JP2013025429A - セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム - Google Patents
セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム Download PDFInfo
- Publication number
- JP2013025429A JP2013025429A JP2011157420A JP2011157420A JP2013025429A JP 2013025429 A JP2013025429 A JP 2013025429A JP 2011157420 A JP2011157420 A JP 2011157420A JP 2011157420 A JP2011157420 A JP 2011157420A JP 2013025429 A JP2013025429 A JP 2013025429A
- Authority
- JP
- Japan
- Prior art keywords
- index value
- countermeasure
- target
- level
- implementation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 114
- 230000000694 effects Effects 0.000 claims abstract description 135
- 238000004364 calculation method Methods 0.000 claims abstract description 107
- 230000009467 reduction Effects 0.000 claims description 63
- 230000009471 action Effects 0.000 claims description 32
- 230000006870 function Effects 0.000 claims description 5
- 238000000034 method Methods 0.000 description 35
- 230000008569 process Effects 0.000 description 20
- 238000004891 communication Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 230000008520 organization Effects 0.000 description 14
- 238000005728 strengthening Methods 0.000 description 9
- 230000014509 gene expression Effects 0.000 description 7
- 238000010606 normalization Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 238000010835 comparative analysis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【解決手段】対策実施方針設定部110は、管理者が入力した目標の実施基準レベル(目標レベル)と、実施されている情報セキュリティ対策(実施対策)とを記憶する。目標基準算出部120は、対策定義ファイル191と実施基準定義ファイル192とに基づいて、目標レベルの効果指標値(目標指標値)を算出する。到達レベル算出部130は、対策定義ファイル191と実施基準定義ファイル192とに基づいて、実施対策の効果指標値(実施指標値)を算出する。到達レベル表示部140は、目標指標値と実施指標値とを対比した対比情報を評価結果として表示する。
【選択図】図1
Description
また、従来技術には、組織が真に対応すべきリスクがどこにあり、そのリスクに対抗するためにさらにどの程度の対策を実施しなければならないかがわからないという課題があった。
セキュリティのリスクを低減する対策項目と、セキュリティのリスクを低減する効果の度合いを表すリスク低減率と、対策項目の重要度を表す対策レベルとを対応付けた対策定義ファイルを記憶する対策定義ファイル記憶部と、
対策レベルと、リスク低減率の重み付け係数とを対応付けた重み付け定義ファイルを記憶する重み付け定義ファイル記憶部と、
前記対策定義ファイル記憶部に記憶される対策定義ファイルに基づいて特定の対策レベルに対応する対策項目と前記特定の対策レベルより高い重要度の対策レベルに対応する対策項目とを対象項目として判定し、対象項目毎に対象項目に対応するリスク低減率を前記対策定義ファイルから取得し、前記重み付け定義ファイル記憶部に記憶される重み付け定義ファイルから前記特定の対策レベルに対応する重み付け係数と前記特定の対策レベルより高い重要度の対策レベルに対応する重み付け係数とを取得し、対象項目毎にリスク低減率と重み付け係数とに基づいてセキュリティのリスクを低減する効果に関する指標値を効果指標値として算出し、算出した効果指標値を合計した合計値を目標指標値として算出する目標指標値算出部と、
実施されている対策項目として指定された対策項目を実施項目として示す実施項目データに基づいて実施項目毎に実施項目に対応するリスク低減率と対策レベルとを前記対策定義ファイルから取得し、実施項目毎に対策レベルに対応する重み付け係数を前記重み付け定義ファイルから取得し、実施項目毎にリスク低減率と重み付け係数とに基づいて効果指標値を算出し、算出した効果指標値を合計した合計値を実施指標値として算出する実施指標値算出部と、
前記目標指標値算出部によって算出された目標指標値と前記実施指標値算出部によって算出された実施指標値とを対比した対比情報を評価結果として出力する評価結果出力部とを備える。
そして、セキュリティ対策の管理者は、評価結果に基づいて組織目標に対する達成度を把握し、組織にとって妥当なセキュリティ対策を実行することができる。
実施しているセキュリティ対策が目標レベルに対してどの程度、充足(達成)できているかを評価する形態について説明する。
実施の形態1におけるセキュリティ対策効果評価装置100の機能構成について、図1に基づいて以下に説明する。
対策定義ファイル191や実施基準定義ファイル192は、評価装置記憶部190に記憶されるデータの一例である。
対策実施方針設定部110は、利用者が入力した実施項目データ(後述する「実施対策データ」)を評価装置記憶部190に記憶する。実施項目データとは、実施されている対策項目を実施項目として示すデータである。
目標基準算出部120は、対象項目毎に対象項目に対応するリスク低減率を対策定義ファイル191から取得する。
目標基準算出部120は、実施基準定義ファイル192から目標レベルに対応する重み付け係数と目標レベルより高い重要度の対策レベルに対応する重み付け係数とを取得する。
目標基準算出部120は、対象項目毎にリスク低減率と重み付け係数とに基づいて、セキュリティのリスクを低減する効果に関する指標値を効果指標値として算出する。例えば、効果指標値は、セキュリティのリスクを低減する効果が高く重み付け係数が大きいほど大きい値である。
目標基準算出部120は、算出した効果指標値を合計した合計値を目標指標値として算出する。
到達レベル算出部130は、実施項目毎に対策レベルに対応する重み付け係数を実施基準定義ファイル192から取得する。
到達レベル算出部130は、実施項目毎にリスク低減率と重み付け係数とに基づいて効果指標値を算出し、算出した効果指標値を合計した合計値を実施指標値として算出する。
実施の形態1における対策定義ファイル191について、図2に基づいて説明する。
「情報セキュリティ対策」には、セキュリティのリスクを低減する対策の名称(識別子の一例)を設定する。
「リスク低減率」には、セキュリティのリスクを低減する効果の度合いを設定する。例えば、「リスク低減率」の値が「1/100」である場合、セキュリティのリスクが100分の1に低減されることを意味する。
「実施基準レベル」には、情報セキュリティ対策の重要度を設定する。実施の形態1では、「必須(1)、標準(2)、強化(3)、推奨(4)」の順で重要度が高いものとする。例えば、「実施基準レベル」には重要度を表す名称(例えば「必須」)や値(例えば「1」)を設定する。
実施の形態1における実施基準定義ファイル192について、図3に基づいて説明する。
「実施基準パラメータ」には、実施基準レベルの種類を表す名称を設定する。
「実施基準レベル」には、対策定義ファイル191(図2参照)と同じく、情報セキュリティ対策の重要度を設定する。
「重み付け係数」には、リスク低減率(図2参照)の重み付け係数を設定する。
「レベル概要」には、実施基準レベルの説明を設定する。
実施の形態1におけるセキュリティ対策効果評価装置100のセキュリティ対策効果評価方法(セキュリティ評価方法の一例、セキュリティ評価プログラムが表す処理手順の一例)について、図4に基づいて説明する。
目標基準算出部120は、対策定義ファイル191と実施基準定義ファイル192とに基づいて、目標レベルの効果指標値(目標指標値)を算出する(S120)。
到達レベル算出部130は、対策定義ファイル191と実施基準定義ファイル192とに基づいて、実施対策の効果指標値(実施指標値)を算出する(S130)。
到達レベル表示部140は、目標指標値と実施指標値とを対比した対比情報を評価結果として表示する(S140)。
そして、管理者は、決定した実施基準レベルをキーボードやマウスなどの入力機器を用いてセキュリティ対策効果評価装置100に入力する。
また、対策実施方針設定部110は、対象とする実施基準パラメータに対応する複数の実施基準レベルを実施基準定義ファイル192を参照して判定し、判定した複数の実施基準レベルをチェックボックス付きのリストの形式でディスプレイに表示する。管理者は、表示された複数の実施基準レベルのうちいずれかの実施基準レベルのチェックボックスを指定することにより、目標とする実施基準レベルを選択する。
以下、管理者によって入力された実施基準レベルを「目標レベル」という。
例えば、対策実施方針設定部110は、対策定義ファイル191に設定されている複数の情報セキュリティ対策をチェックボックス付きのリストの形式でディスプレイに表示する。管理者は、表示された複数の情報セキュリティ対策のうち実施している全ての情報セキュリティ対策についてチェックボックスを指定することにより、実施している全ての情報セキュリティ対策を選択する。
以下、管理者によって入力された情報セキュリティ対策を「実施対策」といい、管理者によって入力された全ての実施対策を示すデータを「実施対策データ」という。
S110の後、S120に進む。
S120の後、S130に進む。
実施の形態1における目標指標値算出処理(S120)について、図5に基づいて説明する。
目標基準算出部120は、評価装置記憶部190に記憶されている実施基準定義ファイル192(図3参照)を参照し、目標レベルより高い実施基準レベルを判定する。
例えば、図3に示した実施基準定義ファイル192に設定されている実施基準レベルのうち「標準(2)」が目標レベルである場合、目標レベルより高い実施基準レベルは「必須(1)」である。また、「推奨(3)」が目標レベルである場合、目標レベルより高い実施基準レベルは「必須(1)」と「標準(2)」との二つの実施基準レベルである。
以下、目標レベルより高い実施基準レベルを「重要レベル」という。
S121の後、S122に進む。
例えば、「標準(2)」が目標レベルである場合、図2に示した対策定義ファイル191に設定されている情報セキュリティ対策のうち目標レベルに対応する情報セキュリティ対策は「アクセスログの取得」である。また、重要レベル「必須(1)」に対応する情報セキュリティ対策は「通信路の暗号化」である。
以下、目標レベルまたは重要レベルに対応する情報セキュリティ対策を「目標対策」という。
S122の後、S123に進む。
図2に示した対策定義ファイル191において、目標対策「通信路の暗号化」のリスク低減率は「1/100」であり、目標対策「アクセスログの取得」のリスク低減率は「1/10」である。
S123の後、S124に進む。
例えば、図2に示した対策定義ファイル191において目標対策「通信路の暗号化」に対応する実施基準レベルは「必須(1)」であり、図3に示した実施基準定義ファイル192において実施基準レベル「必須(1)」に対応する重み付け係数は「1.0」である。したがって、目標対策「通信路の暗号化」の重み付け係数は「1.0」である。同様に、目標対策「アクセスログの取得」の重み付け係数は「0.8」である。
S124の後、S125に進む。
効果指標値は、セキュリティのリスクを低減する効果が高く重み付け係数が大きいほど大きい。
まず、目標基準算出部120は、リスク低減率の対数値を算出する。リスク低減率の対数値を算出する算出式は、「リスク低減率の対数値=−10log(リスク低減率)」で表される。logの底は「10」である。
そして、目標基準算出部120は、リスク低減率の対数値と重み付け係数とを乗算して目標対策の効果指標値を算出する。効果指標値を算出する算出式は、「効果指標値=リスク低減率の対数値×重み付け係数」で表される。
そして、目標対策「通信路の暗号化」の重み付け係数が「1.0」である場合、目標対策「通信路の暗号化」の効果指標値は「20(=20×1.0)」である。
そして、目標対策「アクセスログの取得」の重み付け係数が「0.8」である場合、目標対策「アクセスログの取得」の効果指標値は「8(=10×0.8)」である。
例えば、リスク低減率の対数値の代わりにリスク低減率「1/100」の逆数「100」を用いて効果指標値を算出しても構わない。
また、対策定義ファイル191(図2参照)にリスクを低減する効果の度合いが高いほど大きな値をリスク低減率として設定し、リスク低減率の対数値の代わりにリスク低減値そのものを用いて効果指標値を算出しても構わない。
例えば、2つの目標対策「通信路の暗号化」「アクセスログの取得」が存在し、目標対策「通信路の暗号化」の効果指標値が「20」であり、目標対策「アクセスログの取得」の効果指標値が「8」である場合、目標指標値は「28(=20+8)」である。
S126により、目標指標値算出処理(S120)は終了する。
以下、実施対策の効果指標値を「実施指標値」という。
S130の後、S140に進む。
実施の形態1における実施指標値算出処理(S130)について、図6に基づいて説明する。
到達レベル算出部130は、実施対策データが示す実施対策毎に実施対策に対応するリスク低減率と実施基準レベルとを対策定義ファイル191(図2参照)から取得する。
S131の後、S132に進む。
S132の後、S133に進む。
実施対策の効果指標値の算出方法は、目標対策の効果指標値の算出方法(図5のS125参照)と同様である。
S133の後、S134に進む。
実施指標値を算出する算出式は「実施指標値=Σ(実施対策の効果指標値)」で表される。
S134により、実施指標値算出処理(S130)は終了する。
また、到達レベル表示部140は、目標指標値に対する実施指標値の割合(=実施指標値/目標指標値)を対策充足率として算出し、算出した対策充足率を含んだ情報を対比情報として生成してもよい。
また、到達レベル表示部140は、目標指標値に対する実施指標値の割合(対策充足率)を示す画面を結果表示画面として表示してもよい。
図7において、セキュリティ対策効果評価装置100(コンピュータの一例)は、CPU901(Central Processing Unit)を備えている。CPU901は、バス902を介してROM903、RAM904、通信ボード905、ディスプレイ装置911、キーボード912、マウス913、ドライブ装置914、磁気ディスク装置920などのハードウェアデバイスと接続され、これらのハードウェアデバイスを制御する。ドライブ装置914は、FD(Flexible Disk Drive)、CD(Compact Disc)、DVD(Digital Versatile Disc)などの記憶媒体を読み書きする装置である。
ROM903、RAM904、磁気ディスク装置920およびドライブ装置914は記憶機器の一例である。キーボード912およびマウス913は入力機器の一例である。ディスプレイ装置911は出力機器の一例である。
通信ボード905は、通信機器、入力機器または出力機器の一例である。
(a)情報セキュリティ対策と各対策のリスク低減率、組織が決定して入力する実施基準レベルを記載した対策定義ファイル
(b)対策の実施基準パラメータ、実施基準レベル、各レベルの重み付け係数を記載した組織の実施基準定義ファイル
(c)組織の対策実施方針として、各対策をどの程度優先して実施すべきかを示す実施基準レベルと、実施基準レベルのうちどのレベルまでを実施するかを示す目標レベルを設定する対策実施方針設定手段(対策実施方針設定部110)
(d)目標レベルに対応する各対策のリスク低減率と、実施基準レベルの重み付け係数から対策効果指標値を算出して、目標対策の対策効果指標値を積算して組織の目標基準(目標指標値)を算出する手段(目標基準算出部120)
(e)対策定義ファイルに記載された対策のうち実施している対策を入力され、リスク低減率と、実施基準レベルの重み付け係数から対策効果指標値を算出して、実施対策の対策効果指標値を積算して到達レベル(実施指標値)を算出する手段(到達レベル算出部130)
(f)組織の目標基準と組み合わせて到達レベルを表示する到達レベル表示手段(到達レベル表示部140)
これにより、セキュリティ対策効果評価装置100は、組織ごとに異なり、組織にとって妥当な目標に対する対策実施状況を評価することができる。
各実施基準レベルの効果指標値の比率を表す帯グラフに実施指標値を表す表記を付記した画面を結果表示画面として表示する形態について説明する。
以下、実施の形態1と異なる事項について主に説明する。説明を省略する事項については実施の形態1と同様である。
セキュリティ対策効果評価装置100の構成は、実施の形態1(図1参照)と同じである。
例えば、目標基準算出部120は、対策定義ファイル191に含まれる対策レベル毎に目標指標値を算出する。
到達レベル表示部140は、算出した実施指標値の比率を表す表記を含んだ情報を対比情報として評価結果を表示する。
到達レベル表示部140は、到達レベル算出部130によって算出された実施指標値に基づいて重要度が最も低い対策レベルの目標指標値に対する実施指標値の比率を算出する。
到達レベル表示部140は、各対策レベルの目標指標値の比率を表す目標指標値の帯グラフを生成し、生成した目標指標値の帯グラフと実施指標値の比率を表す実施指標値の表記とを含んだ情報を対比情報として評価結果を表示する。
実施の形態2におけるセキュリティ対策効果評価装置100のセキュリティ対策効果評価方法について、図8に基づいて説明する。
目標基準算出部120は、対策定義ファイル191と実施基準定義ファイル192とに基づいて、実施基準レベル毎に効果指標値(目標指標値)を算出する(S220)。
到達レベル算出部130は、対策定義ファイル191と実施基準定義ファイル192とに基づいて、実施対策の効果指標値(実施指標値)を算出する(S230)。
到達レベル表示部140は、目標指標値の帯グラフを生成し、実施指標値の表記を付記した目標指標値の帯グラフを評価結果として表示する(S240)。
但し、管理者による目標レベルの入力および対策実施方針設定部110による目標レベルの記憶は不要である。
S210の後、S220に進む。
各実施基準レベルの効果指標値を算出する方法は、実施の形態1のS120で説明した目標レベルの効果指標値を算出する方法と同様である。
以下、各実施基準レベルの効果指標値を「目標指標値」という。
S220の後、S230に進む。
実施指標値を算出する方法は、実施の形態1のS130と同じである。
S230の後、S240に進む。
S240により、セキュリティ対策効果評価方法の処理は終了する。
実施の形態2における結果表示処理(S240)について、図9に基づいて説明する。
実施の形態1(図4のS120参照)で説明したように、目標指標値は、重要度が高い情報セキュリティ対策の効果指標値を加算した値である。このため、目標指標値は重要度とは逆に「強化」「推奨」「標準」「必須」の順で高い。
「必須」の目標指標値を「30」、「標準」の目標指標値を「90」、「推奨」の目標指標値を「135」、「強化」の目標指標値を「150」とした場合、「強化」の目標指標値に対する各目標指標値の比率は、以下の通りである。
「必須」の目標指標値の比率は「0.2(=30/150)」であり、「標準」の目標指標値の比率は「0.6(=90/150)」であり、「推奨」の目標指標値の比率は「0.9(=135/150)」であり、「強化」の目標指標値の比率は「1.0(=150/150)」である。
「必須」の目標指標値の百分率値「GPC(A,1)」は、「GPC(A,1)=(G(A,1)/G(A,4))×100」で表される。
「標準」の目標指標値の百分率値「GPC(A,2)」は、「GPC(A,2)=(G(A,2)/G(A,4))×100」で表される。
「推奨」の目標指標値の百分率値「GPC(A,3)」は、「GPC(A,3)=(G(A,3)/G(A,4))×100」で表される。
「強化」の目標指標値の百分率値「GPC(A,4)」は、「GPC(A,4)=(G(A,4)/G(A,4))×100」で表される。
例えば、「必須」の百分率が「20」、「標準」の百分率値が「60」、「推奨」の百分率が「90」、「強化」の百分率値が「100」である場合、到達レベル表示部140は、図10に示すような目標指標値の帯グラフ201を表示する。
目標指標値の帯グラフ201は、実施基準レベル「必須」「標準」「推奨」「強化」の目標指標値(但し、実施基準レベルが高い情報セキュリティ対策の効果指標値を差し引いた値)を積み上げた積み上げグラフである。
但し、到達レベル表示部140は、棒グラフの形状以外の形状で目標指標値の帯グラフを表示しても構わない。例えば、到達レベル表示部140は、円グラフの形状で目標指標値の帯グラフを表示しても構わない。
図10の結果表示画面200は、実施対策の到達レベルが「推奨」レベルであることを示している。つまり、管理者は、実施対策によって「推奨」レベルの効果が得られていることを結果表示画面200から知ることができる。
図11は、実施の形態2(実施例2)における対策定義ファイル191の一例を示す図である。
図11に示すように、対策定義ファイル191は、実施の形態1で説明した項目(図2参照)に加えて「セキュリティ領域」を含んでいる。「セキュリティ領域」には、情報セキュリティ対策を分類する区分を設定する。
つまり、各情報セキュリティ対策は、セキュリティ領域に対応付けられ、セキュリティ領域によって分類される。
S220において、目標基準算出部120は、実施基準レベル「必須」の目標指標値として「ネットワーク」の目標指標値と「サーバ」の目標指標値と「外接」の目標指標値と「端末」の目標指標値との4つの目標指標値を算出する。目標基準算出部120は、他の実施基準レベル「標準」「強化」「推奨」についても同様に目標指標値を4つずつ算出する。
また、到達レベル算出部130は、「ネットワーク」の実施指標値と「サーバ」の実施指標値と「外接」の実施指標値と「端末」の実施指標値との4つの実施指標値を算出する。
例えば、到達レベル表示部140は、図12に示すように、各セキュリティ領域の帯グラフ201を並べて表示すると共に、各セキュリティ領域の到達レベル点202を線で結んだ折れ線グラフ203を表示する。
目標基準算出手段(目標基準算出部120)は、セキュリティ領域ごとに、各実施基準レベルに設定された対策の対策効果指標値を積算して各実施基準レベルの目標基準(目標指標値)を算出する。
到達レベル算出手段(到達レベル算出部130)は、セキュリティ領域ごとに、実施対策の対策効果指標値を積算して到達レベル(実施指標値)を算出する。
到達レベル表示手段(到達レベル表示部140)は、セキュリティ領域ごとに、各実施基準レベルの目標基準で区切られたグラフ(帯グラフ)上に到達レベルを表示する。
これにより、管理者は、組織の対策の到達レベルがどの実施基準レベルの部分にあるのかを知ることができる。そして、管理者は、そのセキュリティ領域への対策が目標に到達しているのか、それとも目標に達していないのか、また、目標を達成するためにあとどの程度の対策が必要なのかを、容易に評価することができる。
各実施基準レベルの効果指標値に基づいて正規化した正規化グラフによって実施指標値を表した画面を結果表示画面として表示する形態について説明する。
以下、実施の形態1、2と異なる事項について主に説明する。説明を省略する事項については実施の形態1、2と同様である。
セキュリティ対策効果評価装置100の構成は、実施の形態1(図1参照)と同じである。
到達レベル表示部140は、対策レベル毎に目標指標値に応じた部分範囲(目標指標値が大きいほど大きな値を含んだ部分範囲)を割り当てる。
到達レベル表示部140は、各対策レベルの部分範囲のうち実施指標値が属する部分範囲を各対策レベルの目標指標値に基づいて該当範囲として判定する。
到達レベル表示部140は、実施指標値を該当範囲内の値に変換し、各対策レベルの部分範囲と変換後の実施指標値との関係を表したグラフを実施指標値の比率を表す正規化グラフとして生成する。
到達レベル表示部140は、生成した正規化グラフを含んだ情報を対比情報として評価結果を表示する。
実施の形態3におけるセキュリティ対策効果評価装置100のセキュリティ対策効果方法について、図13に基づいて説明する。
実施の形態3における結果表示処理(S250)について、図14に基づいて説明する。
例えば、4つの実施基準レベル「必須」「標準」「推奨」「強化」があり、正規化値の範囲が「0から20」である場合、到達レベル表示部140は、正規化値の範囲「0から20」を4等分する。これにより、4つの部分範囲「0から5」「5から10」「10から15」「15から20」が得られる。
S251の後、S252に進む。
例えば、到達レベル表示部140は、目標指標値が大きい実施基準レベル(重要度が低い実施基準レベル)に値が大きい正規化値の部分範囲を割り当て、目標指標値が小さい実施基準レベル(重要度が高い実施基準レベル)に値が小さい正規化値の部分範囲を割り当てる。つまり、S251で説明した例の場合、「必須」に「0から5」を割り当て、「標準」に「5から10」を割り当て、「推奨」に「10から15」を割り当て、「強化」に「15から20」を割り当てる。
S252の後、S253に進む。
以下、実施指標値が属する部分範囲を「該当範囲」といい、該当範囲が割り当てられた実施基準レベルを「該当レベル」いう。
そして、到達レベル表示部140は、目標指標値の範囲に実施指標値が含まれる実施基準レベルを該当レベルとして判定し、判定した該当レベルに割り当てた部分範囲を該当範囲として判定する。
また、実施指標値が「112」である場合、実施指標値「112」が「推奨」の目標指標値の範囲「90から135」に含まれるため、「推奨」が該当レベルであり、「推奨」に割り当てた部分範囲「10から15」が該当範囲である。
以下、該当範囲内の値に変換した後の実施指標値を「実施指標値の正規化値」という。
各百分率値の求め方は、実施の形態2で説明した通りである(図9のS241、S242参照)。
これにより、各実施基準レベル「必須」「標準」「推奨」「強化」の実施指標値の百分率値「20」「60」「90」「100」が得られ、実施指標値の百分率値「75」が得られる。
また、各実施基準レベル「必須」「標準」「推奨」「強化」の百分率値の範囲は、「0から20」「20から60」「60から90」「90から100」である。
正規化値の部分範囲の大きさが各実施基準レベルで等しく「5」である一方で、百分率値の範囲の大きさは実施基準レベルによって異なる。このため、図15に示すように、百分率値と正規化値との関係(線分の傾きの大きさ)は実施基準レベルによって異なる。
したがって、「12.5」が実施指標値の正規化値である。
(1)が「必須」部分の関係式であり、(2)が「標準」部分の関係式であり、(3)が「推奨」部分の関係式であり、(4)が「強化」部分の関係式である。
例えば、実施指標値の該当レベル「推奨」の関係式(3)に実施指標値の百分率値(75)を代入することによって実施指標値の正規化値(12.5)が得られる。正規化値の部分範囲の大きさ「N」の値は「5」である。
S255により、結果表示処理(S250)は終了する。
例えば、実施指標値の正規化値が「推奨」の部分範囲の中間の値である場合、到達レベル表示部140は、図16に示すような棒グラフ(正規化グラフ204)を表示する。
実施の形態2の実施例2と同じく、各情報セキュリティ対策をセキュリティ領域で分類してもよい(図11参照)。
セキュリティ対策効果評価方法(図13参照)は、実施例1に対して以下のような違いがある。
例えば、到達レベル表示部140は、図17に示すように、各セキュリティ領域の棒グラフ(正規化グラフ204)を並べて表示する。
到達レベル表示手段(到達レベル表示部140)は、算出した到達レベル(実施指標値)から、目標基準算出手段が正規化値を求める方法と同様の方法で正規化値を求める。
到達レベル表示手段(到達レベル表示部140)は、セキュリティ領域ごとに、各実施基準レベルの目標基準の正規化値で区切られたグラフ上に到達レベルの正規化値(正規化グラフ204)を表示する。
これにより、管理者は、複数のセキュリティ領域の中で、どのセキュリティ領域が対策の実施が一番進んでいて、どのセキュリティ領域が一番未達成なのかを判断し、セキュリティ領域間の比較評価を容易に行うことができる。
上記の実施の形態1−3において、各情報セキュリティ対策の効果指標値を予め算出し、算出した効果指標値を予め記憶しても構わない。
例えば、図18に示すように、情報セキュリティ対策と効果指標値とを対応付けて対策定義ファイル191に設定してもよい。
効果指標値の算出方法は、実施の形態1で説明した通りである(図4のS120の説明を参照)。
例えば、図19に示すように、実施基準レベルと目標指標値とを対応付けて実施基準定義ファイル192に設定してもよい。
目標指標値の算出方法は、実施の形態1で説明した通りである(図4のS120の説明を参照)。
Claims (7)
- セキュリティのリスクを低減する対策項目と、セキュリティのリスクを低減する効果の度合いを表すリスク低減率と、対策項目の重要度を表す対策レベルとを対応付けた対策定義ファイルを記憶する対策定義ファイル記憶部と、
対策レベルと、リスク低減率の重み付け係数とを対応付けた重み付け定義ファイルを記憶する重み付け定義ファイル記憶部と、
前記対策定義ファイル記憶部に記憶される対策定義ファイルに基づいて特定の対策レベルに対応する対策項目と前記特定の対策レベルより高い重要度の対策レベルに対応する対策項目とを対象項目として判定し、対象項目毎に対象項目に対応するリスク低減率を前記対策定義ファイルから取得し、前記重み付け定義ファイル記憶部に記憶される重み付け定義ファイルから前記特定の対策レベルに対応する重み付け係数と前記特定の対策レベルより高い重要度の対策レベルに対応する重み付け係数とを取得し、対象項目毎にリスク低減率と重み付け係数とに基づいてセキュリティのリスクを低減する効果に関する指標値を効果指標値として算出し、算出した効果指標値を合計した合計値を目標指標値として算出する目標指標値算出部と、
実施されている対策項目として指定された対策項目を実施項目として示す実施項目データに基づいて実施項目毎に実施項目に対応するリスク低減率と対策レベルとを前記対策定義ファイルから取得し、実施項目毎に対策レベルに対応する重み付け係数を前記重み付け定義ファイルから取得し、実施項目毎にリスク低減率と重み付け係数とに基づいて効果指標値を算出し、算出した効果指標値を合計した合計値を実施指標値として算出する実施指標値算出部と、
前記目標指標値算出部によって算出された目標指標値と前記実施指標値算出部によって算出された実施指標値とを対比した対比情報を評価結果として出力する評価結果出力部と
を備えることを特徴とするセキュリティ評価装置。 - 前記目標指標値算出部は、前記対策定義ファイルに含まれる対策レベルのうち重要度が最も低い対策レベルの目標指標値を算出し、
前記評価結果出力部は、前記目標指標値算出部によって算出された目標指標値と前記実施指標値算出部によって算出された実施指標値とに基づいて目標指標値に対する実施指標値の比率を算出し、算出した実施指標値の比率を表す表記を含んだ情報を対比情報として評価結果を出力する
ことを特徴とする請求項1記載のセキュリティ評価装置。 - 前記目標指標値算出部は、前記対策定義ファイルに含まれる対策レベル毎に目標指標値を算出し、
前記評価結果出力部は、前記目標指標値算出部によって対策レベル毎に算出された目標指標値に基づいて重要度が最も低い対策レベルの目標指標値に対する各対策レベルの目標指標値の比率を算出し、前記実施指標値算出部によって算出された実施指標値に基づいて重要度が最も低い対策レベルの目標指標値に対する実施指標値の比率を算出し、各対策レベルの目標指標値の比率を表す目標指標値の帯グラフを生成し、生成した目標指標値の帯グラフと実施指標値の比率を表す実施指標値の表記とを含んだ情報を対比情報として評価結果を出力する
ことを特徴とする請求項2記載のセキュリティ評価装置。 - 前記目標指標値算出部は、前記対策定義ファイルに含まれる対策レベル毎に目標指標値を算出し、
前記評価結果出力部は、所定の値の範囲を対策レベルと同じ数の部分範囲に等分し、対策レベル毎に目標指標値に応じた部分範囲を割り当て、各対策レベルの部分範囲のうち実施指標値が属する部分範囲を各対策レベルの目標指標値に基づいて該当範囲として判定し、実施指標値を該当範囲内の値に変換し、各対策レベルの部分範囲と変換後の実施指標値との関係を表したグラフを実施指標値の比率を表す正規化グラフとして生成し、生成した正規化グラフを含んだ情報を対比情報として評価結果を出力する
ことを特徴とする請求項2記載のセキュリティ評価装置。 - 前記対策定義ファイルは、対策項目に対応付けて対策項目を分類するセキュリティ領域を示し、
前記目標指標値算出部は、前記対策定義ファイルに基づいてセキュリティ領域毎に目標指標値を算出し、
前記実施指標値算出部は、前記対策定義ファイルに基づいてセキュリティ領域毎に実施指標値を算出し、
前記評価結果出力部は、セキュリティ領域毎に目標指標値と実施指標値とを対比した対比情報を評価結果として出力する
ことを特徴とする請求項1から請求項4いずれかに記載のセキュリティ評価装置。 - セキュリティのリスクを低減する対策項目と、セキュリティのリスクを低減する効果の度合いを表すリスク低減率と、対策項目の重要度を表す対策レベルとを対応付けた対策定義ファイルを記憶する対策定義ファイル記憶部と、対策レベルと、リスク低減率の重み付け係数とを対応付けた重み付け定義ファイルを記憶する重み付け定義ファイル記憶部とを備えるセキュリティ評価装置のセキュリティ評価方法であって、
目標指標値算出部が、前記対策定義ファイル記憶部に記憶される対策定義ファイルに基づいて特定の対策レベルに対応する対策項目と前記特定の対策レベルより高い重要度の対策レベルに対応する対策項目とを対象項目として判定し、対象項目毎に対象項目に対応するリスク低減率を前記対策定義ファイルから取得し、前記重み付け定義ファイル記憶部に記憶される重み付け定義ファイルから前記特定の対策レベルに対応する重み付け係数と前記特定の対策レベルより高い重要度の対策レベルに対応する重み付け係数とを取得し、対象項目毎にリスク低減率と重み付け係数とに基づいてセキュリティのリスクを低減する効果に関する指標値を効果指標値として算出し、算出した効果指標値を合計した合計値を目標指標値として算出し、
実施指標値算出部が、実施されている対策項目として指定された対策項目を実施項目として示す実施項目データに基づいて実施項目毎に実施項目に対応するリスク低減率と対策レベルとを前記対策定義ファイルから取得し、実施項目毎に対策レベルに対応する重み付け係数を前記重み付け定義ファイルから取得し、実施項目毎にリスク低減率と重み付け係数とに基づいて効果指標値を算出し、算出した効果指標値を合計した合計値を実施指標値として算出し、
評価結果出力部が、前記目標指標値算出部によって算出された目標指標値と前記実施指標値算出部によって算出された実施指標値とを対比した対比情報を評価結果として出力する
ことを特徴とするセキュリティ評価装置のセキュリティ評価方法。 - セキュリティのリスクを低減する対策項目と、セキュリティのリスクを低減する効果の度合いを表すリスク低減率と、対策項目の重要度を表す対策レベルとを対応付けた対策定義ファイルを記憶する対策定義ファイル記憶部と、対策レベルと、リスク低減率の重み付け係数とを対応付けた重み付け定義ファイルを記憶する重み付け定義ファイル記憶部とを備えるセキュリティ評価装置を機能させるセキュリティ評価プログラムであって、
前記対策定義ファイル記憶部に記憶される対策定義ファイルに基づいて特定の対策レベルに対応する対策項目と前記特定の対策レベルより高い重要度の対策レベルに対応する対策項目とを対象項目として判定し、対象項目毎に対象項目に対応するリスク低減率を前記対策定義ファイルから取得し、前記重み付け定義ファイル記憶部に記憶される重み付け定義ファイルから前記特定の対策レベルに対応する重み付け係数と前記特定の対策レベルより高い重要度の対策レベルに対応する重み付け係数とを取得し、対象項目毎にリスク低減率と重み付け係数とに基づいてセキュリティのリスクを低減する効果に関する指標値を効果指標値として算出し、算出した効果指標値を合計した合計値を目標指標値として算出する目標指標値算出部と、
実施されている対策項目として指定された対策項目を実施項目として示す実施項目データに基づいて実施項目毎に実施項目に対応するリスク低減率と対策レベルとを前記対策定義ファイルから取得し、実施項目毎に対策レベルに対応する重み付け係数を前記重み付け定義ファイルから取得し、実施項目毎にリスク低減率と重み付け係数とに基づいて効果指標値を算出し、算出した効果指標値を合計した合計値を実施指標値として算出する実施指標値算出部と、
前記目標指標値算出部によって算出された目標指標値と前記実施指標値算出部によって算出された実施指標値とを対比した対比情報を評価結果として出力する評価結果出力部としてセキュリティ評価装置を機能させる
ことを特徴とするセキュリティ評価プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011157420A JP5575066B2 (ja) | 2011-07-19 | 2011-07-19 | セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011157420A JP5575066B2 (ja) | 2011-07-19 | 2011-07-19 | セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013025429A true JP2013025429A (ja) | 2013-02-04 |
JP5575066B2 JP5575066B2 (ja) | 2014-08-20 |
Family
ID=47783737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011157420A Expired - Fee Related JP5575066B2 (ja) | 2011-07-19 | 2011-07-19 | セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5575066B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015177832A1 (ja) * | 2014-05-19 | 2015-11-26 | 株式会社 日立製作所 | セキュリティ対策決定支援装置およびセキュリティ対策決定支援方法 |
WO2018088383A1 (ja) * | 2016-11-08 | 2018-05-17 | 株式会社日立システムズ | セキュリティルール評価装置およびセキュリティルール評価システム |
CN111563257A (zh) * | 2020-04-15 | 2020-08-21 | 成都欧珀通信科技有限公司 | 数据检测方法及装置、计算机可读介质及终端设备 |
TWI774081B (zh) * | 2020-10-12 | 2022-08-11 | 瑞昱半導體股份有限公司 | 具有多工處理的晶片 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001101135A (ja) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
JP2002024526A (ja) * | 2000-07-10 | 2002-01-25 | Mitsubishi Electric Corp | 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体 |
JP2002352062A (ja) * | 2001-05-24 | 2002-12-06 | Hitachi Ltd | セキュリティ評価装置 |
-
2011
- 2011-07-19 JP JP2011157420A patent/JP5575066B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001101135A (ja) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
JP2002024526A (ja) * | 2000-07-10 | 2002-01-25 | Mitsubishi Electric Corp | 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体 |
JP2002352062A (ja) * | 2001-05-24 | 2002-12-06 | Hitachi Ltd | セキュリティ評価装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015177832A1 (ja) * | 2014-05-19 | 2015-11-26 | 株式会社 日立製作所 | セキュリティ対策決定支援装置およびセキュリティ対策決定支援方法 |
WO2018088383A1 (ja) * | 2016-11-08 | 2018-05-17 | 株式会社日立システムズ | セキュリティルール評価装置およびセキュリティルール評価システム |
CN111563257A (zh) * | 2020-04-15 | 2020-08-21 | 成都欧珀通信科技有限公司 | 数据检测方法及装置、计算机可读介质及终端设备 |
TWI774081B (zh) * | 2020-10-12 | 2022-08-11 | 瑞昱半導體股份有限公司 | 具有多工處理的晶片 |
Also Published As
Publication number | Publication date |
---|---|
JP5575066B2 (ja) | 2014-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8676818B2 (en) | Dynamic storage and retrieval of process graphs representative of business processes and extraction of formal process models therefrom | |
JP5705307B2 (ja) | 動的適応型プロセス発見及び遵守 | |
CN110880984A (zh) | 基于模型的流量异常监测方法、装置、设备及存储介质 | |
US20170192872A1 (en) | Interactive detection of system anomalies | |
WO2021179544A1 (zh) | 样本分类方法、装置、计算机设备及存储介质 | |
US8880532B2 (en) | Interestingness of data | |
JP5575066B2 (ja) | セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム | |
JP6898561B2 (ja) | 機械学習プログラム、機械学習方法、および機械学習装置 | |
WO2020087758A1 (zh) | 异常流量数据识别方法、装置、计算机设备和存储介质 | |
JP2011215927A (ja) | 生産性評価装置、生産性評価方法およびプログラム | |
JP5973636B1 (ja) | 異常ベクトル検出装置および異常ベクトル検出プログラム | |
JP5402375B2 (ja) | 情報処理装置、基準値決定方法およびプログラム | |
JPWO2017203672A1 (ja) | アイテム推奨方法、アイテム推奨プログラムおよびアイテム推奨装置 | |
CN109271460B (zh) | 对电子平台中的商户进行分类的方法和装置 | |
JP2017084273A (ja) | 説明変数値を算出する装置、方法及びプログラム | |
US20160357414A1 (en) | Displaying a network of related entities | |
WO2012053041A1 (ja) | セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム | |
JP7146218B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
US10467119B2 (en) | Data-agnostic adjustment of hard thresholds based on user feedback | |
KR20200073824A (ko) | 악성코드 프로파일링 방법 및 그 장치 | |
WO2017047341A1 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
JP2010250677A (ja) | セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム | |
CN113988670A (zh) | 综合性企业信用风险预警方法及系统 | |
CN102663006B (zh) | 一种数据筛选方法及装置 | |
CN115408373A (zh) | 数据处理方法及设备、计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131009 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140523 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140603 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140701 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5575066 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |