JP5071690B2 - リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム - Google Patents

リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム Download PDF

Info

Publication number
JP5071690B2
JP5071690B2 JP2009514068A JP2009514068A JP5071690B2 JP 5071690 B2 JP5071690 B2 JP 5071690B2 JP 2009514068 A JP2009514068 A JP 2009514068A JP 2009514068 A JP2009514068 A JP 2009514068A JP 5071690 B2 JP5071690 B2 JP 5071690B2
Authority
JP
Japan
Prior art keywords
risk
countermeasure
threat
risk model
influence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009514068A
Other languages
English (en)
Other versions
JPWO2008139856A1 (ja
Inventor
啓 榊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009514068A priority Critical patent/JP5071690B2/ja
Publication of JPWO2008139856A1 publication Critical patent/JPWO2008139856A1/ja
Application granted granted Critical
Publication of JP5071690B2 publication Critical patent/JP5071690B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Human Resources & Organizations (AREA)
  • Operations Research (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラムに関し、特に、コンピュータシステムに対するリスクを評価するリスク分析方式において利用されるリスクモデルを修正するリスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラムに関する。本出願は、日本国特許出願2007−126752に基づいており、優先権の利益を主張する。当該特許出願の開示内容は全て、参照することによりここに組み込まれる。
現在、情報漏えいなどのセキュリティ事故を未然に防ぐことが求められている。セキュリティ事故が起こらないセキュアな状態を維持するため、情報システムに多数の対策が施される。しかし、複雑な情報システムにおいてリスクを評価することは容易ではなく、必要な対策を決定することも容易でない。そこで、あらかじめ決められたリスクモデルに従って情報システムのリスクを評価するリスク分析システムが提案されている。関連するリスク分析システムとして、例えば、現状分析入力処理部と、資産入力処理部と、脆弱性データベースと、脅威データベースと、リスク算出部とを含むものがある。
現状分析入力処理部と、資産入力処理部と、脆弱性データベースと、脅威データベースと、リスク算出部とを含むリスク分析システムは、次のように動作する。現状分析入力処理部により、分析対象システムにおける脆弱性の有無を判断するための情報が入力される。入力された情報にもとづいて、脆弱性データベースが参照され、脆弱性が抽出される。抽出された脆弱性に対応する脅威が、脅威データベースから取り出される。リスク算出部は、各データベースにあらかじめ格納された脆弱性の大きさと脅威の大きさとから、リスクの大きさを計算する。特開2005−135239号公報(段落0054−0064、図1)に記載されているリスク分析システムでは、脆弱性データベースと、脅威データベースに格納された脅威と脆弱性との関係、およびその重みとがリスクモデルに相当する。
しかし、上記のリスク分析システムでは、あらかじめ決められた評価基準を含むリスクモデルに従って、情報システムのリスクが画一的に評価されるだけである。リスクは、情報システム固有の事情や環境などに依存することがある。このようなリスクを分析するためには、リスク管理のエキスパートの能力を持ったシステム管理者やコンサルタントが、事前に評価基準やシステム環境をユーザにヒアリングし、個別にリスクモデルを変更しておく必要がある。しかし、リスク管理のエキスパートでないユーザにヒアリングしても、リスクモデルを作成するための十分な情報を事前に引き出すことは困難である。よって、事前にリスクモデルを個別に変更して作成する方式では、一度リスク分析した結果をユーザに提示しながらヒアリングを繰り返し、リスクモデルを調整することになる。
リスク分析結果や、リスク分析に利用される脅威の重みや対策の効果などのパラメータを参照することにより、システム固有の事情や環境をリスク値の計算に反映させ、最終的なリスク値を算出するシステムが特開2005−135239号公報に提案されている。特開2005−135239号公報に記載されているシステムにおいて、情報セキュリティ管理装置は、現状分析入力処理部、資産入力処理部、脆弱性分析部、脅威分析部、値変更部、リスク算出部、現状質問データベース、回答選択肢テーブル、脆弱性データベース、および脅威データベースを含む。
このような構成を有する情報セキュリティ管理装置は以下のように動作する。すなわち、現状分析入力処理部は、セキュリティ対策を問う質問と回答とを入力する。脆弱性分析部は、回答の重みが所定値以上であれば、脆弱性データベースから質問のIDに対応する脆弱性とその重みとを取得する。資産入力処理部は、入力された資産リストの該当する資産価値をもとに、脆弱性ごとの脆弱性値を算出する。脅威分析部は、脆弱性のIDに対応する脅威とその重みをもとに、脅威値を算出する。リスク算出部は、資産価値と脆弱性値と脅威値とをもとに、脆弱性ごとのリスク値を算出する。さらに、値変更部は、脆弱性とそれに対応する脅威について、それぞれの計算結果を表示する。表示された値に異議があるときには、リスク分析者が値変更部を用いてそれを修正することができる。
しかし、脆弱性値や脅威値などの算出した値を変更する機能を持つだけでは、そもそもその値が正しいかどうか分からず、どこをどのように変更すればよいのかが判断できない。そのため、深刻なリスクがあるにも関わらず、正確なリスク値が算出されず、リスクが見過ごされることがある。また、本来はリスクがないにも関わらず、過剰な対策が実施されてしまうことがある。また、複数のシステムのリスク分析を担当している管理者やコンサルタントは、分析対象システムの事情や環境にあわせて脆弱性値と脅威値を個別に修正し、それぞれのリスクモデルを用意する必要がある。そのため、リスク分析に多数の工数が必要になり、間違いもおこりやすい。
一方、事前に用意されていない未知のリスクに対してもリスクモデルを生成し、リスクを評価するための方式の一例が、特開2006−285825号公報(段落0125−0134、図2)に記載されている。特開2006−285825号公報に記載されているリスク定量化支援システムは、リスク量を算出するリスク量算出部と、リスク事例から作成されたリスク量の算出式および検索インデックスを含むリスク分析モデルを記憶するリスク分析モデルデータベースと、リスク内容の具体的記述を含むリスクアイテムを取得し、リスク内容の具体的記述と検索インデックスとを比較することによって、リスクアイテムに対応するリスク分析モデルをリスク分析モデルデータベースから検索するリスク分析モデル検索部とを含む。
このような構成を有するリスク定量化支援システムは以下のように動作する。
すなわち、リスク分析モデル検索部は、リスク内容の具体的な記述を含むリスクアイテムを取得し、リスク内容の具体的記述と検索インデックスとを比較することにより、リスクアイテムに対応するリスク分析モデルをリスク分析モデルデータベースから検索する。そして、リスク算出部は、検索されたリスク分析モデルを利用してリスク量を計算する。
しかし、特開2006−285825号公報に記載されている従来のリスク定量化支援システムでは、入力できるリスク内容の具体的記述が、上述したリスクモデルのような対策の効果や脅威の重みのようなパラメータを含むことができない。そのため、リスク定量化支援システムではリスクモデルを修正する課題を解決できない。
特開2005−135239号公報、特開2006−285825号公報に記載されているような従来のシステムの問題点は、算出するリスク値を調整する際に、リスク値の算出結果が正しいかどうか分からない点である。分析対象の環境に合わせて脅威の大きさや対策の効果などのパラメータを変更する必要があるときでも、リスクモデルのどこに変更を加えればよいかが分からない。その理由は、従来の方式では、リスク値を計算するもとになる効果の大きさや脅威の大きさなどが表示され、その変更を受け付けているだけであるからである。対策ごとや脅威ごとにそれらの値を列挙しただけでは、どの値が正しいかを判断する基準がない。従って、リスクモデルのどこにどのような変更を加えるべきかが判断できない。パラメータを変更することにより分析対象システムに合わせたリスク値を計算することができない。
そこで、本発明は、計算されたリスクが正しいかどうかを判断できる情報を提示することのできる、リスクモデル修正システムを提供することを目的とする。
本発明に係るリスクモデル修正システムは、リスクを構成する脅威とその脅威に対する対策との対応関係をリスクモデルとして格納するリスクモデル格納手段と、分析対象システムに採用されている対策を採用対策として収集する情報収集手段と、そのリスクモデルとその採用対策とに基づいて、その分析対象システムにおけるリスクの大きさをリスク値として算出するリスク分析手段と、対策の有無がリスク値の算出結果に対して与える影響度を算出する、影響度算出手段と、その影響度をその対策と対応付けて、前記リスク値が計算された理由としてユーザに通知する理由提示手段とを具備する。
本発明に係るリスクモデル修正方法は、リスクを構成する脅威と、前記脅威に対する対策との対応関係をリスクモデルとして格納するステップと、分析対象システムに採用されている対策を採用対策として収集するステップと、そのリスクモデルとその採用対策とに基づいて、前記分析対象システムにおけるリスクの大きさをリスク値として算出するステップと、その脅威又は対策がそのリスク値に対して与える影響度を算出するステップと、その影響度を、その脅威又は対策と対応付け、そのリスク値が計算された理由としてユーザに通知するステップとを具備する。
本発明に係るリスクモデル修正プログラムは、リスクを構成する脅威と、前記脅威に対する対策との対応関係をリスクモデルとして格納するステップと、分析対象システムに採用されている対策を採用対策として収集するステップと、そのリスクモデルとその採用対策とに基づいて、その分析対象システムにおけるリスクの大きさをリスク値として算出するステップと、その脅威又は対策がそのリスク値に対して与える影響度を算出するステップと、その影響度を、その脅威又は対策と対応付け、そのリスク値が計算された理由としてユーザに通知するステップと、をコンピュータに実行させる為のプログラムである。
本発明の効果の一つは、リスク分析者がリスク値の計算が正しいものであるかを判断することができることにある。その理由は、リスク値を計算するために利用したリスクモデルにおいて、対策の有無がどの程度リスク値に影響したかを表す影響度が計算され、影響度と対策との関係が、リスク値が計算された理由として提示されるからである。
図1は、リスクモデル修正システムの第1の実施の形態を示すブロック図である。 図2は、第1の実施の形態のリスクモデル修正システムの動作を示すフローチャートである。 図3は、リスクモデル修正システムの第2の実施の形態を示すブロック図である。 図4は、第2の実施の形態のリスクモデル修正システムの動作を示すフローチャートである。 図5は、リスクモデル修正システムの第3の実施の形態を示すブロック図である。 図6は、第3の実施の形態のリスクモデル修正システムの動作を示すフローチャートである。 図7は、リスクモデル修正システムの第4の実施の形態を示すブロック図である。 図8は、第4の実施の形態のリスクモデル修正システムの動作を示すフローチャートである。 図9は、拡張リスクモデルを示す説明図である。 図10は、リスクモデルの具体例を示す説明図である。 図11は、リスク分析対象システムから収集された情報の具体例を示す説明図である。 図12は、リスク値を計算するための計算式を示す説明図である。 図13は、各対策の影響度の大きさの算出結果を示す説明図である。 図14は、リスク値の計算の理由を示す説明図である。 図15は、ルール1,2によって抽出された修正候補の表示例を示す説明図である。 図16は、ルール3,4によって抽出された修正候補の表示例を示す説明図である。 図17は、拡張リスクモデルの例を示す説明図である。 図18は、リスク分析対象システムから収集された情報の具体例を示す説明図である。 図19は、拡張リスクモデルを利用してリスク値を計算するための計算式を示す説明図である。 図20は、拡張リスクモデルの影響度の算出結果を示す説明図である。 図21は、モデル修正候補の抽出結果を示す説明図である。 図22は、脅威と対策とが加えられた拡張リスクモデルを示す説明図である。
以下、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
(第1の実施の形態)
図1は、本発明によるリスクモデル修正システムの第1の実施の形態を示すブロック図である。図1に示されるように、本発明の第1の実施の形態のリスクモデル修正システムは、リスク分析対象システム101と、情報収集手段102と、リスク分析手段103と、リスクモデル格納手段104と、影響度算出手段105と、理由提示手段106と、パラメータ調整手段107とを含む。
これらの手段は、それぞれ次のように動作する。リスク分析対象システム101は、リスクの評価対象となるシステムである。リスク分析対象システム101は、サーバやクライアントを含むコンピュータ、プリンタやファクシミリ装置などの出力機器、コンピュータ及び出力機器を接続するネットワーク機器、ネットワーク上に設置されるセキュリティ機器やセキュリティゲートやセキュリティワイヤなどの物理セキュリティ、及び運用システムのうちの少なくとも一つを含む。
情報収集手段102は、リスク分析対象システム101で実施されているセキュリティ対策の有無を示す情報(以下、採用対策情報)を収集する。
リスク分析手段103は、リスクモデル格納手段104に格納されたリスクモデルと、情報収集手段102によって収集された採用対策情報とから、リスク分析対象システム101のリスク値を計算することにより、リスク分析を行う。リスク分析手段103は、リスク分析対象システム101を介して資産の有無を示す情報を収集し、リスクモデルに格納された資産の大きさを用いてリスクを計算してもよい。
リスクモデル格納手段104は、情報システムのリスクを構成する脅威と、脅威を減少させるための対策とを関連付けたリスクモデルを格納する。リスクモデルにおいて、脅威には、重みなどのパラメータが対応付けられている。脅威の重みは、一般的な情報システムを対象における脅威を分析して得られる、脅威の種類と脅威の発生頻度などから計算される。リスクモデルにおいて、さらに、脅威間の関係や、対策間の関係が対応付けられていてもよい。さらに、対策の重みとして、脅威に対する有効度や対策を実施するためのコストなどが、対策の効果として付加されていてもよい。
影響度算出手段105は、リスクモデルに格納された各対策や脅威、およびその組み合わせにおいて、対策の有無がリスク値の計算結果に与える影響を算出する手段である。影響度は、リスクモデルに含まれる脅威の重みや対策の効果などのパラメータから計算できる。例えば、影響度は、脅威と対策の重みの積(影響度=脅威の重み×対策の重み)とすることができる。また、対策の有無によりリスクの値がどの程度変化するかを指標とすることができる。例えば、ある対策を「有」としたときに、リスク値が0.1減少したとすると、その対策のリスクに対する影響度を0.1とすることができる。
理由提示手段106は、影響度算出手段105が算出した影響度が大きな対策を、リスク値が計算された理由(リスク計算理由)として表示する。このとき、その対策に関係付けられた他の対策や脅威がともに表示されてもよい。
パラメータ調整手段107は、リスク値やリスク計算理由にリスク分析者が納得できないときに、リスクモデルを修正する手段である。パラメータ調整手段107は、例えば、リスクモデル中の脅威や対策に対応付けられたパラメータ(脅威の重みや対策の効果)を変更することによって、リスクモデルを修正する。
次に、図1のブロック図および図2のフローチャートを参照して本実施の形態の全体の動作を詳細に説明する。まず、情報収集手段102が、リスク分析対象システム101から、採用対策情報を収集する(ステップS101)。次に、影響度算出手段105が、リスクモデル格納手段104からリスクモデルを取り出し、各脅威および対策の影響度を算出する(ステップS102)。各脅威および対策の影響度を算出する処理をステップS101の前に実施して、各脅威および対策の影響度をリスクモデルとともにリスクモデル格納手段104に格納しておき、ステップS102では、それを取り出すだけでもよい。
さらに、リスク分析手段103は、採用対策情報とリスクモデルとを利用して、リスク値を算出する(ステップS103)。理由提示手段106は、リスク分析手段103が算出したリスク値を表示する。また、脅威および対策をその影響度とともに列挙する(ステップS104)。このとき、影響度、脅威および対策を単に列挙してもよいし、影響度が大きい順等に対策を並べてもよい。特に、影響度が大きな順に対策を並べることが好ましい。
また、すべての対策および脅威が列挙される必要はなく、対策や脅威が10位以内など一定の範囲で区切られて列挙されてもよい。さらに、リスク値およびその理由が納得できるかどうかがリスク分析者により判断される(ステップS105)。リスク分析者がリスク値およびその理由に納得できない場合は、パラメータ調整手段107により、リスクモデル格納手段104に格納された脅威の重みや対策の効果などのパラメータが調整される(ステップS106)。パラメータが調整された場合、ステップ102に戻り、リスクモデルからの影響度の計算およびリスクモデルを用いたリスクの計算がやり直される。
次に、本実施の形態の効果を説明する。本実施の形態では、リスクモデル修正システムが、リスク値とともに、影響度と対策の有無との関係を、リスク値が計算された理由として提示する。リスク分析者は、どの対策の影響度が大ききいのかを知ることができ、リスクモデルが意図したように構成されているのか否かを判断することができる。リスク分析者がリスクモデルに変更が必要と認めれば、リスクモデルが変更される。これにより、リスクモデルに含まれる脅威の重みや、対策などに結び付けられた効果などのパラメータを変更することができる。
また、リスクモデル修正システムが、影響度が大きな順に脅威や対策を列挙するように構成されている場合、リスク分析者は、リスクモデルに含まれる脅威の重みや、対策などに結び付けられた効果などのパラメータを変更すべき箇所がわかる。
また、本実施の形態では、さらに、リスクモデル修正システムが、影響度を評価し、その値をリスク値が計算された理由としてリスク値とともに表示する。その結果、計算されたリスク値が正しく計算されているか、リスク値を修正するためにリスクモデルに含まれる脅威や脆弱性、対策などに結び付けられたパラメータを変更すべきかどうかを判断できるだけの理由が提示される。
(第2の実施の形態)
次に、図面を参照して、本発明の第2の実施の形態を詳細に説明する。図3は、本発明の第2の実施の形態のリスクモデル修正システムを示すブロック図である。図3に示すように、本実施の形態のリスクモデル修正システムは、リスク分析対象システム201と、情報収集手段202と、リスク分析手段203と、リスクモデル格納手段204と、影響度算出手段205と、理由提示手段206と、パラメータ調整候補抽出手段207と、調整候補表示手段208と、パラメータ調整手段209とを含む。
これらの手段は、それぞれ次のように動作する。リスク分析対象システム201は、第1の実施の形態におけるリスク分析対象システム101と同様に動作する。情報収集手段202は、第1の実施の形態における情報収集手段102と同様に動作する。リスク分析手段203は、第1の実施の形態におけるリスク分析手段103と同様に動作する。リスクモデル格納手段204は、第1の実施の形態におけるリスクモデル格納手段104と同様に動作する。影響度算出手段205は、第1の実施の形態における影響度算出手段105と同様に動作する。理由提示手段206は、第1の実施の形態における理由提示手段106と同様に動作する。
パラメータ調整候補抽出手段207は、各脅威や対策の影響度と採用対策情報とから、リスク分析者の考えとリスクモデルとの間にギャップがあると考えられる箇所を抜き出し、リスクモデル調整候補として抽出する。例えば、実際には実施されていないのに影響度が高い対策は、影響度がリスク分析者の考えより高く見積もられている可能性がある。つまり、対策の効果または、その対策に関係付けられた脅威の大きさが高く見積もられている可能性がある。そこで、このような対策や、対策に関係付けられた脅威が、パラメータ調整候補になる。同様に、実施されているのに影響度が低い対策は、脅威の大きさや対策の効果が小さく見積もられている可能性がある。そこで、このような対策や対策に関連付けられた脅威が、パラメータ調整候補として抽出される。
調整候補表示手段208は、計算されたリスク値とリスク計算理由とともに、パラメータ調整候補が抽出した対策又は脅威を表示する。これにより、パラメータを修正するかどうかがリスク分析者に問い合わされる。リスク分析者は、表示にもとづいてパラメータを調整するかどうかを判断することができる。
パラメータ調整手段209は、リスク分析者の指示に従って対策又は脅威に対応付けられたパラメータ(対策の効果又は脅威の重み)を修正する。
次に、図3のブロック図および図4のフローチャートを参照して本実施の形態の全体の動作を詳細に説明する。まず、情報収集手段202が、リスク分析対象システム201から対策の実施の有無を示す情報(採用対策情報)を収集する(ステップS201)。次に、影響度算出手段205は、リスクモデル格納手段204からリスクモデルを取り出し、各脅威および対策の影響度を算出する(ステップS202)。各脅威および対策の影響度を算出する処理をステップS201の前に実施して、各脅威および対策の影響度をリスクモデルとともにリスクモデル格納手段204に格納しておき、ステップS202では、影響度を取り出すだけでもよい。
さらに、リスク分析手段203は、情報収集手段202が収集した採用対策情報と、リスクモデルとを利用して、リスク値を算出する(ステップS203)。理由提示手段206は、リスク分析手段203が算出したリスク値を表示すると共に、影響度を脅威および対策に対応付けて列挙する(ステップS204)。このとき、影響度、脅威および対策を単に列挙してもよいし、影響度が大きい順等に並べてもよい。特に、影響度が大きな順に並べることが好ましい。
また、すべての対策、脅威が列挙される必要はなく、10位以内など一定の範囲で区切られて列挙されてもよい。さらに、リスク値およびその理由が納得できるかどうかをリスク分析者が判断する(ステップS205)。
リスク分析者がリスク値およびその理由に納得できない場合には、パラメータ調整候補手段207により、対策の有無と影響度とを用いてパラメータ調整候補が抽出される(ステップS206)。次に、調整候補表示手段208は、パラメータ調整候補である対策又は脅威と、パラメータ調整候補に対応付けられたパラメータ(対策の効果又は脅威の重み)とを表示する(ステップS207)。リスク分析者がリスク値およびその理由に納得できない場合には、パラメータ調整手段209により、リスクモデル格納手段204に格納された脅威又は対策に対応付けられたパラメータが調整される(ステップS208)。パラメータが調整された場合、ステップ202に戻り、リスクモデルからの影響度の計算およびリスクモデルを用いたリスクの計算がやり直される。
次に、本実施の形態の効果を説明する。本実施の形態では、リスクモデル修正システムが、リスク値とともに、影響度と対策の有無とをリスク値の計算された理由として提示する。さらに、対策の実施の有無と影響度からパラメータ調整候補が表示される。リスク分析者がリスクモデルに変更が必要と認めれば、リスクモデルが変更される。これにより、リスクモデルに含まれる脅威や脆弱性、対策などに結び付けられた重みなどのパラメータを変更できる。
また、本実施の形態では、リスクモデル修正システムが、対策の実施の有無と影響度からパラメータ調整候補を提示する。これにより、リスクモデルにおいてパラメータを変更すべき箇所が提示できる。
また、本実施の形態では、リスクモデル修正システムにより、さらに、影響度が評価され、その値がリスク値が計算された理由としてリスク値とともに表示され、さらに、パラメータ調整候補が表示される。これにより、計算されたリスク値が正しく計算されているかを判断できるだけの理由が提示される。また、リスクの値を修正するために、リスクモデル中のパラメータを変更すべきかどうかを判断できるだけの理由が提示される。
(第3の実施の形態)
次に、本発明の第3の実施の形態を図面を参照して詳細に説明する。図5は、本実施の形態のリスクモデル修正システムを示すブロック図である。図5に示すように、本実施の形態のリスクモデル修正システムでは、第2の実施の形態におけるパラメータ調整候補抽出手段207の代わりに、モデル修正候補抽出手段307が設けられている。また、第2の実施の形態における調整候補表示手段208の代わりに、モデル修正候補表示手段308が設けられている。また、第2の実施の形態におけるパラメータ調整手段209に代わりに、モデル修正手段309が設けられている。
これらの手段は、それぞれ次のように動作する。リスク分析対象システム301は、第2の実施の形態におけるリスク分析対象システム201と同様に動作する。情報収集手段302は、第2の実施の形態における情報収集手段202と同様に動作する。リスク分析手段303は、第2の実施の形態におけるリスク分析手段203と同様に動作する。リスクモデル格納手段304は、第2の実施の形態におけるリスクモデル格納手段204と同様に動作する。影響度算出手段305は、第2の実施の形態における影響度算出手段205と同様に動作する。理由提示手段306は、第2の実施の形態における理由提示手段206と同様に動作する。
モデル修正候補抽出手段307は、影響度算出手段305が算出した影響度と、情報収集手段302が収集した対策の有無を示す情報とにもとづいて、リスクモデルを修正するための修正候補を抽出する。モデル修正候補抽出手段307による修正候補の抽出の仕方は、第2の実施の形態におけるパラメータ調整候補抽出手段207による抽出の仕方と同様でもよい。
モデル修正候補抽出手段307は、さらに、修正候補を抽出するために、パラメータ調整候補抽出手段207と同様に抽出した修正候補に加え、修正候補周辺のリスクモデルを提示してもよい。なぜなら、脅威や対策を追加するために、修正候補の周辺の情報が必要になることがあるからである。例えば、ある脅威と対策が修正候補になったときに、同じ脅威に関連付けられた他の対策が修正候補に含められることもある。このようにすることで、同じ脅威に結び付けられた他の対策と修正すべき対策とを比較することができる。従って、新しい対策を追加するのでなく、すでにある対策を分離したり、すでにある対策と同じ目的で異なる手段を用いるものを加えたりするなどの、一貫性のある脅威分析ができる。
モデル修正候補表示手段308は、モデル修正候補抽出手段307が抽出したモデル修正候補を表示することによって、リスクモデルを修正するかどうかをリスク分析者に問い合わせる。
モデル修正手段309は、モデル修正候補表示手段308が表示したモデル修正候補に対して、脅威や対策を追加する。また、モデル修正候補として表示されたパラメータの修正でよいとリスク分析者が判断したときには、パラメータを修正してもよく、また、リスクモデルとパラメータを同時に修正してもよい。
次に、図5のブロック図および図6のフローチャートを参照して本実施の形態の全体の動作を詳細に説明する。第1の実施の形態におけるステップS101〜S104の処理や第2の実施の形態におけるステップS201〜S204の処理と同様に、情報収集手段202が、リスク分析対象システム301から対策の実施の有無を示す情報を収集し、理由提示手段306が、リスクモデルから計算された影響度とともに、リスク値が計算された理由を表示することによって、リスクモデルの修正が必要かどうかを問い合わせる(ステップS301〜S304)。リスク分析者がリスクモデルの修正が必要であると判断した場合には、対策の有無と影響度とをもとにモデル修正候補抽出手段307がリスクモデル中からモデル修正候補を抽出する(ステップS305,S306)。モデル修正候補表示手段308は、モデル修正候補抽出手段307が抽出したモデル修正候補を表示する(ステップS307)。
次に、リスク分析者がモデル修正手段309を用いてリスクモデルを修正し、リスクモデル格納手段304に格納する(ステップS308)。リスクモデルが修正された場合には、ステップ302に戻り、リスクモデルからの影響度の計算およびリスクモデルを用いたリスクの計算がやり直される。
次に、本実施の形態の効果を説明する。本実施の形態では、リスクモデル修正システムが、リスク計算に与えた影響を表す影響度と、対策の有無とから、リスク値が計算された理由を提示し、さらにリスクモデルの修正候補を表示する。これにより、リスク分析者は、リスクモデルを修正すべきかどうかを判断することができる。
さらに、本実施の形態では、リスクモデル修正システムが、リスク計算に与えた影響を表す影響度と、対策の有無とからリスクモデルを修正したほうがよいと考えられるモデル修正候補を表示し、修正するように構成されているので、リスクモデルを修正することができる。
(第4の実施の形態)
次に、本発明の第4の実施の形態を図面を参照して詳細に説明する。図7は、本実施の形態のリスクモデル修正システムを示すブロック図である。図7に示すように、本実施の形態のリスクモデル修正システムでは、第3の実施の形態におけるリスクモデル格納手段304に代えて、拡張リスクモデル格納手段404が設けられている。
これらの手段はそれぞれ次のように動作する。情報収集手段402は、リスク分析対象システム401から対策の有無を示す情報(採用対策情報)や、資産の有無を示す情報を収集する。リスク分析手段403は、情報収集手段402が収集した情報を拡張リスクモデル格納手段404に格納された拡張リスクモデルに当てはめ、リスク値を計算する。
拡張リスクモデル格納手段404は、リスクモデルの一種である拡張リスクモデルを格納する。拡張リスクモデルとは、リスクモデルと同様に、リスクを計算するためにリスクを構成する脅威とその対策とが関連付けられたモデルである。拡張リスクモデル格納手段404は、さらに、対策に対してその対策を無効にしてしまう可能性がある脅威を関連付けて格納している。このように、対策を無効にする可能性のある脅威と関連付けることによって、より詳細な脅威分析の結果を行うことができる。拡張リスクモデルを図9に示す。
影響度算出手段405は、拡張リスクモデルの各脅威や、対策の有無がリスク値の計算に与える影響を計算する。影響度算出手段405は、第1〜第3の実施の形態の場合と同様に、影響度は、リスクモデルにつけられた脅威や対策のパラメータから計算されてもよいが、次のように計算されてもよい。リスクに対して、図9に示すように脅威T1があり、その対策としてC1があり、さらにC1に対してC1を無効にする可能性がある脅威T11があり、その脅威に対する対策としてc11があるとする。このときの影響度をt1×c1とする。また、t1×c1×t11×c11としてもよい。t1,t11は脅威の大きさ(重み)を示し、c1,c11は対策の効果の大きさを示す。
理由提示手段406は、リスク分析手段403が計算したリスク値とともに、リスク値算出の理由を表示する。その計算の理由として、例えば、影響度算出手段405が計算した影響度の高い順に、対策の有無が並べられる。
モデル修正候補抽出手段407は、事前の脅威分析の不足により拡張リスクモデルに不足がある考えられるときに、詳細な脅威分析を追加すべき箇所を拡張リスクモデルから抽出する。詳細な脅威分析を追加すべき箇所とは、第1の実施の形態や第2の実施の形態におけるパラメータ修正の着目点と同じ点である。特に、脅威が存在しない対策は、脅威分析が不足しているためにリスク値が間違っていると判断された可能性が高く、さらなる脅威分析をすべき有力なモデル修正候補になる。
モデル修正候補表示手段408は、モデル修正候補抽出手段407が抽出したモデル修正候補を表示する。
モデル修正手段409は、モデル修正候補表示手段に示されたモデル修正候補のうち、修正が必要なものを修正し、拡張リスクモデル格納手段404に格納された拡張リスクモデルを更新する。
次に、図7のブロック図および図8のフローチャートを参照して、本実施の形態の全体の動作を詳細に説明する。第1〜第3の実施の形態の場合と同様に、情報収集手段402が、リスク分析対象システム401から対策の実施の有無を示す情報(採用対策情報)を収集する(ステップS401)。次に、影響度算出手段405は、拡張リスクモデルを用いて影響度を計算する(ステップS402)。影響度は、例えば次にように計算される。対策につけられた効果をcとし、対策に関連付けられた脅威の大きさをtとすると、対策が結びつけられた脅威に対する効果は、c×(1−t)で計算できる。複数の脅威がひとつの対策に結び付けられているときには、例えば和演算で計算できる。次に、リスク分析手段403が、拡張リスクモデル格納手段404から拡張リスクモデルを取り出し、採用対策情報を用いてリスク値を計算する(ステップS403)。
次に、理由提示手段406は、影響度とともにリスク値が計算された理由を表示する。これにより、拡張リスクモデルの修正が必要かどうかが問い合わされる(ステップS404)。リスク分析者が拡張リスクモデルの修正が必要であると判断した場合には、モデル修正候補抽出手段407により、対策の有無と影響度とに基づいて、拡張リスクモデルにおけるモデル修正候補が抽出される(ステップS406)。モデル修正候補表示手段408は、抽出されたモデル修正候補を表示する(ステップS407)。
次に、リスク分析者がモデル修正手段409を用いて拡張リスクモデルを修正し、拡張リスクモデル格納手段404に格納する(ステップS408)。拡張リスクモデルが修正された場合、ステップ402に戻り、拡張リスクモデルからの影響度の計算および拡張リスクモデルを用いたリスク値の計算がやり直される。
次に、本実施の形態の効果を説明する。本実施の形態では、リスクモデル修正システムが、拡張リスクモデルを用いて、対策に対するさらなる脅威を含めたリスク値を計算する。リスク値の計算に与えた影響を表す影響度と対策の有無とにもとづいて、拡張リスクモデルにおいて脅威分析が不足していると考えられる点が指摘される。これにより、拡張リスクモデルが修正される。拡張リスクモデルが修正されることにより、個別のリスクモデルを事前に作成することなく、リスク分析対象に合わせた詳細なリスク分析を行うことができる。
なお、本実施の形態では、第3の実施の形態におけるリスクモデル格納手段304に代えて、拡張リスクモデル格納手段404が設けられたリスクモデル修正システムが示されたが、第1の実施の形態および第2の実施の形態におけるリスクモデル格納手段104,204に代えて、拡張リスクモデル格納手段404を設けてもよい。
また、上記の各実施の形態における各手段のうち、記憶手段(メモリ)で実現されるリスクモデル格納手段104,204,304および拡張リスクモデル格納手段404、調整候補表示手段208の一部(表示器で実現される部分)およびモデル修正候補表示手段308,408の一部(表示器で実現される部分)、ならびに理由提示手段106,206,306,406の一部(表示器で実現される部分)以外の手段は、パーソナルコンピュータやサーバ装置などの情報処理装置におけるソフトウェアで実現することができる。すなわち、情報処理装置におけるCPUとプログラムとによって実現することができる。
(実施例1)
次に、第2の実施の形態のリスクモデル修正システムの具体的な実施例(実施例1)を説明する。
図10にリスクモデルの具体例を示す。図10に示すように、リスクモデルは、リスクに対する脅威とその対策との関係が、脅威の重みと対策の効果などのパラメータとともに記述されたものである。リスクモデルは、リスクモデル格納手段204(図3参照)に格納されている。脅威の重みとは、脅威の発生頻度、被害の大きさ、および攻撃の成功確率などから計算される値であり、それぞれが別に与えられても、それらを含めた値が重みとして与えられてもよい。ここでは、両方を加味した値として重みが定義されている。また、対策の効果とは、各対策が対応する脅威をどの程度取り除けるかを表した割合である。
情報収集手段202(図3参照)は、リスク分析対象システム201(図3参照)の一例である各コンピュータ上の対策の有無を示す情報(採用対策情報)を収集する。収集された情報の具体例が図11に示される。図11の例では、PC1とPC2の2つのコンピュータから採用対策情報が収集されている。また、PC1,PC2ともに脅威T1に対する対策としてC2が実施されている。また、脅威T3に対する対策としてC7とC8が実施されている。なお、ここでは、リスクモデルとして脅威と対策の関係を示したが、脅威と脆弱性の関係を示し、その脆弱性に対する対策を別途定義してもよい。その場合には、脆弱性があることをもって対策が未実施であるとみなし、本実施例の対策を脆弱性と読み替えて実施してもよい。
リスク分析手段203(図3参照)は、リスクモデルとPC1,PC2から収集された情報とから、リスク値を計算する。リスク値は、例えば、図12に示す計算式にしたがって計算できる。図12において、リスクRに関連付けられた脅威がT1,T2,・・・,Tiで表され、脅威Tiに対する対策の実施状況を表す変数がxi1,xi2,・・・,ximで表され、脅威の重みがt1,t2,・・・,tiで表され、脅威に対応する対策の効果がci1,ci2,・・・cimで表されている。図10および図11に示されるリスクモデルと、分析対象システム(PC1,PC2)の情報から、リスク値をこの式にのっとって計算すると、リスク値|R|=0.62554になる。
影響度算出手段205(図3参照)は、影響度を計算する。影響度は、脅威の大きさ(重み)×対策の効果で計算できる。各対策の影響度の大きさを算出した結果が図13に示される。なお、図13には、影響度の大小を分かり易く示すため、影響度の数値だけでなく、影響度のレベルと、影響度の順位と、各対策の実施状況とがあわせて示されている。影響度のレベルは、影響度0〜1の間が3等分に区切られており、低、中、高として表現される。影響度の順位は、影響度を大きな順に並べたときの順位である。
次に、理由提示手段206(図3参照)が、図14に例示するように、リスク計算理由を提示する。影響度が大きな順に、その対策と脅威が提示される。提示される脅威と対策数はいくつであってもかまわない。図14の例では、影響度が大きい順に、5つの対策が脅威と対応付けられ、リスク計算理由として提示されている。また、図14には、リスクモデルの規模と、リスク分析者に対するわかりやすさから、上位5つ程度が表示されているが、リスクモデルの大きさによっては、リスク計算理由として、上位10個や上位20個が提示されてもよい。また、単に影響度が大きな順でなく、リスク別や、脅威別に分類されて提示されてもよい。また、リスク計算理由が、実施済みの対策と未実施の対策とに分けられて提示されてもよい。また、影響度によらず、なんら対策が実施されていない脅威が、リスク計算理由として提示されてもよい。
リスク分析者が表示されたリスク値とその理由を確認し、リスク値の大きさおよびその理由に納得できるときには、リスクモデルが修正される必要はない。この場合、リスク分析は完了する。一方、リスク値およびその理由に納得できないときには、パラメータ調整候補抽出手段207(図3参照)により、パラメータ調整候補が抽出される。パラメータ調整候補は、いくつかのヒューリスティックなルールに従って抽出される。例えば、パラメータ調整候補は、第2の実施の形態において用いられたパラメータ調整候補のルールによって、抽出される。本実施例では、リスク値を高くするための修正候補として、次のルールに従ってパラメータ調整候補を抽出する。
ルール1:実施している対策のうち影響度が高い対策
ルール2:実施していない対策で、かつ影響度の低い対策
また、リスク値を低くするための修正候補として、次のルールに従ってパラメータ調整候補を抽出する。
ルール3:影響度が低いにもかかわらず実施している対策
ルール4:影響度が高いにもかかわらず実施していない対策
影響度が高い対策としては、例えば、影響度の絶対値を分割の基準にして分割されたグループのうち、影響度の絶対値が高いグループに含まれる対策が選ばれる。影響度が低い対策としては、例えば、例えば、影響度の絶対値を分割の基準にして分割されたグループのうち、影響度が低いグループに含まれる対策を影響度が選ばれる。また、例えば、図13において影響度が高となっているものを影響度が高いもの、影響度が低となっているものを影響度が低いものとしてよい。さらに、絶対値でなく相対値が割り当てられてもよい。例えば、図13に示す影響度の順位1位から3位までを影響度が高いものとし、影響度が8位から10位までを影響度が低いものとされてもよい。また、対策が、両方の観点から抽出されてもよい。本実施例では、両方の観点で対策が抽出される。なぜならば、パラメータ調整候補がもれなく抽出されるからである。
パラメータ調整候補抽出手段207が、図13に例示するような各対策の影響度の大きさにもとづいて、ルール1に従ってパラメータ調整候補を抽出する。すると、脅威T1の対策C2が抽出される。ルール2に従ってパラメータ調整候補を抽出すると、脅威T2の対策C5および脅威T2の対策C8が抽出される。ルール3に従ってパラメータ調整候補を抽出すると、脅威T3の対策C7と脅威T4の対策C8とが抽出される。さらにルール4に従ってパラメータ調整候補を抽出すると、脅威T1の対策C1と、脅威T3の対策C6が抽出される。抽出されたパラメータ調整候補は、調整候補表示手段208(図3参照)により、リスク分析を実施するリスク分析者に提示される。例えば、ルール1,2によって抽出された修正候補の表示例が図15に、ルール3,ルール4によって抽出された修正候補の表示例が図16に示される。
なお、各ルールによって、どのパラメータを上げるのか下げるのかは、一意に決めることができる。図15および図16に示すように、上げるべきか下がるべきかがあわせて提示される。リスク分析者は、各パラメータ調整候補の中から調整が必要だと判断された候補に対して、パラメータ調整手段209(図3参照)を用いてパラメータを調整する。すなわち、パラメータ調整手段209は、リスク分析者の指示に応じてパラメータを変更する。例えば、ルール1によって抽出した脅威T1の対策C2に対してパラメータを調整する場合には、効果を下げるか脅威を上げることによってリスク値を上げることができる。また、例えば、T1の脅威の大きさを0.7から0.9にすると、リスク値は、0.63から0.65になる。一方、効果を0.7から0.3にするとリスク値は、0.63から0.76になる。
また、ルール2によって抽出された脅威T2の対策C5、脅威T2の対策C8に関しては、リスク値を上げるようとすると、脅威の大きさを上げるほかない。よって、脅威の大きさを0.4から0.8にすると、リスク値は0.63から0.88になる。
また、ルール3によって抽出された脅威T3の対策C7、脅威T3の対策C8では、リスク値を下げるためには対策の効果を上げればよい。例えば、C7の脅威T3に対する効果を0.5から0.9に変更するとリスク値は、0.63から0.55になる。一方、対策C8の脅威T3に対する効果を0.3から0.8に変更するとリスク値は0.53から0.67になる。
また、ルール4にされた抽出した脅威T1の対策C1、脅威T3の対策C6において、リスク値を下げるには脅威の大きさを下げればよい。例えば、T1の脅威の大きさを0.7から0.3に変更することにより、リスク値が0.63から0.57に変更される。脅威T3の大きさを0.6から0.2に変更することにより、リスク値が0.63から0.56に変更される。パラメータ調整手段209は、これらの変更のうち、リスク分析者が必要と認めた一つ以上の変更を実施し、リスクモデル格納手段204(図3参照)に格納されたリスクモデルを変更する。
(実施例2)
次に、第4の実施の形態のリスクモデル修正システムの実施例2を説明する。
図17は、拡張リスクモデル格納手段404(図7参照)に格納された拡張リスクモデルの例を示す説明図である。図17に例示される拡張リスクモデルは、第1の実施例におけるリスクモデルに対して、対策C4「ファイル添付を禁止する」を無効化する脅威として、脅威T4「規程に反しファイルを添付する」が加えられている。脅威T4の重み0.6は、対策C4を無効化する脅威T4の発生頻度から算出される重みである。この値が1のときには、その脅威が対策されない限り脅威に結び付けられた対策(この場合はC4)が効果を発揮しないことを表している。
情報収集手段402(図7参照)は、リスク分析対象システム401(図7参照)の一例であるコンピュータ(例えば、PC1)上の対策の有無を示す情報(採用対策情報)を収集する。収集された情報の具体例が図18に示される。リスク分析手段403(図7参照)は、図17に例示された拡張リスクモデルと図18に例示された収集された情報とを利用して、リスク値を計算する。リスク値は、図19に示す計算式に従って計算される。図19におけるT1’,T2’,・・・,Tm’は、対策Cijを無効にする可能性がある脅威である。脅威T1’,T2’,・・・,Tm’の大きさは、脅威Tと同様に計算される。さらに他の記号は、図12に示された式における記号と同じである。本実施例のリスク値を計算すると、|R|=0.79747152になる。
影響度算出手段405(図7参照)は、拡張リスクモデルの影響度を算出する。影響度を算出した結果が、図20において楕円中の値として示されている。なお、図20において、斜線が施された対策C2,C4,C6,C8,C9は、実施済みの対策であることを示す。次に、第1の実施例の場合と同様に、理由提示手段406(図7参照)は、理由を提示する。モデル修正候補抽出手段407(図7参照)は、モデル修正候補を収集する。モデルの修正候補は、第1の実施例においてパラメータ調整候補抽出手段207がパラメータ調整候補を抽出したのと同様に抽出される。抽出結果が図21に示されている。モデル修正候補表示手段408(図7参照)は、図21に例示するモデル修正候補をリスク分析者に提示する。モデル修正手段409(図7参照)は、各々のパラメータを第1の実施例におけるパラメータ調整手段209の場合と同様に、拡張リスクモデルを修正することができる。
さらに、本実施例では、モデル修正候補表示手段408は、脅威分析が不足していると思われる修正候補も提示することができる。脅威分析が不足していると思われる修正候補とは、実際の値よりリスク値が小さく算出されていると考えられる脅威または対策である。脅威分析が不足していると、脅威が見落とされ、脅威が考えられていない対策が実施されることがある。
すなわち、リスク分析者が実際よりリスク値が低く計算されていると判断したとき、図21に示されたモデル修正候補のなかで実施されている対策が脅威分析の不足している対策である。そこで、モデル修正候補表示手段408は、脅威T1に対する対策C2と脅威T3に対する対策C6とを、脅威分析不足と考えられる対策として提示する。リスク分析者は、提示された対策を見て脅威分析が不足していると考えた場合、脅威を追加することができる。例えば、対策C2「外部メモリの持込を禁止する」に対する脅威分析が不足しており、脅威として「外部メモリを隠し持つ」があり、その対策として「物理ゲートで持ち物検査をする」が存在すると考えられる場合、モデル修正手段409により、対策を追加することができる。脅威と対策とが加えられた拡張リスクモデルが図22に示されている。
次に、拡張リスクモデルを修正したので、リスク分析手段403は、リスク値を計算しなおす。リスク値を図19に示された式に当てはめて計算すると、拡張リスクモデル修正後のリスク値は、0.559810496になる。以上のように、拡張リスクモデルに対して、影響度を計算し、モデル修正候補を抽出することによって、脅威分析が不足している部分を見つけ、修正することができる。
本発明に係るリスクモデル修正システムは、リスク分析の判断基準となる脅威と対策との関係、およびそれらの重みを含むパラメータを有するリスクモデルを格納したリスクモデル格納手段と、分析対象システムの情報を収集する情報収集手段と、リスクモデルからリスク値の計算に与える影響度を算出する影響度算出手段と、分析対象システムのリスク値をリスクモデルを用いて計算することによってリスク分析を行うリスク分析手段と、リスク分析手段によるリスク分析結果とともに影響度算出手段が算出した影響度を提示することによって、リスク計算がされた理由を提示する理由提示手段とを有する。このような構成を採用し、リスクの分析結果とともに計算理由を提示することにより、計算されたリスクが正しいかどうかを判断できる情報が提示される。
本発明によるリスクモデル修正システムの他の形態は、影響度算出手段が算出した影響度と情報収集手段が収集した情報とにもとづいてパラメータ調整候補を抽出するパラメータ調整候補抽出手段と、パラメータ調整候補抽出手段が抽出した調整候補を表示する調整候補表示手段と、調整候補表示手段によって表示された調整候補のパラメータを調整するパラメータ調整手段とを有する。このような構成を採用し、影響度と対策の有無とからパラメータを調整すべき候補をリスクモデル中から抽出し、表示することにより、分析対象システムの状態や環境に合わせたリスク値を計算できるリスクモデル修正システムが提供される。
本発明によるリスクモデル修正システムの更に他の形態は、リスク分析の判断基準となる脅威と対策との関係、およびそれらの重みを含むパラメータを有するリスクモデルを格納したリスクモデル格納手段と、分析対象システムの情報を収集する情報収集手段と、リスクモデルからリスク値の計算に与える影響度を算出する影響度算出手段と、分析対象システムのリスク値をリスクモデルを用いて計算することによってリスク分析を行うリスク分析手段と、リスク分析手段によるリスク分析結果とともに影響度算出手段が算出した影響度を提示することによって、リスク計算がされた理由を提示する理由提示手段と、影響度算出手段が算出した影響度と情報収集手段が収集した情報とにもとづいてリスクモデルの構造を調整する調整候補を抽出するモデル調整候補抽出手段と、モデル調整候補抽出手段が抽出した調整候補を表示する調整候補表示手段と、調整候補表示手段によって表示された調整候補に従って脅威および対策をリスクモデルに追加するモデル修正手段とを有する。このような構成を採用し、影響度と対策の有無からリスクモデル中の修正すべき脅威や対策の候補を抽出し、必要であればそれを修正することにより、共通のリスクモデルであっても分析対象システムにあわせたリスク値が計算されるようにリスクモデルを修正するリスクモデル修正システムが提供される。
また、本発明のリスクモデル修正システムの更に他の形態は、リスクモデル格納手段が、対策に対するさらなる脅威を付け加えた拡張リスクモデルを格納するように構成されている。このような構成により、影響度と対策の有無から詳細なリスク分析が必要な脅威や対策の候補を抽出し、必要であればそれを修正することにより、共通のリスクモデルであっても分析対象システムにあわせたリスク値が計算されるようにリスクモデルを修正するリスクモデル修正システムが提供される。対策に対する脅威を記述できる拡張リスクモデルを用いてリスク値を計算できるので、リスク分析対象の環境に合わせて対策の効果が変化する詳細なリスク分析ができる。対策に対する脅威を記述できる拡張リスクモデルにより、リスク値が計算され、各対策がリスク値に与えた影響が影響度として表され、影響度と対策の有無から、脅威分析が不足していると考えられるモデル修正候補が提示される。リスク値の計算が正しくない理由が、対策に対する脅威分析が不足していることである場合に、リスク分析者が、リスクモデルに脅威や対策を追加できる。
以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態及び実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

Claims (18)

  1. リスクを構成する脅威群と、前記脅威群に含まれる各脅威の大きさを示すパラメータと、前記脅威に対する対策群と、前記対策群に含まれる各対策の効果を示すパラメータとの対応関係を、リスクモデルとして格納するリスクモデル格納手段と、
    分析対象システムにどの対策が採用されているかを採用対策情報として収集する情報収集手段と、
    前記リスクモデルと前記採用対策情報とに基づいて、前記分析対象システムにおけるリスクの大きさをリスク値として算出するリスク分析手段と、
    前記対策の有無が前記リスク値の算出結果に対して与える影響度を算出する、影響度算出手段と、
    前記影響度に基づいて、パラメータが調整されるべき前記各脅威又は各対策を、パラメータ調整候補として抽出するパラメータ調整候補抽出手段と、
    抽出された前記パラメータ調整候補を表示する調整候補表示手段と、
    前記各脅威又は各対策に対応付けられたパラメータを調整するパラメータ調整手段と、
    を具備する
    リスクモデル修正システム。
  2. 請求の範囲1に記載されたリスクモデル修正システムであって、
    前記パラメータ調整候補抽出手段は、前記パラメータ調整候補として、影響度が高いにもかかわらず実施されていない対策、及び影響度が低いにもかかわらず実施されている対策の少なくとも一方を抽出することを特徴とする
    リスクモデル修正システム。
  3. 請求の範囲1又は2に記載されたリスクモデル修正システムであって、
    更に、
    前記影響度と前記採用対策情報とに基づいて、前記リスクモデルにおける対応関係の中から、修正されるべき前記脅威又は対策を、調整候補として抽出するモデル調整候補抽出手段と、
    前記調整候補として抽出された前記各脅威又は各対策を修正するモデル修正手段と、
    を具備する
    リスクモデル修正システム。
  4. 請求の範囲3に記載されたリスクモデル修正システムであって、
    前記モデル調整候補抽出手段は、影響度が高いにもかかわらず実施されていない対策、および影響度が低いにもかかわらず実施されている対策の少なくとも一方を抽出し、抽出された対策と前記抽出された対策に関連付けられている脅威とを、前記調整候補とすることを特徴とする
    リスクモデル修正システム。
  5. 請求の範囲4に記載されたリスクモデル修正システムであって、
    前記モデル調整候補抽出手段は、前記調整候補とされた脅威に関連付けられた他の対策対策を、前記調整候補に含ませることを特徴とする
    リスクモデル修正システム。
  6. 請求の範囲1乃至5のいずれかに記載されたリスクモデル修正システムであって、
    前記リスクモデルにおいて、前記対策には、前記対策に対する更なる脅威が対応付けられている
    リスクモデル修正システム。
  7. リスクを構成する脅威群と、前記脅威群に含まれる各脅威の大きさを示すパラメータと、前記脅威に対する対策群と、前記対策群に含まれる各対策の効果を示すパラメータとの対応関係を、リスクモデルとして格納するステップと、
    分析対象システムにどの対策が採用されているかを採用対策情報として収集するステップと、
    前記リスクモデルと前記採用対策情報とに基づいて、前記分析対象システムにおけるリスクの大きさをリスク値として算出するステップと、
    対策の有無が前記リスク値の算出結果に対して与える影響度を算出するステップと、
    前記影響度に基づいて、パラメータが調整されるべき前記各脅威又は各対策を、パラメータ調整候補として抽出するステップと、
    抽出された前記パラメータ調整候補を表示するステップと、
    前記各脅威又は各対策に対応付けられたパラメータを調整するステップと、
    を具備する
    リスクモデル修正方法。
  8. 請求の範囲7に記載されたリスクモデル修正方法であって、
    前記パラメータ調整候補として抽出するステップは、前記パラメータ調整候補として、影響度が高いにもかかわらず実施されていない対策、及び影響度が低いにもかかわらず実施されている対策の少なくとも一方を抽出するステップを含んでいる
    リスクモデル修正方法。
  9. 請求の範囲7又は8に記載されたリスクモデル修正方法であって、
    更に、
    前記影響度と前記採用対策情報とに基づいて、前記リスクモデルにおける対応関係の中から、修正されるべき前記脅威又は対策を、調整候補として抽出するステップと、
    前記調整候補として抽出された前記各脅威又は各対策を修正するステップと、
    を具備する
    リスクモデル修正方法。
  10. 請求の範囲9に記載されたリスクモデル修正方法であって、
    前記調整候補として抽出するステップは、影響度が高いにもかかわらず実施されていない対策、および影響度が低いにもかかわらず実施されている対策の少なくとも一方を抽出し、抽出された対策と前記抽出された対策に関連付けられている脅威とを、前記調整候補とするステップを含んでいる
    リスクモデル修正方法。
  11. 請求の範囲10に記載されたリスクモデル修正方法であって、
    前記調整候補とするステップは、前記調整候補とされた脅威に関連付けられた別の対策他の対策を、前記調整候補に含ませるステップを含んでいる
    リスクモデル修正方法。
  12. 請求の範囲7乃至11のいずれかに記載されたリスクモデル修正方法であって、
    前記リスクモデルを格納するステップは、前記対策に、前記対策に対する更なる脅威を拡張リスクモデルとして対応付けるステップを備えている
    リスクモデル修正方法。
  13. リスクを構成する脅威群と、前記脅威群に含まれる各脅威の大きさを示すパラメータと、前記脅威に対する対策群と、前記対策群に含まれる各対策の効果を示すパラメータとの対応関係を、リスクモデルとして格納するステップと、
    分析対象システムにどの対策が採用されているかを採用対策情報として収集するステップと、
    前記リスクモデルと前記採用対策情報とに基づいて、前記分析対象システムにおけるリスクの大きさをリスク値として算出するステップと、
    前記各対策について、採用されているか否かが前記リスク値の算出結果に対して与える影響度を算出するステップと、
    前記影響度に基づいて、パラメータが調整されるべき前記各脅威又は各対策を、パラメータ調整候補として抽出するステップと、
    抽出された前記パラメータ調整候補を表示するステップと、
    前記各脅威又は各対策に対応付けられたパラメータを調整するステップと、
    をコンピュータに実行させる為のリスクモデル修正プログラム。
  14. 請求の範囲13に記載されたリスクモデル修正プログラムであって、
    前記パラメータ調整候補として抽出するステップは、前記パラメータ調整候補として、影響度が高いにもかかわらず実施されていない対策、及び影響度が低いにもかかわらず実施されている対策の少なくとも一方を抽出するステップを含んでいる
    リスクモデル修正プログラム。
  15. 請求の範囲13または14に記載されたリスクモデル修正プログラムであって、
    更に、
    前記影響度と前記採用対策情報とに基づいて、前記リスクモデルにおける対応関係の中から、修正されるべき前記脅威又は対策を、調整候補として抽出するステップと、
    前記調整候補として抽出された前記各脅威又は各対策を修正するステップと、
    をコンピュータに実行させる為のリスクモデル修正プログラム。
  16. 請求の範囲15に記載されたリスクモデル修正プログラムであって、
    前記調整候補として抽出するステップは、影響度が高いにもかかわらず実施されていない対策、および影響度が低いにもかかわらず実施されている対策の少なくとも一方を抽出し、抽出された対策と前記抽出された対策に関連付けられている脅威とを、前記調整候補とするステップを含んでいる
    リスクモデル修正プログラム。
  17. 請求の範囲16に記載されたリスクモデル修正プログラムであって、
    前記調整候補とするステップは、前記調整候補とされた脅威に関連付けられた別の対策他の対策を、前記調整候補に含ませるステップを含んでいる
    リスクモデル修正プログラム。
  18. 請求の範囲13乃至17のいずれかに記載されたリスクモデル修正プログラムであって、
    前記リスクモデルを格納するステップは、前記対策に、前記対策に対する更なる脅威を拡張リスクモデルとして対応付けるステップを備えている
    リスクモデル修正プログラム。
JP2009514068A 2007-05-11 2008-04-22 リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム Expired - Fee Related JP5071690B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009514068A JP5071690B2 (ja) 2007-05-11 2008-04-22 リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2007126752 2007-05-11
JP2007126752 2007-05-11
PCT/JP2008/057777 WO2008139856A1 (ja) 2007-05-11 2008-04-22 リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム
JP2009514068A JP5071690B2 (ja) 2007-05-11 2008-04-22 リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム

Publications (2)

Publication Number Publication Date
JPWO2008139856A1 JPWO2008139856A1 (ja) 2010-07-29
JP5071690B2 true JP5071690B2 (ja) 2012-11-14

Family

ID=40002073

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009514068A Expired - Fee Related JP5071690B2 (ja) 2007-05-11 2008-04-22 リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム

Country Status (3)

Country Link
US (1) US8844029B2 (ja)
JP (1) JP5071690B2 (ja)
WO (1) WO2008139856A1 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8484724B2 (en) * 2010-07-29 2013-07-09 Bank Of America Corporation User permissions in computing systems
US9123004B2 (en) 2012-03-29 2015-09-01 International Business Machines Corporation Predicting an effect of events on assets
US9535978B2 (en) 2012-03-29 2017-01-03 International Business Machines Corporation Semantic mapping of topic map meta-models identifying assets and events to include weights
US10346745B2 (en) 2013-09-05 2019-07-09 International Business Machines Corporation Method of using graphical index maps to provide automated relationship discovery and impact analyses
US9998393B2 (en) 2015-03-04 2018-06-12 International Business Machines Corporation Method and system for managing resource capability in a service-centric system
US10042915B2 (en) 2015-09-28 2018-08-07 International Business Machines Corporation Semantic mapping of topic map meta-models identifying assets and events to include directionality
US10387476B2 (en) 2015-11-24 2019-08-20 International Business Machines Corporation Semantic mapping of topic map meta-models identifying assets and events to include modeled reactive actions
US9997046B2 (en) 2015-12-31 2018-06-12 International Business Machines Corporation Visitor flow management
US10250631B2 (en) * 2016-08-11 2019-04-02 Balbix, Inc. Risk modeling
KR102118191B1 (ko) * 2018-05-25 2020-06-02 국방과학연구소 사이버 지휘통제 지원 방법 및 장치
KR102117696B1 (ko) * 2018-06-08 2020-06-01 아주대학교산학협력단 게임 이론을 이용한 보안 취약점 정량화 방법 및 장치
JP2020113090A (ja) * 2019-01-15 2020-07-27 三菱電機株式会社 脆弱性影響評価システム
JP2020166506A (ja) * 2019-03-29 2020-10-08 株式会社野村総合研究所 審査支援装置および審査支援プログラム
CN113095609A (zh) * 2019-12-23 2021-07-09 北京博超时代软件有限公司 风险提示预演方法、装置及设备
CN112634591B (zh) * 2020-12-14 2023-02-28 湖南顶立科技有限公司 一种报警处理方法及系统
JP7054099B1 (ja) 2021-04-23 2022-04-13 株式会社エヌ・エイ・シー 健康診断データ解析システム及び健康診断データ解析プログラム
JP2022187661A (ja) * 2021-06-08 2022-12-20 富士フイルムビジネスイノベーション株式会社 表面検査装置及びプログラム
WO2023175879A1 (ja) * 2022-03-18 2023-09-21 日本電気株式会社 情報処理装置、方法、及びコンピュータ可読媒体

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004302709A (ja) * 2003-03-31 2004-10-28 Hitachi Ltd 弁の保全管理方法及びその支援システム
JP2005234840A (ja) * 2004-02-19 2005-09-02 Nec Micro Systems Ltd リスク評価方法及びセキュリティ管理策の選定支援方法およびプログラム
JP2005332270A (ja) * 2004-05-20 2005-12-02 Toshiba Corp 情報処理システム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002157414A (ja) * 2000-11-20 2002-05-31 Uchiyama Kensetsu:Kk 文書管理システムおよびそれにおける評価システム
JP3842592B2 (ja) * 2001-07-26 2006-11-08 株式会社東芝 変更危険度測定システム、変更危険度測定方法及び変更危険度測定プログラム
JP2003150748A (ja) * 2001-11-09 2003-05-23 Asgent Inc リスク評価方法
JP2005128599A (ja) * 2003-10-21 2005-05-19 Universal Shipbuilding Corp リスクアセスメント装置及びそのプログラム
JP4369724B2 (ja) 2003-10-31 2009-11-25 株式会社富士通ソーシアルサイエンスラボラトリ 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法
JP2006285825A (ja) 2005-04-04 2006-10-19 Hitachi Ltd リスク定量化支援システム及びリスク定量化支援方法
JP4663484B2 (ja) * 2005-04-25 2011-04-06 株式会社日立製作所 システムセキュリティ設計・評価支援ツール、システムセキュリティ設計支援ツール、システムセキュリティ設計・評価支援プログラム、およびシステムセキュリティ設計支援プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004302709A (ja) * 2003-03-31 2004-10-28 Hitachi Ltd 弁の保全管理方法及びその支援システム
JP2005234840A (ja) * 2004-02-19 2005-09-02 Nec Micro Systems Ltd リスク評価方法及びセキュリティ管理策の選定支援方法およびプログラム
JP2005332270A (ja) * 2004-05-20 2005-12-02 Toshiba Corp 情報処理システム

Also Published As

Publication number Publication date
WO2008139856A1 (ja) 2008-11-20
US8844029B2 (en) 2014-09-23
US20100162401A1 (en) 2010-06-24
JPWO2008139856A1 (ja) 2010-07-29

Similar Documents

Publication Publication Date Title
JP5071690B2 (ja) リスクモデル修正システム、リスクモデル修正方法およびリスクモデル修正用プログラム
US7748041B2 (en) Tool, method, and program for supporting system security design/evaluation
US10630713B2 (en) Method and tool to quantify the enterprise consequences of cyber risk
Fenz et al. Verification, validation, and evaluation in information security risk management
US20010049793A1 (en) Method and apparatus for establishing a security policy, and method and apparatus for supporting establishment of security policy
US20060282276A1 (en) Method and system for determining effectiveness of a compliance program
US20130253979A1 (en) Objectively managing risk
US20130067572A1 (en) Security event monitoring device, method, and program
Pandey A comparative study of risk assessment methodologies for information systems
US11507674B2 (en) Quantifying privacy impact
Al-Safwani et al. A multiple attribute decision making for improving information security control assessment
JP4821977B2 (ja) リスク分析装置、リスク分析方法およびリスク分析用プログラム
Hallman et al. Return on Cybersecurity Investment in Operational Technology Systems: Quantifying the Value That Cybersecurity Technologies Provide after Integration.
Garba et al. Design of a conceptual framework for cybersecurity culture amongst online banking users in Nigeria
Kulugh et al. Cybersecurity Resilience Maturity Assessment Model for Critical National Information Infrastructure
Anjum et al. Two-phase methodology for prioritization and utility assessment of software vulnerabilities
Kiran et al. A compartive analysis on risk assessment information security models
CN116433076A (zh) 内控评价自动计算方法、装置、设备及介质
JP2002229946A (ja) 脆弱性検査システム
KR100902116B1 (ko) 정보 자산 식별 및 평가 방법
Singh et al. Toward grading cybersecurity & resilience posture for cyber physical systems
US20140359780A1 (en) Anti-cyber attacks control vectors
Danielson et al. A risk-based decision analytic approach to assessing multi-stakeholder policy problems
US9195731B2 (en) System and method for data provision
Darmi et al. Evaluation of Governance in Information Systems Security to Minimize Information Technology Risks

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120725

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120807

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150831

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees