JP4764446B2 - Information processing apparatus and information processing program - Google Patents
Information processing apparatus and information processing program Download PDFInfo
- Publication number
- JP4764446B2 JP4764446B2 JP2008072486A JP2008072486A JP4764446B2 JP 4764446 B2 JP4764446 B2 JP 4764446B2 JP 2008072486 A JP2008072486 A JP 2008072486A JP 2008072486 A JP2008072486 A JP 2008072486A JP 4764446 B2 JP4764446 B2 JP 4764446B2
- Authority
- JP
- Japan
- Prior art keywords
- business
- value
- risk factor
- types
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、複数の業務を対象としてセキュリティ強化を行う際に用いられる情報処理装置および情報処理プログラムに関する。 The present invention relates to an information processing apparatus and an information processing program that are used when security is enhanced for a plurality of tasks.
従来、多くの企業では複数の業務が存在し、各業務では様々な情報資産を扱う。情報資産は、企画文書、個人情報、設計図書などが紙や電子的なファイルなどの形で存在する。また、情報資産は、それぞれ重視すべき機密性、完全性、可用性といったセキュリティ特性を持つ、つまり情報資産の格付けがなされる。このため、業務の遂行においては、これらの情報資産に対する情報漏えいや改ざんなどのセキュリティ上のリスク、つまり業務リスクを伴う。 Conventionally, many businesses have a plurality of businesses, and each business handles various information assets. Information assets include project documents, personal information, design books, etc. in the form of paper or electronic files. Each information asset has security characteristics such as confidentiality, integrity, and availability that should be emphasized, that is, the information asset is rated. For this reason, the execution of business involves security risks such as information leakage and falsification of these information assets, that is, business risks.
一方、業務には業務リスクに影響を与えるリスク要因、つまり業務リスク要因が存在する。業務リスク要因には、業務に関わる人の数、電子メールの取扱量などがあり、例えば業務に関わる人の数が多ければ情報漏えいや改ざん等の発生リスクが高くなる。また、電子メールの取扱量が多ければ情報漏えいの発生リスクが高くなる。 On the other hand, there are risk factors affecting business risk, that is, business risk factors. Business risk factors include the number of people involved in business and the amount of e-mails handled. For example, if the number of people involved in business is large, the risk of occurrence of information leakage or falsification increases. In addition, the greater the amount of email handled, the higher the risk of information leakage.
企業の活動においては、業務改革や組織変更などが発生し、業務の単位が見直されることがある。この場合、複数の業務や取り扱う情報資産に対するセキュリティ脅威を想定し、想定されたセキュリティ脅威への対策を検討することになる。しかし、これらのセキュリティ脅威の想定や想定されたセキュリティ脅威への対策の策定、および対策実施対象業務の決定は、分析者の経験やスキルよって判断する必要があり、分析作業が著しく非効率となっていた。 In corporate activities, business reforms and organizational changes may occur, and business units may be reviewed. In this case, security threats to a plurality of businesses and information assets to be handled are assumed, and countermeasures against the assumed security threats are considered. However, the assumption of these security threats, the formulation of countermeasures against the assumed security threats, and the determination of the work to be performed must be judged based on the experience and skills of the analyst, and the analysis work becomes extremely inefficient. It was.
このような背景のもと、例えば特許文献1に開示されるように、分析者が分析対象の情報資産とその格付けを入力し、あらかじめ登録された質問、脅威データベース、脆弱性データベース、およびこれらの関連付けからリスク値を算出し、分析者がリスク値を鑑みて決定した対応すべき脆弱性について、定性的な対策指針を抽出することで、分析者の経験やスキルへの依存度の軽減を図る業務リスク分析支援装置がある。
Under such a background, as disclosed in, for example,
また、例えば特許文献1に開示されるように、分析者が分析対象の情報資産管理情報を入力し、個々の情報資産について分析者が選択した属性値から、あらかじめ登録された脅威や脆弱性をリスク低減率と共に抽出し、分析者がリスク低減率を鑑みて対策を選択することで、分析者の経験やスキルへの依存度の軽減を図る業務リスク分析支援装置がある。
前述した特許文献1に開示した例では、セキュリティ脅威や脆弱性があらかじめ登録された範囲に限定され、その範囲での絞込みにより抽出しているに過ぎない。また、リスク値は脅威や脆弱性ごとの算出であり、企業の具体的な活動単位である業務への関連付けがなされていない。このため、どの業務にどの程度の対策を実施すべきかについては、得られた定性的な対策方針から、分析者によるさらなるブレークダウンを要する。
In the example disclosed in
また、前述した特許文献2に開示した例では、セキュリティ脅威や脆弱性があらかじめ登録された範囲に限定され、その範囲での絞込みにより抽出しているに過ぎない。また、リスク低減効果を定量的に把握することは可能であるが、企業の具体的な活動単位である業務への関連付けがなされていない。このため、どの業務にどの程度の対策を実施すべきかについては、得られた定性的な対策方針から、分析者によるさらなるブレークダウンを要する。
In the example disclosed in
そこで、本発明の目的は、業務と関連付けされたリスク値を業務リスク要因と業務が取り扱う情報資産の格付け情報からセキュリティ脅威や脆弱性を抽出することなく算出することが可能になる情報処理装置および情報処理プログラムを提供することにある。 Accordingly, an object of the present invention is to provide an information processing apparatus capable of calculating a risk value associated with a business without extracting security threats and vulnerabilities from business risk factors and rating information of information assets handled by the business, and It is to provide an information processing program.
すなわち、本発明に係わる情報処理装置は、コンピュータによって構成される情報処理装置であって、複数種類の業務リスク要因に関して複数種類の業務に共通の重み付けである業務リスク要因重み、および前記複数種類の業務リスク要因のそれぞれについての複数種類のセキュリティ特性のそれぞれへの影響度である業務リスク要因影響度を格納する業務リスク要因定義格納部と、前記複数種類の業務のそれぞれについての前記複数種類の業務リスク要因のそれぞれの値である業務リスク要因値を格納する業務リスク要因値格納部と、前記複数種類の業務、前記複数種類のセキュリティ特性および前記複数種類の業務リスク要因から業務、セキュリティ特性および業務リスク要因を1種類ずつ設定し、前記複数種類のセキュリティ特性および前記複数種類の業務リスク要因のそれぞれについての前記業務リスク要因定義格納部に格納される前記業務リスク要因影響度の値のうち最大の値に前記業務リスク要因の種類の数を掛けた値の逆数に対し、前記設定した業務および前記設定した業務リスク要因についての前記業務リスク要因値格納部に格納される前記業務リスク要因値と、前記設定したセキュリティ特性および前記設定した業務リスク要因についての前記業務リスク要因影響度と、前記設定した業務リスク要因についての前記業務リスク要因定義格納部に格納される前記業務リスク要因重みとの積を前記複数種類の業務リスク要因のそれぞれについて計算した値の総和を掛けることによって、各業務の業務リスク要因値に基づく前記セキュリティ特性に対するリスクの大きさである単純業務リスク値を各業務および各セキュリティ特性のそれぞれの組み合わせについて算出する単純業務リスク値算出手段と、複数種類の情報資産のそれぞれについての前記複数種類のセキュリティ特性のそれぞれに対する重み付けである情報資産格付け情報を格納する情報資産定義格納部と、前記複数種類の業務のそれぞれについて前記複数種類の情報資産のそれぞれの取り扱いの有無を示す業務資産関連付け情報を格納する業務資産関連付け格納部と、前記複数種類の業務および前記複数種類のセキュリティ特性から業務、セキュリティ特性を1種類ずつ設定し、前記業務資産関連付け格納部に格納される業務資産関連付け情報において前記設定した業務について取り扱いの有る少なくとも1種類の情報資産に関する、前記情報資産定義格納部に格納される前記情報資産格付け情報における前記設定したセキュリティ特性に対する重み付けのうち最大の値を、前記設定した業務に要求される前記設定したセキュリティ特性に対する重みである業務要求ポリシーの値とすることで、前記業務要求ポリシーを前記各業務および前記各セキュリティ特性のそれぞれの組み合わせについて算出する業務要求ポリシー算出手段と、前記複数種類の業務および前記複数種類のセキュリティ特性から業務およびセキュリティ特性を1種類ずつ設定し、前記各業務および各セキュリティ特性のそれぞれについての前記業務要求ポリシーの値のうち最大の値の逆数に、前記設定した業務および前記設定したセキュリティ特性についての前記業務要求ポリシー、および前記設定した業務および前記設定したセキュリティ特性についての前記単純業務リスク値を掛けることで、前記複数種類の業務のそれぞれの前記業務要求ポリシーとの乖離を反映した前記複数種類のセキュリティ特性のそれぞれに対するリスクの大きさである業務リスク値を前記各業務および前記各セキュリティ特性のそれぞれの組み合わせについて算出する業務リスク値算出手段と、前記算出した業務リスク値を、改善すべき前記業務および前記セキュリティ特性の優先度にしたがって分類して出力する業務リスク値出力手段とを備えたことを特徴とする。 That is, the information processing apparatus according to the present invention is an information processing apparatus configured by a computer, and a plurality of types of business risk factors, which are weightings common to a plurality of types of business risk factors, A business risk factor definition storage unit for storing the business risk factor influence degree that is an influence degree of each of the plurality of types of security characteristics for each of the business risk factors, and the plurality of types of business for each of the plurality of types of business. A business risk factor value storage unit that stores business risk factor values that are respective values of risk factors, and the plurality of types of business, the plurality of types of security characteristics, and the plurality of types of business risk factors based on business, security characteristics, and business One risk factor is set at a time, and the multiple types of security characteristics and The reciprocal of a value obtained by multiplying the maximum value of the operational risk factor influence values stored in the operational risk factor definition storage unit for each of the operational risk factors by the number of operational risk factor types. The business risk factor value stored in the business risk factor value storage unit for the set business and the set business risk factor, and the business for the set security characteristic and the set business risk factor The product of the risk factor influence degree and the operational risk factor weight stored in the operational risk factor definition storage unit for the set operational risk factor is the sum of the values calculated for each of the plural types of operational risk factors. By multiplying, the risk level for the security characteristics based on the business risk factor value of each business Simple business risk value calculation means for calculating a simple business risk value for each business and each combination of security characteristics, and information that is a weight for each of the plurality of types of security characteristics for each of a plurality of types of information assets An information asset definition storage unit for storing asset rating information; a business asset association storage unit for storing business asset association information indicating whether each of the plurality of types of information assets is handled for each of the plurality of types of business; One type of business and security characteristics are set for each of a plurality of types of business and the plurality of types of security characteristics, and the set business is handled in the business asset association information stored in the business asset association storage unit. Information assets related to information assets The value of the business request policy that is the weight for the set security characteristic required for the set work, the maximum value among the weights for the set security characteristic in the information asset rating information stored in the product definition storage unit The business request policy calculation means for calculating the business request policy for each combination of the business and the security characteristics, and the business and security characteristics from the multiple types of business and the multiple types of security characteristics. Set one by one, and the reciprocal of the maximum value among the values of the business request policy for each of the business and security characteristics, the business request policy for the set business and the set security characteristics, and The set work and By multiplying the simple business risk value for the set security characteristic, the risk magnitude for each of the plurality of types of security characteristics reflecting the deviation of each of the plurality of types of business from the business request policy A business risk value calculation means for calculating a business risk value for each combination of the business and the security characteristics, and classifying the calculated business risk value according to the priority of the business to be improved and the security characteristics. And a business risk value output means for outputting the output .
本発明によれば、業務と関連付けされたリスク値を業務リスク要因と業務が取り扱う情報資産の格付け情報からセキュリティ脅威や脆弱性を抽出することなく算出することができる。 According to the present invention, a risk value associated with a business can be calculated without extracting security threats and vulnerabilities from business risk factors and rating information of information assets handled by the business.
以下図面により本発明の実施形態について説明する。
(第1の実施形態)
まず、本発明の第1の実施形態について説明する。
図1は、本発明の第1の実施形態における情報処理装置の機能構成の一例を示すブロック図である。
図1に示すように、本発明の実施形態における情報処理装置は、業務リスク分析支援装置であり、業務リスク要因定義格納部1、情報資産定義格納部2、業務資産関連付け格納部3、業務リスク要因値格納部4、単純業務リスク値算出部5、業務要求ポリシー算出部6、単純業務リスク値格納部7、業務要求ポリシー格納部8、業務リスク値算出部9、業務リスク値格納部10、業務リスク値表示部11、業務リスク値指示部12、業務リスク値内訳算出部13、業務リスク分析値格納部14、業務リスク要因改善値算出部15、業務リスク分析結果表示部16、業務リスク目標値入力部17を備える。
Embodiments of the present invention will be described below with reference to the drawings.
(First embodiment)
First, a first embodiment of the present invention will be described.
FIG. 1 is a block diagram illustrating an example of a functional configuration of the information processing apparatus according to the first embodiment of the present invention.
As shown in FIG. 1, the information processing apparatus according to the embodiment of the present invention is a business risk analysis support device, and includes a business risk factor
図2は、本発明の第1の実施形態における情報処理装置のハードウェア構成の一例を示すブロック図である。
図2に示したハードウェア構成は、図1に示した情報処理装置の各部の機能を具現化する構成である。当該情報処理装置のハードウェア構成として、不揮発性メモリである記憶装置22と、当該記憶装置22内のプログラムに従って当該装置の各部を制御するCPU21と、処理結果等を表示するディスプレイ装置といった表示部25と、通信インタフェース23と、ユーザが入力操作のために用いる入力デバイス24とを備え、それぞれがバス26により接続される。図1に示した情報処理装置は、これらの構成を備えたコンピュータに適用することができる。
FIG. 2 is a block diagram illustrating an example of a hardware configuration of the information processing apparatus according to the first embodiment of the present invention.
The hardware configuration illustrated in FIG. 2 is a configuration that embodies the functions of the respective units of the information processing apparatus illustrated in FIG. 1. As a hardware configuration of the information processing device, a
記憶装置22は、単純業務リスク値算出部5、業務要求ポリシー算出部6、業務リスク値算出部9、業務リスク値表示部11、業務リスク値指示部12、業務リスク値内訳算出部13、業務リスク要因改善値算出部15、業務リスク分析結果表示部16に相当するプログラムに加え、業務リスク要因定義格納部1、情報資産定義格納部2、業務資産関連付け格納部3、業務リスク要因値格納部4、単純業務リスク値格納部7、業務要求ポリシー格納部8、業務リスク値格納部10、業務リスク分析値格納部14に格納される種々のデータを記憶する。
The
入力デバイス24は、業務リスク目標値入力部17を実現するためのデバイスである。表示部25は、業務リスク値表示部11や業務リスク分析結果表示部16により生成した表示結果を表示する。
The
図3は、本発明の第1の実施形態における情報処理装置の業務リスク要因定義格納部に格納される業務リスク要因重みテーブルの一例を示す図である。
図4は、本発明の第1の実施形態における情報処理装置の業務リスク要因定義格納部に格納される業務リスク要因影響度テーブルの一例を示す図である。
業務リスク要因定義格納部1には、図3に示した形式の業務リスク要因重みテーブルおよび図4に示した形式の業務リスク要因影響度テーブルがそれぞれ格納される。
FIG. 3 is a diagram illustrating an example of a business risk factor weight table stored in the business risk factor definition storage unit of the information processing apparatus according to the first embodiment of the present invention.
FIG. 4 is a diagram illustrating an example of a business risk factor influence degree table stored in the business risk factor definition storage unit of the information processing apparatus according to the first embodiment of the present invention.
The business risk factor
業務リスク要因重みテーブルは、複数種類の業務リスク要因および当該要因の重みが関連付けられて管理される。業務リスク要因重みテーブル上の業務リスク要因は各種業務に共通する業務リスク要因である。 The business risk factor weight table is managed in association with a plurality of types of business risk factors and the weights of the factors. The operational risk factors on the operational risk factor weight table are operational risk factors common to various operations.
あらかじめ分析者またはその上位の者が、業務リスク要因定義格納部1に業務共通の業務リスク要因重みテーブルと業務リスク要因影響度テーブルを格納しておく。
業務リスク要因重みの値は、業務リスク要因の項目とそれぞれの業務リスク要因における重みが0〜1.00の数値で定義される。本実施形態では、業務リスク要因は「所属人数」、「関連業務数」、「電子メール取扱量」、「書類廃棄量」の4種類であり、図3に示した例では、業務リスク要因「電子メール取扱量」における重みは最大の重みの「1.00」であり、業務リスク要因「所属人数」における重みは、「電子メール取扱量」における重みの半分の「0.5」である。
An analyst or a higher-order person stores a business risk factor weight table and a business risk factor influence degree table common to the business in the business risk factor
The value of the business risk factor weight is defined by a value of 0 to 1.00 for the business risk factor item and the weight of each business risk factor . In this embodiment, there are four types of business risk factors: “number of members”, “number of related tasks”, “e-mail handling amount”, and “document discard amount”. In the example shown in FIG. The weight in the “e-mail handling amount” is “1.00” which is the maximum weight, and the weight in the work risk factor “number of employees” is “0.5” which is half of the weight in the “e-mail handling amount”.
また、業務リスク要因影響度テーブルは、業務リスク要因重みテーブル上の業務リスク要因の項目ごとにセキュリティ特性への影響の強さを定義したものである。本実施形態では、セキュリティ特性は「機密性」、「完全性」および「可用性」の3種類であり、図4に示した例では、業務リスク要因「所属人数」のセキュリティ特性のうち機密性への影響は「1」で、「完全性」への影響は「1」で、可用性への影響は「0」である。 The business risk factor influence degree table defines the strength of influence on security characteristics for each business risk factor item on the business risk factor weight table. In this embodiment, there are three types of security characteristics: “confidentiality”, “completeness”, and “availability”. In the example shown in FIG. The impact is “1”, the impact on “completeness” is “1”, and the impact on availability is “0”.
図5は、本発明の第1の実施形態における情報処理装置による分析対象の業務群の関係の一例を示した模式図である。
図5に示すように、分析者がヒアリング等により複数種類の業務のそれぞれの所属人数、関連業務数、一ヶ月あたりの電子メール取扱数、一ヶ月あたりの書類廃棄量、情報資産の種別の情報、および各種情報資産の前述した各種のセキュリティ特性への影響度を収集しておく。
FIG. 5 is a schematic diagram illustrating an example of a relationship between business groups to be analyzed by the information processing apparatus according to the first embodiment of the present invention.
As shown in Fig. 5, the analyst interviewed, etc., information on the number of members belonging to multiple types of work, the number of related work, the number of e-mails handled per month, the amount of documents discarded per month, and the type of information asset , and it collects influence of the foregoing various security characteristics of various types of information assets.
本実施形態では、業務の種類は「スタッフ業務」、「営業業務」、「開発業務」、「研究業務」の4種類であり、図5に示した例では、スタッフ業務の業務リスク要因値は、所属人数が20名、関連業務数が3、電子メール取扱量が100件/月、書類廃棄量が6kg/月で、取り扱う情報資産が企画情報および設計情報である。
分析者は、前述したようにヒアリング等で得た情報をもとに、入力デバイス24への操作を行うことで情報資産定義格納部2に情報資産格付けテーブルを格納する。
In the present embodiment, there are four types of operations, “Staff Operations”, “Sales Operations”, “Development Operations”, and “Research Operations”. In the example shown in FIG. The number of affiliations is 20, the number of related tasks is 3, e-mail handling volume is 100 cases / month, document disposal amount is 6kg / month, and the information assets handled are planning information and design information.
As described above, the analyst stores the information asset rating table in the information asset
図6は、本発明の第1の実施形態における情報処理装置の情報資産定義格納部に格納される情報資産格付けテーブルの一例を示す図である。
情報資産格付けテーブルは、各情報資産のセキュリティ特性への重みを管理する。情報資産格付けテーブル上の重みはISMS等の活動で定義されるものと同じ方法で設定される。本実施形態では、情報資産は「企画情報」、「設計情報」、「顧客情報」の3種類であり、図6に示した例では、情報資産「企画情報」の機密性への影響を示す重みは「2」で、完全性への影響を示す重みは「1」で、可用性への影響を示す重みは「0」である。
FIG. 6 is a diagram illustrating an example of an information asset rating table stored in the information asset definition storage unit of the information processing apparatus according to the first embodiment of this invention.
Information Assets rating table manages the weight of the security characteristics of the information assets. The weights on the information asset rating table are set in the same way as defined by activities such as ISMS. In the present embodiment, information assets are three types of "planning information", "Design Information", "customer information", the impact on the confidentiality in the example shown in FIG. 6, information assets "Planning Information" The weight shown is “2”, the weight indicating the impact on integrity is “1”, and the weight indicating the impact on availability is “0”.
また、分析者は、前述したようにヒアリング等で得た情報をもとに、入力デバイス24への操作を行うことで業務資産関連付け格納部3に業務資産関連付けテーブルを格納する。
In addition, the analyst stores the business asset association table in the business asset
図7は、本発明の第1の実施形態における情報処理装置の業務資産関連付け格納部に格納される業務資産関連付けテーブルの一例を示す図である。
業務資産関連付けテーブルは、各種業務で扱う情報資産の有無を管理する。図7に示した例では、スタッフ業務では企画情報と設計情報を扱うことが図5に示した情報から分かるため、スタッフ業務と企画情報の交差する部分、およびスタッフ業務と設計情報の交差する部分に「○」印を設定することで関連を示している。
FIG. 7 is a diagram illustrating an example of the business asset association table stored in the business asset association storage unit of the information processing apparatus according to the first embodiment of this invention.
The business asset association table manages the presence or absence of information assets handled in various business operations. In the example shown in FIG. 7, since it can be understood from the information shown in FIG. 5 that the staff information handles the planning information and the design information, the portion where the staff task and the planning information intersect, and the portion where the staff task and the design information intersect. The relationship is indicated by setting “o” mark to.
また、分析者は、前述したようにヒアリング等で得た情報をもとに、入力デバイス24への操作を行うことで業務リスク要因値格納部4に業務リスク要因値テーブルを格納する。
In addition, the analyst stores the business risk factor value table in the business risk factor
図8は、本発明の第1の実施形態における情報処理装置の業務リスク要因値格納部に格納される業務リスク要因値テーブルの一例を示す図である。
業務リスク要因値テーブルは、各業務について測定した業務リスク要因値を業務リスク要因ごとに0〜1.00の範囲に正規化した値を管理する。図8に示した例では、スタッフ業務の所属人数に対応する業務リスク要因値は、スタッフ業務の所属人数の測定値である20を、対象業務全体の所属人数の最大値、つまり研究開発業務の所属人数の測定値である100で除算した値の0.20である。
FIG. 8 is a diagram illustrating an example of a business risk factor value table stored in the business risk factor value storage unit of the information processing apparatus according to the first embodiment of this invention.
The business risk factor value table manages values obtained by normalizing the business risk factor values measured for each business within the range of 0 to 1.00 for each business risk factor. In the example shown in FIG. 8 , the work risk factor value corresponding to the number of staff members belonging to the staff work is 20 which is a measured value of the number of staff work staffs, that is, the maximum number of staff members of the entire target work, that is, the R & D work It is 0.20 which is a value obtained by dividing by 100 which is a measurement value of the number of members.
同様に、スタッフ業務の関連業務数に対応する業務リスク要因値は、スタッフ業務の関連業務数の測定値である3を、対象業務全体の関連業務数の最大値の3で除算した値の1.00である。 Similarly, the business risk factor value corresponding to the number of related operations of the staff operation is 1 which is a value obtained by dividing 3 which is a measured value of the number of related operations of the staff operation by 3 of the maximum number of related operations of the entire target operation. .00.
次に、図1に示した構成の装置の動作について説明する。図9は、本発明の第1の実施形態における情報処理装置による処理動作の一例を示すフローチャートである。
まず、単純業務リスク値算出部5は、業務リスク要因定義格納部1に格納された業務リスク要因重みテーブル、業務リスク要因影響度テーブル、業務リスク要因値格納部4に格納された業務リスク要因値テーブルをもとに、各業務の業務リスク要因値に基づく各セキュリティ特性に対するリスクの大きさを単純業務リスク値として算出して単純業務リスク値格納部7に格納する(ステップS1)。
Next, the operation of the apparatus having the configuration shown in FIG. 1 will be described. FIG. 9 is a flowchart illustrating an example of a processing operation performed by the information processing apparatus according to the first embodiment of the present invention.
First, the simple business risk
単純業務リスク値算出部5による単純業務リスク値算出処理の詳細を説明する。図10は、本発明の第1の実施形態における情報処理装置の単純業務リスク値算出処理の一例を示すフローチャートである。
まず、単純業務リスク値算出部5は、業務リスク要因値格納部4に格納された業務リスク要因値テーブルを読み込み(ステップS11)、業務リスク要因定義格納部1に格納された業務リスク要因重みテーブル、業務リスク要因影響度テーブルをそれぞれ読み込む(ステップS12,S13)。
Details of the simple business risk value calculation processing by the simple business risk
First, the simple business risk
単純業務リスク値算出部5は、業務の変数iを1に設定する(ステップS14)。業務の変数iは、図8に示した業務リスク要因値テーブル上の最上段の業務を1として最下段の業務を最大値とした整数の事であり、変数iが1に設定されると、図8に示した業務リスク要因値テーブルの最上段の「スタッフ業務」が選択されたことを示す。
The simple business risk
単純業務リスク値算出部5は、セキュリティ特性の変数jを1に設定する(ステップS15)。セキュリティ特性の変数jは、図4に示した業務リスク要因影響度テーブル上の最上段のセキュリティ特性を1として最下段のセキュリティ特性を最大値とした整数の事であり、変数jが1に設定されると、図4に示した業務リスク要因影響度テーブルの最上段の「機密性」が選択されたことを示す。
The simple business risk
単純業務リスク値算出部5は、以下の式(1)にしたがって単純業務リスク値(i,j)を算出する(ステップS16)。
式(1)における変数kは図3に示した業務リスク要因重みテーブル上の最上段の業務リスク要因を1として最下段の業務リスク要因を最大値とした整数の事であり、変数kが1に設定されると、図3に示した業務リスク要因重みテーブル上の最上段の「所属人数」が選択されたことを示す。 The variable k in equation (1) is an integer with the highest business risk factor on the business risk factor weight table shown in FIG. 3 as the maximum and the lowest business risk factor as the maximum value. Is set to “number of members” at the top of the business risk factor weight table shown in FIG.
そして、単純業務リスク値算出部5は、変数jの現在の設定値が図4に示した業務リスク要因影響度テーブル上のセキュリティ特性の種類の総数、ここでは3未満であるか否かを判別する(ステップS17)。
Then, the simple business risk
単純業務リスク値算出部5は、ステップS17の処理で「YES」と判別した場合には、変数jの現在の設定値に1を加えて更新し(ステップS18)、ステップS16の処理に戻る。
When it is determined “YES” in the process of step S17, the simple business risk
また、単純業務リスク値算出部5は、ステップS17の処理で「NO」と判別した場合には、変数iの現在の設定値が図8に示した業務リスク要因値テーブル上の業務の種類の総数、ここでは4未満であるか否かを判別する(ステップS19)。
If the simple business risk
単純業務リスク値算出部5は、ステップS19の処理で「YES」と判別した場合には、変数iの現在の設定値に1を加えて更新し(ステップS20)、ステップS15の処理に戻る。
If it is determined “YES” in the process of step S19, the simple business risk
単純業務リスク値算出部5は、ステップS19の処理で「NO」と判別した場合には、ステップS16の処理で算出した、各種業務および各種セキュリティ特性のそれぞれに対応する単純業務リスク値を単純業務リスク値格納部7に格納することで単純業務リスク値テーブルを生成する。
When the simple business risk
図11は、本発明の第1の実施形態における情報処理装置の単純業務リスク値格納部に格納される単純業務リスク値テーブルの一例を示す図である。
次に、業務要求ポリシー算出部6は、情報資産定義格納部2に格納された情報資産格付けテーブルおよび業務資産関連付け格納部3に格納された業務資産関連付けテーブルをもとに、各業務での取り扱い情報資産から業務に要求される各セキュリティ特性に対する重みを業務要求ポリシーとして算出して業務要求ポリシー格納部8に格納する(ステップS2)。
FIG. 11 is a diagram illustrating an example of a simple business risk value table stored in the simple business risk value storage unit of the information processing apparatus according to the first embodiment of the present invention.
Next, the business request
業務要求ポリシー算出部6による業務要求ポリシー算出処理の詳細を説明する。図12は、本発明の第1の実施形態における情報処理装置の業務要求ポリシー算出処理の一例を示すフローチャートである。
まず、業務要求ポリシー算出部6は、情報資産定義格納部2に格納された情報資産格付けテーブルを読み込み(ステップS21)、業務資産関連付け格納部3に格納された業務資産関連付けテーブルを読み込む(ステップS22)。
Details of the business request policy calculation processing by the business request
First, the business request
業務要求ポリシー算出部6は、業務の変数iを1に設定する(ステップS23)。業務の変数iは、図7に示した業務資産関連付けテーブル上の最上段の業務を1として最下段の業務を最大値とした整数の事であり、変数iが1に設定されると、図7に示した業務資産関連付けテーブル上の最上段の「スタッフ業務」が選択されたことを示す。
The business request
業務要求ポリシー算出部6は、セキュリティ特性の変数jを1に設定する(ステップS24)。セキュリティ特性の変数jは、図6に示した情報資産格付けテーブル上の左端側の欄のセキュリティ特性を1として右端側の欄のセキュリティ特性を最大値とした整数の事であり、変数jが1に設定されると、図6に示した情報資産格付けテーブル上の左端側の欄の「機密性」が選択されたことを示す。
The business request
業務要求ポリシー算出部6は、現在設定している変数iおよび変数jに対応する業務要求ポリシー(i,j)の値を初期値の0に設定し(ステップS25)、さらに変数kを1に設定する(ステップS26)。業務要求ポリシーの算出において、変数kは図6に示した情報資産格付けテーブル上の最上段の情報資産を1として最下段の情報資産を最大値とした整数の事であり、変数kが1に設定されると、図6に示した情報資産格付けテーブル上の最上段の「企画情報」が選択されたことを示す。
The business request
そして、業務要求ポリシー算出部6は、図7に示した業務資産関連付けテーブルで示される、現在設定している変数iおよび変数kに対応する業務資産関連付け(i,k)が「○」であって、かつ、現在設定している変数iおよび変数jに対応する業務要求ポリシー(i,j)の値が、情報資産格付けテーブルで示される、現在設定している変数kおよび変数jに対応する情報資産格付け(k,j)の値より小さい場合には(ステップS27のYES)、当該情報資産格付け(k,j)を現在設定している変数iおよび変数jに対応する業務要求ポリシー(i,j)の値として設定する(ステップS28)。
The operational request
業務要求ポリシー算出部6は、ステップS28の処理後もしくはステップS27の処理で「NO」と判別した場合には、変数kの現在の設定値が図6に示した情報資産格付けテーブル上の情報資産の総数、ここでは3未満であるか否かを判別する(ステップS29)。
If the business request
業務要求ポリシー算出部6は、ステップS29の処理で「YES」と判別した場合には、変数kの現在の設定値に1を加えて更新し(ステップS30)、ステップS27の処理に戻る。
If it is determined “YES” in the process of step S29, the business request
業務要求ポリシー算出部6は、ステップS29の処理で「NO」と判別した場合には、変数jの現在の設定値が前述したセキュリティ特性の種類の総数未満であるか否かを判別する(ステップS31)。
If it is determined “NO” in the process of step S29, the business request
業務要求ポリシー算出部6は、ステップS31の処理で「NO」と判別した場合には、変数jの現在の設定値に1を加えて更新し(ステップS32)、ステップS25の処理に戻る。
If it is determined “NO” in the process of step S31, the business request
また、業務要求ポリシー算出部6は、ステップS31の処理で「NO」と判別した場合には、変数iの現在の設定値が前述した業務の種類の総数未満であるか否かを判別する(ステップS33)。
If the business request
業務要求ポリシー算出部6は、ステップS33の処理で「YES」と判別した場合には、変数iの現在の設定値に1を加えて更新し(ステップS34)、ステップS24の処理に戻る。
If it is determined “YES” in the process of step S33, the business request
業務要求ポリシー算出部6は、ステップS33の処理で「NO」と判別した場合には、ステップS28の処理で求めた、各種業務および各種セキュリティ特性のそれぞれに対応する業務要求ポリシーを業務要求ポリシー格納部8に格納することで業務要求ポリシーテーブルを生成する。
If the business request
図13は、本発明の第1の実施形態における情報処理装置の業務要求ポリシー格納部に格納される業務要求ポリシーテーブルの一例を示す図である。
単純業務リスク値算出部5および業務要求ポリシー算出部6は、単純業務リスク値および業務要求ポリシーの算出後、業務リスク値算出部9に起動指令を出力する。
FIG. 13 is a diagram illustrating an example of a business request policy table stored in the business request policy storage unit of the information processing apparatus according to the first embodiment of this invention.
The simple business risk
業務リスク値算出部9は、単純業務リスク値算出部5および業務要求ポリシー算出部6からの起動指令を受けると、単純業務リスク値格納部7に格納された単純業務リスク値テーブル、業務要求ポリシー格納部8に格納された業務要求ポリシーテーブルをもとに、各業務の業務要求ポリシーとの乖離を反映した各セキュリティ特性に対するリスクの大きさを算出し、当該算出結果を業務リスク値として業務リスク値格納部10に格納する(ステップS3)。
When the business risk
業務リスク値算出部9による業務リスク値算出処理の詳細を説明する。図14は、本発明の第1の実施形態における情報処理装置の業務リスク値算出処理の一例を示すフローチャートである。
まず、業務リスク値算出部9は、単純業務リスク値格納部7に格納された単純業務リスク値テーブルを読み込み(ステップS41)、業務要求ポリシー格納部8に格納された業務要求ポリシーテーブルを読み込む(ステップS42)。
業務リスク値算出部9は、業務の変数iを1に設定し(ステップS43)、セキュリティ特性の変数jを1に設定する(ステップS44)。
Details of the business risk value calculation process by the business risk
First, the business risk
The business risk
業務リスク値算出部9は、以下の式(2)にしたがって、業務リスク値(i,j)を算出する(ステップS45)。
そして、業務リスク値算出部9は、変数jの現在の設定値が前述したセキュリティ特性の種類の総数未満であるか否かを判別する(ステップS46)。
Then, the business risk
業務リスク値算出部9は、ステップS46の処理で「YES」と判別した場合には、変数jの現在の設定値に1を加えて更新し(ステップS47)、ステップS45の処理に戻る。
When it is determined “YES” in the process of step S46, the business risk
また、業務リスク値算出部9は、ステップS46の処理で「NO」と判別した場合には、変数iの現在の設定値が前述した業務の種類の総数未満であるか否かを判別する(ステップS48)。
Further, if the business risk
業務リスク値算出部9は、ステップS48の処理で「YES」と判別した場合には、変数iの現在の設定値に1を加えて更新し(ステップS49)、ステップS44の処理に戻る。
When it is determined “YES” in the process of step S48, the business risk
業務リスク値算出部9は、ステップS48の処理で「NO」と判別した場合には、ステップS45の処理で算出した、各種業務および各種セキュリティ特性のそれぞれに対応する業務リスク値を業務リスク値格納部10に格納することで業務リスク値テーブルを生成する。
When it is determined “NO” in the process of step S48, the business risk
図15は、本発明の第1の実施形態における情報処理装置の業務リスク値格納部に格納される業務リスク値テーブルの一例を示す図である。
業務リスク値算出部9は、業務リスク値の算出後、業務リスク値表示部11へ起動指令を出力する。
FIG. 15 is a diagram illustrating an example of a business risk value table stored in the business risk value storage unit of the information processing apparatus according to the first embodiment of this invention.
The business risk
業務リスク値表示部11は、業務リスク値算出部9からの起動指令を受けると、業務リスク値テーブルで示される業務リスク値を業務の種別およびセキュリティ特性ごとに一覧表示し、各業務リスク値の大きさをレベル分け、つまり改善すべき業務およびセキュリティ特性の優先度にしたがって分類して表示する(ステップS4)。
Upon receiving an activation command from the business risk
業務リスク値表示部11による業務リスク値表示処理の詳細を説明する。図16は、本発明の第1の実施形態における情報処理装置の業務リスク値表示処理の一例を示すフローチャートである。
まず、業務リスク値表示部11は、業務リスク値格納部10に格納される業務リスク値テーブルを読み込み(ステップS51)、セキュリティ特性の変数jを1に設定する(ステップS52)。
Details of the business risk value display processing by the business risk
First, the business risk
業務リスク値表示部11は、業務リスク値テーブル上のセキュリティ特性ごとの業務リスク値の平均値ave(j)および分散値sd(j)をそれぞれ計算する(ステップS53)。
The business risk
そして、業務リスク値表示部11は、変数jの現在の設定値が前述したセキュリティ特性の種類の総数未満であるか否かを判別する(ステップS54)。
業務リスク値表示部11は、ステップS54の処理で「YES」と判別した場合には、変数jの現在の設定値に1を加えて更新し(ステップS55)、ステップS53の処理に戻る。
Then, the business risk
When it is determined “YES” in the process of step S54, the business risk
また、業務リスク値表示部11は、ステップS54の処理で「NO」と判別した場合には、業務の変数iを1に設定し(ステップS56)、セキュリティ特性の変数jを再び1に設定する(ステップS57)。
If the business risk
業務リスク値表示部11は、業務リスク値テーブル上における、現在設定している変数iおよび変数jに対応する業務リスク値(i,j)が、現在設定している変数jに対応する業務リスク値の平均値ave(j)と現在設定している変数jに対応する業務リスク値の分散値の平方根Sqr(sd(j))の和を超えるか否かを判別する(ステップS58)。
The business risk
業務リスク値表示部11は、ステップS58の処理で「YES」と判別した場合には、当該処理で判別対象とした業務リスク値(i,j)の背景色を赤に設定する(ステップS59)。
When it is determined “YES” in the process of step S58, the business risk
業務リスク値表示部11は、ステップS58の処理で「NO」と判別した場合には、前述した業務リスク値(i,j)が現在設定している変数jに対応する業務リスク値の平均値ave(j)超えるか否かを判別する(ステップS60)。
If the business risk
業務リスク値表示部11は、ステップS60の処理で「YES」と判別した場合には、当該処理で判別対象とした業務リスク値(i,j)の背景色を黄色に設定する(ステップS59)。
When it is determined “YES” in the process of step S60, the business risk
業務リスク値表示部11は、ステップS60の処理で「NO」と判別した場合には、当該処理で判別対象とした業務リスク値(i,j)の背景色を青色に設定する(ステップS62)。
If the business risk
業務リスク値表示部11は、ステップS59、S61もしくはS62の処理後、変数jの現在の設定値が前述したセキュリティ特性の種類の総数未満であるか否かを判別する(ステップS63)。
The business risk
業務リスク値表示部11は、ステップS63の処理で「YES」と判別した場合には、変数jの現在の設定値に1を加えて更新し(ステップS64)、ステップS58の処理に戻る。
If it is determined “YES” in the process of step S63, the business risk
また、業務リスク値表示部11は、ステップS63の処理で「NO」と判別した場合には、変数iの現在の設定値が前述した業務の種類の総数未満であるか否かを判別する(ステップS65)。
Further, when it is determined “NO” in the process of step S63, the business risk
業務リスク値表示部11は、ステップS65の処理で「YES」と判別した場合には、変数iの現在の設定値に1を加えて更新し(ステップS66)、ステップS57の処理に戻る。
If it is determined “YES” in the process of step S65, the business risk
業務リスク値表示部11は、ステップS65の処理で「NO」と判別した場合には、ステップS59、S61もしくはS62の処理で設定した各種業務および各種セキュリティ特性のそれぞれに対応する業務リスク値の背景色を付した表を画面表示させる。
If the business risk
図17は、本発明の第1の実施形態における情報処理装置の業務リスク値表示部による業務リスク値の表示結果の一例を示す図である。
図17で表記された「(R)」,「(Y)」,「(B)」は対応する業務リスク値の欄の背景色がそれぞれ赤色、黄色および青色であることを示す。
FIG. 17 is a diagram illustrating an example of a business risk value display result by the business risk value display unit of the information processing apparatus according to the first embodiment of the present invention.
“(R)”, “(Y)”, and “(B)” shown in FIG. 17 indicate that the background color of the corresponding business risk value column is red, yellow, and blue, respectively.
図17に示した例では、業務リスク値の大きさのレベル分けを、赤色、黄色、青色の背景色の違いで表現しており、この順で優先的に改善すべき業務のセキュリティ特性を現している。
このような表示を行うことで、分析者は、どの業務のどのセキュリティ特性について改善すべきかを視覚的に把握することが可能となる。
In the example shown in FIG. 17, the level classification of the business risk value is expressed by the difference between the red, yellow, and blue background colors, and represents the security characteristics of the business that should be improved with priority in this order. ing.
By performing such display, the analyst can visually grasp which security characteristic of which business should be improved.
また、ここでは、平均値から1σより大きい乖離がある場合は赤色と、平均値より大きい場合は黄色と、その他の場合は青色と判定しているが、色による分類方法や判定の閾値は、他の形態であってもよい。 In addition, here, when there is a deviation greater than 1σ from the average value, it is determined to be red, yellow when it is greater than the average value, and blue in other cases, but the classification method by color and the threshold of determination are as follows: Other forms may be used.
業務リスク値表示部11によって業務リスク値の一覧が表示された状態で、分析者が業務リスク値指示部12により、業務の種別とセキュリティ特性の種別で特定される業務リスク値を指示すると、業務リスク値内訳算出部13に起動指令を出力する。
When the business risk value list is displayed by the business risk
業務リスク値内訳算出部13は、業務リスク値指示部12からの起動指令を受けると、業務リスク値指示部12により指示された業務リスク値について、業務リスク要因定義格納部1に格納された業務リスク要因影響度テーブルと、業務リスク要因値格納部4に格納された業務リスク要因値テーブルと、業務要求ポリシー格納部8に格納された業務要求ポリシーテーブルをもとに、業務リスク要因ごとの内訳を算出し、当該算出結果を業務リスク値内訳として業務リスク分析値格納部14に格納する(ステップS5)。
When the business risk value
業務リスク値内訳算出部13による業務リスク値内訳算出処理の詳細を説明する。図18は、本発明の第1の実施形態における情報処理装置の業務リスク値内訳算出処理の一例を示すフローチャートである。
まず、業務リスク値内訳算出部13は、業務リスク要因値格納部4に格納された業務リスク要因値テーブルを読み込み(ステップS71)、業務リスク要因定義格納部1に格納された業務リスク要因重みテーブル、業務リスク要因影響度テーブルをそれぞれ読み込む(ステップS72,S73)。また、業務リスク値内訳算出部13は、業務要求ポリシー格納部8に格納された業務要求ポリシーテーブルを読み込む(ステップS74)。
Details of the business risk value breakdown calculation processing by the business risk value
First, the business risk value
業務リスク値内訳算出部13は、業務リスク値指示部12により指示された業務の種別に対応する変数iと業務リスク値指示部12により指示されたセキュリティ特性の種別に対応する変数jをそれぞれ設定する(ステップS75,S76)。
The business risk value
業務リスク値内訳算出部13は、業務リスク要因の変数kを1に設定し(ステップS77)、以下の式(3)にしたがって業務リスク値内訳(i,j,k)を算出する(ステップS78)。
そして、業務リスク値内訳算出部13は、変数kの現在の設定値が図3に示した業務リスク要因重みテーブル上の業務リスク要因の総数、ここでは4未満であるか否かを判別する(ステップS79)。
Then, the business risk value
業務リスク値内訳算出部13は、ステップS79の処理で「YES」と判別した場合には、変数kの現在の設定値に1を加えて更新し(ステップS80)、ステップS78の処理に戻る。
If it is determined “YES” in the process of step S79, the business risk value
業務リスク値内訳算出部13は、ステップS19の処理で「NO」と判別した場合には、ステップS78の処理で算出した、指定された業務および指定されたセキュリティ特性において業務リスク要因のそれぞれに対応する業務リスク値内訳を業務リスク分析値格納部14に格納する。
When the business risk value
業務リスク値内訳算出部13は、業務リスク値内訳の算出の終了後、同じ値を業務リスク値目標値として業務リスク分析値格納部14に格納した後、業務リスク要因改善値算出部15に起動指令を出力する。
After the calculation of the business risk value breakdown is completed, the business risk value
業務リスク要因改善値算出部15は、業務リスク値内訳算出部13からの起動指令を受けると、業務リスク分析値格納部14に格納された業務リスク値目標値と、業務要求ポリシー格納部8に格納された業務要求ポリシーテーブルと、業務リスク要因定義格納部1に格納された業務リスク要因重みテーブルおよび業務リスク要因影響度テーブルをもとに、業務リスク要因値の改善目標値を算出し、当該算出結果を業務リスク要因改善値として業務リスク分析値格納部14に格納する(ステップS6)。
Upon receiving the activation command from the business risk value
業務リスク要因改善値算出部15による業務リスク要因改善値算出処理の詳細を説明する。図19は、本発明の第1の実施形態における情報処理装置の業務リスク要因改善値算出処理の一例を示すフローチャートである。
業務リスク要因改善値算出部15は、業務リスク分析値格納部14に格納された業務リスク値目標値を読み込み(ステップS81)、前述したステップS72からS77までの処理を行ない(ステップS82〜S87)、以下の式(4)にしたがって業務リスク要因改善値(i,j,k)を算出する(ステップS88)。
The business risk factor improvement
そして、業務リスク要因改善値算出部15は、変数kの現在の設定値が前述した業務リスク要因の総数未満であるか否かを判別する(ステップS89)。
業務リスク要因改善値算出部15は、ステップS89の処理で「YES」と判別した場合には、変数kの現在の設定値に1を加えて更新し(ステップS90)、ステップS88の処理に戻る。
Then, the business risk factor improvement
When it is determined “YES” in the process of step S89, the business risk factor improvement
業務リスク要因改善値算出部15は、ステップS90の処理で「NO」と判別した場合には、ステップS88の処理で算出した、指定された業務および指定されたセキュリティ特性において業務リスク要因のそれぞれに対応する業務リスク要因改善値を業務リスク分析値格納部14に格納する。
If the business risk factor improvement
図20は、本発明の第1の実施形態における情報処理装置の業務リスク分析値格納部に格納される業務リスク分析値テーブルの一例を示す図である。
図20に示すように、業務リスク分析値テーブルでは、業務リスク値指示部12により指定された業務およびセキュリティ特性における各種業務リスク要因の業務リスク値内訳、業務リスク値目標値および業務リスク要因改善値が管理される。
FIG. 20 is a diagram illustrating an example of a business risk analysis value table stored in the business risk analysis value storage unit of the information processing apparatus according to the first embodiment of the present invention.
As shown in FIG. 20, in the business risk analysis value table, the business risk value breakdown of various business risk factors, the business risk value target value, and the business risk factor improvement value in the business and security characteristics specified by the business risk
業務リスク要因改善値算出部15は、業務リスク要因改善値の格納後、業務リスク分析結果表示部16に起動指令を出力する。
業務リスク分析結果表示部16は、業務リスク要因改善値算出部15からの起動指令を受けると、業務リスク分析値格納部14に格納された業務リスク分析値テーブルの業務リスク値内訳および業務リスク要因改善値を、業務リスク値内訳の降順に分類して画面表示する(ステップS7)。
The business risk factor improvement
Upon receiving a start command from the business risk factor improvement
図21に示した業務リスク分析結果の表示結果は、業務リスク値表示部11による表示結果にしたがって業務リスク値指示部12により指定された業務「開発業務」およびセキュリティ特性「完全性」における各種業務リスク要因の業務リスク値内訳、業務リスク値目標値および業務リスク要因改善値が一覧表示されたものである。図21で表記された「(Y)」は対応する業務リスク値目標値の欄の背景色が黄色であることを示す。
このような表示を行なうことで、分析者は、どの業務リスク要因について優先的に改善すべきかを把握することが可能となる。
Display and operational risk analysis display results in Figure 21, various operations in the specified the business "Development Services" and security characteristics "Integrity" by operational risk
By performing such display, the analyst can grasp which business risk factors should be improved with priority.
このように、業務リスク分析結果表示部16により業務リスク分析値格納部14に格納された内容が表示された状態で、分析者は、対応優先度の高い特定の業務リスク値目標値を下げる場合には、業務リスク目標値入力部17への操作を行うことで、図21に示した表示結果中の黄色で示した業務リスク値目標値を修正する。
この場合、業務リスク要因改善値算出部15が再度起動し、ステップS6,S7の処理が再度行われる。
As described above, when the content stored in the business risk analysis
In this case, the business risk factor improvement
このため、分析者は業務リスク値目標値を下げるために、業務リスク要因値とするべき業務リスク要因改善値を即座に業務リスク分析結果表示部16によって把握することが可能となる。
For this reason, in order to lower the business risk value target value, the analyst can immediately grasp the business risk factor improvement value to be used as the business risk factor value by the business risk analysis
分析者は、業務リスク低減のための優先度の高い業務とセキュリティ特性を業務リスク値指示部12により指示し、そのために必要な業務リスク要因の改善値を把握することを繰り返すことで、対象とした業務についての業務リスク値を低減することが可能となる。
The analyst repeatedly instructs the business risk
以上説明したように、本発明の第1の実施形態における情報処理装置は、業務リスク要因と業務が取り扱う情報資産の格付け情報から、セキュリティ脅威や脆弱性を抽出することなく、業務と関連付けされたリスク値を算出することが可能になる上、また、リスク値を業務リスク要因ごとに展開し、目標とするリスク値の低減量に対してどの業務リスク要因値をどれだけ改善すべきかを定量的に算出することが可能になる。 As described above, the information processing apparatus according to the first embodiment of the present invention is associated with a business without extracting security threats and vulnerabilities from business risk factors and rating information of information assets handled by the business. In addition to being able to calculate risk values, deploy risk values for each operational risk factor and quantitatively determine how much operational risk factor value should be improved against the target risk value reduction amount. Can be calculated.
よって、あらかじめ登録されたセキュリティ脅威や脆弱性のデータベースの登録内容に依存することなく、どの業務のどの業務リスク要因をどれだけ改善すべきかを定量的な改善目標値として得ることが可能となり、複数ある業務のうちどの業務のどのリスク要因値をどれだけ改善すべきかが一目瞭然となるため、分析作業効率を大幅に効率化することが可能となる。 Therefore, it is possible to obtain a quantitative improvement target value as to which business risk factor of which business should be improved without depending on the registered contents of the security threat and vulnerability database registered in advance. Since it becomes obvious at a glance how much risk factor value of which business should be improved in a certain business, it is possible to greatly improve the efficiency of analysis work.
(第2の実施形態)
次に、本発明の第2の実施形態について説明する。なお、本実施形態に係る情報処理装置の構成のうち図1に示したものと同一部分の説明は省略する。
図22は、本発明の第2の実施形態における情報処理装置の機能構成の一例を示すブロック図である。
本実施形態は、正規化処理を含めた業務リスク分析支援を実現するものである。本発明の第2の実施形態における情報処理装置は第1の実施形態と比較して、業務リスク要因測定値格納部31、業務リスク要因値算出部32、業務リスク要因値最大値格納部33をさらに備える。
(Second Embodiment)
Next, a second embodiment of the present invention will be described. In addition, description of the same part as what was shown in FIG. 1 among the structures of the information processing apparatus which concerns on this embodiment is abbreviate | omitted.
FIG. 22 is a block diagram illustrating an example of a functional configuration of the information processing apparatus according to the second embodiment of the present invention.
This embodiment realizes business risk analysis support including normalization processing. As compared with the first embodiment, the information processing apparatus according to the second embodiment of the present invention includes a business risk factor measurement
図23は、本発明の第2の実施形態における情報処理装置の業務リスク要因測定値格納部に格納される業務リスク要因測定値テーブルの一例を示す図である。
図23に示すように、業務リスク要因測定値格納部31には業務リスク要因測定値テーブルが格納される。業務リスク要因測定値テーブルは、各業務について測定した業務リスク要因値が管理される。
FIG. 23 is a diagram illustrating an example of a business risk factor measurement value table stored in the business risk factor measurement value storage unit of the information processing apparatus according to the second embodiment of the present invention.
As shown in FIG. 23, the business risk factor measurement
つまり、第2の実施形態では、第1の実施形態と異なり、分析者が、前述したようにヒアリング等で得た情報で示される業務リスク要因値に対する正規化処理を実施せずに業務リスク要因測定値格納部31にそのまま格納する。
That is, in the second embodiment, unlike the first embodiment, the analyst does not perform the normalization process on the business risk factor value indicated by the information obtained through the interview as described above, and the business risk factor The measured
図24は、本発明の第2の実施形態における情報処理装置による処理動作の一例を示すフローチャートである。
第2の実施形態では、単純業務リスク値算出部5による処理がなされる前に業務リスク要因値算出部32が処理を行なう。
FIG. 24 is a flowchart illustrating an example of a processing operation performed by the information processing apparatus according to the second embodiment of the present invention.
In the second embodiment, the business risk factor
業務リスク要因値算出部32は、業務リスク要因測定値テーブル上の各業務リスク要因値の業務間における最大値を業務リスク要因ごとに業務リスク要因値最大値格納部33に格納すると共に、正規化処理を行った業務リスク要因値を業務リスク要因値格納部4に格納する(ステップS8)。
The business risk factor
業務リスク要因最大値は、改善する業務リスク要因値がセキュリティ特性の中で最大値であった場合に、業務リスク値指示部12で指示した業務リスク値でなく、同じセキュリティ特性の他の業務リスク値を正規化により相対的に下げてしまうことを避けるためのものである。
The business risk factor maximum value is not the business risk value specified by the business risk
業務リスク要因値算出部32による業務リスク要因値算出処理の詳細を説明する。図25は、本発明の第2の実施形態における情報処理装置の業務リスク要因値算出処理の一例を示すフローチャートである。
まず、業務リスク要因値算出部32は、業務リスク要因測定値格納部31に格納された業務リスク要因測定値テーブルを読み込む(ステップS91)。
Details of the business risk factor value calculation processing by the business risk factor
First, the business risk factor
業務リスク要因値算出部32は、業務リスク要因の変数kを1に設定し(ステップS92)、業務リスク要因最大値(k)を0に設定し(ステップS93)、業務の変数iを1に設定する(ステップS94)。
The business risk factor
業務リスク要因値算出部32は、設定済みの業務リスク要因最大値(k)が、業務リスク要因測定値テーブルにおける、現在設定される変数iおよび変数kに対応する業務リスク要因測定値(i,k)未満であるか否かを判別する(ステップS95)
業務リスク要因値算出部32は、ステップS95の処理で「YES」と判別した場合には、当該処理での判別対象である業務リスク要因測定値(i,k)を業務リスク要因最大値(k)に設定する(ステップS96)。
The business risk factor
If the business risk factor
業務リスク要因値算出部32は、ステップS95の処理で「NO」と判別した場合もしくはステップS96の処理後、変数iの現在の設定値が前述した業務の種類の総数未満であるか否かを判別する(ステップS97)。
The business risk factor
業務リスク要因値算出部32は、ステップS97の処理で「YES」と判別した場合には、変数iの現在の設定値に1を加えて更新し(ステップS98)、ステップS95の処理に戻る。
業務リスク要因値算出部32は、ステップS97の処理で「NO」と判別した場合には、業務の変数iを1に再び設定する(ステップS99)。
If it is determined “YES” in the process of step S97, the business risk factor
When it is determined “NO” in the process of step S97, the business risk factor
業務リスク要因値算出部32は、現在設定される変数iおよび変数kに対応する業務リスク要因測定値(i,k)を、ステップS96の処理で設定した業務リスク要因最大値(k)で割った値を業務リスク要因測定値(i,k)に設定する(ステップS100)。
The business risk factor
業務リスク要因値算出部32は、変数iの現在の設定値が前述した業務の種類の総数未満であるか否かを判別する(ステップS101)。
業務リスク要因値算出部32は、ステップS101の処理で「YES」と判別した場合には、変数iの現在の設定値に1を加えて更新し(ステップS102)、ステップS100の処理に戻る。
The business risk factor
If it is determined “YES” in the process of step S101, the business risk factor
業務リスク要因値算出部32は、ステップS103の処理で「NO」と判別した場合には、変数kの現在の設定値が前述した業務リスク要因数の総数未満であるか否かを判別する(ステップS103)。
When it is determined “NO” in the process of step S103, the business risk factor
業務要求ポリシー算出部6は、ステップS103の処理で「YES」と判別した場合には、変数kの現在の設定値に1を加えて更新し(ステップS104)、ステップS93の処理に戻る。
When it is determined “YES” in the process of step S103, the business request
また、業務要求ポリシー算出部6は、ステップS103の処理で「NO」と判別した場合には、ステップS100の処理で算出した各業務および各業務リスク要因についての業務リスク要因値を業務リスク要因値格納部4に格納することで、業務リスク要因値を生成する。
業務リスク要因値算出部32は、業務リスク要因値格納部4への格納処理後、単純業務リスク値算出部5を起動させる。
If the business request
The business risk factor
また、第1の実施形態で説明したステップS6の処理に代えて、業務リスク要因改善値算出部15は、業務リスク分析値格納部14に格納された業務リスク値目標値と、業務要求ポリシー格納部8に格納された業務要求ポリシーテーブルと、業務リスク要因定義格納部1に格納された業務リスク要因重みテーブルおよび業務リスク要因影響度テーブルと、業務リスク要因値最大値格納部33に格納された業務リスク要因最大値とをもとに、業務リスク要因値の改善目標値を算出し、当該算出結果を業務リスク要因改善値として業務リスク分析値格納部14に格納する(ステップS9)。
Further, instead of the process of step S6 described in the first embodiment, the business risk factor improvement
業務リスク要因改善値算出部15による業務リスク要因改善値算出処理の詳細を説明する。図26は、本発明の第2の実施形態における情報処理装置の業務リスク要因改善値算出処理の一例を示すフローチャートである。
業務リスク要因改善値算出部15は、前述したステップS81からS84までの処理を行ない(ステップS111〜S114)、業務リスク要因値最大値格納部33に格納された業務リスク要因ごとの業務リスク要因最大値を読み込む(ステップS115)。
Details of the business risk factor improvement value calculation process by the business risk factor improvement
The business risk factor improvement
そして、業務リスク要因改善値算出部15は、前述したステップS85からS87までの処理を行ない(ステップS116〜S118)、以下の式(5)にしたがって業務リスク要因改善値(i,j,k)を算出する(ステップS119)。
そして、業務リスク要因改善値算出部15は、変数kの現在の設定値が前述した業務リスク要因の総数未満であるか否かを判別する(ステップS120)。
業務リスク要因改善値算出部15は、ステップS120の処理で「YES」と判別した場合には、変数kの現在の設定値に1を加えて更新し(ステップS121)、ステップS119の処理に戻る。
Then, the business risk factor improvement
When it is determined “YES” in the process of step S120, the business risk factor improvement
業務リスク要因改善値算出部15は、ステップS121の処理で「NO」と判別した場合には、ステップS121の処理で算出した、指定された業務および指定されたセキュリティ特性において業務リスク要因のそれぞれに対応する業務リスク要因改善値を業務リスク分析値格納部14に格納する。
If the business risk factor improvement
図27は、本発明の第2の実施形態における情報処理装置の業務リスク分析結果表示部による業務リスク分析結果の表示結果の一例を示す図である。
図27に示すように、第2の実施形態における業務リスク分析結果の表示結果では、業務リスク要因改善値が、業務リスク要因測定値と同じ単位で表示されるため、より具体的な業務リスク要因の改善目標値を得ることが可能となる。
FIG. 27 is a diagram illustrating an example of the display result of the business risk analysis result by the business risk analysis result display unit of the information processing apparatus according to the second embodiment of the present invention.
As shown in FIG. 27, in the display result of the business risk analysis result in the second embodiment, since the business risk factor improvement value is displayed in the same unit as the business risk factor measurement value, more specific business risk factor It is possible to obtain an improvement target value.
なお、この発明は前記実施形態そのままに限定されるものではなく実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、前記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を省略してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。 The present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be omitted from all the components shown in the embodiment. Furthermore, you may combine suitably the component covering different embodiment.
1…業務リスク要因定義格納部、2…情報資産定義格納部、3…業務資産関連付け格納部、4…業務リスク要因値格納部、5…単純業務リスク値算出部、6…業務要求ポリシー算出部、7…単純業務リスク値格納部、8…業務要求ポリシー格納部、9…業務リスク値算出部、10…業務リスク値格納部、11…業務リスク値表示部、12…業務リスク値指示部、13…業務リスク値内訳算出部、14…業務リスク分析値格納部、15…業務リスク要因改善値算出部、16…業務リスク分析結果表示部、17…業務リスク目標値入力部、21…CPU、22…記憶装置、23…通信インタフェース(I/F)、24…入力デバイス、25…表示部、26…バス、31…業務リスク要因測定値格納部、32…業務リスク要因値算出部、33…業務リスク要因値最大値格納部。
DESCRIPTION OF
Claims (4)
複数種類の業務リスク要因に関して複数種類の業務に共通の重み付けである業務リスク要因重み、および前記複数種類の業務リスク要因のそれぞれについての複数種類のセキュリティ特性のそれぞれへの影響度である業務リスク要因影響度を格納する業務リスク要因定義格納部と、
前記複数種類の業務のそれぞれについての前記複数種類の業務リスク要因のそれぞれの値である業務リスク要因値を格納する業務リスク要因値格納部と、
前記複数種類の業務、前記複数種類のセキュリティ特性および前記複数種類の業務リスク要因から業務、セキュリティ特性および業務リスク要因を1種類ずつ設定し、前記複数種類のセキュリティ特性および前記複数種類の業務リスク要因のそれぞれについての前記業務リスク要因定義格納部に格納される前記業務リスク要因影響度の値のうち最大の値に前記業務リスク要因の種類の数を掛けた値の逆数に対し、前記設定した業務および前記設定した業務リスク要因についての前記業務リスク要因値格納部に格納される前記業務リスク要因値と、前記設定したセキュリティ特性および前記設定した業務リスク要因についての前記業務リスク要因影響度と、前記設定した業務リスク要因についての前記業務リスク要因定義格納部に格納される前記業務リスク要因重みとの積を前記複数種類の業務リスク要因のそれぞれについて計算した値の総和を掛けることによって、各業務の業務リスク要因値に基づく前記セキュリティ特性に対するリスクの大きさである単純業務リスク値を各業務および各セキュリティ特性のそれぞれの組み合わせについて算出する単純業務リスク値算出手段と、
複数種類の情報資産のそれぞれについての前記複数種類のセキュリティ特性のそれぞれに対する重み付けである情報資産格付け情報を格納する情報資産定義格納部と、
前記複数種類の業務のそれぞれについて前記複数種類の情報資産のそれぞれの取り扱いの有無を示す業務資産関連付け情報を格納する業務資産関連付け格納部と、
前記複数種類の業務および前記複数種類のセキュリティ特性から業務、セキュリティ特性を1種類ずつ設定し、前記業務資産関連付け格納部に格納される業務資産関連付け情報において前記設定した業務について取り扱いの有る少なくとも1種類の情報資産に関する、前記情報資産定義格納部に格納される前記情報資産格付け情報における前記設定したセキュリティ特性に対する重み付けのうち最大の値を、前記設定した業務に要求される前記設定したセキュリティ特性に対する重みである業務要求ポリシーの値とすることで、前記業務要求ポリシーを前記各業務および前記各セキュリティ特性のそれぞれの組み合わせについて算出する業務要求ポリシー算出手段と、
前記複数種類の業務および前記複数種類のセキュリティ特性から業務およびセキュリティ特性を1種類ずつ設定し、前記各業務および各セキュリティ特性のそれぞれについての前記業務要求ポリシーの値のうち最大の値の逆数に、前記設定した業務および前記設定したセキュリティ特性についての前記業務要求ポリシー、および前記設定した業務および前記設定したセキュリティ特性についての前記単純業務リスク値を掛けることで、前記複数種類の業務のそれぞれの前記業務要求ポリシーとの乖離を反映した前記複数種類のセキュリティ特性のそれぞれに対するリスクの大きさである業務リスク値を前記各業務および前記各セキュリティ特性のそれぞれの組み合わせについて算出する業務リスク値算出手段と、
前記算出した業務リスク値を、改善すべき前記業務および前記セキュリティ特性の優先度にしたがって分類して出力する業務リスク値出力手段と
を備えたことを特徴とする情報処理装置。 An information processing apparatus constituted by a computer,
Operational risk factor is a degree of influence on each of the multiple types of security characteristics for each of the common operational risk factors weighting is a weighting, and the plurality of types of operational risk factors to a plurality of types of operations with respect to a plurality of types of operational risk factors A business risk factor definition storage for storing the impact ,
And operational risk factor value storage unit for storing the operational risk factor values are the respective values of a plurality of types of operational risk factors for each of the plurality of types of business,
One type of business, security characteristics and business risk factors are set from the plurality of types of business, the plurality of types of security characteristics and the plurality of types of business risk factors, and the plurality of types of security characteristics and the plurality of types of business risk factors are set. For the reciprocal of the value obtained by multiplying the maximum value of the operational risk factor influence values stored in the operational risk factor definition storage unit for each of the operational risk factors by the number of types of operational risk factors, And the business risk factor value stored in the business risk factor value storage unit for the set business risk factor, the set security characteristics and the business risk factor influence degree for the set business risk factor, Before being stored in the business risk factor definition storage for the set business risk factor By multiplying the sum of the calculated values for each of the plurality of types of operational risk factors the product of the operational risk factors weight, simple operational risks is the magnitude of the risk to the security properties based on operational risk factors value for each business Simple business risk value calculation means for calculating a value for each combination of each business and each security characteristic ;
An information asset definition storage unit for storing the plurality of types of weighting for each is information assets rating information security characteristics for each of a plurality of types of information assets,
And the plurality of types of each of the plurality of types of information each business asset association storage unit for storing business asset association information indicating whether or not handling of assets for business,
One type of business and security characteristics are set for each of the plurality of types of business and the plurality of types of security characteristics, and the set business is handled in the business asset association information stored in the business asset association storage unit. The maximum value of the weights for the set security characteristics in the information asset rating information stored in the information asset definition storage unit for the information asset is the weight for the set security characteristics required for the set work. and operational by the value of the request policy, the business request policy calculating means for calculating said work request policy for each combination of the respective business and the respective security characteristics is,
One type of business and security characteristics are set from the plurality of types of business and the plurality of types of security characteristics, and the reciprocal of the maximum value among the values of the business request policy for each of the business and security characteristics, By multiplying the business request policy for the set business and the set security characteristic, and the simple business risk value for the set business and the set security characteristic, the business of each of the plurality of types of business. A business risk value calculating means for calculating a business risk value that is a magnitude of a risk for each of the plurality of types of security characteristics reflecting a deviation from a request policy for each of the business and each combination of the security characteristics ;
The information processing apparatus characterized by the calculated operational risk value, and a business risk value output means for outputting the classified according to the priority of the work and the security properties to be improved.
前記業務リスク指定手段により指定された業務およびセキュリティ特性に関する業務リスク値について、前記複数種類の業務リスク要因から業務リスク要因を1種類設定し、前記各業務および各セキュリティ特性のそれぞれについての前記業務要求ポリシーの値のうち最大の値と、前記各セキュリティ特性および前記各業務リスク要因のそれぞれについての前記業務リスク要因定義格納部に格納される前記業務リスク要因影響度の値のうち最大の値と、前記業務リスク要因の種類の数とを掛けたものの逆数に、前記業務リスク値指定手段により指定した業務および前記指定したセキュリティ特性についての前記業務要求ポリシーと、前記指定した業務および前記設定した業務リスク要因についての前記業務リスク要因値と、前記指定したセキュリティ特性および前記設定した業務リスク要因についての前記業務リスク要因影響度の値との積を算出することで、前記業務リスク値の前記業務リスク要因の種類ごとの内訳である業務リスク値内訳を前記指定した業務、前記指定したセキュリティ特性および前記各業務リスク要因のそれぞれの組み合わせについて算出する業務リスク値内訳算出手段と、
前記複数種類の業務、前記複数種類のセキュリティ特性および前記複数種類の業務リスク要因から業務、セキュリティ特性および業務リスク要因を1種類ずつ設定し、前記設定した業務および前記設定したセキュリティ特性についての前記業務要求ポリシーの値と、前記設定した業務リスク要因についての前記業務リスク要因定義格納部に格納される業務リスク要因重みの値と、前記設定したセキュリティ特性および前記設定した業務リスク要因についての前記業務リスク要因影響度の値とを掛けたものの逆数に、前記設定した業務、前記設定したセキュリティ特性および前記設定した業務リスク要因についての前記算出した業務リスク値内訳と、前記各業務および各セキュリティ特性のそれぞれについての前記業務要求ポリシーの値のうち最大の値と、前記各セキュリティ特性および各業務リスク要因のそれぞれについての前記業務リスク要因影響度の値のうち最大の値と、前記業務リスク要因の種類の数とを掛ける事で、前記業務リスク要因値の改善目標値である業務リスク要因改善値を前記各業務、前記各セキュリティ特性および前記各業務リスク要因のそれぞれの組み合わせについて算出する業務リスク要因改善値算出手段と、
前記算出した業務リスク値内訳および業務リスク要因改善値を一覧表示する業務リスク分析結果表示手段と
をさらに備えたことを特徴とする請求項1に記載の情報処理装置。 And operational risk value designating means for designating the operational risk value on security characteristics of the one type of business and the any kind of operational risk values displayed by the operational risk value output means,
For the business risk value related to the business and security characteristics specified by the business risk specifying means, one type of business risk factor is set from the plurality of types of business risk factors, and the business request for each of the business and security characteristics is set. A maximum value among policy values, and a maximum value among the business risk factor influence values stored in the business risk factor definition storage unit for each security characteristic and each business risk factor; The business request policy for the business specified by the business risk value specifying means and the specified security characteristics, the specified business and the set business risk are multiplied by the reciprocal of the product risk factor type number. The business risk factor value for the factor and the specified security By calculating the product of the value of the operational risk factors impact on utility characteristics and operational risk factors described above sets, the said operational operational risk value breakdown is the breakdown for each type of risk factor of the operational risk value A business risk value breakdown calculation means for calculating each combination of the designated business, the designated security characteristics and each business risk factor ;
From the plurality of types of business, the plurality of types of security characteristics, and the plurality of types of business risk factors, business, security characteristics and business risk factors are set one by one, and the business regarding the set business and the set security characteristics The value of the request policy, the value of the business risk factor weight stored in the business risk factor definition storage unit for the set business risk factor, the business risk for the set security characteristic and the set business risk factor The reciprocal of the factor influence value multiplied by the set work, the set security characteristic and the set work risk factor for the set work risk factor, and the respective work and each security characteristic. Of the business request policy values for A large value, the By multiplying the maximum value among the values of the operational risk factors influence for each of the security features and the business risk factors, and a number of types of the operational risk factors, the operational risk An operational risk factor improvement value calculating means for calculating an operational risk factor improvement value, which is an improvement target value of the factor value, for each combination of the operations, the security characteristics, and the operational risk factors;
The information processing apparatus according to claim 1, further comprising a business risk analysis result display unit configured to display a list of the calculated business risk value breakdown and business risk factor improvement values.
前記複数種類の業務リスク要因から業務および業務リスク要因を1種類設定し、前記設定した業務リスク要因についての前記業務リスク要因測定値の前記業務間の最大値である業務リスク要因最大値を求め、当該業務リスク要因測定値を前記設定した業務リスク要因についての前記求めた業務リスク要因最大値で除することで正規化した値を、前記設定した業務および前記設定した業務リスク要因に関する前記業務リスク要因測定値とすることで、前記業務リスク要因値を前記各業務および前記各業務リスク要因のそれぞれの組み合わせについて算出する業務リスク要因値算出手段とをさらに備え、
前記業務リスク要因改善値算出手段は、
前記複数種類の業務、前記複数種類のセキュリティ特性および前記複数種類の業務リスク要因から業務、セキュリティ特性および業務リスク要因を1種類ずつ設定し、前記設定した業務および前記設定したセキュリティ特性についての前記業務要求ポリシーの値と、前記設定した業務リスク要因についての前記業務リスク要因定義格納部に格納される業務リスク要因重みの値と、前記設定したセキュリティ特性および前記設定した業務リスク要因についての前記業務リスク要因影響度の値とを掛けたものの逆数に、前記設定した業務、前記設定したセキュリティ特性および前記設定した業務リスク要因についての前記算出した業務リスク値内訳と、前記各業務および各セキュリティ特性のそれぞれについての前記業務要求ポリシーの値のうち最大の値と、前記各セキュリティ特性および各業務リスク要因のそれぞれについての前記業務リスク要因影響度の値のうち最大の値と、前記業務リスク要因の種類の数と前記設定した業務リスク要因についての前記求めた前記業務リスク要因最大値とを掛ける事で、前記業務リスク要因値の改善目標値である業務リスク要因改善値を算出する
ことを特徴とする請求項2記載の情報処理装置。 A business risk factor measurement value storage means for storing a business risk factor measurement value that is a measurement value of each of the plurality of types of business risk factors for each of the plurality of types of business;
One type of business and business risk factors is set from the plurality of types of business risk factors, and a business risk factor maximum value that is the maximum value between the business risk factor measurement values for the set business risk factors is obtained, The business risk factor relating to the set business risk factor and the set business risk factor is a value normalized by dividing the measured business risk factor measurement value by the calculated maximum business risk factor value for the set business risk factor. by the measurement value, further comprising a business risk factors value calculating means for calculating the operational risk factor values for each combination of the respective business and the respective business risk factors,
The business risk factor improvement value calculation means is:
From the plurality of types of business, the plurality of types of security characteristics, and the plurality of types of business risk factors, business, security characteristics and business risk factors are set one by one, and the business regarding the set business and the set security characteristics The value of the request policy, the value of the business risk factor weight stored in the business risk factor definition storage unit for the set business risk factor, the business risk for the set security characteristic and the set business risk factor The reciprocal of the factor influence value multiplied by the set work, the set security characteristic and the set work risk factor for the set work risk factor, and the respective work and each security characteristic. Of the business request policy values for A large value, a maximum value among the business risk factor impact values for each security characteristic and each business risk factor, the number of types of the business risk factor and the set business risk factor. 3. The information processing apparatus according to claim 2 , wherein a business risk factor improvement value, which is an improvement target value of the business risk factor value, is calculated by multiplying the calculated business risk factor maximum value .
複数種類の業務リスク要因に関して複数種類の業務に共通の重み付けである業務リスク要因重み、および前記複数種類の業務リスク要因のそれぞれについての複数種類のセキュリティ特性のそれぞれへの影響度である業務リスク要因影響度を格納する業務リスク要因定義格納部、
前記複数種類の業務のそれぞれについての前記複数種類の業務リスク要因のそれぞれの値である業務リスク要因値を格納する業務リスク要因値格納部、
前記複数種類の業務、前記複数種類のセキュリティ特性および前記複数種類の業務リスク要因から業務、セキュリティ特性および業務リスク要因を1種類ずつ設定し、前記複数種類のセキュリティ特性および前記複数種類の業務リスク要因のそれぞれについての前記業務リスク要因定義格納部に格納される前記業務リスク要因影響度の値のうち最大の値に前記業務リスク要因の種類の数を掛けた値の逆数に対し、前記設定した業務および前記設定した業務リスク要因についての前記業務リスク要因値格納部に格納される前記業務リスク要因値と、前記設定したセキュリティ特性および前記設定した業務リスク要因についての前記業務リスク要因影響度と、前記設定した業務リスク要因についての前記業務リスク要因定義格納部に格納される前記業務リスク要因重みとの積を前記複数種類の業務リスク要因のそれぞれについて計算した値の総和を掛けることによって、各業務の業務リスク要因値に基づく前記セキュリティ特性に対するリスクの大きさである単純業務リスク値を各業務および各セキュリティ特性のそれぞれの組み合わせについて算出する単純業務リスク値算出手段、
複数種類の情報資産のそれぞれについての前記複数種類のセキュリティ特性のそれぞれに対する重み付けである情報資産格付け情報を格納する情報資産定義格納部、
前記複数種類の業務のそれぞれについて前記複数種類の情報資産のそれぞれの取り扱いの有無を示す業務資産関連付け情報を格納する業務資産関連付け格納部、
前記複数種類の業務および前記複数種類のセキュリティ特性から業務、セキュリティ特性を1種類ずつ設定し、前記業務資産関連付け格納部に格納される業務資産関連付け情報において前記設定した業務について取り扱いの有る少なくとも1種類の情報資産に関する、前記情報資産定義格納部に格納される前記情報資産格付け情報における前記設定したセキュリティ特性に対する重み付けのうち最大の値を、前記設定した業務に要求される前記設定したセキュリティ特性に対する重みである業務要求ポリシーの値とすることで、前記業務要求ポリシーを前記各業務および前記各セキュリティ特性のそれぞれの組み合わせについて算出する業務要求ポリシー算出手段、
前記複数種類の業務および前記複数種類のセキュリティ特性から業務およびセキュリティ特性を1種類ずつ設定し、前記各業務および各セキュリティ特性のそれぞれについての前記業務要求ポリシーの値のうち最大の値の逆数に、前記設定した業務および前記設定したセキュリティ特性についての前記業務要求ポリシー、および前記設定した業務および前記設定したセキュリティ特性についての前記単純業務リスク値を掛けることで、前記複数種類の業務のそれぞれの前記業務要求ポリシーとの乖離を反映した前記複数種類のセキュリティ特性のそれぞれに対するリスクの大きさである業務リスク値を前記各業務および前記各セキュリティ特性のそれぞれの組み合わせについて算出する業務リスク値算出手段、および
前記算出した業務リスク値を、改善すべき前記業務および前記セキュリティ特性の優先度にしたがって分類して出力する業務リスク値出力手段
として機能させるようにした情報処理プログラム。 Computer
Operational risk factor is a degree of influence on each of the multiple types of security characteristics for each of the common operational risk factors weighting is a weighting, and the plurality of types of operational risk factors to a plurality of types of operations with respect to a plurality of types of operational risk factors Business risk factor definition storage for storing the impact ,
The plurality of types of the operational risk factor value storage unit for storing operational risk factor values are the respective values of a plurality of types of operational risk factors for each business,
One type of business, security characteristics and business risk factors are set from the plurality of types of business, the plurality of types of security characteristics and the plurality of types of business risk factors, and the plurality of types of security characteristics and the plurality of types of business risk factors are set. For the reciprocal of the value obtained by multiplying the maximum value of the operational risk factor influence values stored in the operational risk factor definition storage unit for each of the operational risk factors by the number of types of operational risk factors, And the business risk factor value stored in the business risk factor value storage unit for the set business risk factor, the set security characteristics and the business risk factor influence degree for the set business risk factor, Before being stored in the business risk factor definition storage for the set business risk factor By multiplying the sum of the calculated values for each of the plurality of types of operational risk factors the product of the operational risk factors weight, simple operational risks is the magnitude of the risk to the security properties based on operational risk factors value for each business Simple business risk value calculation means for calculating values for each business and each combination of security characteristics ,
The information asset definition storage unit for storing information assets rating information is a weighting for each of a plurality of types of security characteristics for each of a plurality of types of information assets,
The plurality of types of the storage portion associated with the business assets to store business asset association information indicating whether or not each of the handling of a plurality of kinds of information assets for each business,
One type of business and security characteristics are set for each of the plurality of types of business and the plurality of types of security characteristics, and the set business is handled in the business asset association information stored in the business asset association storage unit. The maximum value of the weights for the set security characteristics in the information asset rating information stored in the information asset definition storage unit for the information asset is the weight for the set security characteristics required for the set work. business by the value of the request policy, the business request policy calculating means for calculating said work request policy for each combination of the respective business and the respective security characteristics is,
One type of business and security characteristics are set from the plurality of types of business and the plurality of types of security characteristics, and the reciprocal of the maximum value among the values of the business request policy for each of the business and security characteristics, By multiplying the business request policy for the set business and the set security characteristic, and the simple business risk value for the set business and the set security characteristic, the business of each of the plurality of types of business. A business risk value calculating means for calculating a business risk value, which is a magnitude of risk for each of the plurality of types of security characteristics reflecting a deviation from a request policy, for each business and each combination of the security characteristics ; and Calculated business risk Value, the operations and the information processing program to be classified according to the priority of the security characteristics to function as an operational risk value output means for outputting to be improved.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008072486A JP4764446B2 (en) | 2008-03-19 | 2008-03-19 | Information processing apparatus and information processing program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008072486A JP4764446B2 (en) | 2008-03-19 | 2008-03-19 | Information processing apparatus and information processing program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009230279A JP2009230279A (en) | 2009-10-08 |
| JP4764446B2 true JP4764446B2 (en) | 2011-09-07 |
Family
ID=41245624
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008072486A Active JP4764446B2 (en) | 2008-03-19 | 2008-03-19 | Information processing apparatus and information processing program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4764446B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2484762A4 (en) | 2009-10-02 | 2013-03-27 | Univ Kurume | Method for predicting therapeutic effect of immunotherapy on cancer patient and/or prognosis after immunotherapy, and gene set and kit to be used therein |
| JP6505974B2 (en) * | 2014-03-14 | 2019-04-24 | 株式会社野村総合研究所 | Office Risk Management System and Office Risk Management Program |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1364331A1 (en) * | 2001-01-29 | 2003-11-26 | Access 360 | System and method for resource provisioning |
| JP2005108099A (en) * | 2003-10-01 | 2005-04-21 | Hitachi Ltd | Information security policy evaluation system and its control method |
| JP2005216003A (en) * | 2004-01-29 | 2005-08-11 | Ricoh Co Ltd | Risk management support method and risk management support program |
| JP4034283B2 (en) * | 2004-03-30 | 2008-01-16 | 本田技研工業株式会社 | Company diagnostic report generator |
-
2008
- 2008-03-19 JP JP2008072486A patent/JP4764446B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009230279A (en) | 2009-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108415921B (en) | Supplier recommendation method and device and computer-readable storage medium | |
| US8924434B2 (en) | Project resource comparison view | |
| JP5872927B2 (en) | Dynamic threshold for conditional formatting | |
| JP5125069B2 (en) | Security risk management system, security risk management method, and security risk management program | |
| US20090074303A1 (en) | Method and System for Creating a Form Template for a Form | |
| US20180167414A1 (en) | System and method for monitoring and grading a cybersecurity framework | |
| Gourisetti et al. | Cybersecurity vulnerability mitigation framework through empirical paradigm: Enhanced prioritized gap analysis | |
| US9772873B2 (en) | Generating process templates with configurable activity parameters by merging existing templates | |
| US11159559B2 (en) | Systems and methods for importing diagrams for automated threat modeling | |
| US20120005115A1 (en) | Process risk prioritization application | |
| KR102180377B1 (en) | Integrated work management solution system | |
| JP2002352062A (en) | Security evaluation device | |
| US9374388B2 (en) | Policy arbitration method, policy arbitration server, and program | |
| JP4764446B2 (en) | Information processing apparatus and information processing program | |
| JP2005216003A (en) | Risk management support method and risk management support program | |
| WO2010088410A1 (en) | Subcontractor compliance measurement | |
| US8572749B2 (en) | Information security control self assessment | |
| JP2007305067A (en) | Business information estimation program, method and apparatus | |
| CN112990583A (en) | Method and equipment for determining mold entering characteristics of data prediction model | |
| JP6746731B2 (en) | Information processing apparatus, information processing method, and program | |
| CN105912927B (en) | System and method for generating application control rule | |
| Kiran et al. | A compartive analysis on risk assessment information security models | |
| WO2016129124A1 (en) | Data analysis system, data analysis method, and data analysis program | |
| JP4607943B2 (en) | Security level evaluation apparatus and security level evaluation program | |
| US11449218B2 (en) | Systems and methods for data evaluation and classification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100928 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101129 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110517 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110610 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140617 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4764446 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |