JP4369724B2 - Information security management program, information security management apparatus and management method - Google Patents

Information security management program, information security management apparatus and management method Download PDF

Info

Publication number
JP4369724B2
JP4369724B2 JP2003371989A JP2003371989A JP4369724B2 JP 4369724 B2 JP4369724 B2 JP 4369724B2 JP 2003371989 A JP2003371989 A JP 2003371989A JP 2003371989 A JP2003371989 A JP 2003371989A JP 4369724 B2 JP4369724 B2 JP 4369724B2
Authority
JP
Japan
Prior art keywords
vulnerability
value
threat
asset
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003371989A
Other languages
Japanese (ja)
Other versions
JP2005135239A (en
Inventor
徹 江間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Social Science Labs Ltd
Original Assignee
Fujitsu Social Science Labs Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Social Science Labs Ltd filed Critical Fujitsu Social Science Labs Ltd
Priority to JP2003371989A priority Critical patent/JP4369724B2/en
Publication of JP2005135239A publication Critical patent/JP2005135239A/en
Application granted granted Critical
Publication of JP4369724B2 publication Critical patent/JP4369724B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、情報セキュリティ管理業務を支援するためのデータ処理技術に関する。より詳しくは、本発明は、所定の情報セキュリティの規格にもとづいて企業や団体などの組織における情報を保全するために必要なリスク分析処理または対策立案処理を行う情報セキュリティ管理装置、コンピュータを前記情報セキュリティ管理装置として機能させるためのプログラム、および情報セキュリティ管理方法に関する。   The present invention relates to a data processing technique for supporting information security management work. More specifically, the present invention relates to an information security management apparatus and a computer for performing risk analysis processing or countermeasure planning processing necessary for maintaining information in an organization such as a company or an organization based on a predetermined information security standard. The present invention relates to a program for functioning as a security management device and an information security management method.

情報セキュリティとは、組織において重要であると考えられる情報を一種の資産ととらえてさまざまなリスクから保全すること、すなわち、無権限者への漏洩を防ぎ、誤った使用や改ざんを防ぎ、必要なときに安全かつ確実に利用できるように情報を維持・管理することをいう。近年では組織内のシステム化やネットワーク化の進展に伴い情報の種類および保管形態が多様になっているため、情報セキュリティは、ますます重要視されてきている。   Information security is to protect information considered important in an organization as a kind of asset and protect it from various risks.In other words, it prevents leakage to unauthorized persons, prevents misuse and tampering, and is necessary. Sometimes it means maintaining and managing information so that it can be used safely and reliably. In recent years, with the progress of systemization and networking in organizations, the types and storage forms of information have been diversified, so information security has become increasingly important.

情報セキュリティ管理のための種々の基準や規格として、例えば、英国規格協会(BSI)によるBS7799(Code of Practice for Information Security Management)、ISO/IEC TR13335(GMITS:Guideline for the Management of IT Security)などの規格がある。BS7799は、情報セキュリティ管理に関する普遍的かつ包括的な定義を含む基本的事項を示すガイドラインであり、GMITSは、BS7799と同様の情報セキュリティ管理および計画に関するプロセスの基本的枠組みを示すガイドラインである。   Various standards and standards for information security management include, for example, BS7799 (Code of Practice for Information Management Management) by the British Standards Institute (BSI), ISO / IEC TR13335 (GMITS: Guideline for Management Management, etc.). There is a standard. BS7799 is a guideline showing basic matters including a universal and comprehensive definition concerning information security management, and GMITS is a guideline showing a basic framework of processes related to information security management and planning similar to BS7799.

BS7799において、情報セキュリティとは、資産とみなして保全するべき情報の機密性、完全性および可用性を確保・維持することであると定義される。ここで、機密性はアクセスを認可された者のみが情報にアクセスできることを確実にすること、完全性は情報ならびにその処理方法が正確かつ完全であることを確実にすること、可用性は認可された者が必要なときに情報および関連する資産を利用できることを確実にすることをいうとされる。   In BS7799, information security is defined as ensuring and maintaining the confidentiality, integrity, and availability of information that should be considered as assets and preserved. Here, confidentiality ensures that only authorized persons can access the information, integrity ensures that the information and how it is processed is accurate and complete, and availability is authorized Is meant to ensure that information and related assets are available to the person when needed.

BS7799では、組織の情報セキュリティ管理レベルの判断基準として、組織における情報セキュリティの最適慣行(ベストプラクティス)と現状とのギャップがセキュリティ上の脆弱性であるとして、現状分析により明らかにされる情報の脆弱性および脅威をもとにリスク分析を行い、情報のリスク評価を行うことを示している。さらに、リスク評価が今後の情報セキュリティ確立のための対策指針立案に利用できることを示している。   In BS7799, as a criterion for determining the level of information security management of an organization, information gaps revealed by the current status analysis are based on the fact that the gap between the best practices of information security in the organization and the current status is a security vulnerability. It shows that risk analysis is performed based on the characteristics and threats, and risk assessment of information is performed. It also shows that risk assessment can be used to formulate countermeasure guidelines for future information security establishment.

BS7799の情報セキュリティ管理モデルとして、「セキュリティポリシー決定」→「情報セキュリティ管理の範囲確定」→「リスク分析」→「リスク評価にもとづく対策指針決定と管理」の処理を行うことが望ましいとされている。   As the information security management model of BS7799, it is desirable to perform the processing of “security policy determination” → “information security management scope determination” → “risk analysis” → “measure guideline determination and management based on risk assessment” .

上記のリスク評価をコンピュータを用いて自動的に行う方法は、例えば特許文献1に開示されている。特許文献1のリスク評価方法は、BS7799のガイドラインに則り、セキュリティポリシーや現状の情報システムの構成から情報資産のリスク評価を行うものである。
特開2003−150748号公報 A method of automatically performing the above risk assessment using a computer is disclosed in, for example, Patent Document 1. The risk evaluation method of Patent Document 1 performs risk evaluation of information assets based on the security policy and the configuration of the current information system in accordance with the guidelines of BS7799.
JP 2003-150748 A

例えば、BS7799により規定される情報セキュリティ管理において、情報たる資産(以下、単に資産という)のリスク分析では、「リスク=資産価値×脆弱性×脅威」という計算モデル(計算式)にもとづいてリスクが算出される。   For example, in information security management defined by BS7799, in the risk analysis of information assets (hereinafter simply referred to as assets), the risk is determined based on a calculation model (calculation formula) of “risk = asset value × vulnerability × threat”. Calculated.

上記のように、リスクは、資産価値、脆弱性、脅威という3つの変数で定まる。ここで、「資産価値」は、保全対象の情報が脅威を受けた場合に組織に与える損失の度合いを示す値である。資産価値は、通常、情報の機密性、完全性、可用性の観点から定められる。   As described above, risk is determined by three variables: asset value, vulnerability, and threat. Here, the “asset value” is a value indicating the degree of loss given to the organization when the information to be protected is threatened. Asset values are usually defined in terms of information confidentiality, integrity, and availability.

機密性は、情報の機密性が失われた場合に組織に与える損失の度合いを示し、完全性は、情報およびその処理方法の完全性が失われた場合に組織に与える損失の度合いを示し、可用性は、情報の可用性が失われた場合に組織に与える損失の度合いを示す。   Confidentiality indicates the degree of loss to the organization if the confidentiality of the information is lost, integrity indicates the degree of loss to the organization if the integrity of the information and how it is processed, Availability indicates the degree of loss to an organization if information availability is lost.

「脆弱性」は、運用中のセキュリティ対策が防ぐことができずに被害となる程度を示す値であり、セキュリティポリシーにおけるベストプラクティスと現状とのギャップにもとづいて定められるものである。また、「脅威」は、情報の安全性を脅かす要因(事故、災害、人為的行為など)が発生する可能性の程度を示す値である。   “Vulnerability” is a value indicating the degree of damage that cannot be prevented by security measures in operation, and is determined based on the gap between the best practice in the security policy and the current situation. The “threat” is a value indicating the degree of possibility that a factor (accident, disaster, human action, etc.) threatening the safety of information will occur.

脆弱性および脅威を正確に把握して数値化するためには専門的な知識が必要であり、専門家以外の者には非常に困難な作業となる。さらに、把握すべき脆弱性および脅威が網羅されている必要があるが、脆弱性および脅威を網羅的に把握することは現実的には困難な場合が多い。   Special knowledge is required to accurately grasp and quantify vulnerabilities and threats, and it is very difficult for non-experts. Furthermore, it is necessary to cover the vulnerabilities and threats to be grasped, but it is often difficult in reality to grasp the vulnerabilities and threats comprehensively.

そのため、リスク分析においてリスク算出モデル(算出式)に使用する資産価値は、組織のセキュリティ管理担当者が所定の基準を参照しながら特定することが可能であった。一方で、脆弱性や脅威の特定は、情報セキュリティ管理の専門家が、組織のセキュリティ管理担当者から現状の運用状況などを聞き取り、専門的な知識や経験則にもとづいて運用状況を判断しながら行っていた。そのため、情報セキュリティ管理のためのリスク分析を専門家の手を借りずに行うことは事実上困難であった。   Therefore, the asset value used for the risk calculation model (calculation formula) in the risk analysis can be specified by referring to a predetermined standard by the person in charge of security of the organization. On the other hand, vulnerabilities and threats are identified by information security management specialists who listen to the current operational status from the security management personnel of the organization and judge the operational status based on specialized knowledge and empirical rules. I was going. Therefore, it has been practically difficult to conduct risk analysis for information security management without the assistance of experts.

特許文献1のシステムにおけるリスク評価処理では、現状システムや情報資産に関するデータをリスク評価処理用のデータに変換してリスク分析を行いリスク評価レポートを出力するものである。特許文献1には、脆弱性および脅威に関するデータの入力について言及されていないが、リスク分析のために脆弱性および脅威が特定されている必要があり、その特定には専門家による入力作業を伴うものであるため、脆弱性および脅威の把握の困難性についての問題は解決されていないと考えられる。   In the risk evaluation process in the system of Patent Document 1, data relating to the current system and information assets is converted into data for risk evaluation process, risk analysis is performed, and a risk evaluation report is output. Patent Document 1 does not mention the input of data on vulnerabilities and threats, but it is necessary to identify vulnerabilities and threats for risk analysis, and this involves an input work by an expert. Therefore, it is considered that the problem of vulnerability and the difficulty of grasping the threat has not been solved.

本発明は、かかる問題に鑑みてなされたものであり、情報セキュリティ管理において、リスク分析において特定が困難な脆弱性および脅威に関するデータの入力を行わずにリスク算出を行う情報セキュリティ管理装置、前記情報セキュリティ管理装置としてコンピュータを機能させるためのプログラム、および情報セキュリティ管理方法を提供することを目的とする。   The present invention has been made in view of such problems, and in information security management, an information security management device that performs risk calculation without inputting data related to vulnerabilities and threats that are difficult to identify in risk analysis, the information It is an object of the present invention to provide a program for causing a computer to function as a security management device, and an information security management method.

さらに、本発明は、情報セキュリティ管理において、上記のリスク分析処理により算出されたリスクに対応する対策指針を出力する情報セキュリティ管理装置、前記情報セキュリティ管理装置としてコンピュータを機能させるためのプログラム、および情報セキュリティ管理方法を提供することを目的とする。   Further, the present invention relates to an information security management device that outputs a countermeasure guideline corresponding to a risk calculated by the above risk analysis processing in information security management, a program for causing a computer to function as the information security management device, and information An object is to provide a security management method.

上記の目的を達成するために、本発明は、情報セキュリティ管理として実行されているセキュリティ対策を問う質問と、前記質問のセキュリティ対策に対する現状を示す回答とを入力する現状分析入力処理手段と、前記情報セキュリティ管理の対象となる情報である資産ごとに、前記資産の種類を示す資産カテゴリと、前記資産の情報セキュリティ管理上の価値を示す資産価値とを含む資産リスト情報を入力する資産入力処理手段と、前記回答と前記回答で示されるセキュリティ対策の達成程度を示す回答重み値とを記憶する回答選択肢記憶手段と、前記質問のセキュリティ対策に関連付けられた脆弱性と、前記脆弱性により発生する損害の程度の指標である脆弱性重み値と、前記脆弱性に関連する資産カテゴリとを記憶する脆弱性情報記憶手段と、前記脆弱性に関連付けられた脅威と、前記脅威の大きさの指標である脅威重み値とを記憶する脅威情報記憶手段と、前記回答で示されるセキュリティ対策の達成程度が所定の程度である場合に、前記脆弱性情報記憶手段から前記質問に関連付けられた脆弱性および脆弱性重み値を取得し、前記資産リスト情報から、前記脆弱性に関連付けられた資産カテゴリに分類される資産の資産価値を取得し、前記脆弱性ごとに前記脆弱性重み値と前記回答重み値とを用いて脆弱性の大きさの指標である脆弱性値を算出する脆弱性分析手段と、前記脅威情報記憶手段から前記脆弱性に関連付けられた脅威と脅威重み値とを取得し、前記脅威の発生の可能性の指標である脅威値を算出する脅威分析手段と、前記資産価値と前記脆弱性値と前記脅威値とをもとに、前記脆弱性ごとのリスク値を算出するリスク算出手段とを備える情報セキュリティ管理装置として、コンピュータを機能させるためのプログラムである。   In order to achieve the above object, the present invention provides a current state analysis input processing means for inputting a question asking about a security measure being executed as information security management, and an answer indicating the current state of the security measure against the security measure, Asset input processing means for inputting asset list information including an asset category indicating the asset type and an asset value indicating the information security management value of the asset for each asset which is information subject to information security management Answer option storage means for storing the answer and an answer weight value indicating the degree of achievement of the security measure indicated by the answer, a vulnerability associated with the security measure of the question, and damage caused by the vulnerability Vulnerability information storage for storing a vulnerability weight value that is an index of the degree of vulnerability and an asset category related to the vulnerability And a threat information storage means for storing a threat associated with the vulnerability and a threat weight value that is an index of the threat magnitude, and the achievement degree of the security measure indicated by the answer is a predetermined degree Assets of assets that are classified into the asset category associated with the vulnerability from the asset list information by acquiring the vulnerability and vulnerability weight value associated with the question from the vulnerability information storage means in some cases Vulnerability analysis means for obtaining a value and calculating a vulnerability value that is an index of vulnerability using the vulnerability weight value and the answer weight value for each vulnerability, and the threat information storage means Threat analysis means for acquiring a threat and a threat weight value associated with the vulnerability from the above, and calculating a threat value that is an index of the possibility of occurrence of the threat; the asset value, the vulnerability value, and the threat value Based on, as an information security management system and a risk calculation means for calculating the risk value of each of the vulnerability is a program for causing a computer to function.

また、本発明は、上記と同様の処理を行う情報セキュリティ管理装置および情報セキュリティ管理方法である。   The present invention also provides an information security management apparatus and an information security management method that perform the same processing as described above.

発明の関連発明は、情報セキュリティ管理として実行されているセキュリティ対策の現状に関する情報を入力する現状分析入力処理手段と、前記セキュリティ対策に関連付けられた脆弱性を記憶する脆弱性情報記憶手段と、前記脆弱性情報記憶手段から前記セキュリティ対策に関連付けられた脆弱性を取得する脆弱性分析手段と、前記脆弱性に関連付けられた脅威を記憶する脅威情報記憶手段と、前記脅威情報記憶手段から前記脆弱性に関連付けられた脅威を取得する脅威分析手段とを備える情報セキュリティ管理装置として、コンピュータを機能させるためのプログラムである。 The related invention of the present invention is a status analysis input processing means for inputting information relating to the current status of security measures being executed as information security management, a vulnerability information storage means for storing vulnerabilities associated with the security measures, Vulnerability analysis means for acquiring a vulnerability associated with the security measure from the vulnerability information storage means, threat information storage means for storing a threat associated with the vulnerability, and vulnerability from the threat information storage means This is a program for causing a computer to function as an information security management device including threat analysis means for acquiring a threat associated with sex.

さらに、本発明の関連発明は、情報セキュリティ管理として実行されているセキュリティ対策の現状に関する情報を入力する現状分析入力処理手段と、前記情報セキュリティ管理の対象となる情報である資産に関する情報を入力する資産入力処理手段と、前記セキュリティ対策に関連付けられた脆弱性と前記脆弱性に関連する資産とを記憶する脆弱性情報記憶手段と、前記脆弱性情報記憶手段を照合して前記現状分析入力処理手段で入力されたセキュリティ対策に関連付けられた脆弱性と前記脆弱性に関連付けられた資産とを取得し、前記取得された脆弱性と、前記入力された資産のうち前記脆弱性に関連付けられた資産を抽出して出力する脆弱性分析手段とを備える情報セキュリティ管理装置として、コンピュータを機能させるためのプログラムである。
Further, the related invention of the present invention inputs the status analysis input processing means for inputting information on the current status of security measures being executed as information security management, and information on the asset that is the information subject to the information security management. Asset input processing means, vulnerability information storage means for storing vulnerabilities associated with the security measures and assets related to the vulnerabilities, and the present state analysis input processing means by collating the vulnerability information storage means The vulnerability associated with the security measure input in step 1 and the asset associated with the vulnerability are acquired, and the acquired vulnerability and the asset associated with the vulnerability among the input asset are acquired. As an information security management device equipped with vulnerability analysis means for extracting and outputting, a program for causing a computer to function It is a lamb.

本発明の情報セキュリティ管理プログラムは、所定のコンピュータに読み込まれインストールされ起動されることにより、以下の処理を行う。   The information security management program of the present invention performs the following processing by being read into a predetermined computer, installed and started.

本発明は、例えば使用者によって入力された、情報セキュリティ管理として実行されているセキュリティ対策を問う質問(現状質問)と、前記質問のセキュリティ対策に対する現状を示す回答とを入力する。また、前記情報セキュリティ管理の対象となる情報である資産ごとに、前記資産の種類を示す資産カテゴリと、前記資産の情報セキュリティ管理上の価値を示す資産価値とを含む資産リスト情報を入力する。   The present invention inputs, for example, a question (current question) entered by a user asking about security measures being executed as information security management, and an answer indicating the current status of the question with respect to the security measures. Further, asset list information including an asset category indicating the type of the asset and an asset value indicating the value of the asset in information security management is input for each asset which is information to be information security managed.

また、前記回答と前記回答で示されるセキュリティ対策の達成程度を示す回答重み値とを記憶する回答選択肢記憶手段(回答選択肢テーブル)と、前記質問のセキュリティ対策に関連付けられた脆弱性と、前記脆弱性により発生する損害の程度の指標である脆弱性重み値と、前記脆弱性に関連する資産カテゴリとを記憶する脆弱性情報記憶手段(脆弱性データベース)と、前記脆弱性に関連付けられた脅威と、前記脅威の大きさの指標である脅威重み値とを記憶する脅威情報記憶手段(脅威データベース)とを備えておく。   Also, an answer option storage means (answer option table) for storing the answer and an answer weight value indicating the degree of achievement of the security measure indicated by the answer, a vulnerability associated with the security measure of the question, and the vulnerability Vulnerability information storage means (vulnerability database) for storing a vulnerability weight value that is an index of the degree of damage caused by the property, and an asset category related to the vulnerability, and a threat associated with the vulnerability And threat information storage means (threat database) for storing a threat weight value that is an index of the threat size.

そして、入力した前記回答で示されるセキュリティ対策の達成程度が所定の程度である場合に、前記脆弱性データベースから前記質問に関連付けられた脆弱性および脆弱性重み値を取得し、前記資産リスト情報から、前記脆弱性に関連付けられた資産カテゴリに分類される資産の資産価値を取得し、前記脆弱性ごとに前記脆弱性重み値と前記回答重み値とを用いて脆弱性の大きさの指標である脆弱性値を算出する。さらに、前記脅威データベースから前記脆弱性に関連付けられた脅威と脅威重み値とを取得し、前記脅威の発生の可能性の指標である脅威値を算出する。そして、前記資産価値と前記脆弱性値と前記脅威値とをもとに、前記脆弱性ごとのリスク値を算出する。   Then, when the degree of achievement of the security measures indicated by the input answer is a predetermined level, the vulnerability and the vulnerability weight value associated with the question are obtained from the vulnerability database, and the asset list information is obtained. The asset value of an asset classified into the asset category associated with the vulnerability is obtained, and the vulnerability weight value and the response weight value are used for each vulnerability, which is an index of vulnerability magnitude Vulnerability value is calculated. Further, a threat associated with the vulnerability and a threat weight value are acquired from the threat database, and a threat value that is an index of the possibility of occurrence of the threat is calculated. Then, a risk value for each vulnerability is calculated based on the asset value, the vulnerability value, and the threat value.

これにより、リスク分析において特定が困難な脆弱性および脅威を入力することなくリスク値を算出することが可能となり、情報セキュリティ管理者は、容易に情報セキュリティ管理業務においてリスク値を取得することができる。   This makes it possible to calculate risk values without entering vulnerabilities and threats that are difficult to identify in risk analysis, and information security managers can easily obtain risk values in information security management operations. .

また、本発明は、上記の構成をとる情報セキュリティ管理装置に、さらに、前記脆弱性について、前記脆弱性値と前記脅威値と前記リスク値とを含むリスクアセスメントを出力するリスクアセスメント出力手段を備えるものとしてコンピュータを機能させるためのプログラムである。   The information security management apparatus having the above-described configuration further includes risk assessment output means for outputting a risk assessment including the vulnerability value, the threat value, and the risk value for the vulnerability. It is a program for making a computer function as a thing.

これにより、上記のリスク分析による処理結果(分析結果)にもとづいたリスクアセスメントを自動的に出力することが可能となり、情報セキュリティ管理者は、リスクアセスメントを容易に取得することができる。   Thereby, it becomes possible to automatically output a risk assessment based on the processing result (analysis result) by the above risk analysis, and the information security manager can easily obtain the risk assessment.

または、前記脆弱性値または前記脅威値を使用者の指示にもとづいて変更する値変更手段を備える情報セキュリティ管理装置として、コンピュータを機能させるためのプログラムである。   Alternatively, the program is a program for causing a computer to function as an information security management device including value changing means for changing the vulnerability value or the threat value based on a user instruction.

これにより、組織の情報セキュリティ管理の個別の状況に応じて、脆弱性値または脅威値を変更することが可能となり、情報セキュリティ管理者は、組織の運用状況に応じたリスク値およびリスクアセスメントを取得することができる。   This makes it possible to change the vulnerability value or threat value according to the individual status of the organization's information security management, and the information security administrator obtains risk values and risk assessments according to the operational status of the organization. can do.

または、情報セキュリティ管理上の脆弱性に関するセキュリティ対策である対策内容を記憶する対策指針情報記憶手段と、前記対策指針情報記憶手段から、前記脆弱性分析手段により抽出された前記脆弱性に対応する対策内容を抽出し、前記回答にもとづく対策指針を作成して出力する対策指針作成手段とを備える情報セキュリティ管理装置として、コンピュータを機能させるためのプログラムである。   Alternatively, countermeasure guideline information storage means for storing countermeasure contents that are security countermeasures related to information security management vulnerabilities, and countermeasures corresponding to the vulnerabilities extracted from the countermeasure guideline information storage means by the vulnerability analysis means This is a program for causing a computer to function as an information security management device including countermeasure guideline creation means for extracting contents and creating and outputting a countermeasure guideline based on the answer.

これにより、上記のリスクアセスメントにもとづく対策指針を自動的に出力することができ、情報セキュリティ管理者は、対策指針を容易に取得することができる。   Thereby, the countermeasure guideline based on said risk assessment can be output automatically, and the information security manager can easily acquire the countermeasure guideline.

本発明によれば、情報セキュリティ管理におけるリスク分析処理において、例えばBS7799で採用されているリスク算出モデルのように情報価値、脆弱性および脅威にもとづいてリスク算出を行う場合に、現状のセキュリティ対策に関するデータおよび資産価値に関するデータを入力するだけでリスク算出を行うことができる。   According to the present invention, in risk analysis processing in information security management, when risk calculation is performed based on information value, vulnerability, and threat as in the risk calculation model adopted in BS7799, for example, the present security measure is provided. Risk calculation can be performed simply by inputting data and data on asset values.

これにより、情報セキュリティ管理業務において脆弱性および脅威を特定する作業を省略することができるため、脆弱性や脅威の特定について専門的な用語を使用することなく、標準的なリスク分析結果を得ることができる。   This eliminates the task of identifying vulnerabilities and threats in information security management operations, so that standard risk analysis results can be obtained without using technical terms for vulnerability and threat identification. Can do.

また、本発明によれば、上記のリスク分析処理の処理結果にもとづいた対策指針を出力することが可能となる。これにより、組織のリスク分析結果に応じた対策指針が自動的に出力されるため、対策立案作業の容易化および有用化を図ることができる。   Further, according to the present invention, it is possible to output a countermeasure guideline based on the result of the risk analysis process. Thereby, since the countermeasure guideline according to the risk analysis result of the organization is automatically output, the countermeasure planning work can be facilitated and made useful.

また、本発明によれば、BS7799に準拠したリスク分析処理および対策指針出力処理を行う情報セキュリティ管理システムを容易に実現することができるため、企業や団体のBS7799認証取得が容易になるという効果を奏する。   In addition, according to the present invention, an information security management system that performs risk analysis processing and countermeasure guideline output processing compliant with BS7799 can be easily realized, so that it is easy to obtain BS7799 certification for companies and organizations. Play.

図1に、本発明の実施の形態における構成例を示す。本発明にかかる情報セキュリティ管理装置1は、BS7799の規格にもとづくリスク分析と対策立案用の対策指針を出力するシステムである。   FIG. 1 shows a configuration example in the embodiment of the present invention. The information security management device 1 according to the present invention is a system that outputs countermeasure guidelines for risk analysis and countermeasure planning based on the BS7799 standard.

情報セキュリティ管理装置1は、現状分析入力処理部11、資産入力処理部12、脆弱性分析部13、脅威分析部14、リスク算出部15、リスクアセスメント出力処理部16、値変更部17、対策指針作成部18、現状質問データベース21、回答選択肢テーブル22、脆弱性データベース23、脅威データベース24、および対策指針データベース25から構成される。また、情報セキュリティ管理装置1は、所定の入出力処理部(図示しない)を介して入力装置31および表示装置32との間で情報の入出力処理を行う。   The information security management device 1 includes a current state analysis input processing unit 11, an asset input processing unit 12, a vulnerability analysis unit 13, a threat analysis unit 14, a risk calculation unit 15, a risk assessment output processing unit 16, a value change unit 17, a countermeasure guideline. The creation unit 18, a current question database 21, an answer option table 22, a vulnerability database 23, a threat database 24, and a countermeasure guideline database 25 are configured. In addition, the information security management device 1 performs input / output processing of information between the input device 31 and the display device 32 via a predetermined input / output processing unit (not shown).

現状分析入力処理部11は、現状質問データベース21および回答選択肢テーブル22を用いて、組織が運用するセキュリティ対策の現在状況を取得するための現状質問を作成し、運用中のセキュリティ対策およびその達成状況を取得する手段である。   The current status analysis input processing unit 11 uses the current status question database 21 and the answer option table 22 to create a current status question for acquiring the current status of the security measures operated by the organization, and the security measures in operation and the achievement status thereof It is a means to acquire.

図2に、現状質問データベース21の構成例を示す。現状質問データベース21は、現状質問画面に表示される質問内容を記憶するデータベースである。現状質問データベース21は、質問ID、番号、質問内容などの項目で構成されている。質問IDは質問内容を識別する情報が記述される項目、質問内容は情報セキュリティ管理において実行されるセキュリティ対策の具体的内容が記述される項目である。番号および質問内容は、現状質問画面の構成要素として表示される。   In FIG. 2, the structural example of the present condition question database 21 is shown. The current question database 21 is a database that stores the question contents displayed on the current question screen. The current question database 21 includes items such as a question ID, a number, and a question content. The question ID is an item in which information for identifying the question content is described, and the question content is an item in which specific content of security measures executed in information security management is described. The number and the question content are displayed as components of the current question screen.

図3に、回答選択肢テーブル22の構成例を示す。回答選択肢テーブル22は、現状質問画面に表示された質問に対して使用者が選択可能な回答を記憶するデータテーブルである。回答選択肢テーブル22は、選択肢、値、重みなどの項目で構成されている。選択肢は、現状質問画面に表示される質問(セキュリティ対策の達成状況)に対する回答が記述される項目であり、値は選択肢として用意される回答を区別する所定の値を示す項目、重みは、セキュリティ対策の達成状況を示す値が記述される項目である。   FIG. 3 shows a configuration example of the answer option table 22. The answer option table 22 is a data table for storing answers that can be selected by the user with respect to the questions displayed on the current question screen. The answer option table 22 includes items such as options, values, and weights. The choice is an item that describes an answer to the question (status of achievement of security measures) displayed on the current question screen, the value is an item indicating a predetermined value that distinguishes the answer prepared as an option, and the weight is security It is an item in which a value indicating the achievement status of the countermeasure is described.

現状分析入力処理部11は、現状質問データベース21に記憶されている質問内容および番号を参照して現状質問画面を作成して表示装置32へ表示させる。情報セキュリティ管理担当者などの使用者が入力装置31を介して現状質問画面上の各質問内容に所定の回答選択肢から回答を選択すると、現状分析入力処理部11は、現状質問画面の質問項目の質問IDおよび回答を取得する。   The current state analysis input processing unit 11 creates a current state question screen by referring to the question content and number stored in the current state question database 21 and displays the current state question screen on the display device 32. When a user such as a person in charge of information security management selects an answer from predetermined answer options for each question content on the current question screen via the input device 31, the current state analysis input processing unit 11 displays the question item on the current question screen. Get the question ID and answer.

資産入力処理部12は、保全対象となる資産の資産名、資産カテゴリ、資産価値などの情報を格納する資産リストを入力する処理手段である。   The asset input processing unit 12 is a processing unit that inputs an asset list that stores information such as the asset name, asset category, and asset value of the asset to be maintained.

資産カテゴリは、資産の種類を特定する所定の類型であって例えば、予め定義された情報、文書、データ記録媒体、装置機器、ソフトウェア、サービス、組織構成員などの類型とする。資産価値は、情報の機密性、完全性、可用性の観点から、それぞれについて3段階程度に分類される。例えば、機密性=3は、情報の機密性が失われた場合に組織に相当大きな損失が発生する情報であることを示し、機密性=1は、情報の機密性が失われた場合に組織に比較的軽微な損失が発生するような情報であることを示す。   The asset category is a predetermined type that identifies the type of asset, and is, for example, a predefined type of information, document, data recording medium, device / equipment, software, service, organization member, or the like. Asset values are classified into about three levels from the viewpoint of confidentiality, integrity, and availability of information. For example, confidentiality = 3 indicates that the information that causes a considerable loss in the organization when the confidentiality of the information is lost, and confidentiality = 1 indicates that the information is lost when the confidentiality of the information is lost. Indicates information that causes a relatively small loss.

脆弱性分析部13は、脆弱性データベース23を参照して、現状分析入力処理部11により入力された現状質問に対する回答をもとに現状のセキュリティ対策において潜在する脆弱性を抽出し、脆弱性の程度を示す脆弱性値を算出し、さらに抽出した脆弱性を資産入力処理部12により入力された資産と対応づける処理手段である。   The vulnerability analysis unit 13 refers to the vulnerability database 23, extracts potential vulnerabilities in the current security measures based on the answers to the current state questions input by the current state analysis input processing unit 11, and This is a processing means for calculating a vulnerability value indicating a degree and associating the extracted vulnerability with the asset input by the asset input processing unit 12.

図4に、脆弱性データベース23の構成例を示す。脆弱性データベース23は、情報セキュリティ管理における脆弱性を記憶するデータベースである。脆弱性データベース23は、脆弱性ID、脆弱性、質問ID、重み、資産のカテゴリ関連フラグなどの項目で構成されている。脆弱性IDは脆弱性を識別する情報が記述される項目、脆弱性は情報セキュリティ管理の脆弱性の具体的内容が記述される項目、質問IDは脆弱性に対応付けられた質問内容の質問IDが記述される項目である。重みは、脆弱性の指標値が記述される項目である。資産カテゴリ関連フラグは、その脆弱性に関連付けられる資産カテゴリを特定するフラグ情報が記述される項目である。資産カテゴリの情報(情)、文書(文)、データ記録媒体(媒)、装置機器(機)、ソフトウェア(ソ)、サービス(サ)、組織構成員(員)などの類型ごとに、関連する=1、関連しない=0の値が設定される。   FIG. 4 shows a configuration example of the vulnerability database 23. The vulnerability database 23 is a database that stores vulnerabilities in information security management. The vulnerability database 23 includes items such as a vulnerability ID, a vulnerability, a question ID, a weight, and an asset category related flag. Vulnerability ID is an item describing information for identifying the vulnerability, vulnerability is an item describing the specific content of the vulnerability of information security management, and question ID is the question ID of the question content associated with the vulnerability Is an item to be described. The weight is an item in which a vulnerability index value is described. The asset category related flag is an item in which flag information for specifying an asset category associated with the vulnerability is described. Asset category information (information), documents (sentences), data recording media (media), equipment (machines), software (So), services (services), organizational members (members), etc. A value of = 1, irrelevant = 0 is set.

脅威分析部14は、脅威データベース24を参照して、脆弱性分析部13により抽出された脆弱性に関連付けられた脅威を抽出し、抽出した脅威の程度を示す脅威値を算出する処理手段である。   The threat analysis unit 14 is a processing unit that refers to the threat database 24 to extract a threat associated with the vulnerability extracted by the vulnerability analysis unit 13 and calculates a threat value indicating the degree of the extracted threat. .

図5に、脅威データベース24の構成例を示す。脅威データベース24は、情報セキュリティ管理に対する脅威を記憶するデータベースである。脅威データベース24は、脅威ID、脅威、脆弱性ID、重みなどの項目で構成されている。脅威IDは脅威を識別する情報が記述される項目、脅威は、脅威の具体的要因が記述される項目である。脆弱性IDは脅威に対応付けられた脆弱性IDが記述される項目、重みは脅威の指標値が記述される項目である。   FIG. 5 shows a configuration example of the threat database 24. The threat database 24 is a database that stores threats to information security management. The threat database 24 includes items such as a threat ID, a threat, a vulnerability ID, and a weight. The threat ID is an item describing information for identifying a threat, and the threat is an item describing a specific factor of the threat. The vulnerability ID is an item in which the vulnerability ID associated with the threat is described, and the weight is an item in which the threat index value is described.

リスク算出部15は、例えばBS7799に準拠するリスク算出モデル(式)を用いて、資産価値、脆弱性値、および脅威値をもとに、脆弱性ごとに各資産価値に対するリスク値を算出する手段である。   The risk calculation unit 15 uses, for example, a risk calculation model (formula) conforming to BS7799, and calculates a risk value for each asset value for each vulnerability based on the asset value, vulnerability value, and threat value. It is.

リスクアセスメント出力処理部16は、リスク算出部15で算出したリスク値、脆弱性値、脅威値など情報セキュリティ管理上必要な情報を示すリスクアセスメントを作成し、表示装置32に表示させる処理手段である。   The risk assessment output processing unit 16 is a processing unit that creates a risk assessment indicating information necessary for information security management such as a risk value, a vulnerability value, and a threat value calculated by the risk calculation unit 15 and displays the risk assessment on the display device 32. .

値変更部17は、脆弱性分析部13および脅威分析部14でそれぞれ算出した脆弱性値および脅威値を変更する処理手段である。使用者が表示装置32に表示された脆弱性値または脅威値を変更した場合に、値変更部17は、変更された脆弱性値/脅威値を脆弱性分析部13または脅威分析部14に渡す。脆弱性分析部13および脅威分析部14では、渡された変更値でそれぞれの脆弱性値/脅威値を書き換え、さらにリスク算出部15へ変更された脆弱性値/脅威値を渡す。リスク算出部15は、変更された脆弱性値/脅威値をもとにリスク値を再計算する。   The value changing unit 17 is a processing unit that changes the vulnerability value and the threat value calculated by the vulnerability analyzing unit 13 and the threat analyzing unit 14, respectively. When the user changes the vulnerability value or threat value displayed on the display device 32, the value change unit 17 passes the changed vulnerability value / threat value to the vulnerability analysis unit 13 or the threat analysis unit 14. . The vulnerability analysis unit 13 and the threat analysis unit 14 rewrite each vulnerability value / threat value with the passed change value, and further pass the changed vulnerability value / threat value to the risk calculation unit 15. The risk calculation unit 15 recalculates the risk value based on the changed vulnerability value / threat value.

対策指針作成部18は、対応指針データベース25を参照して、脆弱性分析部13で抽出された脆弱性についての対策内容を検索・抽出し、対策指針を作成する処理手段である。   The countermeasure guideline creation unit 18 is a processing unit that refers to the countermeasure guideline database 25 to search and extract the countermeasure contents regarding the vulnerability extracted by the vulnerability analysis unit 13 and create a countermeasure guideline.

図6に、対策指針データベース25の構成例を示す。対策指針データベース25は、脆弱性ID、脆弱性、および対策内容などの項目から構成されている。対策内容は、脆弱性IDで関連付けられた脆弱性について実行すべきセキュリティ対策の具体的内容が記述される項目である。   FIG. 6 shows a configuration example of the countermeasure guideline database 25. The countermeasure guideline database 25 includes items such as vulnerability ID, vulnerability, and countermeasure contents. The countermeasure content is an item in which the specific content of the security countermeasure to be executed for the vulnerability associated with the vulnerability ID is described.

以下、本発明の処理の流れを説明する。   The processing flow of the present invention will be described below.

まず、情報セキュリティ管理装置1の現状分析入力処理部11は、現状質問データベース21の内容をもとに現状質問画面を作成して表示装置32に表示する。図7に、現状質問画面の例を示す。現状質問画面には質問内容と所定の回答選択欄が表示される。使用者が、現状質問画面の質問に対する回答を選択すると、現状分析入力処理部11は、現状質問画面の質問項目の質問IDおよび回答を入力する。   First, the current state analysis input processing unit 11 of the information security management device 1 creates a current state question screen based on the content of the current state question database 21 and displays it on the display device 32. FIG. 7 shows an example of the current question screen. The current question screen displays a question content and a predetermined answer selection field. When the user selects an answer to the question on the current question screen, the current state analysis input processing unit 11 inputs the question ID and answer of the question item on the current question screen.

また、資産入力処理部12は、保全の対象となる資産に関する情報(資産リスト)を入力する。資産リストには、資産ごとに、資産カテゴリ、機密性、完全性および可用性の3つの観点から評価した資産価値(機密性値、完全性値、可用性値)が含まれる。   In addition, the asset input processing unit 12 inputs information (asset list) related to assets to be maintained. The asset list includes, for each asset, asset values (confidentiality value, integrity value, availability value) evaluated from the three viewpoints of asset category, confidentiality, integrity, and availability.

脆弱性分析部13は、現状分析入力処理部11が入力した質問ID、回答、および資産入力処理部12が入力した資産リストを取得して脆弱性分析処理を行う。図8および図9に、脆弱性分析処理の処理フローを示す。   The vulnerability analysis unit 13 acquires the question ID and answer input by the current state analysis input processing unit 11 and the asset list input by the asset input processing unit 12 and performs vulnerability analysis processing. 8 and 9 show the processing flow of the vulnerability analysis processing.

脆弱性分析部13は、現状質問画面の質問項目の質問IDおよび回答を入力し(ステップS10)、入力した回答を回答選択肢テーブル22と照合し(ステップS11)、回答の値がYesまたはN/Aであるか否かを判定する(ステップS12)。回答の値がYesまたはN/Aでなければ、回答の重みを取得し(ステップS13)、脆弱性データベース23から、質問IDに対応付けられた脆弱性を抽出し(ステップS14)、抽出した脆弱性のレコードを脆弱性リストに追加する(ステップS15)。脆弱性リストは、脆弱性分析部13が処理に使用するデータリストであって、脆弱性データベース23のレコードおよび後述する脆弱性値を格納するものである。   The vulnerability analysis unit 13 inputs the question ID and answer of the question item on the current question screen (step S10), collates the input answer with the answer option table 22 (step S11), and the answer value is Yes or N / It is determined whether or not A (step S12). If the answer value is not Yes or N / A, the weight of the answer is obtained (step S13), the vulnerability associated with the question ID is extracted from the vulnerability database 23 (step S14), and the extracted vulnerability The sex record is added to the vulnerability list (step S15). The vulnerability list is a data list used by the vulnerability analysis unit 13 for processing, and stores records in the vulnerability database 23 and vulnerability values described later.

さらに、脆弱性リストの各脆弱性について、脆弱性の重みおよび回答の重みをもとに脆弱性値を算出する(ステップS16)。脆弱性分析部13は、以下の計算式により脆弱性値を算出する。
”脆弱性値=((脆弱性の最大値*脆弱性の重み*回答の重み−1)/10000)+1”
例えば、脆弱性が1〜5の5段階で分類され、回答が「一部のみ実施」である質問項目に対応付けられた脆弱性ID=125で識別される脆弱性について脆弱性値を算出する場合に、脆弱性の重み=70、回答の重み=60となり、脆弱性値は以下のように算出される。
”脆弱性値=((5*70*60−1)/10000)+1=3”
続いて、脆弱性分析部13は、脆弱性リストの脆弱性を1つ抽出し(ステップS20)、抽出した脆弱性の資産カテゴリ関連フラグの先頭項目をn=1として(ステップS21)、資産カテゴリ関連フラグのn番目の値が”0”であるか否かを判定する(ステップS22)。n番目の値が”0”でなければ、資産リストからその資産カテゴリに属する資産全てを脆弱性に関連付ける(ステップS23)。全ての資産カテゴリ関連フラグの項目が処理済みであるか否かを判定し(ステップS24)、処理済みでなければ、n=n+1として(ステップS25)、次の項目についてステップS22およびステップS23の処理を繰り返す。 Further, for each vulnerability in the vulnerability list, a vulnerability value is calculated based on the vulnerability weight and the response weight (step S16). The vulnerability analysis unit 13 calculates a vulnerability value using the following calculation formula.
"Vulnerability value = ((Maximum vulnerability value * Vulnerability weight * Response weight -1) / 10000) + 1"
For example, the vulnerability value is calculated for the vulnerability identified by vulnerability ID = 125 associated with the question item whose vulnerability is classified in 5 stages of 1 to 5 and whose answer is “partially implemented”. In this case, vulnerability weight = 70 and answer weight = 60, and the vulnerability value is calculated as follows.
"Vulnerability value = ((5 * 70 * 60-1) / 10000) + 1 = 3"
Subsequently, the vulnerability analysis unit 13 extracts one vulnerability in the vulnerability list (step S20), sets the first item of the extracted asset category related flag of the vulnerability as n = 1 (step S21), and sets the asset category. It is determined whether or not the nth value of the related flag is “0” (step S22). If the n-th value is not “0”, all the assets belonging to the asset category are associated with the vulnerability from the asset list (step S23). It is determined whether or not all the asset category related flag items have been processed (step S24). If not processed, n = n + 1 is set (step S25), and the processing of steps S22 and S23 is performed for the next item. repeat.

その後、脆弱性リストの全ての脆弱性が処理済みであるか否かを判定し(ステップS26)、処理済みでなければ、次の脆弱性を抽出し(ステップS27)、ステップS21の処理以降の処理を繰り返し、処理済みであれば処理を終了する。   Thereafter, it is determined whether or not all the vulnerabilities in the vulnerability list have been processed (step S26). If the vulnerabilities have not been processed, the next vulnerability is extracted (step S27). The process is repeated, and if the process has been completed, the process ends.

続いて、脅威分析部14は、脅威分析処理を行う。図10に、脅威分析処理の処理フローを示す。   Subsequently, the threat analysis unit 14 performs a threat analysis process. FIG. 10 shows a process flow of the threat analysis process.

脅威分析部14は、脆弱性分析部13から脆弱性リストの脆弱性の脆弱性IDを取得し、脅威データベース24から、脆弱性IDに対応する脅威を抽出し(ステップS30)、抽出した脅威のレコードを脅威リストに追加する(ステップS31)。脅威リストは、脅威分析部14が処理に使用するデータリストであって、脅威データベース24のレコードおよび後述する脅威値を格納するものである。   The threat analysis unit 14 acquires the vulnerability ID of the vulnerability in the vulnerability list from the vulnerability analysis unit 13, extracts the threat corresponding to the vulnerability ID from the threat database 24 (step S30), and extracts the extracted threat. A record is added to the threat list (step S31). The threat list is a data list used by the threat analysis unit 14 for processing, and stores records in the threat database 24 and threat values described later.

図11に、脆弱性および脅威の対応関係を示す。脆弱性データベース23の脆弱性と脅威データベース24の脅威は、1対1または1対複数の関連付けがなされる関係となる。脅威データベース24では、脅威ごとに関連付けられた全ての脆弱性IDが設定される。   FIG. 11 shows the correspondence between vulnerabilities and threats. The vulnerability in the vulnerability database 23 and the threat in the threat database 24 are in a relationship in which one-to-one or one-to-multiple association is made. In the threat database 24, all vulnerability IDs associated with each threat are set.

さらに、脅威分析部14は、脅威の重みをもとに脅威値を算出する(ステップS32)。脅威分析部14は、以下の計算式により脅威値を算出する。
”脅威値=((最大の脅威値*脅威の重み−1)/100)+1”
例えば、脅威が7段階に分類され、脆弱性ID=124により識別される脆弱性に関連付けられた脅威ID=678の脅威値を算出する場合に、脅威の重み=80となり、脅威値は以下のように算出される。
”脅威値=((7*80−1)/100)+1=6”
続いて、リスク算出部15は、リスク算出処理を行う。図12に、リスク算出処理の処理フローを示す。 Further, the threat analysis unit 14 calculates a threat value based on the threat weight (step S32). The threat analysis unit 14 calculates a threat value by the following calculation formula.
“Threat value = ((maximum threat value * threat weight−1) / 100) +1”
For example, when the threat value of threat ID = 678 associated with the vulnerability identified by vulnerability ID = 124 is classified into 7 stages and threat ID = 124, threat weight = 80, and the threat value is as follows: Is calculated as follows.
“Threat value = ((7 * 80−1) / 100) + 1 = 6”
Subsequently, the risk calculation unit 15 performs a risk calculation process. FIG. 12 shows a process flow of the risk calculation process.

リスク算出部15は、脆弱性リストの脆弱性に関連付けられた資産を取得する(ステップS40)。そして、各資産の機密性、完全性、可用性について、脆弱性値および脅威値をもとにリスク値を算出する(ステップS41)。リスク算出部15は、いわゆるGMITSで規定される以下の算出式を用いてリスク値を算出する。
”リスク値=資産価値+脆弱性値+脅威値−k (k=2)”
例えば、ある資産の資産価値のうちの機密性に対するリスク値は、機密性値=1、脆弱性値=1、脅威値=3である場合に、”1+1+3−2=3”となる。上記のように、リスク算出部15は、脆弱性リストの全ての脆弱性に関連付けされた資産ごとに、機密性値、完全性値および可用性値にもとづくリスク値をそれぞれ算出する。 The risk calculation unit 15 acquires assets associated with the vulnerabilities in the vulnerability list (step S40). Then, a risk value is calculated based on the vulnerability value and the threat value for the confidentiality, integrity, and availability of each asset (step S41). The risk calculation unit 15 calculates a risk value using the following calculation formula defined by so-called GMITS.
"Risk value = Asset value + Vulnerability value + Threat value -k (k = 2)"
For example, the risk value for confidentiality among the asset values of a certain asset is “1 + 1 + 3−2 = 3” when the confidentiality value = 1, the vulnerability value = 1, and the threat value = 3. As described above, the risk calculation unit 15 calculates a risk value based on the confidentiality value, the integrity value, and the availability value for each asset associated with all the vulnerabilities in the vulnerability list.

また、リスク算出部15は、脆弱性ごとに算出したリスク値から、最大のリスク値を取得する(ステップS42)。   Moreover, the risk calculation part 15 acquires the largest risk value from the risk value calculated for every vulnerability (step S42).

リスク算出処理の終了後、リスクアセスメント出力処理部16は、脆弱性リスト、脅威リスト、および算出されたリスク値をもとにリスクアセスメントを作成し、表示装置32に表示する。   After the risk calculation process is completed, the risk assessment output processing unit 16 creates a risk assessment based on the vulnerability list, the threat list, and the calculated risk value, and displays the risk assessment on the display device 32.

図13に、リスクアセスメント表示画面の例を示す。リスクアセスメント表示画面には、脆弱性、脆弱性値、資産、脅威、脅威値、および脆弱性ごとの最大リスク値などが表示される。   FIG. 13 shows an example of the risk assessment display screen. The risk assessment display screen displays vulnerabilities, vulnerability values, assets, threats, threat values, and maximum risk values for each vulnerability.

使用者によってリスクアセスメント表示画面上のボタン「OK」が選択されると、対策指針作成部18は、リスクアセスメントの内容にもとづいて対策指針作成処理を行う。また、ボタン「キャンセル」が選択されると、現状分析入力処理部11に処理が移る。現状分析入力処理部11は、現状質問画面を表示して使用者の回答選択を促す。   When the user selects the button “OK” on the risk assessment display screen, the countermeasure guideline creation unit 18 performs countermeasure guideline creation processing based on the contents of the risk assessment. When the button “Cancel” is selected, the process proceeds to the current state analysis input processing unit 11. The current state analysis input processing unit 11 displays a current state question screen and prompts the user to select an answer.

また、ボタン「脆弱性値/脅威値変更」が選択されると、値変更部17へ処理が移る。値変更部17は、脆弱性値または脅威値を変更するための脆弱性値/脅威値変更画面を表示する。図14に、脆弱性値/脅威値変更画面の例を示す。   When the button “change vulnerability value / threat value” is selected, the process proceeds to the value changing unit 17. The value change unit 17 displays a vulnerability value / threat value change screen for changing the vulnerability value or the threat value. FIG. 14 shows an example of the vulnerability value / threat value change screen.

脆弱性値/脅威値変更画面には、脆弱性に関連付けられた全ての資産について、その資産価値(機密性値、完全性値、可用性値)、および各資産価値に対するリスク値が表示される。さらに、脆弱性値および脅威値の各値が選択可能に構成された項目があり、脆弱性分析部13および脅威分析部14が算出した脆弱性値および脅威値が初期値として表示され、さらにその値に対応する理由が表示される。   On the vulnerability value / threat value change screen, the asset value (confidentiality value, integrity value, availability value) and the risk value for each asset value are displayed for all assets associated with the vulnerability. Furthermore, there is an item configured to allow selection of each value of the vulnerability value and the threat value, and the vulnerability value and the threat value calculated by the vulnerability analysis unit 13 and the threat analysis unit 14 are displayed as initial values. The reason corresponding to the value is displayed.

使用者は、各資産の資産価値ごとのリスク値が表示され、また選択項目で指定した値に対応する理由が画面上に表示されるので、これらの情報を参照しながら脆弱性値または脅威値を変更することができる。   The user displays the risk value for each asset value of each asset, and the reason corresponding to the value specified in the selection item is displayed on the screen, so the vulnerability value or threat value while referring to this information Can be changed.

脆弱性値/脅威値変更画面上のボタン「OK」が選択されると、値変更部17は、変更された脆弱性値または脅威値を入力し、入力した脆弱性値を脆弱性分析部13へ、脅威値を脅威分析部14へ渡す。脆弱性分析部13および脅威分析部14は、それぞれ渡された変更値で脆弱性値/脅威値を書き換え、変更した脆弱性値/脅威値をリスク算出部15へ渡す。リスク算出部15は、変更された脆弱性値/脅威値をもとにリスク値を算出する。   When the button “OK” on the vulnerability value / threat value change screen is selected, the value change unit 17 inputs the changed vulnerability value or threat value, and the vulnerability analysis unit 13 inputs the input vulnerability value. To the threat analysis unit 14. The vulnerability analysis unit 13 and the threat analysis unit 14 rewrite the vulnerability value / threat value with the passed change value, and pass the changed vulnerability value / threat value to the risk calculation unit 15. The risk calculation unit 15 calculates a risk value based on the changed vulnerability value / threat value.

脆弱性値/脅威値変更画面上のボタン「キャンセル」が選択されると、リスクアセスメント出力処理部16に処理が移り、表示装置32にリスクアセスメントが表示される。   When the button “Cancel” on the vulnerability value / threat value change screen is selected, the process moves to the risk assessment output processing unit 16, and the risk assessment is displayed on the display device 32.

その後、対策指針作成部18は、対策指針作成処理を行う。図15に、対策指針作成処理の処理フローを示す。対策指針作成部18は、対策指針データベース25から、脆弱性リストの脆弱性IDに対応付けられた対策内容を抽出し(ステップS50)、脆弱性および抽出した対策内容で構成される対策指針を表示装置32に表示する(ステップS51)。   Thereafter, the countermeasure guideline creation unit 18 performs countermeasure guideline creation processing. FIG. 15 shows a processing flow of countermeasure guideline creation processing. The countermeasure guideline creation unit 18 extracts the countermeasure content associated with the vulnerability ID in the vulnerability list from the countermeasure guideline database 25 (step S50), and displays the countermeasure guideline composed of the vulnerability and the extracted countermeasure content. The information is displayed on the device 32 (step S51).

これにより、使用者は、現状質問画面上で所定の回答を選択することにより、リスクアセスメントを取得でき、さらに対策指針を取得することができる。よって、情報セキュリティ管理装置1のリスク分析処理および対策立案処理が例えばBS7799に準拠するものである場合に、組織においてBS7799に準拠した情報セキュリティ管理の実現が容易になるためBS7799の認証取得が容易になる。   Thereby, the user can acquire a risk assessment and can acquire a countermeasure guideline by selecting a predetermined answer on the current question screen. Therefore, when the risk analysis process and the countermeasure planning process of the information security management apparatus 1 are based on, for example, BS7799, the information security management based on BS7799 can be easily realized in the organization, so that it is easy to obtain the certification of BS7799. Become.

以上、本発明をその実施の形態により説明したが、本発明はその主旨の範囲において種々の変形が可能であることは当然である。   As mentioned above, although this invention was demonstrated by the embodiment, it cannot be overemphasized that a various deformation | transformation is possible for this invention in the range of the main point.

情報セキュリティ管理装置1は、表示装置32の代わりに例えば印刷装置など、他の方法によりデータを出力する装置を備えるようにしてもよい。また、情報セキュリティ管理装置1は、入力装置31および表示装置32に対して情報の入出力処理を行う代わりにデータ送受信処理部を備え、他のシステムまたは端末とデータ送受信処理を行うようにしてもよい。   The information security management device 1 may include a device that outputs data by another method, such as a printing device, instead of the display device 32. In addition, the information security management device 1 includes a data transmission / reception processing unit instead of performing information input / output processing on the input device 31 and the display device 32, and performs data transmission / reception processing with other systems or terminals. Good.

また、本発明は、コンピュータにより読み取られ実行されるプログラムとして実施することが可能である。本発明を実現するプログラムは、コンピュータが読み取り可能な、可搬媒体メモリ、半導体メモリ、ハードディスクなどの適当な記録媒体に格納することができ、これらの記録媒体に記録して提供され、または、通信インタフェースを介して種々の通信網を利用した送受信により提供されるものである。   The present invention can also be implemented as a program that is read and executed by a computer. The program for realizing the present invention can be stored in an appropriate recording medium such as a portable medium memory, a semiconductor memory, or a hard disk, which can be read by a computer, provided by being recorded on these recording media, or communication. It is provided by transmission / reception using various communication networks via an interface.

本発明の実施の形態における構成例を示す図である。It is a figure which shows the structural example in embodiment of this invention. 現状質問データベースの構成例を示す図である。It is a figure which shows the structural example of a present condition question database. 回答選択肢テーブルの構成例を示す図である。It is a figure which shows the structural example of an answer choice table. 脆弱性データベースの構成例を示す図である。It is a figure which shows the structural example of a vulnerability database. 脅威データベースの構成例を示す図である。It is a figure which shows the structural example of a threat database. 対策指針データベースの構成例を示す図である。It is a figure which shows the structural example of a countermeasure guideline database. 現状質問画面の例を示す図である。It is a figure which shows the example of a present condition question screen. 脆弱性分析処理の処理フローを示す図である。It is a figure which shows the processing flow of a vulnerability analysis process. 脆弱性分析処理の処理フローを示す図である。It is a figure which shows the processing flow of a vulnerability analysis process. 脅威分析処理の処理フローを示す図である。It is a figure which shows the processing flow of a threat analysis process. 脆弱性および脅威の対応関係を示す図である。It is a figure which shows the correspondence of a vulnerability and a threat. リスク算出処理の処理フローを示す図である。It is a figure which shows the processing flow of a risk calculation process. リスクアセスメント表示画面の例を示す図である。It is a figure which shows the example of a risk assessment display screen. 脆弱性値/脅威値変更画面の例を示す図である。It is a figure which shows the example of a vulnerability value / threat value change screen. 対策指針作成処理の処理フローを示す図である。It is a figure which shows the processing flow of countermeasure guideline preparation processing.

符号の説明Explanation of symbols

1 情報セキュリティ管理装置
11 現状分析入力処理部
12 資産入力処理部
13 脆弱性分析部
14 脅威分析部
15 リスク算出部
16 リスクアセスメント出力処理部
17 値変更部
18 対策指針作成部
21 現状質問データベース
22 回答選択肢テーブル
23 脆弱性データベース
24 脅威データベース
25 対策指針データベース
31 入力装置
32 表示装置 DESCRIPTION OF SYMBOLS 1 Information security management apparatus 11 Current condition analysis input process part 12 Asset input process part 13 Vulnerability analysis part 14 Threat analysis part 15 Risk calculation part 16 Risk assessment output process part 17 Value change part 18 Countermeasure guideline preparation part 21 Current situation question database 22 Answer Choice table 23 Vulnerability database 24 Threat database 25 Countermeasure guideline database 31 Input device 32 Display device

Claims (7)

コンピュータを情報セキュリティ管理装置として機能させるためのプログラムであって、
情報セキュリティ管理として実行されているセキュリティ対策を問う質問と、前記質問のセキュリティ対策に対する現状を示す回答とを入力する現状分析入力処理手段と、
前記情報セキュリティ管理の対象となる情報である資産ごとに、前記資産の種類を示す資産カテゴリと前記資産の情報セキュリティ管理上の価値を示す資産価値とを含む資産リスト情報を入力する資産入力処理手段と、
前記回答と前記回答で示されるセキュリティ対策の達成程度を示す回答重み値とを記憶する回答選択肢記憶手段と、
前記質問のセキュリティ対策に関連付けられた脆弱性と、前記脆弱性により発生する損害の程度の指標である脆弱性重み値と、前記脆弱性に関連する資産カテゴリとを記憶する脆弱性情報記憶手段と、
前記脆弱性に関連付けられた脅威と、前記脅威の大きさの指標である脅威重み値とを記憶する脅威情報記憶手段と、
前記回答で示されるセキュリティ対策の達成程度が所定の程度である場合に、前記脆弱性情報記憶手段から前記質問に関連付けられた脆弱性および脆弱性重み値を取得し、前記資産リスト情報から、前記脆弱性に関連付けられた資産カテゴリに分類される資産の資産価値を取得し、前記脆弱性ごとに前記脆弱性重み値と前記回答重み値とを用いて脆弱性の大きさの指標である脆弱性値を算出する脆弱性分析手段と、
前記脅威情報記憶手段から前記脆弱性に関連付けられた脅威と脅威重み値とを取得し、前記脅威の発生の可能性の指標である脅威値を算出する脅威分析手段と、
前記資産価値と前記脆弱性値と前記脅威値とをもとに、前記脆弱性ごとのリスク値を算出するリスク算出手段とを備える情報セキュリティ管理装置として、
コンピュータを機能させるための情報セキュリティ管理プログラム。 A program for causing a computer to function as an information security management device,
Current status analysis input processing means for inputting a question asking about security measures being executed as information security management, and an answer indicating the current status of the security measures for the question,
Asset input processing means for inputting asset list information including an asset category indicating the asset type and an asset value indicating the information security management value of the asset for each asset which is information subject to information security management When,
Answer option storage means for storing the answer and an answer weight value indicating a degree of achievement of the security measure indicated by the answer;
Vulnerability information storage means for storing a vulnerability associated with the security measure of the question, a vulnerability weight value that is an index of the degree of damage caused by the vulnerability, and an asset category related to the vulnerability ,
Threat information storage means for storing a threat associated with the vulnerability and a threat weight value which is an index of the threat size;
When the achievement level of the security countermeasure indicated by the answer is a predetermined level, the vulnerability and the vulnerability weight value associated with the question are acquired from the vulnerability information storage unit, and the asset list information Vulnerability that is an index of vulnerability size by acquiring the asset value of an asset classified into the asset category associated with the vulnerability and using the vulnerability weight value and the response weight value for each vulnerability Vulnerability analysis means for calculating the value;
Threat analysis means for acquiring a threat associated with the vulnerability and a threat weight value from the threat information storage means, and calculating a threat value that is an index of the possibility of occurrence of the threat;
Based on the asset value, the vulnerability value, and the threat value, as an information security management device comprising a risk calculation unit that calculates a risk value for each vulnerability,
An information security management program that allows computers to function. さらに、前記脆弱性について、前記脆弱性値と前記脅威値と前記リスク値とを含むリスクアセスメントを出力するリスクアセスメント出力手段を備える情報セキュリティ管理装置として、
コンピュータを機能させるための請求項1記載の情報セキュリティ管理プログラム。 Furthermore, as the information security management device comprising a risk assessment output means for outputting a risk assessment including the vulnerability value, the threat value, and the risk value for the vulnerability,
The information security management program according to claim 1 for causing a computer to function. さらに、前記脆弱性値または前記脅威値を使用者の指示にもとづいて変更する値変更手段を備える情報セキュリティ管理装置として、
コンピュータを機能させるための請求項1記載の情報セキュリティ管理プログラム。 Furthermore, as an information security management device comprising value changing means for changing the vulnerability value or the threat value based on a user instruction,
The information security management program according to claim 1 for causing a computer to function. さらに、情報セキュリティ管理上の脆弱性に関するセキュリティ対策である対策内容を記憶する対策指針情報記憶手段と、
前記対策指針情報記憶手段から、前記脆弱性分析手段により抽出された前記脆弱性に対応する対策内容を抽出し、前記回答にもとづく対策指針を作成して出力する対策指針作成手段とを備える情報セキュリティ管理装置として、
コンピュータを機能させるための請求項1記載の情報セキュリティ管理プログラム。 Furthermore, countermeasure guideline information storage means for storing countermeasure contents that are security countermeasures related to information security management vulnerabilities,
Information security provided with countermeasure guideline creation means for extracting countermeasure contents corresponding to the vulnerability extracted by the vulnerability analysis means from the countermeasure guideline information storage means, and creating and outputting a countermeasure guideline based on the answer As a management device,
The information security management program according to claim 1 for causing a computer to function. 前記資産入力処理手段は、前記資産価値として、情報の機密性に関する指標値、完全性に関する指標値、可用性に関する指標値を含む資産リスト情報を入力する処理を行う情報セキュリティ管理装置として、
コンピュータを機能させるための請求項1記載の情報セキュリティ管理プログラム。 The asset input processing means is an information security management device that performs processing to input asset list information including an index value related to confidentiality of information, an index value related to integrity, and an index value related to availability as the asset value,
The information security management program according to claim 1 for causing a computer to function. 情報セキュリティ管理として実行されているセキュリティ対策を問う質問と、前記質問のセキュリティ対策に対する現状を示す回答とを入力する現状分析入力処理手段と、
前記情報セキュリティ管理の対象となる情報である資産ごとに、前記資産の種類を示す資産カテゴリと、前記資産の情報セキュリティ管理上の価値を示す資産価値とを含む資産リスト情報を入力する資産入力処理手段と、
前記回答と前記回答で示されるセキュリティ対策の達成程度を示す回答重み値とを記憶する回答選択肢記憶手段と、
前記質問のセキュリティ対策に関連付けられた脆弱性と、前記脆弱性により発生する損害の程度の指標である脆弱性重み値と、前記脆弱性に関連する資産カテゴリとを記憶する脆弱性情報記憶手段と、
前記脆弱性に関連付けられた脅威と、前記脅威の大きさの指標である脅威重み値とを記憶する脅威情報記憶手段と、
前記回答で示されるセキュリティ対策の達成程度が所定の程度である場合に、前記脆弱性情報記憶手段から前記質問に関連付けられた脆弱性および脆弱性重み値を取得し、前記資産リスト情報から、前記脆弱性に関連付けられた資産カテゴリに分類される資産の資産価値を取得し、前記脆弱性ごとに前記脆弱性重み値と前記回答重み値とを用いて脆弱性の大きさの指標である脆弱性値を算出する脆弱性分析手段と、
前記脅威情報記憶手段から前記脆弱性に関連付けられた脅威と脅威重み値とを取得し、前記脅威の発生の可能性の指標である脅威値を算出する脅威分析手段と、
前記資産価値と前記脆弱性値と前記脅威値とをもとに、前記脆弱性ごとのリスク値を算出するリスク算出手段とを備える
ことを特徴とする情報セキュリティ管理装置。 Current status analysis input processing means for inputting a question asking about security measures being executed as information security management, and an answer indicating the current status of the security measures for the question,
Asset input processing for inputting asset list information including an asset category indicating the type of the asset and an asset value indicating the information security management value of the asset for each asset which is information subject to information security management Means,
Answer option storage means for storing the answer and an answer weight value indicating a degree of achievement of the security measure indicated by the answer;
Vulnerability information storage means for storing a vulnerability associated with the security measure of the question, a vulnerability weight value that is an index of the degree of damage caused by the vulnerability, and an asset category related to the vulnerability ,
Threat information storage means for storing a threat associated with the vulnerability and a threat weight value which is an index of the threat size;
When the achievement level of the security countermeasure indicated in the answer is a predetermined level, the vulnerability and the vulnerability weight value associated with the question are acquired from the vulnerability information storage unit, and the asset list information Vulnerability that is an index of vulnerability size by acquiring the asset value of an asset classified into the asset category associated with the vulnerability and using the vulnerability weight value and the response weight value for each vulnerability Vulnerability analysis means for calculating the value;
Threat analysis means for acquiring a threat associated with the vulnerability and a threat weight value from the threat information storage means, and calculating a threat value that is an index of the possibility of occurrence of the threat;
An information security management device comprising: a risk calculation unit that calculates a risk value for each vulnerability based on the asset value, the vulnerability value, and the threat value. 情報セキュリティ管理として実行されているセキュリティ対策を問う質問と、前記質問のセキュリティ対策に対する現状を示す回答とを入力する処理過程と
前記情報セキュリティ管理の対象となる情報である資産ごとに、前記資産の種類を示す資産カテゴリと、前記資産の情報セキュリティ管理上の価値を示す資産価値とを含む資産リスト情報を入力する処理過程と
前記回答と前記回答で示されるセキュリティ対策の達成程度を示す回答重み値とを記憶する回答選択肢記憶手段へアクセスする処理過程と
前記質問のセキュリティ対策に関連付けられた脆弱性と、前記脆弱性により発生する損害の程度の指標である脆弱性重み値と、前記脆弱性に関連する資産カテゴリとを記憶する脆弱性情報記憶手段へアクセスする処理過程と
前記脆弱性に関連付けられた脅威と、前記脅威の大きさの指標である脅威重み値とを記憶する脅威情報記憶手段へアクセスする処理過程と
前記回答で示されるセキュリティ対策の達成程度が所定の程度である場合に、前記脆弱性情報記憶手段から前記質問に関連付けられた脆弱性および脆弱性重み値を取得し、前記資産リスト情報から、前記脆弱性に関連付けられた資産カテゴリに分類される資産の資産価値を取得し、前記脆弱性ごとに前記脆弱性重み値と前記回答重み値とを用いて脆弱性の大きさの指標である脆弱性値を算出する処理過程と
前記脅威情報記憶手段から前記脆弱性に関連付けられた脅威と脅威重み値とを取得し、前記脅威の発生の可能性の指標である脅威値を算出する処理過程と
前記資産価値と前記脆弱性値と前記脅威値とをもとに、前記脆弱性ごとのリスク値を算出する処理過程とを備える
ことを特徴とする情報セキュリティ管理方法。 A process of inputting a question asking about security measures executed as information security management, and an answer indicating the current state of the security measures for the question;
A process of inputting asset list information including an asset category indicating the type of the asset and an asset value indicating the value of information security management of the asset for each asset which is information to be managed by the information security management. ,
A process of accessing an answer option storage means for storing the answer and an answer weight value indicating a degree of achievement of the security measure indicated by the answer;
To vulnerability information storage means for storing a vulnerability associated with the security measure of the question, a vulnerability weight value that is an index of the degree of damage caused by the vulnerability, and an asset category related to the vulnerability The access process ,
A process of accessing threat information storage means for storing a threat associated with the vulnerability and a threat weight value which is an index of the threat size;
When the achievement level of the security countermeasure indicated in the answer is a predetermined level, the vulnerability and the vulnerability weight value associated with the question are acquired from the vulnerability information storage unit, and the asset list information Vulnerability that is an index of vulnerability size by acquiring the asset value of an asset classified into the asset category associated with the vulnerability and using the vulnerability weight value and the response weight value for each vulnerability A process of calculating a value;
A process of obtaining a threat and a threat weight value associated with the vulnerability from the threat information storage unit, and calculating a threat value that is an index of the possibility of occurrence of the threat;
An information security management method comprising: a process for calculating a risk value for each vulnerability based on the asset value, the vulnerability value, and the threat value.
JP2003371989A 2003-10-31 2003-10-31 Information security management program, information security management apparatus and management method Expired - Fee Related JP4369724B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003371989A JP4369724B2 (en) 2003-10-31 2003-10-31 Information security management program, information security management apparatus and management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003371989A JP4369724B2 (en) 2003-10-31 2003-10-31 Information security management program, information security management apparatus and management method

Publications (2)

Publication Number Publication Date
JP2005135239A JP2005135239A (en) 2005-05-26
JP4369724B2 true JP4369724B2 (en) 2009-11-25

Family

ID=34648491

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003371989A Expired - Fee Related JP4369724B2 (en) 2003-10-31 2003-10-31 Information security management program, information security management apparatus and management method

Country Status (1)

Country Link
JP (1) JP4369724B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11412386B2 (en) 2020-12-30 2022-08-09 T-Mobile Usa, Inc. Cybersecurity system for inbound roaming in a wireless telecommunications network
US11641585B2 (en) 2020-12-30 2023-05-02 T-Mobile Usa, Inc. Cybersecurity system for outbound roaming in a wireless telecommunications network
US11683334B2 (en) 2020-12-30 2023-06-20 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4663484B2 (en) * 2005-04-25 2011-04-06 株式会社日立製作所 System security design / evaluation support tool, system security design support tool, system security design / evaluation support program, and system security design support program
US20080201780A1 (en) * 2007-02-20 2008-08-21 Microsoft Corporation Risk-Based Vulnerability Assessment, Remediation and Network Access Protection
WO2008139856A1 (en) 2007-05-11 2008-11-20 Nec Corporation Risk model correction system, risk model correction method, and program for risk model correction
JP5163001B2 (en) * 2007-08-03 2013-03-13 オムロン株式会社 Consulting equipment and consulting program
JP4607943B2 (en) * 2007-12-07 2011-01-05 株式会社東芝 Security level evaluation apparatus and security level evaluation program
JP5199722B2 (en) * 2008-04-25 2013-05-15 株式会社東芝 Office quality control device and office quality control processing program
US8220056B2 (en) * 2008-09-23 2012-07-10 Savvis, Inc. Threat management system and method
JP2010198194A (en) * 2009-02-24 2010-09-09 Nomura Research Institute Ltd Security management support system
ITMI20122255A1 (en) * 2012-12-28 2014-06-29 Eni Spa METHOD AND SYSTEM FOR RISK ASSESSMENT FOR THE SAFETY OF AN INDUSTRIAL INSTALLATION
JP6271971B2 (en) * 2013-11-29 2018-01-31 三菱電機株式会社 Risk analysis apparatus and risk analysis program
JP6298680B2 (en) * 2014-03-28 2018-03-20 株式会社日立製作所 Security countermeasure support system
JP6023121B2 (en) * 2014-05-15 2016-11-09 ゲヒルン株式会社 Vulnerability visualization server, vulnerability visualization method, vulnerability visualization server program
KR101623843B1 (en) 2014-07-04 2016-05-24 (주)비트러스트 System and method for evaluating risk of information assets
JP6392170B2 (en) * 2015-05-26 2018-09-19 日本電信電話株式会社 Threat analysis support method, threat analysis support device, and threat analysis support program
KR20180068268A (en) * 2016-12-13 2018-06-21 경희대학교 산학협력단 Method and apparatus for security investment based on evaluating security risks
KR20180069657A (en) * 2016-12-15 2018-06-25 경희대학교 산학협력단 Method, apparatus and computer program for security investment considering characteristics of cloud service
KR101947757B1 (en) 2018-06-26 2019-02-13 김종현 Security management system for performing vulnerability analysis
JP7019533B2 (en) * 2018-08-17 2022-02-15 三菱電機株式会社 Attack detection device, attack detection system, attack detection method and attack detection program
CN109523121A (en) * 2018-10-11 2019-03-26 平安科技(深圳)有限公司 Assets security management method, device and computer equipment based on big data
KR102143510B1 (en) * 2019-01-31 2020-08-11 김종현 Risk management system for information cecurity
JP7149219B2 (en) * 2019-03-29 2022-10-06 株式会社日立製作所 Risk evaluation countermeasure planning system and risk evaluation countermeasure planning method
CN111444514B (en) * 2020-03-19 2023-04-07 腾讯科技(深圳)有限公司 Information security risk assessment method and device, equipment and storage medium
CN111476660B (en) * 2020-04-27 2023-06-20 大汉电子商务有限公司 Intelligent wind control system and method based on data analysis
CN112862236A (en) * 2020-12-28 2021-05-28 中国信息安全测评中心 Security vulnerability processing method and device
CN112801453A (en) * 2020-12-30 2021-05-14 哈尔滨工大天创电子有限公司 Risk assessment method, device, terminal and storage medium
CN113570243A (en) * 2021-07-27 2021-10-29 广东电网有限责任公司 Safety protection method, equipment and storage medium for power monitoring system
WO2023105629A1 (en) * 2021-12-07 2023-06-15 日本電気株式会社 Security countermeasure planning system, security countermeasure planning method, and program
JP7360101B2 (en) * 2022-01-17 2023-10-12 株式会社Ciso security diagnostic system
CN115664744B (en) * 2022-10-17 2024-08-13 国网湖南省电力有限公司 Electric power internet of things network security risk assessment method and assessment system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11412386B2 (en) 2020-12-30 2022-08-09 T-Mobile Usa, Inc. Cybersecurity system for inbound roaming in a wireless telecommunications network
US11641585B2 (en) 2020-12-30 2023-05-02 T-Mobile Usa, Inc. Cybersecurity system for outbound roaming in a wireless telecommunications network
US11683334B2 (en) 2020-12-30 2023-06-20 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks
US12113825B2 (en) 2020-12-30 2024-10-08 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks

Also Published As

Publication number Publication date
JP2005135239A (en) 2005-05-26

Similar Documents

Publication Publication Date Title
JP4369724B2 (en) Information security management program, information security management apparatus and management method
Ab Rahman et al. A survey of information security incident handling in the cloud
CN104040550B (en) Integrated security strategy and incident management
JP2018077597A (en) Security measure planning support system and method
Casey Threat agent library helps identify information security risks
Plėta et al. Cyber effect and security management aspects in critical energy infrastructures
Al Hamed et al. Business continuity management & disaster recovery capabilities in saudi arabia ICT businesses
JP4821977B2 (en) Risk analysis apparatus, risk analysis method, and risk analysis program
UcuNugraha Implementation of ISO 31000 for information technology risk management in the government environment
Candra et al. ISMS planning based on ISO/IEC 27001: 2013 using analytical hierarchy process at gap analysis phase (Case study: XYZ institute)
Ayuningtyas et al. Information Technology Asset Security Risk Management at the Secretariat of the Salatiga City DPRD Using ISO 31000
Fenz et al. FORISK: Formalizing information security risk and compliance management
WO2021059471A1 (en) Security risk analysis assistance device, method, and computer-readable medium
Hintzbergen et al. Foundations of IT Security
Eng Integrated Threat Modelling
Murphy A holistic approach to cybersecurity starts at the top
Paz Cybersecurity standards and frameworks
Albakri et al. Risk assessment of sharing cyber threat intelligence
Liggett The Effects of Information Security on Business Continuity: Case Study
Khan Efficacy of OCTAVE risk assessment methodology in information systems organizations
Romadhona et al. Evaluation of information security management in crisis response using KAMI index: The case of company XYZ
Shirazi et al. A New Model for Information Security Risk Management
Nur Cybersecurity awareness in Somalia
JP2005025523A (en) Information security management supporting system
Kritzinger An information security retrieval and awareness model for industry

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061011

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090825

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090828

R150 Certificate of patent or registration of utility model

Ref document number: 4369724

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120904

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120904

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150904

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees