JP4504706B2 - 統合システムセキュリティ設計方法及びそのプログラム - Google Patents
統合システムセキュリティ設計方法及びそのプログラム Download PDFInfo
- Publication number
- JP4504706B2 JP4504706B2 JP2004065039A JP2004065039A JP4504706B2 JP 4504706 B2 JP4504706 B2 JP 4504706B2 JP 2004065039 A JP2004065039 A JP 2004065039A JP 2004065039 A JP2004065039 A JP 2004065039A JP 4504706 B2 JP4504706 B2 JP 4504706B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- countermeasure
- site
- input
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
Claims (10)
- 情報システムと、前記情報システムを運用するサイトを対象に、前記情報システムに関するセキュリティ設計書をISO15408(CC)に準拠して作成し、前記サイトに関するセキュリティ設計書を、前記CCとは設計対象の範囲、必要となる分析の深さ、及び対策基準に違いを有する国際セキュリティ基準ISO17799(ISMS)に準拠して作成する、記憶装置を有し、表示装置及び入力装置を接続するセキュリティ設計支援装置におけるセキュリティ設計方法であって、前記セキュリティ設計支援装置は、
前記サイトについて対象となる資産グループの情報の入力を前記入力装置から受け付けるステップと、
入力された前記資産グループの情報を前記表示装置に表示し、各資産グループに対応する前記情報システムの資産の情報の入力を前記入力装置から受け付け、前記資産グループの情報と入力された各資産グループに対応する前記情報システムの資産の情報とを対応付けて前記記憶装置に設けられたログに格納するステップと、
入力された前記資産グループの情報を前記表示装置に表示し、各資産グループについてサイトの脅威の情報の入力を前記入力装置から受け付けるステップと、
前記ログに格納されている前記資産グループと前記資産との対応関係に基づいて前記資産グループについて入力された前記サイトの脅威の情報と前記資産の情報を前記表示装置に表示し、前記資産について情報システムの脅威の情報の入力を前記入力装置から受け付け、前記サイトの脅威の情報と入力された前記情報システムの脅威の情報とを対応付けて前記ログに格納するステップと、
入力された前記サイトの脅威の情報を前記表示装置に表示し、各サイトの脅威についてサイトの対策方針の入力を前記入力装置から受け付け、前記サイトの脅威の情報と入力された前記サイトの対策方針とを対応付けて前記ログに格納するステップと、
前記ログに格納されている前記サイトの脅威と前記情報システムの脅威との対応関係に基づいて前記サイトの脅威に対応して入力された前記サイトの対策方針と前記情報システムの脅威を前記表示装置に表示し、各情報システムの脅威について情報システムの対策方針の入力を前記入力装置から受け付け、前記情報システムの脅威と入力された前記情報システムの対策方針とを対応付けて前記ログに格納するステップと、
入力された前記サイトの対策方針を前記表示装置に表示し、ISMSに準拠する上位レベル対策基準とCCに準拠する下位レベル対策基準との対応関係を格納する、前記記憶装置内の対策基準マッピングテーブルを参照して前記上位レベル対策基準を前記表示装置に表示し、選択された前記サイトの対策方針について前記上位レベル対策基準の選択入力を前記入力装置から受け付け、選択された前記サイトの対策方針と選択入力された前記上位レベル対策基準とを対応付けて前記ログに格納するステップと、
前記ログに格納されている前記サイトの対策方針と前記情報システムの対策方針との対応関係に基づいて選択された前記サイトの対策方針に対応する前記情報システムの対策方針を前記表示装置に表示し、選択された前記サイトの対策方針に対応して選択された前記上位レベル対策基準と前記対策基準マッピングテーブル上で対応関係をもつ下位レベル対策基準を前記表示装置に表示し、選択された前記情報システムの対策方針について前記下位レベル対策基準の選択入力を前記入力装置から受け付け、選択された前記情報システムの対策方針と選択入力された前記下位レベル対策基準とを対応付けて前記ログに格納するステップと、
前記ログに格納されている前記資産グループの情報と前記資産の情報との対応から選択された前記上位レベル対策基準と選択された前記下位レベル対策基準との対応に至るまでの各対応関係を含む対応関係に従って、整合を確保したISMS準拠セキュリティ設計書とCC準拠セキュリティ設計書を作成して前記表示装置に出力するステップとを有することを特徴とする統合システムセキュリティ設計方法。 - 前記上位レベル対策基準の選択入力を受け付けるステップは、前記対策基準マッピングテーブルを参照して、ISMS対策基準の技術面の部分に対応するものがないCC対策基準については、これを上位レベルに抽象化した対策基準を上位レベル対策基準として追加し、前記下位レベル対策基準の選択入力を受け付けるステップは、前記対策基準マッピングテーブルを参照して、CC対策基準に対応するものがない運用面のISMS対策基準については、これを下位レベルに詳細化し、CC対策基準と同様の表現形式としたものを下位レベル対策基準として追加することを特徴とする請求項1記載の統合システムセキュリティ設計方法。
- 前記サイトの脅威の情報の入力を受け付けるステップは、前記サイトの脅威の脅威の各々について前記脅威による損失の大きさ及び前記脅威の発生頻度の情報を含むリスクデータの入力を受け付け、入力された前記リスクデータに基づいてリスク値を算出して表示し、対策すべきサイトの脅威の選択入力を受け付け、前記情報システムの脅威の情報の入力を受け付けるステップは、前記情報システムの脅威の各々について前記脅威による損失の大きさ及び前記脅威の発生頻度の情報を含むリスクデータの入力を受け付け、入力された前記リスクデータに基づいてリスク値を算出して表示し、対策すべき情報システムの脅威の選択入力を受け付けることを特徴とする請求項1記載の統合システムセキュリティ設計方法。
- 前記資産グループの情報と前記資産の情報との対応から選択された前記上位レベル対策基準と選択された前記下位レベル対策基準との対応に至るまでのサイトの構成要素と情報システムの構成要素との対応を示す対応関係ログを前記記憶装置に記録することを特徴とする請求項1記載の統合システムセキュリティ設計方法。
- 前記対応関係ログを参照して前記サイトの構成要素と前記情報システムの構成要素との対応関係を前記表示装置に表示し、前記サイトの構成要素の追加・変更あるいは前記情報システムの構成要素の追加・変更の入力を前記入力装置から受け付けることを特徴とする請求項4記載の統合システムセキュリティ設計方法。
- 前記サイトの構成要素あるいは前記情報システムの構成要素が前記入力装置から指定されたとき、前記対応関係ログを参照して影響が及ぶサイトの構成要素の範囲および影響が及ぶ情報システムの構成要素の範囲を前記表示装置に表示することを特徴とする請求項5記載の統合システムセキュリティ設計方法。
- 前記影響が及ぶサイトの構成要素の範囲に含まれる構成要素の数と単価から工数とコストの見積値を計算し、前記影響が及ぶ情報システムの構成要素の範囲に含まれる構成要素の数と単価から工数とコストの見積値を計算することを特徴とする請求項6記載の統合システムセキュリティ設計方法。
- 前記サイトについて対象となる資産グループの情報の入力を受け付けるステップの代わりに、記憶装置上のISMS準拠セキュリティ設計書から情報を読み込む各ステップを実行し、前記資産グループの情報と前記資産の情報との対応から選択された前記上位レベル対策基準と選択された前記下位レベル対策基準との対応に至るまでの各対応関係を含む対応関係に従って前記ISMS準拠セキュリティ設計書と整合するCC準拠セキュリティ設計書を作成して出力することを特徴とする請求項1記載の統合システムセキュリティ設計方法。
- 情報システムと、前記情報システムを運用するサイトを対象に、前記情報システムに関するセキュリティ設計書をISO15408(CC)に準拠して作成し、記憶装置に格納されたCC準拠セキュリティ設計書に基づいて、前記サイトに関するセキュリティ設計書を、前記CCとは設計対象の範囲、必要となる分析の深さ、及び対策基準に違いを有する国際セキュリティ基準ISO17799(ISMS)に準拠して作成する、前記記憶装置を有し、表示装置及び入力装置を接続するセキュリティ設計支援装置におけるセキュリティ設計方法であって、前記セキュリティ設計支援装置は、
前記記憶装置に格納されたCC準拠セキュリティ設計書から前記情報システムについて対象となる資産の情報を読み込むステップと、
読み込まれた前記資産の情報を前記表示装置に表示し、各資産に対応する前記サイトの資産グループの情報の入力を前記入力装置から受け付け、前記情報システムの資産の情報と入力された前記サイトの資産グループの情報とを対応付けて前記記憶装置に設けられたログに格納するステップと、
前記記憶装置に格納された前記CC準拠セキュリティ設計書から前記情報システムの脅威の情報を読み込むステップと、
前記ログに格納されている前記資産グループと前記資産との対応関係に基づいて前記資産について読み込まれた前記情報システムの脅威の情報と前記資産グループの情報を前記表示装置に表示し、前記資産グループについてサイトの脅威の情報の入力を前記入力装置から受け付け、前記情報システムの脅威の情報と前記サイトの脅威の情報とを対応付けて前記ログに格納するステップと、
前記外部記憶装置に格納された前記CC準拠セキュリティ設計書から前記情報システムの対策方針の情報を読み込むステップと、
前記ログに格納されている前記サイトの脅威と前記情報システムの脅威との対応関係に基づいて前記情報システムの脅威に対応する前記情報システムの対策方針と入力された前記サイトの脅威の情報を前記表示装置に表示し、各サイトの脅威についてサイトの対策方針の入力を受け付け、前記サイトの脅威の情報と入力された前記サイトの対策方針とを対応付けて前記ログに格納するステップと、
入力された前記サイトの対策方針を前記表示装置に表示し、ISMSに準拠する上位レベル対策基準とCCに準拠する下位レベル対策基準との対応関係を格納する、前記記憶装置内の対策基準マッピングテーブルに基づいて前記CC準拠セキュリティ設計書から情報システムの下位レベル対策基準の情報を読み込み、前記情報システムの対策方針に対応づけられた前記下位レベル対策基準を前記表示装置に表示するステップと、
前記サイトの対策方針と前記情報システムの対策方針との対応関係に基づいて選択された前記情報システムの対策方針に対応する前記サイトの対策方針を前記表示装置に表示し、選択された前記情報システムの対策方針に対応して選択された前記下位レベル対策基準と前記対策基準マッピングテーブル上で対応関係をもつ上位レベル対策基準を前記表示装置に表示し、選択された前記サイトの対策方針について前記上位レベル対策基準の選択入力を前記入力装置から受け付け、選択された前記サイトの対策方針と選択入力された前記上位レベル対策基準とを対応付けて前記ログに格納するステップと、
前記ログに格納されている前記資産グループの情報と前記資産の情報との対応から選択された前記上位レベル対策基準と選択された前記下位レベル対策基準との対応に至るまでの各対応関係を含む対応関係に従って前記CC準拠セキュリティ設計書と整合するISMS準拠セキュリティ設計書を作成して前記表示装置に出力するステップとを有することを特徴とする統合システムセキュリティ設計方法。 - 記憶装置を有し、表示装置及び入力装置を接続する計算機に、情報システムと、前記情報システムを運用するサイトを対象に、前記情報システムに関するセキュリティ設計書をISO15408(CC)に準拠して作成し、前記サイトに関するセキュリティ設計書を、前記CCとは設計対象の範囲、必要となる分析の深さ、及び対策基準に違いを有する国際セキュリティ基準ISO17799(ISMS)に準拠して作成する、前記情報システムを運用するサイトに関するセキュリティ設計を支援する機能を実現させるプログラムであって、前記計算機に、
サイトについて対象となる資産グループの情報の入力を前記入力装置から受け付ける機能、
入力された前記資産グループの情報を前記表示装置に表示し、各資産グループに対応する情報システムの資産の情報の入力を前記入力装置から受け付け、前記資産グループの情報と入力された各資産グループに対応する前記情報システムの資産の情報とを対応付けて前記記憶装置に設けられたログに格納する機能、
入力された前記資産グループの情報を前記表示装置に表示し、各資産グループについてサイトの脅威の情報の入力を前記入力装置から受け付ける機能、
前記ログに格納されている前記資産グループと前記資産との対応関係に基づいて前記資産グループについて入力された前記サイトの脅威の情報と前記資産の情報を前記表示装置に表示し、前記資産について情報システムの脅威の情報の入力を前記入力装置から受け付け、前記サイトの脅威の情報と入力された前記情報システムの脅威の情報とを対応付けて前記ログに格納する機能、
入力された前記サイトの脅威の情報を前記表示装置に表示し、各サイトの脅威についてサイトの対策方針の入力を前記入力装置から受け付け、前記サイトの脅威の情報と入力された前記サイトの対策方針とを対応付けて前記ログに格納する機能、
前記ログに格納されている前記サイトの脅威と前記情報システムの脅威との対応関係に基づいて前記サイトの脅威に対応して入力された前記サイトの対策方針と前記情報システムの脅威を前記表示装置に表示し、各情報システムの脅威について情報システムの対策方針の入力を前記入力装置から受け付け、前記情報システムの脅威と入力された前記情報システムの対策方針とを対応付けて前記ログに格納する機能、
入力された前記サイトの対策方針を前記表示装置に表示し、ISMSに準拠する上位レベル対策基準とCCに準拠する下位レベル対策基準との対応関係を格納する、前記記憶装置内の対策基準マッピングテーブルを参照して前記上位レベル対策基準を前記表示装置に表示し、選択された前記サイトの対策方針について前記上位レベル対策基準の選択入力を前記入力装置から受け付け、選択された前記サイトの対策方針と選択入力された前記上位レベル対策基準とを対応付けて前記ログに格納する機能、
前記ログに格納されている前記サイトの対策方針と前記情報システムの対策方針との対応関係に基づいて選択された前記サイトの対策方針に対応する前記情報システムの対策方針を前記表示装置に表示し、選択された前記サイトの対策方針に対応して選択された前記上位レベル対策基準と前記対策基準マッピングテーブル上で対応関係をもつ下位レベル対策基準を前記表示装置に表示し、選択された前記情報システムの対策方針について前記下位レベル対策基準の選択入力を前記入力装置から受け付け、選択された前記情報システムの対策方針と選択入力された前記下位レベル対策基準とを対応付けて前記ログに格納する機能、および
前記ログに格納されている前記資産グループの情報と前記資産の情報との対応から選択された前記上位レベル対策基準と選択された前記下位レベル対策基準との対応に至るまでの各対応関係を含む対応関係に従って、整合を確保したISMS準拠セキュリティ設計書とCC準拠セキュリティ設計書を作成して前記表示装置に出力する機能を実現させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004065039A JP4504706B2 (ja) | 2004-03-09 | 2004-03-09 | 統合システムセキュリティ設計方法及びそのプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004065039A JP4504706B2 (ja) | 2004-03-09 | 2004-03-09 | 統合システムセキュリティ設計方法及びそのプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005258512A JP2005258512A (ja) | 2005-09-22 |
JP4504706B2 true JP4504706B2 (ja) | 2010-07-14 |
Family
ID=35084199
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004065039A Expired - Fee Related JP4504706B2 (ja) | 2004-03-09 | 2004-03-09 | 統合システムセキュリティ設計方法及びそのプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4504706B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4907241B2 (ja) * | 2006-06-30 | 2012-03-28 | 三菱電機株式会社 | サーバ装置、サーバ装置の情報管理方法、サーバ装置の情報管理プログラム、クライアント装置、クライアント装置の情報管理方法、クライアント装置の情報管理プログラム、情報管理システムおよび情報管理システムの情報管理方法 |
JP5199722B2 (ja) * | 2008-04-25 | 2013-05-15 | 株式会社東芝 | 事務品質管理装置および事務品質管理処理プログラム |
JP4469910B1 (ja) | 2008-12-24 | 2010-06-02 | 株式会社東芝 | セキュリティ対策機能評価プログラム |
JP5419475B2 (ja) * | 2009-01-14 | 2014-02-19 | 三菱電機株式会社 | セキュリティ管理装置及びプログラム |
JP5269722B2 (ja) * | 2009-08-26 | 2013-08-21 | 株式会社東芝 | セキュリティ設計支援装置及びプログラム |
WO2013081185A1 (ja) | 2011-12-01 | 2013-06-06 | 日本電気株式会社 | セキュリティ検証装置及びセキュリティ検証方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002056176A (ja) * | 2000-06-01 | 2002-02-20 | Asgent Inc | セキュリティポリシー構築方法及び装置並びにセキュリティポリシー構築を支援する方法及び装置 |
JP2002247033A (ja) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | セキュリティ管理システム |
JP2002352062A (ja) * | 2001-05-24 | 2002-12-06 | Hitachi Ltd | セキュリティ評価装置 |
JP2003196476A (ja) * | 2001-12-27 | 2003-07-11 | Hitachi Ltd | セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム |
-
2004
- 2004-03-09 JP JP2004065039A patent/JP4504706B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002056176A (ja) * | 2000-06-01 | 2002-02-20 | Asgent Inc | セキュリティポリシー構築方法及び装置並びにセキュリティポリシー構築を支援する方法及び装置 |
JP2002247033A (ja) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | セキュリティ管理システム |
JP2002352062A (ja) * | 2001-05-24 | 2002-12-06 | Hitachi Ltd | セキュリティ評価装置 |
JP2003196476A (ja) * | 2001-12-27 | 2003-07-11 | Hitachi Ltd | セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム |
Also Published As
Publication number | Publication date |
---|---|
JP2005258512A (ja) | 2005-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6971026B1 (en) | Method and apparatus for evaluating security and method and apparatus for supporting the making of security countermeasure | |
US7748041B2 (en) | Tool, method, and program for supporting system security design/evaluation | |
US20040024658A1 (en) | System and method for providing asset management and tracking capabilities | |
CN104737192B (zh) | 用于处理产品和服务数据的促销方系统及方法 | |
US20090241165A1 (en) | Compliance policy management systems and methods | |
JP5366864B2 (ja) | セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 | |
JP2002352062A (ja) | セキュリティ評価装置 | |
JP2011086198A (ja) | 個人情報管理システム、管理サーバ、及び、プログラム | |
US20040254888A1 (en) | Method and apparatus for preventing unauthorized use of software | |
JP3872689B2 (ja) | セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム | |
JP4504706B2 (ja) | 統合システムセキュリティ設計方法及びそのプログラム | |
JP2006350708A (ja) | セキュリティ設計支援方法及び支援装置 | |
JP5376101B1 (ja) | セキュリティ検証装置及びセキュリティ検証方法 | |
US20040230822A1 (en) | Security specification creation support device and method of security specification creation support | |
JP5275287B2 (ja) | 渉外活動支援方法、渉外活動支援システム、渉外活動支援プログラム | |
JP2005285008A (ja) | データセキュリティ管理システム、プログラム、データセキュリティ管理方法 | |
JP5614299B2 (ja) | 承認支援プログラム、承認支援装置及び承認支援方法 | |
JP2009070084A (ja) | システムセキュリティ設計装置、システムセキュリティ設計方法、システムセキュリティ設計プログラム | |
JP5250394B2 (ja) | Edi統合処理システム、edi統合処理方法、およびedi統合処理プログラム | |
JP2005293267A (ja) | 情報セキュリティマネジメント支援システム及びプログラム | |
JP2009104478A (ja) | 情報資産危険度評価システム | |
JP4235093B2 (ja) | 求人情報管理方法 | |
JP2009151416A (ja) | 取引アクセス履歴参照システム | |
World Bank | Gender Equality, Infrastructure and PPPs: A Primer | |
JP2000029895A (ja) | 読書支援システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060811 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060811 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090806 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090825 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091022 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100119 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100319 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100406 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100423 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |