JP2011192105A - セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 - Google Patents

セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 Download PDF

Info

Publication number
JP2011192105A
JP2011192105A JP2010058665A JP2010058665A JP2011192105A JP 2011192105 A JP2011192105 A JP 2011192105A JP 2010058665 A JP2010058665 A JP 2010058665A JP 2010058665 A JP2010058665 A JP 2010058665A JP 2011192105 A JP2011192105 A JP 2011192105A
Authority
JP
Japan
Prior art keywords
threat
selection
information
security
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010058665A
Other languages
English (en)
Other versions
JP5366864B2 (ja
Inventor
Shigeru Iida
茂 飯田
Koshi Fukuda
貢士 福田
Toru Takeso
徹 武曽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Mitsubishi Electric Information Systems Corp
Mitsubishi Electric Information Technology Corp
Original Assignee
Mitsubishi Electric Corp
Mitsubishi Electric Information Systems Corp
Mitsubishi Electric Information Technology Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Mitsubishi Electric Information Systems Corp, Mitsubishi Electric Information Technology Corp filed Critical Mitsubishi Electric Corp
Priority to JP2010058665A priority Critical patent/JP5366864B2/ja
Publication of JP2011192105A publication Critical patent/JP2011192105A/ja
Application granted granted Critical
Publication of JP5366864B2 publication Critical patent/JP5366864B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】多重防御及びリスクコントロールの考え方に基づいた効果的なセキュリティ対策基準の作成を支援する。
【解決手段】要素選定部122は、選定基準テーブル112から、特定の選定基準(例えば、脅威のリスクの大きさが「大」である場合の選定基準)に対応する要素の順位(例えば、脅威の経路にて脅威の発生源に近い順に1番目と2番目)を抽出する。そして、防御モデルテーブル111から、特定の脅威(例えば、ウィルス感染)に対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素(例えば、ネットワークとサーバ)を選定する。セキュリティ管理策選定部123は、セキュリティ管理策−防御モデル対応テーブル113から、当該脅威と、選定された要素との組み合わせに対応するセキュリティ管理策(例えば、ウィルス対策ゲートウェイの設置やウィルス対策ソフトウェアの導入)を選定する。
【選択図】図1

Description

本発明は、セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法に関するものである。
組織におけるセキュリティ対策を網羅的に洗い出して、組織のセキュリティポリシーやセキュリティ要求に適合した妥当な対策を選択して、基準を作成するには専門的な知識を必要とする。
専門的な知識を必要とすることなく、情報セキュリティリスクを網羅的に分析し、その対策を提示する方法やシステムはいくつか提案されている(例えば、特許文献1〜4参照)。
特許文献1で提案されている方法では、セキュリティ脅威による被害が発生するまでの不正アクセスの手順をモデル化した、セキュリティ・イベント遷移モデルを利用して、情報セキュリティリスクを分析する。セキュリティ・イベント遷移モデルは、何も起きていない状態から被害が発生した状態までの経過を、不正アクセス行為による状態ノードの遷移として表したもので、不正アクセス行為を脅威として定義している。対象システムの構成機器、業務種別、情報種別等の情報からシステムに存在する脅威を抽出し、さらに脅威と対策の対応表から対策を抽出して、コスト重視、安全性重視、効果重視、閾値方式等の指定された対策選択条件に基づいて最適な対策の組み合わせを選択する。
特開2009−110177号公報 特開2006−350708号公報 特開2005−234840号公報 特開2004−259197号公報
上記のような従来の方法では、対策に要する費用と、対策による攻撃成功確率の改善量を基に対策の組み合わせを決定しており、結果としてネットワーク、サーバといったシステム構成要素のある特定の部分への対策に集中してしまう可能性があり、その部分の対策が破られたときのリスクが考慮できないという課題があった。
また、システム構成要素等の物理的な要素を考慮していないため、インシデント対応やセキュリティ要求の変化に対応して対策強化をしようとしても、セキュリティ対策を考える上で重要な、多重防御の考え方に基づいた効果的な対策実施ができないという課題があった。
本発明は、例えば、多重防御及びリスクコントロールの考え方に基づいた効果的なセキュリティ対策基準の作成を支援することを目的とする。
本発明の一の態様に係るセキュリティ対策基準作成支援システムは、
情報資産を複数の脅威から守るための対策である複数のセキュリティ管理策のそれぞれに対して、セキュリティ管理策によって対処される脅威と、当該脅威が情報資産に到達するまでの経路を構成する複数の要素のうち、当該セキュリティ管理策の実施対象となる要素とを定義するセキュリティ管理策情報を記憶装置に記憶するセキュリティ管理策情報記憶部と、
前記複数の脅威のそれぞれに対して、脅威の経路を構成する複数の要素と、当該複数の要素が当該脅威の経路を構成する順序とを定義する脅威情報を記憶装置に記憶する脅威情報記憶部と、
脅威の経路を構成する複数の要素のうち、セキュリティ管理策の実施対象とする要素を選定するための基準である複数の選定基準のそれぞれに対して、選定基準によって選定される要素を、脅威の経路における当該要素の順位で指定する選定基準情報を記憶装置に記憶する選定基準情報記憶部と、
脅威及び選定基準を特定する操作を入力装置により受け付ける入力部と、
前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部への操作で特定された選定基準に対応する要素の順位を処理装置により抽出し、前記脅威情報記憶部で記憶された脅威情報から、前記入力部への操作で特定された脅威に対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素を処理装置により選定する要素選定部と、
前記セキュリティ管理策情報記憶部で記憶されたセキュリティ管理策情報から、前記入力部への操作で特定された脅威と前記要素選定部で選定された要素との組み合わせに対応するセキュリティ管理策を処理装置により選定するセキュリティ管理策選定部とを備えることを特徴とする。
前記選定基準情報は、前記複数の選定基準のそれぞれに対して、脅威のリスクの大きさを段階評価したリスクレベルを定義し、選定基準によって選定される要素として、脅威の経路にて脅威の発生源に近い順に、定義したリスクレベルの高さに応じた数の要素を指定する情報であり、
前記入力部は、選定基準を特定する操作として、脅威のリスクレベルを示す情報の入力を入力装置により受け付け、
前記要素選定部は、前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部へ入力された情報が示すリスクレベルに対応する選定基準を処理装置により特定し、前記選定基準情報記憶部で記憶された選定基準情報から、特定した選定基準に対応する要素の順位を処理装置により抽出することを特徴とする。
前記選定基準情報は、前記複数の選定基準のそれぞれに対して、内部脅威のリスクの大きさを段階評価したリスクレベルを定義し、選定基準によって選定される要素として、脅威の経路にて内部脅威の発生源に該当する要素から順に、定義したリスクレベルの高さに応じた数の要素を指定する情報であり、
前記入力部は、脅威を特定する操作として、内部脅威を特定する操作を受け付けるとともに、選定基準を特定する操作として、内部脅威のリスクレベルを示す情報の入力を入力装置により受け付け、
前記要素選定部は、前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部へ入力された情報が示すリスクレベルに対応する選定基準を処理装置により特定し、前記選定基準情報記憶部で記憶された選定基準情報から、特定した選定基準に対応する要素の順位を処理装置により抽出し、前記脅威情報記憶部で記憶された脅威情報から、前記入力部への操作で特定された内部脅威に対応する要素であって、当該内部脅威の経路における順位が、抽出した順位と一致する要素を処理装置により選定することを特徴とする。
前記脅威情報は、前記複数の脅威のそれぞれに対して、さらに、脅威に曝される情報資産を定義する情報であり、
前記選定基準情報は、前記複数の選定基準のそれぞれに対して、脅威による情報資産の被害の大きさを段階評価した被害レベルを定義し、選定基準によって選定される要素として、脅威の経路にて情報資産に該当する要素から順に、定義した被害レベルの高さに応じた数の要素を指定する情報であり、
前記入力部は、さらに、情報資産を特定する操作を入力装置により受け付けるとともに、選定基準を特定する操作として、情報資産の被害レベルを示す情報の入力を入力装置により受け付け、
前記要素選定部は、前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部へ入力された情報が示す被害レベルに対応する選定基準を処理装置により特定し、前記選定基準情報記憶部で記憶された選定基準情報から、特定した選定基準に対応する要素の順位を処理装置により抽出し、前記脅威情報記憶部で記憶された脅威情報から、前記入力部への操作で特定された情報資産と前記入力部への操作で特定された脅威との組み合わせに対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素を処理装置により選定することを特徴とする。
前記選定基準情報は、前記複数の選定基準のそれぞれに対して、さらに、実施すべきセキュリティ管理策の基準である実施基準を定義する情報であり、
前記入力部は、さらに、前記セキュリティ管理策選定部で選定されたセキュリティ管理策から、任意のセキュリティ管理策を選択する操作を入力装置により受け付け、
前記セキュリティ対策基準作成支援システムは、さらに、
前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部への操作で特定された選定基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記入力部への操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定するセキュリティ管理策判定部と、
前記複数の脅威を示す項目と前記複数の要素を示す項目とのうち、一方の項目を縦軸に配置し、他方の項目を横軸に配置し、縦軸及び横軸で特定される欄ごとに、縦軸及び横軸で示された脅威と要素との組み合わせに対応するセキュリティ管理策について前記セキュリティ管理策判定部で判定された結果を表示する全体マップを出力装置により出力する出力部とを備えることを特徴とする。
前記入力部は、さらに、変更の候補とする選定基準を候補基準として特定する操作を入力装置により受け付け、
前記セキュリティ管理策判定部は、前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部への操作で特定された候補基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記入力部への操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定することを特徴とする。
前記複数の要素は、要素として、情報資産を含むほか、情報資産の利用者と情報資産の管理者とネットワークと設備と組織との少なくともいずれかを含むことを特徴とする。
本発明の一の態様に係るプログラムは、
情報資産を複数の脅威から守るための対策である複数のセキュリティ管理策のそれぞれに対して、セキュリティ管理策によって対処される脅威と、当該脅威が情報資産に到達するまでの経路を構成する複数の要素のうち、当該セキュリティ管理策の実施対象となる要素とを定義するセキュリティ管理策情報と、
前記複数の脅威のそれぞれに対して、脅威の経路を構成する複数の要素と、当該複数の要素が当該脅威の経路を構成する順序とを定義する脅威情報と、
脅威の経路を構成する複数の要素のうち、セキュリティ管理策の実施対象とする要素を選定するための基準である複数の選定基準のそれぞれに対して、選定基準によって選定される要素を、脅威の経路における当該要素の順位で指定する選定基準情報とを記憶装置に記憶するデータベースにアクセスするプログラムであって、
脅威及び選定基準を特定する操作を入力装置により受け付ける入力処理と、
前記データベースで記憶された選定基準情報から、前記入力処理への操作で特定された選定基準に対応する要素の順位を処理装置により抽出し、前記データベースで記憶された脅威情報から、前記入力処理への操作で特定された脅威に対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素を処理装置により選定する要素選定処理と、
前記データベースで記憶されたセキュリティ管理策情報から、前記入力処理への操作で特定された脅威と前記要素選定処理で選定された要素との組み合わせに対応するセキュリティ管理策を処理装置により選定するセキュリティ管理策選定処理とをコンピュータに実行させることを特徴とする。
前記選定基準情報は、前記複数の選定基準のそれぞれに対して、さらに、実施すべきセキュリティ管理策の基準である実施基準を定義する情報であり、
前記入力処理は、さらに、前記セキュリティ管理策選定処理で選定されたセキュリティ管理策から、任意のセキュリティ管理策を選択する操作を入力装置により受け付け、
前記プログラムは、さらに、
前記データベースで記憶された選定基準情報から、前記入力処理への操作で特定された選定基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記入力処理への操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定するセキュリティ管理策判定処理と、
前記複数の脅威を示す項目と前記複数の要素を示す項目とのうち、一方の項目を縦軸に配置し、他方の項目を横軸に配置し、縦軸及び横軸で特定される欄ごとに、縦軸及び横軸で示された脅威と要素との組み合わせに対応するセキュリティ管理策について前記セキュリティ管理策判定処理で判定された結果を表示する全体マップを出力装置により出力する出力処理とをコンピュータに実行させることを特徴とする。
前記入力処理は、さらに、変更の候補とする選定基準を候補基準として特定する操作を入力装置により受け付け、
前記セキュリティ管理策判定処理は、前記データベースで記憶された選定基準情報から、前記入力処理への操作で特定された候補基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記入力処理への操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定することを特徴とする。
本発明の一の態様に係るセキュリティ対策基準作成支援方法は、
情報資産を複数の脅威から守るための対策である複数のセキュリティ管理策のそれぞれに対して、セキュリティ管理策によって対処される脅威と、当該脅威が情報資産に到達するまでの経路を構成する複数の要素のうち、当該セキュリティ管理策の実施対象となる要素とを定義するセキュリティ管理策情報と、
前記複数の脅威のそれぞれに対して、脅威の経路を構成する複数の要素と、当該複数の要素が当該脅威の経路を構成する順序とを定義する脅威情報と、
脅威の経路を構成する複数の要素のうち、セキュリティ管理策の実施対象とする要素を選定するための基準である複数の選定基準のそれぞれに対して、選定基準によって選定される要素を、脅威の経路における当該要素の順位で指定する選定基準情報とを記憶装置に記憶するデータベースを利用するセキュリティ対策基準作成支援であって、
コンピュータが、脅威及び選定基準を特定する操作を入力装置により受け付け、
コンピュータが、前記データベースで記憶された選定基準情報から、前記操作で特定された選定基準に対応する要素の順位を処理装置により抽出し、前記データベースで記憶された脅威情報から、前記操作で特定された脅威に対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素を処理装置により選定し、
コンピュータが、前記データベースで記憶されたセキュリティ管理策情報から、前記操作で特定された脅威と、選定した要素との組み合わせに対応するセキュリティ管理策を処理装置により選定することを特徴とする。
前記選定基準情報は、前記複数の選定基準のそれぞれに対して、さらに、実施すべきセキュリティ管理策の基準である実施基準を定義する情報であり、
コンピュータが、さらに、選定したセキュリティ管理策から、任意のセキュリティ管理策を選択する操作を入力装置により受け付け、
コンピュータが、前記データベースで記憶された選定基準情報から、前記操作で特定された選定基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定し、
コンピュータが、前記複数の脅威を示す項目と前記複数の要素を示す項目とのうち、一方の項目を縦軸に配置し、他方の項目を横軸に配置し、縦軸及び横軸で特定される欄ごとに、縦軸及び横軸で示された脅威と要素との組み合わせに対応するセキュリティ管理策について、判定した結果を表示する全体マップを出力装置により出力することを特徴とする。
コンピュータが、さらに、変更の候補とする選定基準を候補基準として特定する操作を入力装置により受け付け、
コンピュータが、前記データベースで記憶された選定基準情報から、前記操作で特定された候補基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定することを特徴とする。
本発明の一の態様において、セキュリティ対策基準作成支援システムは、選定基準情報から、特定の選定基準(例えば、脅威のリスクの大きさが「大」である場合の選定基準)に対応する要素の順位(例えば、脅威の経路にて脅威の発生源に近い順に1番目と2番目)を抽出する。セキュリティ対策基準作成支援システムは、脅威情報から、特定の脅威(例えば、ウィルス感染)に対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素(例えば、ネットワークとサーバ)を選定する。そして、セキュリティ対策基準作成支援システムは、セキュリティ管理策情報から、当該脅威と、選定した要素との組み合わせに対応するセキュリティ管理策(例えば、ウィルス対策ゲートウェイの設置やウィルス対策ソフトウェアの導入)を選定する。このようにして、本発明の一の態様によれば、多重防御及びリスクコントロールの考え方に基づいた効果的なセキュリティ対策基準の作成を支援することが可能となる。
実施の形態1に係るセキュリティ対策基準作成支援システムの構成を示すブロック図である。 実施の形態1に係る防御モデルの例を示す図である。 実施の形態1に係る防御モデルの例を示す図である。 実施の形態1に係るセキュリティ対策基準作成支援システムのハードウェア構成の一例を示す図である。 実施の形態1に係る防御モデルテーブルの例を示す図である。 実施の形態1に係る選定基準テーブルの例を示す図である。 実施の形態1に係るセキュリティ管理策−防御モデル対応テーブルの例を示す図である。 実施の形態1に係るセキュリティ管理策−防御モデル対応テーブルの例を示す図である。 実施の形態1に係るセキュリティ対策基準作成支援システムの動作を示すフローチャートである。 実施の形態1に係るセキュリティ対策基準作成支援システムの動作を示すフローチャートである。 実施の形態1に係る防御モデル選定画面の例を示す図である。 実施の形態1に係るセキュリティ対策基準作成支援システムの動作を示すフローチャートである。 実施の形態1に係る防御ドメイン選定画面の例を示す図である。 実施の形態1に係る防御ドメイン選定画面の例を示す図である。 実施の形態1に係るセキュリティ管理策一覧画面の例を示す図である。 実施の形態1に係るセキュリティ管理策現状入力画面の例を示す図である。 実施の形態1に係るセキュリティ管理策全体マップの例を示す図である。 実施の形態1に係るセキュリティ管理策選定画面の例を示す図である。 実施の形態2に係るセキュリティ対策基準作成支援システムの構成を示すブロック図である。 実施の形態2に係るセキュリティ対策基準作成支援システムの動作を示すフローチャートである。 実施の形態2に係るセキュリティ対策基準作成支援システムの動作を示すフローチャートである。 実施の形態2に係るセキュリティ対策基準作成支援システムの動作を示すフローチャートである。 実施の形態3に係るセキュリティ対策基準作成支援システムの構成を示すブロック図である。 実施の形態3に係るセキュリティ対策基準作成支援システムの動作を示すフローチャートである。
以下、本発明の実施の形態について、図を用いて説明する。
実施の形態1.
図1は、本実施の形態に係るセキュリティ対策基準作成支援システム100の構成を示すブロック図である。
セキュリティ対策基準作成支援システム100は、組織において、網羅的で妥当性のあるセキュリティ対策基準作成を支援するシステムである。
組織のセキュリティ対策基準を作成する場合、組織のセキュリティ要求を基に、ISO/IEC27002等のセキュリティ管理策集からセキュリティ管理策を選択して決めているが、選択の基準等は示されておらず、専門的な知識が必要である。また、作成したセキュリティ対策基準が網羅的で、組織にとって妥当なものなのかがわからない。なお、セキュリティ管理策(単に「管理策」あるいは「対策」ともいう)とは、情報資産(単に「資産」ともいう)を脅威(「セキュリティ脅威」ともいう)から守るための対策のことである。
ウィルス感染や情報漏洩等のセキュリティ脅威に対する対策は、脅威の攻撃パターン(「攻撃方法」ともいう)によって、防御可能な箇所、防御すべき箇所、防御のための対策が異なる。本実施の形態では、組織において想定される攻撃パターンを選択することにより、その攻撃パターンに対する防御モデルを選定する。防御モデルとは、想定する脅威の攻撃から情報資産をどのドメイン(対策を施す箇所)で防御するかを表したモデルのことである。防御モデルの例を図2に示す。
図2に示した防御モデル1は、ウィルス感染の攻撃パターン1に対して、ネットワークとサーバ、端末の防御ドメインで防御することを表している。脅威源(ウィルス感染という脅威の発生源)は外部にあり、このような脅威源は外部脅威と呼ばれる。組織のセキュリティ要求によっては、全ての防御ドメインで対策を実施する必要はなく、例えば最も重要な「守るべき資産」のドメイン(この例では、サーバ、端末)でのみ対策を実施することも考えられる。あるいは、セキュリティ対策の強度を上げるために、多重防御の考え方から「脅威の入口」にあたるドメイン(この例では、ネットワーク)でも対策を実施することも考えられる。
防御モデルの他の例を図3に示す。
図3に示した防御モデル2は、ウィルス感染の攻撃パターン2に対して、防御モデル1と同様に、ネットワークとサーバ、端末の防御ドメインで防御することを表している。脅威源は内部のサーバ、端末であり、このような脅威源は内部脅威と呼ばれる。前述したように、組織のセキュリティ要求によっては、全ての防御ドメインで対策を実施する必要はなく、例えば内部脅威のあるドメイン(この例では、サーバ、端末)でのみ対策を実施することも考えられる。あるいは、セキュリティ対策の強度を上げるために、多重防御の考え方から「脅威の媒介」にあたるドメイン(この例では、ネットワーク)でも対策を実施することも考えられる。
図3に示した防御モデル3は、ウィルス感染の攻撃パターン3に対して、(サーバ、端末の)管理者、(端末の)利用者とサーバ、端末の防御ドメインで防御することを表している。防御モデル1と同様に、脅威源は外部脅威である。前述したように、全ての防御ドメインで対策を実施することも、一部の防御ドメインのみで対策を実施することも考えられる。
このように、想定されるセキュリティ脅威の攻撃パターンを全て検討することによりセキュリティ対策基準の網羅性を確保し、また防御モデルに定義された防御ドメイン(対策箇所、防御可能要素)から、対策が必要なドメインを選択することにより組織により適合した妥当性のあるセキュリティ対策基準を作成することができる。
図1において、セキュリティ対策基準作成支援システム100は、データベース110、入力部121、要素選定部122、セキュリティ管理策選定部123、セキュリティ管理策判定部124、出力部125、セキュリティ対策基準保存部126を備える。また、セキュリティ対策基準作成支援システム100は、メモリ130、HDD140(Hard・Disk・Drive)といった記憶装置のほか、不図示の処理装置、入力装置、出力装置等のハードウェアを備える。ハードウェアはセキュリティ対策基準作成支援システム100の各部によって利用される。例えば、処理装置は、セキュリティ対策基準作成支援システム100の各部でデータや情報の演算、加工、読み取り、書き込み等を行うために利用される。記憶装置は、そのデータや情報を記憶するために利用される。また、入力装置は、そのデータや情報を入力するために、出力装置は、そのデータや情報を出力するために利用される。
データベース110は、防御モデルテーブル111(脅威情報記憶部の一例)、選定基準テーブル112(選定基準情報記憶部の一例)、セキュリティ管理策−防御モデル対応テーブル113(セキュリティ管理策情報記憶部の一例)を有する。なお、防御モデルテーブル111、選定基準テーブル112、セキュリティ管理策−防御モデル対応テーブル113は、それぞれ、1つのテーブルで実装してもよいし、正規化して複数のテーブルで実装してもよい。
防御モデルテーブル111は、セキュリティ脅威の攻撃パターンと、その攻撃に対応して、システムや業務の構成要素のどの部分で防御可能であるかを示した防御モデルを格納したテーブルである。防御モデルテーブル111では、例えば、図2に示した防御モデル1が格納されるレコードに、ウィルス感染の攻撃パターン1に対して、ネットワークとサーバ、端末の防御ドメインで防御可能であること等が記録される。防御モデルテーブル111には、セキュリティ脅威の変化や、組織のセキュリティポリシーの変更等を反映するために、新たな攻撃パターンと防御モデルを追加することが可能である。
選定基準テーブル112は、セキュリティ脅威の攻撃パターンに対して、リスク等を規定する基準と、リスクの大きさ等に応じて対策を実施すべき防御ドメインを判定するための基準、及び、防御ドメインで選定された管理策が十分かどうかを判定する基準を定義したテーブルである。選定基準テーブル112では、例えば、セキュリティ脅威の攻撃パターンのリスクが「大」である場合の基準が格納されるレコードに、どのようにリスクが「大」であると判定するか、どのような防御ドメインに対策を実施すべきか、及び、どのような管理策を実施すべきかが記録される。
セキュリティ管理策−防御モデル対応テーブル113は、防御モデルテーブル111に定義された、各防御ドメイン(防御可能なシステムや業務の構成要素)に対して、実施すべきセキュリティ管理策を格納したテーブルである。セキュリティ管理策−防御モデル対応テーブル113では、例えば、ウィルス感染から情報資産をネットワークで防御するための対策が格納されるレコードに、該当するセキュリティ管理策の具体的な内容等が記録される。セキュリティ管理策−防御モデル対応テーブル113には、セキュリティ脅威の変化や、業界基準・規格類の改訂等を反映するために、新たなセキュリティ管理策を追加することが可能である。
入力部121は、ユーザから、情報の入力、選択等の操作を入力装置により受け付ける。出力部125は、ユーザに対して、情報を出力装置により出力する。
要素選定部122は、防御モデル選定機能、防御ドメイン選定機能を有する。以下、各機能について説明する。
防御モデル選定機能:要素選定部122は、あるセキュリティ脅威に対して、想定される攻撃パターンを防御モデルテーブル111から読み出して出力部125により表示する。ユーザは、組織で想定される攻撃パターンに対するリスクを入力部121により入力する。要素選定部122は、入力されたリスクの大きさに応じて対応すべき攻撃パターンを自動判定し、選定した攻撃パターンに対応する防御モデルを出力部125により表示する。ユーザは、選定された防御モデルの表示を見て、最終的に防御モデルを入力部121により選定する。なお、ユーザによる選定操作を省いて、要素選定部122が防御モデルを自動的に選定するだけにしてもよい。要素選定部122は、最終的に選定された防御モデルを示す防御モデル選定情報131をメモリ130に記憶する。
防御ドメイン選定機能:要素選定部122は、防御モデル選定機能で選定された防御モデルごとに定義された複数の防御ドメインを防御モデルテーブル111から読み出して出力部125により表示する。ユーザは、セキュリティ管理策を実施すべき防御ドメインを入力部121により選定する。このとき、要素選定部122は、防御モデル選定機能で入力されたリスクの大きさに応じて、優先度の高い防御ドメインを自動判定し、選定した防御ドメインを出力部125により表示する。ユーザは、選定された防御ドメインの表示を見て、最終的に防御ドメインを入力部121により選定する。なお、ユーザによる選定操作を省いて、要素選定部122が防御ドメインを自動的に選定するだけにしてもよい。要素選定部122は、最終的に選定された防御ドメインを示す防御ドメイン選定情報132をメモリ130に記憶する。
セキュリティ管理策選定部123は、セキュリティ管理策表示機能、セキュリティ管理策選定機能、現状セキュリティ管理策入力機能を有する。以下、各機能について説明する。
セキュリティ管理策表示機能:セキュリティ管理策選定部123は、防御ドメイン選定機能で選定された防御ドメインに対応付けられたセキュリティ管理策を、セキュリティ管理策−防御モデル対応テーブル113から読み出して、候補一覧として出力部125により表示する。このとき、セキュリティ管理策選定部123は、セキュリティ脅威や、防御モデルごとに候補一覧を表示してもよい。
セキュリティ管理策選定機能:ユーザは、セキュリティ管理策表示機能で表示されたセキュリティ管理策候補の中から、実施すべき管理策を選定する。セキュリティ管理策選定部123は、選定されたセキュリティ管理策を示す管理策選定情報133をメモリ130に記憶する。
現状セキュリティ管理策入力機能:ユーザは、セキュリティ管理策表示機能で読み出されたセキュリティ管理策に対して、現状それらの管理策を実施しているかどうかを入力部121により入力する。セキュリティ管理策選定部123は、入力されたセキュリティ管理策を示す現状管理策情報134をメモリ130に記憶する。
セキュリティ管理策判定部124は、セキュリティ管理策判定機能を有する。以下、この機能について説明する。
セキュリティ管理策判定機能:セキュリティ管理策判定部124は、管理策選定情報133を基にして、ユーザがセキュリティ管理策選定機能で選定した管理策が十分であるかを、選定基準テーブル112に従って判定し、脅威の攻撃パターンと、防御ドメインを軸とするマップ上に出力部125により表示する。セキュリティ管理策判定部124は、このマップ上で、どの防御ドメインが選定されていて、その中でどの防御ドメインへの対策が十分であるか又は不十分であるかを表示する。また、同様に、セキュリティ管理策判定部124は、現状管理策情報134を基にして、ユーザが現状セキュリティ管理策入力機能で入力した管理策が十分であるかを、選定基準テーブル112に従って判定し、脅威の攻撃パターンと、防御ドメインを軸とするマップ上に出力部125により表示する。これにより、現状の管理策で不十分な攻撃パターンや防御モデルを明らかにすることができる。
セキュリティ対策基準保存部126は、メモリ130に記憶された防御モデル選定情報131、防御ドメイン選定情報132、管理策選定情報133、現状管理策情報134をHDD140にセキュリティ対策基準情報141として保存する。セキュリティ対策基準保存部126は、ユーザから入力部121によりリクエストが入力されると、HDD140からセキュリティ対策基準情報141を読み出す。そして、セキュリティ対策基準保存部126は、要素選定部122、セキュリティ管理策選定部123、セキュリティ管理策判定部124に上記の各機能に必要な情報(防御モデル選定情報131、防御ドメイン選定情報132、管理策選定情報133、現状管理策情報134)を渡す。
本実施の形態では、上記の各機能により、攻撃パターンに対するリスクを入力して、攻撃パターンを選択するだけで候補となる対策が表示されるので、専門知識がなくとも管理策の選定が容易になる。また、定義された攻撃パターンのリスクを全て検討することにより、セキュリティ対策基準の網羅性を確保できる。さらに、リスクに応じて防御ドメインを選定し、十分な管理策を選定することができるので、組織のセキュリティ要求に応じた妥当なセキュリティ対策基準を作成することができる。
また、本実施の形態では、現状セキュリティ管理策入力機能により、現状の対策実施状況を入力して、対策が不足している防御モデル(攻撃パターンと防御ドメイン)を示すことで、より効率的にセキュリティ管理策の選択ができる。
図4は、セキュリティ対策基準作成支援システム100のハードウェア構成の一例を示す図である。
図4において、セキュリティ対策基準作成支援システム100は、コンピュータであり、LCD901(Liquid・Crystal・Display)、キーボード902(K/B)、マウス903、FDD904(Flexible・Disk・Drive)、CDD905(Compact・Disc・Drive)、プリンタ906といったハードウェアデバイスを備えている。これらのハードウェアデバイスはケーブルや信号線で接続されている。LCD901の代わりに、CRT(Cathode・Ray・Tube)、あるいは、その他の表示装置が用いられてもよい。マウス903の代わりに、タッチパネル、タッチパッド、トラックボール、ペンタブレット、あるいは、その他のポインティングデバイスが用いられてもよい。
セキュリティ対策基準作成支援システム100は、プログラムを実行するCPU911(Central・Processing・Unit)を備えている。CPU911は、処理装置の一例である。CPU911は、バス912を介してROM913(Read・Only・Memory)、RAM914(Random・Access・Memory)、通信ボード915、LCD901、キーボード902、マウス903、FDD904、CDD905、プリンタ906、HDD140と接続され、これらのハードウェアデバイスを制御する。HDD140の代わりに、フラッシュメモリ、光ディスク装置、メモリカードリーダライタ又はその他の記憶媒体が用いられてもよい。
RAM914は、揮発性メモリの一例であり、メモリ130に相当する。ROM913、FDD904、CDD905、HDD140は、不揮発性メモリの一例である。これらは、記憶装置の一例である。通信ボード915、キーボード902、マウス903、FDD904、CDD905は、入力装置の一例である。また、通信ボード915、LCD901、プリンタ906は、出力装置の一例である。
通信ボード915は、LAN(Local・Area・Network)等に接続されている。通信ボード915は、LANに限らず、IP−VPN(Internet・Protocol・Virtual・Private・Network)、広域LAN、ATM(Asynchronous・Transfer・Mode)ネットワークといったWAN(Wide・Area・Network)、あるいは、インターネットに接続されていても構わない。LAN、WAN、インターネットは、ネットワークの一例である。
HDD140には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。プログラム群923には、本実施の形態の説明において「〜部」、「〜機能」として説明する機能を実行するプログラムが含まれている。プログラムは、CPU911により読み出され実行される。ファイル群924には、本実施の形態の説明において、「〜データ」、「〜情報」、「〜ID(識別子)」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として含まれている。「〜ファイル」や「〜データベース」や「〜テーブル」は、RAM914やHDD140等の記憶媒体に記憶される。RAM914やHDD140等の記憶媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったCPU911の処理(動作)に用いられる。抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったCPU911の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
本実施の形態の説明において用いるブロック図やフローチャートの矢印の部分は主としてデータや信号の入出力を示す。データや信号は、RAM914等のメモリ、FDD904のフレキシブルディスク(FD)、CDD905のコンパクトディスク(CD)、HDD140の磁気ディスク、光ディスク、DVD(Digital・Versatile・Disc)、あるいは、その他の記録媒体に記録される。また、データや信号は、バス912、信号線、ケーブル、あるいは、その他の伝送媒体により伝送される。
本実施の形態の説明において「〜部」、「〜機能」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜部」、「〜機能」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。あるいは、「〜部」、「〜機能」として説明するものは、ソフトウェアのみ、あるいは、素子、デバイス、基板、配線といったハードウェアのみで実現されていても構わない。あるいは、「〜部」、「〜機能」として説明するものは、ソフトウェアとハードウェアとの組み合わせ、あるいは、ソフトウェアとハードウェアとファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、フレキシブルディスク、コンパクトディスク、磁気ディスク、光ディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。即ち、プログラムは、本実施の形態の説明で述べる「〜部」、「〜機能」としてコンピュータを機能させるものである。あるいは、プログラムは、本実施の形態の説明で述べる「〜部」、「〜機能」の手順や方法をコンピュータに実行させるものである。
なお、セキュリティ対策基準作成支援システム100は、1つのコンピュータではなく、互いに通信可能なように接続された複数のコンピュータにより実現されていても構わない。
以下、セキュリティ対策基準作成支援システム100の動作(本実施の形態に係るセキュリティ対策基準作成支援方法、本実施の形態に係るプログラムの処理手順)について例を挙げて説明する。
まず、本例で使用する防御モデルテーブル111を図5に示す。
防御モデルテーブル111は、情報資産(守るべき資産)に対するセキュリティ脅威の攻撃パターン(脅威、脅威の攻撃方法)と、その攻撃に対応する防御モデル(防御モデル番号、脅威源、防御ドメイン)を格納したテーブルである。
セキュリティ脅威には、ウィルス感染、情報漏洩等があり、それぞれの脅威の攻撃パターンごとに、防御モデルが定義される。防御モデルでは、守るべき資産を、システムや業務の構成要素のどの部分で防御可能であるかが、防御ドメインとして定義される。防御ドメインには、利用者、管理者、データ、サーバ、端末、ネットワーク、設備、組織といった、システムや業務の構成要素があり、脅威の攻撃パターンを防御可能なドメインが脅威源から守るべき資産の間(ただし、資産も防御ドメインの1つである)に配置される。防御モデルテーブル111では、脅威に近いほうから1,2,3,・・・と順番(脅威が辿る順)を示す数値が設定される。数値が最も大きい防御ドメインが資産のあるドメインとなる。
例えば、図5に示した防御モデルテーブル111の上から1番目及び2番目のレコードには、図2に示したウィルス感染に対する防御モデル1を定義するデータが格納されている。このうち、1番目のレコードは、脅威の種別が「ウィルス感染」、防御モデル番号が「1」、守るべき資産が「サーバ」、脅威源が外部不正者等の「外部脅威」(「●」印で表している)であること、及び、脅威の攻撃方法の具体的内容を示している。また、1番目のレコードは、「防御ドメイン」が「サーバ」と「ネットワーク」であり、「ネットワーク」、「サーバ」の順に脅威が辿ること(脅威がネットワークから侵入し、サーバに到達すること)を示している。図5に示した防御モデルテーブル111の上から3番目及び4番目のレコードには、図3に示したウィルス感染に対する防御モデル2を定義するデータが格納されている。このうち、3番目のレコードは、脅威の種別が「ウィルス感染」、防御モデル番号が「2」、守るべき資産が「サーバ」、脅威源が「内部脅威」となる「サーバ」と「端末」であること、及び、脅威の攻撃方法の具体的内容を示している。また、3番目のレコードは、「防御ドメイン」が「サーバ」と「ネットワーク」であり、「ネットワーク」、「サーバ」の順に脅威が辿ること(ネットワーク、サーバの順に、脅威に対するセキュリティ管理策の実施対象となること)を示している。
例えば、図5に示した防御モデルテーブル111の上から8番目のレコードには、情報漏洩に対する防御モデル1を定義するデータが格納されている。この8番目のレコードは、脅威の種別が「情報漏洩」、防御モデル番号が「1」、守るべき資産が「データ」、脅威源が「外部脅威」であること、及び、脅威の攻撃方法の具体的内容を示している。また、8番目のレコードは、「防御ドメイン」が「データ」と「設備」であり、「設備」、「データ」の順に脅威が辿ること(脅威が設備から侵入し、データに到達すること)を示している。図5に示した防御モデルテーブル111の上から9番目のレコードには、情報漏洩に対する防御モデル2を定義するデータが格納されている。この9番目のレコードは、脅威の種別が「情報漏洩」、防御モデル番号が「2」、守るべき資産が「データ」、脅威源が「外部脅威」であること、及び、脅威の攻撃方法の具体的内容を示している。また、9番目のレコードは、「防御ドメイン」が「データ」と「サーバ」と「ネットワーク」であり、「ネットワーク」、「サーバ」、「データ」の順に脅威が辿ること(脅威がネットワークから侵入し、サーバを経てデータに到達すること)を示している。
なお、図5に示したものは防御モデルテーブル111の一部であり、ウィルス感染、情報漏洩以外の種別の脅威についても同様の定義がなされるものとする。また、図5に示したものは防御モデルテーブル111の例であり、他の定義がなされてもよいし、他のデータ構造が採用されてもよい。
上記のように、防御モデルテーブル111は、複数の脅威(図5では、脅威の種別と脅威の攻撃方法との組み合わせ)のそれぞれに対して、脅威の経路を構成する複数の要素(図5では、防御ドメイン)と、当該複数の要素が当該脅威の経路を構成する順序とを定義する情報(以下、「脅威情報」という)を記憶装置に記憶する。
また、上記のように、脅威情報は、上記複数の脅威のそれぞれに対して、さらに、脅威が内部脅威であるか否か(図5では、脅威源)を定義する情報であってもよい。また、脅威情報は、上記複数の脅威のそれぞれに対して、さらに、脅威に曝される情報資産(図5では、守るべき資産)を定義する情報であってもよい。
次に、本例で使用する選定基準テーブル112を図6に示す。
選定基準テーブル112は、脅威の発生頻度と、資産への被害額の大きさによって、防御ドメイン判定基準を定義したテーブルである。脅威については、外部脅威である場合と、内部脅威である場合に分けて基準が定義される。これは、外部脅威の発生頻度を低減することはできない一方で、内部脅威の場合は、対策を実施することによって、その脅威の発生頻度を低減することが可能だからである。
例えば、図6の(a)に示した選定基準テーブル112では、外部脅威のリスクの大きさに応じた基準が定義されている。この選定基準テーブル112の上から1番目のレコードには、リスクの大きさが「大」である場合の基準を定義するデータが格納されている。この1番目のレコードは、脅威の発生頻度が「1月に1回以上」である場合、リスクの大きさを「大」と判定することを示している。また、1番目のレコードは、リスクの大きさが「大」である場合、脅威源に1番近い防御ドメインとその次に近い防御ドメインを選定すべきであるという防御ドメイン判定基準を示している。また、1番目のレコードは、脅威源に1番近い防御ドメインで複数のセキュリティ管理策を実施し、その次に近い防御ドメインで少なくとも1つのセキュリティ管理策を実施すべきであるという管理策選定基準を示している。
例えば、図6の(b)に示した選定基準テーブル112では、内部脅威のリスクの大きさに応じた基準が定義されている。この選定基準テーブル112の上から1番目のレコードには、リスクの大きさが「大」である場合の基準を定義するデータが格納されている。この1番目のレコードは、脅威の発生頻度が「1月に1回以上」である場合、リスクの大きさを「大」と判定することを示している。また、1番目のレコードは、リスクの大きさが「大」である場合、内部脅威のある防御ドメインと内部脅威に1番近い防御ドメインを選定すべきであるという防御ドメイン判定基準を示している。また、1番目のレコードは、内部脅威のある防御ドメインで複数のセキュリティ管理策を実施し、内部脅威に1番近い防御ドメインで少なくとも1つのセキュリティ管理策を実施すべきであるという管理策選定基準を示している。
例えば、図6の(c)に示した選定基準テーブル112では、守るべき資産が脅威により受ける被害の大きさに応じた基準が定義されている。この選定基準テーブル112の上から1番目のレコードには、被害の大きさが「大」である場合の基準を定義するデータが格納されている。この1番目のレコードは、被害額が「1回に5000万円以上」である場合、被害の大きさを「大」と判定することを示している。また、1番目のレコードは、被害の大きさが「大」である場合、資産のある防御ドメインと資産に1番近い防御ドメインを選定すべきであるという防御ドメイン判定基準を示している。また、1番目のレコードは、資産のある防御ドメインで複数のセキュリティ管理策を実施し、資産に1番近い防御ドメインで少なくとも1つのセキュリティ管理策を実施すべきであるという管理策選定基準を示している。
なお、図6に示したものは選定基準テーブル112の例であり、他の定義がなされてもよいし、他のデータ構造が採用されてもよい。特に、本例では、脅威のリスクの大きさについて、攻撃パターン発生頻度が1回以上/月であれば「大」、1回以上/年であれば「中」、1回未満/年であれば「小」という基準が定義されているが、これは、組織の大きさや、情報システム規模等に応じて、組織ごとに定義されてよいものである。また、本例では、資産が受ける被害の大きさについて、被害額が5000万円以上/回であれば「大」、500万円以上/回であれば「中」、500万円未満/回であれば「小」という基準が定義されているが、これについても同様である。防御ドメイン判定基準については、例えば、脅威源(外部又は内部)と資産との中間に位置するドメインから優先的に選ぶように設定してもよい。一例を挙げると、リスクの大きさが「大」である場合、脅威源に1番近い防御ドメイン(又は内部脅威のある防御ドメイン)と資産のある防御ドメインとの中間に位置する防御ドメインとその防御ドメインの隣(脅威源に近い側又は資産のある防御ドメインに近い側)の防御ドメインを選定すべきであるという具合に設定する。
上記のように、選定基準テーブル112は、複数の選定基準(図6では、脅威基準又は資産価値基準)のそれぞれに対して、選定基準によって選定される要素(図6では、防御ドメイン判定基準)を、脅威の経路における当該要素の順位で指定する情報(以下、「選定基準情報」という)を記憶装置に記憶する。選定基準とは、脅威の経路を構成する複数の要素のうち、セキュリティ管理策の実施対象とする要素を選定するための基準のことである。
また、上記のように、選定基準情報は、例えば、上記複数の選定基準(図6の(a)では、脅威基準(外部))のそれぞれに対して、脅威のリスクの大きさを段階評価したリスクレベルを定義し、選定基準によって選定される要素として、脅威の経路にて脅威の発生源に近い順に、定義したリスクレベルの高さに応じた数の要素を指定する情報である。また、選定基準情報は、例えば、上記複数の選定基準(図6の(b)では、脅威基準(内部))のそれぞれに対して、内部脅威のリスクの大きさを段階評価したリスクレベルを定義し、選定基準によって選定される要素として、脅威の経路にて内部脅威の発生源に該当する要素から順に、定義したリスクレベルの高さに応じた数の要素を指定する情報である。また、選定基準情報は、例えば、上記複数の選定基準(図6の(c)では、資産価値基準)のそれぞれに対して、脅威による情報資産の被害の大きさを段階評価した被害レベルを定義し、選定基準によって選定される要素として、脅威の経路にて情報資産に該当する要素から順に、定義した被害レベルの高さに応じた数の要素を指定する情報である。
また、上記のように、選定基準情報は、上記複数の選定基準のそれぞれに対して、さらに、実施すべきセキュリティ管理策の基準である実施基準(図6では、管理策選定基準)を定義する情報であってもよい。
次に、本例で使用するセキュリティ管理策−防御モデル対応テーブル113を図7及び図8に示す。
セキュリティ管理策−防御モデル対応テーブル113は、セキュリティ管理策が、どのセキュリティ脅威に対する、どの防御モデルの、どの防御ドメインで実施する管理策なのかを示す情報を保持するテーブルである。
例えば、図7に示したセキュリティ管理策−防御モデル対応テーブル113にて、管理策No.1のレコードには、図2に示したウィルス感染に対する防御モデル1に対応した管理策の1つを定義するデータが格納されている。具体的に、このデータが定義するのは、ネットワークに対して実施されるセキュリティ管理策である。ここで、脅威源が内部にあるような攻撃パターンに対する防御モデルでは、内部脅威源(内部脅威のある防御ドメイン)に対する管理策も必要である。このような場合には、セキュリティ管理策−防御モデル対応テーブル113の「内部脅威源」にそのドメイン名が入れられる。例えば、管理策No.5のレコードには、図3に示したウィルス感染に対する防御モデル2に対応した管理策の1つを定義するデータが格納されている。この防御モデル2が対抗する攻撃パターンの脅威源は、内部のウィルス感染した端末であり、具体的に、このデータが定義するのは、内部脅威源としての端末に対して実施されるセキュリティ管理策である。
1つのセキュリティ管理策が、複数のセキュリティ脅威や、複数の防御モデルに対応していることがある。例えば、図8に示したセキュリティ管理策−防御モデル対応テーブル113にて、管理策No.51のレコード(レコードが2つ存在する)には、情報漏洩に対する防御モデル1及び防御モデル3の両方に対応した管理策の1つを定義するデータが格納されている。具体的に、このデータが定義するのは、設備に対して実施されるセキュリティ管理策である。
なお、図7及び図8に示したものはセキュリティ管理策−防御モデル対応テーブル113の一部であり、ウィルス感染、情報漏洩以外の種別の脅威についても同様の定義がなされるものとする。また、図7及び図8に示したものはセキュリティ管理策−防御モデル対応テーブル113の例であり、他の定義がなされてもよいし、他のデータ構造が採用されてもよい。
上記のように、セキュリティ管理策−防御モデル対応テーブル113は、複数のセキュリティ管理策のそれぞれに対して、セキュリティ管理策によって対処される脅威(図7及び図8では、脅威及び防御モデルとの組み合わせ)と、当該脅威が情報資産に到達するまでの経路を構成する複数の要素のうち、当該セキュリティ管理策の実施対象となる要素(図7及び図8では、内部脅威源又は防御ドメイン)とを定義する情報(以下、「セキュリティ管理策情報」という)を記憶装置に記憶する。
また、上記のように、セキュリティ管理策情報は、上記複数のセキュリティ管理策のそれぞれに対して、さらに、セキュリティ管理策によって対処される脅威が内部脅威であるか否か(図7及び図8では、内部脅威源)を定義する情報であってもよい。
図9は、セキュリティ対策基準作成支援システム100の動作を示すフローチャートである。
まず、図9のステップS101において、要素選定部122は、脅威の攻撃パターンに対するリスクの入力等を入力部121により受け付けて、脅威に対抗するために必要な防御モデルを処理装置により選定する。
ここで、ステップS101の詳細な動作(防御モデルの選定手順)を図10に示す。
ステップS201において、要素選定部122は、ユーザが脅威を1つ選択する操作を入力部121により受け付ける。セキュリティ脅威が1つ選択されると、要素選定部122は、防御モデルテーブル111から、選択された脅威の攻撃パターン(脅威の攻撃方法)のデータ、対応する防御モデル(防御モデル番号、脅威源)及び守るべき資産のデータを処理装置により読み出し、図11に示すような防御モデル選定画面151を出力部125により表示する。以下で説明するように、図11に示した防御モデル選定画面151では、選択された脅威の種別「ウィルス感染」について、防御モデル番号「No.」ごとに、「脅威源」、「守るべき資産」、脅威の「攻撃方法」、後述する「脅威」の大きさ、守るべき「資産」の価値の大きさ、「選定」欄が表形式で表示されている。
図11に示した防御モデル選定画面151では、脅威の種別として「ウィルス感染」が選択されている。例えば、要素選定部122は、「脅威選択」ボタンが押下されると、脅威の種別の一覧等を表示して、脅威の種別を選択する操作を受け付ける。
ステップS202において、要素選定部122は、ユーザが攻撃パターンに対して脅威の大きさ(脅威のリスクの大きさ)と資産価値の大きさ(資産が受ける被害の大きさ)を入力する操作を入力部121により受け付ける。
図11に示した防御モデル選定画面151では、ウィルス感染の攻撃パターンに対する脅威の大きさと、守るべき資産の価値の大きさが指定されている。脅威の大きさと、資産価値の大きさは、例えば大、中、小の3段階で指定される。あるいは、脅威の大きさとして攻撃パターン発生頻度が指定され、資産価値の大きさとしてサーバや端末がウィルス感染した場合の1回あたりの被害額が指定される。
発生頻度が指定された場合、要素選定部122は、攻撃パターンで示された脅威が外部脅威か、内部脅威かによって図6の(a)及び(b)に示した選定基準テーブル112のいずれかを選ぶ。そして、要素選定部122は、選んだ選定基準テーブル112から、指定された発生頻度に対応するリスクの大きさを処理装置により判定する。一方、被害額が指定された場合、要素選定部122は、図6の(c)に示した選定基準テーブル112を選ぶ。そして、要素選定部122は、選んだ選定基準テーブル112から、指定された被害額に対応する被害の大きさを処理装置により判定する。
例えば、図11に示した防御モデル選定画面151では、「ウィルス感染」の攻撃パターンの1つであり、防御モデル番号が「1」、脅威源が「外部脅威」、守るべき資産が「サーバ」と「端末」となるものについて、脅威のリスクの大きさが「大」、資産が受ける被害の大きさが「中」に手動で指定又は自動的に判定されている。
ステップS203において、要素選定部122は、対応すべき攻撃パターンを処理装置により自動判定する(防御モデルを選定する)。例えば、要素選定部122は、「自動判定」ボタンが押下されると、入力された脅威、資産の大きさにより、対応すべき攻撃パターンを自動判定して、防御モデル選定画面151の選定欄に表示する。このとき、要素選定部122は、もし脅威と資産の双方とも「小」と設定された場合は選定から除外するように判定する。要素選定部122は、どちらかが「中」以上であれば選定に含めるように判定する。
その後、ユーザの操作等により、選定結果に問題があって修正する必要がある場合にはステップS204に進む。修正する必要がない場合、1つの脅威に対して攻撃パターンの選定が完了したら、要素選定部122は、ステップS201に戻って、ユーザが「脅威選択」ボタンにより別の脅威を選択する操作を受け付ける。そして、要素選定部122は、同様に対抗すべき攻撃パターンを選定する。一方、全ての脅威に対する攻撃パターンの選定が完了したら、要素選定部122は、ユーザが「OK」ボタンを押下する操作を受け付けて、防御モデルの選定を完了する。要素選定部122は、防御モデルの選定完了時に、セキュリティ脅威ごとに選定された攻撃パターンと、攻撃パターンに対応する防御モデルの情報を、防御モデル選定情報131としてメモリ130上に記憶する。
ステップS204において、要素選定部122は、ユーザが選定欄のチェックを修正する操作を入力部121により受け付ける。例えば、要素選定部122は、「選定修正」ボタンが押下されると、選定欄の編集を可能にし、ユーザが選定結果を修正する操作を受け付ける。
次に、図9のステップS102において、要素選定部122は、ステップS102で選定した防御モデルの中で対策を施す防御ドメインを処理装置により選定する。
ここで、ステップS102の詳細な動作(各防御モデルに定義された防御ドメインの選定手順)を図12に示す。
ステップS301において、要素選定部122は、ユーザが脅威を1つ選択する操作を入力部121により受け付ける。また、ステップS302において、要素選定部122は、ユーザが攻撃パターンを1つ選択する操作を入力部121により受け付ける。セキュリティ脅威が1つ選択され、防御モデル選定画面151で選定された攻撃パターンのうち1つが選択されると、要素選定部122は、防御モデルテーブル111から、対応する防御モデル(防御モデル番号、脅威源、防御ドメイン)及び守るべき資産のデータを処理装置により読み出し、図13及び図14に示すような防御ドメイン選定画面152を出力部125により表示する。
図13及び図14に示した防御ドメイン選定画面152には、対象のセキュリティ脅威、脅威の攻撃パターン、攻撃パターンに対抗する防御モデル図、防御ドメイン選定欄が表示される。図13に示した防御ドメイン選定画面152では、脅威の種別として「ウィルス感染」、攻撃パターンとして「攻撃パターン1」が選択され、図2に示した防御モデル1が防御モデル図に表示されている。図14に示した防御ドメイン選定画面152では、脅威の種別として「ウィルス感染」、攻撃パターンとして「攻撃パターン2」が選択され、図2に示した防御モデル2が防御モデル図に表示されている。例えば、要素選定部122は、「脅威選択」ボタンが押下されると、脅威の種別の一覧等を表示して、脅威の種別を選択する操作を受け付ける。また、要素選定部122は、「攻撃パターン選択」ボタンが押下されると、選択中の脅威の攻撃パターンの一覧等を表示して、攻撃パターンを選択する操作を受け付ける。
ステップS303において、要素選定部122は、防御モデル選定のときに入力された脅威と資産の大きさに応じたドメイン選択基準に従って、対策すべき防御ドメインを処理装置により自動選定する。つまり、要素選定部122は、図10のステップS202で選んだ選定基準テーブル112に定義された防御ドメイン判定基準に従って、防御ドメインを判定する。
例えば、外部脅威の場合、要素選定部122は、図6の(a)の選定基準テーブル112を選ぶことになる。そして、もし脅威の大きさが「大」ならば、要素選定部122は、防御モデルテーブル111の防御ドメイン欄に記載された番号のうち、「1」及び「2」のドメインを選定する。また、内部脅威の場合、要素選定部122は、図6の(b)の選定基準テーブル112を選ぶことになる。そして、もし脅威の大きさが「大」ならば、要素選定部122は、防御モデルテーブル111の脅威源の内部ドメイン欄で「●」印が入っているドメインを選定し、さらに脅威に一番近いドメインとして防御ドメイン欄の「1」のドメインを選定する。また、要素選定部122は、資産価値が「大」の攻撃パターンに対しては、図6の(c)の選定基準テーブル112に従って、防御モデルテーブル111の防御ドメイン欄に記載された番号の、1番大きな数字と、2番目に大きい数字のドメインを選定する。このとき、要素選定部122は、脅威と、資産価値のどちらかで選定対象となっていれば、その防御ドメインを選定する。ただし、内部脅威のあるドメインと、その他の防御ドメインは別のドメインとして扱う。例えば、内部脅威が「サーバ」の場合で脅威の大きさが「中」の場合、要素選定部122は、内部脅威のある「サーバ」ドメインを内部脅威ドメインとして選定するが、さらに資産価値が「大」で資産のあるドメインあるいは資産に1番近いドメインにも「サーバ」が含まれる場合には、防御ドメインとして別途「サーバ」を選定する。つまり、内部脅威としての「サーバ」に対する対策と、資産に対する防御ドメインとしての「サーバ」への対策は異なるものとして扱う。要素選定部122は、どの防御ドメインを選定したかを防御ドメイン選定画面152の防御ドメイン選定欄に表示する。
例えば、図13に示した防御ドメイン選定画面152では、「ウィルス感染」の「攻撃パターン1」に対応する防御モデル1の防御ドメインの全てが選定欄にて自動的に選定されている。具体的には、「ネットワーク」、「サーバ」、「端末」が選定されている。また、例えば、図14に示した防御ドメイン選定画面152では、「ウィルス感染」の「攻撃パターン2」に対応する防御モデル2の防御ドメインのうち、内部脅威のある防御ドメインが選定欄にて自動的に選定されている。具体的には、内部脅威のある「サーバ」、内部脅威のある「端末」が選定されている。
その後、ユーザの操作等により、選定結果に問題があって修正する必要がある場合にはステップS304に進む。修正する必要がない場合、1つの攻撃パターンに対して防御ドメインの選定が完了したら、要素選定部122は、ステップS302に戻って、ユーザが「攻撃パターン選択」ボタンにより別の攻撃パターンを選択する操作を受け付ける。そして、要素選定部122は、同様に防御ドメインの選定を行う。一方、1つの脅威に対して、全ての攻撃パターンに対する防御ドメインの選定が完了したら、要素選定部122は、ステップS301に戻って、ユーザが「脅威選択」ボタンにより別の脅威を選択する操作を受け付ける。そして、要素選定部122は、同様に全ての攻撃パターンに対する防御ドメインの選定を行う。全ての脅威に対して、全ての攻撃パターンに対する防御ドメインの選定が完了したら、要素選定部122は、ユーザが「OK」ボタンを押下する操作を受け付けて、防御ドメインの選定を完了する。要素選定部122は、防御ドメインの選定完了時に、セキュリティ脅威と、攻撃パターンごとに選定された防御ドメインの情報を、防御ドメイン選定情報132としてメモリ130上に記憶する。
ステップS304において、要素選定部122は、ユーザが選定欄のチェックを修正する操作を入力部121により受け付ける。例えば、要素選定部122は、「選定修正」ボタンが押下されると、選定欄の編集を可能にし、ユーザが選定結果を修正する操作を受け付ける。
上記のように、ステップS101,S102において、入力部121は、脅威及び選定基準を特定する操作を入力装置により受け付ける。要素選定部122は、選定基準テーブル112で記憶された選定基準情報から、入力部121への操作で特定された選定基準に対応する要素の順位を処理装置により抽出する。そして、要素選定部122は、防御モデルテーブル111で記憶された脅威情報から、入力部121への操作で特定された脅威(図13では、「ウィルス感染」の「攻撃パターン1」)に対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素(図13では、「ネットワーク」、「サーバ」、「端末」)を処理装置により選定する。
例えば、入力部121は、選定基準を特定する操作として、脅威のリスクレベルを示す情報(例えば、攻撃パターン発生頻度等)の入力を入力装置により受け付ける。要素選定部122は、選定基準テーブル112で記憶された選定基準情報から、入力部121へ入力された情報が示すリスクレベルに対応する選定基準(図11では、例えば、「攻撃パターン1」の脅威について「大」)を処理装置により特定する。要素選定部122は、選定基準テーブル112で記憶された選定基準情報から、特定した選定基準に対応する要素の順位(例えば、脅威の発生源に近い順に1番目と2番目)を処理装置により抽出する。そして、要素選定部122は、防御モデルテーブル111で記憶された脅威情報から、入力部121への操作で特定された脅威(図13では、「ウィルス感染」の「攻撃パターン1」)に対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素(図13では、「ネットワーク」、「サーバ」、「端末」)を処理装置により選定する。
また、例えば、入力部121は、脅威を特定する操作として、内部脅威を特定する操作を受け付けるとともに、選定基準を特定する操作として、内部脅威のリスクレベルを示す情報(例えば、攻撃パターン発生頻度等)の入力を入力装置により受け付ける。要素選定部122は、選定基準テーブル112で記憶された選定基準情報から、入力部121へ入力された情報が示すリスクレベルに対応する選定基準(図11では、例えば、「攻撃パターン2」の脅威について「中」)を処理装置により特定する。要素選定部122は、選定基準テーブル112で記憶された選定基準情報から、特定した選定基準に対応する要素の順位(例えば、内部脅威の発生源に該当する要素から順に1番目)を処理装置により抽出する。そして、要素選定部122は、防御モデルテーブル111で記憶された脅威情報から、入力部121への操作で特定された内部脅威(図14では、「ウィルス感染」の「攻撃パターン2」)に対応する要素であって、当該内部脅威の経路における順位が、抽出した順位と一致する要素(図14では、「内部サーバ」、「内部端末」)を処理装置により選定する。
また、例えば、入力部121は、さらに、情報資産を特定する操作を入力装置により受け付けるとともに、選定基準を特定する操作として、情報資産の被害レベルを示す情報(例えば、サーバがウィルス感染した場合の1回あたりの被害額)の入力を入力装置により受け付ける。要素選定部122は、選定基準テーブル112で記憶された選定基準情報から、入力部121へ入力された情報が示す被害レベルに対応する選定基準(図11では、例えば、「攻撃パターン1」の資産について「中」)を処理装置により特定する。要素選定部122は、選定基準テーブル112で記憶された選定基準情報から、特定した選定基準に対応する要素の順位(例えば、情報資産に該当する要素から順に1番目)を処理装置により抽出する。そして、要素選定部122は、防御モデルテーブル111で記憶された脅威情報から、入力部121への操作で特定された情報資産(例えば、サーバ)と入力部121への操作で特定された脅威(図13では、「ウィルス感染」の「攻撃パターン1」)との組み合わせに対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素(図13では、例えば、「サーバ」)を処理装置により選定する。
次に、図9のステップS103において、セキュリティ管理策選定部123は、必要なセキュリティ管理策の一覧を出力部125により表示する。具体的には、セキュリティ管理策選定部123は、セキュリティ管理策−防御モデル対応テーブル113から、ステップS102で選定された防御モデルの防御ドメインに対応付けられた管理策を処理装置により読み出す。そして、セキュリティ管理策選定部123は、読み出したセキュリティ管理策の一覧を、図15に示すようなセキュリティ管理策一覧画面153に出力部125により表示する。この一覧に挙げられた管理策は、セキュリティ対策基準の候補である。
図15に示したセキュリティ管理策一覧画面153では、脅威の種別として「ウィルス感染」が選択されている。例えば、セキュリティ管理策選定部123は、「脅威選択」ボタンが押下されると、脅威の種別の一覧等を表示して、脅威の種別を選択する操作を受け付ける。これにより、セキュリティ管理策選定部123は、脅威ごとに管理策一覧を表示できる。なお、全ての脅威を同時に選択可能にして、セキュリティ管理策選定部123が全管理策をセキュリティ管理策一覧画面153に表示できるようにしてもよい。その場合、セキュリティ管理策一覧画面153では、一覧表のカラムに脅威欄が追加された形となる。
上記のように、ステップS103において、セキュリティ管理策選定部123は、セキュリティ管理策−防御モデル対応テーブル113で記憶されたセキュリティ管理策情報から、入力部121への操作で特定された脅威(図15では、例えば、「ウィルス感染」の「防御モデル1」)と要素選定部122で選定された要素(図15では、例えば、「サーバ」、「端末」)との組み合わせに対応するセキュリティ管理策を処理装置により選定する。出力部125は、セキュリティ管理策選定部123で選定されたセキュリティ管理策を出力装置により出力する。
次に、図9のステップS104において、セキュリティ管理策選定部123は、ステップS103で選定されたセキュリティ管理策の中で現状実施しているセキュリティ管理策の入力を入力部121により受け付ける。例えば、セキュリティ管理策選定部123は、図15に示したセキュリティ管理策一覧画面153で「現状入力」ボタンが押下されると、図16に示すようなセキュリティ管理策現状入力画面154を出力部125により表示する。ユーザは、表示されているセキュリティ管理策を、現状実施している場合には、入力欄のチェックボックスにチェックを入れる。1つのセキュリティ管理策が複数の防御モデルに有効な場合があるため、同一の管理策が他の防御モデルにもある場合には、その入力欄にもセキュリティ管理策選定部123によって自動的にチェックが入れられる。
図16に示したセキュリティ管理策現状入力画面154では、脅威の種別として「ウィルス感染」が選択されている。例えば、セキュリティ管理策選定部123は、「脅威選択」ボタンが押下されると、脅威の種別の一覧等を表示して、脅威の種別を選択する操作を受け付ける。ユーザは、1つの脅威に対して、現状実施している管理策の入力を完了したら、「脅威選択」ボタンにより別の脅威のセキュリティ管理策を表示させて、同様に現状実施している管理策の入力を行う。セキュリティ管理策選定部123は、「OK」ボタンが押下されると、ユーザにより入力された情報を、現状管理策情報134としてメモリ130に保存する。
次に、図9のステップS105において、セキュリティ管理策判定部124は、ステップS104で入力されたセキュリティ管理策(後述するステップS106でもセキュリティ管理策が入力された場合は、ステップS104及びステップS106で入力されたセキュリティ管理策)が十分か否かを処理装置により判定し、その結果を示す全体マップを出力部125により表示する。例えば、セキュリティ管理策判定部124は、図16に示したセキュリティ管理策現状入力画面154で「全体マップ」ボタンが押下されると、図17に示すようなセキュリティ管理策全体マップ155(全体マップの一例)を出力部125により表示する。セキュリティ管理策全体マップ155は、横軸に脅威と攻撃パターン、縦軸に内部脅威源と防御ドメインをとり、どの防御ドメインが選定されていて、その防御ドメインに対して十分な管理策が選定されているかどうかを示したものである。
図17に示したセキュリティ管理策全体マップ155において、脅威の下の数字は、攻撃パターンの番号(防御モデルの番号と等しい)を示している。「■」印は、防御ドメインとして選定されていることを、「□」印は、防御ドメインとして選定されていないことを示す。何もないところは、防御モデルに存在しないドメインであることを示す。網掛けで表示されているところは、対策が実施済であることを示す。したがって、「■」印で、かつ、網掛けがされていないところが、対策が不足しているところである。
セキュリティ管理策判定部124は、選定基準テーブル112に定義された管理策選定基準に従って、十分な対策が選定されているか否かを処理装置により判定する。セキュリティ管理策判定部124は、脅威に対しては、攻撃パターンで示された脅威が外部脅威か、内部脅威かによって図6の(a)及び(b)に示した選定基準テーブル112のいずれかを選び、管理策選定基準に従って、十分な管理策が選定されているかを処理装置により判定する。セキュリティ管理策判定部124は、資産価値に対しては、図6の(c)に示した選定基準テーブル112を選び、管理策選定基準に従って、十分な管理策が選定されているかを処理装置により判定する。
例えば、外部脅威の場合、セキュリティ管理策判定部124は、図6の(a)の選定基準テーブル112を選ぶことになる。そして、もし脅威の大きさが「大」ならば、セキュリティ管理策判定部124は、防御モデルテーブル111の防御ドメイン欄に記載された番号のうち、「1」のドメインで複数の管理策が選定されていれば、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。それ以外の防御ドメインについては、少なくとも1つの管理策が選定されている防御ドメインがあれば、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。もし脅威の大きさが「中」ならば、セキュリティ管理策判定部124は、防御モデルテーブル111の防御ドメイン欄に記載された番号のうち、「1」のドメインで少なくとも1つの管理策が選定されていれば、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。それ以外の防御ドメインについては、管理策が選定されていない防御ドメインであっても、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。もし脅威の大きさが「小」ならば、セキュリティ管理策判定部124は、全ての防御ドメインについてセキュリティ管理策が十分であると判定する。
また、内部脅威の場合、セキュリティ管理策判定部124は、図6の(b)の選定基準テーブル112を選ぶことになる。そして、もし脅威の大きさが「大」ならば、セキュリティ管理策判定部124は、防御モデルテーブル111の脅威源の内部ドメイン欄で「●」印が入っているドメインで複数の管理策が選定されていれば、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。それ以外の防御ドメインについては、少なくとも1つの管理策が選定されている防御ドメインがあれば、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。もし脅威の大きさが「中」ならば、セキュリティ管理策判定部124は、防御モデルテーブル111の脅威源の内部ドメイン欄で「●」印が入っているドメインで少なくとも1つの管理策が選定されていれば、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。それ以外の防御ドメインについては、管理策が選定されていない防御ドメインであっても、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。もし脅威の大きさが「小」ならば、セキュリティ管理策判定部124は、全ての防御ドメインについてセキュリティ管理策が十分であると判定する。
セキュリティ管理策判定部124は、資産価値が「大」の攻撃パターンに対しては、図6の(c)の選定基準テーブル112に従って、防御モデルテーブル111の防御ドメイン欄に記載された番号の、1番大きな数字のドメインで複数の管理策が選定されていれば、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。それ以外の防御ドメインについては、少なくとも1つの管理策が選定されている防御ドメインがあれば、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。セキュリティ管理策判定部124は、資産価値が「中」の攻撃パターンに対しては、防御モデルテーブル111の防御ドメイン欄に記載された番号の、1番大きな数字のドメインで少なくとも1つの管理策が選定されていれば、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。それ以外の防御ドメインについては、管理策が選定されていない防御ドメインであっても、その防御ドメインに講じられているセキュリティ管理策が十分であると判定する。セキュリティ管理策判定部124は、資産価値が「小」の攻撃パターンに対しては、全ての防御ドメインについてセキュリティ管理策が十分であると判定する。
ある攻撃パターンに対して、ある防御ドメインに講じられているセキュリティ管理策が、脅威、資産価値の双方で十分である場合、セキュリティ管理策判定部124は、その攻撃パターンに対するその防御ドメインで実施されているセキュリティ管理策が十分であると判定する。そして、セキュリティ管理策判定部124は、セキュリティ管理策全体マップ155上で、その攻撃パターンとその防御ドメインの組み合わせに該当する欄(「セル」ともいう)を「■」印の網掛けで表示する。脅威、資産価値の少なくともどちらか一方で十分でない場合、セキュリティ管理策判定部124は、その欄を網掛け表示しない。
1つの管理策は、複数の脅威、攻撃パターンに有効である可能性がある。ある攻撃パターンに対しては、防御ドメインとして選定されていなくても、別の攻撃パターンにおいて選定された管理策がその防御ドメインにも有効な場合、セキュリティ管理策判定部124は、セキュリティ管理策全体マップ155上で、その攻撃パターンとその防御ドメインの組み合わせに該当する欄を「□」印の網掛けで表示する。これにより、選定した防御ドメイン以外のドメインにおいても、さらに多重に対策がなされていることがわかる。
例えば、図17に示したセキュリティ管理策全体マップ155では、ウィルス感染の攻撃パターン1に対して、サーバ、端末、ネットワークの3つの防御ドメインが選定されている。図11に示した防御モデル選定画面151で指定されているように、脅威のリスクの大きさは「大」、資産が受ける被害の大きさは「中」であるとする。
サーバは、図5に示した防御モデルテーブル111を参照すると、脅威源に1番近い防御ドメインではなく、守るべき資産のある防御ドメインである。脅威源は「外部脅威」であるから、図6の(a)に示した選定基準テーブル112を参照すると、リスクの大きさが「大」の場合、脅威源に1番近い防御ドメイン以外の防御ドメインで少なくとも1つのセキュリティ管理策が実施されている必要がある。また、図6の(c)に示した選定基準テーブル112を参照すると、被害の大きさが「中」の場合、守るべき資産のある防御ドメインで少なくとも1つのセキュリティ管理策が実施されている必要がある。これらの条件から、セキュリティ管理策判定部124は、サーバで少なくとも1つのセキュリティ管理策が実施されている必要があると判定する。したがって、例えば、図7に示したセキュリティ管理策−防御モデル対応テーブル113における管理策No.2のセキュリティ管理策が選定されていれば、セキュリティ管理策判定部124は、セキュリティ管理策全体マップ155上で、ウィルス感染の攻撃パターン1とサーバの組み合わせに該当する欄を「■」印の網掛けで表示する。一方、例えば、セキュリティ管理策が1つも選定されていなければ、セキュリティ管理策判定部124は、セキュリティ管理策全体マップ155上で、ウィルス感染の攻撃パターン1とサーバの組み合わせに該当する欄を「■」印とするが、網掛けでは表示しない。端末についても、同様である。
ネットワークは、図5に示した防御モデルテーブル111を参照すると、脅威源に1番近い防御ドメインであり、守るべき資産のある防御ドメインではない。脅威源は「外部脅威」であるから、図6の(a)に示した選定基準テーブル112を参照すると、リスクの大きさが「大」の場合、脅威源に1番近い防御ドメインで複数のセキュリティ管理策が実施されている必要がある。また、図6の(c)に示した選定基準テーブル112を参照すると、被害の大きさが「中」の場合、守るべき資産のある防御ドメイン以外の防御ドメインでセキュリティ管理策が実施されている必要はない。これらの条件から、セキュリティ管理策判定部124は、ネットワークで複数のセキュリティ管理策が実施されている必要があると判定する。したがって、例えば、図7に示したセキュリティ管理策−防御モデル対応テーブル113における管理策No.1のセキュリティ管理策と、その他に少なくとも1つの(ウィルス感染の攻撃パターン1に対する)セキュリティ管理策が選定されていれば、セキュリティ管理策判定部124は、セキュリティ管理策全体マップ155上で、ウィルス感染の攻撃パターン1とネットワークの組み合わせに該当する欄を「■」印の網掛けで表示する。一方、例えば、管理策No.1のセキュリティ管理策しか選定されていなければ、セキュリティ管理策判定部124は、セキュリティ管理策全体マップ155上で、ウィルス感染の攻撃パターン1とネットワークの組み合わせに該当する欄を「■」印とするが、網掛けでは表示しない。
上記のように、ステップS104,S105において、入力部121は、セキュリティ管理策選定部123で選定されたセキュリティ管理策から、現在実施されているセキュリティ管理策を選択する操作を入力装置により受け付ける。なお、入力部121は、現在実施されているセキュリティ管理策に限らず、これから実施を予定しているセキュリティ管理策等、任意のセキュリティ管理策を選択する操作を受け付けてよい。セキュリティ管理策判定部124は、選定基準テーブル112で記憶された選定基準情報から、入力部121への操作で特定された選定基準に対応する実施基準を処理装置により抽出する。そして、セキュリティ管理策判定部124は、脅威と要素との組み合わせごとに、入力部121への操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定する。出力部125は、セキュリティ管理策判定部124の判定結果を表示するセキュリティ管理策全体マップ155を出力装置により出力する。セキュリティ管理策全体マップ155では、複数の脅威を示す項目(図17では、ウィルス感染の攻撃パターン1〜3、情報漏洩の攻撃パターン1〜9)と複数の要素を示す項目(図17では、内部脅威源である利用者、管理者、サーバ、端末と、防御ドメインである利用者、管理者、サーバ、端末等)とのうち、一方の項目(図17では、脅威を示す項目)が縦軸に配置され、他方の項目(図17では、要素を示す項目)が横軸に配置されている。そして、セキュリティ管理策全体マップ155では、縦軸及び横軸で特定される欄ごとに、縦軸及び横軸で示された脅威と要素との組み合わせに対応するセキュリティ管理策についてセキュリティ管理策判定部124で判定された結果が表示されている(図17では、例えば、ウィルス感染の攻撃パターン1とサーバとの組み合わせに対応する欄が「■」印の網掛けで表示されている)。
本実施の形態によれば、現在実施しているセキュリティ管理策(あるいは、これから実施しようとするセキュリティ管理策等)が、どのような脅威に対してどのような要素で十分か、あるいは、不足しているかを、リスク分散及び多重防御の観点から容易に把握することができる。そのため、効果的なセキュリティ対策基準を効率的に策定することが可能となる。
ステップS105の後、ユーザの操作等により、不足する対策があればステップS106に進み、なければステップS107に進む。
図9のステップS106において、セキュリティ管理策選定部123は、実施すべきセキュリティ管理策の選択を入力部121により受け付け、ステップS105に戻る。例えば、セキュリティ管理策選定部123は、図17に示したセキュリティ管理策全体マップ155で管理策の選定が不十分であると表示されたセル(例えば、ウィルス感染の攻撃パターン3の、利用者あるいは管理者ドメイン)が選択されて、さらに「管理策選定」ボタンが押下されると、図18に示すようなセキュリティ管理策選定画面156を出力部125により表示する。なお、セキュリティ管理策選定部123は、図15に示したセキュリティ管理策一覧画面153で「管理策選定」ボタンが押下されたときも、セキュリティ管理策選定画面156を出力部125により表示する。
図18に示したセキュリティ管理策選定画面156では、脅威の種別として「ウィルス感染」が選択されている。例えば、セキュリティ管理策選定部123は、「脅威選択」ボタンが押下されると、脅威の種別の一覧等を表示して、脅威の種別を選択する操作を受け付ける。セキュリティ管理策選定画面156では、対象となる脅威(例えば、「ウィルス感染」)に対して、未選定の管理策の一覧が表示される。ユーザは、選定欄のチェックボックスにチェックを入れることで、セキュリティ対策基準に盛り込むべき管理策を選定することができる。セキュリティ管理策選定部123は、「OK」ボタンが押下されると、ユーザにより入力された情報を、管理策選定情報133としてメモリ130に保存する。「全体マップ」ボタンが押下されると、ステップS105に戻り、セキュリティ管理策判定部124が、選定欄に入力された情報を反映した形で、セキュリティ管理策全体マップ155を出力部125により表示する。まだ、不足部分がある場合には、再度、ステップS106に進み、ユーザは、セキュリティ管理策選定画面156で、追加の管理策選定を行う。
最後に、図9のステップS107において、セキュリティ対策基準保存部126は、ステップS105で表示された全体マップにて、実施することが示されたセキュリティ管理策を示す情報をセキュリティ対策基準として記憶装置に保存する。例えば、セキュリティ対策基準保存部126は、図17に示したセキュリティ管理策全体マップ155で「OK」ボタンが押下されると、メモリ130上に保存されている防御モデル選定情報131、防御ドメイン選定情報132、管理策選定情報133、現状管理策情報134を、HDD140又はその他の記憶装置にセキュリティ対策基準情報141として保存する。セキュリティ対策基準情報141は、HDD140又はその他の記憶装置から読み出すことにより、再度防御ドメインの選定や管理策の選定等の作業を行うことができる。なお、全ての脅威/攻撃パターン、内部脅威ドメイン/防御ドメインに対して十分な対策ができていると判定された場合にしか、セキュリティ管理策全体マップ155で「OK」ボタンを押下できないようにしてもよい。
以上のように、本実施の形態によれば、リスク分散及び多重防御の考え方に基づいた効果的なセキュリティ対策基準の作成を支援することが可能となる。
なお、本実施の形態では、セキュリティ対策基準作成支援システム100が、現在実施されているセキュリティ管理策が十分かどうか(即ち、不足していないかどうか)を所定の基準に照らして判定し、全体マップで表示しているが、逆に、現在実施されているセキュリティ管理策が過剰でないかどうかを同様の基準に照らして判定し、全体マップで表示してもよい。
実施の形態2.
本実施の形態について、主に実施の形態1との差異を説明する。
図19は、本実施の形態に係るセキュリティ対策基準作成支援システム100の構成を示すブロック図である。
図19において、セキュリティ対策基準作成支援システム100は、データベース110、防御モデル追加部127、セキュリティ管理策追加部128を備える。図19では省略しているが、セキュリティ対策基準作成支援システム100は、実施の形態1と同様に、入力部121、要素選定部122、セキュリティ管理策選定部123、セキュリティ管理策判定部124、出力部125、セキュリティ対策基準保存部126も備えるものとする。また、セキュリティ対策基準作成支援システム100は、実施の形態1と同様に、メモリ130、HDD140といった記憶装置のほか、不図示の処理装置、入力装置、出力装置等のハードウェアを備える。
防御モデル追加部127は、防御モデル追加機能を有する。以下、この機能について説明する。
防御モデル追加機能:ユーザは、新たな攻撃パターンを定義し、それに対応する防御モデルを入力部121により追加する。このとき、ユーザは、防御モデルを、脅威と資産の間を、防御ドメインで接続した防御モデル図として入力部121により作成する。防御モデル追加部127は、防御モデル図を入力として、防御モデルテーブル111のレコードを自動生成する。後述するセキュリティ管理策追加機能では、新たに作成した防御モデルに対応して、防御ドメインでのセキュリティ管理策が追加される。
セキュリティ管理策追加部128は、セキュリティ管理策追加機能を有する。以下、この機能について説明する。
セキュリティ管理策追加機能:業界基準やガイドラインの改訂への対応、防御モデル追加機能で新たに追加された防御モデルへの対応として、ユーザは、セキュリティ管理策の追加を入力部121により行う。ユーザは、新たな管理策を入力部121により入力する。セキュリティ管理策追加部128は、入力された管理策をセキュリティ管理策−防御モデル対応テーブル113に追加する。ユーザは、その管理策が対応する防御モデル、内部脅威/防御ドメインの定義を入力部121により行う。セキュリティ管理策追加部128は、この定義に従って、セキュリティ管理策−防御モデル対応テーブル113に登録されている管理策のエントリに、新たな防御モデル、内部脅威/防御ドメインを追加する。
本実施の形態では、上記の各機能により、新たな攻撃パターンと防御モデルを追加して、セキュリティ脅威の変化や、組織のセキュリティポリシーの変更、業界基準やガイドラインの改訂等に対応することができる。
以下、セキュリティ対策基準作成支援システム100の動作(本実施の形態に係るセキュリティ対策基準作成支援方法、本実施の形態に係るプログラムの処理手順)について例を挙げて説明する。
図20は、セキュリティ対策基準作成支援システム100の動作を示すフローチャートである。
ステップS401において、防御モデル追加部127は、描画ツール等の画面を出力部125により表示し、ユーザが描画ツール等で、新たな攻撃パターンに対応する防御モデル図を作成する操作を入力部121により受け付ける。描画ツール等としては、例えば、防御モデル図で定義される防御ドメインや防御ドメイン間の接続関係をXML(eXtensible・Markup・Language)形式で出力する機能を有するものを用いる。ステップS402において、防御モデル追加部127は、ステップS401で作成された防御モデル図を、描画ツール等でXML形式ファイルに変換してメモリ130に保存する。ステップS403において、防御モデル追加部127は、ステップS402でメモリ130に保存したXML形式ファイルを読み込む。ステップS404において、防御モデル追加部127は、ユーザが脅威名、攻撃方法を入力する操作を入力部121により受け付ける。そして、防御モデル追加部127は、入力された脅威名、攻撃方法に対応する新たな防御モデルのレコードを防御モデルテーブル111に追加する。ステップS405(処理A)において、防御モデル追加部127は、ステップS403で読み込んだXML形式ファイルから防御モデルテーブル111のデータ項目を処理装置により抽出する。そして、防御モデル追加部127は、抽出したデータ項目を、ステップS404で防御モデルテーブル111に追加したレコードに書き込む。
ここで、処理Aの詳細(テーブルへの変換手順)を図21に示す。
ステップS501において、防御モデル追加部127は、ステップS403で読み込んだ防御モデルのXMLファイルから、脅威情報を処理装置により抽出する。脅威情報が外部脅威を示すものであれば、ステップS502において、防御モデル追加部127は、防御モデルテーブル111の外部脅威欄に「●」印を書き込む。一方、脅威情報が内部脅威を示すものであれば、ステップS503において、防御モデル追加部127は、防御モデルテーブル111の内部脅威の該当するドメイン欄に「●」印を書き込む。ステップS504において、防御モデル追加部127は、脅威情報から、脅威に接続する防御ドメインを1つ処理装置により抽出する。ステップS505において、防御モデル追加部127は、防御モデルテーブル111の該当する防御ドメインの番号を「1」に設定する。ステップS506において、防御モデル追加部127は、脅威情報から、次の防御ドメインを1つ抽出する。ステップS507において、防御モデル追加部127は、防御モデルテーブル111の該当する防御ドメインの番号を「2」に設定する。その防御ドメインが資産のある防御ドメインでなければ、ステップS506に戻る。一方、資産のある防御ドメインであれば、ステップS508において、防御モデル追加部127は、防御モデルテーブル111の守るべき資産欄に防御ドメイン名を書き込む。脅威に接続する防御ドメインが残っていなければ、処理を終了する。一方、残っていれば、ステップS509において、防御モデル追加部127は、新たな防御モデルのレコードを防御モデルテーブル111に追加する。そして、防御モデル追加部127は、そのレコードに脅威、防御モデル番号、脅威源欄の内容をコピーして、ステップS504に戻る。
例えば、図20のステップS401〜S403において、防御モデル追加部127が、新たな防御モデルとして図3に示したウィルス感染の防御モデル3を入力する操作を受け付けたとする(防御モデル図も図3に示したようなものとなる)。この場合、ステップS404〜S405において、防御モデル追加部127は、脅威の種別として「ウィルス感染」、脅威の攻撃方法として「攻撃パターン3」の具体的内容を入力する操作を入力部121により受け付ける。そして、防御モデル追加部127は、図5で脅威が「ウィルス感染」、防御モデル番号が「3」(手動で又は自動的に採番される)の3つのレコードを、防御モデルテーブル111に追加する。
図20のステップS406において、セキュリティ管理策追加部128は、セキュリティ管理策−防御モデル対応テーブル113から対象となる脅威(ステップS404で入力された脅威の種別)に対応する管理策を処理装置により抽出する。そして、セキュリティ管理策追加部128は、抽出したセキュリティ管理策の一覧を出力部125により画面に表示する。ステップS407において、セキュリティ管理策追加部128は、ステップS406で表示されたセキュリティ管理策の一覧から、ユーザが新たな防御モデルに対応するセキュリティ管理策を選択する操作を入力部121により受け付ける。セキュリティ管理策追加部128は、選択されたセキュリティ管理策のレコードを複製してセキュリティ管理策−防御モデル対応テーブル113に追加する。そして、セキュリティ管理策追加部128は、新たな防御モデルの情報を、セキュリティ管理策−防御モデル対応テーブル113に追加したレコードに書き込む。
例えば、ステップS404〜S405において、防御モデル追加部127が、図5で脅威が「ウィルス感染」、防御モデル番号が「3」となっている3つのレコードを、防御モデルテーブル111に追加したとする。この場合、ステップS406において、セキュリティ管理策追加部128は、「ウィルス感染」に対応するセキュリティ管理策として、図7で管理策No.が「1」から「6」までのレコードを、セキュリティ管理策−防御モデル対応テーブル113から抽出する。そして、セキュリティ管理策追加部128は、抽出したセキュリティ管理策の一覧を画面に表示する。このとき、図7で管理策No.が「7」のレコードはまだ存在しない。ステップS407において、セキュリティ管理策追加部128は、管理策No.2を選択する操作を受け付け、管理策No.が「2」のレコードを複製してセキュリティ管理策−防御モデル対応テーブル113に追加する。そして、セキュリティ管理策追加部128は、追加したレコードの防御モデル(番号)を「3」に設定する。
ステップS407の後、ユーザの操作等により、追加する管理策があればステップS408に進み、なければ終了する。
ステップS408(処理B)において、セキュリティ管理策追加部128は、ユーザが新しい管理策を入力する操作を入力部121により受け付ける。そして、セキュリティ管理策追加部128は、入力されたセキュリティ管理策をセキュリティ管理策−防御モデル対応テーブル113に追加する。
ここで、処理Bの詳細(セキュリティ管理策追加手順)を図22に示す。
ステップS601において、セキュリティ管理策追加部128は、追加するセキュリティ管理策の内容の入力を受け付けて、セキュリティ管理策−防御モデル対応テーブル113にセキュリティ管理策のレコードを作成する。ステップS602において、セキュリティ管理策追加部128は、セキュリティ管理策が対抗する脅威を選択する操作を受け付けて(ステップS404で扱った脅威の種別を自動的に選択してもよい)、レコードに書き込む。ステップS603において、セキュリティ管理策追加部128は、セキュリティ管理策が対抗する脅威の攻撃パターン(防御モデル)を選択する操作を受け付けて(ステップS404で扱った防御モデルを自動的に選択してもよい)、レコードに書き込む。ステップS604において、セキュリティ管理策追加部128は、内部脅威源、防御ドメインを選択する操作を受け付けて、レコードに書き込む。対抗する攻撃パターンが残っていれば、ステップS605において、セキュリティ管理策−防御モデル対応テーブル113に、同じ脅威の種別を書き込んだセキュリティ管理策のレコードを追加し、ステップS603に戻る。また、対抗する脅威が残っていれば、ステップS606において、セキュリティ管理策−防御モデル対応テーブル113にセキュリティ管理策のレコードを追加し、ステップS602に戻る。また、追加する管理策が残っていれば、ステップS601に戻る。
例えば、図20のステップS404〜S405において、防御モデル追加部127が、図5で脅威が「ウィルス感染」、防御モデル番号が「3」となっている3つのレコードを、防御モデルテーブル111に追加したとする。この場合、ステップS408において、セキュリティ管理策追加部128は、新たなセキュリティ管理策の具体的内容とともに、実施対象となる防御ドメインとして「利用者」、「管理者」を入力する操作を受け付け、図7で管理策No.が「7」のレコードを、セキュリティ管理策−防御モデル対応テーブル113に追加する。
このように、本実施の形態によれば、ユーザが自由に防御モデルやセキュリティ管理策を追加できるため、セキュリティ対策基準作成支援システム100の有用性、利便性、汎用性、拡張性等が向上する。
実施の形態3.
本実施の形態について、主に実施の形態1との差異を説明する。
図23は、本実施の形態に係るセキュリティ対策基準作成支援システム100の構成を示すブロック図である。
図23において、セキュリティ対策基準作成支援システム100は、データベース110、要素選定部122、セキュリティ管理策判定部124を備える。図23では省略しているが、セキュリティ対策基準作成支援システム100は、実施の形態1と同様に、入力部121、セキュリティ管理策選定部123、出力部125、セキュリティ対策基準保存部126も備えるものとする。また、セキュリティ対策基準作成支援システム100は、実施の形態1と同様に、メモリ130、HDD140といった記憶装置のほか、不図示の処理装置、入力装置、出力装置等のハードウェアを備える。
セキュリティ管理策判定部124は、セキュリティ管理策判定機能のほか、シミュレーション機能を有する。以下、この機能について説明する。
シミュレーション機能:ユーザは、脅威の攻撃パターンに対するリスクの大きさを入力部121により変更する。この場合、セキュリティ管理策判定部124は、現状の管理策で十分なのかどうかをシミュレーションにより判定する。セキュリティ管理策判定部124は、現状の管理策をベースに、攻撃パターンに対するリスクの大きさを変更し、セキュリティ管理策判定機能を使って、セキュリティ管理策の全体マップを出力部125により表示する。
本実施の形態では、上記の機能により、組織での脅威に対するリスクが変化した場合に、現状実施している管理策で不足するのか、それとも十分なのかを把握することが可能となる。
以下、セキュリティ対策基準作成支援システム100の動作(本実施の形態に係るセキュリティ対策基準作成支援方法、本実施の形態に係るプログラムの処理手順)について例を挙げて説明する。
図24は、セキュリティ対策基準作成支援システム100の動作を示すフローチャートである。
ステップS701において、要素選定部122は、セキュリティ対策基準情報141から、現状のセキュリティ対策基準を作成したときの防御モデル選定情報131を処理装置により読み出す。ステップS702において、要素選定部122は、防御モデル選定情報131に基づき、脅威の攻撃パターンに対する現状のリスク設定状況を出力部125により表示する。ステップS703において、要素選定部122は、攻撃パターンに対するリスクの変更入力を入力部121により受け付ける。例えば、要素選定部122は、図11に示したような防御モデル選定画面151を表示して、脅威のリスクの大きさ及び/又は資産が受ける被害の大きさを変更する操作を受け付ける。
ステップS704において、要素選定部122は、ステップS703で変更されたリスクに対応して、新たに選定すべき防御ドメインを出力部125により表示する。そして、要素選定部122は、防御ドメインの変更入力を入力部121により受け付ける。例えば、要素選定部122は、選定基準テーブル112から、ステップS703で変更された脅威のリスクの大きさ及び/又は資産が受ける被害の大きさに対応する防御ドメイン判定基準を読み取る。防御ドメイン判定基準に変更がなければ、要素選定部122は、図13及び図14に示したような防御ドメイン選定画面152を表示する。一方、変更があれば、要素選定部122は、図13及び図14に示したような防御ドメイン選定画面152にて、変更がある部分(新たに選定すべきものとなった防御ドメイン及びそうでなくなった防御ドメイン)を示して、防御ドメインの選定を変更する操作を受け付ける。なお、このときに防御ドメインの選定を変更するかどうかは任意である。
ステップS705において、セキュリティ管理策判定部124は、セキュリティ対策基準情報141から、現状のセキュリティ管理策を示す現状管理策情報134を処理装置により読み出す。ステップS706において、セキュリティ管理策判定部124は、現状管理策情報134に基づき、ステップS703で変更されたリスクに対して、現状のセキュリティ管理策が十分かどうかを処理装置により判定する。ステップS707において、セキュリティ管理策判定部124は、その結果を示す全体マップを表示する。また、ステップS708において、セキュリティ管理策判定部124は、対策不足となる攻撃パターン、防御ドメインに対して現状の管理策と実施可能な管理策を表示する。例えば、セキュリティ管理策判定部124は、選定基準テーブル112から、ステップS703で変更された脅威のリスクの大きさ及び/又は資産が受ける被害の大きさに対応する管理策選定基準を読み取る。セキュリティ管理策判定部124は、管理策選定基準に従って、十分な対策が選定されているか否かを処理装置により判定し、その結果を示すセキュリティ管理策全体マップ155を表示する。このとき、防御ドメインの選定が変更されたことにより、あるいは、管理策選定基準が変更されたことにより、判定結果が変わった部分があれば、セキュリティ管理策全体マップ155にて当該部分を強調表示する。例えば、リスクの変動によりどの部分が変わったのかが判るように、色分け等をして表示する。そして、対策が不足すると予測された攻撃パターンや防御ドメインがある場合、セキュリティ管理策判定部124は、現状の管理策と、強化のために実施可能な管理策を、セキュリティ管理策一覧の形で表示する。
上記のように、ステップS701〜S708において、入力部121は、変更の候補とする選定基準(以下、「候補基準」という)を特定する操作を入力装置により受け付ける。セキュリティ管理策判定部124は、選定基準テーブル112で記憶された選定基準情報から、入力部121への操作で特定された候補基準に対応する実施基準を処理装置により抽出する。そして、セキュリティ管理策判定部124は、脅威と要素との組み合わせごとに、入力部121への操作で選択されたセキュリティ管理策(現在実施されているセキュリティ管理策)が、抽出した実施基準を満たしているか否かを処理装置により判定する。出力部125は、セキュリティ管理策判定部124の判定結果を表示するセキュリティ管理策全体マップ155を出力装置により出力する。
以上、本発明の実施の形態について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。
100 セキュリティ対策基準作成支援システム、110 データベース、111 防御モデルテーブル、112 選定基準テーブル、113 セキュリティ管理策−防御モデル対応テーブル、121 入力部、122 要素選定部、123 セキュリティ管理策選定部、124 セキュリティ管理策判定部、125 出力部、126 セキュリティ対策基準保存部、127 防御モデル追加部、128 セキュリティ管理策追加部、130 メモリ、131 防御モデル選定情報、132 防御ドメイン選定情報、133 管理策選定情報、134 現状管理策情報、140 HDD、141 セキュリティ対策基準情報、151 防御モデル選定画面、152 防御ドメイン選定画面、153 セキュリティ管理策一覧画面、154 セキュリティ管理策現状入力画面、155 セキュリティ管理策全体マップ、156 セキュリティ管理策選定画面、901 LCD、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、921 オペレーティングシステム、922 ウィンドウシステム、923 プログラム群、924 ファイル群。

Claims (13)

  1. 情報資産を複数の脅威から守るための対策である複数のセキュリティ管理策のそれぞれに対して、セキュリティ管理策によって対処される脅威と、当該脅威が情報資産に到達するまでの経路を構成する複数の要素のうち、当該セキュリティ管理策の実施対象となる要素とを定義するセキュリティ管理策情報を記憶装置に記憶するセキュリティ管理策情報記憶部と、
    前記複数の脅威のそれぞれに対して、脅威の経路を構成する複数の要素と、当該複数の要素が当該脅威の経路を構成する順序とを定義する脅威情報を記憶装置に記憶する脅威情報記憶部と、
    脅威の経路を構成する複数の要素のうち、セキュリティ管理策の実施対象とする要素を選定するための基準である複数の選定基準のそれぞれに対して、選定基準によって選定される要素を、脅威の経路における当該要素の順位で指定する選定基準情報を記憶装置に記憶する選定基準情報記憶部と、
    脅威及び選定基準を特定する操作を入力装置により受け付ける入力部と、
    前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部への操作で特定された選定基準に対応する要素の順位を処理装置により抽出し、前記脅威情報記憶部で記憶された脅威情報から、前記入力部への操作で特定された脅威に対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素を処理装置により選定する要素選定部と、
    前記セキュリティ管理策情報記憶部で記憶されたセキュリティ管理策情報から、前記入力部への操作で特定された脅威と前記要素選定部で選定された要素との組み合わせに対応するセキュリティ管理策を処理装置により選定するセキュリティ管理策選定部とを備えることを特徴とするセキュリティ対策基準作成支援システム。
  2. 前記選定基準情報は、前記複数の選定基準のそれぞれに対して、脅威のリスクの大きさを段階評価したリスクレベルを定義し、選定基準によって選定される要素として、脅威の経路にて脅威の発生源に近い順に、定義したリスクレベルの高さに応じた数の要素を指定する情報であり、
    前記入力部は、選定基準を特定する操作として、脅威のリスクレベルを示す情報の入力を入力装置により受け付け、
    前記要素選定部は、前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部へ入力された情報が示すリスクレベルに対応する選定基準を処理装置により特定し、前記選定基準情報記憶部で記憶された選定基準情報から、特定した選定基準に対応する要素の順位を処理装置により抽出することを特徴とする請求項1に記載のセキュリティ対策基準作成支援システム。
  3. 前記選定基準情報は、前記複数の選定基準のそれぞれに対して、内部脅威のリスクの大きさを段階評価したリスクレベルを定義し、選定基準によって選定される要素として、脅威の経路にて内部脅威の発生源に該当する要素から順に、定義したリスクレベルの高さに応じた数の要素を指定する情報であり、
    前記入力部は、脅威を特定する操作として、内部脅威を特定する操作を受け付けるとともに、選定基準を特定する操作として、内部脅威のリスクレベルを示す情報の入力を入力装置により受け付け、
    前記要素選定部は、前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部へ入力された情報が示すリスクレベルに対応する選定基準を処理装置により特定し、前記選定基準情報記憶部で記憶された選定基準情報から、特定した選定基準に対応する要素の順位を処理装置により抽出し、前記脅威情報記憶部で記憶された脅威情報から、前記入力部への操作で特定された内部脅威に対応する要素であって、当該内部脅威の経路における順位が、抽出した順位と一致する要素を処理装置により選定することを特徴とする請求項1に記載のセキュリティ対策基準作成支援システム。
  4. 前記脅威情報は、前記複数の脅威のそれぞれに対して、さらに、脅威に曝される情報資産を定義する情報であり、
    前記選定基準情報は、前記複数の選定基準のそれぞれに対して、脅威による情報資産の被害の大きさを段階評価した被害レベルを定義し、選定基準によって選定される要素として、脅威の経路にて情報資産に該当する要素から順に、定義した被害レベルの高さに応じた数の要素を指定する情報であり、
    前記入力部は、さらに、情報資産を特定する操作を入力装置により受け付けるとともに、選定基準を特定する操作として、情報資産の被害レベルを示す情報の入力を入力装置により受け付け、
    前記要素選定部は、前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部へ入力された情報が示す被害レベルに対応する選定基準を処理装置により特定し、前記選定基準情報記憶部で記憶された選定基準情報から、特定した選定基準に対応する要素の順位を処理装置により抽出し、前記脅威情報記憶部で記憶された脅威情報から、前記入力部への操作で特定された情報資産と前記入力部への操作で特定された脅威との組み合わせに対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素を処理装置により選定することを特徴とする請求項1に記載のセキュリティ対策基準作成支援システム。
  5. 前記選定基準情報は、前記複数の選定基準のそれぞれに対して、さらに、実施すべきセキュリティ管理策の基準である実施基準を定義する情報であり、
    前記入力部は、さらに、前記セキュリティ管理策選定部で選定されたセキュリティ管理策から、任意のセキュリティ管理策を選択する操作を入力装置により受け付け、
    前記セキュリティ対策基準作成支援システムは、さらに、
    前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部への操作で特定された選定基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記入力部への操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定するセキュリティ管理策判定部と、
    前記複数の脅威を示す項目と前記複数の要素を示す項目とのうち、一方の項目を縦軸に配置し、他方の項目を横軸に配置し、縦軸及び横軸で特定される欄ごとに、縦軸及び横軸で示された脅威と要素との組み合わせに対応するセキュリティ管理策について前記セキュリティ管理策判定部で判定された結果を表示する全体マップを出力装置により出力する出力部とを備えることを特徴とする請求項1から4までのいずれかに記載のセキュリティ対策基準作成支援システム。
  6. 前記入力部は、さらに、変更の候補とする選定基準を候補基準として特定する操作を入力装置により受け付け、
    前記セキュリティ管理策判定部は、前記選定基準情報記憶部で記憶された選定基準情報から、前記入力部への操作で特定された候補基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記入力部への操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定することを特徴とする請求項5に記載のセキュリティ対策基準作成支援システム。
  7. 前記複数の要素は、要素として、情報資産を含むほか、情報資産の利用者と情報資産の管理者とネットワークと設備と組織との少なくともいずれかを含むことを特徴とする請求項1から6までのいずれかに記載のセキュリティ対策基準作成支援システム。
  8. 情報資産を複数の脅威から守るための対策である複数のセキュリティ管理策のそれぞれに対して、セキュリティ管理策によって対処される脅威と、当該脅威が情報資産に到達するまでの経路を構成する複数の要素のうち、当該セキュリティ管理策の実施対象となる要素とを定義するセキュリティ管理策情報と、
    前記複数の脅威のそれぞれに対して、脅威の経路を構成する複数の要素と、当該複数の要素が当該脅威の経路を構成する順序とを定義する脅威情報と、
    脅威の経路を構成する複数の要素のうち、セキュリティ管理策の実施対象とする要素を選定するための基準である複数の選定基準のそれぞれに対して、選定基準によって選定される要素を、脅威の経路における当該要素の順位で指定する選定基準情報とを記憶装置に記憶するデータベースにアクセスするプログラムであって、
    脅威及び選定基準を特定する操作を入力装置により受け付ける入力処理と、
    前記データベースで記憶された選定基準情報から、前記入力処理への操作で特定された選定基準に対応する要素の順位を処理装置により抽出し、前記データベースで記憶された脅威情報から、前記入力処理への操作で特定された脅威に対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素を処理装置により選定する要素選定処理と、
    前記データベースで記憶されたセキュリティ管理策情報から、前記入力処理への操作で特定された脅威と前記要素選定処理で選定された要素との組み合わせに対応するセキュリティ管理策を処理装置により選定するセキュリティ管理策選定処理とをコンピュータに実行させることを特徴とするプログラム。
  9. 前記選定基準情報は、前記複数の選定基準のそれぞれに対して、さらに、実施すべきセキュリティ管理策の基準である実施基準を定義する情報であり、
    前記入力処理は、さらに、前記セキュリティ管理策選定処理で選定されたセキュリティ管理策から、任意のセキュリティ管理策を選択する操作を入力装置により受け付け、
    前記プログラムは、さらに、
    前記データベースで記憶された選定基準情報から、前記入力処理への操作で特定された選定基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記入力処理への操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定するセキュリティ管理策判定処理と、
    前記複数の脅威を示す項目と前記複数の要素を示す項目とのうち、一方の項目を縦軸に配置し、他方の項目を横軸に配置し、縦軸及び横軸で特定される欄ごとに、縦軸及び横軸で示された脅威と要素との組み合わせに対応するセキュリティ管理策について前記セキュリティ管理策判定処理で判定された結果を表示する全体マップを出力装置により出力する出力処理とをコンピュータに実行させることを特徴とする請求項8に記載のプログラム。
  10. 前記入力処理は、さらに、変更の候補とする選定基準を候補基準として特定する操作を入力装置により受け付け、
    前記セキュリティ管理策判定処理は、前記データベースで記憶された選定基準情報から、前記入力処理への操作で特定された候補基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記入力処理への操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定することを特徴とする請求項9に記載のプログラム。
  11. 情報資産を複数の脅威から守るための対策である複数のセキュリティ管理策のそれぞれに対して、セキュリティ管理策によって対処される脅威と、当該脅威が情報資産に到達するまでの経路を構成する複数の要素のうち、当該セキュリティ管理策の実施対象となる要素とを定義するセキュリティ管理策情報と、
    前記複数の脅威のそれぞれに対して、脅威の経路を構成する複数の要素と、当該複数の要素が当該脅威の経路を構成する順序とを定義する脅威情報と、
    脅威の経路を構成する複数の要素のうち、セキュリティ管理策の実施対象とする要素を選定するための基準である複数の選定基準のそれぞれに対して、選定基準によって選定される要素を、脅威の経路における当該要素の順位で指定する選定基準情報とを記憶装置に記憶するデータベースを利用するセキュリティ対策基準作成支援であって、
    コンピュータが、脅威及び選定基準を特定する操作を入力装置により受け付け、
    コンピュータが、前記データベースで記憶された選定基準情報から、前記操作で特定された選定基準に対応する要素の順位を処理装置により抽出し、前記データベースで記憶された脅威情報から、前記操作で特定された脅威に対応する要素であって、当該脅威の経路における順位が、抽出した順位と一致する要素を処理装置により選定し、
    コンピュータが、前記データベースで記憶されたセキュリティ管理策情報から、前記操作で特定された脅威と、選定した要素との組み合わせに対応するセキュリティ管理策を処理装置により選定することを特徴とするセキュリティ対策基準作成支援方法。
  12. 前記選定基準情報は、前記複数の選定基準のそれぞれに対して、さらに、実施すべきセキュリティ管理策の基準である実施基準を定義する情報であり、
    コンピュータが、さらに、選定したセキュリティ管理策から、任意のセキュリティ管理策を選択する操作を入力装置により受け付け、
    コンピュータが、前記データベースで記憶された選定基準情報から、前記操作で特定された選定基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定し、
    コンピュータが、前記複数の脅威を示す項目と前記複数の要素を示す項目とのうち、一方の項目を縦軸に配置し、他方の項目を横軸に配置し、縦軸及び横軸で特定される欄ごとに、縦軸及び横軸で示された脅威と要素との組み合わせに対応するセキュリティ管理策について、判定した結果を表示する全体マップを出力装置により出力することを特徴とする請求項11に記載のセキュリティ対策基準作成支援方法。
  13. コンピュータが、さらに、変更の候補とする選定基準を候補基準として特定する操作を入力装置により受け付け、
    コンピュータが、前記データベースで記憶された選定基準情報から、前記操作で特定された候補基準に対応する実施基準を処理装置により抽出し、脅威と要素との組み合わせごとに、前記操作で選択されたセキュリティ管理策が、抽出した実施基準を満たしているか否かを処理装置により判定することを特徴とする請求項12に記載のセキュリティ対策基準作成支援方法。
JP2010058665A 2010-03-16 2010-03-16 セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 Expired - Fee Related JP5366864B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010058665A JP5366864B2 (ja) 2010-03-16 2010-03-16 セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010058665A JP5366864B2 (ja) 2010-03-16 2010-03-16 セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法

Publications (2)

Publication Number Publication Date
JP2011192105A true JP2011192105A (ja) 2011-09-29
JP5366864B2 JP5366864B2 (ja) 2013-12-11

Family

ID=44796924

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010058665A Expired - Fee Related JP5366864B2 (ja) 2010-03-16 2010-03-16 セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法

Country Status (1)

Country Link
JP (1) JP5366864B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014132455A (ja) * 2012-12-28 2014-07-17 Eni Spa 産業施設のセキュリティのためのリスク評価及びシステム
JP2015095159A (ja) * 2013-11-13 2015-05-18 日本電信電話株式会社 評価方法及び評価装置
KR20150122009A (ko) * 2014-04-22 2015-10-30 한국전자통신연구원 공격 분류 맵 제공 장치
JP2016045736A (ja) * 2014-08-22 2016-04-04 株式会社日立製作所 セキュリティ設計支援装置およびセキュリティ設計支援方法
JP2016170568A (ja) * 2015-03-12 2016-09-23 株式会社日立製作所 ログ管理制御システムおよびログ管理制御方法
JP2019070912A (ja) * 2017-10-06 2019-05-09 株式会社野村総合研究所 セキュリティ評価システムおよびセキュリティ評価方法
JP2020095672A (ja) * 2018-11-28 2020-06-18 オムロン株式会社 コントローラシステム
JP7465835B2 (ja) 2021-03-05 2024-04-11 株式会社日立製作所 セキュリティ対策支援装置、および、セキュリティ対策支援方法
WO2024079972A1 (ja) * 2022-10-11 2024-04-18 株式会社日立製作所 サイバー攻撃対処支援システム、サイバー攻撃対処支援方法、及びサイバー攻撃対処支援プログラム
US12130911B2 (en) 2018-11-28 2024-10-29 Omron Corporation Controller system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001155081A (ja) * 1999-11-25 2001-06-08 Hitachi Ltd 安全対策方針作成装置
JP2002352062A (ja) * 2001-05-24 2002-12-06 Hitachi Ltd セキュリティ評価装置
JP2005025523A (ja) * 2003-07-02 2005-01-27 Mitsubishi Electric Corp 情報セキュリティ管理支援装置
JP2006276993A (ja) * 2005-03-28 2006-10-12 Hitachi Ltd セキュリティ設計支援方法、セキュリティ設計支援装置及びセキュリティ設計支援プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001155081A (ja) * 1999-11-25 2001-06-08 Hitachi Ltd 安全対策方針作成装置
JP2002352062A (ja) * 2001-05-24 2002-12-06 Hitachi Ltd セキュリティ評価装置
JP2005025523A (ja) * 2003-07-02 2005-01-27 Mitsubishi Electric Corp 情報セキュリティ管理支援装置
JP2006276993A (ja) * 2005-03-28 2006-10-12 Hitachi Ltd セキュリティ設計支援方法、セキュリティ設計支援装置及びセキュリティ設計支援プログラム

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014132455A (ja) * 2012-12-28 2014-07-17 Eni Spa 産業施設のセキュリティのためのリスク評価及びシステム
JP2015095159A (ja) * 2013-11-13 2015-05-18 日本電信電話株式会社 評価方法及び評価装置
KR20150122009A (ko) * 2014-04-22 2015-10-30 한국전자통신연구원 공격 분류 맵 제공 장치
KR102186212B1 (ko) * 2014-04-22 2020-12-03 한국전자통신연구원 공격 분류 맵 제공 장치
JP2016045736A (ja) * 2014-08-22 2016-04-04 株式会社日立製作所 セキュリティ設計支援装置およびセキュリティ設計支援方法
JP2016170568A (ja) * 2015-03-12 2016-09-23 株式会社日立製作所 ログ管理制御システムおよびログ管理制御方法
JP2019070912A (ja) * 2017-10-06 2019-05-09 株式会社野村総合研究所 セキュリティ評価システムおよびセキュリティ評価方法
JP7026475B2 (ja) 2017-10-06 2022-02-28 株式会社野村総合研究所 セキュリティ評価システムおよびセキュリティ評価方法
JP2020095672A (ja) * 2018-11-28 2020-06-18 オムロン株式会社 コントローラシステム
US12130911B2 (en) 2018-11-28 2024-10-29 Omron Corporation Controller system
JP7465835B2 (ja) 2021-03-05 2024-04-11 株式会社日立製作所 セキュリティ対策支援装置、および、セキュリティ対策支援方法
WO2024079972A1 (ja) * 2022-10-11 2024-04-18 株式会社日立製作所 サイバー攻撃対処支援システム、サイバー攻撃対処支援方法、及びサイバー攻撃対処支援プログラム

Also Published As

Publication number Publication date
JP5366864B2 (ja) 2013-12-11

Similar Documents

Publication Publication Date Title
JP5366864B2 (ja) セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法
CN103577761B (zh) 一种在移动设备中处理隐私数据的方法和装置
US20190155663A1 (en) Software bot conflict-resolution service agent
US7891003B2 (en) Enterprise threat modeling
Spanakis et al. Cyber-attacks and threats for healthcare–a multi-layer thread analysis
Hassan Digital forensics basics: A practical guide using Windows OS
JP2018077597A (ja) セキュリティ対策立案支援システムおよび方法
CN102959558A (zh) 用于文档策略实施的系统和方法
JP5936798B2 (ja) ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法
CN110070360B (zh) 一种事务请求处理方法、装置、设备及存储介质
CN106686104A (zh) 用于目标服务器运维的方法与设备
JP4585925B2 (ja) セキュリティ設計支援方法及び支援装置
JP5413010B2 (ja) 分析装置、分析方法およびプログラム
Williams et al. Future scenarios and challenges for security and privacy
Calder Information Security based on ISO 27001/ISO 27002
JP6012504B2 (ja) ワークフロー管理システム及びワークフロー管理方法及びプログラム
JP2015204061A (ja) システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム
JP2008276376A (ja) 文書ファイル保護方法
CN102402598A (zh) 应用文件系统访问
JP6631091B2 (ja) 情報処理装置及び情報処理プログラム
JP2007200047A (ja) アクセスログ表示システムおよび方法
JP6690674B2 (ja) 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム
JP5202655B2 (ja) 業務フローチャート検索装置及びプログラム
JP2010250677A (ja) セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム
JP6369249B2 (ja) 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120807

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130820

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130823

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130910

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees