIG. 14 is a flowchart showing the flow of correlation analysis processing of the correlation analyzer according to the third embodiment. The flow of the correlation analysis process of the correlation analysis unit 139 will be described with reference to FIG.

相関分析部139は、例えば、評価部130の運用状況評価処理が終了した後に起動される。あるいは、ユーザ(管理者400)による評価式情報変更要求により起動されるとしてもよい。   The correlation analysis unit 139 is started after the operation status evaluation process of the evaluation unit 130 is completed, for example. Alternatively, it may be activated by a request for changing the evaluation formula information by the user (administrator 400).

S1201において、相関分析部139は、処理装置により、評価対象のセキュリティ施策IDを特定する。相関分析部139は、ユーザから入力された評価式情報変更要求から評価対象のセキュリティ施策IDを抽出する。あるいは、相関分析部139は、評価部130による運用状況評価処理の対象となったセキュリティ施策IDを記憶装置より取得して、評価対象のセキュリティ施策IDとして特定してもよい。ここでは、評価対象のセキュリティ施策IDは、セキュリティ施策Aを示すものとする。   In S1201, the correlation analysis unit 139 specifies the security measure ID to be evaluated by the processing device. The correlation analysis unit 139 extracts the security measure ID to be evaluated from the evaluation formula information change request input from the user. Alternatively, the correlation analysis unit 139 may acquire the security measure ID that is the target of the operation status evaluation process by the evaluation unit 130 from the storage device, and specify the security measure ID as the evaluation target security measure ID. Here, it is assumed that the security measure ID to be evaluated indicates the security measure A.

S1202において、相関分析部139は、処理装置により、セキュリティ施策Aについての認知度の値、理解度の値、実施度の値を、評価結果記憶部137から取得する。   In S <b> 1202, the correlation analysis unit 139 uses the processing device to obtain a recognition value, an understanding value, and an implementation value for the security measure A from the evaluation result storage unit 137.

S1203において、相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であるか否かを判定する。相関分析部139は、例えば、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して十分であるか否かを判定する。相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であると判定した場合(S1203でYES)、処理はS1204に進む。相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分でないと判定した場合(S1203でNO)、処理はS1205に進む。   In step S1203, the correlation analysis unit 139 determines whether the evaluation result (recognition value, understanding value, implementation value) of the evaluation scale is sufficient by the processing device. For example, the correlation analysis unit 139 compares the evaluation scale threshold value stored in advance in the storage device with the evaluation scale evaluation results (recognition value, understanding value, and implementation value) by the processing device. To determine whether it is sufficient. When the processing unit determines that the evaluation result of the evaluation scale (recognition value, understanding value, implementation value) is sufficient (YES in step S1203), the correlation analysis unit 139 proceeds to step S1204. . If the processing unit determines that the evaluation result of the evaluation scale (recognition value, understanding value, implementation value) is not sufficient (NO in S1203), the correlation analysis unit 139 proceeds to S1205.

ここで、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であるということは、セキュリティ施策Aは組織内において成熟したことを意味する。このため、相関分析部139は、処理装置により、セキュリティ施策Aについては認知度や理解度のデータを取得不要であるという記憶装置に記憶されている認知度理解度不要フラグ(要否情報の一例)をONにする。認知度理解度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されているものとする。   Here, that the evaluation result of the evaluation scale (recognition value, understanding value, implementation value) is sufficient means that the security measure A has matured in the organization. Therefore, the correlation analysis unit 139 uses the processing device to recognize the recognition degree unnecessary flag (an example of necessity information) stored in the storage device that it is not necessary to acquire the data of the degree of recognition or the degree of understanding for the security measure A. ) Is turned ON. It is assumed that the recognition degree understanding degree unnecessary flag is set in the evaluation formula information storage unit 122 corresponding to the security measure A.

S1205において、相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であるか否かを判定する。相関分析部139は、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であるか否かを判定する。相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であると判定した場合(S1205でYES)、処理はS1206に進む。相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」ではないと判定した場合(S1205でNO)、処理はS1207に進む。   In step S <b> 1205, the correlation analysis unit 139 determines whether “the understanding level value and the implementation level value are sufficient and the recognition level value is insufficient” by the processing device. The correlation analysis unit 139 compares the evaluation scale threshold value stored in advance in the storage device with the evaluation scale evaluation results (recognition value, understanding value, implementation value) by the processing device, It is determined whether or not “the understanding level value and the implementation level value are sufficient and the recognition level value is insufficient”. If the correlation analysis unit 139 determines that “the understanding level value and the implementation level value are sufficient and the recognition level value is insufficient” by the processing device (YES in S1205), the process proceeds to S1206. move on. If the correlation analysis unit 139 determines by the processing device that “the understanding level value and the implementation level value are sufficient and the recognition level value is insufficient” (NO in S1205), the process proceeds to S1207. move on.

S1206において、相関分析部139は、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であれば、今後は実施度と認知度のデータ取得を行い、理解度のデータを取得不要であるということを意味する理解度不要フラグ(要否情報の一例)をONにする。理解度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されている。   In S1206, the correlation analysis unit 139 performs data acquisition of the degree of implementation and the degree of recognition in the future if the value of the degree of understanding and the value of the degree of implementation are sufficient and the value of the degree of recognition is insufficient. An understanding level unnecessary flag (an example of necessity information), which means that it is not necessary to acquire understanding level data, is set to ON. The understanding level unnecessary flag is set in the evaluation formula information storage unit 122 corresponding to the security measure A.

S1205でNOの場合(すなわち、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」ではない場合)は、実施度と認知度の尺度が十分かどうかについて確認する。S1207において、相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であるか否かを判定する。相関分析部139は、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であるか否かを判定する。相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であると判定した場合(S1207でYES)、処理はS1208に進む。相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」ではないと判定した場合(S1207でNO)、処理は終了する。   In the case of NO in S1205 (that is, when the value of understanding and the value of implementation are sufficient and the value of recognition is not sufficient), whether or not the scale of implementation and recognition is sufficient Check. In S <b> 1207, the correlation analysis unit 139 determines whether or not “the recognition level value and the implementation level value are sufficient and the understanding level value is insufficient” by the processing device. The correlation analysis unit 139 compares the evaluation scale threshold value stored in advance in the storage device with the evaluation scale evaluation results (recognition value, understanding value, implementation value) by the processing device, It is determined whether or not “a recognition value and an implementation value are sufficient and an understanding value is insufficient”. If the correlation analysis unit 139 determines that the “recognition value and the implementation value are sufficient and the understanding value is insufficient” by the processing device (YES in S1207), the process proceeds to S1208. move on. If the correlation analysis unit 139 determines that the “recognition value and the implementation value are sufficient and the understanding value is insufficient” by the processing device (NO in S1207), the process ends. .

S1208において、相関分析部139は、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であれば、今後は実施度と理解度のデータ取得を行い、認知度のデータを取得不要であるということを意味する認知度不要フラグ(要否情報の一例)をONにする。認知度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されている。   In S1208, the correlation analysis unit 139 performs data acquisition of the implementation level and the understanding level in the future if “the recognition level value and the implementation level value are sufficient and the understanding level value is insufficient”. The recognition degree unnecessary flag (an example of necessity information) that means that recognition degree data is not required is turned ON. The recognition unnecessary flag is set in the evaluation formula information storage unit 122 corresponding to the security measure A.

相関分析部139は、S1207の結果も不十分ということであれば、全尺度についてのデータ取得は必要であることを意味するのであるから、処理を終了する。   If the result of S1207 is also insufficient, the correlation analysis unit 139 means that it is necessary to acquire data for all the scales, and thus ends the processing.

以上のように、相関分析部139は、セキュリティ施策Aについての評価尺度の評価結果に基づいて、セキュリティ施策Aに対応する評価式情報記憶部122に設定されているフラグ(認知度理解度不要フラグ、理解度不要フラグ、認知度不要フラグ)(要否情報の一例)をONにする。   As described above, based on the evaluation result of the evaluation scale for security measure A, correlation analysis unit 139 sets the flag (recognition degree not required flag) set in evaluation formula information storage unit 122 corresponding to security measure A. , Understanding level unnecessary flag, recognition level unnecessary flag) (an example of necessity information) is turned ON.

評価式設計部112(評価基準設定部の一例)は、評価式設計処理を行う場合に、評価式情報記憶部122に設定されているフラグ情報(要否情報)(認知度理解度不要フラグ、理解度不要フラグ、認知度不要フラグ)をもとにして再設計(再設定)する。例えば、評価式設計部112は、評価式設計処理を行う際に、認知度理解度不要フラグがONであった場合には、実施度の値のみに基づいて評価レベルを決定する評価式を生成する。あるいは、評価式設計部112は、評価式設計処理を行う際に、理解度不要フラグがONであった場合には、認知度の値と実施度の値とのみに基づいて評価レベルを決定する評価式を生成する。評価式設計部112は、評価式設計処理を行う際に、認知度不要フラグがONであった場合には、理解度の値と実施度の値とのみに基づいて評価レベルを決定する評価式を生成する。   The evaluation formula design unit 112 (an example of an evaluation criteria setting unit), when performing the evaluation formula design process, flag information (necessity information) set in the evaluation formula information storage unit 122 (recognition degree understanding unnecessary flag, Redesign (reset) based on understanding unnecessary flag and recognition unnecessary flag). For example, when performing the evaluation expression design process, the evaluation expression design unit 112 generates an evaluation expression that determines the evaluation level based only on the value of the degree of implementation when the recognition degree unnecessary flag is ON. To do. Alternatively, the evaluation formula design unit 112 determines the evaluation level based only on the value of recognition and the value of implementation when the understanding level unnecessary flag is ON when performing the evaluation formula design process. Generate an evaluation formula. The evaluation formula design unit 112 determines the evaluation level based only on the value of the understanding level and the value of the implementation level when the recognition degree unnecessary flag is ON when performing the evaluation formula design process. Is generated.

実施の形態3におけるセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、各評価尺度の評価結果の相関関係を分析し、その分析結果を評価式情報にフィードバックする相関分析部139を備えることを特徴とする。   The security management apparatus 100 according to the third embodiment is a security management apparatus 100 for the purpose of confirming whether or not an information security measure in an organization is implemented by an end user, and correlates evaluation results of each evaluation scale. A correlation analysis unit 139 that analyzes the relationship and feeds back the analysis result to the evaluation formula information is provided.

以上のように、本実施の形態のセキュリティ管理装置100によれば、運用条件評価結果からあるセキュリティ施策の成熟度を判断し、この成熟度によって評価式を変更(再設計)することにより、不要なデータ取得を削減できるため、過剰になりがちなセキュリティ運用管理負荷を軽減することが可能になる。   As described above, according to the security management apparatus 100 of the present embodiment, it is not necessary to determine the maturity level of a certain security measure from the operational condition evaluation result and change (redesign) the evaluation formula according to this maturity level. Therefore, it is possible to reduce the security operation management load that tends to be excessive.

以上、実施の形態1〜3について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。   As mentioned above, although Embodiment 1-3 was demonstrated, you may implement combining 2 or more embodiment among these. Alternatively, one of these embodiments may be partially implemented. Or you may implement combining two or more embodiment among these partially.

また、実施の形態1〜3の説明において説明した機能ブロックは、全ての機能ブロックをひとつの機能ブロックで実現しても構わない。あるいは、これらの機能ブロックを、どのような組み合わせで構成しても構わない。   In addition, the functional blocks described in the description of the first to third embodiments may be realized by a single functional block for all functional blocks. Alternatively, these functional blocks may be configured in any combination.

100 セキュリティ管理装置、110 設計部、111 評価判定データ情報設計部、112 評価式設計部、113 リスク改善策設計部、120 評価情報記憶部、121 評価判定データ情報記憶部、122 評価式情報記憶部、123 リスク改善策情報記憶部、130 評価部、131 算出部、132 運用状況評価部、133 施策認知度分析部、134 施策理解度分析部、135 施策実施度分析部、136 評価ゾーン算出部、137 評価結果記憶部、138 評価結果3次元表示部、139 相関分析部、140 評価判定データ取得部、141 セキュリティ判定データ記憶部、150 根源リスク特定部、160 リスク対策提示部、400 管理者、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ装置、907 スキャナ装置、908 タッチパネル、910 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 ファクシミリ機、940 インターネット、941 ゲートウェイ、942 LAN。   DESCRIPTION OF SYMBOLS 100 Security management apparatus, 110 Design part, 111 Evaluation judgment data information design part, 112 Evaluation formula design part, 113 Risk improvement measure design part, 120 Evaluation information storage part, 121 Evaluation judgment data information storage part, 122 Evaluation formula information storage part , 123 Risk improvement measure information storage unit, 130 evaluation unit, 131 calculation unit, 132 operation status evaluation unit, 133 measure recognition level analysis unit, 134 measure understanding level analysis unit, 135 measure implementation level analysis unit, 136 evaluation zone calculation unit, 137 Evaluation result storage unit, 138 Evaluation result three-dimensional display unit, 139 Correlation analysis unit, 140 Evaluation determination data acquisition unit, 141 Security determination data storage unit, 150 Root risk identification unit, 160 Risk countermeasure presentation unit, 400 Administrator, 901 Display device, 902 keyboard, 903 mouse, 904 FDD 905 CDD, 906 printer device, 907 scanner device, 908 touch panel, 910 system unit, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 communication board, 920 magnetic disk device, 921 OS, 922 window system, 923 program group, 924 file group, 931 telephone, 932 facsimile machine, 940 Internet, 941 gateway, 942 LAN.

Claims (10)

組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、
前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部と、
前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出部と、
前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価部と
を備えたことを特徴とするセキュリティ評価装置。 In a security evaluation device that evaluates the operational status of security measures in an organization,
A security determination data storage unit that stores recognition determination data for determining a recognition status of the security measure in the organization and an execution determination data for determining an implementation status of the security measure in the organization in a storage device;
The degree to which the user recognizes the security measure based on the input recognition determination data and the execution determination data by inputting the recognition determination data and the execution determination data from the security determination data storage unit And a calculation unit that calculates a value of the degree of recognition indicating the degree of implementation and the degree of implementation indicating the degree of implementation of the security measure by the user,
Based on the recognition level value and the implementation level value calculated by the calculation unit, the operation status of the security measure is evaluated by a processing device using an operation status evaluation criterion stored in advance in a storage device. A security evaluation device comprising an operation status evaluation unit that stores the operation status evaluation result in a storage device. 前記セキュリティ判定データ記憶部は、さらに、
前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、
前記算出部は、さらに、
前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、
前記運用状況評価部は、
前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項1に記載のセキュリティ評価装置。 The security judgment data storage unit further includes:
Storing understanding determination data for determining an understanding status of the security measure in the organization in a storage device;
The calculation unit further includes:
The understanding determination data is input from the security determination data storage unit, and based on the input understanding determination data, the processor calculates an understanding level value indicating the degree of understanding of the security measure by the organization. ,
The operation status evaluation unit
Based on the understanding level value, the recognition level value, and the implementation level value calculated by the calculation unit, the operating status of the security measure is evaluated by a processing device using the operating status evaluation criteria. The security evaluation device according to claim 1, wherein the operation status evaluation result is stored in a storage device. 前記セキュリティ評価装置は、さらに、
前記セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルと、前記複数の評価レベルの各評価レベルに対応させて各々設定された、理解度の値と認知度の値と実施度の値との組み合わせと、を前記運用状況評価基準として記憶装置に記憶する評価基準設定部を備え、
前記運用状況評価部は、
前記評価基準設定部により設定された前記運用状況評価基準に含まれる複数の評価レベルの中から、前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値との組み合わせが対応する評価レベルを処理装置により取得して、取得した前記評価レベルを前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項2に記載のセキュリティ評価装置。 The security evaluation device further includes:
A plurality of evaluation levels representing the rating of evaluation of the operational status of the security measure, and a value of understanding, a value of recognition, and a value of implementation set corresponding to each of the plurality of evaluation levels And an evaluation criterion setting unit that stores the combination as a storage device as the operation status evaluation criterion,
The operation status evaluation unit
Among a plurality of evaluation levels included in the operational status evaluation standard set by the evaluation standard setting unit, the understanding level value, the recognition level value, and the implementation level value calculated by the calculation unit, The security evaluation apparatus according to claim 2, wherein an evaluation level corresponding to the combination is acquired by a processing apparatus, and the acquired evaluation level is stored in a storage device as the operation status evaluation result. 前記評価基準設定部は、さらに、
前記複数の評価レベルの各評価レベルに対応させて、セキュリティ改善策を各々設定して前記運用状況評価基準とし、
前記運用状況評価部は、さらに、
取得した前記評価レベルとともに、当該評価レベルに対応するセキュリティ改善策を取得して、取得した前記評価レベルと前記セキュリティ改善策とを前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項3に記載のセキュリティ評価装置。 The evaluation criterion setting unit further includes:
Corresponding to each of the plurality of evaluation levels, each security improvement measure is set as the operational status evaluation standard,
The operational status evaluation unit further includes:
A security improvement measure corresponding to the evaluation level is acquired together with the acquired evaluation level, and the acquired evaluation level and the security improvement measure are stored in the storage device as the operation status evaluation result. Item 4. The security evaluation device according to Item 3. 前記セキュリティ評価装置は、さらに、
認知度を示すX座標と理解度を示すY座標と実施度を示すZ座標とからなる3次元座標により表される3次元空間を表示装置に表示する評価結果表示部であって、前記3次元空間の中で、前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに対応する3次元座標の示す位置を、特定の表示により表示する評価結果表示部を備える
ことを特徴とする請求項2〜4のいずれかに記載のセキュリティ評価装置。 The security evaluation device further includes:
An evaluation result display unit that displays on a display device a three-dimensional space represented by a three-dimensional coordinate composed of an X coordinate indicating recognition, a Y coordinate indicating understanding, and a Z coordinate indicating implementation, wherein the three-dimensional Evaluation result display for displaying the position indicated by the three-dimensional coordinates corresponding to the value of the degree of understanding, the value of the degree of recognition and the value of the degree of implementation calculated by the calculation unit in a space The security evaluation apparatus according to claim 2, further comprising a unit. 前記セキュリティ評価装置は、さらに、
前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、理解度の値と認知度の値との要否を示す要否情報を記憶装置に記憶する要否情報設定部を備え、
前記評価基準設定部は、
前記要否情報設定部により設定された前記要否情報に基づいて、前記運用状況評価基準を再設定する
ことを特徴とする請求項3に記載のセキュリティ評価装置。 The security evaluation device further includes:
Based on the understanding level value, the recognition level value, and the implementation level value calculated by the calculation unit, storage device stores necessity information indicating whether the understanding level value and the recognition level value are necessary. The necessity information setting part to be stored in
The evaluation criteria setting unit
The security evaluation apparatus according to claim 3, wherein the operation status evaluation criterion is reset based on the necessity information set by the necessity information setting unit. 組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置であって、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部を備えるセキュリティ評価装置のセキュリティ評価方法において、
算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出ステップと、
運用状況評価部が、前記算出ステップにより算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価ステップと
を備えたことを特徴とするセキュリティ評価装置のセキュリティ評価方法。 A security evaluation device that evaluates the operational status of a security measure in an organization, for determining the recognition status of the security measure in the organization, and for determining the implementation status of the security measure in the organization In a security evaluation method of a security evaluation device including a security determination data storage unit that stores execution determination data in a storage device,
The calculation unit inputs the recognition determination data and the execution determination data from the security determination data storage unit, and the user recognizes the security measure based on the input recognition determination data and the execution determination data. A calculation step of calculating, by a processing device, a value of the degree of recognition indicating the degree of being performed and a value of the degree of execution indicating the degree of the user performing the security measure;
The operation status evaluation unit uses the operation status evaluation criteria stored in advance in the storage device for the operation status of the security measure based on the value of the recognition level and the value of the implementation level calculated in the calculation step. A security evaluation method for a security evaluation device, comprising: an operation status evaluation step that evaluates by a processing device and stores the operation status evaluation result in a storage device. 前記セキュリティ判定データ記憶部は、さらに、
前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、
前記算出ステップは、さらに、
前記算出部が、前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、
前記運用状況評価ステップは、
前記運用状況評価部が、前記算出ステップにより算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項7に記載のセキュリティ評価装置のセキュリティ評価方法。 The security judgment data storage unit further includes:
Storing understanding determination data for determining an understanding status of the security measure in the organization in a storage device;
The calculating step further includes:
The calculation unit inputs the understanding determination data from the security determination data storage unit, and based on the input understanding determination data, an understanding level value indicating a degree of understanding of the security measure by the organization. Calculated by the processor,
The operation status evaluation step includes:
The operational status evaluation unit determines the operational status of the security measure based on the understanding level value, the recognition level value, and the implementation level value calculated in the calculating step, and the operational status evaluation standard. The security evaluation method for a security evaluation apparatus according to claim 7, wherein the security evaluation apparatus is used for evaluation by a processing apparatus and the operation status evaluation result is stored in a storage device. 組織におけるセキュリティ施策の運用状況を評価するコンピュータであるセキュリティ評価装置であって、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部を備えるコンピュータであるセキュリティ評価装置のセキュリティ評価プログラムにおいて、
算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出処理と、
運用状況評価部が、前記算出処理により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価処理と
をコンピュータであるセキュリティ評価装置に実行させることを特徴とするセキュリティ評価装置のセキュリティ評価プログラム。 A security evaluation device that is a computer that evaluates the operational status of security measures in an organization, and that determines recognition status data for determining the recognition status of the security measures in the organization, and determines the implementation status of the security measures in the organization In a security evaluation program for a security evaluation device, which is a computer provided with a security determination data storage unit that stores execution determination data for storage in a storage device,
The calculation unit inputs the recognition determination data and the execution determination data from the security determination data storage unit, and the user recognizes the security measure based on the input recognition determination data and the execution determination data. A calculation process for calculating, by a processing device, a value of the degree of recognition indicating the degree of performing and a value of the degree of implementation indicating the degree of the user performing the security measure;
The operational status evaluation unit uses the operational status evaluation criteria stored in the storage device in advance for the operational status of the security measure based on the recognition value and the implementation value calculated by the calculation process. A security evaluation program for a security evaluation device, which causes a security evaluation device, which is a computer, to execute an operation status evaluation process that is evaluated by a processing device and stored in a storage device as an operation status evaluation result. 前記セキュリティ判定データ記憶部は、さらに、
前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、
前記算出処理は、さらに、
前記算出部が、前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、
前記運用状況評価処理は、
前記運用状況評価部が、前記算出ステップにより算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項9に記載のセキュリティ評価装置のセキュリティ評価プログラム。 The security judgment data storage unit further includes:
Storing understanding determination data for determining an understanding status of the security measure in the organization in a storage device;
The calculation process further includes:
The calculation unit inputs the understanding determination data from the security determination data storage unit, and based on the input understanding determination data, an understanding level value indicating a degree of understanding of the security measure by the organization. Calculated by the processor,
The operational status evaluation process is:
The operational status evaluation unit determines the operational status of the security measure based on the understanding level value, the recognition level value, and the implementation level value calculated in the calculating step, and the operational status evaluation standard. 10. The security evaluation program for a security evaluation apparatus according to claim 9, wherein the security evaluation program is used for evaluation by a processing apparatus and stored in the storage device as the operation status evaluation result.
JP2009101001A 2009-04-17 2009-04-17 Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device Pending JP2010250677A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009101001A JP2010250677A (en) 2009-04-17 2009-04-17 Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009101001A JP2010250677A (en) 2009-04-17 2009-04-17 Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device

Publications (1)

Publication Number Publication Date
JP2010250677A true JP2010250677A (en) 2010-11-04

Family

ID=43312912

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009101001A Pending JP2010250677A (en) 2009-04-17 2009-04-17 Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device

Country Status (1)

Country Link
JP (1) JP2010250677A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020240641A1 (en) * 2019-05-27 2020-12-03 日本電信電話株式会社 Instruction output device, instruction output method, and program
JP7015889B1 (en) 2020-09-30 2022-02-14 ビジョナル・インキュベーション株式会社 Risk assessment support system
CN116383856A (en) * 2023-05-24 2023-07-04 豪符密码检测技术(成都)有限责任公司 Safety and effectiveness detection method for data safety protection measures

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020240641A1 (en) * 2019-05-27 2020-12-03 日本電信電話株式会社 Instruction output device, instruction output method, and program
JP7015889B1 (en) 2020-09-30 2022-02-14 ビジョナル・インキュベーション株式会社 Risk assessment support system
JP2022057956A (en) * 2020-09-30 2022-04-11 ビジョナル・インキュベーション株式会社 Risk evaluation support system
CN116383856A (en) * 2023-05-24 2023-07-04 豪符密码检测技术(成都)有限责任公司 Safety and effectiveness detection method for data safety protection measures
CN116383856B (en) * 2023-05-24 2023-08-29 豪符密码检测技术(成都)有限责任公司 Safety and effectiveness detection method for data safety protection measures

Similar Documents

Publication Publication Date Title
JP5346374B2 (en) Web page privacy risk protection method and system
US20180191781A1 (en) Data insights platform for a security and compliance environment
WO2015025551A1 (en) Correlation display system, correlation display method, and correlation display program
US8819442B1 (en) Assessing risk associated with a computer technology
EP3997657A1 (en) Quantifiying privacy impact
JP2011192105A (en) System for support of creating security countermeasure standard, program, and security countermeasure standard creation support method
JP7255636B2 (en) Terminal management device, terminal management method, and program
JP2010250677A (en) Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device
US20180276685A1 (en) Remote Supervision of Client Device Activity
JP2009176131A (en) Client terminal monitoring system
US10817821B2 (en) Workflow control device and non-transitory computer-readable storage medium having stored therein workflow control program for controlling workflow regarding operation on electronic apparatus
JP2006201926A (en) Similar document retrieval system, similar document retrieval method and program
WO2012053041A1 (en) Security monitoring device, security monitoring method and security monitoring program based on security policy
JP2011203880A (en) Device and method for deciding already read
US10877946B1 (en) Efficient incident response through tree-based visualizations of hierarchical clustering
CN108268192B (en) List operation method and device
JP4066033B1 (en) Client terminal monitoring system
US20220253529A1 (en) Information processing apparatus, information processing method, and computer readable medium
JP7409978B2 (en) Risk assessment system and risk assessment method
JP4138859B1 (en) Client terminal monitoring system
JP2009211128A (en) Simulation device, simulation method, and program
Zhang et al. Identifying “sloppy” users in TMS through operation logs
JP2006260341A (en) Dialog activity evaluation device, and method
KR20240055600A (en) A system for tagging security information and a method thereof
JP2014219896A (en) Evaluation program and evaluation device