JP4084914B2 - セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 - Google Patents

セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 Download PDF

Info

Publication number
JP4084914B2
JP4084914B2 JP27726599A JP27726599A JP4084914B2 JP 4084914 B2 JP4084914 B2 JP 4084914B2 JP 27726599 A JP27726599 A JP 27726599A JP 27726599 A JP27726599 A JP 27726599A JP 4084914 B2 JP4084914 B2 JP 4084914B2
Authority
JP
Japan
Prior art keywords
security
target system
measure
database
displayed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP27726599A
Other languages
English (en)
Other versions
JP2001101135A (ja
Inventor
達也 藤山
信 萱島
康彦 永井
光弘 角田
知明 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP27726599A priority Critical patent/JP4084914B2/ja
Priority to US09/628,108 priority patent/US6971026B1/en
Publication of JP2001101135A publication Critical patent/JP2001101135A/ja
Application granted granted Critical
Publication of JP4084914B2 publication Critical patent/JP4084914B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0283Price estimation or determination
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Development Economics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Finance (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Game Theory and Decision Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Computing Systems (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、1つ以上の機器で構成されるシステムに対し、当該システムに施されたセキュリティの状態を評価し、あるいは、当該システム固有のセキュリティ施策の作成を支援する技術に関する。
【0002】
【従来の技術】
企業のビジネス活動において、インターネット技術に基づく情報システムが重要なインフラとなってきている。また、企業内情報システムのインターネット接続に対する関心が高まるにつれて、企業内情報システムに対する不正アクセスやウィルスによる情報資産の破壊などのセキュリティ問題が認知されるようになってきている。
【0003】
このようなセキュリティ問題から情報システムを守るため、従来、企業は、個々のセキュリティ問題に対してファイアウォールの設置やウィルス対策ソフトの導入などの個別の技術的対策を行なっていた。しかし、近年では、情報システム全体に対する脅威を分析してセキュリティ状態を評価し、その評価結果に基づいて今後の対策方針を作成することにより、対象となる情報システム固有のセキュリティ対策を総合的に実施することが求められるようになりつつある。
【0004】
このような背景から、情報技術製品やこれらの製品で構成された情報システムのセキュリティを体系的に評価・構築するための枠組みとして、セキュリティ評価基準CC(Common Criteria)が1999年6月に国際標準化された(IS 15408)。また、個々の情報システムに施すべきセキュリティポリシーの事例を提示したものとして、米国のセキュリティ専門家であるCharles Cresson Wood氏が作成した運用管理中心のセキュリティポリシー事例集ISPME(Information Security Policy Made Easy)が1997年6月10日にBASELINE software社より出版された。
【0005】
そして、コンサルタントサービスとして、上記のセキュリティ評価基準CCやセキュリティポリシー事例集ISPMEに基づいて、情報システムのセキュリティ状態を評価したり、セキュリティ施策の作成を支援するサービスを提供する者が現れてきている。
【0006】
【発明が解決しようとする課題】
ところで、上記のセキュリティ評価基準CCに基づいて、情報システムのセキュリティ状態を評価したり、セキュリティ施策の作成を支援する場合、体系的に規定されたセキュリティ評価基準CCから、セキュリティ状態の評価対象あるいはセキュリティ施策作成の支援対象となる情報システムを構成する各機器に適用されるべき基準を抽出し、当該情報システムに固有の基準を作成しなければならない。このため、セキュリティ評価基準CCを熟知した、高度な専門知識を有するものでなければ実施することができない。したがって、実施に多くの時間がかかり、また、作業コストも高くなる。
【0007】
また、上記のセキュリティポリシー事例集ISPMEに基づいて、セキュリティ施策の作成を支援する場合においても、当該事例集ISPMEのなかからセキュリティ施策作成の支援対象となる情報システムに対応する事例を抽出し、抽出した事例を、当該情報システムの実際の構成に当てはめながら当該情報システムに対するセキュリティポリシーを作成しなければならない。このため、やはり、セキュリティポリシー事例集ISPMEと情報システムの実際の構成の対応関係を熟知した、高度な専門知識を有するものでなければ実施することができない。したがって、実施に多くの時間がかかり、また、作業コストも高くなる。
【0008】
本発明は、上記の事情に鑑みてなされたものであり、高度な専門的知識がなくても、システムのセキュリティ状態を評価したり、セキュリティ施策の作成を支援することを可能にすることを目的とする。
【0009】
【課題を解決するための手段】
上記課題を解決するために、本発明の第1の態様は、電子計算機を用いて、1以上の機器で構成されるシステムに施されたセキュリティを評価するセキュリティ評価方法であって、
前記電子計算機に接続された入力装置を介して、操作者より、評価対象システムと当該システムを構成する各機器の指定を受け付ける第1のステップと、
システムタイプ毎に、構成機器と当該構成機器に施すべきセキュリティ施策とが記述されたデータベースを検索し、前記第1のステップで指定された評価対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された評価対象システムを構成する各機器に施すべきセキュリティ施策を読み出す第2のステップと、
前記第1のステップで指定された評価対象システムを構成する機器毎に、前記第2のステップで読み出したセキュリティ施策を対応付けて、前記電子計算機に接続された表示装置に表示し、前記入力装置を介して、操作者より、当該機器毎に対応付けて表示されたセキュリティ施策の実施の有無を、たとえばチェックリスト形式で受け付ける第3のステップと、
前記第3のステップで受け付けた評価対象システムを構成する各機器のセキュリティ施策の実施の有無に基づいて、当該評価対象システムに施されたセキュリティ状態の評価を行ない、その結果を前記表示装置に表示する第4のステップと、を有することを特徴とする。
【0010】
ここで、前記第1のステップは、たとえば、前記データベースに記述されているシステムタイプをすべて読み出して前記表示装置に表示し、前記入力装置を介して、操作者より、表示中のシステムタイプのうちのいずれか1つの指定を評価対象システムの指定として受け付けるステップと、評価対象システムとして指定されたシステムタイプの構成機器すべてを前記データベースから読み出して前記表示装置に表示し、前記入力装置を介して、操作者より、表示中の構成機器各々の評価対象システムでの使用の有無を、評価対象システムを構成する各機器の指定として、たとえばチェックリスト形式で受け付けるステップと、からなるものであってもよい。
【0011】
また、前記データベースに記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティの種類が併せて記述されている場合、前記第4のステップは、たとえば、評価対象システムを構成する各機器のセキュリティ施策をセキュリティの種類毎に分類し、セキュリティの種類毎に、当該種類に分類されるセキュリティ施策の数に対する前記第3ステップで実施有りとされたセキュリティ施策の数の割合を求め、これを当該種類に対するセキュリティ施策の達成度として、セキュリティの種類各々の達成度を前記表示装置に表示するようにしてもよい。
【0012】
また、前記データベースに記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティの種類とそのセキュリティ施策を施すことにって回避される危険度(この危険度は、たとえば、そのセキュリティ施策を施さなかったことにより発生する可能性のある年間損害額として表わされる)とが併せて記述されている場合、前記第4のステップは、たとえば、評価対象システムを構成する各機器のセキュリティ施策をセキュリティの種類毎に分類し、セキュリティの種類毎に、当該種類に分類されるセキュリティ施策のうち、前記第3ステップで実施無しとされたセキュリティ施策の危険度の総和を求め、これを当該種類に対するセキュリティ施策の残存危険度として、セキュリティの種類各々の残存危険度を前記表示装置に表示するようにしてもよい。
【0013】
あるいは、前記データベースに記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティの種類とそのセキュリティ施策を施すのにかかるコスト(このコストは、たとえば、そのセキュリティ施策を施すのにかかる年間コストとして表わされる)とが併せて記述されている場合、前記第4のステップは、たとえば、評価対象システムを構成する各機器のセキュリティ施策をセキュリティの種類毎に分類し、セキュリティの種類毎に、当該種類に分類されるセキュリティ施策のうち、前記第3ステップで実施有りとされたセキュリティ施策のコストの総和を求め、これを当該種類に対するセキュリティ施策の所要コストとして、セキュリティの種類各々の所要コストを前記表示装置に表示するようにしてもよい。
【0014】
本態様では、操作者が、入力装置を用いて、評価対象システムとその構成機器を指定すると、当該評価対象システムを構成する機器毎に、その機器に施すべきセキュリティ施策のリストが表示装置に表示される。操作者は、表示装置に表示された各機器のセキュリティ施策を見て、入力装置を用いて、たとえば表示中のセキュリティ施策にチェックする(いわゆるチェックリスト形式)ことで、その実施の有無を入力することができる。操作者が、入力装置を用いて、表示装置に表示された各機器のセキュリティ施策の実施の有無を入力すると、それに基づいて、評価対象システムに施されたセキュリティ状態の評価を行ない、その結果を表示装置に表示する。
【0015】
このように、本態様によれば、操作者が評価対象システムとその構成機器を指定するだけで、その構成機器各々に施すべきセキュリティ施策が表示される。そして、操作者が表示されている各構成機器のセキュリティ施策の実施の有無を入力するだけで、その評価対象システムに施されているセキュリティの評価を行なうことができる。したがって、操作者は、高度な専門的知識がなくても、システムのセキュリティ状態を評価することが可能となる。
【0016】
次に、上記課題を解決するために、本発明の第2の態様は、電子計算機を用いて、1以上の機器で構成されるシステムに施すべきセキュリティ施策の作成を支援するセキュリティの構築支援方法であって、
前記電子計算機に接続された入力装置を介して、操作者より、支援対象システムと当該システムを構成する各機器の指定を受け付ける第1のステップと、
システムタイプ毎に、構成機器と当該構成機器に施すべきセキュリティ施策とが記述されたデータベースを検索し、前記第1のステップで指定された支援対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された支援対象システムを構成する各機器に施すべきセキュリティ施策を読み出す第2のステップと、
前記第1のステップで指定された支援対象システムを構成する機器毎に、前記第2のステップで読み出したセキュリティ施策を対応付けて、前記電子計算機に接続された表示装置に、たとえばリスト形式で表示する第3のステップと、を有することを特徴とする。
【0017】
ここで、前記第1のステップは、たとえば、前記データベースに記述されているシステムタイプをすべて読み出して前記表示装置に表示し、前記入力装置を介して、操作者より、表示中のシステムタイプのうちのいずれか1つの指定を支援対象システムの指定として受け付けるステップと、支援対象システムとして指定されたシステムタイプの構成機器すべてを前記データベースから読み出して前記表示装置に表示し、前記入力装置を介して、操作者より、表示中の構成機器各々の支援対象システムでの使用の有無を、支援対象システムを構成する各機器の指定として、たとえばチェックリスト形式で受け付けるステップと、からなるものであってもよい。
【0018】
また、前記データベースに記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティの種類が併せて記述されている場合、前記第2のステップは、前記データベースから、前記第1のステップで指定された支援対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された支援対象システムを構成する各機器に施すべきセキュリティ施策とその種類を読み出し、前記第3のステップは、前記第1のステップで指定された支援対象システムを構成する機器毎に、前記第2のステップで読み出した支援対象システムを構成する各機器のセキュリティ施策とその種類を対応付けて、前記表示装置に表示するようにしてもよい。
【0019】
また、前記データベースに記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティのレベルが併せて記述されている場合、前記第1のステップは、前記入力装置を介して、操作者より、支援対象システムと当該システムを構成する各機器の指定に加えて、当該システムに施すべきセキュリティ施策のレベルの指定を受け付け、前記第2のステップは、前記データベースから、前記第1のステップで指定された支援対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された支援対象システムを構成する各機器に施すべきセキュリティ施策であって、前記第1のステップで指定されたレベル以下のセキュリティ施策を読み出すようにしてもよい。
【0020】
本態様では、操作者が、入力装置を用いて、支援対象システムとその構成機器を指定すると、当該支援対象システムを構成する機器毎に、その機器に施すべきセキュリティ施策のリストが表示装置に表示される。このように、本態様によれば、操作者が支援対象システムとその構成機器を指定するだけで、その構成機器各々に施すべきセキュリティ施策が表示されるので、操作者は、高度な専門的知識がなくても、システムに施すべきセキュリティ施策を構築することが可能となる。
【0021】
【発明の実施の形態】
以下に、本発明の実施の形態について説明する。
【0022】
まず、本発明の第1実施形態について説明する。
【0023】
図1は、本発明の第1実施形態が適用されたセキュリティ支援・評価装置1の概略構成図である。
【0024】
図1に示すように、本実施形態のセキュリティ支援・評価装置11は、CPU11と、メモリ12と、ハードディスク装置などの外部記憶装置13と、CD−ROMやFDなどの可搬性を有する記憶媒体15からデータを読み取る読取り装置14と、キーボードやマウスなどの入力装置16と、ディスプレイなどの表示装置17と、ネットワークに接続された通信装置18と、上述した各構成要素間のデータ送受を司るインターフェース19とを備えた、一般的な構成を有する電子計算機上に構築することができる。
【0025】
ここで、外部記憶装置13には、本実施形態のセキュリティ支援・評価装置11を電子計算機上に構築するためのセキュリティ評価・構築支援プログラムPG132が格納されており、CPU11がメモリ12上にロードされたこのプログラム132を実行することにより、操作者が指定した対象システムの構成機器各々に施すべきセキュリティ施策のリストを作成する施策リスト生成部111と、操作者から受け付けた対象システムの構成機器各々に施すべきセキュリティ施策の実施の有無に基づいて、当該対象システムのセキュリティ状態を評価するセキュリティ評価部112と、入力装置16や表示装置17を制御して操作者から各種指示を受け付けたり、施策リスト生成部111やセキュリティ評価部112からの出力を表示する入出力制御部113とを、プロセスとして実現する。
【0026】
なお、このプログラム132は、読取り装置14によりCD−ROMやFDなどの可搬性の記憶媒体15から読み取られ、外部記憶装置13にインストールされるようにしてもよいし、あるいは、通信装置18によりネットワークから外部記憶装置13にダウンロードされるようにしてもよい。また、図1では、このプログラム132を、一旦外部記憶装置13に格納してから、メモリ12上にロードしてCPU11により実行するようにしているが、読取り装置14により可搬性の記憶媒体15から読み取って直接メモリ12上にロードしCPU11により実行するようにしてもよい。あるいは、通信装置18を介してネットワークから直接メモリ12上にロードしCPU11により実行するようにしてもよい。
【0027】
また、外部記憶装置13には、本実施形態によるセキュリティ評価・構築支援の適用が予定されるシステムのタイプ毎に、システムの構成機器各々に適用すべきセキュリティ施策が記述された施策データベースDB1〜DBn131が予め格納されている。本実施形態では、セキュリティ評価・構築支援の適用が予定されるシステムのタイプとして、インターネット接続システム、認証システムおよびプラントシステムを想定している。
【0028】
図2〜図5に、施策データベースの一例を示す。
【0029】
ここで、図2および図3はインターネット接続システムに対応して設けられた施策データベースの内容を示しており、図4は認証システムに対応して設けられた施策データベースの内容を示している。そして、図5はプラントシステム対応して設けられた施策データベースの内容を示している。
【0030】
図2〜図5において、列201には、施策種別(セキュリティの種類)が記述される。列202には、同じ行の施策種別の欄に記述されたセキュリティを確保するためのセキュリティ施策が記述される。列203には、同じ行のセキュリティ施策の欄に記述されたセキュリティ施策が想定している想定脅威が記述される。列204には、同じ行のセキュリティ施策の欄に記述されたセキュリティ施策について、セキュリティ評価基準CC(IS 15408)に規定されていれるセキュリティ機能要件(Security Functional Requirement)のカタログから、その施策を満たす機能要件を選択したものが記述される。列205iには、同じ行のセキュリティ施策の欄に記述されたセキュリティ施策について、それが所定業種(たとえば、金融業など)の基準において実施が義務づけられていればその旨記述される。
【0031】
また、列206iは、対象システムの構成機器として使用されることが予定される機器毎に設けられ、同じ行のセキュリティ施策の欄に記述されたセキュリティ施策が適用可能である場合に、そのセキュリティ施策を適用することにより確保されるセキュリティのレベルL1〜L3と、そのセキュリティ施策を適用するために必要とされる年間の所要コストC1〜C5と、そのセキュリティ施策を適用しなかったことにより同じ行の想定脅威の欄に記述された想定脅威が現実のものとなった場合における年間の損害額を示した残存リスクR1〜R5とが記述される。
【0032】
また、列207は、対象システムの構成機器として使用されることが予定される各機器が設置される施設について、列206iと同様に、同じ行のセキュリティ施策の欄に記述されたセキュリティ施策が適用可能である場合に、そのセキュリティ施策を適用することにより確保されるセキュリティのレベルL1〜L3と、そのセキュリティ施策を適用するために必要とされる年間の所要コストC1〜C5と、そのセキュリティ施策を適用しなかったことにより同じ行の想定脅威の欄に記述された想定脅威が現実のものとなった場合における年間の損害額を示した残存リスクR1〜R5とが記述される。
【0033】
そして、列208は、対象システムの運用について、列206iと同様に、同じ行のセキュリティ施策の欄に記述されたセキュリティ施策が適用可能である場合に、そのセキュリティ施策を適用することにより確保されるセキュリティのレベルL1〜L3と、そのセキュリティ施策を適用するために必要とされる年間の所要コストC1〜C5と、そのセキュリティ施策を適用しなかったことにより同じ行の想定脅威の欄に記述された想定脅威が現実のものとなった場合における年間の損害額を示した残存リスクR1〜R5が記述される。
【0034】
なお、セキュリティのレベルL1〜L3、年間の所要コストC1〜C5および年間の残存リスクR1〜R5の具体的な値は、図2〜図5に示すとおりである。
【0035】
たとえば、図2および図3に示すインターネット接続システムに対応して設けられた施策データベースにおいて、セキュリティ施策「個人単位でパスワードを設定」は、施策種別「アクセス権限の管理」に属し、そのセキュリティ施策が想定している想定脅威が「不正使用」であり、また、その施策を満たすセキュリティ機能が、セキュリティ評価基準CC(IS 15408)に規定される機能要件「FMT_MSA.1」であることを示している。また、このセキュリティ施策「個人単位でパスワードを設定」は、インターネット接続システムの構成機器のうちWWWサーバおよびクライアントに適用可能であることを示している。そして、そのセキュリティ施策をWWWサーバに適用することにより確保されるセキュリティのレベルはL3(最強)であり、そのセキュリティ施策をWWWサーバに適用するために必要とされる年間の所要コストはC2(100万未満)であり、そのセキュリティ施策をWWWサーバに適用しなかったことにより想定脅威「不正使用」が現実のものとなった場合における年間の損害額(残存リスク)はR2(100万未満)であることを示している。また、そのセキュリティ施策をクライアントに適用することにより確保されるセキュリティのレベルはL3(最強)であり、そのセキュリティ施策をクライアントに適用するために必要とされる年間の所要コストはC2(100万未満)であり、そのセキュリティ施策をクライアントに適用しなかったことにより想定脅威「不正使用」が現実のものとなった場合における年間の損害額(残存リスク)はR2(100万未満)であることを示している。
【0036】
なお、図2〜図5に示すデータベースの列206i、207および208の各欄に記入する内容は、事前に行なった脅威分析やリスク分析等の結果に基づいて決定されるようにすることが好ましい。
【0037】
次に、上記構成のセキュリティ支援・評価装置1の動作について説明する。
【0038】
図6および図7は、本発明の第1実施形態であるセキュリティ支援・評価装置1の動作を説明するためのフロー図である。
【0039】
まず、施策リスト生成部111は、入出力制御部113を用いて、表示装置17に、外部記憶装置13に記憶されている施策データベースDB1〜DBn131の対象システムの名称のリストを含んだ、図8に示すような、セキュリティ施策の作成支援あるいはセキュリティ状態の評価の対象となるシステムの名称を選択するためのGUI画面を表示する(ステップS1001)。
【0040】
図8に示すようなGUI画面を介して、操作者により、入力装置16を使って、セキュリティ施策の作成支援あるいはセキュリティ状態の評価の対象となるシステムの名称が選択(図8ではインターネット接続システムが選択された例を示している)されると(ステップS1002)、施策リスト生成部111は、選択されたシステムの構成機器の名称を外部記憶装置13に記憶されている施策データベースDB1〜DBn131から読み出す。そして、入出力制御部113を用いて、表示装置17に、選択されたシステムの構成機器の名称のリストを含んだ、図9に示すような、セキュリティ施策の作成支援あるいはセキュリティ状態の評価の対象となるシステムの構成機器の選択するためのGUI画面(図9ではインターネット接続システムを対象システムとした例を示している)を表示する(ステップS1003)。
【0041】
なお、図9において、項目「機器構成」801は、対応する施策データベースDB1〜DBn131から読み出された、ステップS1002で選択されたシステムを構成する機器のなかから、セキュリティ施策の作成支援あるいはセキュリティ状態の評価の対象となるシステムに実際に使用されている機器を選択するためのものであり、操作者は入力装置16を使って使用している機器の名称にチェックを入れられるようになっている。項目「環境」802は、対象システムの構成機器が設置される施設や当該対象システムの運用を、セキュリティ施策の作成支援あるいはセキュリティ状態の評価の対象に含めるか否かを設定するためのものであり、操作者は入力装置16を使って含めたいものにチェックを入れられるようになっている。また、項目「セキュリティ強度」803は、セキュリティ施策の作成支援あるいはセキュリティ状態の評価を実施する上でのセキュリティのレベルを設定するためのものであり、操作者は入力装置16を使って設定したいレベルにチェックを入れられるようになっている。ここで、レベル「並」は、対象システムに対し、必要最小限のキュリティを確保することを目的として、セキュリティ施策の作成支援あるいはセキュリティ状態の評価を実施する場合にチェックすべきレベルであり、図2〜図5に示すレベルL1に相当する。レベル「最強」は、最大限のキュリティを確保することを目的として、セキュリティ施策の作成支援あるいはセキュリティ状態の評価を実施する場合にチェックすべきレベルであり、図2〜図5に示すレベルL3に相当する。そして、レベル「強」は、レベル「並」とレベル「最強」の中間に位置するレベルであり、図2〜図5に示すレベルL2に相当する。また、ボタン「施策構築支援」804は、本装置1にセキュリティ施策の作成支援を行なわせる場合に選択すべきボタンであり、ボタン「セキュリティ評価」805は、本装置1にセキュリティ評価を行なわせる場合に選択すべきボタンである。
【0042】
さて、図9に示すようなGUI画面を介して、操作者により、入力装置16を使って、必要な項目にチェックが入れられ、ボタン804、805のいずれかが選択されると(ステップS1004)、施策リスト生成部111は、ステップS1002で選択されたシステムに対応する対応する施策データベースDB1〜DBn131から必要な情報を読み出し、項目「機器構成」801にてチェックされた機器および項目「環境」802にてチェックされた環境毎に、セキュリティ施策リストを作成する(ステップS1005)。
【0043】
以下に、セキュリティ施策リストの作成処理について、図9に示す場合(項目「機器構成」801にてWWWサーバとクライアントがチェックされ、項目「環境」802にて運用がチェックされた場合)を例にとり説明する。
【0044】
まず、図2および図3に示すインターネット接続システムのデータベースの「WWWサーバ」の列2061の各行において、同じ行のセキュリティ施策が適用可能であり、かつ、当該セキュリティ施策を適用した場合に確保されるセキュリティレベルが、図8の項目「セキュリティ強度」でチェックされたレベル(ここでは「並」=L1)以下のものが記述された行に着目する。そして、着目した各行について、「WWWサーバ」の列2061に記述された内容と同じ行の列201〜204、205iに記述された内容とを読み出し、これらを基にWWWサーバに対するセキュリティ施策リストを作成する。以上の処理を、「クライアント」の列2062および「運用」の列208のそれぞれに対しても、同様に実行することで、クライアントに対するセキュリティ施策リストと運用に対するセキュリティ施策リストを作成する。
【0045】
次に、施策リスト生成部111は、図9に示すような画面において、項目「機器構成」801にてチェックされた機器および項目「環境」802にてチェックされた環境毎に、セキュリティ施策リストを作成したならば、ステップS1004で選択されたボタンがボタン「構築支援」804であるか、あるいはボタン「セキュリティ評価」805であるかを判別する(ステップS1006)。
【0046】
選択されたボタンが「構築支援」804である場合、施策リスト生成部111は、入出力制御部113を介して、表示装置17に、ステップS1005で作成した、項目「機器構成」801にてチェックされた機器および項目「環境」802にてチェックされた環境毎のセキュリティ施策リストを表示して、セキュリティ施策の作成を支援する(ステップS1007)。
【0047】
図10は、セキュリティ施策の作成支援のために表示されるセキュリティ施策リストの一例を示した図である。この例では、図9に示すチェック内容にしたがって、図2および図3に示すインターネット接続システムのデータベースから作成されたリストを示している。ここで、WWWサーバ、クライアントおよび運用各々のセキュリティ施策リストは、別々に表示されるようになっており、操作者は入力装置16を使ってタグ901を選択することにより、所望のセキュリティ施策リストを表示することができる。なお、符号902、903は、現在表示中のセキュリティ施策リストをスクロールさせるためのボタンである。
【0048】
一方、ステップS1006にて、選択されたボタンが「セキュリティ評価」805である場合、セキュリティ評価部112は、入出力制御部113を介して、表示装置17に、ステップS1005で作成した、項目「機器構成」801にてチェックされた機器および項目「環境」802にてチェックされた環境毎のセキュリティ施策リストに含まれるセキュリティ施策各々の実施の有無を確認するためのGUI画面を表示する(ステップS1008)。
【0049】
図11は、セキュリティ評価のために表示されるセキュリティ施策の実施の有無を確認するためのGUI画面の一例を示した図である。この例では、図9に示すチェック内容にしたがって、図2および図3に示すインターネット接続システムのデータベースから作成されたリストに基づいて、GUI画面を作成した例を示している。ここで、図11に示すGUI画面は、図10に示す表示画面に、同じ行に記述されたセキュリティ施策の実施の有無をチェックするための入力欄でなる列904が設けられた構成となっている。なお、ボタン「リセット」906は、列906の各入力欄のチェック内容をリセットし、再度チェックし直すためのものである。
【0050】
さて、図11に示すようなGUI画面を介して、操作者により、入力装置16を使って、各セキュリティ施策の実施の有無がチェックが入れられ、ボタン「実行」905が選択されると(ステップS1009)、セキュリティ評価部112は、入出力制御部113を介して、表示装置17に、図12に示すような、操作者より達成すべきセキュリティの目標レベルを受け付けるためのGUI画面を表示する(ステップS1010)。
【0051】
図12に示す例では、図11に示すGUI画面に表示された機器および環境各々について、セキュリティの目標レベルを、施策種別毎のセキュリティ施策数に対する実施(対策)済のセキュリティ施策数の割合で設定するか(910)、施策種別毎の実施済のセキュリティ施策による所要コストの総額で設定するか(911)、あるいは、施策種別毎の未実施(未対策)のセキュリティ施策による残存リスクの総額で設定するか(912)を、選択することができるようになっている。ここで、セキュリティの目標レベルを施策種別毎のセキュリティ施策数に対する実施済のセキュリティ施策数の割合で設定する場合には、オプションとして特定業界(業界A、B)における基準を適用するか否かを選択できるようになっており、特定業界における基準の適用が選択された場合は、セキュリティの目標レベルが、施策種別毎の当該基準で義務づけられたセキュリティ施策数に対する実施済の当該基準で義務づけられたセキュリティ施策数の割合として設定される。なお、図12では、施策種別毎のセキュリティ施策数に対する実施済のセキュリティ施策数の割合として80%以上が設定された例を示している。
【0052】
さて、図12に示すようなGUI画面を介して、操作者により、入力装置16を使って、セキュリティの目標レベルが設定されると(ステップS1011)、その設定内容にしたがって対象システムのセキュリティ状態を評価する(ステップS1012)。
【0053】
たとえば、ステップS1011において、セキュリティの目標レベルが、施策種別毎のセキュリティ施策数に対する実施済のセキュリティ施策数の割合として設定された場合、セキュリティ評価部112は、図11に示すGUI画面に表示された機器および環境各々(つまり、WWWサーバ、クライアントおよび運用の各々)について、施策種別毎に、当該種別に分類されるセキュリティ施策数に対する実施済(つまり、実施有無入力欄にチェックが入れられた)セキュリティ施策数の割合を求める(ステップS1013)。そして、入出力制御部113を介して、表示装置17に、その結果であるセキュリティ評価を表示する(ステップS1014)。
【0054】
図13は、セキュリティの目標レベルが施策種別毎のセキュリティ施策数に対する実施済のセキュリティ施策数の割合として設定された場合における、セキュリティ評価結果の表示例を示している。この例では、図12に示すGUI画面において、目標値として80%以上が設定された場合を示している。ここで、WWWサーバ、クライアントおよび運用各々のセキュリティ評価結果は、別々に表示されるようになっており、操作者は入力装置16を使ってタグ913を選択することにより、所望のセキュリティ評価結果を表示することができる。
【0055】
また、図13に示す例では、施策種別毎のセキュリティ施策数に対する実施済のセキュリティ施策数の割合を、各施策種別を軸とする、いわゆるレーダチャートを用いて表示している。ここで、実線は、各軸上における、当該軸が示す施策種別のセキュリティ施策数に対する実施済のセキュリティ施策数の割合に応じた点を結んだ線、すなわちセキュリティ評価結果を示している。一方、一点鎖線は、各軸上における、図12に示すGUI画面で設定された目標値に応じた点を結んだ線である。操作者は、セキュリティ評価結果を示す実線と目標レベルを示す一点鎖線を比較することで、視覚的に、対象システムに施されたセキュリティの状態を把握することが可能となる。
【0056】
なお、ステップS1011において、設定されたセキュリティの目標レベルが、施策種別毎のセキュリティ施策数に対する実施済のセキュリティ施策数の割合であり、かつ、オプションとして特定業界における基準を適用するように設定された場合は、ステップS1013において、図11に示すGUI画面に表示された機器および環境各々について、施策種別毎に、当該種別に分類されるセキュリティ施策のうち当該業界基準として義務付けらているセキュリティ施策数に対する実施済の当該業界基準として義務付けらているセキュリティ施策数の割合が求められる。
【0057】
また、たとえば、ステップS1011において、セキュリティの目標レベルが、施策種別毎の実施済のセキュリティ施策による所要コストの総額として設定された場合、セキュリティ評価部112は、図11に示すGUI画面に表示された機器および環境各々について、施策種別毎に、当該種別に分類されるセキュリティ施策のうち実施済セキュリティ施策による所要コストの総額を求める(ステップS1015)。そして、入出力制御部113を介して、表示装置17に、その結果であるセキュリティ評価を表示する(ステップS1016)。
【0058】
図14は、セキュリティの目標レベルが施策種別毎の実施済のセキュリティ施策による所要コストの総額として設定された場合における、セキュリティ評価結果の表示例を示している。この例では、図12に示すGUI画面において、目標値として100万未満/年が設定された場合を示している。また、図14に示す例では、図13と同様、施策種別毎の実施済のセキュリティ施策による所要コストの総額を、各施策種別を軸とする、いわゆるレーダチャートを用いて表示している。ここで、実線は、各軸上における、当該軸が示す施策種別の実施済のセキュリティ施策による所要コストの総額に応じた点を結んだ線、すなわちセキュリティ評価結果を示している。一方、一点鎖線は、各軸上における、図12に示すGUI画面で設定された目標値に応じた点を結んだ線である。操作者はセキュリティ評価結果を示す実線と目標レベルを示す一点鎖線を比較することで、視覚的に、対象システムに施されたセキュリティの状態を把握することが可能となる。
【0059】
また、たとえば、ステップS1011において、セキュリティの目標レベルが、施策種別毎の未実施のセキュリティ施策による残存リスクの総額として設定された場合、セキュリティ評価部112は、図11に示すGUI画面に表示された機器および環境各々について、施策種別毎に、当該種別に分類されるセキュリティ施策のうち未実施のセキュリティ施策による残存リスクの総額を求める(ステップS1017)。そして、入出力制御部113を介して、表示装置17に、その結果であるセキュリティ評価を表示する(ステップS1018)。
【0060】
図15は、セキュリティの目標レベルが施策種別毎の未実施のセキュリティ施策による残存リスクの総額として設定された場合における、セキュリティ評価結果の表示例を示している。この例では、図12に示すGUI画面において、目標値として100万未満/年が設定された場合を示している。また、図15に示す例では、図13と同様、施策種別毎の未実施のセキュリティ施策による残存リスクの総額を、各施策種別を軸とする、いわゆるレーダチャートを用いて表示している。ここで、実線は、各軸上における、当該軸が示す施策種別の未実施のセキュリティ施策による残存リスクの総額に応じた点を結んだ線、すなわちセキュリティ評価結果を示している。一方、一点鎖線は、各軸上における、図12に示すGUI画面で設定された目標値に応じた点を結んだ線である。操作者はセキュリティ評価結果を示す実線と目標レベルを示す一点鎖線を比較することで、視覚的に、対象システムに施されたセキュリティの状態を把握することが可能となる。
【0061】
以上、本発明の第1実施形態について説明した。
【0062】
本実施形態では、図9に示すGUI画面において、操作者が、入力装置16を用いて、対象システムの構成機器を指定して評価ボタンを選択すると、図11に示すような、指定された機器毎にその機器に施すべきセキュリティ施策リストを含んだGUI画面が表示装置17に表示される。操作者は、表示装置17に表示された各機器のセキュリティ施策を見て、入力装置16を用いて、実施有無入力欄にチェックする(いわゆるチェックリスト形式)ことで、そのセキュリティ施策の実施の有無を入力することができる。操作者が、入力装置16を用いて、表示装置17に表示された各機器のセキュリティ施策の実施の有無を入力すると、それに基づいて、対象システムに施されたセキュリティ施策の評価を行ない、その結果を表示装置17に表示する。
【0063】
このように、本実施形態によれば、操作者がセキュリティを評価すべき対象システムの構成機器を指定するだけで、その構成機器各々に施すべきセキュリティ施策が表示される。そして、操作者が表示されている各構成機器のセキュリティ施策の実施の有無を入力するだけで、その評価対象システムに施されているセキュリティの評価を行なうことができる。したがって、操作者は、高度な専門的知識がなくても、システムのセキュリティ状態を評価することが可能となる。
【0064】
また、本実施形態では、図12に示すGUI画面において、操作者はセキュリティの目標レベルを設定することができる。また、図13〜図15に示すように、セキュリティ評価結果は、設定した目標レベルと対比できるようにして表示される。このため、操作者は、評価対象システムの規模や評価対象システムに要求されるセキュリティレベルなどの、当該評価対象システムに固有の事情が考慮されたセキュリティ評価結果を得ることができる。
【0065】
また、本実施形態では、図9に示すGUI画面において、操作者が、入力装置16を用いて、対象システムの構成機器を指定して構築支援ボタンを選択すると、図10に示すような、指定された機器毎にその機器に施すべきセキュリティ施策リストを含んだGUI画面が表示装置17に表示される。このように本実施形態によれば、操作者がセキュリティ施策を構築すべき対象システムの構成機器を指定するだけで、その構成機器各々に施すべきセキュリティ施策が表示されるので、操作者は、高度な専門的知識がなくても、システムに施すべきセキュリティ施策を構築することが可能となる。
【0066】
また、図9に示すGUI画面において選択されたセキュリティ強度以下のセキュリティ施策が図10に示すセキュリティ施策リストに表示されるので、操作者は、対象システムの規模や対象システムに要求されるセキュリティレベルなどの、当該対象システムに固有の事情が考慮して、当該システムに施すべきセキュリティ施策のリストを表示させることができる。
【0067】
次に、本発明の第2実施形態について説明する。
【0068】
図16は、本発明の第2実施形態が適用されたセキュリティ支援・評価システムの概略図である。
【0069】
上記の第1実施形態では、セキュリティ施策データベースDB1〜DBn131を、セキュリティ支援・評価装置1の外部記憶装置13に格納した場合について説明した。これに対し、本実施形態では、図16に示すように、セキュリティ支援・評価装置1がたとえば携帯型の電子計算機上に構築される場合を考慮し、セキュリティ施策データベースDB1〜DBn131をセキュリティ支援・評価装置1とは別の電子計算機上に構築されたデータベース管理装置21〜2n(n≧1)に格納し、セキュリティ支援・評価装置1は、公衆網などのネットワークを介してデータベース管理装置2i(1≦i≦n)にアクセスし、セキュリティ施策リスト作成に必要な情報を得るようにしている。
【0070】
図17は、本発明の第2実施形態に用いるセキュリティ支援・評価装置1の概略構成図である。ここで、図1に示す第1実施形態のセキュリティ支援・評価装置1と同じ機能を有するものには同じ符号を付している。
【0071】
図示するように、本実施形態のセキュリティ支援・評価装置1が、図1に示す第1実施形態のセキュリティ支援・評価装置1と異なる点は、外部記憶装置13にセキュリティ施策データベースDB1〜DBn131が格納されていない点と、外部記憶装置13に、ネットワークを介してデータベース管理装置21〜2nにアクセスするための通信プログラムPG133、および、図18に示すようなデータベース管理装置21〜2nの各々アクセス先(アドレス)が記述されたDBアドレス管理テーブル134が格納されている点である。CPU11は、通信プログラム133をメモリ12上にロードし実行することで、通信部18により公衆網などのネットワークを介してデータベース管理装置21〜2nにアクセスし、データベース管理装置21〜2nの間の通信を実現するために必要な各種プロトコル群を処理する通信制御部114をプロセスとして実現する。
【0072】
図19は、本発明の第2実施形態に用いるデータベース管理装置2i(1≦i≦n)の概略構成図である。ここで、図1に示す第1実施形態のセキュリティ支援・評価装置1と同じ機能を有するものには同じ符号を付している。
【0073】
図示するように、本実施形態のデータベース管理装置2iは、図17に示すセキュリティ支援・評価装置1と異なる点は、外部記憶装置13に、DBアドレス管理テーブル134および評価・構築支援プログラムPG132に代えて、セキュリティ施策データベースDBi131およびDB管理プログラムPG135が格納されている点である。CPU11は、DB管理プログラム135をメモリ12上にロードし実行することで、通信制御部114を介して、セキュリティ支援・評価装置1より受け取った要求に応じて、外部記憶装置13に格納されているセキュリティ施策データベースDBi131から必要な情報を読み出し、セキュリティ支援・評価装置1に送信するデータベースDB検索部115をプロセスとして実現する。
【0074】
次に、上記構成のセキュリティ支援・評価システムの動作について説明する。
【0075】
まず、図17に示すセキュリティ支援・評価装置1の動作について説明する。
【0076】
本実施形態のセキュリティ支援・評価装置1の動作は、図6および図7に示す第1実施形態のセキュリティ支援・評価装置1の動作と基本的に同様である。ただし、以下の点で異なる。
【0077】
すなわち、ステップS1001において、セキュリティ支援・評価装置1は、データベース管理装置21〜2nが格納するセキュリティ施策データベースDB1〜DBn131各々の対象システムの名称を、予め外部記憶装置13などに記憶しており、施策リスト生成部111は、外部記憶装置13からセキュリティ施策データベースDB1〜DBn131の対象システム各々の名称を読み出し、入出力制御部113を用いて、図8に示すようなGUI画面を表示する。
【0078】
また、ステップS1003において、施策リスト生成部111は、ステップS1002で選択されたシステムのセキュリティ施策データベースを格納するデータベース管理装置2iより当該システムの構成機器の名称を読み出すため指示を通信制御部114に渡す。これを受けて、通信制御部114は、当該データベース管理装置2iのアドレスを外部記憶装置13に格納されているDBアドレス管理テーブル134から取得し、通信装置18を介して、当該データベース管理装置2iに指示を送信する。その後、通信制御部114は、当該データベース管理装置2iから当該システムの構成機器の名称が送られてくると、これらを施策リスト生成部111に渡す。これを受けて、施策リスト生成部111は、入出力制御部113を用いて、受け取った構成機器の名称のリストを含んだ、図9に示すようなGUI画面を表示する。
【0079】
さらに、ステップS1005において、図20に示す処理を行なう。
【0080】
まず、施策リスト生成部111は、ステップS1002で選択されたシステムのセキュリティ施策データベースを格納するデータベース管理装置2iより必要な情報を読み出すための検索指示を、ステップS1004にて図9に示すようなGUI画面を介して操作者によりチェックされた項目の内容とともに、通信制御部114に渡す(ステップS1101)。
【0081】
これを受けて、通信制御部114は、当該データベース管理装置2iのアドレスを外部記憶装置13に格納されているDBアドレス管理テーブル134から取得し、通信装置18を介して、当該データベース管理装置2iに、前記チェックされた項目の内容を含んだデータベースの検索指示を送信する(ステップS1102)。その後、通信制御部114は、当該データベース管理装置2iから検索結果が送られてくると(ステップS1103)、これらを施策リスト生成部111に渡す。
【0082】
これを受けて、施策リスト生成部111は、検索結果に基づいて、図9に示すGUI画面の項目「機器構成」801にてチェックされた機器および項目「環境」802にてチェックされた環境毎に、セキュリティ施策リストを作成する(ステップS1104)。
【0083】
次に、図19に示すデータベース管理装置2iの動作について説明する。
【0084】
図21は、本発明の第2実施形態で用いるデータベース管理装置2iの動作を説明するためのフロー図である。
【0085】
まず、通信制御部114は、通信装置18を介して、セキュリティ支援・評価装置1からシステムの構成機器の名称を読み出すため指示を受け取ると(ステップS2001)、これをDB検索部115に渡す。これを受けて、DB検索部115は、外部記憶装置13に格納されているセキュリティ施策データベースDBiから、当該データベースの列206に記述されている各構成機器の名称を読み出し(図2〜図5参照)、通信制御部114に渡す(ステップS2002)。通信制御部114は、受け取った各構成機器の名称を、セキュリティ支援・評価装置1に送信する(ステップS2003)。
【0086】
次に、通信制御部114は、通信装置18を介して、セキュリティ支援・評価装置1から、図9に示すGUI画面でチェックされた構成機器や環境の名称およびセキュリティ強度を含んだ検索指示を受け取ると(ステップS2004)、これをDB検索部115に渡す。これを受けて、DB検索部115は、外部記憶装置13に格納されているセキュリティ施策データベースDBiから必要な情報を読み出す(ステップS2005)。
【0087】
たとえば、外部記憶装置13に格納されているセキュリティ施策データベースDBiが図2および図3に示すインターネット接続システムのものであり、検索指示に含まれる構成機器および環境の名称が、「WWWサーバ」、「クライアント」および「運用」であり、セキュリティ強度が「並」であるる場合、以下のようにして必要な情報を読み出す。
【0088】
まず、図2および図3に示すインターネット接続システムのデータベースの「WWWサーバ」の列2061の各行において、同じ行のセキュリティ施策が適用可能であり、かつ、当該セキュリティ施策を適用した場合に確保されるセキュリティレベルが、検索指示に含まれるセキュリティ強度(ここでは「並」=L1)以下のものが記述された行に着目する。そして、着目した各行について、「WWWサーバ」の列2061に記述された内容と同じ行の列201〜204、205iに記述された内容とを読み出す。以上の処理を、「クライアント」の列2062および「運用」の列208のそれぞれに対しても、同様に実行することで、検索指示に含まれる構成機器および環境毎に、必要な情報を読み出す。
【0089】
次に、DB検索部115は、上記のようにして読み出した情報を通信制御部114に渡す。通信制御部114は、受け取った情報を、検索結果として、セキュリティ支援・評価装置1に送信する(ステップS2006)。
【0090】
以上、本発明の第2実施形態について説明した。
【0091】
本実施形態では、セキュリティ施策データベースDB1〜DBn131をセキュリティ支援・評価装置1とは別の電子計算機上に構築されたデータベース管理装置21〜2nに格納し、セキュリティ支援・評価装置1は、公衆網などのネットワークを介してデータベース管理装置2iにアクセスし、セキュリティ施策リスト作成に必要な情報を得るようにしているので、セキュリティ支援・評価装置1を、たとえば携帯型の電子計算機上に構築する場合に好適である。
【0092】
なお、上記の実施形態において、セキュリティ支援・評価装置1は、データベース管理装置21〜2nが格納するセキュリティ施策データベースDB1〜DBn131各々の対象システムの名称を、予め外部記憶装置13などに記憶しておくようにしているが、この情報は、セキュリティ支援・評価装置1がデータベース管理装置21〜2n各々に定期的にアクセスすることで、取得するようにしてもよい。また、この際、各データベース管理装置21〜2nから、セキュリティ施策データベースの対象システムの名称とともに当該対象システムの構成機器の名称も併せて取得しておくようにすれば、上述した図6のステップS1003の変更は不要になる。
【0093】
【発明の効果】
以上説明したように、本発明によれば、高度な専門的知識がなくても、システムのセキュリティ状態を評価したり、セキュリティ施策の作成を支援することが可能になる。
【図面の簡単な説明】
【図1】本発明の第1実施形態が適用されたセキュリティ支援・評価装置1の概略構成図である。
【図2】インターネット接続システムに対応するセキュリティ施策データベースの一例を示す図である。
【図3】インターネット接続システムに対応するセキュリティ施策データベースの一例を示す図である。
【図4】認証システムに対応するセキュリティ施策データベースの一例を示す図である。
【図5】プラントシステムに対応するセキュリティ施策データベースの一例を示す図である。
【図6】本発明の第1実施形態であるセキュリティ支援・評価装置1の動作を説明するためのフロー図である。
【図7】本発明の第1実施形態であるセキュリティ支援・評価装置1の動作を説明するためのフロー図である。
【図8】セキュリティ施策の作成支援あるいはセキュリティ状態の評価の対象となるシステムの名称を選択するためのGUI画面の例を示した図である。
【図9】セキュリティ施策の作成支援あるいはセキュリティ状態の評価の対象となるシステムの構成機器の選択するためのGUI画面の例を示した図である。
【図10】セキュリティ施策の作成支援のために表示されるセキュリティ施策リストの一例を示した図である。
【図11】セキュリティ評価のために表示されるセキュリティ施策の実施の有無を確認するためのGUI画面の一例を示した図である。
【図12】操作者より達成すべきセキュリティの目標レベルを受け付けるためのGUI画面の例を示した図である。
【図13】セキュリティの目標レベルが施策種別毎のセキュリティ施策数に対する実施済のセキュリティ施策数の割合として設定された場合における、セキュリティ評価結果の表示例を示す図である。
【図14】セキュリティの目標レベルが施策種別毎の実施済のセキュリティ施策による所要コストの総額として設定された場合における、セキュリティ評価結果の表示例を示す図である。
【図15】セキュリティの目標レベルが施策種別毎の未実施のセキュリティ施策による残存リスクの総額として設定された場合における、セキュリティ評価結果の表示例を示す図である。
【図16】本発明の第2実施形態が適用されたセキュリティ支援・評価システムの概略図である。
【図17】本発明の第2実施形態に用いるセキュリティ支援・評価装置1の概略構成図である。
【図18】本発明の第2実施形態に用いるセキュリティ支援・評価装置1の外部記憶装置13に格納されているDBアドレス管理テーブル134を説明するための図である。
【図19】本発明の第2実施形態に用いるデータベース管理装置2i(1≦i≦n)の概略構成図である。
【図20】本発明の第2実施形態に用いるセキュリティ支援・評価装置1における、図6のステップS1005の処理を説明するためのフロー図である。
【図21】本発明の第2実施形態で用いるデータベース管理装置2iの動作を説明するためのフロー図である。
【符号の説明】
1・・・セキュリティ支援・評価装置
1〜2n・・・データベース管理装置
11・・・CPU
12・・・メモリ
13・・・外部記憶装置
14・・・読取り装置
15・・・過般性のある記憶媒体
16・・・入力装置
17・・・表示装置
18・・・通信装置
19・・・インターフェース
111・・・施策リスト生成部
112・・・セキュリティ評価部
113・・・入出力制御部
114・・・通信制御部
115・・・DB検索部
131・・・セキュリティ施策データベースDB1〜DBn
132・・・評価・構築支援プログラムPG
133・・・通信プログラムPG
134・・・データベースアドレステーブル
135・・・データベース管理プログラムPG

Claims (12)

  1. セキュリティ評価装置が、1以上の機器で構成されるシステムに施されたセキュリティを評価するセキュリティ評価方法であって、
    前記セキュリティ評価装置は、
    システムタイプ毎に、構成機器と当該構成機器に施すべきセキュリティ施策とが記述されたデータベースと、入力装置と、表示装置と、演算装置と、を有し、
    前記演算装置は、
    前記データベースに記述されているシステムタイプをすべて読み出して前記表示装置に表示し、前記入力装置を介して、操作者より、表示中のシステムタイプのうちのいずれか1つの指定を評価対象システムの指定として受け付けた後、評価対象システムとして指定されたシステムタイプの構成機器すべてを前記データベースから読み出して前記表示装置に表示し、前記入力装置を介して、操作者より、表示中の構成機器各々の評価対象システムでの使用の有無を、評価対象システムを構成する各機器の指定として受け付ける第1のステップと、
    前記データベースを検索し、前記第1のステップで指定された評価対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された評価対象システムを構成する各機器に施すべきセキュリティ施策を読み出す第2のステップと、
    前記第1のステップで指定された評価対象システムを構成する機器毎に、前記第2のステップで読み出したセキュリティ施策を対応付けて、前記表示装置に表示し、前記入力装置を介して、操作者より、当該機器毎に対応付けて表示されたセキュリティ施策の実施の有無を受け付ける第3のステップと、
    前記第3のステップで受け付けた評価対象システムを構成する各機器のセキュリティ施策の実施の有無に基づいて、当該評価対象システムに施されたセキュリティ状態の評価を行ない、その結果を前記表示装置に表示する第4のステップと、を行うこと
    を特徴とするセキュリティ評価方法。
  2. 請求項1記載のセキュリティ評価方法であって、
    前記データベースは、記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティの種類が対応付けられて記述されており、
    前記演算装置は、
    前記第4のステップにおいて、前記第2のステップで読み出した評価対象システムを構成する各機器のセキュリティ施策を、当該セキュリティ施策に対応付けられたセキュリティの種類毎に分類し、セキュリティの種類毎に、当該種類に分類されたセキュリティ施策の数に対する前記第3のステップで実施有りとされたセキュリティ施策の数の割合を求め、これを当該種類に対するセキュリティ施策の達成度として、セキュリティの種類各々の達成度を前記表示装置に表示すること
    を特徴とするセキュリティ評価方法。
  3. 請求項1記載のセキュリティ評価方法であって、
    前記データベースは、記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティの種類とそのセキュリティ施策を施すことにって回避される危険度とが併せて記述されており、
    前記演算装置は、
    前記第4のステップにおいて、前記第2のステップで読み出した評価対象システムを構成する各機器のセキュリティ施策を、当該セキュリティ施策に対応付けられたセキュリティの種類毎に分類し、セキュリティの種類毎に、当該種類に分類されるセキュリティ施策のうち、前記第3のステップで実施無しとされたセキュリティ施策に対応付けられた危険度の総和を求め、これを当該種類に対するセキュリティ施策の残存危険度として、セキュリティの種類各々の残存危険度を前記表示装置に表示すること
    を特徴とするセキュリティ評価方法。
  4. 請求項1記載のセキュリティ評価方法であって、
    前記データベースは、記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティの種類とそのセキュリティ施策を施すのにかかるコストとが併せて記述されており、
    前記演算装置は、
    前記第4のステップにおいて、前記第2のステップで読み出した評価対象システムを構成する各機器のセキュリティ施策を、当該セキュリティ施策に対応付けられたセキュリティの種類毎に分類し、セキュリティの種類毎に、当該種類に分類されるセキュリティ施策のうち、前記第3のステップで実施有りとされたセキュリティ施策に対応付けられたコストの総和を求め、これを当該種類に対するセキュリティ施策の所要コストとして、セキュリティの種類各々の所要コストを前記表示装置に表示すること
    を特徴とするセキュリティ評価方法。
  5. 請求項1記載のセキュリティ評価方法であって、
    前記データベースは、記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティのレベルが併せて記述されており、
    前記演算装置は、
    前記第1のステップにおいて、前記入力装置を介して、操作者より、評価対象システムと当該システムを構成する各機器の指定に加えて、当該システムに施すべきセキュリティ施策のレベルの指定を受け付け、
    前記第2のステップにおいて、前記データベースから、前記第1のステップで指定された評価対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された支援対象システムを構成する各機器に施すべきセキュリティ施策であって、前記第1のステップで指定されたレベル以下のセキュリティ施策を読み出すこと
    を特徴とするセキュリティ評価方法。
  6. 電子計算機に、1以上の機器で構成されるシステムに施されたセキュリティを評価させるためのプログラムが記憶された記憶媒体であって、
    前記プログラムは、前記電子計算機に、
    システムタイプ毎に、構成機器と当該構成機器に施すべきセキュリティ施策とが記述されたデータベースに記述されているシステムタイプをすべて読み出して表示装置に表示し、入力装置を介して、操作者より、表示中のシステムタイプのうちのいずれか1つの指定を評価対象システムの指定として受け付けた後、評価対象システムとして指定されたシステムタイプの構成機器すべてを前記データベースから読み出して前記表示装置に表示し、前記入力装置を介して、操作者より、表示中の構成機器各々の評価対象システムでの使用の有無を、評価対象システムを構成する各機器の指定として受け付ける第1のステップと、
    前記データベースを検索し、前記第1のステップで指定された評価対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された評価対象システムを構成する各機器に施すべきセキュリティ施策を読み出す第2のステップと、
    前記第1のステップで指定された評価対象システムを構成する機器毎に、前記第2のステップで読み出したセキュリティ施策を対応付けて、前記電子計算機に接続された表示装置に表示し、前記入力装置を介して、操作者より、当該機器毎に対応付けて表示されたセキュリティ施策の実施の有無を受け付ける第3のステップと、
    前記第3のステップで受け付けた評価対象システムを構成する各機器のセキュリティ施策の実施の有無に基づいて、当該評価対象システムに施されたセキュリティ状態の評価を行ない、その結果を前記表示装置に表示する第4のステップと、を実行させること
    を特徴とするプログラムが記憶された記憶媒体。
  7. 1以上の機器で構成されるシステムに施されたセキュリティを評価するセキュリティ評価装置であって、
    システムタイプ毎に、構成機器と当該構成機器に施すべきセキュリティ施策とが記述されたデータベースと、前記データベースに記述されているシステムタイプをすべて読み出して表示し、操作者より、表示中のシステムタイプのうちのいずれか1つの指定を評価対象システムの指定として受け付ける第1の指示受付手段と、
    前記第1の指示受付手段にて評価対象システムとして指定されたシステムタイプの構成機器すべてを前記データベースから読み出して表示し、操作者より、表示中の構成機器各々の評価対象システムへの使用の有無を、評価対象システムを構成する各機器の指定として受け付ける第2の指示受付手段と、
    前記第1の指示受付手段にて評価対象システムとして指定されたシステムタイプの構成機器のうち、前記第2の指示受付手段にて評価対象システムを構成する機器として指定された各構成機器に施すべきセキュリティ施策を、前記データベースから読み出して表示し、操作者より、表示中の各構成機器に施すべきセキュリティ施策の実施の有無を受け付ける第3の指示受付け手段と、
    前記第3の指示受付け手段で受け付けた各構成機器のセキュリティ施策の実施の有無に基づいて、前記評価対象システムに施されたセキュリティ状態の評価を行ない、その結果を表示する評価手段と、を有すること
    を特徴とするセキュリティ評価装置。
  8. セキュリティ施策の構築支援装置が、1以上の機器で構成されるシステムに施されたセキュリティ施策の作成を支援するセキュリティ施策の構築支援方法であって、
    前記セキュリティ施策の構築支援装置は、
    システムタイプ毎に、構成機器と当該構成機器に施すべきセキュリティ施策とが記述されたデータベースと、入力装置と、表示装置と、演算装置と、を有し、
    前記演算装置は、
    前記データベースに記述されているシステムタイプをすべて読み出して前記表示装置に表示し、前記入力装置を介して、操作者より、表示中のシステムタイプのうちのいずれか1つの指定を支援対象システムの指定として受け付けた後、支援対象システムとして指定されたシステムタイプの構成機器すべてを前記データベースから読み出して前記表示装置に表示し、前記入力装置を介して、操作者より、表示中の構成機器各々の支援対象システムでの使用の有無を、支援対象システムを構成する各機器の指定として受け付ける第1のステップと、
    前記データベースを検索し、前記第1のステップで指定された支援対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された支援対象システムを構成する各機器に施すべきセキュリティ施策を読み出す第2のステップと、
    前記第1のステップで指定された支援対象システムを構成する機器毎に、前記第2のステップで読み出したセキュリティ施策を対応付けて、前記表示装置に表示する第3のステップと、を有すること
    を特徴とするセキュリティ施策の構築支援方法。
  9. 請求項記載のセキュリティ施策の構築支援方法であって、
    前記データベースは、記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティの種類が対応付けられて記述されており、
    前記演算装置は、
    前記第2のステップにおいて、前記データベースから、前記第1のステップで指定された支援対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された支援対象システムを構成する各機器に施すべきセキュリティ施策とその種類を読み出し、
    前記第3のステップにおいて、前記第1のステップで指定された支援対象システムを構成する機器毎に、前記第2のステップで読み出した支援対象システムを構成する各機器のセキュリティ施策とその種類を対応付けて、前記表示装置に表示すること
    を特徴とするセキュリティ施策の構築支援方法。
  10. 請求項記載のセキュリティ施策の構築支援方法であって、
    前記データベースは、記述されているセキュリティ施策各々に、そのセキュリティ施策を施すことによって確保されるセキュリティのレベルが併せて記述されており、
    前記第1のステップにおいて、前記入力装置を介して、操作者より、支援対象システムと当該システムを構成する各機器の指定に加えて、当該システムに施すべきセキュリティ施策のレベルの指定を受け付け、
    前記第2のステップにおいて、前記データベースから、前記第1のステップで指定された支援対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された支援対象システムを構成する各機器に施すべきセキュリティ施策であって、前記第1のステップで指定されたレベル以下のセキュリティ施策を読み出すことを特徴とするセキュリティの構築支援方法。
  11. 電子計算機に、1以上の機器で構成されるシステムに施すべきセキュリティ施策の作成を支援させるためのプログラムが記憶された記憶媒体であって、
    前記プログラムは、前記電子計算機に、
    システムタイプ毎に、構成機器と当該構成機器に施すべきセキュリティ施策とが記述されたデータベースに記述されているシステムタイプをすべて読み出して表示装置に表示し、入力装置を介して、操作者より、表示中のシステムタイプのうちのいずれか1つの指定を支援対象システムの指定として受け付けた後、支援対象システムとして指定されたシステムタイプの構成機器すべてを前記データベースから読み出して前記表示装置に表示し、前記入力装置を介して、操作者より、表示中の構成機器各々の支援対象システムでの使用の有無を、支援対象システムを構成する各機器の指定として受け付ける第1のステップと、
    前記データベースを検索し、前記第1のステップで指定された支援対象システムに対応するシステムタイプの構成機器のうち、前記第1のステップで指定された支援対象システムを構成する各機器に施すべきセキュリティ施策を読み出す第2のステップと、
    前記第1のステップで指定された支援対象システムを構成する機器毎に、前記第2のステップで読み出したセキュリティ施策を対応付けて、前記電子計算機に接続された表示装置に表示する第3のステップと、を実行させること
    を特徴とするプログラムが記憶された記憶媒体。
  12. 1以上の機器で構成されるシステムに施すべきセキュリティ施策の作成を支援するセキュリティ施策の構築支援装置であって、
    システムタイプ毎に、構成機器と当該構成機器に施すべきセキュリティ施策とが記述されたデータベースと、
    前記データベースに記述されているシステムタイプをすべて読み出して表示し、操作者より、表示中のシステムタイプのうちのいずれか1つの指定を支援対象システムの指定として受け付ける第1の指示受付手段と、
    前記第1の指示受付手段にて支援対象システムとして指定されたシステムタイプの構成機器すべてを前記データベースから読み出して表示し、操作者より、表示中の構成機器各々の支援対象システムでの使用の有無を、支援対象システムを構成する各機器の指定として受け付ける第2の指示受付手段と、
    前記第1の指示受付手段にて支援対象システムとして指定されたシステムタイプの構成機器のうち、前記第2の指示受付手段にて支援対象システムを構成する機器として指定された各構成機器に施すべきセキュリティ施策を、前記データベースから読み出し、機器毎に表示するセキュリティ施策表示手段と、を有すること
    を特徴とするセキュリティ施策の構築支援装置。
JP27726599A 1999-09-29 1999-09-29 セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 Expired - Fee Related JP4084914B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP27726599A JP4084914B2 (ja) 1999-09-29 1999-09-29 セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置
US09/628,108 US6971026B1 (en) 1999-09-29 2000-07-27 Method and apparatus for evaluating security and method and apparatus for supporting the making of security countermeasure

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP27726599A JP4084914B2 (ja) 1999-09-29 1999-09-29 セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置

Publications (2)

Publication Number Publication Date
JP2001101135A JP2001101135A (ja) 2001-04-13
JP4084914B2 true JP4084914B2 (ja) 2008-04-30

Family

ID=17581120

Family Applications (1)

Application Number Title Priority Date Filing Date
JP27726599A Expired - Fee Related JP4084914B2 (ja) 1999-09-29 1999-09-29 セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置

Country Status (2)

Country Link
US (1) US6971026B1 (ja)
JP (1) JP4084914B2 (ja)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2366640B (en) * 2000-03-30 2004-12-29 Ibm Distribution of activation information
US7899722B1 (en) 2001-03-20 2011-03-01 Goldman Sachs & Co. Correspondent bank registry
US7287280B2 (en) * 2002-02-12 2007-10-23 Goldman Sachs & Co. Automated security management
US8121937B2 (en) 2001-03-20 2012-02-21 Goldman Sachs & Co. Gaming industry risk management clearinghouse
US8140415B2 (en) 2001-03-20 2012-03-20 Goldman Sachs & Co. Automated global risk management
US8209246B2 (en) 2001-03-20 2012-06-26 Goldman, Sachs & Co. Proprietary risk management clearinghouse
JP3970079B2 (ja) * 2002-04-12 2007-09-05 キヤノン株式会社 アクセスポイント、無線通信装置及びそれらの制御方法
US7607169B1 (en) * 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
AU2003233574B9 (en) * 2003-05-17 2010-03-25 Microsoft Corporation Mechanism for evaluating security risks
GB2403309B (en) * 2003-06-27 2006-11-22 Hewlett Packard Development Co Apparatus for and method of evaluating security within a data processing or transactional environment
US20070113272A2 (en) * 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
JP2005165561A (ja) * 2003-12-01 2005-06-23 Fujitsu Ltd ネットワーク接続制御プログラム、ネットワーク接続制御方法およびネットワーク接続制御装置
US7503067B2 (en) * 2004-02-02 2009-03-10 Toshiba Corporation Preset security levels
JP4197311B2 (ja) 2004-06-22 2008-12-17 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュリティポリシー生成方法、セキュリティポリシー生成装置、プログラム、及び記録媒体
US8510300B2 (en) 2004-07-02 2013-08-13 Goldman, Sachs & Co. Systems and methods for managing information associated with legal, compliance and regulatory risk
US8996481B2 (en) 2004-07-02 2015-03-31 Goldman, Sach & Co. Method, system, apparatus, program code and means for identifying and extracting information
US8762191B2 (en) 2004-07-02 2014-06-24 Goldman, Sachs & Co. Systems, methods, apparatus, and schema for storing, managing and retrieving information
US8442953B2 (en) 2004-07-02 2013-05-14 Goldman, Sachs & Co. Method, system, apparatus, program code and means for determining a redundancy of information
JP2006172181A (ja) * 2004-12-16 2006-06-29 Asgent Inc セキュリティポリシー運用管理システム及びプログラム
US7657942B2 (en) * 2005-01-11 2010-02-02 International Business Machines Corporation Method of assuring enterprise security standards compliance
US7620974B2 (en) * 2005-01-12 2009-11-17 Symantec Distributed traffic scanning through data stream security tagging
US8266700B2 (en) * 2005-05-16 2012-09-11 Hewlett-Packard Development Company, L. P. Secure web application development environment
US20070156420A1 (en) * 2005-12-29 2007-07-05 Microsoft Corporation Performance modeling and the application life cycle
US20070192344A1 (en) * 2005-12-29 2007-08-16 Microsoft Corporation Threats and countermeasures schema
US20070157311A1 (en) * 2005-12-29 2007-07-05 Microsoft Corporation Security modeling and the application life cycle
US7890315B2 (en) 2005-12-29 2011-02-15 Microsoft Corporation Performance engineering and the application life cycle
US7818788B2 (en) * 2006-02-14 2010-10-19 Microsoft Corporation Web application security frame
US7712137B2 (en) 2006-02-27 2010-05-04 Microsoft Corporation Configuring and organizing server security information
CN100409622C (zh) * 2006-06-13 2008-08-06 南京大学 一种基于依赖关系的信息技术产品安全保证评估流程控制方法
CN100423494C (zh) * 2006-06-13 2008-10-01 南京大学 一种基于依赖关系的信息技术产品安全保证评估流程生成方法
US20080047016A1 (en) * 2006-08-16 2008-02-21 Cybrinth, Llc CCLIF: A quantified methodology system to assess risk of IT architectures and cyber operations
JP2008287435A (ja) * 2007-05-16 2008-11-27 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム
JP4959425B2 (ja) * 2007-06-04 2012-06-20 株式会社リコー 情報処理装置、プログラムおよび情報処理方法
JP4607943B2 (ja) * 2007-12-07 2011-01-05 株式会社東芝 セキュリティレベル評価装置およびセキュリティレベル評価プログラム
US20100146395A1 (en) * 2008-12-08 2010-06-10 Gustavo De Los Reyes Method and System for Exploiting Interactions Via A Virtual Environment
JP4469910B1 (ja) 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム
JP2010198194A (ja) * 2009-02-24 2010-09-09 Nomura Research Institute Ltd セキュリティ管理支援システム
JP4384252B1 (ja) * 2009-03-12 2009-12-16 三菱電機インフォメーションシステムズ株式会社 セキュリティ評価装置及びセキュリティ評価方法及びセキュリティ評価プログラム
JP4970484B2 (ja) * 2009-03-27 2012-07-04 株式会社東芝 事務品質管理装置、事務品質管理処理プログラムおよび事務品質管理処理方法
US8549628B2 (en) * 2009-04-07 2013-10-01 Alcatel Lucent Method and apparatus to measure the security of a system, network, or application
JP5407637B2 (ja) * 2009-07-28 2014-02-05 日本電気株式会社 対策候補生成システム、対策候補生成方法およびプログラム
JP2012093804A (ja) * 2010-10-22 2012-05-17 Hitachi Ltd セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム
US8539546B2 (en) 2010-10-22 2013-09-17 Hitachi, Ltd. Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy
KR20120070771A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 정량적 보안 정책 평가 장치 및 방법
WO2012109633A2 (en) * 2011-02-11 2012-08-16 Achilles Guard, Inc. D/B/A Critical Watch Security countermeasure management platform
JP2012215994A (ja) * 2011-03-31 2012-11-08 Hitachi Ltd セキュリティレベル可視化装置
JP5575066B2 (ja) * 2011-07-19 2014-08-20 三菱電機株式会社 セキュリティ評価装置、セキュリティ評価装置のセキュリティ評価方法、セキュリティ評価プログラム
JP6047463B2 (ja) * 2013-08-21 2016-12-21 日立オートモティブシステムズ株式会社 セキュリティ上の脅威を評価する評価装置及びその方法
WO2015177832A1 (ja) * 2014-05-19 2015-11-26 株式会社 日立製作所 セキュリティ対策決定支援装置およびセキュリティ対策決定支援方法
JP6342748B2 (ja) * 2014-08-22 2018-06-13 株式会社日立製作所 セキュリティ設計支援装置およびセキュリティ設計支援方法
US9489517B2 (en) * 2014-10-21 2016-11-08 Fujitsu Limited Determining an attack surface of software
JP6320965B2 (ja) * 2015-04-10 2018-05-09 日本電信電話株式会社 セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法
JP6536680B2 (ja) * 2015-09-15 2019-07-03 日本電気株式会社 情報処理装置、情報処理方法、およびプログラム
JP6901979B2 (ja) * 2018-02-21 2021-07-14 株式会社日立製作所 セキュリティ評価サーバおよびセキュリティ評価方法
WO2019176021A1 (en) 2018-03-14 2019-09-19 Nec Corporation Security assessment system
JP7543926B2 (ja) 2021-01-19 2024-09-03 富士電機株式会社 支援装置、支援システム、支援方法、及びプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06230957A (ja) 1993-02-04 1994-08-19 Toshiba Corp チェックリストシステム
US6374358B1 (en) * 1998-08-05 2002-04-16 Sun Microsystems, Inc. Adaptive countermeasure selection method and apparatus
US6574737B1 (en) * 1998-12-23 2003-06-03 Symantec Corporation System for penetrating computer or computer network
US20030056116A1 (en) * 2001-05-18 2003-03-20 Bunker Nelson Waldo Reporter
US7290275B2 (en) * 2002-04-29 2007-10-30 Schlumberger Omnes, Inc. Security maturity assessment method

Also Published As

Publication number Publication date
US6971026B1 (en) 2005-11-29
JP2001101135A (ja) 2001-04-13

Similar Documents

Publication Publication Date Title
JP4084914B2 (ja) セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置
JP6621940B2 (ja) ネットワーク化コンピュータシステムアーキテクチャにおけるセキュリティリスクを低減させるための方法および装置
US11069014B2 (en) System for linking financial asset records with networked assets
US10862905B2 (en) Incident response techniques
US6901346B2 (en) System, method and medium for certifying and accrediting requirements compliance
KR100781730B1 (ko) 복합 문서를 전자적으로 관리하는 시스템 및 방법
US20010025346A1 (en) Security management system and security managing method
US20110137702A1 (en) Workflow applications
CN1866260B (zh) 向用户可操作设备提供程序的方法和系统
EP1577753A2 (en) Generic design approach for multi-layer architecture
KR20060030015A (ko) 전자적 준거성을 평가하고 통지하기 위한 방법 및 시스템
US20060161462A1 (en) Method and apparatus for collecting inventory information for insurance purposes
Ingalsbe et al. Threat modeling the cloud computing, mobile device toting, consumerized enterprise–an overview of considerations
AU2016278352B2 (en) A system and method for use in regression testing of electronic document hyperlinks
WO2005057349A2 (en) Method, system, and storage medium for providing deep linking functions with digital rights management
US20110296311A1 (en) Identification System for Network Data Processing Systems
US10706123B2 (en) Dynamic data collection
Espinosa et al. Methodological proposal for privilege escalation in windows systems
Kearney et al. Security patterns for automated continuous auditing
Khelifi et al. Smart Visa System with Improved Security Features
JP6235675B2 (ja) リモート審査システム、情報処理装置、リモート審査方法、及びリモート審査プログラム
WO2022180841A1 (ja) Apiを利用するためのプログラム、装置、及び方法
JP6235676B2 (ja) リモート審査システム、情報処理装置、リモート審査方法、及びリモート審査プログラム
JP3767698B2 (ja) メニュー作成方法及びメニュー表示方法、そのための情報処理システム
KR100508425B1 (ko) 소프트웨어 개발 통합 지원 시스템 및 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060220

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070206

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070409

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080218

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120222

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120222

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130222

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130222

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees