JP2010266966A - セキュリティ対策評価方法及び装置 - Google Patents
セキュリティ対策評価方法及び装置 Download PDFInfo
- Publication number
- JP2010266966A JP2010266966A JP2009116009A JP2009116009A JP2010266966A JP 2010266966 A JP2010266966 A JP 2010266966A JP 2009116009 A JP2009116009 A JP 2009116009A JP 2009116009 A JP2009116009 A JP 2009116009A JP 2010266966 A JP2010266966 A JP 2010266966A
- Authority
- JP
- Japan
- Prior art keywords
- evaluation
- asset management
- information
- security
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 9
- 238000011156 evaluation Methods 0.000 claims abstract description 99
- 230000005540 biological transmission Effects 0.000 claims abstract description 17
- 230000008520 organization Effects 0.000 claims description 21
- 238000009825 accumulation Methods 0.000 claims description 8
- 238000011002 quantification Methods 0.000 claims description 4
- 238000010972 statistical evaluation Methods 0.000 claims 1
- 238000007726 management method Methods 0.000 description 25
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000012550 audit Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】自社が導入しているセキュリティ対策が他社と比べてどの程度のレベルにあるのかについての客観的な情報を提供し得るセキュリティ対策評価方法及びセキュリティ対策評価装置を提供する。
【解決手段】ネットワーク2を経由して複数の団体のネットワークシステム1A,1B,1C,・・・と送受信を行う送受信部11と、複数の団体のコンピュータシステム1A,1B,1C,・・・から送受信部11及びネットワーク2を経由して収集したログ情報及び資産管理情報を蓄積する記憶部14と、記憶部14で蓄積されているログ情報及び資産管理情報について、ログ情報及び資産管理情報を構成する項目毎に数値化する数値化部12と、数値化部12で数値化した、ログ情報及び資産管理情報の項目毎の数値を、ある団体が属するグループで統計処理して相対的な評価を行う相対評価部13と、を備える。
【選択図】図1
【解決手段】ネットワーク2を経由して複数の団体のネットワークシステム1A,1B,1C,・・・と送受信を行う送受信部11と、複数の団体のコンピュータシステム1A,1B,1C,・・・から送受信部11及びネットワーク2を経由して収集したログ情報及び資産管理情報を蓄積する記憶部14と、記憶部14で蓄積されているログ情報及び資産管理情報について、ログ情報及び資産管理情報を構成する項目毎に数値化する数値化部12と、数値化部12で数値化した、ログ情報及び資産管理情報の項目毎の数値を、ある団体が属するグループで統計処理して相対的な評価を行う相対評価部13と、を備える。
【選択図】図1
Description
本発明は、各クライアントのコンピュータシステムにおけるセキュリティ対策を、ログ収集ソフトウェア及びIT資産管理ソフトウェアにより収集された一以上の項目から構成されるログ情報及び資産管理情報に基いて評価する、セキュリティ対策評価方法及び装置に関する。
今日、株式会社等の会社、一般社団法人、官公庁など、各種の団体(以下、「企業等」と略記する。)においては、あらゆる業務、活動を遂行するに当たり、その基盤として複数のクライアント端末装置とサーバ装置とがLANで接続されて構築されているコンピュータシステムおよびインターネット網が用いられている。
かかるコンピュータシステムにおいては、ハッカーの攻撃、データの改ざん、成りすましによる不正アクセスをはじめ、ネットワークの外部、内部による秘密情報の不正持ち出しなどが頻繁に発生する。機密性の高い顧客情報や開発データがコンピュータシステムへの不正アクセス、任務違背による外部への不正開示などの行為により、外部に漏洩した場合、その損害は多大なもので、顧客の信頼を失うことによりビジネス・活動の継続が困難になる場合すらある。そこで、各種の情報セキュリティ対策が、抜け目無く(Security Hole無しに)施されることが必要不可欠となっている。
ここで、セキュリティ対策として、例えばコンピュータシステムを利用する際に認証を要求して不正アクセスを防止したり、不正アクセスやセキュリティ方針(Policy)違反の行為に際してアラームを出力したりしている。また、コンピュータシステムのログ情報を収集してログ情報の解析により不正行為の有無、情報漏えいの過程を追跡などしている。既に、ログ情報やアセット管理のデータを収集するためのソフトウェアが用いられているところ、そのソフトウェアを用いて収集したログ情報をどのように解析して活用するかについては、個々の企業等が具体的に優先順位に合わせて検討して行う必要がある。
そのような状況下において、特許文献1には、セキュリティ対策状況の自己点検システムが開示されている。この自己点検システムにおいては、クライアントコンピュータがセキュリティインベントリ情報や操作ログ情報を収集してサーバコンピュータに送信し、サーバコンピュータがクライアントコンピュータから送信されるこれらの情報を記憶し、それらが予め設定されているセキュリティポリシーに適合しているかを判定し、ポリシー違反が検出された場合に、管理者やそのクライアントに対してその旨の連絡を行う。よって、セキュリティ対策のうち情報漏洩に特化して、PCのセキュリティ対策状況とユーザの持ち出し操作状況を統合的に一元的に管理し、セキュリティポリシーサンプルを提供して、対策状況をより簡単かつ効果的に判断することができる。
しかしながら、セキュリティ対策を施すことによってコンピュータシステムの利便性が悪くなる場合もあり、セキュリティ対策にも膨大なコストがかかる。一方で、セキュリティ対策に完璧なものは存在しない。つまり、日々新しい威嚇やリスクが発生する。所轄官庁や国際機関などからセキュリティ対策のガイドラインが提示されているが、対策の方法を列挙するにとどまり、セキュリティ対策のベストを策定する明確な基準はない。そこで、企業は好ましいと思われるセキュリティ対策を施しているが、従来にない新たなセキュリティ対策に関する情報が入手される毎に、その新たなセキュリティ対策を主観的に導入しているのが現状であり、自社がどのレベルのセキュリティ対策を講じているかの客観的な情報やバロメータ(尺度)は存在しない。
この点、前述した特許文献1によるセキュリティ対策状況の自己点検システムでは、予め設定されているセキュリティポリシーに適合しているかで判定をしているため、セキュリティ対策の客観的な尺度を提供するものではない。
本発明は、以上の点に鑑み、自社が導入しているセキュリティ対策が他社と比べてどの程度のレベルにあるのか、どの程度のコスト効率を実現しているのか、についての客観的な情報を提供することができる、セキュリティ対策評価方法及び装置を提供することを目的とする。
上記目的を達成するため、本発明のセキュリティ対策評価方法は、団体毎のコンピュータシステムがネットワークを介して接続されており、ネットワークに接続されたコンピュータによるセキュリティ対策評価方法であって、コンピュータが、団体毎のコンピュータシステムにおけるログ情報及び資産管理情報を収集する収集ステップと、収集ステップで集めたログ情報及び資産管理情報を特定のグループ毎に統計処理してグループ内での各団体の情報セキュリティに関する相対的な評価を行う評価ステップと、を含み、各団体がどの程度のセキュリティ対策を施しているかの指標を求めることを特徴とする。
上記目的を達成するために、本発明のセキュリティ対策評価装置は、複数の団体のコンピュータシステムからネットワークを経由してそれぞれログ情報及び資産管理情報を収集してセキュリティ対策のための相対評価を行うセキュリティ対策評価装置であって、ネットワークを経由して複数の団体のネットワークシステムと送受信を行う送受信部と、複数の団体のコンピュータシステムから送受信部及びネットワークを経由して収集したログ情報及び資産管理情報を蓄積する蓄積部と、蓄積部で蓄積されているログ情報及び資産管理情報について、ログ情報及び資産管理情報を構成する項目毎に数値化する数値化部と、数値化部で数値化した、ログ情報及び資産管理情報の項目毎の数値を、ある団体が属するグループで統計処理して相対的な評価を行う相対評価部と、を備えることを特徴とする。
本発明によれば、各団体に対し、例えばその業種間においてセキュリティレベルの相対的な位置を把握することができる指標を提示することができる。よって、セキュリティのリスクと対策コストとのバランスを図りつつ、将来のセキュリティ対策の方向性の指針を提供することができる。
以下、図面を参照しながら本発明の実施形態について詳細に説明する。
〔セキュリティ対策評価装置〕
図1は、本発明の実施形態に係るセキュリティ対策評価装置を組み込んだシステムを示す図である。同図には、セキュリティ対策評価装置10の機能ブロックも示している。
〔セキュリティ対策評価装置〕
図1は、本発明の実施形態に係るセキュリティ対策評価装置を組み込んだシステムを示す図である。同図には、セキュリティ対策評価装置10の機能ブロックも示している。
本発明の実施形態に係るセキュリティ対策評価装置10は、株式会社などの会社、一般社団法人、財団法人、官公庁などの各種の団体に設置されているコンピュータシステム1A,1B,1C,・・・とネットワーク2を経由して通信接続される。
コンピュータシステム1A,1B,1C,・・・は、パーソナルコンピュータなどの汎用計算機同士がLAN等により接続して構築されている手段であり、その手段に対しサーバ装置、各種プリンタ装置、その他各種の情報通信機器がLANなどで接続して構築されていてもよい。
ネットワーク2にはセキュリティ対策評価装置10と各コンピュータシステム1A,1B,1C,・・・との間を相互に接続するインターネット、イントラネットの各種通信回線が挙げられ、ネットワーク2はデジタル、アナログの何れの回線でもよく、ネットワーク2はメタル、光ファイバの何れの回線でもよい。ネットワーク2は、具体的にはTCP/IP等の所定のプロトコル環境下のインターネット接続を可能とする通信網である。
セキュリティ対策評価装置10は、例えばサーバ装置などの電子計算機で構成され、送受信部11と数値化部12と相対評価部13と記憶部14と蓄積部15とを備えている。それ以外の各部として例えば表示部や入力部を備えていてもよい。セキュリティ対策評価装置10は、後述するセキュリティ対策評価プログラムを汎用的な電子計算機に組み込みそのプログラムを実行することで製造される。セキュリティ対策評価装置10における各部の構成について以下詳細に説明する。
送受信部11はセキュリティ対策評価装置10をネットワーク2に接続する手段であり、送受信部11は各コンピュータシステム1A,1B,1C,・・・からネットワーク2を経由して送信されるログ情報及び資産管理情報(以下、適宜「収集情報」と呼ぶことにする。)S0を受信して記憶部14に蓄積する一方、相対評価部13で求めた評価の結果を各コンピュータシステム1A,1B,1C,・・・にネットワーク2を経由して送信する手段である。
セキュリティ対策評価装置10におけるログ情報及び資産管理情報S0の収集の仕方については、送受信部11が例えば予めログ収集ソフトウェア(ログ収集プログラムと呼んでもよい。)を各コンピュータシステム1A,1B,1C,・・・にネットワーク2を通じて提供しておき、各コンピュータシステム1A,1B,1Cから定期的に送られてくるログ情報及び資産管理情報を受信する態様であっても、逆に、定期的に又は不定期に若しくは単発的にセキュリティ対策評価装置10から各コンピュータシステム1A,1B,1C,・・・に対しログ情報及び資産管理情報S0の送信要求を送って、各コンピュータシステム1A,1B,1C,・・・にログ情報及び資産管理情報S0を送信するようにしても良い。
ここで、収集情報S0は一以上の項目からなる。図2に収集情報S0の構造の一例を示すように、運用プロファイル、運用モラル、テクニカルレベル、コンプライアンス、管理コスト及び異常操作検知の各大項目に区分される。
運用プロファイルの項目は、その団体のコンピュータシステムにおける運用実績を示す指標であり、例えば各コンピュータの稼動時間、コンピュータの稼動率、印刷枚数、インターネット使用時間、メール使用時間、インストールソフト数、ソフトウェアの利用率、省電力設定率等の対象ログからなっている。この項目は、PC導入の利用実態を実測データのレベルで確認し、IT投資効率を図る指標となる。
運用モラルの項目は、その団体のコンピュータシステムにおいて禁止行為が行われていないか否かを示す指標であり、例えば不正アプリケーションインストール数、不正アプリケーション起動数、禁止ウェブサイト閲覧数、禁止メール送信数、禁止デバイス使用数、その他禁止行為数等の対象ログからなっている。禁止されている行為が現実に行われている実態があればモラルが低いが、禁止行為を増加すると業務の効率性が低下する。そこで、この項目は、禁止行為とすべきか否かを他社と比較するための指標となる。
テクニカルレベルの項目は、所謂狭義の意味におけるセキュリティ対策の導入の程度を示す指標であり、ウイルスチェックソフト導入率、ウイルスチェックソフト稼働率、暗号化ソフト導入率、暗号化ソフト稼働率、認証システムソフト導入率、認証システムソフト稼働率、パッチの適用と適用率、不正接続検知システムソフト導入率、デバイス使用制限ソフト導入率、パスワード管理やID管理、バックシステム導入率、メール監視システム導入率等の対象ログからなっている。よって、この項目は、多くのセキュリティ対策ツールの中から何を導入すべきかについて、平均的な導入実態から自社の技術面での対策レベルを把握する指標となる。
コンプライアンスの項目は、組織・体制、セキュリティポリシーに基いたPDCA(Plan−Do-Check−Act)サイクルの実施状況、社員教育の実施状況、セキュリティ監査の実施状況等を示す指標であり、例えば、組織・体制、セキュリティポリシー、ポリシー教育、セキュリティ監査等からなる。
管理コストの項目は、セキュリティ対策に投入するコストを示す指標であり、例えばITへの投資総額、セキュリティ保守費用、外注費用、保守メンテナンス要員等の対象ログからなっている。よって、この項目は、自社が施しているセキュリティ対策のコストが本当に高いか、一般的には平均どれくらいのコストをかけられているか、予算化する際の目安となる。
異常操作検知の項目は、通常とは異なる各種状況から不正行為発生の危険度を示す指標であり、例えば出勤時刻平均、退社時刻平均、稼動時間平均、ウェブ閲覧時間平均、ダウンロード数平均、メール使用時間平均、添付ファイル送信平均、新規ドメイン送信平均、特殊アドレス送信平均、印刷枚数平均、起動アプリケーション数平均、操作ファイル数平均、休日出勤、アクティブウィンドウ数平均、外部デバイス使用数平均等の対象ログからなっている。よって、この項目は、異常行為の前兆の可能性等を示す指針となる。
数値化部12は、記憶部14に登録されている各団体の収集情報S0を読み出し、収集情報S0の各項目、詳細には運用プロファイル、運用モラル、テクニカルレベル、コンプライアンス、管理コスト及び異常操作検知の各大項目について、個々の対象ログや資産管理情報を数値化して絶対評価を行い、各項目における絶対評価値を算出する。その際、各項目の絶対評価値は、個々の収集情報の各絶対評価値の総和、平均値、中央値の何れか又はその組み合わせで算出される。以下各項目についての絶対評価値の算出を例示する。
運用プロファイルの項目については、登録されているコンピュータ稼動時間、コンピュータ稼動率(台数)及びコンピュータ一台一日当たりの印刷枚数、稼動時間に対するインターネット利用率及びメール使用率、インストールされているアプリケーション数及びその利用率並びに省電力設定されているコンピュータなどで数値化される。例えばコンピュータ稼働率は、監視対象となっているコンピュータの電源投入台数の率として求められる。この率は、一日当たりの稼働率を求める。インターネット利用率は、(ブラウザのアクティブ時間の合計)/(コンピュータの電源が投入されている時間)、として数値化され、この数値をコンピュータ一台あたりの平均利用率として求められる。メール使用率は、(メールのアクティブ時間の合計)/(コンピュータの電源が投入されている時間)として数値化され、この数値をコンピュータ一台あたりの平均利用率として求められる。インストールソフト数及びアプリケーション利用率についても同様に求めることができる。これらの値は一日単位である必要はなく、週単位でも、一ヶ月単位としても求めてもよい。
運用モラルの項目については、各対象ログにおける予めアラーム設定されている回数、所謂閾値から正常利用率として数値化される。つまり、アラームが生じないコンピュータの台数をコンピュータの総数で割って、正常率としてもよい。別の数値化として、アラーム数とアクティブウィンドウが切り替わった数、つまりウインドウ数との合計により合計操作数を求め、管理対象となるコンピュータの一台当たりの平均を求めて正常操作率として数値化してもよい。
テクニカルレベルの項目については、各対象ログにおける導入/未導入の率及び稼動/未稼動の率として数値化される。例えばウイルスチェックソフトについては、ウイルスチェックソフトが導入されているコンピュータの台数の割合、そのソフトの稼働率として求めることができる。バックアップについては、定期的なバックアップを実施している場合を100として、不定期ではあるがバックアップを実施している場合を50とし、個人任せになっている場合を0として数値化する。
コンプライアンスの項目については、組織・体制の確立の有無、セキュリティポリシーを策定し、PDCAサイクルが正しく実行されているか否か、社員教育の定期的な実施、セキュリテキ監査の適切な実施などについて数値化される。この項目については、ログ情報の収集により求められないため、ユーザがこのセキュリティ対策評価の利用者として会員登録する際又は定期的に会員情報を更新して、ユーザである各コンピュータシステムから、コンプライアンスの項目についての情報の提供を受けるようにする。この情報には、セキュリティポリシーを策定の有無、見直しの有無、ポリシー教育の実施の有無、実施の度合い、セキュリティ監査の実施の有無、度合いに応じて点数化する。
管理コストの項目については、対象ログにおけるコンピュータ一台当たりの年額及び人数として数値化される。
異常操作検知の項目については、各対象ログで絶対値を平均化して、平均値を中心とする誤差範囲内を正常操作としてみなし正常操作率として数値化される。例えば、出勤時間平均の項目であれば、コンピュータの電源投入時刻を一ヶ月蓄積し、算出当日の時刻との差分に応じて異常操作であるか否かとして数値化する。正常操作率の算出単位は、対象ログに応じて回、枚、率、分、秒、日の何れかとなる。つまり、指標数を予め設定しておき、不正操作が発生しうる危険度を偏差値で示すわけである。
数値化部12は、このようにして求めた各項目における数値を絶対評価値S1として記憶部14に登録する。よって、記憶部14には複数の団体のログ情報S0に基いてそれぞれ求められた絶対評価値S1が登録され、データベース化されることになる。記憶部14は、団体の名称、ログ情報S0、絶対評価値S1及び相対評価値S2を登録可能なようにデータ構造を有している。
相対評価部13は、記憶部14から所定の複数の団体のログ情報S0に関する絶対表価値S1を読み出して項目毎の数値に基いて標準偏差を求め、項目毎に標準偏差に基づいて、個々の団体のログ情報S0に対する偏差値を算出する。その際、ある団体の標準偏差、ついで偏差値を算出する際には、団体毎の種別、例えばその団体が金融業、製造業、情報産業など何れの産業に属するかの産業別、更にはその業務が窓口業務、営業業務、生産業務、開発業務などの何れかの業務別に区分けしてなされる。
相対評価部13は、各団体の項目毎の偏差値を相対評価値S2として蓄積部15に登録する。また、必要に応じて、送受信部11からネットワーク2を経由してその団体のコンピュータシステム1Aなどに送信する。その際、相対評価部13は、項目毎のデータチャートでビジュアル的に表示することができ、又はその統計処理した複数の団体内での順位を棒グラフで示して複数の団体内での順位として表示することができるよう出力データを作成する。これらの出力データは、相対評価値S2と共に蓄積部15に格納され、各コンピュータシステム1A,1B,1C,・・・からの各アクセスとログインなどの認証を経て自己のコンピュータシステム1A,1B,1C,・・から閲覧される。
〔セキュリティ対策評価プログラムとセキュリティ対策評価方法〕
本発明の実施形態に係るセキュリティ対策評価プログラムは、数値化ステップと、評価ステップと、必要に応じて蓄積ステップと、を含んでいる。
数値化ステップは、団体毎のコンピュータシステム1A,1B,1C,・・・におけるログ情報について、収集情報を構成する項目毎に数値化する処理である。
評価ステップは、収集情報を構成する項目毎に数値化した結果を所定の企業間で統計処理し、企業毎に相対的な評価を行う処理である。評価ステップでは、複数の団体間からの収集情報に基いて数値化ステップで求めた項目毎の数値を統計処理し、ある団体のセキュリティ対策に関する複数の団体間での順位を求めてもよいし、ある団体のセキュリティ対策に関する複数の団体間での偏差値を求めてもよい。
蓄積ステップは、評価ステップで得られた結果を蓄積部15に蓄積する。
評価ステップでは、ある団体の項目毎の相対的な評価の結果についてグラフを作成し、蓄積ステップでは、評価結果として作成したグラフのデータを蓄積部15に格納するようにしてもよい。
また、蓄積ステップの代わりに、ある団体のコンピュータシステム1A,1B,1C,・・・に送信する送信ステップとしてもよい。
本発明の実施形態に係るセキュリティ対策評価プログラムは、数値化ステップと、評価ステップと、必要に応じて蓄積ステップと、を含んでいる。
数値化ステップは、団体毎のコンピュータシステム1A,1B,1C,・・・におけるログ情報について、収集情報を構成する項目毎に数値化する処理である。
評価ステップは、収集情報を構成する項目毎に数値化した結果を所定の企業間で統計処理し、企業毎に相対的な評価を行う処理である。評価ステップでは、複数の団体間からの収集情報に基いて数値化ステップで求めた項目毎の数値を統計処理し、ある団体のセキュリティ対策に関する複数の団体間での順位を求めてもよいし、ある団体のセキュリティ対策に関する複数の団体間での偏差値を求めてもよい。
蓄積ステップは、評価ステップで得られた結果を蓄積部15に蓄積する。
評価ステップでは、ある団体の項目毎の相対的な評価の結果についてグラフを作成し、蓄積ステップでは、評価結果として作成したグラフのデータを蓄積部15に格納するようにしてもよい。
また、蓄積ステップの代わりに、ある団体のコンピュータシステム1A,1B,1C,・・・に送信する送信ステップとしてもよい。
本発明の実施形態に係るセキュリティ対策評価プログラムは、汎用の電子計算機内に格納され、そのプログラムが実行されるよう、コンピュータに読み取り可能となっている。以下、本発明の実施形態によるセキュリティ対策評価プログラムについて説明しながら、図1に示すセキュリティ対策評価装置10によるセキュリティ対策評価方法について詳細に説明する。図3は本発明の実施形態に係るセキュリティ対策評価プログラムを実行することによりなされる処理の流れ、つまり本発明の実施形態であるセキュリティ対策評価方法を示す図である。
ステップ1(STEP1)として、送受信部11がネットワーク2を経由して各コンピュータシステム1A,1B,1C,・・・からログ情報及び資産管理情報S0を逐次受信し記憶部14に蓄積する。これは前述したようにログ収集ソフトウェア、資産管理ソフトウェアなどの各種プログラムによりなされてもよい。
ステップ2(STEP2)として、数値化部12は、記憶部14から団体毎のログ情報及び資産管理情報S0を読み出して項目毎に数値化して絶対評価値S1を求めて記憶部14に登録する。
ステップ3(STEP3)として、数値化部12は、まだ数値化していない団体のログ情報及び資産管理情報があるまで、ステップ2(STEP2)に戻る一方、全て数値化した場合にはステップ4(STEP4)に移行する。
ステップ4(STEP4)として、相対評価部13は、記憶部14から所定の団体間、つまり特定のグループでの項目毎の絶対評価値S1を読み出して、項目毎に標準偏差を求め、各ユーザ600のログ情報700に対する絶対評価値S1の偏差値を演算する。
ステップ5(STEP5)として、相対評価部13は、ステップ4で求めた偏差値をその団体に関するセキュリティ対策評価情報の指標として蓄積部15に登録する。
ステップ6(STEP6)として、あるコンピュータシステム1A,1B,1C,・・・からアクセスがあると、そのコンピュータシステム1A,1B,1C,・・・のログイン等の認証に成功したことを条件として、そのコンピュータシステム1A,1B,1C,・・・に自己のセキュリテキ対策評価情報の指標を蓄積部15から出力する。
以上のように、各コンピュータシステム1A,1B,1C,・・・を所有または占有する団体は、自分がその業種においてどの程度のセキュリティレベルにあるのかの相対評価の指標を得ることができる。従って、団体は、セキュリティ対策のレベルについて概略的な位置付けを把握することができる。つまり、各団体は、相対評価値S2が50前後である場合には自己のセキュリティ対策がほぼ中堅のセキュリティレベルにあると把握でき、相対評価値S2が例えば60以上であればセキュリティレベルが高いと把握でき、相対評価値S2が例えば40以下であればセキュリティレベルが低いと把握できる。
本発明の実施形態によれば、各団体に対し、例えばその業種間においてセキュリティレベルの相対的な位置を把握することができる指標を提示することができる。よって、将来のセキュリティ対策の方向性の指針を提供することができる。
他の実施形態について説明する。
相対評価部13では、偏差値のみ計算するのではなく、その順位を求めて棒グラフなどのイメージデータを作成し、蓄積部15に蓄積してもよい。蓄積部15は、ネットワーク2からアクセス許可されたものに対し、相対評価部13で求めた各種データやイメージデータのうち、自己のデータについてのみ閲覧可能にしたり、自己以外のデータについては匿名表示したりするなどして他者の情報を閲覧可能にすることともできる。これらのデータは、その団体のコンピュータシステムに送信するようにしてもよい。
また、セキュリティ対策についての順位が求まるので、セキュリティ対策の番付として一般公衆又は特定の者に対してWebサイト上で公開しても良いし、メールマガジン等で特定の者に電子メールで送信してもよいし、その他の通信手段を用いて伝達してもよい。
さらに、各コンピュータシステム1A,1B,1C,・・・からログ情報及びITに関する資産管理情報がリアルタイムにネットワーク2を経由してセキュリティ対策評価装置10に送信されるように構成しておくことで、セュリティ対策評価装置10はログ情報及び資産管理情報を受信するたびに、そのログ情報及び資産管理情報を送信したコンピュータシステム1A,1B,1C,・・・が属するグループについてSTEP2〜STEP6を行っても良い。すると、リアルタイムでその団体が属するグループ内での相対評価が得られる。
相対評価部13では、偏差値のみ計算するのではなく、その順位を求めて棒グラフなどのイメージデータを作成し、蓄積部15に蓄積してもよい。蓄積部15は、ネットワーク2からアクセス許可されたものに対し、相対評価部13で求めた各種データやイメージデータのうち、自己のデータについてのみ閲覧可能にしたり、自己以外のデータについては匿名表示したりするなどして他者の情報を閲覧可能にすることともできる。これらのデータは、その団体のコンピュータシステムに送信するようにしてもよい。
また、セキュリティ対策についての順位が求まるので、セキュリティ対策の番付として一般公衆又は特定の者に対してWebサイト上で公開しても良いし、メールマガジン等で特定の者に電子メールで送信してもよいし、その他の通信手段を用いて伝達してもよい。
さらに、各コンピュータシステム1A,1B,1C,・・・からログ情報及びITに関する資産管理情報がリアルタイムにネットワーク2を経由してセキュリティ対策評価装置10に送信されるように構成しておくことで、セュリティ対策評価装置10はログ情報及び資産管理情報を受信するたびに、そのログ情報及び資産管理情報を送信したコンピュータシステム1A,1B,1C,・・・が属するグループについてSTEP2〜STEP6を行っても良い。すると、リアルタイムでその団体が属するグループ内での相対評価が得られる。
本発明の実施形態によれば、ある団体は自分のセキュリティ対策に関する情報を公にすることなく、その団体でのセキュリティ対策の相対的な評価を得ることができる。また、セキュリティ対策評価装置10を運営する企業は、複数の団体間のセキュリティ対策評価のみ匿名などにより公にすることにより、セキュリティに関する団体間の格付けを行うことができる。
1A、1B、1C:コンピュータシステム
2:ネットワーク
10:セキュリティ対策評価装置
11:送受信部
12:数値化部
13:相対評価部
14:記憶部
15:蓄積部
2:ネットワーク
10:セキュリティ対策評価装置
11:送受信部
12:数値化部
13:相対評価部
14:記憶部
15:蓄積部
Claims (7)
- 団体毎のコンピュータシステムがネットワークを介して接続されており、該ネットワークに接続されたコンピュータによるセキュリティ対策評価方法であって、
上記コンピュータが、上記団体毎のコンピュータシステムにおけるログ情報及び資産管理情報を収集する収集ステップと、該収集ステップで集めたログ情報及び資産管理情報を特定のグループ毎に統計処理してグループ内での各団体の情報セキュリティに関する相対的な評価を行う評価ステップと、を含み、各団体がどの程度のセキュリティ対策を施しているかの指標を求めることを特徴とする、セキュリティ対策評価方法。 - 前記コンピュータが団体毎のコンピュータシステムにおけるログ情報及び資産管理情報について項目毎に数値化する数値化するステップを含むことを特徴とする、請求項1に記載のセキュリティ対策評価方法。
- 前記評価ステップは、グループ毎に各団体からのログ情報及び資産管理情報に基いて前記数値化ステップで求めた項目毎の数値を統計処理し、ある団体のセキュリティ対策に関する複数の団体間での順位を求めることを特徴とする、請求項2に記載のセキュリティ対策評価方法。
- 前記評価ステップは、グループ毎に各団体からのログ情報及び資産管理情報に基いて前記数値化ステップで求めた項目毎の数値を統計処理し、ある団体のセキュリティ対策に関する複数の団体間での偏差値を求めることを特徴とする、請求項2に記載のセキュリティ対策評価方法。
- さらに、前記評価ステップで求めた結果を評価結果として前記複数のコンピュータシステムから閲覧可能に蓄積する蓄積ステップを含んでいることを特徴とする、請求項1に記載のセキュリティ対策評価方法。
- 前記評価ステップでは、ある団体の項目毎の相対的な評価の結果についてグラフを作成し、
前記蓄積ステップでは、前記評価結果として作成したグラフのデータを蓄積することを特徴とする、請求項5に記載のセキュリティ対策評価方法。 - 複数の団体のコンピュータシステムからネットワークを経由してそれぞれログ情報及び資産管理情報を収集してセキュリティ対策のための相対評価を行うセキュリティ対策評価装置であって、
上記ネットワークを経由して上記複数の団体のネットワークシステムと送受信を行う送受信部と、
上記複数の団体のコンピュータシステムから上記送受信部及び上記ネットワークを経由して収集したログ情報及び資産管理情報を蓄積する記憶部と、
上記記憶部で蓄積されているログ情報及び資産管理情報について、該ログ情報及び資産管理情報を構成する項目毎に数値化する数値化部と、
上記数値化部で数値化した、ログ情報及び資産管理情報の項目毎の数値を、ある団体が属するグループで統計処理して相対的な評価を行う相対評価部と、
を備える、セキュリティ対策評価装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009116009A JP5352879B2 (ja) | 2009-05-12 | 2009-05-12 | セキュリティ対策評価方法及び装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009116009A JP5352879B2 (ja) | 2009-05-12 | 2009-05-12 | セキュリティ対策評価方法及び装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010266966A true JP2010266966A (ja) | 2010-11-25 |
| JP5352879B2 JP5352879B2 (ja) | 2013-11-27 |
Family
ID=43363912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009116009A Active JP5352879B2 (ja) | 2009-05-12 | 2009-05-12 | セキュリティ対策評価方法及び装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5352879B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016209537A1 (en) * | 2015-06-26 | 2016-12-29 | Mcafee, Inc. | Peer-to-peer group vigilance |
| JP2019070912A (ja) * | 2017-10-06 | 2019-05-09 | 株式会社野村総合研究所 | セキュリティ評価システムおよびセキュリティ評価方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003271832A (ja) * | 2002-03-14 | 2003-09-26 | Fujitsu Ltd | 電子商取引方法および電子商取引装置 |
| JP2005234840A (ja) * | 2004-02-19 | 2005-09-02 | Nec Micro Systems Ltd | リスク評価方法及びセキュリティ管理策の選定支援方法およびプログラム |
| JP2008009819A (ja) * | 2006-06-30 | 2008-01-17 | Uchida Yoko Co Ltd | セキュリティ診断システム |
| JP2008112284A (ja) * | 2006-10-30 | 2008-05-15 | Fujitsu Ltd | 資源管理方法、資源管理システム、およびコンピュータプログラム |
| JP2009048317A (ja) * | 2007-08-16 | 2009-03-05 | Konica Minolta Holdings Inc | セキュリティ評価方法、セキュリティ評価装置 |
-
2009
- 2009-05-12 JP JP2009116009A patent/JP5352879B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003271832A (ja) * | 2002-03-14 | 2003-09-26 | Fujitsu Ltd | 電子商取引方法および電子商取引装置 |
| JP2005234840A (ja) * | 2004-02-19 | 2005-09-02 | Nec Micro Systems Ltd | リスク評価方法及びセキュリティ管理策の選定支援方法およびプログラム |
| JP2008009819A (ja) * | 2006-06-30 | 2008-01-17 | Uchida Yoko Co Ltd | セキュリティ診断システム |
| JP2008112284A (ja) * | 2006-10-30 | 2008-05-15 | Fujitsu Ltd | 資源管理方法、資源管理システム、およびコンピュータプログラム |
| JP2009048317A (ja) * | 2007-08-16 | 2009-03-05 | Konica Minolta Holdings Inc | セキュリティ評価方法、セキュリティ評価装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016209537A1 (en) * | 2015-06-26 | 2016-12-29 | Mcafee, Inc. | Peer-to-peer group vigilance |
| US10027717B2 (en) | 2015-06-26 | 2018-07-17 | Mcafee, Llc | Peer-to-peer group vigilance |
| JP2019070912A (ja) * | 2017-10-06 | 2019-05-09 | 株式会社野村総合研究所 | セキュリティ評価システムおよびセキュリティ評価方法 |
| JP7026475B2 (ja) | 2017-10-06 | 2022-02-28 | 株式会社野村総合研究所 | セキュリティ評価システムおよびセキュリティ評価方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5352879B2 (ja) | 2013-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Pandey et al. | Cyber security risks in globalized supply chains: conceptual framework | |
| Farahmand et al. | A management perspective on risk of security threats to information systems | |
| US10021138B2 (en) | Policy/rule engine, multi-compliance framework and risk remediation | |
| US10019677B2 (en) | Active policy enforcement | |
| Yazar | A qualitative risk analysis and management tool–CRAMM | |
| US8769412B2 (en) | Method and apparatus for risk visualization and remediation | |
| US20140172495A1 (en) | System and method for automated brand protection | |
| CN117769706A (zh) | 在网络中自动检测和解析网络安全的网络风险治理系统及方法 | |
| JP2006504178A (ja) | Itインフラにおける総合侵害事故対応システムおよびその動作方法 | |
| KR20100002592A (ko) | 정보보안 감사방법, 이를 수행하기 위한 프로그램이 저장된컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한시스템 | |
| Sardjono et al. | Information systems risk analysis using octave allegro method based at deutsche bank | |
| Alqudhaibi et al. | Cybersecurity 4.0: safeguarding trust and production in the digital food industry era | |
| Diesch et al. | SoK: linking information security metrics to management success factors | |
| JP5352879B2 (ja) | セキュリティ対策評価方法及び装置 | |
| Pak et al. | Asset priority risk assessment using hidden markov models | |
| Kuypers et al. | Designing organizations for cyber security resilience | |
| Tejay et al. | Reducing cyber harassment through de jure standards: a study on the lack of the information security management standard adoption in the USA | |
| Fung et al. | Electronic information security documentation | |
| Xiong et al. | An empirical analysis of vulnerability information disclosure impact on patch R&D of software vendors | |
| Mamuaja et al. | SIOLGA Information Technology Risk Management Analysis Using ISO 31000 | |
| US20240184906A1 (en) | System and method for multifactor privacy rating | |
| Wilson et al. | Failures | |
| Välja et al. | Bridging the gap between business and technology in strategic decision-making for cyber security management | |
| KR20040062735A (ko) | 정보시스템 진단방법 | |
| Rumba et al. | Risk Management Information Technology Based on ISO 31000: 2018 at Institute of Philosophy and Creative Technology, Ledalero |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120419 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130516 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130709 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130807 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5352879 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |