JP2015204061A - システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム - Google Patents

システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム Download PDF

Info

Publication number
JP2015204061A
JP2015204061A JP2014084570A JP2014084570A JP2015204061A JP 2015204061 A JP2015204061 A JP 2015204061A JP 2014084570 A JP2014084570 A JP 2014084570A JP 2014084570 A JP2014084570 A JP 2014084570A JP 2015204061 A JP2015204061 A JP 2015204061A
Authority
JP
Japan
Prior art keywords
requirement
security
zone
information
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014084570A
Other languages
English (en)
Inventor
洋子 橋本
Yoko Hashimoto
洋子 橋本
鍛 忠司
Tadashi Kaji
忠司 鍛
谷川 嘉伸
Yoshinobu Tanigawa
嘉伸 谷川
井口 慎也
Shinya Iguchi
慎也 井口
佑生子 松原
Yuko Matsubara
佑生子 松原
涼介 安藤
Ryosuke Ando
涼介 安藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2014084570A priority Critical patent/JP2015204061A/ja
Priority to EP15158964.5A priority patent/EP2933749A1/en
Priority to US14/657,649 priority patent/US20150302213A1/en
Publication of JP2015204061A publication Critical patent/JP2015204061A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】システムのセキュリティ設計において、取り扱われる情報の重要度を勘案した適切なセキュリティ対策を適用可能とするとともに、システムに設定すべきセキュリティ要件の抜け漏れを防止する。【解決手段】要件定義・対策立案支援において、設計対象システムを複数のゾーンで表し、前記ゾーン間を情報伝送可能に接続する経路420と、経路420と各ゾーンとの接続部分であるゾーン境界419と、ゾーン内418とに分類し、それぞれに、セキュリティ要件403と、とるべき対策をレベル分けしたセキュリティ対策413とを関連付けて登録する。経路420には伝送データのレベルも対応付けられており、対応するゾーン境界419のレベル409は経路の伝送データレベルに応じて決定される。【選択図】 図4

Description

本発明は、システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラムに関する。
近年、標準化団体や様々な業界団体において、システムのセキュリティ基準が定められており、その中でシステムが対応すべきセキュリティ要件がリストアップされている。標準的なセキュリティ基準(以下「標準規格」とも記述する)の例としては、米国標準技術研究所(National Institute of Standards and Technology: NIST)が定める「連邦政府情報システムにおける推奨セキュリティ管理策(SP800-53)」や「スマートグリッド・サイバーセキュリティに関するガイドライン(NISTIR 7628)」、北米電力信頼性評議会(North American Electric Reliability Council: NERC)が定める「重要インフラ保護基準(NERC CIP)」などがあげられる。
これら標準規格に準拠した形でシステムのセキュリティ設計を行うために、セキュリティ設計者は、1.当該対象システムの明確化とゾーン分け、2.標準規格に基づき各ゾーンの重要度を定義、3.標準規格に基づき各ゾーンで満たすべきセキュリティ要件を定義、4.セキュリティ要件を満たすためのセキュリティ対策の立案、5.システムのリスク分析の実施とそれに基づくセキュリティ要件及び対策内容の見直し、のステップを実施する。
このようなセキュリティ設計作業は、システムの規模が大きくなると作業量が爆発的に増加し、セキュリティ設計の生産性効率の低下を招く。
このような問題に対して、例えば特許文献1においては、分析対象となるシステムの構成要素からアクセス点(インタフェースや通信経路上などのアクセス可能な点)を抽出し、抽出したアクセス点についてセキュリティ脅威情報を入力する、セキュリティ脅威分析支援システムが開示されている。このようなアクセス点に基づくセキュリティ脅威分析を支援するシステムにより、網羅的なセキュリティ脅威分析が可能となるとしている。
特開2008−234409号公報
上記特許文献1のような、アクセス点に着目したセキュリティ脅威分析を利用して、アクセス点におけるセキュリティ要件やセキュリティ対策を整理する方式を用いれば、全てのゾーンのアクセス点における要件定義及び対策立案が可能となることが考えられる。
しかしながら、大規模システムのように、複数のゾーンからなるシステムを設計対象とした場合、ゾーン間でのデータ通信が複数経路存在することから、アクセスポイントに着目した方式では、過剰なセキュリティ対策を実施する要因となる場合があることが問題となる。
例えば、スマートグリッドのような、複数種類のフィールド機器や、データセンタが互
いにデータを通信するシステムにおいては、同一ネットワーク上に複数種類のデータ通信が存在し、そこでやり取りされるデータの重要度も様々なレベルが存在する。特許文献1のようにアクセスポイントに着目する場合、アクセスポイントとして「ネットワーク」を抽出し、ネットワークに対する脅威や、それに対する要件や対策は検討可能であるが、ネットワーク上の全ての経路に対して同じセキュリティ対策が適用されることから、扱うデータの重要度レベルに関わりなく全てのフィールド機器で高いレベルのセキュリティ対策を実施することになる。この結果、重要度の低い情報を通信する経路については、実際に必要なセキュリティ対策よりも過剰な対策をとることとなり、コスト増大につながるおそれがある。
また、大規模システムのセキュリティ設計に既存技術を適用した場合、アクセスポイントに着目した方式では、データ通信に関するセキュリティ対策の実施箇所が不明確であり、要件や対策の抽出漏れが発生する場合があることも問題となる。
例えば、二つのゾーン間でデータを通信する場合、当該通信データのセキュリティ対策は、送信元ゾーンと送信先ゾーンの両方のゾーンで対となる対策をする必要がある。具体的には、「認証すること」という要件に対しては、送信先ゾーンで認証機能を、送信元ゾーンで被認証機能を実装する必要がある。
しかしながら、アクセスポイントに着目した方式では、例えばサーバのアクセスポイントに対して「認証すること」というセキュリティ要件を抽出できるが、そこにアクセスするクライアントに対する「認証される機能を有すること」という要件が抽出されず、要件及び対策が漏れてしまう恐れがある。
このような要件や対策の抽出漏れはシステム設計作業の手戻りの原因となり、その後の設計開発工程に大きな影響を与え、コスト増大につながる恐れがあるという問題があった。
本発明は、上記の及び他の課題を解決するためになされたもので、その一つの目的は、システムのセキュリティ設計において、取り扱われる情報の重要度を勘案した適切なセキュリティ対策を適用可能とするとともに、システムに設定すべきセキュリティ要件の抜け漏れを防止することができるシステムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラムを提供することである。
上記の目的を達成するための本発明の一態様は、システムのセキュリティ設計における要件定義、対策立案を支援するためのシステムセキュリティ設計支援装置であって、
設計対象システムを、それぞれがセキュリティ設定区画である複数のゾーンと、前記ゾーン間を情報伝送可能に接続する経路と、前記経路と前記各ゾーンとの接続部分であるゾーン境界とに分類し、前記各ゾーン、前記各経路、及び前記各ゾーン境界に、前記設計対象システムに要求されるセキュリティ上の要件に関する情報であるセキュリティ要件情報と、前記セキュリティ要件を満たすためにとるべき対策を対策強度レベルに分類して示す情報であるセキュリティ対策情報とを関連付けて登録した要件−対策情報保持部と、
前記各ゾーン及び前記各ゾーン境界に対応する前記対策強度レベルを関連付けるとともに、前記各経路には前記対策強度レベル及び当該経路を流通する情報に対応する前記対策強度レベルを関連付けて保持するシステム構成情報保持部と、

前記システム構成情報保持部から前記設計対象システムを構成する前記ゾーン、前記ゾーン境界、及び前記経路の情報を取得し、各前記経路に関する送信元の前記ゾーン境界と送信先の前記ゾーン境界の情報を特定し、前記送信元ゾーン及び送信先ゾーン境界に対し
ては、対応する前記経路に関連付けられている前記対策強度レベルを適用し、それらの対応関係を含む情報を出力する要件定義対策立案処理部と、
を備えることを特徴とする。
本発明によれば、システムのセキュリティ設計において、取り扱われる情報の重要度を勘案した適切なセキュリティ対策を適用可能とするとともに、システムに設定すべきセキュリティ要件の抜け漏れを防止することができる。
図1は、本発明の一実施形態における要件定義・対策立案支援装置10の概略構成を示す図である。 図2は、要件定義・対策立案支援装置10のソフトウェア構成例を示す図である。 図3は、図2に示す要件定義・対策立案支援装置10のハードウェア構成例を示す図である。 図4は、要件−対策データベース12の構成例を示す図である。 図5は、適用タイプの種類テーブル50の構成例を示す図である。 図6は、要件の依存関係を説明するための模式図である。 図7は、要件定義・対策立案支援装置10による要件抽出・対策立案の全体処理例を示すフローチャートである。 図8は、要件定義・対策立案支援装置10が分析する設計対象のシステム構成例を示す図である。 図9は、システム構成テーブル100の構成例を示す図である。 図10は、システム構成テーブル200の構成例を示す図である。 図11は、図7の要件抽出・対策立案処理のうちの、ゾーン内及びゾーン境界の機能要件・対策抽出処理例を示すフローチャートである。 図12は、図7の要件抽出・対策立案処理のうちの、経路に関する機能要件・対策抽出処理例を示すフローチャートである。 図13は、図7の要件抽出・対策立案処理のうちの、管理要件・対策抽出処理例を示すフローチャートである。 図14は、図7の要件抽出・対策立案処理のうちの、環境要件・対策抽出処理例を示すフローチャートである。 図15は、図7の要件抽出・対策立案処理のうちの、依存関係の確認及び要件・対策の追加処理例を示すフローチャートである。 図16は、図7の要件抽出・対策立案処理の結果作成される機能要件・対策テーブル300の構成例を示す図である。 図17は、図7の要件抽出・対策立案処理の結果作成される機能要件・対策テーブル400の構成例を示す図である。 図18は、図7の要件抽出・対策立案処理の結果作成される管理要件・対策テーブル500の構成例を示す図である。 図19は、図7の要件抽出・対策立案処理の結果作成される環境要件・対策テーブル600の構成例を示す図である。 図20は、機能要件・対策テーブル1、機能要件・対策テーブル2、管理要件・対策テーブル、環境要件・対策テーブルを、ゾーン毎にまとめた、ゾーン毎の要件・対策一覧テーブルの構成例及びその出力画面イメージを示す図である。
以下に、本発明の一実施形態について説明する。まず、本実施形態の構成について、図1を用いて説明する。図1は、本実施形態に関わる要件定義・対策立案支援装置10(シ
ステムセキュリティ設計支援装置)の構成を例示する図である。本実施形態の要件定義・対策立案支援装置10は、要件−対策データベース12を保持している。要件−対策データベース12は、データベース管理者が構築して管理を行う。セキュリティ設計者は、要件定義・対策立案支援装置10を用いて対象システムの要件定義、対策立案を実施する。なお、以下、本明細書では、「データベース」を「DB」と略称する。
次に、図2を用いて、図1の要件定義・対策立案支援装置10について説明する。図2は、要件定義・対策立案支援装置10のソフトウェア構成例を示す図である。
要件定義・対策立案支援装置10は、処理部20aと、記憶部20bと、DB管理者やセキュリティ設計者からの指示やデータの受付等を行う入出力部20cとを有する。
処理部20aは、DB管理者からの指示に基づき要件−対策DB12の構築や追加、削除等の管理を行うための要件−対策DB管理部21と、セキュリティ設計者から入力された情報と要件−対策DB12のデータとに基づき要件及び対策の抽出を行うための要件定義・対策立案処理部22と、要件定義・対策立案支援装置10の各部を統括的に制御するための制御部23とを有する。
記憶部20bには、前記の要件−対策DB12を保持するための記憶領域である要件−対策DB保持部24と、入出力部20cから入力されるデータを保持するための記憶領域である入力データ保持部25と、入出力部20cから出力されるデータを保持するための記憶領域である出力データ保持部26とが設けられる。
図2に示す要件定義・対策立案支援装置10は、例えば図3に示すようなハードウェア構成により実現することができる。要件定義・対策立案支援装置10は、CPU(Central Processing Unit)等の演算デバイスを含むプロセッサ31と、RAM(Random Access
Memory)、フラッシュメモリ等の記憶デバイスを含むメモリ32と、ハードディスクド
ライブ(HDD)、半導体ドライブ等の記憶デバイスを含む補助記憶装置33と、各種光ディスク、USB(Universal Serial Bus)メモリ等の可搬性を有する記憶媒体38から情報を読み取るための読み取り装置34と、キーボードやマウス等の入力装置35と、表示モニタやプリンタ等の出力装置36と、これらの各装置間のデータ伝送路である内部通信線37とを備えた、一般的なコンピュータ上に構築することができる。
プロセッサ31が補助記憶装置33からメモリ32上にロードされた所定のプログラムを実行することにより、上述の処理部20aの各機能をプロセッサ31のプロセスとして実現できる。入出力部20cは、プロセッサ31が入力装置35、出力装置36、あるいは読み取り装置34を利用することにより実現される。また、記憶部20bは、メモリ32や補助記憶装置33が提供する論理記憶領域として実現される。
上記所定のプログラムは、予め補助記憶装置33に格納されていてもよいし、上記コンピュータが利用可能な記憶媒体38に格納しておき、読み取り装置34を介して、必要に応じて読み出され、補助記憶装置33に導入されるものであってもよい。また、要件定義・対策立案支援装置10は、適宜のネットワークを介して他の外部装置と通信可能に接続されていても構わない。
次に、上記構成の要件定義・対策立案支援装置10の動作を説明する。本実施形態の要件定義・対策立案支援装置10の動作の前提として、要件−対策DB12が構築される。要件定義・対策立案支援装置10は、構築された要件−対策DB12を利用して要件抽出・対策立案ステップを実行する。
まず、要件−対策DB構築について説明する。図4は、要件−対策DB12の構成例を示す図である。要件−対策DB12は、要件定義・対策立案支援装置10が利用する基礎データであり、あらかじめDB管理者がデータを入力して要件−対策DB保持部24に格納しておく。要件−対策DB12の各レコードには、セキュリティ要件403と、それに対するセキュリティ対策413とが含まれる。なお、図4の要件−対策DB12に記録されている各欄の内容は説明のための例示であり、いかなる意味でも本実施形態の発明を限定するものではない。このことは、後出の他のDB、テーブル類についても同様である。
セキュリティ要件403は、対象システムのセキュリティ確保のために必要とされる機能を意味し、要件の識別子である要件ID404、要件の内容405、当該要件がどの標準規格で求められるものかを示す対応規格406、及び当該要件が他のどの要件と依存関係があるかを示す依存関係410の各項目を備えて構成される。対応規格406は、当該規格の識別子である規格名407と、当該要件がどのタイプのゾーンに求められる要件かを示す適用タイプ408と、当該要件がどのレベルのゾーンに求められる要件かを示す適用レベル409から構成される。適用タイプ408の種類は、後述する図5の適用タイプの種類テーブル50に示している。依存関係410は、当該要件を満たすためには他の要件を必ず満たす必要があることを示す必須410と、当該要件を満たすためには他の要件を満たすことが推奨されることを示すオプション412とを備えて構成される。依存関係のイメージは、図6に関して後述する。
DB管理者は、対象システムについて適用すべき標準規格の情報を基に、要件の内容405と対応規格406とを入力する。また、DB管理者は、依存関係410には、当該DB管理者が検討した依存関係に関する検討結果を入力する。
セキュリティ対策413には、対応するセキュリティ要件403を満たすための対策として、どのレベルの対策が必要かを、High413、Middle415、Low416の3つのレベルに分けて記述している。セキュリティ対策413には、DB管理者が検討した結果が入力される。
図4に示すように、要件−対策DB12の各レコードは、機能要件417と、管理要件421と、環境要件422との3つの大分類に分けて登録される。機能要件417には、機能の開発や製品購入など、システム的に対応が必要な要件を配置する。管理要件421には、運用員による作業や、手順書の準備など、運用・管理上の対応が必要な要件を配置する。環境要件422には、データセンタの設備やフィールド機器の配置環境など、環境上の対応が必要な要件を配置する。なお、上記3つの大分類のうち、複数に関連する要件は、複数の分類に要件を配置する。
機能要件417は、更に3つの中分類であるゾーン内418、ゾーン境界419、及び経路420に分類される。ゾーン内418には、内部不正など、内部の攻撃に対する対策が必要な要件を配置する。ゾーン境界419には、標的型攻撃など外部からの攻撃に対する対策が必要な要件を配置する。経路420には、2つのゾーン間で情報を通信する場合において、両ゾーンで対となる対策が必要な要件を配置する。なお、上記3つの中分類のうち、複数に関連する要件は、複数の分類に要件を配置する。ゾーン境界419は、一つのゾーンとそこに接続される経路420との接続部分であると位置づけることができる。
DB管理者は、標準規格で記述される各要件を、大分類401及び中分類402のどこに配置するかを検討し、検討した結果を入力する。
図5に、適用タイプ408の種類を示すテーブル50の構成例を示している。本適用タイプの種類テーブル50は、標準規格501、適用タイプの識別子である適用タイプID
502、及び適用タイプの種類を示すゾーンのタイプ503を備えて構成される。DB管理者は、予め標準規格の情報を基に本テーブルを作成しておく。図5に示している各レコードは、NERC、NIST等が規定しているセキュリティ規格に関して例示している。
次に、要件の依存関係について説明する。図6は、要件−対策DB12に記録される依存関係410の関係がどのような意味を持つのかをイメージで示した図である。図6の矩形で示す各要素は要件を示しており、要素間を結合する矢印はその要素間に依存関係があることを示している。実線矢印は必須の依存関係を、破線矢印はオプションの依存関係であることを示す。例えば、「[機能]認証(リモート)」から「[機能]パスワード変更」への破線矢印は、認証を実施する場合には、パスワード変更も同時に適用することが推奨されることを意味する。また「[運用]パスワード定期更新」から「[機能]パスワード変更」への実線矢印は、パスワード定期更新の運用を実施する場合には、パスワード変更機能が必ず必要になることを意味する。
以上の要件−対策DB12の構築は、要件定義・対策立案支援装置10の処理部20aに設けられている要件・対策DB管理部21を介して、基本的に、DB管理者が、要件定義・対策立案支援装置10の構築時に一度だけ実施すればよい。いったん構築後に標準規格の内容に変更が生じたり、新たな標準規格の情報を要件−対策DB12に追加する場合にも、DB管理者が上記要件−対策DB12構築と同様の処理を行うことになる。
次に、要件定義・対策立案支援装置10によって実行される要件抽出・対策立案処理について説明する。図7は、この要件抽出・対策立案全体処理例を説明するためのフローチャートである。
まず、要件定義・対策立案支援装置10に要件抽出・対策立案処理を実行させる前段階で、セキュリティ設計者は、設計対象のシステムに関して、システム構成情報を作成する。システム構成情報の作成方法の例を、図8〜10を用いて説明する。
図8は、設計対象のシステム構成の例を示す図である。本事例では、対象システムはゾーン1〜ゾーン4の4つのゾーンから構成され、ゾーン1は重要度がHighのコントロールセンタ、ゾーン2と4は重要度がLowのフィールド機器、ゾーン3は重要度がMiddleのフィールド機器となっている。ゾーン1と2、ゾーン1と3、ゾーン3と4は、各ゾーン間でデータ通信を行い、それぞれ経路2−1、経路3−1、経路4−3と名前がつけられている。各経路のデータ通信で流れる情報は、それぞれ重要度がLow、Middle、Lowとなっている。
セキュリティ設計者は、このような設計対象システムの情報を基に、システム構成情報を作成する。システム構成情報は、図9のシステム構成テーブル100と、図10のシステム構成テーブル200とを含んで構成される。
システム構成テーブル100はシステムに含まれる各ゾーンのセキュリティ上の属性を示しており、各ゾーンの識別子であるゾーン901、当該ゾーンの重要度を示すレベル902、当該ゾーンのタイプを示すゾーンタイプ903、及び当該ゾーンがどのようなゾーン内やゾーン境界から構成されるのかを示す構成情報904の各項目を備えて構成される。セキュリティ設計者は、図8の情報を基にゾーン901、レベル902、及び構成情報904の各項目を入力する。また、図8の情報及び図5の適用タイプの種類テーブル50を基に、各ゾーンのタイプに当てはまるゾーンタイプの適用タイプID502を、システム構成テーブル100のゾーンタイプ903に入力する。
システム構成テーブル200は、システムに含まれるデータ通信経路に関する情報を示
しており、経路1001、アクセス元及びアクセス先の構成情報1002、当該構成情報1002が含まれるゾーンの重要度を示すレベル1003、当該構成情報1002が含まれるゾーンのタイプを示すゾーンタイプ1004、及び当該経路を流れる情報のレベル1005の各項目を備えて構成される。セキュリティ設計者は、図8の情報を基に、経路1001と、アクセス元及びアクセス先の構成情報1002と、流れる情報のレベル1005とをシステム構成テーブル200に入力する。また、レベル1003とゾーンタイプ1004は、システム構成テーブル100と対応づけられている情報をシステム構成テーブル200にも入力する。例えば、アクセス元の構成情報1002が「ゾーン境界2」である場合、システム構成テーブル100の構成情報904から「ゾーン境界2」を検索し、対応するレコードのレベル902及びゾーンタイプ903を、システム構成テーブル200のレベル1003及びゾーンタイプ1004へ入力する。
以上の処理を実施することで、セキュリティ設計者はシステム構成テーブル100及び200が作成され、システムに含まれるゾーンごとのセキュリティ対策レベル等が整理される。
ここまでの準備を終えると、セキュリティ設計者は、要件定義・対策立案支援装置10に対して入力情報をインプットし、要件定義・対策立案処理を要求する。入力されるデータは、すでに作成されたシステム構成テーブル100及び200の内容である。
以下、図7に従って、要件定義・対策立案支援装置10の要件定義・対策立案処理について説明する。要件定義・対策立案処理は、要件定義・対策立案支援装置10の要件定義・対策立案処理部22が動作主体となって実行されるが、煩雑さを避けるため、要件定義・対策立案処理部22のことを、以下「装置10」と略称することとする。まず、装置10は、入力情報であるシステム構成テーブル100及び200に記録されている情報を入力データとして受信し、入力データ保持部25に保持する(S701)。装置10は、それを基に要件−対策DB12から、当該システムの各ゾーンで対応すべきセキュリティ要件と、それに対する対策を抽出する。具体的には、装置10は、ゾーン内及びゾーン境界に関する機能要件・対策の抽出処理(S702)、経路に関する機能要件・対策の抽出処理(S703)、各ゾーンの管理要件・対策抽出処理(S704)、各ゾーンの環境要件・対策抽出処理(S705)、及び依存関係の確認及び要件・対策の追加処理(S706)を実施する。そして、装置10は、これらの処理の結果、図16〜図19に例示する要件・対策テーブルを作成して提示し、処理を終了する(S707)。
次に、図7のS702〜S706の各処理の具体的な処理フロー例を、それぞれ図11〜15に示すフローチャートを用いて説明する。
まず、ゾーン内及びゾーン境界の機能要件・対策抽出の処理について説明する。図11は、図7のS702のゾーン内及びゾーン境界の機能要件・対策抽出の処理例を説明するフローチャートである。まず、装置10は、システム構成テーブル100の先頭のレコードから、ゾーンの情報であるゾーン901、レベル902、及びゾーンタイプ903を取得する(S1101)。具体的には、図9を参照し、「ゾーン1」、「High」、「NC‐01,NC‐03,NC‐05」という値を取得する。取得した情報のうち、ゾーン901の情報を、図16に示す機能要件・対策テーブル300へ格納する(S1102)。具体的には、図16の機能要件・対策テーブル300のゾーン1601に「ゾーン1」を格納する。図16の機能要件・対策テーブル300は、装置10の構築時に、例えば出力データ保持部26にあらかじめ用意しておく。
次に、装置10は、システム構成テーブル100から、現在のゾーン(ゾーン1)に対応する構成情報904を1項目取得し、機能要件・対策テーブル300の構成情報160
2へ格納する(S1103)。具体的には、装置10は、機能要件・対策テーブル300の構成情報1602に、「ゾーン内1」を格納する。
そして、装置10は、要件−対策DB12の大分類401が「機能要件」であり、中分類402がS1103で取得した構成情報904と同じ分類であるレコードについて、1レコード取得する(S1104)。具体的には、装置10は、大分類401が「機能要件」、中分類402が「ゾーン内」の分類のレコードから一つ目のレコードである要件IDが「FZ001」で特定される1行のレコードを取得する。
次いで、装置10は、S1104で取得したレコードについて、当該ゾーンの要件・対策として抽出すべきかどうかを判断する(S1105)。抽出するか否かの判断は、(1)S1104で取得したレコードの適用タイプ408の中に、S1101で取得したゾーンタイプ903のいずれかが含まれていること、かつ(2)S1104で取得したレコードの適用レベル409の中に、S1101で取得したレベル902が含まれていること、の条件が満たされているかをチェックすることで行う。具体的には、装置10は、要件IDが「FZ001」で特定される要件には、S1101で取得した「High」と「NC−01,NC−03」が含まれる為、抽出すべき要件と判断する。前記のAND条件を満たさない場合は、抽出すべき要件とは判断されない。
S1105で、当該レコードを抽出すべきだと判断した場合、装置10は、当該レコードを機能要件・対策テーブル300へ格納する(S1106)。具体的には、装置10は、S1104で取得したレコードのうち、セキュリティ要件403の情報を、機能要件・対策テーブル300のセキュリティ要件1603に格納する。また、S1104で取得したレコードのうち、セキュリティ対策403の部分については、S1101で取得したレベル902と同じレベル(今回の例では「High」)に記述された対策を、機能要件・対策テーブル300のセキュリティ対策1610へ格納する。
装置10は、以上のS1104〜S1106の処理を、要件−対策DB12の対象レコード全てについて実施し、当該ゾーンの各構成要素で要求される要件及び対策を抽出する。なお、対象レコードとは、要件−対策DB12の大分類401が「機能要件」であり、中分類402がS1103で取得した構成情報904と同じ分類であるレコードである。
対象レコード全てについてチェックが終了したと判定した場合(S1107,Yes)、装置10はシステム構成テーブル100をチェックし、当該ゾーンに対応する構成情報がまだあるかどうかをチェックする(S1108)。処理していない構成情報があると判定した場合(S1108,No)、装置10はS1103に戻り、次の構成情報904を取得する。
当該ゾーンに対応する構成情報904全てに対して処理が終了したと判定した場合(S1108,Yes)、装置10はシステム構成テーブル100をチェックし、次のゾーン901がまだあるかどうかをチェックする(S1109)。処理していないゾーンがあると判定した場合(S1109,No)、装置10はS1101に移動し、次のゾーン901を取得する。全てのゾーンに対する処理が終了したと判定した場合(S1109,Yes)、装置10は、ゾーン内及びゾーン境界の機能要件・対策抽出処理を終了する。以上の処理により、要件−対策DB12に規定されている各ゾーンについてのセキュリティ要件及び対策が、漏れなく抽出されることになる。
次に、図7の全体処理フローのS703の処理である経路に関する機能要件・対策抽出の処理について説明する。図12は、経路に関する機能要件・対策抽出の処理例を説明するためのフローチャートである。まず、装置10は、システム構成テーブル200の1つ
目の経路に関するレコードから、経路の情報である経路1001、アクセス元構成情報1002、アクセス先構成情報1002、アクセス先構成情報のレベル1003、アクセス先構成情報のゾーンタイプ1004、及び流れる情報のレベル1005を取得する(S1201)。具体的には、図10の例では、「経路2−1」、「ゾーン境界2」、「ゾーン境界1−1」、「Low」、「High」、「NC‐01,NC‐03,NC‐05」、「Low」という値を取得する。取得した情報のうち、経路1001、アクセス元構成情報1002、アクセス先構成情報1002の情報を、図17に示す機能要件・対策テーブル400へ格納する(S1202)。具体的には、機能要件・対策テーブル400の経路1702に「経路2−1」を、構成情報(アクセス元/アクセス先)1702に「ゾーン境界2」と「ゾーン境界1−1」とを格納する。図17の機能要件・対策テーブル400は、装置10の構築時に、例えば出力データ保持部26にあらかじめ用意しておく。
次に、装置10は、図4の要件−対策DB12の大分類401が「機能要件」であり、中分類402が「経路」であるレコードについて、1レコード取得する(S1203)。具体的には、大分類401が「機能要件」、中分類402が「経路」の分類のレコードから一つ目のレコードである要件IDが「FC001」で特定される1行のレコードを取得する。
ここで、装置10は、S1203で取得したレコードについて、当該経路の要件・対策として抽出すべきかどうかを判断する(S1204)。抽出するかどうかの判断は、(1)S1203で取得したレコードの適用タイプ408の中に、S1201で取得したアクセス先構成要素のゾーンタイプ903のどれかが含まれていること、かつ(2)S1203で取得したレコードの適用レベル409の中に、S1201で取得したアクセス先構成情報のレベル902が含まれていることの条件が成立するかをチェックすることで行う。具体的には、図4の例では、要件IDが「FC001」の要件には、S12001で取得した「High」(適用レベル409には「H/M」すなわち「HighまたはMiddle」と記録されている)と「NC−01」が含まれるため、抽出すべき要件として判断される。前記どちらかの条件を満たさない場合は、抽出すべき要件とは判断されない。
S1204で、当該レコードを抽出すべきだと判断した場合(S1204,Yes)、装置10は、当該レコードを機能要件・対策テーブル400へ格納する(S1205)。具体的には、S1203で取得したレコードのうち、セキュリティ要件403の情報を、機能要件・対策テーブル400のセキュリティ要件1703に格納する。このとき、アクセス元構成情報1702である「ゾーン境界2」と、アクセス先構成情報1702である「ゾーン境界1−1」の両方のレコードに対して、セキュリティ要件403の情報を格納する。
また、S1203で取得したレコードのうち、セキュリティ対策413の部分については、S1201で取得した流れる情報のレベル1005と同じレベル(今回の例では「Low」)に記述された対策を、機能要件・対策テーブル400のセキュリティ対策1710へ格納する。S1204で、当該レコードを抽出すべきでない判断した場合(S1204,No)、装置10は、S1206の処理に移る。
装置10は、以上のS1203〜S1205の処理を、要件−対策DB12の対象レコード全てについて実施し、当該経路で要求される要件及び対策を抽出する(S1206がNoの場合、S1203に戻る)。なお、対象レコードとは、要件−対策DB12の大分類401が「機能要件」であり、中分類402が「経路」であるレコードである。
対象レコード全てについてチェックが終了したと判定した場合(S1206,Yes)、装置10は、システム構成テーブル200をチェックし、経路1001のデータがまだ
あるかどうかをチェックする(S1207)。処理していない経路1001があると判定した場合(S1207,No)、装置10はS12001に移動し、次の経路1001を取得する。全ての経路に対する処理が終了したと判定した場合(S1207,Yes)、装置10は、経路に関する機能要件・対策抽出処理を終了する。以上の処理により、要件−対策DB12に規定されている各経路についてのセキュリティ要件及び対策が、漏れなく抽出されることになる。
次に、図7の全体処理フローのS704の処理である管理要件・対策抽出の処理について説明する。図13は、管理要件・対策抽出の処理例を説明するフローチャートである。本処理を開始すると、まず、装置10は、システム構成テーブル100から、ゾーンの情報であるゾーン901と、レベル902と、ゾーンタイプ903とを取得する(S1301)。具体的には、装置10は、図9を参照して、「ゾーン1」、「High」、および「NC‐01,NC‐03,NC‐05」という値を取得する。取得した情報のうち、ゾーン901の情報を、図18に示す管理要件・対策テーブル500へ格納する(S1302)。具体的には、管理要件・対策テーブル500のゾーン1801に「ゾーン1」を格納する。図18の管理要件・対策テーブル500は、装置10の構築時に、例えば出力データ保持部26にあらかじめ用意しておく。
次に、装置10は、要件−対策DB12の大分類401が「管理要件」であるレコードについて、1レコード取得する(S1303)。具体的には、大分類401が「管理要件」の分類のレコードから一つ目のレコードである要件IDが「OP001」で特定される1行のレコードを取得する。
装置10は、S13003で取得したレコードについて、当該ゾーンの要件・対策として抽出すべきかどうかを判断する(S1304)。抽出するかどうかの判断は、(1)S1303で取得したレコードの適用タイプ408の中に、S1301で取得したゾーンタイプ903のどれかが含まれていること、かつ(2)S1303で取得したレコードの適用レベル409の中に、S1301で取得したゾーンのレベル902が含まれていることの条件が成立するかチェックすることで行う。具体的には、要件IDが「OP001」の要件には、S13001で取得した「High」と「NC−01,NC−03」とが含まれる為、抽出すべき要件として判断される。前記のどちらかの条件を満たさない場合は、抽出すべき要件とは判断されない。
S1304で、当該レコードを抽出すべきだと判断した場合(S1304,Yes)、装置10は、当該レコードを管理要件・対策テーブル500へ格納する(S1305)。具体的には、装置10は、S1303で取得したレコードのうち、セキュリティ要件403の情報を、管理要件・対策テーブル500のセキュリティ要件1802に格納する。
また、装置10は、S1303で取得したレコードのうち、セキュリティ対策413の部分については、S1301で取得したレベル902と同じレベル(今回の例では「High」)に記述された対策を、管理要件・対策テーブル500のセキュリティ対策1809へ格納する。
装置10は、S1306で要件−対策DB12の対象レコードについてチェックが終了したか判定し、終了していないと判定した場合(S1306,No)、以上のS1303〜S1305の処理を、要件−対策DB12の対象レコード全てについて実施し、当該ゾーンで要求される要件及び対策を抽出する。なお、対象レコードとは、要件−対策DB12の大分類401が「管理要件」であるレコードである。
対象レコード全てについてチェックが終了したと判定した場合(S1306,Yes)
、装置10はシステム構成テーブル100をチェックし、ゾーン901のデータがまだあるかどうかをチェックする(S1307)。処理していないゾーン901があると判定した場合(S1307,No)、S1301に移動し、次のゾーン901を取得する。全て
のゾーン901に対する処理が終了したと判定した場合(S1307,Yes)、装置10は管理要件・対策抽出処理を終了する。以上の処理により、要件−対策DB12に規定されている管理要件についてのセキュリティ要件及び対策が、漏れなく抽出されることになる。
次に、図7のS705の処理である環境要件・対策抽出の処理について説明する。図14は、環境要件・対策抽出の処理例を説明するフローチャートである。装置10は、処理を開始すると、まず、システム構成テーブル100から、ゾーンの情報であるゾーン901と、レベル902と、ゾーンタイプ903とを取得する(S1401)。具体的には、装置10は、図9を参照して、「ゾーン1」、「High」、「NC‐01,NC‐03,NC‐05」という値を取得する。取得した情報のうち、ゾーン901の情報を、図19に示す環境要件・対策テーブル600へ格納する(S14002)。具体的には、装置10は、環境要件・対策テーブル600のゾーン1901に「ゾーン1」を格納する。図19の環境要件・対策テーブル600は、装置10の構築時に、例えば出力データ保持部26にあらかじめ用意しておく。
次に、装置10は、要件−対策DB12の大分類401が「環境要件」であるレコードについて、1レコード取得する(S1403)。具体的には、装置10は、大分類401が「環境要件」の分類のレコードから一つ目のレコードである要件IDが「EN001」で特定される1行のレコードを取得する。
装置10は、S14003で取得したレコードについて、当該ゾーンの要件・対策として抽出すべきかどうかを判断する(S1404)。抽出かどうかの判断は、(1)S1403で取得したレコードの適用タイプ408の中に、S1401で取得したゾーンタイプ903のどれかが含まれていること、かつ(2)S1403で取得したレコードの適用レベル409の中に、S1401で取得したゾーンのレベル902が含まれていることの条件が成立するかをチェックすることで行う。具体的には、図4を参照すると、要件IDが「EN001」のレコードには、S1401で取得した「High」と「NC−01」が含まれるため、抽出すべき要件として判断される。どちらかの条件を満たさない場合は、抽出すべき要件とは判断されない。
S1404で、当該レコードを抽出すべきだと判断した場合(S1404,Yes)、装置10は、当該レコードを環境要件・対策テーブル600へ格納する(S1405)。具体的には、装置10は、S1403で取得したレコードのうち、セキュリティ要件403の情報を、環境要件・対策テーブル600のセキュリティ要件1902に格納する。
また、S1403で取得したレコードのうち、セキュリティ対策413の部分については、S1401で取得したレベル902と同じレベル(今回の例では「High」)に記述された対策を、環境要件・対策テーブル600のセキュリティ対策1909へ格納する。
装置10は、S1406で要件−対策DB12の対象レコードについてチェックが終了したか判定し、終了していないと判定した場合(S1406,No)、以上のS1403〜S1405の処理を、要件−対策DB12の対象レコード全てについて実施し、当該ゾーンで要求される要件及び対策を抽出する(ステップS1406)。なお、対象レコードとは、要件−対策DB12の大分類401が「環境要件」であるレコードである。
対象レコード全てについてチェックが終了したと判定した場合(S1406,Yes)、装置10は、システム構成テーブル100を参照し、ゾーン901のデータがまだあるかどうかをチェックする(S1407)。処理していないゾーン901があると判定した場合(S1407,No)、装置10はS1401に移動し、次のゾーン901を取得する。全てのゾーン901に対する処理が終了したと判定した場合(S1407,Yes)、装置10は環境要件・対策抽出処理を終了する。以上の処理により、要件−対策DB12に規定されている環境要件についてのセキュリティ要件及び対策が、漏れなく抽出されることになる。
次に、図7のS706の処理である依存関係の確認及び要件・対策の追加処理について説明する。図15は、依存関係の確認及び要件・対策の追加処理例を説明するフローチャートである。処理を開始すると、まず、装置10は、機能要件・対策テーブル300、機能要件・対策テーブル400、管理要件・対策テーブル500、及び環境要件・対策テーブル600(以下、これら4つのテーブルを「要件・対策テーブル」と総称する)から、1レコードを取得する(S1501)。例えば、機能要件・対策テーブル400から、1つ目の要件である要件IDが「FC001」で特定される1行のレコードを、ゾーン境界2の要件として取得する。
次に、装置10は、S1501で取得したレコードの依存関係に書かれた要件IDの要件が、同じゾーンの要件として要件・対策テーブルに記述されているかどうかを確認する(S1502)。具体的には、装置10は、S1501で取得したレコードの依存関係の項目(例えば機能要件・対策テーブル400の符号1707)から、依存関係がある要件の要件IDとその種別(必須またはオプション)として、「FG002,OP001」と「オプション」という値を取得する。当該要件IDと、当該レコードが属するゾーン(この場合は「ゾーン2」)をキーにして、全ての要件・対策テーブルを検索する。キーがマッチする要件が検出された場合(S1502,Yes)、装置10は、次のS1504に進む。キーがマッチする要件が検出されなかった場合(S1502,No)、装置10は、当該要件IDをキーに、要件−対策DB12を検索し、当該要件IDに対応するセキュリティ要件403とセキュリティ対策413を、要件・対策テーブルに追加する(S1503)。このとき、要件−対策DB12の依存関係による追加情報欄に依存関係の種別(必須又はオプション)に応じて、符号1または2を記述する。具体的には、要件−対策DB12からFG002で特定されるレコードを取得し、機能要件・対策テーブル300のゾーン境界2の要件と対策に追加する。また、当該追加レコードの依存関係による追加情報1611に、オプションの依存関係で追加したことを示す「2」を格納する。
装置10は、S1501〜S1503の処理を、要件・対策テーブルの全てのレコードについて実施し、全てのレコードについて処理を実施したと判定した場合(S1504,Yes)、依存関係の確認および要件・対策の追加処理を終了する。
以上で、装置10は、要件−対策DB12とシステム構成テーブル100、200に基づいて、項目漏れや抜けのない要件・対策テーブルを完成する。また、セキュリティ要件間の依存関係に基づいて追加したセキュリティ要件にはそれがシステム設計上必須なのかオプション扱いなのかに応じて識別符号が付されているので、追加されたセキュリティ要件の属性が一目で判別できるようになる。
図7の全体処理フローに戻ると、装置10は、S702〜S706の処理で作成した要件・対策テーブル(機能要件・対策テーブル300、400、管理要件・対策テーブル500、及び環境要件・対策テーブル600の4つのテーブル)について、図8のようにシステムを構成しているゾーンを軸にした一覧形式に整理し、入出力部20cから出力装置36を通じて表示等の出力処理を行う(S707)。図20に、ゾーン毎に整理した要件
・対策一覧テーブル700の構成例を示している。
システムのセキュリティ設計者は、装置10から出力されるゾーン毎の要件・対策一覧テーブル700を参照しつつ問題点の有無等を検討し、その後の設計工程を推進することができる。
なお、上記実施形態では、要件−対策DB12には標準規格の要件を基に要件と対策を登録することを前提としているが、標準規格ではなく、DB管理者が独自に定める要件と対策を登録するようにしてもよい。
また、図4に例示した要件−対策DB12の適用レベル409やセキュリティ対策413等のレベルは、High、Middle、Lowの3段階を設定しているが、レベル分けの態様はこれに限るものではない。
以上説明したように、本発明の実施形態によれば、二つのゾーン間で実施されるデータ通信に関る要件を「経路」に関する要件として分けて考え、経路の要件に対するセキュリティ対策は、ゾーンのレベルではなく、流れる情報のレベルに応じて対策のレベルを選択することにより、経路毎に必要なレベルでの対策が可能となる。この結果過剰・過小対策を防止し、全体的に整合性の取れた対策を設計者に提示可能となる。ゾーン間でのデータ通信に対するセキュリティ対策を、ゾーンのレベルでなく、経路を流れる情報のレベルに応じて決定することで、過剰なセキュリティ対策を防止でき、コストの効率化が図れる。
また、二つのゾーンに関る要件を、「経路」という分類に分けて考え、当該要件を送信元および送信先ゾーンの要件及び対策として抽出することにより、要件および対策の抜け漏れを防ぐことができ、スムーズな設計・開発の推進が可能となる。
また、経路の要件及び対策は、アクセス元ゾーン及びアクセス先ゾーンのそれぞれに対して抽出することにより、従来技術の課題であったアクセス元ゾーンにおける要件の抽出漏れを防止可能となる。
以上のような効果は、設計作業の手戻りを防止するため、セキュリティ設計作業の効率化に寄与することとなる。
なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば,上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、実施形態の構成の一部を他の構成に置き換えることが可能であり、また、ある実施形態の構成に他の構成を加えることも可能である。
10:要件定義・対策立案支援装置
12:要件−対策データベース
20a:処理部 20b:記憶部 20c:入出力部
21:要件−対策DB管理部
22:要件定義・対策立案処理部 23:制御部
24:要件−対策DB保持部
25:入力データ保持部 26:出力データ保持部
31:プロセッサ 32:メモリ
33:補助記憶装置 34:読み取り装置
35:入力装置 36:出力装置
37:内部通信線 38:可搬性を有する記憶媒体

Claims (7)

  1. システムのセキュリティ設計における要件定義、対策立案を支援するためのシステムセキュリティ設計支援装置であって、
    設計対象システムを、それぞれがセキュリティ設定区画である複数のゾーンで表し、前記各ゾーンを、前記ゾーン間を情報伝送可能に接続する経路と、前記経路と前記各ゾーンとの接続部分であるゾーン境界と、前記ゾーン内部とに分類し、前記各ゾーン内部、前記各経路、及び前記各ゾーン境界に、前記設計対象システムに要求されるセキュリティ上の要件に関する情報であるセキュリティ要件情報と、前記セキュリティ要件を満たすためにとるべき対策を対策強度レベルに分類して示す情報であるセキュリティ対策情報とを関連付けて登録した要件−対策情報保持部と、
    前記各ゾーン内部及び前記各ゾーン境界に対応する前記対策強度レベルを関連付けるとともに、前記各経路には前記対策強度レベル及び当該経路を流通する情報に対応する前記対策強度レベルを関連付けて保持するシステム構成情報保持部と、
    前記システム構成情報保持部から前記設計対象システムを構成する前記ゾーン内部、前記ゾーン境界、及び前記経路の情報を取得し、各前記経路に関する送信元の前記ゾーン境界と送信先の前記ゾーン境界の情報を特定し、前記送信元ゾーン境界及び送信先ゾーン境界に対しては、対応する前記経路に関連付けられている前記対策強度レベルを適用し、それらの対応関係を含む情報を出力する要件定義対策立案処理部と、
    を備えることを特徴とするシステムセキュリティ設計支援装置。
  2. 請求項1に記載のシステムセキュリティ設計支援装置であって、
    前記要件−対策情報保持部はさらに、前記セキュリティ要件及び前記セキュリティ対策を、前記各ゾーン内部、前記各経路、及び前記各ゾーン境界が有する機能と関連付けられた機能要件に加え、前記機能を管理するための要件である管理要件情報、及び前記機能を実現するための環境に関する要件である環境要件と関連付けられて保持する
    ことを特徴とするシステムセキュリティ設計支援装置。
  3. 請求項2に記載のシステムセキュリティ設計支援装置であって、
    前記要件定義対策立案処理部は、前記各ゾーンについて、前記機能要件、前記管理要件、及び前記環境要件に分類してそれぞれ前記セキュリティ要件情報及び前記セキュリティ対策情報と関連付けるとともに、前記機能要件についてはさらに、前記各ゾーンのゾーン内部と前記ゾーン境界とに分類してそれぞれ前記セキュリティ要件情報及び前記セキュリティ対策情報と対応付けて、入出力部から出力する
    ことを特徴とするシステムセキュリティ設計支援装置。
  4. 請求項2に記載のシステムセキュリティ設計支援装置であって、
    前記要件−対策情報保持部はさらに、前記各セキュリティ要件の間において、一の前記セキュリティ要件が他の前記セキュリティ要件の存在に依存しているかを示す情報である依存関係情報を、当該依存関係が必須である、又は必須でないが推奨されるオプションであるという2つの種別で登録し、
    前記要件定義対策立案処理部は、前記要件−対策情報保持部から前記セキュリティ要件と前記セキュリティ対策とを抽出した後で、抽出した前記セキュリティ要件の依存関係を確認し、前記依存関係のある要件がまだ抽出されていないと判定した場合には、前記要件−対策情報保持部から追加で抽出し、
    当該依存関係により追加された前記セキュリティ要件及び前記セキュリティ対策を含めて出力する
    ことを特徴とするシステムセキュリティ設計支援装置。
  5. 請求項4に記載のシステムセキュリティ設計支援装置であって、
    前記要件定義対策立案処理部は、前記セキュリティ要件の依存関係により追加した前記セキュリティ要件に対して、必須の前記依存関係により追加された項目なのか、前記オプションの依存関係により追加された項目なのかを示す項目を追加して出力する
    ことを特徴とするシステムセキュリティ設計支援装置。
  6. システムのセキュリティ設計における要件定義、対策立案を支援するためのシステムセキュリティ設計支援方法であって、演算処理を行うプロセッサと、前記プロセッサが利用するデータを格納するメモリとを有するコンピュータに、
    設計対象システムを、それぞれがセキュリティ設定区画である複数のゾーンで表し、前記各ゾーンを、前記ゾーン間を情報伝送可能に接続する経路と、前記経路と前記各ゾーンとの接続部分であるゾーン境界と、前記ゾーン内部とに分類し、前記各ゾーン内部、前記各経路、及び前記各ゾーン境界に、前記設計対象システムに要求されるセキュリティ上の要件に関する情報であるセキュリティ要件情報と、前記セキュリティ要件を満たすためにとるべき対策を対策強度レベルに分類して示す情報であるセキュリティ対策情報とが関連付けらられて登録されており、
    前記各ゾーン内部及び前記各ゾーン境界に対応する前記対策強度レベルが関連付けられるとともに、前記各経路には前記対策強度レベル及び当該経路を流通する情報に対応する前記対策強度レベルが関連付けられて保持されており、
    前記コンピュータは、
    前記システム構成情報保持部から前記設計対象システムを構成する前記ゾーン内部、前記ゾーン境界、及び前記経路の情報を取得し、各前記経路に関する送信元の前記ゾーン境界と送信先の前記ゾーン境界の情報を特定し、前記送信元ゾーン境界及び送信先ゾーン境界に対しては、対応する前記経路に関連付けられている前記対策強度レベルを適用し、それらの対応関係を含む情報を出力する、
    ことを特徴とするシステムセキュリティ設計支援方法。
  7. システムのセキュリティ設計における要件定義、対策立案を支援するためのシステムセキュリティ設計支援プログラムであって、演算処理を行うプロセッサと、前記プロセッサが利用するデータを格納するメモリとを有するコンピュータに、
    設計対象システムを、それぞれがセキュリティ設定区画である複数のゾーンで表し、前記各ゾーンを、前記ゾーン間を情報伝送可能に接続する経路と、前記経路と前記各ゾーンとの接続部分であるゾーン境界と、前記ゾーン内部とに分類し、前記各ゾーン内部、前記各経路、及び前記各ゾーン境界に、前記設計対象システムに要求されるセキュリティ上の要件に関する情報であるセキュリティ要件情報と、前記セキュリティ要件を満たすためにとるべき対策を対策強度レベルに分類して示す情報であるセキュリティ対策情報とを関連付けられて登録されており、
    前記各ゾーン内部及び前記各ゾーン境界に対応する前記対策強度レベルを関連付けるとともに、前記各経路には前記対策強度レベル及び当該経路を流通する情報に対応する前記対策強度レベルが関連付けられて保持されており、
    前記コンピュータに、
    前記システム構成情報保持部から前記設計対象システムを構成する前記ゾーン内部、前記ゾーン境界、及び前記経路の情報を取得し、各前記経路に関する送信元の前記ゾーン境界と送信先の前記ゾーン境界の情報を特定し、前記送信元ゾーン及び送信先ゾーン境界に対しては、対応する前記経路に関連付けられている前記対策強度レベルを適用し、それらの対応関係を含む情報を出力する処理を実行させる、
    ことを特徴とするシステムセキュリティ設計支援プログラム。
JP2014084570A 2014-04-16 2014-04-16 システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム Pending JP2015204061A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2014084570A JP2015204061A (ja) 2014-04-16 2014-04-16 システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム
EP15158964.5A EP2933749A1 (en) 2014-04-16 2015-03-13 System security design support device, and system security design support method
US14/657,649 US20150302213A1 (en) 2014-04-16 2015-03-13 System security design support device, and system security design support method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014084570A JP2015204061A (ja) 2014-04-16 2014-04-16 システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム

Publications (1)

Publication Number Publication Date
JP2015204061A true JP2015204061A (ja) 2015-11-16

Family

ID=52692461

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014084570A Pending JP2015204061A (ja) 2014-04-16 2014-04-16 システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム

Country Status (3)

Country Link
US (1) US20150302213A1 (ja)
EP (1) EP2933749A1 (ja)
JP (1) JP2015204061A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017107405A (ja) * 2015-12-10 2017-06-15 株式会社日立製作所 セキュリティ対策立案支援方式
WO2019138542A1 (ja) * 2018-01-12 2019-07-18 三菱電機株式会社 対策立案支援装置、対策立案支援方法及び対策立案支援プログラム

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7220095B2 (ja) * 2019-02-22 2023-02-09 株式会社日立製作所 セキュリティ設計立案支援装置
CN117422293A (zh) * 2023-09-21 2024-01-19 华能山东发电有限公司烟台发电厂 一种分布式燃机的基建安全管理方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001273388A (ja) * 2000-01-20 2001-10-05 Hitachi Ltd セキュリティ管理システムおよび方法
CA2351898A1 (en) * 2001-06-26 2002-12-26 Predrag Zivic Information security model
US20060107313A1 (en) * 2004-11-12 2006-05-18 Dowless & Associates Method, system, and medium for the analysis of information system security
US8392999B2 (en) * 2005-12-19 2013-03-05 White Cyber Knight Ltd. Apparatus and methods for assessing and maintaining security of a computerized system under development
JP2008234409A (ja) 2007-03-22 2008-10-02 Toshiba Corp セキュリティ脅威分析支援システムおよびその方法、ならびにセキュリティ脅威分析支援プログラム
US8479257B1 (en) * 2008-08-08 2013-07-02 Redseal Networks, Inc. Method and apparatus for assessing policy compliance of as-built data networks
JP4469910B1 (ja) * 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017107405A (ja) * 2015-12-10 2017-06-15 株式会社日立製作所 セキュリティ対策立案支援方式
WO2019138542A1 (ja) * 2018-01-12 2019-07-18 三菱電機株式会社 対策立案支援装置、対策立案支援方法及び対策立案支援プログラム
JPWO2019138542A1 (ja) * 2018-01-12 2020-01-16 三菱電機株式会社 対策立案支援装置、対策立案支援方法及び対策立案支援プログラム

Also Published As

Publication number Publication date
US20150302213A1 (en) 2015-10-22
EP2933749A1 (en) 2015-10-21

Similar Documents

Publication Publication Date Title
US20220215389A1 (en) Transaction authorization process using blockchain
EP3356964B1 (en) Policy enforcement system
US9330263B2 (en) Method and apparatus for automating the building of threat models for the public cloud
US11816116B2 (en) Facilitating queries of encrypted sensitive data via encrypted variant data objects
JP6677623B2 (ja) セキュリティ対策立案支援システムおよび方法
US9652512B2 (en) Secure matching supporting fuzzy data
CN104054086B (zh) 针对一个或多个沙箱化应用程序的文件系统访问
US9489376B2 (en) Identifying confidential data in a data item by comparing the data item to similar data items from alternative sources
US9600134B2 (en) Selecting portions of computer-accessible documents for post-selection processing
US9195853B2 (en) Automated document redaction
US11106820B2 (en) Data anonymization
JP5366864B2 (ja) セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法
US20220335110A1 (en) Systems, methods, and devices for automation and integration of credentialing and authentication in workflows associated with computing platforms
JP2015204061A (ja) システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム
US10693897B2 (en) Behavioral and account fingerprinting
US8812467B2 (en) Information processing apparatus and computer readable medium for performing history cancellation processing
US10248638B2 (en) Creating forms for hierarchical organizations
JP2017107405A (ja) セキュリティ対策立案支援方式
JP4625353B2 (ja) セキュリティ設計支援方法、セキュリティ設計支援装置及びセキュリティ設計支援プログラム
KR102113680B1 (ko) 빅 데이터 비식별화 처리 시스템 및 방법
JP6277778B2 (ja) 情報処理装置、情報処理システム、プログラム
KR102417236B1 (ko) 컨텐츠 작성자의 식별 방법, 그리고 이를 구현하기 위한 장치
JP6235676B2 (ja) リモート審査システム、情報処理装置、リモート審査方法、及びリモート審査プログラム
JP6235675B2 (ja) リモート審査システム、情報処理装置、リモート審査方法、及びリモート審査プログラム
JP6603637B2 (ja) ユーザインタフェース接続装置、及びプログラム