JP2022057956A - Risk evaluation support system - Google Patents
Risk evaluation support system Download PDFInfo
- Publication number
- JP2022057956A JP2022057956A JP2020166478A JP2020166478A JP2022057956A JP 2022057956 A JP2022057956 A JP 2022057956A JP 2020166478 A JP2020166478 A JP 2020166478A JP 2020166478 A JP2020166478 A JP 2020166478A JP 2022057956 A JP2022057956 A JP 2022057956A
- Authority
- JP
- Japan
- Prior art keywords
- risk assessment
- entity
- target entity
- support server
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011156 evaluation Methods 0.000 title abstract description 17
- 238000012502 risk assessment Methods 0.000 claims description 220
- 238000010586 diagram Methods 0.000 description 16
- 238000000034 method Methods 0.000 description 16
- 230000004044 response Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 10
- 238000012790 confirmation Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000012937 correction Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 102220124709 rs3816644 Human genes 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、リスク評価支援システムに関する。 The present invention relates to a risk assessment support system.
近年、サイバー攻撃が増加していることから、サイバー攻撃に対するリスク評価が注目を集めている。例えば、セキュリティ対策に関する質問のリスト(以下、チェックリスト)に対する回答に基づいて、セキュリティ対策に関するリスク評価を導出するシステムが提案されている(例えば、特許文献1)。 Since cyber attacks have been increasing in recent years, risk assessment for cyber attacks has been attracting attention. For example, a system for deriving a risk assessment regarding security measures based on an answer to a list of questions regarding security measures (hereinafter referred to as a checklist) has been proposed (for example, Patent Document 1).
ところで、個人、法人又は団体などのエンティティは、取引関係や資本関係などの関係を他のエンティティ(以下、対象エンティティ)と有することが多い。このようなケースにおいて、エンティティは、自らのリスク評価を取得するだけではなく、対象エンティティのリスク評価を取得することが好ましい。 By the way, an entity such as an individual, a corporation or an organization often has a relationship such as a business relationship or a capital relationship with another entity (hereinafter referred to as a target entity). In such a case, it is preferable that the entity not only obtains its own risk assessment but also obtains the risk assessment of the target entity.
しかしながら、多数の対象エンティティが存在するケースにおいて、全ての対象エンティティのリスク評価をエンティティが自ら取得する手間は極めて煩雑である。さらに、最新版の対象エンティティのリスク評価を更新し続ける手間も極めて煩雑である。 However, in the case where a large number of target entities exist, it is extremely complicated for the entity to acquire the risk assessment of all the target entities by itself. Furthermore, it is extremely complicated to keep updating the risk assessment of the target entity of the latest version.
そこで、本発明は、上述した課題を解決するためになされたものであり、対象エンティティのリスク評価の取得を支援することを可能とするリスク評価支援システムを提供することを目的とする。 Therefore, the present invention has been made to solve the above-mentioned problems, and an object of the present invention is to provide a risk assessment support system capable of supporting the acquisition of a risk assessment of a target entity.
第1の特徴は、リスク評価支援システムであって、第1ユーザエンティティと第1対象エンティティとの対応関係を管理し、前記第1対象エンティティのセキュリティ対策に関するリスク評価を前記第1対象エンティティと対応付けて管理する管理部と、前記リスク評価が更新された場合に、前記第1対象エンティティと対応付けられた前記第1ユーザエンティティに対して、更新されたリスク評価を提供する制御部と、を備える、ことを要旨とする。 The first feature is a risk evaluation support system, which manages the correspondence between the first user entity and the first target entity, and corresponds to the first target entity for risk evaluation regarding security measures of the first target entity. A management unit that is attached and managed, and a control unit that provides the updated risk evaluation to the first user entity associated with the first target entity when the risk evaluation is updated. The gist is to be prepared.
第2の特徴は、第1の特徴において、前記制御部は、前記リスク評価の更新に関する前記第1対象エンティティの許諾がある場合に、前記更新されたリスク評価を提供する、ことを要旨とする。 The second feature is that, in the first feature, the control unit provides the updated risk assessment with the permission of the first target entity regarding the update of the risk assessment. ..
第3の特徴は、第1の特徴又は第2の特徴において、前記制御部は、前記第1対象エンティティから提供された情報に基づいて前記リスク評価を更新する、ことを要旨とする。 The third feature is the first feature or the second feature, the gist of which is that the control unit updates the risk assessment based on the information provided by the first target entity.
第4の特徴は、第1の特徴乃至第3の特徴のいずれかにおいて、前記制御部は、前記リスク評価の取得を第2ユーザエンティティから要求された場合に、前記管理部で管理されている前記リスク評価を前記第2ユーザエンティティに提供する、ことを要旨とする。 The fourth feature is that in any of the first feature to the third feature, the control unit is managed by the management unit when the acquisition of the risk assessment is requested by the second user entity. The gist is to provide the risk assessment to the second user entity.
第5の特徴は、第4の特徴において、前記制御部は、前記リスク評価の提供に関する前記第1対象エンティティの許諾がある場合に、前記管理部で管理されている前記リスク評価を提供する、ことを要旨とする。 A fifth feature is that, in the fourth feature, the control unit provides the risk assessment managed by the management unit when the first target entity has permission to provide the risk assessment. The gist is that.
第6の特徴は、第1の特徴乃至第5の特徴において、前記制御部は、対象エンティティから提供された情報に基づいて、前記対象エンティティのセキュリティ対策に関するリスク評価を取得する、ことを要旨とする。 The sixth feature is the gist of the first feature to the fifth feature that the control unit acquires a risk assessment regarding the security measures of the target entity based on the information provided by the target entity. do.
第7の特徴は、第1の特徴乃至第5の特徴において、前記制御部は、対象エンティティについて公開された情報に基づいて、前記対象エンティティのセキュリティ対策に関するリスク評価を取得する、ことを要旨とする。 The seventh feature is the gist of the first feature to the fifth feature that the control unit acquires a risk assessment regarding the security measures of the target entity based on the information disclosed about the target entity. do.
本発明によれば、対象エンティティのリスク評価の取得を支援することを可能とするリスク評価支援システムを提供することができる。 According to the present invention, it is possible to provide a risk assessment support system that can support the acquisition of a risk assessment of a target entity.
以下において、実施形態について図面を参照しながら説明する。なお、以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。 Hereinafter, embodiments will be described with reference to the drawings. In the description of the drawings below, the same or similar parts are designated by the same or similar reference numerals.
但し、図面は模式的なものであり、各寸法の比率などは現実のものとは異なる場合があることに留意すべきである。従って、具体的な寸法などは以下の説明を参酌して判断すべきである。また、図面相互間においても互いの寸法の関係又は比率が異なる部分が含まれている場合があることは勿論である。 However, it should be noted that the drawings are schematic and the ratio of each dimension may differ from the actual one. Therefore, the specific dimensions should be determined in consideration of the following explanation. In addition, it goes without saying that there may be a portion where the relations or ratios of the dimensions of the drawings are different from each other.
[開示の概要]
開示の概要に係るリスク評価支援システムは、第1ユーザエンティティと第1対象エンティティとの対応関係を管理し、前記第1対象エンティティのセキュリティ対策に関するリスク評価を前記第1対象エンティティと対応付けて管理する管理部と、前記リスク評価が更新された場合に、前記第1対象エンティティと対応付けられた前記第1ユーザエンティティに対して、更新されたリスク評価を提供する制御部と、を備える。
[Summary of disclosure]
The risk assessment support system related to the outline of disclosure manages the correspondence between the first user entity and the first target entity, and manages the risk assessment related to the security measures of the first target entity in association with the first target entity. A management unit is provided, and a control unit that provides an updated risk assessment to the first user entity associated with the first target entity when the risk assessment is updated.
開示の概要では、リスク評価支援システムは、第1ユーザエンティティと第1対象エンティティとの対応関係を管理している前提下において、第1対象エンティティのリスク評価が更新された場合に、第1対象エンティティと対応付けられた第1ユーザエンティティに対して、更新されたリスク評価を提供する。このような構成によれば、第1ユーザエンティティが最新版のリスク評価を容易に取得することができ、リスク評価の取得に伴うユーザエンティティの煩雑さを軽減することができる。 In the outline of the disclosure, the risk assessment support system is the first target when the risk assessment of the first target entity is updated under the premise that the correspondence between the first user entity and the first target entity is managed. Provides an updated risk assessment for the first user entity associated with the entity. According to such a configuration, the first user entity can easily acquire the latest version of the risk assessment, and the complexity of the user entity associated with the acquisition of the risk assessment can be reduced.
ここで、エンティティは、個人、法人又は団体などを指す用語と考えてもよい。エンティティは、個人、法人又は団体などが用いる端末と考えてもよい。ユーザエンティティは、対象エンティティのリスク評価を要求するエンティティである。対象エンティティは、リスク評価の対象とされるエンティティである。例えば、対象エンティティは、ユーザエンティティと取引関係や資本関係などの何らかの関係を有するエンティティである。対象エンティティは、ユーザエンティティと将来的に何らかの関係を有する可能性があるエンティティを含んでもよい。対象エンティティは、ユーザエンティティが用いるソフトウェア又はアプリケーションを提供するエンティティを含んでもよい。 Here, the entity may be considered as a term referring to an individual, a corporation, an organization, or the like. An entity may be considered as a terminal used by an individual, a corporation, an organization, or the like. A user entity is an entity that requests a risk assessment of the target entity. The target entity is the entity that is the target of the risk assessment. For example, the target entity is an entity that has some relationship such as a transaction relationship or a capital relationship with the user entity. The target entity may include an entity that may have some relationship with the user entity in the future. The target entity may include an entity that provides the software or application used by the user entity.
[実施形態]
(リスク評価支援システム)
以下において、実施形態に係るリスク評価支援システムについて説明する。図1は、実施形態に係るリスク評価支援システム100を示す図である。
[Embodiment]
(Risk assessment support system)
The risk assessment support system according to the embodiment will be described below. FIG. 1 is a diagram showing a risk
図1に示すように、リスク評価支援システム100は、第1端末10と、第2端末20と、支援サーバ30と、を有する。第1端末10、第2端末20及び支援サーバ30は、ネットワーク110によって接続される。特に限定されるものではないが、ネットワーク110は、インターネットによって構成されてもよい。ネットワーク110は、ローカルエリアネットワークを含んでもよく、移動体通信網を含んでもよく、VPN(Virtual Private Network)を含んでもよい。
As shown in FIG. 1, the risk
第1端末10は、ユーザエンティティが用いる端末である。ユーザエンティティは、対象エンティティのリスク評価を要求するエンティティである。ユーザエンティティは、第1端末10を示す用語として用いられてもよい。例えば、第1端末10は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。図1では、第1端末10A及び第1端末10Bが例示されている。第1端末10Aは、第1ユーザエンティティが用いる端末であってもよい。以下において、第1端末10Aを用いる第1ユーザエンティティを“AAA”と称することもある。第1端末10Bは、第2ユーザエンティティが用いる端末であってもよい。以下において、第1端末10Bを用いる第1ユーザエンティティを“BBB”と称することもある。
The
なお、第1ユーザエンティティは、支援サーバ30において対象エンティティと対応付けられたユーザエンティティである。第2ユーザエンティティは、支援サーバ30において対象エンティティと対応付けられていないユーザエンティティである。
The first user entity is a user entity associated with the target entity in the
第2端末20は、対象エンティティが用いる端末である。対象エンティティは、リスク評価の対象とされるエンティティである。対象エンティティは、ユーザエンティティが用いるソフトウェア又はアプリケーションを提供するエンティティを含んでもよい。対象エンティティは、第2端末20を示す用語として用いられてもよい。例えば、第2端末20は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。図1では、第2端末20A~第2端末20Dが例示されている。第2端末20A~第2端末20Cは、第1対象エンティティが用いる端末であってもよい。以下において、第2端末20A~第2端末20Cを用いる第1対象エンティティを“aaa”~“ccc”と称することもある。第2端末20Dは、第1対象エンティティ以外の対象エンティティ(第2対象エンティティと称してもよい)が用いる端末であってもよい。第2端末20Dを用いる第2対象エンティティを“ddd”と称することもある。
The
なお、第1対象エンティティは、支援サーバ30において対象エンティティと対応付けられた対象エンティティである。第2対象エンティティは、支援サーバ30において対象エンティティと対応付けられていない対象エンティティである。
The first target entity is a target entity associated with the target entity in the
支援サーバ30は、リスク評価の提供を支援するオペレータによって管理されるサーバである。オペレータは、支援サーバ30を示す用語として用いられてもよい。支援サーバ30は、対象エンティティのセキュリティ対策に関するリスク評価を管理するサーバである。支援サーバ30は、対象エンティティのリスク評価をユーザエンティティに提供する。リスク評価の提供は、リスク評価を示す情報要素を第1端末10に送信する処理を含む。支援サーバ30の詳細については後述する。
The
(支援サーバ)
以下において、実施形態に係る支援サーバについて説明する。図2は、実施形態に係る支援サーバ30を示す図である。図2に示すように、支援サーバ30は、通信部31と、管理部32と、制御部33と、を有する。
(Support server)
Hereinafter, the support server according to the embodiment will be described. FIG. 2 is a diagram showing a
通信部31は、通信モジュールによって構成される。通信モジュールは、IEEE802.11a/b/g/n、ZigBee、Wi-SUN、LTE、5Gなどの規格に準拠する無線通信モジュールであってもよく、IEEE802.3などの規格に準拠する有線通信モジュールであってもよい。
The
例えば、通信部31は、管理部32によって管理されるデータ(例えば、対象エンティティのリスク評価)を第1端末10に送信してもよい。通信部31は、セキュリティ対策に関する質問のリスト(以下、チェックリスト)を第2端末20に送信してもよい。通信部31は、チェックリストに対する回答を第2端末20から受信してもよい。
For example, the
管理部32は、不揮発性メモリ、HDD(Hard Disk Drive)、SSD(Solid State Drive)、磁気テープなどの記憶媒体によって構成される。
The
実施形態では、管理部32は、第1ユーザエンティティと第1対象エンティティとの対応関係を管理する。管理部32は、第1対象エンティティのセキュリティ対策に関するリスク評価を第1対象エンティティと対応付けて管理する。
In the embodiment, the
例えば、第1ユーザエンティティが“AAA”であり、第1対象エンティティが“aaa”、“bbb”及び“ccc”であるケースについて例示する。 For example, a case where the first user entity is "AAA" and the first target entity is "aaa", "bbb" and "ccc" will be illustrated.
第1に、管理部32は、図3に示すように、対象エンティティとリスク評価とを対応付けて管理(格納)する。管理部32は、対象エンティティ及びリスク評価に加えて、第1ユーザエンティティとは異なる第2ユーザエンティティに対するリスク評価の提供を許諾するか否かを示す情報要素(図3では、許諾(提供))を管理してもよい。許諾(提供)がOKである情報要素は、リスク評価の提供に関する第1対象エンティティの許諾があることを意味する情報要素である。許諾(提供)がNGである情報要素は、リスク評価の提供に関する第1対象エンティティの許諾がないことを意味する情報要素である。例えば、図3では、“aaa”及び“bbb”は、“AAA”以外のユーザエンティティへのリスク評価の提供を許諾しており、“ccc”は、“AAA”以外のユーザエンティティへのリスク評価の提供を許諾していないケースが例示されている。
First, as shown in FIG. 3, the
なお、実施形態では、第1ユーザエンティティ(“AAA”)に対するリスク評価の提供が許諾されている前提であるため、図3では、許諾(提供)は、第2ユーザエンティティに対するリスク評価の提供を許諾するか否かを示す情報要素である。しかしながら、実施形態はこれに限定されるものではない。許諾(提供)は、第1対象エンティティがリスク評価の提供を許諾するユーザエンティティを特定する情報要素であればよい。例えば、許諾(提供)は、第1対象エンティティがリスク評価の提供を許諾するユーザエンティティを指定する情報要素であってもよく、第1対象エンティティがリスク評価の提供を許諾するユーザエンティティの条件を指定する情報要素であってもよい。特に限定されるものではないが、ユーザエンティティの条件は、オペレータと契約を締結しているか否か、ユーザエンティティの信用リスク、ユーザエンティティの規模などを含んでもよい。なお、契約は、利用規約に同意する契約を含んでもよい。契約は、NDA(Non-Disclosure Agreement)契約を含んでもよい。 In the embodiment, it is premised that the provision of the risk assessment to the first user entity (“AAA”) is permitted. Therefore, in FIG. 3, the permission (providing) provides the risk assessment to the second user entity. It is an information element indicating whether or not to permit. However, the embodiments are not limited to this. The permission (providing) may be any information element that identifies the user entity to which the first target entity permits the provision of the risk assessment. For example, the permission (provision) may be an information element that specifies the user entity to which the first target entity permits the provision of the risk assessment, and the condition of the user entity to which the first target entity permits the provision of the risk assessment. It may be an information element to be specified. Although not particularly limited, the conditions of the user entity may include whether or not a contract is concluded with the operator, the credit risk of the user entity, the size of the user entity, and the like. The contract may include a contract that agrees to the terms of use. The contract may include an NDA (Non-Disclosure Agreement) contract.
第2に、管理部32は、図4に示すように、ユーザエンティティと対象エンティティとの対応関係を管理(格納)する。管理部32は、ユーザエンティティ及び対象エンティティに加えて、更新されたリスク評価の提供を第1ユーザエンティティに提供することを許諾するか否かを示す情報要素(図4では、許諾(更新))を管理してもよい。許諾(更新)がOKである情報要素は、リスク評価の更新に関する第1対象エンティティの許諾があることを意味する情報要素である。許諾(更新)がNGである情報要素は、リスク評価の更新に関する第1対象エンティティの許諾がないことを意味する情報要素である。例えば、図4では、“aaa”及び“bbb”は、“AAA”への更新されたリスク評価の提供を許諾しており、“ccc”は、“AAA”への更新されたリスク評価の提供を許諾していないケースが例示されている。
Secondly, as shown in FIG. 4, the
制御部33は、少なくとも1つのプロセッサを含んでもよい。少なくとも1つのプロセッサは、単一の集積回路によって構成されてもよく、通信可能に接続された複数の回路(集積回路及び又はディスクリート回路(discrete circuits)など)によって構成されてもよい。
The
例えば、制御部33は、対象エンティティから提供された情報に基づいて、対象エンティティのセキュリティ対策に関するリスク評価を取得する。例えば、制御部33は、“aaa”~“ccc”から提供された情報に基づいて“aaa”~“ccc”のリスク評価を取得してもよい。対象エンティティから提供された情報は、チェックリストに対する対象エンティティの回答であってもよい。
For example, the
さらに、制御部33は、第1対象エンティティから提供された情報に基づいてリスク評価を更新してもよい。第1対象エンティティから提供された情報は、チェックリストに対する対象エンティティの回答であってもよい。
Further, the
ここで、チェックリストは、セキュリティ対策に関する複数の質問項目を含む。図5に示すように、質問項目は、S:戦略に関する質問項目、P:人・組織に関する質問項目、O:運用に関する質問項目、T:技術に関する質問項目を含んでもよい。なお、チェックリストは、オペレータによって策定されたものであってもよい。 Here, the checklist contains a plurality of questions regarding security measures. As shown in FIG. 5, the question items may include S: a question item related to strategy, P: a question item related to people / organizations, O: a question item related to operation, and T: a question item related to technology. The checklist may be prepared by the operator.
リスク評価は、チェックリストに対する回答に基づいて取得されてもよい。図6に示すように、対象エンティティの名称及びリスク評価を含んでもよい。リスク評価は、総合リスク評価(図6では、“XX”)、機密性(C)に関するリスク評価(図6では、“PP”)、完全性(I)に関するリスク評価(図6では、“QQ”)及び可用性(A)に関するリスク評価(図6では、“RR”)を含んでもよい。“XX”は、“PP”、“QQ”及び“RR”に基づいて取得される。 The risk assessment may be obtained based on the answers to the checklist. As shown in FIG. 6, the name of the target entity and the risk assessment may be included. The risk assessment is a comprehensive risk assessment (“XX” in Fig. 6), a risk assessment related to confidentiality (C) (“PP” in Fig. 6), and a risk assessment related to completeness (I) (“QQ” in Fig. 6). ”) And risk assessment for availability (A) (“RR” in FIG. 6) may be included. “XX” is acquired based on “PP”, “QQ” and “RR”.
“XX”、“PP”、“QQ”及び“RR”は、数値によって表されてもよい。このようなケースにおいて、“XX”は、“PP”、“QQ”及び“RR”の平均値であってもよく、“XX”は、“PP”、“QQ”及び“RR”の合計値であってもよい。“PP”、“QQ”及び“RR”は、異なる係数によって重み付けされてもよい。 “XX”, “PP”, “QQ” and “RR” may be represented numerically. In such a case, "XX" may be the average value of "PP", "QQ" and "RR", and "XX" is the total value of "PP", "QQ" and "RR". May be. “PP”, “QQ” and “RR” may be weighted by different coefficients.
或いは、“XX”、“PP”、“QQ”及び“RR”の少なくともいずれか1つは、抽象的なレベルやランクなどの指標によって表されてもよい。 Alternatively, at least one of "XX", "PP", "QQ" and "RR" may be represented by an index such as an abstract level or rank.
ここで、リスク評価は、他のエンティティのリスク評価と関係なく取得される絶対的な評価であってもよく、他のエンティティのリスク評価との関係を考慮して取得される相対的な評価であってもよい。 Here, the risk assessment may be an absolute assessment acquired independently of the risk assessment of other entities, or a relative assessment acquired in consideration of the relationship with the risk assessment of other entities. There may be.
なお、リスク評価は、ISO27000シリーズ(例えば、ISO27001)などの規格に準拠する評価であってもよく、オペレータが独自に実行する評価であってもよい。 The risk assessment may be an assessment that conforms to a standard such as the ISO27000 series (for example, ISO27001), or may be an assessment that the operator independently performs.
このような背景下において、制御部33は、管理部32によって管理される第1対象エンティティのリスク評価を第1ユーザエンティティに提供する。制御部33は、第1対象エンティティのリスク評価が更新された場合に、第1対象エンティティと対応付けられた第1ユーザエンティティに対して、更新されたリスク評価を提供する。制御部33は、リスク評価の更新に関する第1対象エンティティの許諾がある場合に、更新されたリスク評価を提供してもよい。
Under such a background, the
例えば、図4に示すケースを例に挙げると、“aaa”及び“bbb”のリスク評価が更新された場合に、制御部33は、更新されたリスク評価を“AAA”に提供する。一方で、“ccc”のリスク評価が更新された場合に、制御部33は、更新されたリスク評価を“AAA”に提供しない。なお、“ccc”は、“AAA”以外のユーザエンティティに対して、更新されたリスク評価の提供を許諾していてもよい。
For example, taking the case shown in FIG. 4 as an example, when the risk assessments of “aaa” and “bbb” are updated, the
さらに、制御部33は、第1対象エンティティのリスク評価の取得を第2ユーザエンティティから要求された場合に、管理部32で管理されているリスク評価を第2ユーザエンティティに提供してもよい。制御部33は、リスク評価の提供に関する第1対象エンティティの許諾がある場合に、管理部32で管理されているリスク評価を提供してもよい。
Further, the
例えば、図3に示すケースを例に挙げると、“aaa”及び“bbb”のリスク評価を“BBB”から要求された場合に、制御部33は、“aaa”及び“bbb”のリスク評価を“BBB”に提供する。一方で、“ccc”のリスク評価を“BBB”から要求された場合に、制御部33は、“ccc”のリスク評価を“BBB”に提供しない。
For example, taking the case shown in FIG. 3 as an example, when the risk assessment of “aaa” and “bbb” is requested by “BBB”, the
(リスク評価支援方法)
以下において、実施形態に係るリスク評価支援方法について説明する。図7~図9は、実施形態に係るリスク評価支援方法を示す図である。ここでは、ユーザエンティティが“AAA”及び“BBB”であり、対象エンティティが“aaa”、“bbb”及び“ccc”であるケースについて例示する。
(Risk assessment support method)
The risk assessment support method according to the embodiment will be described below. 7 to 9 are diagrams showing a risk assessment support method according to an embodiment. Here, the case where the user entity is "AAA" and "BBB" and the target entity is "aaa", "bbb" and "ccc" will be illustrated.
第1に、ユーザエンティティが対象エンティティのリスク評価を取得するケースについて図7を参照しながら説明する。図7は、リスク評価の取得を示すシーケンス図である。 First, a case where the user entity acquires the risk assessment of the target entity will be described with reference to FIG. 7. FIG. 7 is a sequence diagram showing the acquisition of a risk assessment.
なお、図7に示すシーケンスの初期段階において、“AAA”は、支援サーバ30において対象エンティティと対応付けられていないため、第2ユーザエンティティであると考えてもよい。同様に、“aaa”、“bbb”及び“ccc”は、支援サーバ30においてユーザエンティティと対応付けられていないため、第2対象エンティティであると考えてもよい。
In the initial stage of the sequence shown in FIG. 7, “AAA” may be considered to be the second user entity because it is not associated with the target entity in the
図7に示すように、ステップS10において、支援サーバ30(オペレータ)は、第1端末10A(ユーザエンティティ“AAA”)と契約を結ぶ。例えば、契約は、利用規約に同意する契約を含んでもよい。
As shown in FIG. 7, in step S10, the support server 30 (operator) concludes a contract with the
ステップS20において、第1端末10Aは、対象エンティティのリスク評価の評価要求を支援サーバ30に送信する。評価要求は、少なくとも対象エンティティ(例えば、“aaa”~“ccc”)を指定する情報要素を含む。
In step S20, the
ステップS21において、支援サーバ30は、評価要求によって特定される対象エンティティのリスク評価を既に管理しているか否かを判定する。ここでは、対象エンティティのリスク評価が管理されていないものとして説明を続ける。
In step S21, the
ステップS22において、支援サーバ30(オペレータ)は、第2端末20(対象エンティティ“aaa”~“ccc”)と契約を締結する。対象エンティティは、ステップS20においてリスク評価が要求された対象であってもよい。例えば、契約は、利用規約に同意する契約を含んでもよい。契約は、図3に示す許諾(提供)を含んでもよく、図4に示す許諾(更新)を含んでもよい。 In step S22, the support server 30 (operator) concludes a contract with the second terminal 20 (target entities “aaa” to “ccc”). The target entity may be the target for which risk assessment was requested in step S20. For example, the contract may include a contract that agrees to the terms of use. The contract may include the license (offer) shown in FIG. 3 or the license (renewal) shown in FIG.
ステップS30において、支援サーバ30は、チェックリストを第2端末20に送信する。上述したように、チェックリストは、セキュリティ対策に関する複数の質問項目を含む(図5を参照)。
In step S30, the
ステップS31において、支援サーバ30は、チェックリストに対する回答を第2端末20から受信する。
In step S31, the
ステップS32において、支援サーバ30は、チェックリストに対する回答に不備があるか否かを確認する。チェックリストに対する回答に不備がある場合には、支援サーバ30は、チェックリストに対する回答の修正要求を第2端末20に送信し(ステップS33)、修正要求に対する修正回答を端末20から受信する(ステップS34)。ステップS33及びステップS34は、チェックリストに対する回答の不備が解消するまで実行される。チェックリストに対する回答に不備がない場合には、ステップS33及びステップS34の処理は省略される。
In step S32, the
ステップS35において、支援サーバ30は、第1端末10Aにリスク評価を送信する。リスク評価は、第2端末20から受信する情報(チェックリストに対する回答)に基づいて取得される。
In step S35, the
図7に示す動作の結果、支援サーバ30は、“AAA”と“aaa”~“ccc”との対応関係が管理される。言い換えると、支援サーバ30は、第1対象エンティティ(“aaa”~“ccc”)のリスク評価を管理するとともに、第1ユーザエンティティ(“AAA”)と第1対象エンティティ(“aaa”~“ccc”)との対応関係を管理する。図7に示す動作によれば、支援サーバ30は、対象エンティティのリスク評価をユーザエンティティに代わって取得した上で、対象エンティティのリスク評価をユーザエンティティに提供することができる。
As a result of the operation shown in FIG. 7, the
第2に、支援サーバ30によって管理されるリスク評価を第2ユーザエンティティが取得するケースについて図8を参照しながら説明する。
Second, a case where the second user entity acquires the risk assessment managed by the
なお、図8に示すシーケンスの初期段階として、第1ユーザエンティティ(“AAA”)と第1対象エンティティ(“aaa”~“ccc”)との対応関係が既に管理されているケースについて説明する。また、“BBB”は、支援サーバ30において対象エンティティと対応付けられていないため、第2ユーザエンティティである。
As an initial stage of the sequence shown in FIG. 8, a case where the correspondence between the first user entity (“AAA”) and the first target entity (“aaa” to “ccc”) is already managed will be described. Further, "BBB" is a second user entity because it is not associated with the target entity in the
図8では、ステップS40において、支援サーバ30(オペレータ)が第2端末20(対象エンティティ)と契約を既に締結しているケースについて説明する。 FIG. 8 describes a case where the support server 30 (operator) has already concluded a contract with the second terminal 20 (target entity) in step S40.
図8に示すように、ステップS51において、支援サーバ30(オペレータ)は、第1端末10B(第2ユーザエンティティ“BBB”)と契約を結ぶ。例えば、契約は、利用規約に同意する契約を含んでもよい。
As shown in FIG. 8, in step S51, the support server 30 (operator) concludes a contract with the
ステップS52において、第1端末10Bは、支援サーバ30によって管理されているリスク評価の評価要求を支援サーバ30に送信する。ここでは、評価要求は、支援サーバ30で管理されている第1対象エンティティ(例えば、“aaa”~“ccc”)を指定する情報要素を含む。
In step S52, the
ステップS53において、支援サーバ30は、リスク評価の提供に関する第1対象エンティティの許諾があるか否かを判定する。第1対象エンティティの許諾がある場合には、支援サーバ30は、支援サーバ30で管理されているリスク評価を第1端末10Bに送信する(ステップS54)。
In step S53, the
例えば、図3に示すケースを例に挙げると、“aaa”又は“bbb”のリスク評価が要求された場合には、支援サーバ30は、“aaa”又は“bbb”のリスク評価を第1端末10Bに送信する。一方で、“ccc”のリスク評価が要求された場合には、支援サーバ30は、“ccc”のリスク評価を第1端末10Bに送信しない。このようなケースにおいて、支援サーバ30は、リスク評価を提供できない旨を示すメッセージを第1端末10Bに送信してもよい。
For example, taking the case shown in FIG. 3 as an example, when a risk assessment of “aaa” or “bbb” is requested, the
図8に示す動作の結果、支援サーバ30は、“BBB”と“aaa”又は“bbb”との対応関係が管理される。言い換えると、支援サーバ30は、“aaa”又は“bbb”との関係においては、“BBB”が第1ユーザエンティティとして扱ってもよい。但し、“ccc”の関係においては、“BBB”は第2ユーザエンティティのままである。
As a result of the operation shown in FIG. 8, the
図8では、第1対象エンティティの許諾(提供)が事前に支援サーバ30に登録されているケースについて例示しているが、実施形態は、これに限定されるものではない。例えば、支援サーバ30は、第1端末10B(第2ユーザエンティティ)からリスク評価の評価要求を受信した場合に、第2ユーザエンティティに対してリスク評価の提供を許可するか否かを問い合わせる問合せメッセージを第2端末20(第1対象エンティティ)に送信してもよい。支援サーバ30は、問合せメッセージに対する応答メッセージに基づいて、リスク評価の提供に関する第1対象エンティティの許諾があるか否かを判定してもよい。
FIG. 8 illustrates a case where the permission (providing) of the first target entity is registered in the
第3に、支援サーバ30によって管理されるリスク評価が更新されるケースについて図9を参照しながら説明する。
Third, a case where the risk assessment managed by the
なお、図9に示すシーケンスの初期段階として、第1ユーザエンティティ(“AAA”)と第1対象エンティティ(“aaa”~“ccc”)との対応関係が既に管理されているケースについて説明する。また、“aaa”又は“bbb”との関係においては、“BBB”が第1対象エンティティとして扱われるケースについて説明する。 As an initial stage of the sequence shown in FIG. 9, a case where the correspondence between the first user entity (“AAA”) and the first target entity (“aaa” to “ccc”) is already managed will be described. Further, in relation to "aaa" or "bbb", a case where "BBB" is treated as the first target entity will be described.
図9に示すように、ステップS60において、支援サーバ30は、更新情報を第2端末20(例えば、第1対象エンティティ“aaa”~“ccc”)から受信する。更新情報は、上述したチェックリストに対する回答の更新情報であってもよい。更新情報は、未だ回答していない質問に対する回答を含んでもよく、既に回答した質問に対する新たな回答を含んでもよい。
As shown in FIG. 9, in step S60, the
ステップS61において、支援サーバ30は、更新情報に基づいてリスク評価を更新する。
In step S61, the
ステップS62において、支援サーバ30は、更新されたリスク評価を第1ユーザエンティティ(“AAA”又は“BBB”)に提供できるか否かを判定する。
In step S62, the
例えば、支援サーバ30は、支援サーバ30で第1対象エンティティと対応付けられている第1ユーザエンティティに対して更新されたリスク評価を提供できると判定してもよい。支援サーバ30は、支援サーバ30で第1対象エンティティと対応付けられていない第2ユーザエンティティに対して更新されたリスク評価を提供できないと判定してもよい。なお、支援サーバ30は、更新されたリスク評価を提供できると判定した場合に、更新されたリスク評価を第1端末10に送信する。
For example, the
或いは、支援サーバ30は、リスク評価の更新に関する第1対象エンティティの許諾があるか否かを判定する。第1対象エンティティの許諾がある場合には、支援サーバ30は、更新されたリスク評価を第1端末10Aに送信する(ステップS63A)。同様に、第1対象エンティティの許諾がある場合には、支援サーバ30は、更新されたリスク評価を第1端末10Bに送信する(ステップS63B)。
Alternatively, the
例えば、図4に示すケースを例に挙げると、“aaa”又は“bbb”のリスク評価が更新された場合には、支援サーバ30は、“aaa”又は“bbb”のリスク評価を第1端末10Aに送信する。一方で、“ccc”のリスク評価が更新された場合には、支援サーバ30は、“ccc”のリスク評価を第1端末10Aに送信しない。このようなケースにおいて、支援サーバ30は、リスク評価を提供できない旨を示すメッセージを第1端末10Aに送信してもよい。
For example, taking the case shown in FIG. 4 as an example, when the risk assessment of “aaa” or “bbb” is updated, the
なお、図4では、“aaa”又は“bbb”との関係において“BBB”が第1ユーザエンティティとして取り扱われるケースについて例示していない。“aaa”又は“bbb”がリスク評価の更新に関する許諾を“AAA”と同様に“BBB”に与えている場合には、支援サーバ30は、“aaa”又は“bbb”のリスク評価を第1端末10Bに送信してもよい。但し、“ccc”の関係においては“BBB”は第2ユーザエンティティのままであるため、“ccc”のリスク評価が更新されても、第1端末10Bに対する処理は特に実行されなくてもよい。
Note that FIG. 4 does not illustrate the case where "BBB" is treated as the first user entity in relation to "aaa" or "bbb". If "aaa" or "bbb" grants permission to update the risk assessment to "BBB" as well as "AAA", the
図9では、第1対象エンティティの許諾(更新)が事前に支援サーバ30に登録されているケースについて例示しているが、実施形態は、これに限定されるものではない。例えば、支援サーバ30は、第1ユーザエンティティに対して更新されたリスク評価の提供を許可するか否かを問い合わせる問合せメッセージを第2端末20(第1対象エンティティ)に送信してもよい。支援サーバ30は、問合せメッセージに対する応答メッセージに基づいて、リスク評価の更新に関する第1対象エンティティの許諾があるか否かを判定してもよい。
FIG. 9 illustrates a case where the permission (update) of the first target entity is registered in the
(作用及び効果)
実施形態では、支援サーバ30は、リスク評価の取得要求に応じて、対象エンティティのリスク評価をユーザエンティティに提供する。言い換えると、支援サーバ30は、対象エンティティのリスク評価の取得を代行する。このような構成によれば、リスク評価の取得に伴うユーザエンティティの煩雑さを軽減することができる。
(Action and effect)
In the embodiment, the
実施形態では、支援サーバ30は、第1ユーザエンティティと第1対象エンティティとの対応関係を管理している前提下において、第1対象エンティティのリスク評価が更新された場合に、第1対象エンティティと対応付けられた第1ユーザエンティティに対して、更新されたリスク評価を提供する。このような構成によれば、第1ユーザエンティティが最新版のリスク評価を容易に取得することができ、リスク評価の取得に伴うユーザエンティティの煩雑さを軽減することができる。
In the embodiment, the
実施形態では、支援サーバ30は、第1対象エンティティと対応付けられた第1ユーザエンティティに対して、更新されたリスク評価を提供する。さらに、支援サーバ30は、リスク評価の更新に係る許諾がある場合に、更新されたリスク評価を提供してもよい。このような構成によれば、更新されたリスク評価が無制限に提供される事態を抑制することができ、第1対象エンティティが望まないリスク評価の提供を抑制することができる。
In the embodiment, the
実施形態では、支援サーバ30は、対象エンティティのリスク評価の取得を第2ユーザエンティティから要求された場合に、管理部32で管理されているリスク評価を第2ユーザエンティティに提供してもよい。このような構成によれば、対象エンティティのリスク評価を改めて取得する支援サーバ30(オペレータ)の負荷を軽減することができる。
In the embodiment, the
実施形態では、支援サーバ30は、リスク評価の提供に係る許諾がある場合に、管理部32で管理されているリスク評価を提供してもよい。このような構成によれば、更新されたリスク評価が無制限に提供される事態を抑制することができ、第1対象エンティティが望まないリスク評価の提供を抑制することができる。
In the embodiment, the
実施形態では、対象エンティティのリスク評価は、対象エンティティから提供された情報に基づいて取得されてもよい。このようなケースにおいて、対象エンティティのリスク評価が無制限に提供される事態の抑制は対象エンティティにとって極めて重要であることに留意すべきである。 In the embodiment, the risk assessment of the target entity may be acquired based on the information provided by the target entity. It should be noted that in such cases, it is extremely important for the target entity to control the situation where the risk assessment of the target entity is provided indefinitely.
[変更例1]
以下において、実施形態の変更例1について説明する。以下においては、実施形態に対する相違点について主として説明する。
[Change example 1]
Hereinafter, modification 1 of the embodiment will be described. In the following, the differences from the embodiments will be mainly described.
実施形態では、支援サーバ30は、対象エンティティから提供された情報(例えば、チェックリストに対する回答)に基づいて、対象エンティティのセキュリティ対策に関するリスク評価を取得する。これに対して、変更例1では、支援サーバ30は、対象エンティティについて公開された情報に基づいて、対象エンティティのセキュリティ対策に関するリスク評価を取得する。特に限定されるものではないが、対象エンティティについて公開された情報は、インターネットなどの手段で取得される情報を含んでもよく、雑誌や書籍などの刊行物などの手段で取得される情報を含んでもよい。例えば、対象エンティティについて公開された情報は、対象エンティティのWebサイトから得られる情報であってもよく、対象エンティティによって提供されるソフトウェア又はアプリケーションに関する情報を含んでもよい。対象エンティティについて公開された情報は、対象エンティティが秘密に保持すべきものと指定した秘密情報以外の情報であればよい。
In the embodiment, the
(リスク評価支援方法)
以下において、変更例1に係るリスク評価支援方法について説明する。図10は、変更例1に係るリスク評価支援方法を示す図である。ここでは、図7に示すシーケンスにおいて、チェックリストに対する回答を対象エンティティが拒否するケースについて説明する。図10では、図7と同様の処理について同様のステップ番号を付しているため、図7と同様の処理の説明については省略する。
(Risk assessment support method)
The risk assessment support method according to the change example 1 will be described below. FIG. 10 is a diagram showing a risk assessment support method according to the modified example 1. Here, in the sequence shown in FIG. 7, a case where the target entity rejects the answer to the checklist will be described. In FIG. 10, since the same step numbers are assigned to the same processes as those in FIG. 7, the description of the same processes as in FIG. 7 will be omitted.
図10に示すように、ステップS71において、支援サーバ30は、チェックリストに対する回答を拒否するメッセージを第2端末20から受信する。
As shown in FIG. 10, in step S71, the
ステップS72において、支援サーバ30は、対象エンティティについて公開された情報に基づいて、対象エンティティのセキュリティ対策に関するリスク評価を取得する。
In step S72, the
ステップS73において、支援サーバ30は、ステップS72で取得されたリスク評価を第1端末10Aに送信する。
In step S73, the
図7と同様に、図10に示す動作の結果、支援サーバ30は、“AAA”と“aaa”~“ccc”との対応関係が管理される。言い換えると、支援サーバ30は、第1対象エンティティ(“aaa”~“ccc”)のリスク評価を管理するとともに、第1ユーザエンティティ(“AAA”)と第1対象エンティティ(“aaa”~“ccc”)との対応関係を管理する。図7に示す動作の結果、支援サーバ30は、対象エンティティのリスク評価をユーザエンティティに提供することができる。
As in FIG. 7, as a result of the operation shown in FIG. 10, the
ここで、対象エンティティについて公開された情報に基づいて取得されたリスク評価については、提供及び更新に関する第1対象エンティティの許諾は不要であると考えられる。従って、支援サーバ30は、第1対象エンティティの許諾を必要とせずに、第1対象エンティティのリスク評価を第2ユーザエンティティに提供してもよく、更新されたリスク評価を第1ユーザエンティティに提供してもよい。
Here, it is considered that the permission of the first target entity regarding the provision and renewal is not required for the risk assessment acquired based on the information disclosed about the target entity. Therefore, the
[変更例2]
以下において、実施形態の変更例2について説明する。以下においては、実施形態に対する相違点について主として説明する。
[Change example 2]
Hereinafter, modification 2 of the embodiment will be described. In the following, the differences from the embodiments will be mainly described.
実施形態では、対象エンティティ毎にリスク評価が取得されるが、変更例2では、対象エンティティが2以上のサービスを提供する場合には、対象エンティティが提供するサービス毎にリスク評価が取得される。また、変更例2では、対象エンティティがチェックリストに対する回答状況を確認する画面(確認画面)について説明する。このようなケースにおいて、支援サーバ30は、確認画面を表示するためのデータを管理しており、確認画面を表示するためのデータを第2端末20に送信してもよい。
In the embodiment, the risk assessment is acquired for each target entity, but in the second modification, when the target entity provides two or more services, the risk assessment is acquired for each service provided by the target entity. Further, in the second modification, a screen (confirmation screen) in which the target entity confirms the response status to the checklist will be described. In such a case, the
ここでは、対象エンティティが“aaa”であり、“aaa”が提供するサービスが“PPP”~“RRR”であるケースについて例示する。特に限定されるものではないが、サービスは、ユーザエンティティが用いる可能性があるソフトウェア又はアプリケーションを含んでもよい。サービスは、クラウドサービス又はSaaS(Service as a Software)の形態で提供されてもよい。 Here, the case where the target entity is “aaa” and the service provided by “aaa” is “PPP” to “RRR” is illustrated. The service may include, but is not limited to, software or applications that may be used by the user entity. The service may be provided in the form of a cloud service or SaaS (Service as a Software).
図11に示すように、確認画面は、ユーザエンティティと、サービスと、進捗状況と、ステータスと、回答者と、を含んでもよい。 As shown in FIG. 11, the confirmation screen may include a user entity, a service, a progress, a status, and a respondent.
ユーザエンティティは、“aaa”のリスク評価の取得を依頼するエンティティを示す項目である。図11に示すように、異なるサービスのリスク評価の取得を同一のユーザエンティティ(例えば、AAA)が依頼してもよい。 The user entity is an item indicating the entity requesting the acquisition of the risk assessment of “aaa”. As shown in FIG. 11, the same user entity (eg AAA) may request the acquisition of risk assessments for different services.
サービスは、“aaa”によって提供されるサービスを示す項目である。図11では、サービスとして“PPP”~“RRR”が例示されている。 The service is an item indicating the service provided by "aaa". In FIG. 11, “PPP” to “RRR” are exemplified as services.
進捗状況は、チェックリストに対する回答の進捗を示す項目である。例えば、進捗状況は、チェックリストに含まれる質問の総数と回答済みの質問の数との比率によって表されてもよい。 The progress status is an item indicating the progress of the response to the checklist. For example, progress may be represented by the ratio of the total number of questions included in the checklist to the number of questions answered.
ステータスは、チェックリストに対する回答のステータスを示す項目である。ステータスは、“回答中”、“回答確認中”、“回答済”、“拒否”などを含んでもよい。“回答中”は、“aaa”においてチェックリストに対する回答を行っている途中であることを意味する。“回答確認中”は、支援サーバ30(オペレータ)においてチェックリストに対する“aaa”の回答を確認している途中であることを意味する。“回答済”は、チェックリストに対する“aaa”の回答及び支援サーバ30の確認の双方が完了していることを意味する。“拒否”は、チェックリストに対する回答を“aaa”が拒否したことを意味する。
The status is an item indicating the status of the answer to the checklist. The status may include "answering", "answering confirmation", "answered", "rejected", and the like. “Responding” means that the checklist is being answered in “aaa”. "Checking for answer" means that the support server 30 (operator) is in the process of confirming the answer of "aaa" to the checklist. “Responded” means that both the response of “aaa” to the checklist and the confirmation of the
回答者は、チェックリストに対する回答を作成又は入力する回答者を示す項目である。回答者は、1人の回答者であってもよく、2人以上の回答者であってもよい。 Respondent is an item indicating a respondent who creates or inputs an answer to a checklist. The respondent may be one respondent or two or more respondents.
上述したように、対象エンティティは、ユーザエンティティ及びサービスとの関係でチェックリストに対する回答を行う。チェックリストに対する回答は、支援サーバ30においてリスク評価の取得に用いられる。言い換えると、対象エンティティは、ユーザエンティティ及びサービスとの関係でリスク評価を提供するか否か(チェックリストに回答するか否か)を決定することができ、チェックリストに対する回答状況を確認することができる。
As described above, the target entity responds to the checklist in relation to the user entity and the service. The answer to the checklist is used to acquire the risk assessment on the
このような背景下において、対象エンティティによって閲覧される確認画面は、支援サーバ30によって管理されるデータに基づいて生成される。従って、支援サーバ30は、図11に示す対応関係を特定するためのデータを管理している。すなわち、支援サーバ30は、ユーザエンティティ、対象エンティティ及びサービスの組合せに対して、チェックリストに対する回答状況を管理する。また、支援サーバ30は、ユーザエンティティ、対象エンティティ及びサービスの組合せに対して、サービスのリスク評価を管理してもよい。さらに、支援サーバ30は、ユーザエンティティ、対象エンティティ及びサービスの組合せに対して、図3に示す許諾(提供)を管理してもよく、図4に示す許諾(更新)を管理してもよい。
Under such a background, the confirmation screen viewed by the target entity is generated based on the data managed by the
[その他の実施形態]
本発明は上述した実施形態によって説明したが、この開示の一部をなす論述及び図面は、この発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
[Other embodiments]
Although the invention has been described by embodiments described above, the statements and drawings that form part of this disclosure should not be understood to limit the invention. This disclosure will reveal to those skilled in the art various alternative embodiments, examples and operational techniques.
実施形態では、対象エンティティと契約を締結する段階で、リスク評価の提供に関する対象エンティティの許諾が取得されるケースについて例示した。しかしながら、実施形態はこれに限定されるものではない。支援サーバ30は、所定トリガに応じて、リスク評価の提供に関する許諾を対象エンティティに問い合わせてもよい。所定トリガは、第2ユーザエンティティからリスク評価の提供を要求されることであってもよい。
In the embodiment, the case where the permission of the target entity regarding the provision of the risk assessment is obtained at the stage of concluding the contract with the target entity is illustrated. However, the embodiments are not limited to this. The
実施形態では、対象エンティティと契約を締結する段階で、リスク評価の更新に関する対象エンティティの許諾が取得されるケースについて例示した。しかしながら、実施形態はこれに限定されるものではない。支援サーバ30は、所定トリガに応じて、リスク評価の更新に関する許諾を対象エンティティに問い合わせてもよい。所定トリガは、対象エンティティのリスク評価が更新されることであってもよい。
In the embodiment, the case where the permission of the target entity regarding the renewal of the risk assessment is obtained at the stage of concluding the contract with the target entity is illustrated. However, the embodiments are not limited to this. The
実施形態では、ユーザエンティティ“AAA”が対象エンティティ“aaa”~“ccc”との関係で第1ユーザエンティティとして扱われるケースについて例示した。しかしながら、実施形態はこれに限定されるものではない。ユーザエンティティ“AAA”は、対象エンティティ“ddd”との関係では第2ユーザエンティティとして扱われてもよい。すなわち、第1ユーザエンティティ及び第2ユーザエンティティの用語は、支援サーバ30においてユーザエンティティと対象エンティティとの対応関係が管理されているか否かで判断されてもよい。
In the embodiment, the case where the user entity "AAA" is treated as the first user entity in relation to the target entities "aaa" to "ccc" has been exemplified. However, the embodiments are not limited to this. The user entity "AAA" may be treated as a second user entity in relation to the target entity "ddd". That is, the terms of the first user entity and the second user entity may be determined depending on whether or not the correspondence between the user entity and the target entity is managed in the
実施形態では特に触れていないが、支援サーバ30は、第1対象エンティティのリスク評価が更新された場合に、更新されたリスク評価を自律的に第1ユーザエンティティに提供してもよい。或いは、支援サーバ30は、第1対象エンティティのリスク評価が更新された場合に、リスク評価が更新された旨を第1ユーザエンティティに通知するとともに、第1ユーザエンティティから要求された場合に、更新されたリスク評価を第1ユーザエンティティに提供してもよい。
Although not particularly mentioned in the embodiment, the
実施形態では特に触れていないが、対象エンティティのリスク評価は、対象エンティティについて公開された情報に基づいて更新されてもよい。 Although not specifically mentioned in the embodiment, the risk assessment of the target entity may be updated based on the information published about the target entity.
実施形態では特に触れていないが、支援サーバ30が有する機能は、クラウドサービス又はSaaS(Service as a Software)の形態で提供されてもよい。
Although not particularly mentioned in the embodiment, the function of the
実施形態では、リスク評価支援システム100は、第1端末10及び第2端末20を含むケースについて例示した。しかしながら、実施形態はこれに限定されるものではない。リスク評価支援システム100は、第1端末10及び第2端末20を含まずに支援サーバ30を含んでもよい。
In the embodiment, the risk
10…第1端末、20…第2端末、30…支援サーバ、31…通信部、32…管理部、33…制御部、100…リスク評価支援システム、110…ネットワーク 10 ... 1st terminal, 20 ... 2nd terminal, 30 ... support server, 31 ... communication unit, 32 ... management unit, 33 ... control unit, 100 ... risk assessment support system, 110 ... network
Claims (7)
前記リスク評価が更新された場合に、前記第1対象エンティティと対応付けられた前記第1ユーザエンティティに対して、更新されたリスク評価を提供する制御部と、を備える、リスク評価支援システム。 A management unit that manages the correspondence between the first user entity and the first target entity, and manages the risk assessment related to the security measures of the first target entity in association with the first target entity.
A risk assessment support system comprising a control unit that provides an updated risk assessment to the first user entity associated with the first target entity when the risk assessment is updated.
The risk assessment support system according to any one of claims 1 to 5, wherein the control unit acquires a risk assessment regarding security measures of the target entity based on the information disclosed about the target entity.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020166478A JP7015889B1 (en) | 2020-09-30 | 2020-09-30 | Risk assessment support system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020166478A JP7015889B1 (en) | 2020-09-30 | 2020-09-30 | Risk assessment support system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP7015889B1 JP7015889B1 (en) | 2022-02-14 |
| JP2022057956A true JP2022057956A (en) | 2022-04-11 |
Family
ID=80912393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020166478A Active JP7015889B1 (en) | 2020-09-30 | 2020-09-30 | Risk assessment support system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7015889B1 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010026602A (en) * | 2008-07-15 | 2010-02-04 | B2B Solutions Co Ltd | Business information provision service system |
| JP2010250677A (en) * | 2009-04-17 | 2010-11-04 | Mitsubishi Electric Corp | Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device |
| WO2020065943A1 (en) * | 2018-09-28 | 2020-04-02 | 三菱電機株式会社 | Security assessment apparatus, security assessment method, and security assessment program |
-
2020
- 2020-09-30 JP JP2020166478A patent/JP7015889B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010026602A (en) * | 2008-07-15 | 2010-02-04 | B2B Solutions Co Ltd | Business information provision service system |
| JP2010250677A (en) * | 2009-04-17 | 2010-11-04 | Mitsubishi Electric Corp | Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device |
| WO2020065943A1 (en) * | 2018-09-28 | 2020-04-02 | 三菱電機株式会社 | Security assessment apparatus, security assessment method, and security assessment program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7015889B1 (en) | 2022-02-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10133824B2 (en) | Systems, methods, and apparatuses for associating flexible internet based information with physical objects | |
| US9361478B2 (en) | Managing personal information on a network | |
| CN105659558B (en) | Computer implemented method, authorization server and computer-readable memory | |
| JP2017123186A (en) | Method of modifying access control for web services using query languages | |
| CN100489827C (en) | Method, system and equipment for using configuration of equipment with multiple configurations by using access control information. | |
| US20120130742A1 (en) | Advanced Electronic Communication Method and System for an Established Doctor-Patient Relationship | |
| CN105830389A (en) | Single set of credentials for accessing multiple computing resource services | |
| JP2004139525A (en) | System and method for providing personal information | |
| US20180013709A1 (en) | Message Identification, Processing, and monitoring Systems and Methods For Communications Commerce | |
| CN108416195A (en) | Cross-platform method for managing user right, device, computer equipment and storage medium | |
| JP7015889B1 (en) | Risk assessment support system | |
| US11671531B1 (en) | Techniques for managing communications between devices | |
| US20150334197A1 (en) | Handling repeated requests for the same user data | |
| US20140100875A1 (en) | Health information exchange system and method | |
| JP2021170717A (en) | Terminal sharing device, terminal sharing method, and terminal sharing program | |
| KR102340976B1 (en) | Deep learning-based customized content provision system using web service user experience | |
| US20220070663A1 (en) | Address retrieval systems and methods | |
| JP2015133087A (en) | File management device, file management system, and program | |
| JP6163170B2 (en) | Service cooperation system, service cooperation apparatus, terminal device, service cooperation method, and service cooperation program | |
| JP7034445B2 (en) | Methods for managing the system and equipment for it | |
| US20020184079A1 (en) | Apparatus and method of mediating collection through communication with terminals storing identification information | |
| JP7340708B1 (en) | Evaluation providing device, evaluation providing method, and evaluation providing program | |
| JP7469247B2 (en) | Authorization system, authorization server, client, user terminal, authorization method, and computer program | |
| JP7023034B6 (en) | Terminal sharing device, terminal, terminal sharing method, terminal sharing program | |
| JP6560281B2 (en) | Web service providing system, web service providing method, web server, authentication server, and computer program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200930 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20200930 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20201104 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210319 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210514 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210804 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210921 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20211210 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220118 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220124 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7015889 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |