JP2016201035A - リスク管理支援システム、リスク管理支援方法及びプログラム - Google Patents
リスク管理支援システム、リスク管理支援方法及びプログラム Download PDFInfo
- Publication number
- JP2016201035A JP2016201035A JP2015081899A JP2015081899A JP2016201035A JP 2016201035 A JP2016201035 A JP 2016201035A JP 2015081899 A JP2015081899 A JP 2015081899A JP 2015081899 A JP2015081899 A JP 2015081899A JP 2016201035 A JP2016201035 A JP 2016201035A
- Authority
- JP
- Japan
- Prior art keywords
- value
- reduction effect
- risk
- risk reduction
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 15
- 230000000694 effects Effects 0.000 claims abstract description 152
- 230000009467 reduction Effects 0.000 claims abstract description 122
- 239000000463 material Substances 0.000 claims abstract description 104
- 230000007704 transition Effects 0.000 claims abstract description 39
- 230000001771 impaired effect Effects 0.000 claims description 7
- 230000001186 cumulative effect Effects 0.000 claims 1
- 238000007726 management method Methods 0.000 description 70
- 238000012545 processing Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】どのセキュリティ対策資材に新たなセキュリティ対策を打てばよいのかを精度良く予測する。【解決手段】管理機器10は、入力情報に対応する効果毀損値をリスク要因記憶部20から読み出し、入力情報によって影響を受けるセキュリティ対策資材の、耐用年数と現時点のリスク低減効果値とをセキュリティ対策資材記憶部30から読み出し、現時点のリスク低減効果値から外部要因起因効果毀損値を減じて得た値を、将来時点の予測値として、セキュリティ対策資材記憶部30に記憶されたリスク低減効果値の推移を更新し、更新したリスク低減効果値の推移に基づき、入力情報によって影響を受けるセキュリティ対策資材の耐用年数以内にリスク低減効果値の下限値を下回る時が来ると判断する場合、そのセキュリティ対策資材の情報を出力するリスク管理支援システム1。【選択図】図1
Description
本発明は、リスク低減効果を損ねる外部要因に対する適切なセキュリティ対策を予測する、リスク管理支援システム、リスク管理支援方法及びプログラムに関する。
従来、情報システムにおけるリスクを低減するためのセキュリティ対策を行う手法として、ISO/IEC27001:2013に規定されたISMS(情報セキュリティマネジメントシステム)等に準拠した管理策(例えば、物理的入退管理策、外部及び環境の脅威からの保護、受渡場所など)が広く用いられている(例えば、非特許文献1参照)。
"日本工業規格JIS Q 27001:2014(ISO/IEC27001:2013)"、一般財団法人日本規格協会(JSA)、[online]、[2015年3月26日検索]、インターネット<http://kikakurui.com/q/Q27001-2014-01.html>
しかし、上述のような管理策は、どのようなセキュリティ対策資材(例えば、顔認証システム、入退システムなど)を用いてその管理策を実現するかについては示していないため、管理策に基づいて具体的な情報システムを設計することは困難であった。
また、従来の情報システムのセキュリティ対策においては、セキュリティ対策によるリスク低減効果を損ねる外部要因の情報(例えば、ベンダの倒産によるサポート切れ、OS(オペレーティングシステム)のサポート終了、IPA(独立行政法人情報処理推進機構)等の機関からの脆弱性レポートなど)が、どの管理策に影響を与えるものであるかの対応関係が不十分であった。そのため、情報システムの運用中の任意の時点で、リスク低減効果を損ねる外部要因の情報を入手した場合、情報システムのどの部分に、どのタイミングでセキュリティ対策を施せばよいのか、どのくらい費用を掛けられるのかの予測が困難であった。
本発明は、このような課題に鑑みてなされたもので、運用中のシステムに関して、任意の時点でリスク低減効果を損ねる外部要因の情報を入手した場合、当該システムのどのセキュリティ対策資材に新たなセキュリティ対策を施せばよいのかを精度良く予測することができるリスク管理支援システム、リスク管理支援方法及びプログラムを提供することを目的とする。
上記課題を解決するため、本発明に係るリスク管理支援システムは、管理機器と、リスク低減効果を損ねる外部要因と、その外部要因によりリスク低減効果を損ねる度合いを示す外部要因起因効果毀損値とを対応付けて記憶するリスク要因記憶部と、セキュリティ対策資材と、耐用年数と、リスク低減効果値の推移とを対応付けて記憶するセキュリティ対策資材記憶部と、リスク低減効果値の下限値を記憶するセキュリティポリシ記憶部と、を備え、前記管理機器は、リスク低減効果を損ねる外部要因の情報を入力情報として入力を受け付け、前記入力情報に対応する外部要因起因効果毀損値を前記リスク要因記憶部から読み出し、前記入力情報によって影響を受けるセキュリティ対策資材の、耐用年数と現時点のリスク低減効果値とを前記セキュリティ対策資材記憶部から読み出し、前記現時点のリスク低減効果値から前記外部要因起因効果毀損値を減じて得た値を、前記入力情報に基づく将来時点の予測値として、前記セキュリティ対策資材記憶部に記憶された前記リスク低減効果値の推移を更新し、前記入力情報によって影響を受ける前記セキュリティ対策資材の前記リスク低減効果値の下限値を読み出し、前記更新した前記リスク低減効果値の推移に基づき、前記入力情報によって影響を受ける前記セキュリティ対策資材の耐用年数以内に前記リスク低減効果値の下限値を下回る時が来ると判断する場合、そのセキュリティ対策資材の情報を出力することを特徴とする。
また、上記課題を解決するため、本発明に係るリスク管理支援方法は、管理機器と、リスク低減効果を損ねる外部要因とその外部要因によりリスク低減効果を損ねる度合いを示す外部要因起因効果毀損値とを対応付けて記憶するリスク要因記憶部と、セキュリティ対策資材と耐用年数とリスク低減効果値の推移とを対応付けて記憶するセキュリティ対策資材記憶部と、リスク低減効果値の下限値を記憶するセキュリティポリシ記憶部と、を備えるリスク管理支援システムにおけるリスク管理支援方法であって、前記管理機器は、リスク低減効果を損ねる外部要因の情報を入力情報として入力を受け付け、前記入力情報に対応する外部要因起因効果毀損値を前記リスク要因記憶部から読み出し、前記入力情報によって影響を受けるセキュリティ対策資材の、耐用年数と現時点のリスク低減効果値とを前記セキュリティ対策資材記憶部から読み出し、前記現時点のリスク低減効果値から前記外部要因起因効果毀損値を減じて得た値を、前記入力情報に基づく将来時点の予測値として、前記セキュリティ対策資材記憶部に記憶された前記リスク低減効果値の推移を更新し、前記入力情報によって影響を受ける前記セキュリティ対策資材の前記リスク低減効果値の下限値を読み出し、前記更新した前記リスク低減効果値の推移に基づき、前記入力情報によって影響を受ける前記セキュリティ対策資材の耐用年数以内に前記リスク低減効果値の下限値を下回る時が来ると判断する場合、そのセキュリティ対策資材の情報を出力することを特徴とする。
更に、上記課題を解決するため、本発明に係るプログラムは、管理機器と、リスク低減効果を損ねる外部要因とその外部要因によりリスク低減効果を損ねる度合いを示す外部要因起因効果毀損値とを対応付けて記憶するリスク要因記憶部と、セキュリティ対策資材と耐用年数とリスク低減効果値の推移とを対応付けて記憶するセキュリティ対策資材記憶部と、リスク低減効果値の下限値を記憶するセキュリティポリシ記憶部と、を備えるリスク管理支援システムの前記管理機器が、リスク低減効果を損ねる外部要因の情報を入力情報として入力を受け付け、前記入力情報に対応する外部要因起因効果毀損値を前記リスク要因記憶部から読み出し、前記入力情報によって影響を受けるセキュリティ対策資材の、耐用年数と現時点のリスク低減効果値とを前記セキュリティ対策資材記憶部から読み出し、前記現時点のリスク低減効果値から前記外部要因起因効果毀損値を減じて得た値を、前記入力情報に基づく将来時点の予測値として、前記セキュリティ対策資材記憶部に記憶された前記リスク低減効果値の推移を更新し、前記入力情報によって影響を受ける前記セキュリティ対策資材の前記リスク低減効果値の下限値を読み出し、前記更新した前記リスク低減効果値の推移に基づき、前記入力情報によって影響を受ける前記セキュリティ対策資材の耐用年数以内に前記リスク低減効果値の下限値を下回る時が来ると判断する場合、そのセキュリティ対策資材の情報を出力するように機能させることを特徴とする。
本発明に係るリスク管理支援システム、リスク管理支援方法及びプログラムによれば、どのセキュリティ対策資材にセキュリティ対策を施せばよいのかを精度よく予測することができる。
以下、本発明に係る一実施形態について、図面を参照して説明する。
図1は、本発明の一実施形態に係るリスク管理支援システム1の構成例を示す図である。図1に示すように、本実施形態に係るリスク管理支援システム1は、主に、管理機器10と、リスク要因データベース(DB)20と、セキュリティ対策資材データベース(DB)30と、セキュリティポリシデータベース(DB)40と、セキュリティ規格データベース(DB)50と、予算管理データベース(DB)60とを備える。管理機器10は、リスク要因DB20、セキュリティ対策資材DB30、セキュリティポリシDB40、セキュリティ規格DB50及び予算管理DB60と、例えばネットワーク等を介して接続されている。また、各データベースは、記憶部としての機能を有している。さらに、各データベースは、管理機器10と一体の装置として構成されていてもよい。
管理機器10は、入力部11と、出力部12と、記憶部13と、処理部14とを有するコンピュータ等で構成される。管理機器10は、入力部11を介して、例えば、リスク管理支援システム1の操作者やセキュリティ対策資材のメーカの担当者等による操作により、リスク低減効果を損ねる外部要因の情報や、外部状況の入力を受け付ける。また、管理機器10は、後述する演算の結果、いつ、どこに、どの程度の予算でセキュリティ対策を施すべきか等の情報を、例えば画面表示により出力部12から出力する。記憶部13は、例えばメモリであって、管理機器10によって実行される各種プログラムを記憶する。処理部14は、例えばプロセッサであって、記憶部13に記憶される各種プログラムを実行し、各種データベースの情報の読み込み、書き込みを行う。
リスク要因DB20は、図2に示すように、「リスク低減効果を損ねる外部要因」をリスト化してデータとして記憶し、これらの外部要因それぞれについて、その外部要因に対してリスク低減効果を維持するのに必要な費用(以下、適宜「外部要因対応費用」と略記する)と、その外部要因によるリスク発生確率の予測値(以下、適宜「外部要因起因リスク発生確率」と略記する)と、その外部要因によりリスク低減効果を損ねる度合い(以下、適宜「外部要因起因効果毀損値」)と、その外部要因が影響を与えるISMS規格書に規定された管理策(以下、適宜「外部要因対応管理策」と略記する)とを対応付けてデータとして記憶する。ここで、外部要因起因リスク発生確率は、将来の所定の時点毎に、その外部要因によるリスクが発生する確率を対応付けた値である。また、外部要因起因効果毀損値は、図3に示すセキュリティ対策資材DB30に記憶されたリスク低減効果値(リスク低減効果を定量化して示した値であり、値が大きいほどリスク低減効果が高いことを示す)が、その外部要因によりどれだけ毀損されるかを示す値である。また、外部要因対応管理策は、その外部要因が、図5に示すセキュリティ規格DB50に記憶されたISMS規格書のどの項番に影響を与えるかを示す情報である。なお、外部要因それぞれについて、複数の外部要因対応管理策が対応付けられていてもよい。
なお、管理機器10は、入力部11を介して外部状況が入力されると、リスク要因DB20に記憶された外部要因対応費用、外部要因起因リスク発生確率、又は外部要因起因効果毀損値の各値を、入力された外部状況に従って書き換えることができる。例えば、リスク低減用の部品が外国製で、かつ、外貨建てでしか購入できないという外部状況が入力されると、リスク要因DB20に記憶された外部要因対応費用は、為替レートの変動により、日本円相当の金額を時々刻々と変化させることができる。また、例えば、Windows(登録商標)7の延長サポート中止日が発表された際にその中止日が入力されると、図2の項番6についての外部要因起因リスク発生確率を、中止日以降は100%として書き換えることができる。これにより、外部状況に応じてリスク要因DB20の情報を最新の状態に更新することができる。
セキュリティ対策資材DB30は、図3に示すように、例えば、サーバルームに導入しているセキュリティ対策資材(型番N0001)の情報と、サーバルームの業務要件書とをデータとして記憶する。セキュリティ対策資材の情報は、資材構成と、耐用年数と、リスク低減効果値の推移との各情報を含む。資材構成は、そのセキュリティ対策資材を構成する構成品目毎に、項番と、ISMS規格書のどの項番を満たしたものであるかを示す対応項番とが対応付けられたものである。なお、セキュリティ対策資材を構成する構成品目毎に、ISMS規格書の対応項番が複数対応付けられていてもよい。耐用年数は、そのセキュリティ対策資材の耐用年数であり、予め所定の年数が記憶される。リスク低減効果値の推移は、そのセキュリティ対策資材が設計された時から現在に至るまでの任意の時点毎に、リスク低減効果値の実績値が対応付けて記憶される。なお、リスク低減効果値は、対応するISMS規格書の項番の内容に基づいて算出されたものである。また、サーバルームの業務要件書は、その業務要件毎に、項番と、ISMS規格書のどの項番を満たしたものであるかを示す対応項番とを対応付けて記憶したものである。なお、セキュリティ対策資材DB30は、型番N0001以外のセキュリティ対策資材も記憶していてもよい。
セキュリティポリシDB40は、図4に示すように、所定の条件を満たしたときにどのような処理を実行するかを規定した情報を記憶し、例えば、「リスク低減効果値が“3”未満となったとき、セキュリティ対策資材にセキュリティ対策を施す」、「セキュリティ対策資材に投じる総コストが累計1億円を超えたとき、セキュリティ対策は施さずセキュリティ対策資材そのものを更新する」といった情報を記憶する。
セキュリティ規格DB50は、図5に示すように、ISMSに関する規格を、複数の項番について、各項番毎に、項目と、内容とを対応付けて記憶する。なお、図5にはISMSに関する規格を示したが、セキュリティ規格DB50は、ISMS以外のセキュリティ規格、例えば「金融機関等のコンピュータシステムの安全対策基準・解説書(公益財団法人 金融情報システムセンター)」を記憶してもよい。また、セキュリティ規格DB50は、改定されたセキュリティ規格の情報が管理機器10の入力部11を介して入力されると、改定前のセキュリティ規格の情報を改定されたセキュリティ規格の情報に更新することができる。この場合、セキュリティ対策資材DB30に記憶されたリスク低減効果値は、更新されたセキュリティ規格の情報に基づいて変更することができる。
予算管理DB60は、図6に示すように、セキュリティ対策資材の型番情報毎に、投じることのできる総予算と、過去から現在に至る各時点における累積支出額とを対応付けて記憶する。また、予算管理DB60は、過去から現在に至る各時点における累計支出額から推測される将来の任意の時点における累計支出額の推測値を記憶する。累計支出額の推測値は、任意の公知の近似手法を用いて得ることができる。
以下、図7を参照して、本発明の一実施形態に係るリスク管理支援システム1の動作について説明する。なお、本動作は2015年1月時点で実行されたものとして説明する。
まず、管理機器10は、入力部11を介して「リスク低減効果を損ねる外部要因の情報」を入力情報とする入力を受け付ける(ステップS1)。ここでは例として、「リスク低減効果を損ねる外部要因の情報」は、リスク管理支援システム1の利用者がセキュリティ対策資材のベンダから入手した「2017年3月に、構成部品の製造中止、かつ、後継機種なし」という情報であるとし、この情報をリスク管理支援システム1の利用者が入力部11を介して管理機器10に入力したとする。なお、利用者は、入力情報に対応する、リスク要因DB20に記憶された外部要因起因リスク発生確率の値を見直したい場合には、見直した後の値に変更することができる。
管理機器10は、入力情報が入力されると、リスク要因DB20から入力情報に対応する「リスク低減効果を損ねる外部要因」を検索し、その「リスク低減効果を損ねる外部要因」に対応付けられた外部要因起因効果毀損値を読み出す(ステップS2)。ここでは、図2に示す項番3の「構成部品Aの製造中止、かつ、後継機種なし」が検索され、外部要因起因効果毀損値として「2」が読み出される。
また、管理機器10は、ステップS2で検索した「リスク低減効果を損ねる外部要因」に対応付けられた外部要因対応管理策に示される項番と同一の項番に対応付けられたセキュリティ対策資材を、入力情報によって影響を受けるセキュリティ対策資材として、セキュリティ対策資材DB30から検索する(ステップS3)。ここでは、「サーバルームに導入しているセキュリティ対策資材(型番N0001)」が検索される。なお、管理機器10は、入力情報によって影響を受けるセキュリティ対策資材を構成する構成品目まで特定してもよい。
管理機器10は、ステップS3で検索したセキュリティ対策資材の、耐用年数と、リスク低減効果値の推移とを読み出す(ステップS4)。ここでは、「サーバルームに導入しているセキュリティ対策資材(型番N0001)」の耐用年数30年及びリスク低減効果値の推移(2015年1月現在の値は「6」)が読み出される。
管理機器10は、ステップS4で検索した現在のリスク低減効果値から、ステップS2で読み出した外部要因起因効果毀損値を減じて得た値を、入力情報に基づく将来時点の予測値として、セキュリティ対策資材DB30のリスク低減効果値の推移の情報を更新する(ステップS5)。ここでは、図8に示すように、2015年1月現在のリスク低減効果値「6」から、外部要因起因効果毀損値「2」を減じて得た値「4」を2017年3月時点の予測値として、セキュリティ対策資材DB30が更新される。
管理機器10は、ステップS5で更新された情報を含むリスク低減効果値の推移曲線を作成する(ステップS6)。ここで、推移曲線としては、任意の公知の近似曲線を用いることができる。ここでは、図8に示すような曲線を外挿した例を示す。
管理機器10は、リスク低減効果値の下限値をセキュリティポリシDB40から読み出す(ステップS7)。ここでは、セキュリティポリシDB40に記憶された「リスク低減効果値が“3”未満となったとき、セキュリティ対策資材にセキュリティ対策を施す」という情報から、リスク低減効果値の下限値「3」を読み出す。
管理機器10は、ステップS6で作成した推移曲線に基づき、ステップS4で検索したセキュリティ対策資材の耐用年数以内に、ステップS7で検索したリスク低減効果値の下限値を下回る時が来るか否かを判定する(ステップS8)。下回る時が来ないと判定すると(ステップS8のNo)、処理を終了する。一方、下回る時が来ると判定すると(ステップS8のYes)、ステップS9に移行する。
管理機器10は、ステップS6で作成したリスク低減効果値の推移曲線と、ステップS7で検索したリスク低減効果値の下限値に基づく直線との交点を求め、その交点に該当する時点を、セキュリティ対策を施すべき時点として算出する(ステップS9)。ここでは、図8に示すように、セキュリティ対策を施すべき時点として2018年2月を算出する。
管理機器10は、ステップS3で検索したセキュリティ対策資材についての予算の情報を予算管理DB60から検索し、ステップS9で算出した時点における予算の残額を、総予算からその時点における累計支出額の推測値を減ずることで算出する(ステップS10)。
管理機器10は、ステップS3で検索したセキュリティ対策資材のリストを、ステップS1で入力された「リスク低減効果を損ねる外部要因の情報」によって影響を受けるセキュリティ対策資材のリストとして作成し、各セキュリティ対策資材について、ステップS9で算出したセキュリティ対策を施すべき時点と、ステップS10で算出した予算の残額とを対応付けて、出力部12からアラームとして出力する(ステップS11)。なお、ステップS3において、ステップS1での入力情報によって影響を受けるセキュリティ対策資材の構成品目まで特定していた場合には、どの構成品目にセキュリティ対策を施すべきかの情報も対応付けて出力する。出力するアラームは、例えば画面表示等により行うことができる。
なお、上記実施形態は、請求項を実現する一手段であり、請求項の範囲内で適宜変更しても同様の効果を期待できる。例えば、本実施形態では、リスク対策効果値の推移を「8(セキュリティ対策資材が設計された当時)から6に劣化」という形で絶対値を用いた形で説明しているが、導入当時の値で規格化し、例えば「1(セキュリティ対策資材が設計された当時)から0.75に劣化」という相対値を用いた手法でも同様の効果を期待できる。
このように、本実施形態によれば、リスク管理支援システム1は、リスク低減効果を損ねる外部要因の情報である入力情報が入力されると、その入力情報に対応する外部要因起因効果毀損値と、その入力情報によって影響を受けるセキュリティ対策資材の耐用年数と現時点のリスク低減効果値とを読み出し、現時点のリスク低減効果値から外部要因起因効果毀損値を減じて得た値を将来時点の予測値としてリスク低減効果値の推移を更新し、更新したリスク低減効果値の推移に基づき、セキュリティ対策資材の耐用年数以内にリスク低減効果値の下限値を下回る時が来ると判断する場合、そのセキュリティ対策資材の情報を出力する。これにより、リスク低減効果を損ねる外部要因の情報を入手した場合、その情報を入力することで、どのセキュリティ対策資材にセキュリティ対策を施せばよいのかを精度よく予測することができる。
また、本実施形態によれば、リスク管理支援システム1は、更新したリスク低減効果値の推移から推移曲線を作成し、推移曲線と、リスク低減効果値の下限値に基づく直線との交点を求め、その交点に該当する時点を、セキュリティ対策を施すべき時点として算出して出力する。これにより、上記に加えて、どのタイミングでセキュリティ対策を施せばよいのかを精度よく予測することができる。
更に、本実施形態によれば、セキュリティ対策を施すべき時点における予算の残額を、総予算からその時点における累計支出額の推測値を減ずることで算出することができる。これにより、上記に加えて、どのくらい費用を掛けられるのかを精度よく予測することができる。
本発明を諸図面や実施形態に基づき説明してきたが、当業者であれば本開示に基づき種々の変形や修正を行うことが容易であることに注意されたい。従って、これらの変形や修正は本発明の範囲に含まれることに留意されたい。例えば、各構成部、各ステップなどに含まれる機能などは論理的に矛盾しないように再配置可能であり、複数の構成部やステップなどを1つに組み合わせたり、或いは分割したりすることが可能である。また、本発明についてリスク管理支援システム1を中心に説明してきたが、本発明は管理機器10が備える処理部14により実行される方法、プログラム、又はプログラムを記録した記憶媒体としても実現し得るものであり、本発明の範囲にはこれらも包含されるものと理解されたい。
1 リスク管理支援システム
10 管理機器
11 入力部
12 出力部
13 記憶部
14 処理部
20 リスク要因DB
30 セキュリティ対策資材DB
40 セキュリティポリシDB
50 セキュリティ規格DB
60 予算管理DB
10 管理機器
11 入力部
12 出力部
13 記憶部
14 処理部
20 リスク要因DB
30 セキュリティ対策資材DB
40 セキュリティポリシDB
50 セキュリティ規格DB
60 予算管理DB
Claims (6)
- 管理機器と、
リスク低減効果を損ねる外部要因と、その外部要因によりリスク低減効果を損ねる度合いを示す外部要因起因効果毀損値とを対応付けて記憶するリスク要因記憶部と、
セキュリティ対策資材と、耐用年数と、リスク低減効果値の推移とを対応付けて記憶するセキュリティ対策資材記憶部と、
リスク低減効果値の下限値を記憶するセキュリティポリシ記憶部と、を備え、
前記管理機器は、
リスク低減効果を損ねる外部要因の情報を入力情報として入力を受け付け、
前記入力情報に対応する外部要因起因効果毀損値を前記リスク要因記憶部から読み出し、
前記入力情報によって影響を受けるセキュリティ対策資材の、耐用年数と現時点のリスク低減効果値とを前記セキュリティ対策資材記憶部から読み出し、
前記現時点のリスク低減効果値から前記外部要因起因効果毀損値を減じて得た値を、前記入力情報に基づく将来時点の予測値として、前記セキュリティ対策資材記憶部に記憶された前記リスク低減効果値の推移を更新し、
前記入力情報によって影響を受ける前記セキュリティ対策資材の前記リスク低減効果値の下限値を読み出し、
前記更新した前記リスク低減効果値の推移に基づき、前記入力情報によって影響を受ける前記セキュリティ対策資材の耐用年数以内に前記リスク低減効果値の下限値を下回る時が来ると判断する場合、そのセキュリティ対策資材の情報を出力する、
リスク管理支援システム。 - 前記管理機器は、
前記更新した前記リスク低減効果値の推移に基づいて推移曲線を作成し、
前記更新した前記リスク低減効果値の推移に基づき、前記入力情報によって影響を受ける前記セキュリティ対策資材の耐用年数以内に前記リスク低減効果値の下限値を下回る時が来ると判断する場合、前記推移曲線と前記下限値に基づく直線との交点に該当する時点を、セキュリティ対策を施すべき時点として算出し、そのセキュリティ対策資材の情報として出力する、
請求項1に記載のリスク管理支援システム。 - 前記セキュリティ対策資材と、投じることのできる総予算と、累計支出額と、将来の累計支出額の推測値とを対応付けて記憶する予算管理記憶部を更に備え、
前記管理機器は、
前記更新した前記リスク低減効果値の推移に基づき、前記入力情報によって影響を受ける前記セキュリティ対策資材の耐用年数以内に前記リスク低減効果値の下限値を下回る時が来ると判断する場合、前記セキュリティ対策を施すべき時点における予算の残額を、前記総予算からその時点における前記累計支出額の推測値を減ずることで算出し、そのセキュリティ対策資材の情報として出力する、
請求項2に記載のリスク管理支援システム。 - 前記管理機器は、
外部状況の入力を受け付け、
前記リスク要因記憶部に記憶された外部要因起因効果毀損値を、前記外部状況に従って書き換える、
請求項1から3の何れか一項に記載のリスク管理支援システム。 - 管理機器と、リスク低減効果を損ねる外部要因とその外部要因によりリスク低減効果を損ねる度合いを示す外部要因起因効果毀損値とを対応付けて記憶するリスク要因記憶部と、セキュリティ対策資材と耐用年数とリスク低減効果値の推移とを対応付けて記憶するセキュリティ対策資材記憶部と、リスク低減効果値の下限値を記憶するセキュリティポリシ記憶部と、を備えるリスク管理支援システムにおけるリスク管理支援方法であって、
前記管理機器は、
リスク低減効果を損ねる外部要因の情報を入力情報として入力を受け付け、
前記入力情報に対応する外部要因起因効果毀損値を前記リスク要因記憶部から読み出し、
前記入力情報によって影響を受けるセキュリティ対策資材の、耐用年数と現時点のリスク低減効果値とを前記セキュリティ対策資材記憶部から読み出し、
前記現時点のリスク低減効果値から前記外部要因起因効果毀損値を減じて得た値を、前記入力情報に基づく将来時点の予測値として、前記セキュリティ対策資材記憶部に記憶された前記リスク低減効果値の推移を更新し、
前記入力情報によって影響を受ける前記セキュリティ対策資材の前記リスク低減効果値の下限値を読み出し、
前記更新した前記リスク低減効果値の推移に基づき、前記入力情報によって影響を受ける前記セキュリティ対策資材の耐用年数以内に前記リスク低減効果値の下限値を下回る時が来ると判断する場合、そのセキュリティ対策資材の情報を出力する、
リスク管理支援方法。 - 管理機器と、リスク低減効果を損ねる外部要因とその外部要因によりリスク低減効果を損ねる度合いを示す外部要因起因効果毀損値とを対応付けて記憶するリスク要因記憶部と、セキュリティ対策資材と耐用年数とリスク低減効果値の推移とを対応付けて記憶するセキュリティ対策資材記憶部と、リスク低減効果値の下限値を記憶するセキュリティポリシ記憶部と、を備えるリスク管理支援システムの前記管理機器が、
リスク低減効果を損ねる外部要因の情報を入力情報として入力を受け付け、
前記入力情報に対応する外部要因起因効果毀損値を前記リスク要因記憶部から読み出し、
前記入力情報によって影響を受けるセキュリティ対策資材の、耐用年数と現時点のリスク低減効果値とを前記セキュリティ対策資材記憶部から読み出し、
前記現時点のリスク低減効果値から前記外部要因起因効果毀損値を減じて得た値を、前記入力情報に基づく将来時点の予測値として、前記セキュリティ対策資材記憶部に記憶された前記リスク低減効果値の推移を更新し、
前記入力情報によって影響を受ける前記セキュリティ対策資材の前記リスク低減効果値の下限値を読み出し、
前記更新した前記リスク低減効果値の推移に基づき、前記入力情報によって影響を受ける前記セキュリティ対策資材の耐用年数以内に前記リスク低減効果値の下限値を下回る時が来ると判断する場合、そのセキュリティ対策資材の情報を出力する、
ように機能させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015081899A JP6461693B2 (ja) | 2015-04-13 | 2015-04-13 | リスク管理支援システム、リスク管理支援方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015081899A JP6461693B2 (ja) | 2015-04-13 | 2015-04-13 | リスク管理支援システム、リスク管理支援方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016201035A true JP2016201035A (ja) | 2016-12-01 |
| JP6461693B2 JP6461693B2 (ja) | 2019-01-30 |
Family
ID=57424457
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015081899A Active JP6461693B2 (ja) | 2015-04-13 | 2015-04-13 | リスク管理支援システム、リスク管理支援方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6461693B2 (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002024526A (ja) * | 2000-07-10 | 2002-01-25 | Mitsubishi Electric Corp | 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体 |
| JP2007316821A (ja) * | 2006-05-24 | 2007-12-06 | Omron Corp | セキュリティ監視装置、セキュリティ監視システム、セキュリティ監視方法 |
-
2015
- 2015-04-13 JP JP2015081899A patent/JP6461693B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002024526A (ja) * | 2000-07-10 | 2002-01-25 | Mitsubishi Electric Corp | 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体 |
| JP2007316821A (ja) * | 2006-05-24 | 2007-12-06 | Omron Corp | セキュリティ監視装置、セキュリティ監視システム、セキュリティ監視方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6461693B2 (ja) | 2019-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8150717B2 (en) | Automated risk assessments using a contextual data model that correlates physical and logical assets | |
| US20190087570A1 (en) | System for generation and execution of event impact mitigation | |
| JP4967430B2 (ja) | 不具合管理装置、不具合管理プログラム、およびこれを記録した記録媒体 | |
| US20120203590A1 (en) | Technology Risk Assessment, Forecasting, and Prioritization | |
| US20170154391A1 (en) | System for resource analysis and resolution of non-conforming attributes | |
| US10657199B2 (en) | Calibration technique for rules used with asset monitoring in industrial process control and automation systems | |
| US9606996B2 (en) | Assessing data governance based on levels of abstraction | |
| US20200143369A1 (en) | Device for contracting smart contract and method thereof | |
| US10902378B2 (en) | Inventory management server | |
| Bridges et al. | Key issues with implementing LOPA | |
| JP6461693B2 (ja) | リスク管理支援システム、リスク管理支援方法及びプログラム | |
| CN104571943A (zh) | 控制非易失性数据存储子系统的方法和系统 | |
| Macke et al. | Optimizing maintenance interventions for deteriorating structures using cost-benefit criteria | |
| US20160203425A1 (en) | Supply Chain Risk Mitigation System | |
| JP2020013229A (ja) | 債務不履行確率を算出する装置、方法及びそのためのプログラム | |
| KR101553107B1 (ko) | 협력사 리스크 매니지먼트 시스템 | |
| US20200265439A1 (en) | Predicting and resolving request holds | |
| US10810006B2 (en) | Indicator regression and modeling for implementing system changes to improve control effectiveness | |
| JP5199722B2 (ja) | 事務品質管理装置および事務品質管理処理プログラム | |
| US20190065967A1 (en) | Event prediction and impact mitigation system | |
| US20230126193A1 (en) | Predictive Remediation Action System | |
| US20150302341A1 (en) | System for implementing change condition levels | |
| US10877443B2 (en) | System for generation and execution of improved control effectiveness | |
| Mohamed | Using Risk Based Maintenance Optimization RBMO to Save Costs | |
| US20170063650A1 (en) | Health Metric for an Information Technology Service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170623 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180612 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180724 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180907 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181023 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181122 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181225 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6461693 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |