JP4607943B2 - セキュリティレベル評価装置およびセキュリティレベル評価プログラム - Google Patents
セキュリティレベル評価装置およびセキュリティレベル評価プログラム Download PDFInfo
- Publication number
- JP4607943B2 JP4607943B2 JP2007317598A JP2007317598A JP4607943B2 JP 4607943 B2 JP4607943 B2 JP 4607943B2 JP 2007317598 A JP2007317598 A JP 2007317598A JP 2007317598 A JP2007317598 A JP 2007317598A JP 4607943 B2 JP4607943 B2 JP 4607943B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- list
- question
- security level
- level evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明の実施形態では、セキュリティレベル評価対象装置と、評価者が操作するセキュリティレベル評価装置とが存在する。
セキュリティレベル評価対象装置とは、セキュリティレベルの判定対象となる装置やシステムである。評価者とは、セキュリティレベル評価装置を操作してセキュリティレベル評価対象装置のセキュリティレベルを評価する者である。
図1に示すように、セキュリティレベル評価装置は、基本モデル選択部1、記憶装置2、インスタンス入力部3、セキュリティ対策リスト生成部4、質問リスト生成部5、回答入力部6、レベル評価情報生成手段である回答集計部7、キーボードやマウスといった入力装置8、ディスプレイ装置といった表示装置9を備え、それぞれがバス10を介して相互に接続される。
図2に示した基本モデルは、当該基本モデルを識別する基本モデルIDと、基本モデルの各行を識別する構成・対策IDと、前述した構成要素と、前述したセキュリティ対策と、構成要素およびセキュリティ対策との組み合わせが後述する貢献度にどの程度影響を与えるかを定義する重要度とが関連付けられて管理される。
インスタンス入力部3は、基本モデル選択部1が選択した基本モデルを利用し、評価者によるインスタンスの定義のための入力装置8への入力操作にしたがってインスタンスリストを作成する。
図3に示したインスタンスリストは、評価者が図2に示した基本モデルを選択した際のセキュリティレベル評価対象装置でのインスタンスを定義したものである。図3に示すように、評価者が評価したいセキュリティレベル評価対象装置は、個人情報入力画面、経営情報入力画面、個人情報出力画面、経営情報出力画面、および個人情報変更通知機能を持つものとする。
セキュリティ対策リスト生成部4は、基本モデル選択部1が選択した基本モデルと、インスタンス入力部3で定義されたインスタンスとに基づいて、セキュリティ対策リストを生成する。
レベル評価結果記憶部17は、レベル評価結果テーブルを記憶する。このレベル評価結果テーブルはセキュリティレベル評価対象装置のセキュリティレベル結果の生成に利用される。
セキュリティレベル結果記憶部18は、セキュリティレベル評価対象装置のセキュリティレベル結果を記憶する。質問テンプレートリスト、質問リスト、回答リスト、レベル評価結果テーブルおよびセキュリティレベル結果の詳細については後述する。
前提条件として、セキュリティレベル評価対象装置のセキュリティレベルを評価する前に、基本モデルと、質問リストの雛形となる質問テンプレートリストとを事前に定義して、基本モデル記憶部11と質問テンプレートリスト記憶部14とにそれぞれ記憶されるとする。
基本モデル選択部1は、選択要求にしたがって、複数の基本モデルを基本モデル記憶部11から読み出して、表示装置9に表示させる(ステップS2,S3)。
基本モデル選択部1は、この選択された基本モデルを基本モデル記憶部11に記憶し、当該選択された基本モデルを表示装置9に表示する(ステップS5,S6)。
図3に示した例では、構成要素「入力機能」および「出力機能」についてインスタンス「個人情報入力画面」および「経営情報入力画面」がそれぞれ定義され、構成要素「通知機能」についてインスタンス「個人情報変更通知機能」が定義される。
まず、セキュリティ対策リスト生成部4は、選択済みの基本モデルの未選択の行のうち最上段の行を選択して(ステップS41)、当該選択行の構成・対策ID、構成要素、セキュリティ対策および重要度を取り出す(ステップS42)。
また、セキュリティ対策リスト生成部4は、選択済みの基本モデルに次の行が存在していなければ(ステップS46のNO)、セキュリティ対策リストの生成を終了する。
図6に示したセキュリティ対策リストは、図2に示した基本モデルと、図3に示したインスタンスリストとから作成されるリストである。図6に示したセキュリティ対策リストは、セキュリティ対策IDと、インスタンスと、セキュリティ対策と重要度とが関連付けられる。
図7に示した質問テンプレートリストは、評価者に提示する質問の基となる質問テンプレートについて、その内容を満たしている場合の網羅性およびセキュリティ性の貢献度を定義した情報である。
ステップS59までの処理がなされることで図10に示した中間データが生成され、この中間データをもとに質問リストが生成される。
また、質問リスト生成部5は、セキュリティ対策リストに次の行が存在していなければ(ステップS65のNO)、中間データを最終的な質問リストとする。
図11で示した質問リストは、図6のセキュリティ対策リストと、図7に示した質問テンプレートリストとを組み合わせて作成されたものである。また、図11に示した質問リストは、質問リストの各行を識別するための質問IDと、質問がどの質問テンプレートから生成されたかを識別する質問テンプレートIDと質問とを持つ。
そして、表示装置9に表示された質問リストを参照した評価者による入力装置8への操作により質問リスト上の質問に対する回答入力の要求がなされると(ステップS20)、回答入力部6は、質問リスト記憶部15に記憶された質問リストを取得し(ステップS21)、このリストに質問の回答の入力欄を加えた回答入力用情報を表示装置9に表示させる(ステップS22)。
回答入力用情報で示された質問に対する回答、つまりセキュリティレベル評価対象装置への評価が回答の入力欄へ入力されると(ステップS23)、回答入力部6は、回答が入力された回答入力用情報を回答リストとして回答リスト記憶部16に記憶して、この回答リストを表示装置9に表示させる(ステップS24)。
図12に示した回答リストは、回答リストの各行を識別する質問IDと、質問がどの質問テンプレートから生成されたかを識別する質問テンプレートIDと、質問と、セキュリティレベル評価対象装置が質問内容を満たしているかどうかの入力結果である回答とをもつ。図12に示した例では、質問内容を満たしていると評価者が判定した場合には「○」が、質問内容を満たしていないと評価者が判定した場合には「×」が回答として入力されている。
まず、回答集計部7は、生成済みのセキュリティ対策リストの未選択の最上段の行を選択して(ステップS71)、当該選択行のセキュリティ対策ID、インスタンス、セキュリティ対策、および重要度を取得する(ステップS72)。
そして、回答集計部7は、この取得した質問テンプレートIDに質問テンプレートリスト上で対応する貢献度の定義値を評価軸ごとに集計し(ステップS76)、この集計値を最終的な貢献度の値としてレベル評価結果テーブルのフォーマット上の該当行に追記する(ステップS77)。
ここで、網羅性のセキュリティレベルの計算処理の詳細を説明する。図15は、本発明の実施形態にしたがったセキュリティレベル評価装置による網羅性のセキュリティレベルの計算処理の一例を示すフローチャートである。
図16は、本発明の実施形態にしたがったセキュリティレベル評価装置によるセキュリティ性のセキュリティレベルの計算処理の一例を示すフローチャートである。
まず、回答集計部7は、レベル評価結果テーブル上の各行の重要度を合算することで網羅性の最大貢献度を計算する(ステップS81)。
まず、回答集計部7は、レベル評価結果テーブル上のセキュリティ性に関わる評価軸の選択のループを開始する(ステップS91)。ここでは「性質A」が最初に選択され、以後、「性質B」、「性質C」、「性質D」が順に選択される。
回答集計部7は、レベル評価結果テーブル上の行ごとに、同じ行の重要度とセキュリティ性の貢献度の定義値の積を計算して、この結果を合算することで各評価軸のセキュリティ性の貢献度合計を求め(ステップS93)、次の評価軸の処理に移る(ステップS934。
さらに、回答集計部7は、各評価軸の貢献度合計を集計して、セキュリティ性の貢献度合計を求める(ステップS96)。
図17に示した例は、図16に示したレベル評価結果テーブルの情報から、網羅性とセキュリティ性とのそれぞれについて、貢献度合計と最大貢献度とを求められてセキュリティレベルが計算されたものである。
図19は、本発明の実施形態にしたがったセキュリティレベル評価装置によるにより生成したセキュリティ性のレーダーチャートの一例を示す図である。
図18は、図16で示したレベル評価結果テーブルにおいて、網羅性についての貢献度をセキュリティ対策ごとに集計し、当該セキュリティ対策についての最大貢献度に対する割合をレーダーチャートで表したものである。図19は、図16で示したレベル評価結果テーブルにおいて、セキュリティ性についての貢献度を評価軸ごとに集計し、当該評価軸についての最大貢献度に対する割合をレーダーチャートで表したものである。
レーダーチャートなどのグラフを利用することで、評価者はセキュリティレベルやセキュリティレベル評価対象装置でセキュリティ対策が不足している部分をより直感的に把握できる。
また、質問テンプレートリストにおける貢献度の定義の方法については、本実施形態で制限するものではなく、例えば0から10までの10段階で数値を指定してもよい。
Claims (3)
- セキュリティレベル評価対象装置のモデルの構成要素、当該構成要素について実現されるべきセキュリティ対策事項を関連付けた基本モデルを記憶する基本モデル記憶手段と、
前記基本モデルの構成要素に該当する前記セキュリティレベル評価対象装置の評価要素の入力を受け付ける評価要素入力手段と、
前記基本モデルにおける構成要素を前記入力した評価要素に置換することでセキュリティ対策情報を生成するセキュリティ対策リスト生成手段と、
前記セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の雛形に、前記セキュリティレベル評価対象装置の各評価要素についての各セキュリティ対策事項の実現の網羅性の貢献度の定義値および当該セキュリティ対策事項が実現されている場合の有効性を示すセキュリティ性の貢献度の定義値を関連付けたテンプレート情報を記憶するテンプレート記憶手段と、
前記セキュリティ対策リスト生成手段により生成したセキュリティ対策情報において関連付けられる前記評価要素および前記セキュリティ対策事項を前記テンプレート情報の質問事項の雛形に反映させることで、前記セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の一覧である質問リストを生成する質問リスト生成手段と、
前記質問リスト生成手段により生成した質問リストにおける各質問事項への回答の入力を受け付ける回答入力手段と、
前記セキュリティ対策情報における前記各評価要素および当該評価要素に関連付けられる前記セキュリティ対策事項の組み合わせについて、前記質問リストにおける前記組み合わせが含まれる質問事項の生成のために用いられた前記テンプレート情報上の雛形に対して当該テンプレート情報上で関連付けられる網羅性の貢献度の定義値、セキュリティ性の貢献度の定義値および前記質問事項への回答の入力結果をもとに、前記組み合わせのセキュリティ対策事項の網羅性への貢献度およびセキュリティ性への貢献度を計算することで、前記セキュリティレベル評価対象装置のセキュリティレベル評価情報を生成するレベル評価情報生成手段と
を備えたことを特徴とするセキュリティレベル評価装置。 - 前記テンプレート情報におけるセキュリティ性の貢献度の定義値は、当該セキュリティ性の下位概念の複数の性質のそれぞれについて定義される
ことを特徴とする請求項1に記載のセキュリティレベル評価装置。 - セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の雛形に、前記セキュリティレベル評価対象装置の各評価要素について実現されるべき各セキュリティ対策事項の実現の網羅性の貢献度の定義値および当該セキュリティ対策事項が実現されている場合の有効性を示すセキュリティ性の貢献度の定義値を関連付けたテンプレート情報を記憶するテンプレート記憶手段を備えたコンピュータを、
セキュリティレベル評価対象装置のモデルの構成要素、当該構成要素について実現されるべきセキュリティ対策事項を関連付けた基本モデルを記憶する基本モデル記憶手段、
前記基本モデルの構成要素に該当する前記セキュリティレベル評価対象装置の評価要素の入力を受け付ける評価要素入力手段、
前記基本モデルにおける構成要素を前記入力した評価要素に置換することでセキュリティ対策情報を生成するセキュリティ対策リスト生成手段、
前記セキュリティ対策リスト生成手段により生成したセキュリティ対策情報において関連付けられる前記評価要素および前記セキュリティ対策事項を前記テンプレート情報の質問事項の雛形に反映させることで、前記セキュリティレベル評価対象装置のセキュリティレベルの評価に利用する質問事項の一覧である質問リストを生成する質問リスト生成手段、
前記質問リスト生成手段により生成した質問リストにおける各質問事項への回答の入力を受け付ける回答入力手段、および
前記セキュリティ対策情報における前記各評価要素および当該評価要素に関連付けられる前記セキュリティ対策事項の組み合わせについて、前記質問リストにおける前記組み合わせが含まれる質問事項の生成のために用いられた前記テンプレート情報上の雛形に対して当該テンプレート情報上で関連付けられる網羅性の貢献度の定義値、セキュリティ性の貢献度の定義値および前記質問事項への回答の入力結果をもとに、前記組み合わせのセキュリティ対策事項の網羅性への貢献度およびセキュリティ性への貢献度を計算することで、前記セキュリティレベル評価対象装置のセキュリティレベル評価情報を生成するレベル評価情報生成手段
として機能させるようにしたコンピュータ読み取り可能なセキュリティレベル評価プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007317598A JP4607943B2 (ja) | 2007-12-07 | 2007-12-07 | セキュリティレベル評価装置およびセキュリティレベル評価プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007317598A JP4607943B2 (ja) | 2007-12-07 | 2007-12-07 | セキュリティレベル評価装置およびセキュリティレベル評価プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009140362A JP2009140362A (ja) | 2009-06-25 |
JP4607943B2 true JP4607943B2 (ja) | 2011-01-05 |
Family
ID=40870879
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007317598A Active JP4607943B2 (ja) | 2007-12-07 | 2007-12-07 | セキュリティレベル評価装置およびセキュリティレベル評価プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4607943B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4384252B1 (ja) * | 2009-03-12 | 2009-12-16 | 三菱電機インフォメーションシステムズ株式会社 | セキュリティ評価装置及びセキュリティ評価方法及びセキュリティ評価プログラム |
JP5772610B2 (ja) * | 2012-01-12 | 2015-09-02 | 株式会社デンソー | 車載システム,中継装置 |
KR102239376B1 (ko) * | 2018-12-18 | 2021-04-12 | 대한민국 | 화학 시설에 대한 보안 수준 평가 방법 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001101135A (ja) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
JP2002024526A (ja) * | 2000-07-10 | 2002-01-25 | Mitsubishi Electric Corp | 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体 |
JP2002247033A (ja) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | セキュリティ管理システム |
JP2004126874A (ja) * | 2002-10-01 | 2004-04-22 | Nec Corp | 公開サーバのセキュリティレベル診断方法、診断プログラム、診断装置および診断システム |
JP2005135239A (ja) * | 2003-10-31 | 2005-05-26 | Fujitsu Social Science Laboratory Ltd | 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法 |
JP2007226618A (ja) * | 2006-02-24 | 2007-09-06 | Fuji Xerox Co Ltd | 社会調査設計装置および方法 |
-
2007
- 2007-12-07 JP JP2007317598A patent/JP4607943B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001101135A (ja) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
JP2002024526A (ja) * | 2000-07-10 | 2002-01-25 | Mitsubishi Electric Corp | 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体 |
JP2002247033A (ja) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | セキュリティ管理システム |
JP2004126874A (ja) * | 2002-10-01 | 2004-04-22 | Nec Corp | 公開サーバのセキュリティレベル診断方法、診断プログラム、診断装置および診断システム |
JP2005135239A (ja) * | 2003-10-31 | 2005-05-26 | Fujitsu Social Science Laboratory Ltd | 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法 |
JP2007226618A (ja) * | 2006-02-24 | 2007-09-06 | Fuji Xerox Co Ltd | 社会調査設計装置および方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2009140362A (ja) | 2009-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lempert | Robust decision making (RDM) | |
Brown et al. | Finding waldo: Learning about users from their interactions | |
Bogers et al. | Collaborative prototyping: Cross‐fertilization of knowledge in prototype‐driven problem solving | |
Plattfaut et al. | Service innovation performance and information technology: An empirical analysis from the dynamic capability perspective | |
US20040103058A1 (en) | Decision analysis system and method | |
Tjoa et al. | A formal approach enabling risk-aware business process modeling and simulation | |
Cioffi | Completing projects according to plans: an earned-value improvement index | |
WO2016205152A1 (en) | Project management with critical path scheduling and releasing of resources | |
Rahman et al. | The experimental hand: How platform-based experimentation reconfigures worker autonomy | |
JP4607943B2 (ja) | セキュリティレベル評価装置およびセキュリティレベル評価プログラム | |
Chiam et al. | Applying a selection method to choose Quality Attribute Techniques | |
Lee et al. | Dynamic human resource selection for business process exceptions | |
Meschi et al. | Does a prior alliance with the target affect acquisition performance? The dangers of a honeymoon before marriage | |
Eom | Testing the Seddon model of information system success in an e-learning context: Implications for evaluating DSS | |
KR102434489B1 (ko) | 자가진화 에이전트 기반 시뮬레이션 시스템 및 방법 | |
EP3834079A1 (en) | Multi-question multi-answer configuration | |
Amorim et al. | Big data analytics in the public sector: Improving the strategic planning in world class universities | |
Talib et al. | Identification and adoption of total quality management practices in Indian information and communication technology and banking industries: an empirical study | |
Singh et al. | A framework for requirement elicitation | |
Curtis et al. | ‘Doing the right problem’versus ‘doing the problem right’: problem structuring within a Land Force environment | |
EP1959382A1 (en) | Organisation representational system | |
Saroja et al. | Functional and Non‐Functional Requirements in Agile Software Development | |
Beck | Evaluating human-computer interfaces for specification and comprehension of transient behavior in microservice-based software systems | |
bt Sarlan et al. | Conceptual information system success model for small and medium enterprise clinic information system | |
US20140272903A1 (en) | System for identifying orientations of an individual |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100518 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100720 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100914 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101007 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4607943 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131015 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |