JP2015041167A - セキュリティ上の脅威を評価する評価装置及びその方法 - Google Patents
セキュリティ上の脅威を評価する評価装置及びその方法 Download PDFInfo
- Publication number
- JP2015041167A JP2015041167A JP2013170899A JP2013170899A JP2015041167A JP 2015041167 A JP2015041167 A JP 2015041167A JP 2013170899 A JP2013170899 A JP 2013170899A JP 2013170899 A JP2013170899 A JP 2013170899A JP 2015041167 A JP2015041167 A JP 2015041167A
- Authority
- JP
- Japan
- Prior art keywords
- information
- threat
- subsystem
- evaluation
- externally connected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【解決手段】 モデル定義支援部は、選択されたリスク評価手法に応じた入力支援を行うとともに、設計書から得られる外部接続機器数、経路情報、サブシステム間の認証回数、保護資産の機密性影響度、サブシステムに設定されたASILをリスク評価依存情報記憶部のサブシステム詳細情報、外部接続機器情報、内部接続機器情報、保護資産情報に格納する。脅威抽出部と脅威リスク値計算部は、本脅威リスク評価支援装置が予め保持するリスク評価非依存情報記憶部と前記リスク評価依存情報記憶部に格納された情報をもとに、選択されたリスク評価手法を用いて脅威抽出及び脅威リスク値の算出を行う。
【選択図】 図1
Description
図33に、上記ステップ51256で表示される保護資産数登録画面、図34に、上記ステップ51257で表示される保護資産詳細情報登録画面、図35に、上記ステップ5168で表示されるASIL情報登録画面の一例を示す。
2 出力装置
3 入出力制御部
4 CPU
5 メモリ
6 ディスク
7 バス
Claims (12)
- 評価対象となるシステムに対するセキュリティ上の脅威を評価する評価装置であって、
前記システムにおける複数の設計項目に関する設計情報が入力される入力部と、
セキュリティ上の脅威に関する複数の評価項目と前記入力部より入力された前記複数の設計項目に関する情報とを対応付けて格納する格納部と、
前記複数の設計項目に関する情報に基づいて、前記システムにおけるセキュリティ上の脅威を抽出し、前記複数の設計項目に関する情報に対応付けられた前記評価項目に基づいて、前記抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、前記抽出された前記システムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる制御部と、
を有することを特徴とする評価装置。 - 請求項1に記載の評価装置であって、
前記制御部は、前記表示部にセキュリティ上の脅威を評価する複数種類の評価手法に関する情報を表示させ、前記入力部に入力される前記評価手法の種類に応じて前記表示部に表示させる前記設計項目に関する情報を決定する、ことを特徴とする評価装置。 - 請求項1に記載の評価装置であって、
セキュリティ上の脅威を評価する手法として、CVSS(Common Vulnerability Scoring System)を用いることを特徴とする評価装置。 - 請求項1に記載の評価装置であって、
前記入力部に入力される前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、
前記サブシステムに関する情報は、前記サブシステムの外部接続機器情報、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、であることを特徴とする評価装置。 - 請求項4に記載の評価装置であって、
前記格納部は、前記関与者種別情報とセキュリティ上の脅威を発生させる動機に関する動機情報とが対応付けられた第一の対応情報と、前記保護資産情報と脅威の種別に関する脅威種別情報とが対応付けられた第二の対応情報と、前記脅威種別情報と脅威の影響範囲を示す脅威影響範囲情報と脅威の内容を示す脅威内容情報とが対応付けられた第三の対応情報と、を格納し、
前記制御部は、前記第一の対応情報と前記第二の対応情報と前記第三の対応情報と入力部より入力された前記設計情報とに基づいて、前記サブシステムにおける脅威を抽出する、ことを特徴とする評価装置。 - 請求項1に記載の評価装置であって、
前記入力部に入力される前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、前記サブシステムに関する情報は、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、であり、
前記制御部は、前記入力部より入力される前記外部接続機器数情報と前記経路種別情報と前記認証回数情報とに基づいて、前記サブシステムにおける脅威リスク値を算出する、ことを特徴とする評価装置。 - 評価対象となるシステムに対するセキュリティ上の脅威を評価する装置における評価方法であって、
前記装置は、
前記システムにおける複数の設計項目に関する設計情報を受け付け、
セキュリティ上の脅威に関する複数の評価項目と前記受け付けた前記複数の設計項目に関する情報とを対応付け、
前記複数の設計項目に関する情報に基づいて、前記システムにおけるセキュリティ上の脅威を抽出し、
前記複数の設計項目に関する情報に対応付けられた前記評価項目に基づいて、前記抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、
前記抽出された前記システムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる、ことを有することを特徴とする評価方法。 - 請求項7に記載の評価方法であって、
前記装置は、
前記表示部にセキュリティ上の脅威を評価する複数種類の評価手法に関する情報を表示させ、
前記評価手法を示す評価手法情報を受け付け、
受け付けた前記評価手法情報が示す前記評価手法の種類に応じて前記表示部に表示させる前記設計項目に関する情報を決定する、ことを特徴とする評価方法。 - 請求項7に記載の評価方法であって、
セキュリティ上の脅威を評価する手法として、CVSS(Common Vulnerability Scoring System)を用いることを特徴とする評価方法。 - 請求項7に記載の評価方法であって、
前記装置が受け付ける前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、
前記サブシステムに関する情報は、前記サブシステムの外部接続機器情報、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、であることを特徴とする評価方法。 - 請求項10に記載の評価方法であって、
前記装置は、
前記関与者種別情報とセキュリティ上の脅威を発生させる動機に関する動機情報とが対応付けられた第一の対応情報と、前記保護資産情報と脅威の種別に関する脅威種別情報とが対応付けられた第二の対応情報と、前記脅威種別情報と脅威の影響範囲を示す脅威影響範囲情報と脅威の内容を示す脅威内容情報とが対応付けられた第三の対応情報と、を格納し、
前記第一の対応情報と前記第二の対応情報と前記第三の対応情報と入力部より入力された前記設計情報とに基づいて、前記サブシステムにおける脅威を抽出する、ことを特徴とする評価方法。 - 請求項7に記載の評価方法であって、
前記装置受け付ける前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、
前記サブシステムに関する情報は、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、であり、
前記装置は、
前記受け付けた前記外部接続機器数情報と前記経路種別情報と前記認証回数情報とに基づいて、前記サブシステムにおける脅威リスク値を算出する、ことを特徴とする評価方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013170899A JP6047463B2 (ja) | 2013-08-21 | 2013-08-21 | セキュリティ上の脅威を評価する評価装置及びその方法 |
PCT/JP2014/070298 WO2015025694A1 (ja) | 2013-08-21 | 2014-08-01 | セキュリティ上の脅威を評価する評価装置及びその方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013170899A JP6047463B2 (ja) | 2013-08-21 | 2013-08-21 | セキュリティ上の脅威を評価する評価装置及びその方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015041167A true JP2015041167A (ja) | 2015-03-02 |
JP6047463B2 JP6047463B2 (ja) | 2016-12-21 |
Family
ID=52483475
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013170899A Active JP6047463B2 (ja) | 2013-08-21 | 2013-08-21 | セキュリティ上の脅威を評価する評価装置及びその方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6047463B2 (ja) |
WO (1) | WO2015025694A1 (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3151114A1 (en) | 2015-09-29 | 2017-04-05 | Panasonic Intellectual Property Management Co., Ltd. | Software development system in system development based on model-based method |
JP2018527672A (ja) * | 2015-08-21 | 2018-09-20 | ルネサス・エレクトロニクス・ヨーロッパ・リミテッドRenesas Electronics Europe Limited | 設計支援システム |
CN112703497A (zh) * | 2018-10-17 | 2021-04-23 | 松下电器(美国)知识产权公司 | 威胁分析装置、威胁分析方法、以及程序 |
CN114019942A (zh) * | 2021-11-04 | 2022-02-08 | 哈尔滨工业大学 | 一种基于分时频率的工业机器人系统安全威胁评价方法 |
WO2022091371A1 (ja) * | 2020-10-30 | 2022-05-05 | 日産自動車株式会社 | 車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法 |
US11487882B2 (en) | 2019-01-15 | 2022-11-01 | Mitsubishi Electric Corporation | Vulnerability influence evaluation system |
US11899788B2 (en) | 2018-12-27 | 2024-02-13 | Mitsubishi Electric Corporation | Attack tree generation device, attack tree generation method, and computer readable medium |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10268824B2 (en) | 2016-03-01 | 2019-04-23 | Wipro Limited | Method and system for identifying test cases for penetration testing of an application |
JP6901979B2 (ja) * | 2018-02-21 | 2021-07-14 | 株式会社日立製作所 | セキュリティ評価サーバおよびセキュリティ評価方法 |
JP7422584B2 (ja) * | 2020-03-26 | 2024-01-26 | 株式会社日立製作所 | アプリケーション開発支援システム、アプリケーション開発支援方法 |
US11431746B1 (en) | 2021-01-21 | 2022-08-30 | T-Mobile Usa, Inc. | Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network |
US11546767B1 (en) | 2021-01-21 | 2023-01-03 | T-Mobile Usa, Inc. | Cybersecurity system for edge protection of a wireless telecommunications network |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001101135A (ja) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
JP2002352062A (ja) * | 2001-05-24 | 2002-12-06 | Hitachi Ltd | セキュリティ評価装置 |
JP2006331383A (ja) * | 2005-04-25 | 2006-12-07 | Hitachi Ltd | システムセキュリティ設計・評価支援ツール、システムセキュリティ設計・評価支援方法、およびシステムセキュリティ設計・評価支援プログラム |
JP2009015570A (ja) * | 2007-07-04 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | 脆弱性情報流通システムおよび方法 |
JP2011022903A (ja) * | 2009-07-17 | 2011-02-03 | Nec Corp | 分析装置、分析方法およびプログラム |
US20130074188A1 (en) * | 2011-09-16 | 2013-03-21 | Rapid7 LLC. | Methods and systems for improved risk scoring of vulnerabilities |
-
2013
- 2013-08-21 JP JP2013170899A patent/JP6047463B2/ja active Active
-
2014
- 2014-08-01 WO PCT/JP2014/070298 patent/WO2015025694A1/ja active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001101135A (ja) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
JP2002352062A (ja) * | 2001-05-24 | 2002-12-06 | Hitachi Ltd | セキュリティ評価装置 |
JP2006331383A (ja) * | 2005-04-25 | 2006-12-07 | Hitachi Ltd | システムセキュリティ設計・評価支援ツール、システムセキュリティ設計・評価支援方法、およびシステムセキュリティ設計・評価支援プログラム |
JP2009015570A (ja) * | 2007-07-04 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | 脆弱性情報流通システムおよび方法 |
JP2011022903A (ja) * | 2009-07-17 | 2011-02-03 | Nec Corp | 分析装置、分析方法およびプログラム |
US20130074188A1 (en) * | 2011-09-16 | 2013-03-21 | Rapid7 LLC. | Methods and systems for improved risk scoring of vulnerabilities |
Non-Patent Citations (1)
Title |
---|
PETER MELL ET.AL., A COMPLETE GUIDE TO THE COMMON VULNERABILITY SCORING SYSTEM VERSION 2.0[ONLINE], JPN6014045775, June 2007 (2007-06-01), pages 7 - 9, ISSN: 0003373057 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018527672A (ja) * | 2015-08-21 | 2018-09-20 | ルネサス・エレクトロニクス・ヨーロッパ・リミテッドRenesas Electronics Europe Limited | 設計支援システム |
EP3151114A1 (en) | 2015-09-29 | 2017-04-05 | Panasonic Intellectual Property Management Co., Ltd. | Software development system in system development based on model-based method |
CN112703497A (zh) * | 2018-10-17 | 2021-04-23 | 松下电器(美国)知识产权公司 | 威胁分析装置、威胁分析方法、以及程序 |
CN112703497B (zh) * | 2018-10-17 | 2024-05-24 | 松下电器(美国)知识产权公司 | 威胁分析装置、威胁分析方法、以及程序记录介质 |
US11899788B2 (en) | 2018-12-27 | 2024-02-13 | Mitsubishi Electric Corporation | Attack tree generation device, attack tree generation method, and computer readable medium |
US11487882B2 (en) | 2019-01-15 | 2022-11-01 | Mitsubishi Electric Corporation | Vulnerability influence evaluation system |
WO2022091371A1 (ja) * | 2020-10-30 | 2022-05-05 | 日産自動車株式会社 | 車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法 |
JPWO2022091371A1 (ja) * | 2020-10-30 | 2022-05-05 | ||
JP7251685B2 (ja) | 2020-10-30 | 2023-04-04 | 日産自動車株式会社 | 車載コンピュータ、コンピュータプログラム、コンピュータ読み取り可能な記録媒体、及びセキュリティ設定方法 |
CN114019942A (zh) * | 2021-11-04 | 2022-02-08 | 哈尔滨工业大学 | 一种基于分时频率的工业机器人系统安全威胁评价方法 |
CN114019942B (zh) * | 2021-11-04 | 2023-08-29 | 哈尔滨工业大学 | 一种基于分时频率的工业机器人系统安全威胁评价方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6047463B2 (ja) | 2016-12-21 |
WO2015025694A1 (ja) | 2015-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6047463B2 (ja) | セキュリティ上の脅威を評価する評価装置及びその方法 | |
CN108665297B (zh) | 异常访问行为的检测方法、装置、电子设备和存储介质 | |
US8768651B2 (en) | System and method for automatic standardization and verification of system design requirements | |
JP2017068825A (ja) | ソフトウェア開発システムおよびプログラム | |
JP6361837B2 (ja) | 訓練装置、訓練方法、及び訓練プログラム | |
WO2019169760A1 (zh) | 测试用例范围确定方法、装置及存储介质 | |
US20150261505A1 (en) | Method and system for generating stateflow models from software requirements | |
CN109101410B (zh) | 一种风险驱动测试方法和装置以及计算机可读存储介质 | |
KR101423030B1 (ko) | 컴퓨터 실행 가능한 어플리케이션 객체 분석 방법, 이를 수행하는 어플리케이션 객체 분석 서버 및 이를 저장하는 기록매체 | |
JP2015130152A (ja) | 情報処理装置及びプログラム | |
CN112016138A (zh) | 一种车联网自动化安全建模的方法、装置和电子设备 | |
US20140289704A1 (en) | Methods, systems and computer-readable media for detecting a partial commit | |
KR102013657B1 (ko) | 연관된 다중 파일 정적 분석 장치 | |
CN109547426A (zh) | 业务响应方法及服务器 | |
CN114004700A (zh) | 业务数据处理方法、装置、电子设备及存储介质 | |
US11899770B2 (en) | Verification method and apparatus, and computer readable storage medium | |
CN104023025A (zh) | 基于业务规则的网站安全漏洞检测方法及装置 | |
JP5868515B2 (ja) | シグニチャ検証装置及びシグニチャ検証方法及びプログラム | |
CN106301975A (zh) | 一种数据检测方法及其装置 | |
CN106709335B (zh) | 漏洞检测方法和装置 | |
US20090327971A1 (en) | Informational elements in threat models | |
CN107430590B (zh) | 用于数据比较的系统和方法 | |
CN115033317A (zh) | 弹框处理方法、装置、电子设备和可读存储介质 | |
CN109858914A (zh) | 区块链数据验证方法、装置、计算机设备及可读存储介质 | |
KR102269174B1 (ko) | 스마트 컨트랙트 검증 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160415 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160415 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160809 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161005 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161025 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161121 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6047463 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |