JP5125069B2 - セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム - Google Patents

セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム Download PDF

Info

Publication number
JP5125069B2
JP5125069B2 JP2006310555A JP2006310555A JP5125069B2 JP 5125069 B2 JP5125069 B2 JP 5125069B2 JP 2006310555 A JP2006310555 A JP 2006310555A JP 2006310555 A JP2006310555 A JP 2006310555A JP 5125069 B2 JP5125069 B2 JP 5125069B2
Authority
JP
Japan
Prior art keywords
countermeasure
risk
security
client system
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006310555A
Other languages
English (en)
Other versions
JP2008129648A (ja
Inventor
一男 矢野尾
啓 榊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006310555A priority Critical patent/JP5125069B2/ja
Publication of JP2008129648A publication Critical patent/JP2008129648A/ja
Application granted granted Critical
Publication of JP5125069B2 publication Critical patent/JP5125069B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラムに関し、特に、多数の機器からなるシステムを複数の目的に合わせてリスク管理できるセキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラムに関する。
現在、企業内システムの多くのセキュリティ上の問題は、クライアントの脆弱性やミスユースによって生じている。例えば、ノート型パーソナルコンピュータ(以下、ノートPCという。)の紛失による情報漏洩や、ウイルス感染による通信障害などである。
これらのセキュリティ上の問題を解消するために、数々のセキュリティ対策手段が実用化されている。例えば、アンチウイルスツールをインストールしておけば、かなりの確率でウイルス感染を防止することができる。また、ディスク暗号化ツールによってハードディスクを暗号化しておけば、PCが盗難された場合もデータの漏洩を防止することができる。また、USBメモリの利用を禁止するツールを用いれば、USBメモリを介したデータの漏洩を防止することができる。
しかしながら、多くの場合、セキュリティ対策を実施すると可用性(利便性)の低下をもたらす。例えば、USBメモリの利用を禁止した場合、USBメモリを利用して簡単にデータの受け渡すことができなくなってしまう。
このように、セキュリティ対策の手段は多岐に亘り、その効果や制約もそれぞれ異なるため、これらを一元管理する技術が求められている。
従来では、各クライアントにインストールされているソフトウェアやパッチ適用状態、アンチウイルスツールのインストール状態などを調べ、不適切な管理がなされているクライアントの台数や不適切な設定の件数などをセキュリティ管理者に通知するためのツールが製品化されている。このような、クライアントのセキュリティ管理を一元化する技術を従来技術1と呼ぶ。
また、特許文献1には、各クライアントに導入されたセキュリティプログラムによって各クライアントがセキュリティ事象を検出して管理システムに送信し、管理システムが、セキュリティ事象とそれに対する対策とを関連づける知識データベースを保持し、最適な対策をクライアントに配布する方法が開示されている。また、特許文献2には、現状分析と資産分析の入力を支援してリスク分析を行い、対策指針データベースに保存されている内容に基づいて、対策案を生成する方法が開示されている。また、特許文献3には、対策による残存リスクと所要コストが許容範囲内に収まる対策を選択するための画面を用いたセキュリティ管理方法が開示されている。このような、クライアントの現状を分析して、予め定められた対応関係または指針に基づいて対策案を生成する技術を従来技術2と呼ぶ。
また、非特許文献1では、脆弱性の大きさや脅威の発現時における損害額、それに対策する実現方式のコスト(価格)といった情報を事前に定義しておき、それらの情報を元に、低コストで最も効率よくリスクを減らせる対策目標候補集合を選定することによって、セキュリティリスクへの効果的な対策を実現する方法が提案されている。また、非特許文献2では、脅威の発生確率と、情報資産の価値と、それらの関係を事前に定義しておき、それらの情報を元に、低コストで最も効率よくリスクを減らせる対策目標候補集合を選定することによって、セキュリティリスクへの効果的な対策を実現する方法が提案されている。このような、残存リスクとコストとの関係を考慮して効果的な対策の組み合わせ(対策目標候補集合)を選定する技術を従来技術3と呼ぶ。
特開2005−301551号公報 特開2005−135239号公報 特開2003−196476号公報 永井他,「機能的適合性を考慮した情報システムのセキュリティ基本設計法の提案」,情報処理学会論文誌,2004年4月,Vol.45,No.4 中村他,「セキュリティ対策選定の実用的な一手法の提案とその評価」,情報処理学会論文誌,2004年4月,Vol.45,No.8
しかしながら、従来技術1では、ある不適切な管理がされていることによって、現実にどのようなセキュリティ上の脅威があるのかが、セキュリティ管理者にとって明確でない。例えば、いくつかの種類の脅威があった場合に、セキュリティ管理者が、どのような種類の脅威がどの程度存在しているのかを把握することが難しい。また、警告を一律に全て無くすという目標でセキュリティ管理を行っているため、クライアントの実情に応じた個別な対策を実施できないといった問題がある。また、個々のクライアントの実情によって対策を実施できない場合、そのクライアントを管理対象外として除外せざるを得ず、そのクライアントはセキュリティ管理者のセキュリティ管理下から外れてしまうという問題がある。例えば、特別なデバイスが接続されているためセキュリティ対策ツールをインストールできない、または特殊な物理環境に置かれているため一般的な対策を実施する必要がなく実施していない場合などには、常に実施できない対策を実施すべき旨の対策案が立案されてしまったり、他に重視したい対策を犠牲にした不適切な対策案が立案されてしまう。
また、従来技術2では、対策案のリストを表示するだけであり、複数の対策がとりうる場合など、どの対策を組み合わせればよいのかが分からないという問題がある。例えば、特許文献3では、対策に要するコストとリスク削減効果が一定以下になる対策案を画面から選択することができるが、対策の組み合わせは人手によって決定しなければならない。このため、対策の数が増えると作業量は多くなり、セキュリティ管理者の手に負えなくなる可能性がある。また、複数の対策が組み合わさって初めて所望の効果を発揮したり、ある対策を実施すると別の対策は意味を成さなくなるといった制約関係が存在する場合には、人手による作業はますます困難になる。また、セキュリティ対策による残存リスクと所要コストは考慮されているものの、可用性の低下については考慮されていない。なお、クライアントに対し一律に策定されたセキュリティポリシーに従って対策案を生成しているため、各クライアントの実情に応じた対策を立案することができない点は、従来技術1と同様である。
また、従来技術3では、どの対策を組み合わせればよいのか、コストを最小化するという観点で最適な対策の組み合わせを提示することができる。しかしながら、コストと可用性の低下といった複数の要件の下での最適な対策の組み合わせについては、考慮されておらず、提示することができない。また、対策間の制約を考慮した対策を立案することができない点、および個々のクライアントの実情に応じた対策を立案することができない点は、他の従来技術と同様である。
以上をまとめると、従来技術の課題は、以下のように整理できる。
第1の問題点は、各クライアントの実情に合わない対策立案がなされてしまうことである。その理由は、クライアントとして管理する端末等の用途は様々であるが、同一の指標に基づいて対策の立案を行っているからである。結果、画一的な管理から外れるクライアントは例外扱いするといった運用による対処がなされ、セキュリティ管理システムの管理対象から外れて、人手による管理に委ねられてしまうといった問題も生じてしまう。
第2の問題点は、セキュリティ対策を実施する際に生じる利便性(可用性)の低下を考慮した対策の立案がなされないことである。例えば、特許文献1,2に開示されている方法では、予め定められたセキュリティ事象とセキュリティ対策との対応関係に基づいて、発生したセキュリティ事象に対応する対策を指示するのみである。また、例えば、特許文献3や非特許文献1,2に開示されている方法では、コストを最小化するという単目的の対策立案しか行わない。
第3の問題点は、共存できない対策の組み合わせが立案されてしまう場合があることである。その理由は、対策間の排他関係といった制約について考慮されていないからである。
そこで、本発明は、クライアントのセキュリティ管理を一元化しつつ、クライアントの実情に応じたセキュリティ対策を実施できるセキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラムを提供することを目的とする。例えば、典型的な用途のクライアントには同一のセキュリティ対策を実施し、特殊な用途のクライアントには個別のセキュリティ対策を実施できようにする。また、例外的な対策が必要なクライアントに対しても、新たな管理区分を設けることによって、管理下におくことができるようにする。
また、本発明は、セキュリティ対策を実施することによって発生するコストだけでなく、利便性(可用性)の低下など複数の要件を考慮した上で、適切な対策立案を行うことができるようにすることを目的とする。さらに、本発明は、セキュリティ対策間の排他関係などの制約をも考慮し、現実に取りうる対策の組み合わせにおいて、適切な対策立案を行うことができるようにすることを目的とする。
また、本発明は、セキュリティ脅威の種類別に、リスクの高いクライアントを容易に発見できるようにすることを目的とする。
また、本発明は、立案された対策をクライアントで実施する際に、できるだけセキュリティ管理者の工数を割くことなく、各クライアントで実施できるようにすることを目的とする。
また、本発明は、セキュリティ管理者が、どのような残留リスクがどの程度存在することになるのかを認識した上で、対策案を選定する基準となるセキュリティ管理指針を設定することができるようにすることを目的とする。さらに、本発明は、セキュリティ管理者が、クライアントの実情に応じてどの脅威を重くみるかといった脅威の種類別のセキュリティ管理指針を設定することができるようにすることを目的とする。
本発明によるセキュリティリスク管理システムは、クライアントシステムにおけるセキュリティリスクを管理するセキュリティリスク管理システムであって、リスク管理の対象となるクライアントシステムの状態を示す情報と資産価値を示す情報とを格納する状態格納手段(例えば、状態格納手段102)と、各クライアントシステムの用途に応じてどのような管理区分が存在するかを定義するとともに各クライアントシステムがどの管理区分に分別されるかを定義した管理区分ポリシー(例えば、管理区分ポリシー106)と、クライアントシステムの状態とに基づいて、各クライアントシステムの管理区分を判別する管理区分判別手段と、対策実施に伴う1つ以上のセキュリティ要件として、少なくともセキュリティ対策を実施する際に許容する脆弱性の大きさと、可用性低下の大きさとを示す情報を含む情報を管理区分毎に定義した対策ポリシー(例えば、対策ポリシー107)と、少なくともクライアントシステムの状態から導出される各脅威およびその関連性に基づいてそのクライアントシステムに現在どれだけのセキュリティリスクが存在するのかを算出するためのモデル式を定義したリスクモデルであって少なくとも対策を実施することによって低減する脆弱性の大きさと、対策を実施することによって増大する可用性低下の大きさとを算出するための計算式を含むリスクモデル(例えば、リスクモデル109)とに基づいて、管理区分毎の対策案を生成する対策案生成手段(例えば、対策案生成手段104)と、状態格納手段に格納されている情報で示される各クライアントシステムの対策実施有無とリスクモデルとから、各クライアントシステムの現在のセキュリティリスクの度合いを示すリスク値を算出するリスク評価手段(例えば、リスク評価手段111)と、対策ポリシーおよびリスクモデルに含まれるセキュリティ対策間の関係を表す論理制約式を、前記対策案生成手段で扱える形式に変換する論理制約変換手段(例えば、論理制約変換手段112)とを備え、論理制約変換手段は、論理制約式を線形制約式の集合に変換し、対策案生成手段は、論理制約変換手段によって変換された線形制約式の集合を加えた上で、対策ポリシーで示されるセキュリティ要件を目標値として、管理区分毎に、各目標値に対して最もよく満たすこととなる各対策実施有無を示す2値変数の組み合わせを、基準点法を用いて、多目的最適化問題を解くことによって求め、求めた2値変数の組み合わせで示される対策実施有無の組み合わせを対策案とすることを特徴とする。
また、セキュリティリスク管理システムは、クライアントシステムの状態を示す情報として、少なくとも該クライアントシステムにおけるセキュリティ対策の実施有無を示す対策実施情報と、管理区分を判別するために必要な該クライアントシステムの構成情報とを収集し、状態格納手段に格納させる状態収集手段(例えば、状態収集手段121)と、クライアントシステムの資産価値を判定し、状態格納手段に格納させる資産情報収集手段(例えば、資産情報収集手段122)とを備えていてもよい。
また、対策案生成手段は、脅威の種類別に対策実施に伴う1つ以上のセキュリティ要件を管理区分毎に定義した対策ポリシーと、クライアントシステムの状態から導出される各脅威およびその関連性に基づいてそのクライアントシステムに現在どれだけのセキュリティリスクが存在するのかを脅威の種類別に算出するためのモデル式を定義したリスクモデルとに基づいて、管理区分毎の対策案を生成し、リスク評価手段は、状態格納手段に格納されている情報で示される各クライアントシステムの対策実施有無とリスクモデルとから、各クライアントシステムの現在のセキュリティリスクの度合いを示すリスク値を脅威の種類別に算出してもよい。
また、セキュリティリスク管理システムは、クライアントシステムのセキュリティリスクに関する情報として、少なくともリスク評価手段によって算出されるリスク値を表示するとともに、リスク値が所定の閾値よりも高いクライアントシステムの情報を強調表示する表示手段(例えば、表示手段110)を備えていてもよい。
また、セキュリティリスク管理システム対策案生成手段によって生成された対策案を、クライアントシステム上で自動で実施する、またはクライアントシステムのユーザに対し、実施することを喚起する対策実施手段(例えば、対策実施手段123)を備えていてもよい。
また、セキュリティリスク管理システムは、管理区分ポリシーおよび対策ポリシーの設定内容を変更または追加するための画面を表示することによって、ユーザに対して管理区分ポリシーおよび対策ポリシーを編集させるポリシー編集手段(例えば、ポリシー編集手段113)を備えていてもよい。
また、ポリシー編集手段は、対策が実施されることによって脅威の種類別にどの程度リスク値が低減するかを表示する領域と、脅威の種類別に許容できるリスク値を設定するための領域とを含む画面を表示してもよい。
また、対策ポリシーは、少なくともセキュリティ対策を実施する際に許容する脆弱性の大きさと、コストの大きさと、可用性低下の大きさとを示す情報を含み、リスクモデルは、少なくとも対策を実施することによって低減する脆弱性の大きさと、対策を実施することによって増大する可用性低下の大きさおよびコストの大きさとを算出するための計算式を含んでいてもよい。
本発明は、各クライアントシステムの管理区分を判別する管理区分判別手段と、管理区分毎にセキュリティ要件を定義した対策ポリシーとセキュリティリスクの大きさを算出するためのモデル式を定義したリスクモデルとに基づいて管理区分毎の対策案を生成する対策案生成手段と、各クライアントシステムの対策実施有無とリスクモデルとから、各クライアントシステムの現在のセキュリティリスクの度合いを示すリスク値を算出するリスク評価手段とを備えているので、クライアントシステムの実情に応じた管理区分を設定することによって、管理区分毎に、対策ポリシーに基づく対策案を生成することができる。従って、クライアントのセキュリティ管理を一元化しつつ、クライアントの実情に応じたセキュリティ対策を実施できる。
また、本発明によれば、1つ以上のセキュリティ要件を定義した対策ポリシーに基づいて、対策案を生成するので、セキュリティ対策を実施することによって発生するコストだけでなく、利便性(可用性)の低下など複数の要件を考慮した上で、適切な対策立案を行うことができる。
実施の形態1.
以下、本発明の第1の実施の形態を図面を参照して説明する。図1は、第1の実施の形態によるセキュリティリスク管理システムの構成例を示すブロック図である。図1に示すセキュリティリスク管理システムは、マネージャシステム100と、複数のクライアントシステム120とを備える。マネージャシステム100とクライアントシステム120とは、例えば、インターネット等の通信ネットワークを介して接続される。なお、マネージャシステム100とクライアントシステム120とは、例えば、無線通信ネットワークを介して接続されていてもよい。
マネージャシステム100は、具体的には、ワークステーションやパーソナルコンピュータ等の、プログラムに従って動作する情報処理装置(中央処理装置,プロセッサ,データ処理装置等)を備えたコンピュータシステムによって実現される。なお、マネージャシステム100は、少なくとも、入力装置と表示装置(以下、合わせて入出力装置101と呼ぶ)とを備えたコンピュータシステムによって実現されるものとする。また、クライアントシステム120は、具体的には、パーソナルコンピュータ等の、プログラムに従って動作する情報処理装置を備えたコンピュータシステムによって実現される。なお、クライアントシステム120は、パーソナルコンピュータ装置に限らず、例えば、特殊な機器を接続した情報処理装置やサーバ装置、データベースシステムなどのコンピュータシステムであってもよい。
クライアントシステム120は、状態収集手段121と、資産情報収集手段122とを備える。
状態収集手段121は、そのクライアントシステム120(その状態収集手段121を備えるクライアントシステム120)の現在の状態を判別して、その情報をクライアントシステム120の状態を示す情報としてマネージャシステム100に送信する。状態収集手段121は、例えば、そのクライアントシステム120のソフトウェアのインストール状態や、レジストリや設定ファイルの内容からセキュリティ対策の実施有無を判定し、その情報をマネージャシステム100に送信して、状態格納手段102に格納させる。また、状態収集手段121は、例えば、そのクライアントシステム120のソフトウェアのインストール状態や、レジストリや設定ファイルの内容からクライアントシステム120の構成(接続されているデバイスやインストールされているOS,ソフトウェアなど)を判定し、その情報をマネージャシステム100に送信して、状態格納手段102に格納させてもよい。
例えば「ディスク暗号化」「アンチウイルス」という対策がなされているかどうかは、ディスク暗号化ツールやアンチウイルスツールがインストールされているかどうかで判断できる。また、例えば「認証強化」という対策がなされているかどうかは、OSが短いパスワードや簡単なパスワードを許可しないような設定になっているかどうかで判断できる。また「USBメモリ登録制」「USBメモリ使用禁止」という探索がなされているかどうかは、USBメモリによるデータの持ち出しを制御する持ち出し制御ツールがインストールされているか、そしてそのツールの設定がどのようになっているかによって判断できる。
また、状態収集手段121は、セキュリティ対策の実施状態をユーザに入力させるための入力画面を有していてもよい。入力画面は、例えば、セキュリティ対策の各項目を表示するとともに、その対策有無をチェックさせるチェック欄を含む画面である。なお、構成を入力するための入力項目を含んでいてもよい。状態収集手段121は、例えば、定期的に、クライアントシステム120上のプログラムでは自動的に収集することができない対策の有無についてのチェック欄を含む入力画面を表示し、ユーザ操作によるチェック欄の入力に従って判別してもよい。そのようにすると、クライアントシステム120上のプログラムでは自動的に収集することができない情報、例えば、そのクライアントシステム120がセキュリティワイヤで固定されているか否かといった情報について、そのクライアントシステム120のユーザが自己申告で設定する、といった運用が可能となる。
資産情報収集手段122は、そのクライアントシステム120の資産価値を算出して、その情報をクライアントシステム120の資産価値を示す情報としてマネージャシステム100に送信する。資産情報収集手段122は、セキュリティ要件、すなわち機密性・完全性・可用性が失われた場合にどれだけの被害が発生するかを算出する手段である。
例えば、機密性に関する資産価値(以下、機密度と呼ぶ。)を算出する具体的な方法としては、クライアントシステム120内の文書ファイルの総数をカウントすることによってそのクライアントシステム120における機密度を概算する処理によって実現してもよい。具体的には、文書ファイルの内容を検査し、文書のヘッダ・本文・フッタ等の部分領域に分割し、部分領域毎に予め定めておいた特徴定義辞書に基づき人名や住所などの特徴要素を抽出する。そして、その特徴用をの配置状況を評価し、部分領域がどのような機密度に属するのかを判定してもよい。なお、上記で示したファイルの内容を検査して機密度を判定する方法は、例えば、文献「特開2006−209649号公報」に記載されている。また、完全性に関する資産価値(以下、完全性価値と呼ぶ。)を算出する具体的な方法としては、そのクライアントシステム120にデータベース管理システムがインストールされていれば完全性価値が高く、そうでなければ低くなるように算出すればよい。可用性に関する資産価値(以下、可用性価値と呼ぶ。)を算出する手段の具体的な方法としては、そのクライアントシステム120の稼働時間(24時間稼働しているか、毎日電源が投入されているか等)や、重要なサーバソフトウェアが実行されているか、といったことに基づいて算出すればよい。なお、この場合には、稼働時間が多い方が可用性価値が高く、また、重要なサーバソフトウェアが実行されている方が可用性価値が高くなるように算出する。
状態収集手段121、資産情報収集手段122は、具体的には、クライアントシステム120が備えるCPU等のプログラムに従って動作するデータ処理装置によって実現される。なお、状態収集手段121、資産情報収集手段122は、各クライアントシステム120がプログラムをインストールする等して、管理対象とするクライアントシステム120それぞれに備えられているものとする。
マネージャシステム100は、状態格納手段102と、管理区分判定手段103と、対策案生成手段104と、ポリシー格納手段105と、リスクモデル格納手段108と、表示手段110と、リスク評価手段111とを備える。
状態格納手段102は、管理対象である各クライアントシステム120の状態を示す情報(対策実施の有無や構成その他の状態を示す情報)と、資産価値を示す情報とを格納(記憶)する。また、状態格納手段102は、各クライアントシステム120について、管理区分判定手段103で判定される管理区分を示す情報や、対策案生成手段104によって生成される対策案を示す情報を格納する。
ポリシー格納手段105は、管理区分ポリシー106と、対策ポリシー107とを格納する。ここで、管理区分とは、セキュリティ要件別にクライアントシステム120を分類する区分のことをいう。例えば、管理区分として、「オフィス用」「業務用」「持ち出し用」の3つの区分が考えられる。例えば、「オフィス用」には、オフィス内でメールや文書作成などを行うための、いわゆるオフィス業務に用いるクライアントシステム120を分類する。また、「業務用」には、経理システムや在庫管理システムのような業務システムと連動するクライアントシステム120を分類する。また、「持ち出し用」には、出張や外出時に社外に持ち出すクライアントシステム120を分類する。
このような分類において、「オフィス用」に分類されたクライアントシステム120は、屋外に持ち出されることがないので、クライアントシステム120本体の紛失による情報漏洩はあまり考慮しなくてもよい。その代わり、文書作成時に様々なアプリケーションを使用することを見越して、例えば、ユーザが新しいソフトウェアをインストールできるようにするなど、可用性を重視した運用が望まれる。一方「業務用」に分類されたクライアントシステム120は、より重要な情報を扱うのでセキュリティレベルを上げる必要がある。その代わり、定型的な使われ方しかされないので、可用性はあまり考慮しなくてもよい。また、「持ち出し用」に分類されたクライアントシステム120は、紛失による情報漏洩を十分に考慮する必要がある。このように、管理区分とは、クライアントシステム120の用途やその置かれている状況などに応じて、クライアントシステム120のセキュリティ要件を分けるために定義される区分を言う。
管理区分ポリシー106とは、どのような管理区分が存在するかを定義するとともに、各クライアントシステム120がどの管理区分に分別されるかを示す分別手順や対応関係を定義したもの(情報)である。図2は、管理区分ポリシー106として登録される情報の例を示す説明図である。管理区分ポリシー106は、例えば、図2に示すようなクライアントシステム120の状態や構成から管理区分を判定するスクリプトプログラムとして与えることも可能である。図2に示す管理区分ポリシー106によると、ノートPCと判定されたクライアントシステム120は「持ち出し用」、業務アプリケーションがインストールされているクライアントシステム120は「業務用」、それ以外のクライアントシステム120は「オフィス用」と判定される。なお、管理区分ポリシー106は、各クライアントシステム120を識別するためのIDと管理区分とを対応づけて記憶させた対応表として与えられてもよい。
管理区分判定手段103は、ポリシー格納手段105に格納される管理区分ポリシー106に格納されている管理区分ポリシー106に基づいて、各クライアントシステム120の管理区分を判定し、状態格納手段102にその結果を格納する。
対策ポリシー107とは、クライアントシステム120の管理区分に応じた対策案を生成(選定)するための制約条件を示す情報である。具体的には、管理区分ポリシー106によって定義された管理区分毎に、その管理区分に分類されるクライアントシステム120に対し許容する脆弱性の大きさや対策に伴うコストの大きさ、対策に伴う可用性低下の大きさ(すなわち、対策を立案する際に必要とするセキュリティ要件)を定義したもの(情報)である。なお、対策ポリシー107は、脆弱性の大きさや対策に伴うコストの大きさ、対策に伴う可用性低下の大きさといった3つの許容値に限らず、セキュリティ対策の善し悪しを評価する他の基準、例えば「対策の実施のしやすさ」や「対策に要する時間」といった基準の許容値を含んでいてもよい。
図3は、対策ポリシー107として登録される情報の例を示す説明図である。対策ポリシー107は、例えば、図3に示すような表として与えることも可能である。図3に示す例では、各管理区分に対し、残存リスクとコストと可用性低下の各許容値とを対応づけて記憶している。ここでは、各許容値は、0〜10までの数値で表され、10が最も許容度が大きく、0が最も許容度が小さいものとする。図3では、例えば「業務用」クライアントシステム120の許容値として、許容リスク=1,許容コスト=8,許容可用性低下=10が登録されている。また、例えば「持ち出し用」クライアントシステム120の許容値として、許容リスク=2,許容コスト=8,許容可用性低下=4が登録されている。また、例えば「オフィス用」クライアントシステム120の許容値として、許容リスク=3,許容コスト=3,許容可用性低下=2が登録されている。
この例では、「業務用」クライアントシステム120に対しては、可用性低下の許容値よりも残存リスクの許容値を大幅に小さくするとともに、コストの許容性を大きく設定することによって、利便性よりもセキュリティを大幅に優先させ、かつ、コスト上昇を大きく許容させることで、セキュリティ最優先の対策ポリシーを設定している。一方「オフィス用」クライアントシステム120に対しては、可用性低下と残存リスクとコストとをほぼ同等の許容値で設定することにより、コストがかかりすぎたり、業務効率が落ちたりすることをさけつつ、セキュリティを確保するバランス重視の対策ポリシーを設定している。また、「持ち出し用」クライアントシステム120に対しては、コストの許容値を大きく設定した上で、可用性とセキュリティとを両立させる対策ポリシーを設定している。
このように、対策ポリシー107には、クライアントシステム120の管理区分(すなわち用途)に応じたセキュリティ管理指針(すなわち、対策案を選定するための制約条件)が設定される。
リスクモデル格納手段108は、リスクモデル109を格納する。リスクモデル109とは、クライアントシステム120の状態から導出される各脅威、およびその関連性に基づいて、クライアントシステム120に現在どれだけのセキュリティリスクが存在するかを算出するためのモデル(情報)である。本実施の形態においては、リスクモデル109は、様々なセキュリティ対策の効果やコスト、利便性に精通した専門家によって予め作成される、少なくとも脆弱性の大きさ、コストの大きさ、可用性低下の大きさを算出するための計算式を含むモデルである。
なお、以降の説明を簡単にするため、機密性に関するリスク管理を例として説明する。本実施の形態において、(リスクの大きさ)=(資産価値の大きさ)×(脆弱性の大きさ)の式でリスクの大きさを表す。脆弱性の大きさは、0〜10までの相対値であり、0は想定しうる対策を全て実施した脆弱性が最も小さい場合を表し、10は想定しうる対策を全く実施していない脆弱性が最も大きい場合を表す。つまり、(脆弱性の大きさ)=10−(対策による効果の大きさ)の式で示すように、対策による効果の大きさの補数で表す。
また、可用性低下およびコストの大きさは、対策による制約の大きさで表す。可用性低下およびコストの大きさは、0〜10までの相対値であり、0は想定しうる対策を全て実施しない可用性低下・コストが最も小さい場合を表し、10は想定しうる対策を全て実施した可用性低下・コストが最も大きい場合を表す。
図4は、リスクモデル109の例を示す説明図である。図4に示す例では、情報漏洩をもたらす4つの脅威に対して、5つの対策がある場合における脆弱性の大きさ・コストの大きさ・可用性低下の大きさを算出する計算式が示されている。ここで、4つの脅威とは、1:「ノートPC紛失」,2:「なりすましユーザ」,3:「ウイルス感染」,4:「USBメモリ紛失」である。また、5つの対策とは、1:「ディスク暗号化」,2:「認証強化」,3:「アンチウイルスツールの導入」,4:「USBメモリの登録制」,5:「USBメモリの使用禁止」である。
図4に示すリスクモデル109では、対策実施状態に基づいて、それぞれの対策がなされている場合は1、そうでない場合は0となる2値変数x,x,x,x,xと、構成情報に基づいて、ノートPCである場合は1、そうでない場合は0となる2値変数xとを用いて、脆弱性の大きさ・コストの大きさ・可用性低下の大きさを算出する。なお、関数の値域はいずれも0から10までの整数値である。また、式中のmax(x,y)という式は、xとyのうち大きい方の値をとる関数を表す。
図4に示す例では、脆弱性の大きさを求めるための計算式は、以下の式401として示されている。
(脆弱性の大きさ)=10−(4(1−x+x)+x+2x+3max(0.4x,x)) ・・・式401
式401は、次のようなセキュリティ対策に関する知識に基づいて記述されたものである。
(1)ノートPCであるならば、ディスク暗号化をしないと紛失による機密情報の漏洩を帽子できない。
(2)パスワードなしのログオンのような弱い認証を用いていると、なりすましユーザによって機密情報が盗まれる可能性がある。
(3)機密情報を第三者に送信するような機能を持つウイルスに感染すると、機密情報の漏洩を生じる。
(4)USBメモリの登録制か、USBメモリの使用禁止を実施しないと、USBメモリの紛失による漏洩を防止できない。ただし、USBメモリの登録制による漏洩防止効果は、USBメモリの使用禁止による漏洩防止効果と比較して4割程度の効果しかない。
(5)ノートPC紛失による漏洩、なりすましユーザによる漏洩、ウイルス感染による漏洩、USBメモリ紛失による漏洩の発生頻度は、4対1対2対3程度である。
なお、上記の内容は、説明を簡単にするために簡略化したものであり、全ての条件を列挙したものではなく、また数値も必ずしも現実的な値とは限らない。
ここで、上記(1)の内容に基づいて、「ディスク暗号化」(対策1)による漏洩防止効果は、1−x+xと表される。また、上記(4)の内容に基づいて、「USBメモリ登録制」(対策4)と「USBメモリの使用禁止」(対策5)とによる漏洩防止効果は、max(0.4x,x)と表される。また、上記(5)の内容に基づいて、全ての対策による漏洩防止効果は、効果の最大値を10とすると、4(1−x+x)+x+2x+3max(0.4x,x)と表すことができる。そして、脆弱性の大きさは、効果の補数なので、結果、式401となる。
また、例えば、コストの大きさおよび可用性低下の大きさを求めるための計算式は、図4において以下の式402,式403で示されている。
(コストの大きさ)=5x+x+x+2x ・・・式402
(可用性低下の大きさ)=2x+2x+6x ・・・式403
式402,式403は、次のようなセキュリティ対策に関する知識に基づいて記述されたものである。
(6)ディスク暗号化ツールの購入・運用費用と、ウイルス対策ツールの購入・運用費用と、USBメモリ登録ツールの購入・運用費用と、USBメモリ利用禁止ツールの購入・運用費用の比は、5対1対1対2程度であり、その他の対策は、購入・運用費用はかからない。
(7)認証強化と、USBメモリ登録制と、USBメモリ使用禁止とによって、ユーザが被る利便性の低下の比は、2対2対6程度であり、その他の対策は利便性の低下をもたらさない。
なお、上記の内容も、説明を簡単にするために簡略化したものであり、全ての条件を列挙したものではなく、また数値も必ずしも現実的な値とは限らない。
ここで、上記(6)の内容に基づいて、「ディスク暗号化」(対策1)と、「アンチウイルスツールの導入」(対策3)と、「USBメモリ登録制」(対策4)と、「USBメモリの使用禁止」(対策5)とによる可用性低下の大きさは、5x+x+x+2xと表され、結果、式402となる。また、上記(7)の内容に基づいて、「認証強化」(対策2)と、「USBメモリ登録制」(対策4)と、「USBメモリの使用禁止」(対策5)とによるコストの大きさは、2x+2x+6xと表され、結果、式403となる。
リスク評価手段111は、状態格納手段102に格納されている現在の各クライアントシステム120の状態(セキュリティ対策実施状態や構成)を、リスクモデル109で示される脆弱性の大きさを求めるための関数(例えば、式401)に代入して得られた結果と、各クライアントシステム120の資産価値の大きさとを乗じて得られる各クライアントシステム120のリスク値を計算し、状態格納手段102に格納する。
対策案生成手段104は、リスクモデル格納手段108に格納されるリスクモデル109に基づいて、現在のリスク値に対してとりうる対策であって、ポリシー格納手段105に格納される対策ポリシー107で示される管理区分毎の制約条件を同時に最もよく満たす対策案(複数の対策の組み合わせを含む)を立案する。
表示手段110は、対策案生成手段104によって生成される対策案を含む、各クライアントシステム120のセキュリティリスクに関する情報を表示する。表示手段110は、例えば、クライアントシステム120の管理区分、資産価値、現在のリスク値、対策の実施状態、実施すべき対策を、一覧表示してもよい。
状態格納手段102、ポリシー格納手段105、リスクモデル格納手段108は、具体的には、マネージャシステム100が備える記憶装置によって実現される。また、管理区分判定手段103、対策案生成手段104、表示手段110、リスク評価手段111は、具体的には、マネージャシステム100が備えるCPU等のプログラムに従って動作するデータ処理装置によって実現される。
次に、図5を参照して、本実施の形態によるセキュリティリスク管理システムの動作について説明する。図5は、第1の実施の形態によるセキュリティリスク管理システムの動作例を示すフローチャートである。図5に示すように、まず、管理対象の各クライアントシステム120からそれぞれのクライアントシステム120の状態収集手段121および資産情報収集手段122によって収集されたデータ(状態や資産価値)が、マネージャシステム100の状態格納手段102に格納される(ステップS501)。例えば、クライアントシステム120は、SNMPのTRAP機能を利用してもよい。すなわち、状態格納手段102に、予め各クライアントシステム120毎に所定の記憶領域を割り当てておき、クライアントシステム120の状態収集手段121および資産情報収集手段122が所定のタイミングや状態変化を認識した場合に、状態格納手段102の自クライアントシステム120に割り当てられた所定の記憶領域に、自クライアントシステム120の状態および資産価値を示す情報を記憶させてもよい。なお、マネージャシステム100がポーリング形式でクライアントシステム120の状態収集手段121および資産情報収集手段122に問い合わせてもよい。状態収集手段121および資産情報収集手段122は、マネージャシステム100からの問い合わせに応じて、自クライアントシステム120の状態および資産価値を示す情報を送信する。そして、マネージャシステム100がクライアントシステム120から問い合わせの応答として受信した情報を状態格納手段102に記憶させればよい。
図6は、状態格納手段102に格納される情報の例を示す説明図である。図6は、5つのクライアントシステム120を管理対象とした場合の例である。図6に示す例では、上述した5つの対策が実施されているか否かを示す情報(対策実施状態601)が状態収集手段121によって収集され、格納されている。また、それぞれのクライアントシステム120がノートPCであるか否か、また乗務用アプリケーション(図中では業務APと記す。)がインストールされているか否かを示す情報(構成情報などその他の状態602)も合わせて状態収集手段121によって収集され、格納されている。また、それぞれのクライアントシステム120の機密性に関する資産価値(機密度603)が資産情報収集手段122によって収集され、格納されている。なお、図6に示す例では、各クライアントシステム120を識別するためのID(PC1〜5)と対応づけて、各クライアントシステム120のデータが格納されている。具体的には、対策実施状態を示す情報601と、構成やその他の状態を示す情報602と、資産価値を示す情報603とを記憶してもよい。
例えば、図6では、クライアントシステム120「PC1」における現在の対策実施状態として、「ディスク暗号化」(対策1)と、「認証強化」(対策2)と「USBメモリの使用禁止」(対策5)とが実施されていないこと、および「アンチウイルスツールの導入」(対策3)と「USBメモリ登録制」(対策4)とが実施されていることが示されている。また、クライアントシステム120「PC1」における構成その他の状態として、ノートPCではないこと、および業務用アプリケーション(業務AP)がインストールされていることが示されている。また、クライアントシステム120「PC1」における機密度が9であることが示されている。
次に、マネージャシステム100の管理区分判定手段103は、それぞれのクライアントシステム120の管理区分を判定する(ステップS502)。管理区分判定手段103は、状態格納手段102に格納されている各クライアントシステム120のデータから、管理区分ポリシー106で示される対応関係または判定方法に基づいて、各クライアントシステム120に、所定の管理区分を割り振る。なお、本実施の形態では、管理区分ポリシー106および対策ポリシー107は事前に与えられ、ポリシー格納手段105に格納されているものとする。管理区分判定手段103は、例えば、状態格納手段102に格納される各クライアントシステム120の状態を示す情報を引数として、管理区分ポリシー106として与えられるスクリプトファイルを実行することによって、所定の分別方法に従って、現在のクライアントシステム120の状態から判定される管理区分を割り振ればよい。または、管理区分ポリシー106がクライアントシステム120の各状態と管理区分を対応づけた対応関係を示す情報として与えられる場合には、その対応関係に従って、現在の各クライアントシステム120の各状態と対応づけられた管理区分を割り振ればよい。
次に、リスク評価手段111は、各クライアントシステム120における現在のセキュリティリスクの大きさを評価する(ステップS503)。リスク評価手段111は、例えば、各クライアントシステム120について、状態格納手段102に格納されている現在のクライアントシステム120の状態(対策実施状態601)を、リスクモデル109として示される脆弱性の大きさを求めるための関数(式401)に代入して得られた結果と、そのクライアントシステム120の機密性の関する資産価値の大きさの値(機密度603)とを乗じて10で割ることによって、そのクライアントシステム120のリスク値を算出し、状態格納手段102に格納する。
次に、対策案生成手段104は、リスクモデル109で示される対策と効果(または制約)との関係性に基づいて、現在の各クライアントシステム120に対しとりうる対策であって、対策ポリシー107によって管理区分毎に示される制約条件を最もよく満たす対策の組み合わせを対策案として生成する(ステップS504)。
対策案生成手段104は、例えば、多目的整数計画法を用いて、リスクモデル109として示される関数式によって求まる脆弱性の大きさ,コストの大きさ,可用性低下の大きさが、対策ポリシー107として示される各目標値(制約条件)に対して最もよく満たすこととなる2値変数の組み合わせを見つけることによって実現することができる。具体的には、公知の基準点法を用いることができる。基準点法とは、多目的最適化問題”minimize f(x,・・・,x)”(0<i<m)が与えられたとき、各目的関数f毎に、目標値(基準点)となる定数値Cを与えることによって、その目標値をどの目的関数fも可能な限り下回るような最適解を算出する手法である。目標とのずれ” f(x,・・・,x)−C”の最大値が全ての目的関数で最小となるようにする、つまり、” minimize max(f(x,・・・,x)−C,・・・,f(x,・・・,x)−C”で表される単一目的の最適化問題を解くことによって最適解を得る手法である。なお、上記に示した基準点法は、例えば、文献「坂和正敏、”離散システムの最適化”、森北出版、2000年、pp.150」に記載されている。
図7は、基準点法を用いて対策案を生成する動作の具体例を示すフローチャートである。ステップS504における動作は、図7に示すように、対策案生成手段104は、まず、リスクモデル109に含まれる非線形項(式401においては”x”と”max(0.4x,x)”の2つの項)を線形化する(ステップS701)。線形化の手法では、例えば、”max(x,y)”という項の場合、”max(x,y)=z”と置き換え、”z≧x,z≧y,z≦x+δM,z≦y+(1−δ)M”という制約条件を加えれば、”z”という1次の項に変換することができる。ここで、”M”はxの最大値とyの最大値よりも大きな値とする。また、例えば、”zy”という項の場合には、”zy=z”と置き換え、”x+y−z≦1,x−z≧0,y−z≧0”という制約条件を加えれば、”z”という1次の項に変換することができる。対策案生成手段104は、論理条件を表すための0か1かを定義域に持つ変数を新たに導入し、それに付随する制約式を追加することによって、”if〜then〜else〜”といった条件(「if then式」ともいう。)で表される非線形式を線形式に変形する。ここで、”max(x,y)”は、”if(x≧y) then x else y”というように「if then式」で表されるので、線形化することができる。なお、上記に示した線形化の手法は、文献「H.P.ウイリアムズ、”数理計画モデルの作成法”、産業図書、1995年」に記載されている。つまり、図8に示すように、新しい制約式と新しい変数を導入することによって、リスクモデル109のリスク演算式(ここでは、脆弱性の大きさ・コストの大きさ・可用性低下の大きさを求めるための関数)を線形式に変換する。図8は、対策案生成の一手法である線形化および目標関数作成の例を示す説明図である。
次に、対策案生成手段104は、リスクモデル109に基づいて、対策ポリシーを基準点とするミニマックス問題を作成する(ステップS702)。すなわち、図8に示すように、対策ポリシーとして示される各目標値と実際の値との差の最大値を最小にするような目標関数を持つ数理計画問題を作成する。ここで、目標値と実際の値とは、具体的には、(対策実施後の脆弱性の大きさ)−(許容する脆弱性の大きさ)と、(対策実施後のコストの大きさ)−(許容するコストの大きさ)と、(対策実施後の可用性低下の大きさ)−(許容する可溶性低下の大きさ)とする。
ここで、最大値を最小にするタイプの数理計画問題は、1つの変数を最小化する線形計画問題に変換できることが知られているので、その変換を施すと、図8に示すように、線形混合整数計画問題に帰着(変換)することができる。そして、対策案生成手段104は、このように作成される線形混合整数計画問題に対し、公知の解法を適用することにより、最適なx,x,x,x,x(対策1〜5の実施有無を示す2値変数)の組み合わせを得る(ステップS703)。この解は、指定された対策ポリシー107との差が最も少ない対策実施の組み合わせであるので、対策案生成手段104は、この結果を対策案として状態格納手段102に格納する(ステップS704)。
例えば、図3に示す対策ポリシー107を適用した場合、すなわち「オフィス用」管理区分における目標値として(許容リスク,許容コスト,許容可用性低下)=(3,3,2)が指定され、「持ち出し用」管理区分における目標値として(2,8,4)が指定され、「業務用」管理区分における目標値として(1,8,10)が指定された場合には、各管理区分に対して次のような対策案が生成されることとなる。まず、「オフィス用」管理区分における対策案としては、「アンチウイルスツールの導入」(対策3)と、「USBメモリ登録制」(対策4)の2つの対策を実施する旨の対策案が生成される。また、「持ち出し用」管理区分における対策案としては、「ディスク暗号化」(対策1)と、「認証強化」(対策2)と、「アンチウイルスツールの導入」(対策3)と、「USBメモリ登録制」(対策4)の4つの対策を実施する旨の対策案が生成される。また、「業務用」管理区分における対策案としては、「認証強化」(対策2)と、「アンチウイルスツールの導入」(対策3)と、「USBメモリの使用禁止」(対策5)の3つの対策を実施する旨の対策案が生成される。
最後に、図5に示すように、表示手段110は、状態格納手段102に格納されている各クライアントシステム120のセキュリティリスクに関する情報(管理区分、資産価値、リスク値、対策の実施状態、対策案等)を、入出力装置101を介して管理者にわかりやすい形で表示する(ステップS505)。管理者は、表示された結果を元に、提案された対策を実施するように、各クライアントシステム120の管理者に通達する。
図9は、表示手段110によって表示される画面の例を示す説明図である。図9に示すように、表示手段110は、例えば、クライアントシステム120を識別するためのIDまたはクライアントシステム120の名称(図中では”PC名”)を示す情報欄906と、管理区分を示す情報欄901と、資産価値を示す情報欄902と、現在のリスク値を示す情報欄903と、対策実施状況を示す情報欄904と、対策実施後のリスク値を示す情報欄905とを含む画面を生成して表示してもよい。図9に示す例では、対策実施状況を示す情報欄904に、実施すべき対策と既に行われている対策との差分を調べ、実施すべきだがまだ実施されていない対策が何件あるかを示している。なお、対策実施状況を示す情報欄904に合わせて、どの対策が実施されていないかを示す情報を表示してもよい。また、対策実施後のリスク値を示す情報欄904に、実施すべき対策を実施した場合に、リスク値がどのようになるのかを示している。
図9では、例えば、”PC1”のセキュリティリスクに関する情報として、PC1が業務用のクライアントシステム120であり、PC1の資産価値(機密度)が9であり、現在のリスク値が2.5であり、実施すべき対策が2件未実施であり、その対策を実施すればリスク値が0になることが示されている。このように、表示手段110が表示する画面によって、セキュリティ管理者は、各クライアントシステム120での対策実施状態が十分なのかどうかを把握することができる。また、セキュリティ管理者は、未実施の対策を実施することによって、どの程度のリスク低減効果があるのかを知ることができる。
表示手段110は、現在のリスク値が高いクライアントシステム120の情報に対して、色を付けるなどして強調表示しもよい。なお、図9では、”PC1”および”PC5”の情報を示している行を色付け(図中においては網掛け)した例を示している。また、リスク値を”低/中/高”のように表示してもよい。このようにすれば、どのクライアントシステム120がリスクの高い状態にあるのかがひと目でわかるようになる。また、現在のリスク値が大きい順に表示したり、現在のリスク値の大きさで行を並び替える機能を持たせてもよい。
また、表示手段110は、各クライアントシステム120がネットワーク上のどの位置に存在するかを示すネットワーク構成図を合わせて表示してもよい。なお、ネットワーク構成図上で各クライアントシステム120をリスク値に応じて色分けする等のユーザインタフェースと組み合わせて表示してもよい。このようにすれば、セキュリティ管理者は、リスクの高いクライアントシステム120がネットワーク上のどこに集中しているかといった情報も把握することができる。
以上のように、本実施の形態によれば、クライアント(ここでは、クライアントシステム120)のセキュリティ管理を一元化しつつ、各クライアントの実情に応じて、適切な対策を立案することができる。例えば、オフィス用や持ち出し用のような典型的な用途に用いられるクライアントに対しては一律的な管理手法を適用し、業務用のような特殊な用途に用いられるクライアントには個別の管理手法を適用するといった利用方法も可能である。また、セキュリティ対策を実施することによって発生するコストだけでなく、可用性(利便性)の低下など、複数の要件を考慮した対策を立案することができる。
なお、同一の管理区分に属するクライアントシステム120には同一の対策が立案されるため、対策立案の計算量は、クライアントシステム120の数ではなく管理区分の数に比例する。従って、管理対象とするクライアントシステム120が多くなっても、対策立案の計算量が大幅に増えることはない。また、クライアントシステム120を使用するユーザにとっても、クライアントシステム120毎に利用可能な機能(例えば、USBメモリ)がまちまちといったわかりにくい管理形態にならずにすむため、理解しやすいという効果もある。
また、図4に示したリスクモデル109の例では、脆弱性の大きさを1つのスカラー値として算出する関数を定義したが、脅威の種類ごとに脆弱性の大きさを算出する式を定義してもよい。そのような場合、対策ポリシー107において、脅威の種類毎に許容値を設定できるようにしてもよい。図10は、リスクモデル109に脅威の種類毎にセキュリティリスクが存在するかを算出するための計算式を含む例を示す説明図である。図10に示すように、例えば、情報漏洩という脅威に対し、さらに「PC紛失による情報漏洩」、「なりすましによる情報漏洩」、「ウイルス感染による情報漏洩」、「USBメモリ紛失による情報漏洩」という4つの種類を定義し、それぞれの脅威の種類毎に、脆弱性の大きさを算出するための式を定義してもよい。また、脅威の種類毎に脆弱性の大きさを算出するための式を定義し、さらに、それらを合わせて全体の脆弱性の大きさを算出するための式を定義してもよい。
図10に示す例では、各脅威の種類に対する脆弱性の大きさを求める計算式は、次に示すような式で示されている。
(PC紛失に対する脆弱性の大きさ)=4−4(1−x+x
(なりすましに対する脆弱性の大きさ)=1−x
(ウイルス感染に対する脆弱性の大きさ)=2−2x
(USBメモリ紛失に対する脆弱性の大きさ)=3−3max(0.4x,x))
このようにすれば、セキュリティ管理者は、各クライアント(クライアントシステム120)がどのようなセキュリティ上の脅威に晒されているのかをより明確に把握することができる。例えば、セキュリティ管理者は、セキュリティ監査時に、リスクの高いクライアントを容易に発見することができる。図11に、脅威の種類別にリスク値を表示した場合の表示手段110の画面例を示す。
表示手段110は、図11に示すように、現在の脅威の種類別リスク値を示す情報欄を追加し、脅威の種類毎に、現在のリスク値を表示してもよい。図11では、例えば、”PC1”の現在の脅威の種類別リスク値として、PC紛失による情報漏洩のリスク値が0であり、なりすましによる情報漏洩のリスク値が0.9であり、ウイルス感染による情報漏洩のリスク値が0であり、USBメモリ紛失による情報漏洩のリスク値が1.6であることが示されている。
また、対策ポリシー107において、脅威の種類毎に許容値を設定する場合には、設定項目は増えるものの、管理区分毎に、どの脅威への対応を重視するかを考慮した対策案を立案させることができるようになる。
なお、本実施の形態では、脆弱性の大きさ・コストの大きさ・可用性低下の大きさを、0〜10までの数値で相対的に割り振る例を示したが、例えば、コストを購入金額や運用費用のような絶対的な数値で表すようにしてもよい。このようにすれば、より現実に即した対策立案が可能になる。なお、絶対的な数値で表現する場合には、多目的最適化問題に帰着する際に、脆弱性の大きさや可用性低下の大きさとスケールが同じになるように重み付けする必要がある。
また、本実施の形態では、(リスクの大きさ)=(資産価値の大きさ)×(脆弱性の大きさ)の式でリスクの大きさを定義し、それぞれ0〜10までの相対値を割り振る例を示したが、(リスクの大きさ)=(資産価値の大きさ)×(脅威の発生頻度)×(脆弱性の大きさ)の式でリスクの大きさを定義してもよい。ここで、資産価値の大きさを、その資産が失われたことによって生ずる損害額のような絶対的な数値で表してもよい。また、脅威の発生頻度を、その脅威に対する対策が一切なされていない場合に1年間にどの程度の頻度でその脅威が発生するかというような数値で表してもよい。また、脆弱性の大きさを、対策を実施することによって脅威の発生が何パーセント抑えることができるかというような数値で表すようにしてもよい。このようにすれば、算出されるリスク値は、年間予想損失金額として表され、リスクの大きさを明確に把握できるという長所がある。ただし、資産が失われたことによって生ずる損害額や、年間の脅威の発生頻度といった数値を信頼できる具体的な値にする必要があるので、このような定量的なリスク管理ができる局面は限定される。
また、本実施の形態では、機密性に関する資産価値の情報を収集し、機密性に関するリスクモデル109を定義することによって、機密性に関するセキュリティリスク管理を実現する例を説明したいが、状態収集手段121の手法を変更するとともに、リスクモデル109の脆弱性の大きさを算出するための式を変更することによって、機密性以外のセキュリティ要件に適用することができる。例えば、完全性に関するセキュリティリスク管理を実現する場合には、認証の強度や改ざん検出ツールのインストール状態を状態収集手段121が収集するよう変更し、リスクモデル109において、それらの状態から完全性に関する脆弱性の大きさを算出するための式を定義すればよい。
また、本実施の形態では、対策案生成手段104が、リスク値を求めるための計算式を線形化して、線形混合整数計画問題に帰着させて解くことによって最適な対策の組み合わせを生成する方法を説明したが、非線形式のまま、非線形整数計画問題に帰着させて解くようにしてもよい。なお、線形混合整数計画問題の方がよく研究されているので、より実用的である。
実施の形態2.
次に、本発明の第2の実施の形態について図面を参照して説明する。図12は、第2の実施の形態によるセキュリティリスク管理システムの構成例を示すブロック図である。図12に示すセキュリティリスク管理システムは、図1に示す第1の実施の形態と比べて、マネージャシステム100が論理制約変換手段112を備える点で異なる。また、本実施の形態による対策ポリシー107およびリスクモデル109は、クライアントシステム120の状態(対策実施状態や構成その他の状態)を示す2値変数を、論理変数と見なした上で、論理式による制約条件を含む。
論理制約変換手段112は、論理式で記述された制約条件(論理制約式)を読み込んで、線形制約式の集合に変換する。
論理式による制約式として、例えば、「USBメモリ登録制」(対策4)と「USBメモリの使用禁止」(対策5)とを同時に実施することは意味がないので、このような組み合わせを除外するためには、リスクモデル109に、”¬(x∧x)”という制約条件(制約式)を加えればよい。また、「ノートPCであれば必ずディスク暗号化と認証強化を行う」という運用ルールを常に満たしたい場合には、対策ポリシー107に、”x→(x∧x)”という制約条件(制約式)を加えればよい。このように、様々な要因にも基づく制約を、論理制約関数として記述したものを対策ポリシー107およびリスクモデル109に含めればよい。
論理制約変換手段112は、具体的には、マネージャシステム100が備えるCPU等のプログラムに従って動作するデータ処理装置によって実現される。
次に、論理制約変換手段112の動作を中心に本実施の形態の動作について説明する。例えば、論理制約変換手段112は、対策案生成手段104が対策案を立案する前までに、次に示すような論理制約式変換動作を行う。まず、論理制約変換手段112は、対策ポリシー107およびリスクモデル109に含まれる論理制約式を読み込む。次に、読み込んだ論理制約式を、論理積標準形(CNF)に変換する。論理積標準形とは、論理式が”(L11∨・・・∨L1n1)∧(L21∨・・・∨L2n2)∧・・・∧(Lk1∨・・・∨Lknm)”のように、リテラル(論理変数および論理変数の否定)の”∨(論理和)”で表される節が”∧(論理積)”で連結させた形をいう。任意の論理式は、論理積標準形に変換可能であることが知られており、効率よく論理積標準形に変換するアルゴリズムとして、例えば、文献「David A. Plaisted and Steven Greenbaum, "A structure-preserving clause form translation.", Journal of symbolic Computation, September 1986, 2(3):pp.293-304 」に記載されている”Structure Preserving Conversion ”アルゴリズムを用いることができる。このアルゴリズムは、論理積標準形となっていない式を1つの新しい論理変数に置き換え、新しく導入された変数と、元の式が等しいことを表す式を”∧”で結合していくことにより、節を爆発的に増やすことなく論理積標準形に変換するアルゴリズムである。
次に、論理制約変換手段112は、論理積標準形で表された論理式を、整数計画問題の制約式に変換する。これは、論理積標準形を構成するそれぞれの節”(Lij∨・・・∨Linj)”を、”Lij∨・・・∨Linj≧1”と置き換え、否定形のリテラル”L=¬x”を”1−x”に、肯定形のリテラル”L=x”を”x”に置き換えることによって実現できる。以上の動作により、論理制約変換手段112によって論理制約式が線形制約式の集合に変換される。
対策案生成手段104は、第1の実施の形態において示した制約式と、論理制約変換手段112によって変換された制約式とを合わせて解く。そして、得られた解を、最適な対策の組み合わせを示す対策案として状態格納手段102に格納する。
以上のように、本実施の形態によれば、対策の排他・同時実施などの制約条件を定義した対策ポリシーに基づく対策案を生成することができるので、セキュリティ対策間の制約を考慮した、現実に取りうる対策の組み合わせにおいて、適切な対策を立案することができる。
実施の形態3.
次に、本発明の第3の実施の形態について図面を参照して説明する。図13は、第3の実施の形態によるセキュリティリスク管理システムの構成例を示すブロック図である。図13に示すセキュリティリスク管理システムは、図12に示す第2の実施の形態と比べて、クライアントシステム120が対策実施手段123を備える点で異なる。
対策実施手段123は、立案された対策をクライアントシステム120上で実施する。例えば、対策実施手段123は、マネージャシステム100上の状態格納手段102に、自身のクライアントシステム120(その対策実施手段123を備えたクライアントシステム120)上で現在未実施の対策があるか否かを、状態格納手段102に格納されている情報から判定すればよい。対策実施手段123は、例えば、状態格納手段102に格納されている対策実施状況を示す情報と、実施すべき対策案を示す情報とを比較して、実施すべきだがまだ実施されていない対策があるかどうかを判定すればよい。なお、表示手段110が画面表示をする際に、実施すべき対策が何件あるか、またどの対策を実施するかを示す情報を状態格納手段102に格納し、対策実施手段123は、表示手段110が格納した情報を問い合わせることによって判定することも可能である。
対策実施手段123は、判定した結果、現在未実施の対策があった場合には、その対策が自動的に実施可能なものであれば実施し、自動的に実施可能でなければ、クライアントシステム120のユーザに対して、対策を実施することを喚起する表示を行う。
例えば、認証強化のような対策の場合には、自動でOSの設定を変更する。例えば、ディスク暗号化のような対策の場合は、ユーザに対してディスク暗号化ツールをインストールする指示をする画面を表示する。
対策実施手段123は、具体的には、クライアントシステム120が備えるCPU等のプログラムに従って動作するデータ処理装置によって実現される。なお、対策実施手段123は、各クライアントシステム120がプログラムをインストールする等して、管理対象とするクライアントシステム120それぞれに備えられているものとする。
以上のように、本実施の形態によれば、立案された対策をクライアント(クライアントシステム120)で実施する際に、セキュリティ管理者の工数を割くことなく、各クライアント側で自立的に実施することが可能となる。結果、セキュリティ管理者が各クライアントシステム120のユーザに対して個別に対策の指示を出さなくても、セキュリティ対策を徹底することができる。
実施の形態4.
次に、本発明による第4の実施の形態について図面を参照して説明する。図14は、第4の実施の形態によるセキュリティリスク管理システムの構成例を示すブロック図である。図14に示すセキュリティリスク管理システムは、図13に示す第3の実施の形態と比べて、マネージャシステム100がポリシー編集手段113を備える点が異なる。
ポリシー編集手段113は、ポリシー格納手段105に格納されている管理区分ポリシー106や対策ポリシー107を、ユーザに対して表示して編集させる。
ポリシー編集手段113は、具体的には、マネージャシステム100が備えるCPU等のプログラムに従って動作するデータ処理装置によって実現される。
次に、ポリシー編集手段113の動作を中心に本実施の形態の動作について説明する。例えば、ポリシー編集手段113は、ユーザの操作に応じて、次に示すようなポリシー編集動作を行う。まず、ポリシー編集手段113は、図15に示すような管理区分毎に立案された対策のリストを示す情報欄と、その管理区分に対する対策ポリシー107を編集する旨を指示するための「編集ボタン」とを含む画面を表示する。図15は、対策ポリシーを編集するための画面の一例を示す説明図である。なお、ポリシー編集手段113は、その画面に脅威の種類別の対策後のリスク値(ここでは、資産価値が10の場合のリスクの大きさ)を示す情報欄を含めてもよい。ここで、ユーザがある管理区分に対して「編集ボタン」を押下すると、ポリシー編集手段113は、その管理区分に対する対策ポリシー107を編集するための対策ポリシー編集画面を生成して表示する。
図16は、対策ポリシー編集画面の一例を示す説明図である。対策ポリシー編集画面は、図16に示すように、例えば、編集対象とする管理区分を表示または指定するためのユーザインタフェース1601と、対策を立案する際に必要とするセキュリティ要件(すなわち、コストとリスクの制限値)を設定するためのユーザインタフェース1602と、対策を立案する際に必要とするその他の制約条件(論理制約条件)を設定するためのユーザインタフェース1603(制約条件式を編集する旨を指示する「編集ボタン」1604を含む)とを含んでいてもよい。
ユーザインタフェース1602では、例えば、許容するリスクの大きさ(許容リスク)と許容するコストの大きさ(許容コスト)と許容する利便性低下の大きさとを入力させればよい。また、ユーザインタフェース1603では、任意の論理式を入力させてもよいが、例えば、よく利用される論理式のパターンのみを入力させるように制限してもよい。例えば、ある対策の集合{x,・・・,x}を常に実施するという論理制約式”x∧・・・∧x”と、ある対策の集合{x,・・・,x}は常に実施しないという論理制約式”¬x∧・・・∧¬x”のみが入力できるようにしてもよい。このように制限した場合、対策ポリシー107の記述力は劣ることになるが、設定する内容が明快でわかりやすく、設定するためのユーザインタフェースも理解しやすいものにすることができる。
ユーザ(セキュリティ管理者)が、例えば、ユーザインタフェース1603に含まれる「必ず実施する対策」に対応づけられた「編集ボタン」を押下すると、ポリシー編集手段113は、図17に示すような対策候補を選択可能に一覧表示するリストボックスと、必ず実施する対策を選択可能に一覧表示するリストボックスと、それぞれのリストボックスの項目を移動させる「追加ボタン」,「削除ボタン」とを含むパラメータの調整画面を表示してもよい。ここで、ユーザが、対策候補を表示するリストボックスから「ディスク暗号化」(対策1)と「認証強化」(対策2)とを追加する操作を行った場合、ポリシー編集手段113は、そのユーザ操作に応じて、編集中の管理区分に対応する対策ポリシー107に”x∧x”という論理制約式を追加すればよい。また、ユーザが、例えば、「必ず実施しない対策」に対応づけられた「編集ボタン」を押下した場合には、ポリシー編集手段113は、対策候補を選択可能に一覧表示するリストボックスと、必ず実施しない対策を選択可能に一覧表示するリストボックスと、それぞれのリストボックスの項目を移動させる「追加ボタン」,「削除ボタン」とを含むパラメータの調整画面を表示してもよい。ここで、ユーザが、「USBメモリ使用禁止」(対策5)を追加する操作を行った場合、ポリシー編集手段113は、そのユーザ操作に応じて、編集中の管理区分に対応する対策ポリシー107に”¬x”という論理制約式を追加すればよい。
また、ポリシー編集手段113は、「保存ボタン」1609を含む対策ポリシー編集画面を用意して、「保存ボタン」1609が押下されるまでは編集用の対策ポリシー107に追加しておき、「保存ボタン」1609が押下されて初めて正式に対策ポリシー107に反映させるようにしてもよい。
また、ポリシー編集手段113は、編集の結果を確認する旨を指示するための「決定ボタン」1605と、編集結果として対策案を表示するためのリストボックス1606と、その対策案を実施した後の状況を表示するためのテキスト領域1607とを含む対策ポリシー編集画面を用意してもよい。そのような場合には、ユーザが必要に応じて編集した後、「決定ボタン」1605を押下すると、ポリシー編集手段113は、設定された内容を反映させた対策ポリシー107を、対策案生成手段104に入力し、対策案生成手段104が新たな対策ポリシー107に基づいて生成した対策案を、例えばリストボックス1606に表示してもよい。また、その対策案を実施した場合に、リスクや可用性低下、コストがどのような値になるかをテキスト領域1607に表示してもよい。このようにすれば、セキュリティ管理者は、対策ポリシー107を編集した結果、どのような対策案が生成されるようになるか、またその対策案によってどの程度セキュリティリスクが緩和され、反面どの程度利便性が低下し、コストがかかるかを把握することができる。
また、ポリシー編集手段113は、編集した内容を新しい管理区分として保存する旨を指示するための「名前を変えて保存ボタン」1608を含む対策ポリシー編集画面を用意し、そのボタンが押下された場合には、新しい管理区分名を付けるためのユーザインタフェースを表示して、新しい管理区分の対策ポリシー107を作成できるようにしてもよい。なお、ポリシー編集手段113は、編集対象とする管理区分を表示または指定するためのユーザインタフェース1601(例えば、選択コンボボックス)に、”新規管理区分...”という項目を設けることによって、新しい管理区分の対策ポリシーを作成できるようにしてもよい。ポリシー編集手段113は、ユーザが編集した内容を新しい管理区分名で保存する旨の操作を行った場合には、その新しい管理区分名を持つ管理区分を管理区分ポリシー106に追加する。なお、この時点では、その管理区分に割り振られるクライアントシステム120がなくてもよい。
また、ポリシー編集手段113は、対策ポリシー編集画面とは別に、各クライアントシステム120の管理区分を明示的に変更するための管理区分設定画面を生成して表示してもよい。管理区分設定画面は、例えば、表示手段110が表示する画面上のクライアントシステム120の名称を示す情報欄(図9の情報欄906)にリンク機能を持たせ、そのリンクのクリック操作に応じて”詳細画面”として表示するようにしてもよい。図18は、管理区分設定画面の一例を示す説明図である。図18は、管理区分設定画面が、”PC2”の詳細画面として表示される例を示している。管理区分設定画面は、例えば、図18に示すように、編集対象とするクライアントシステム120の名称と、その管理区分を表示または指定するためのユーザインタフェース1801(例えば、選択コンボボックス)と、現在の対策実施状況として、実施済みの対策を示すリストボックス1802と、実施すべきだが未実施の対策を示すリストボックス1803とを含んでいてもよい。
ここで、ユーザが、選択コンボボックス1801を介してクライアントの管理区分を変更する操作を行うと、ポリシー編集手段113は、その操作に応じて、編集対象のクライアントシステム120が指定された管理区分に分類されるように管理区分ポリシー106を変更する。
例えば、”PC2”は、機密度が高いので、オフィス用よりもややセキュリティを重視した対策を実施すべきであるとセキュリティ管理者が判断した場合、図16に示すような対策ポリシー編集画面を用いて、オフィス用よりもややセキュリティを重視した対策が立案されるような対策ポリシーを追加する操作を行う。そして、それを「重要オフィス用」と名付けて保存する。この操作に応じて、ポリシー編集手段113が、管理区分ポリシー106に、「重要オフィス用」という名前をもつ管理区分の定義を追加する。
その後、ユーザは、図18に示すような管理区分設定画面を用いて、”PC2”の管理区分を「重要オフィス用」に変更する操作を行う。この操作に応じて、ポリシー編集手段113が、管理区分ポリシー106に、”PC2”が「重要オフィス用」に分類されるような対応関係または判定方法を変更する。図19は、変更後の管理区分ポリシー106の例を示す説明図である。図19に示すように、例えば、管理区分ポリシー106がスクリプトプログラムとして与えられる場合には、クライアントシステム120が”PC2”であれば、管理区分を「重要オフィス用」と判定するような判定文を最初に実行するようなスクリプトプログラムに変更すればよい。
また、ポリシー編集手段113によって対策ポリシー107または管理区分ポリシー106が変更された時、変更されたクライアントシステム120に対して、直ちに図5に示すような一連の動作を実施するようにしてもよい。そのようにすれば、最新の対策ポリシーや管理区分ポリシーの元で、リスクの表示と対策の実施を即座に行うことができる。
以上のように、本実施の形態によれば、典型的な用途に用いられる大多数のクライアント(クライアントシステム120)に対しては、同一の管理区分で一律に管理しつつ、例外的な対策を実施したいクライアントに対しては、新たな管理区分を設けることによって、特別な対策を指定することができる。結果、例外的な対策が必要なクライアントも適切なリスク管理化におくことができる。
なお、ポリシー編集手段113は、対策ポリシー編集画面として、図20に示すような画面を備え、脅威の種類別に許容リスク値を設定できるようにしてもよい。図20は、対策ポリシー編集画面の他の例を示す説明図である。図20では、ユーザインタフェース1602が、各脅威の種類別に許容するリスクの大きさを入力できるようになっている例を示している。また、編集結果の対策案を実施した後の状況を表示するためのテキスト領域1607が、各脅威の種類別のリスクを表示するようになっている例を示している。
このようなユーザインタフェースを用いることによって、脅威の種類別にどの程度リスクを許容するのかを個別に設定することができる。例えば、部外者の侵入ができないように物理的にセキュリティが守られるとともに、セキュリティ教育の徹底により内部犯の生じる可能性も少ないクライアントシステム120に対しては、図20に示す例のように、PC紛失やなりすましによる漏洩リスクは許容し、その他の要因による漏洩リスクを厳しく監視するような対策ポリシー107を作成してもよい。図20では、PC紛失やなりすましによる漏洩リスクの許容値を5に設定し、その他の要因による漏洩リスクの許容値を0に設定する例を示している。このように、ポリシー編集手段113を用いることによって、組織の実情に応じてどの脅威を重視するかを考慮しながら対策を策定することができる。
例えば、業務用PCが非常に強固な認証システム(ICカード認証+虹彩認証など)を持つ部屋に置かれているために、そのようなPC向けに特別な管理区分を作成した場合には、その管理区分に対しては、「認証強化」(対策2)を常に実施しない旨の対策ポリシー107を設定すればよい。すなわち、対策ポリシー107に、”¬x”という論理制約条件を含めればよい。対策案生成手段104は、その他の条件が「業務用」と同じである場合には、対策案として、「アンチウイルスツールの導入」(対策3)と、「USBメモリの使用禁止」(対策5)の2つの対策を実施する旨の対策案を生成することとなる。すなわち、既に強固な認証がなされているので、そのPCに対して「認証強化」(対策2)を立案しないように動作させることができる。その分、他の対策に割り当てられるコストが増えることにもなる。
また、例えば、暗号化機能付きハードディスク装置が搭載されているか否かを、状態収集手段121が構成その他の状態として収集できるとした場合、「暗号化付き持ち出し用」という管理区分を追加してもよい。ここで、管理区分ポリシー106には、暗号化機能付きハードディスク装置が搭載されているクライアントシステム120を「暗号化付き持ち出し用」管理区分に分別されるような分別方法が定義されているものとする。また、リスクモデル109には、暗号化機能付きハードディスク装置が搭載されているか否かを示す変数”x”を加味して、(PC紛失に対する脆弱性の大きさ)=4−4(1−x+x+x−x)と定義されているものとする。
対策案生成手段104は、その他の条件が「持ち出し用」と同じである場合には、暗号化機能付きハードディスク装置が搭載されているクライアントシステム120に対しては、「認証強化」(対策2)と「アンチウイルスツールの導入」(対策3)と、「USBメモリ登録制」(対策4)の3つの対策を実施する旨の対策案を生成することとなる。すなわち、既に暗号化機能付きハードディスク装置が搭載されているので、そのクライアントシステム120に対して「ディスク暗号化」(対策1)を立案しないように動作させることができる。なお、ここで例示した対策立案動作は、予め管理区分ポリシー106や対策ポリシー107やリスクモデル109にそのような定義がされていれば、第1の実施の形態においても可能である。
また、どのようなリスクが残るかを明確に把握することができるので、セキュリティ管理の最終責任者が、どのような残留リスクがどの程度存在するのかを承認した上でセキュリティ対策の実施を許可するような運営をする場合であっても、本システムを好適に適用することができる。すなわち、ポリシー編集手段113を用いることによって、どのような残留リスクがどの程度存在することになるのかを認識した上で、組織の実情に応じてどの脅威を重視するか等、脅威の種類別のセキュリティ管理指針を策定(設定)することができる。
本発明は、システムの脆弱性を収集し適切な対策を立案するようなセキュリティ運用管理ツールといった用途に適用できる。また、ポリシーに基づいてシステムのセキュリティ状態を保証するようなセキュリティポリシーコンプライアンス支援ツールといった用途に適用できる。
第1の実施の形態によるセキュリティリスク管理システムの構成例を示すブロック図である。 管理区分ポリシー106として登録される情報の例を示す説明図である。 対策ポリシー107として登録される情報の例を示す説明図である。 リスクモデル109の例を示す説明図である。 第1の実施の形態によるセキュリティリスク管理システムの動作例を示すフローチャートである。 状態格納手段102に格納される情報の例を示す説明図である。 基準点法を用いて対策案を生成する動作の具体例を示すフローチャートである。 対策案生成の一手法である線形化および目標関数作成の例を示す説明図である。 表示手段110によって表示される画面の例を示す説明図である。 リスクモデル109に脅威の種類毎にセキュリティリスクが存在するかを算出するための計算式を含む例を示す説明図である。 脅威の種類別にリスク値を表示した場合の表示手段110の画面例を示す説明図である。 第2の実施の形態によるセキュリティリスク管理システムの構成例を示すブロック図である。 第3の実施の形態によるセキュリティリスク管理システムの構成例を示すブロック図である。 第4の実施の形態によるセキュリティリスク管理システムの構成例を示すブロック図である。 対策ポリシーを編集するための画面の一例を示す説明図である。 対策ポリシー編集画面の一例を示す説明図である。 対策ポリシーを編集するための画面の一例を示す説明図である。 管理区分設定画面の一例を示す説明図である。 変更後の管理区分ポリシー106の例を示す説明図である。 対策ポリシー編集画面の他の例を示す説明図である。
符号の説明
100 マネージャシステム
101 表示装置・入力装置(入出力装置)
102 状態格納手段
103 管理区分判定手段
104 対策案生成手段
105 ポリシー格納手段
106 管理区分ポリシー
107 対策ポリシー
108 リスクモデル格納手段
109 リスクモデル
110 表示手段
111 リスク評価手段
112 論理制約変換手段
113 ポリシー編集手段
120 クライアントシステム
121 状態収集手段
122 資産情報収集手段
123 対策実施手段

Claims (8)

  1. クライアントシステムにおけるセキュリティリスクを管理するセキュリティリスク管理システムであって、
    リスク管理の対象となるクライアントシステムの状態を示す情報と資産価値を示す情報とを格納する状態格納手段と、
    各クライアントシステムの用途に応じてどのような管理区分が存在するかを定義するとともに各クライアントシステムがどの管理区分に分別されるかを定義した管理区分ポリシーと、クライアントシステムの状態とに基づいて、各クライアントシステムの管理区分を判別する管理区分判別手段と、
    対策実施に伴う1つ以上のセキュリティ要件として、少なくともセキュリティ対策を実施する際に許容する脆弱性の大きさと、可用性低下の大きさとを示す情報を含む情報を前記管理区分毎に定義した対策ポリシーと、少なくともクライアントシステムの状態から導出される各脅威およびその関連性に基づいてそのクライアントシステムに現在どれだけのセキュリティリスクが存在するのかを算出するためのモデル式を定義したリスクモデルであって少なくとも対策を実施することによって低減する脆弱性の大きさと、対策を実施することによって増大する可用性低下の大きさとを算出するための計算式を含むリスクモデルとに基づいて、前記管理区分毎の対策案を生成する対策案生成手段と、
    前記状態格納手段に格納されている情報で示される各クライアントシステムの対策実施有無と前記リスクモデルとから、各クライアントシステムの現在のセキュリティリスクの度合いを示すリスク値を算出するリスク評価手段と
    前記対策ポリシーおよび前記リスクモデルに含まれるセキュリティ対策間の関係を表す論理制約式を、前記対策案生成手段で扱える形式である線形制約式の集合に変換する論理制約変換手段とを備え、
    前記対策案生成手段は、前記論理制約変換手段によって変換された線形制約式の集合を加えた上で、前記対策ポリシーで示されるセキュリティ要件を目標値として、前記管理区分毎に、各目標値に対して最もよく満たすこととなる各対策実施有無を示す2値変数の組み合わせを、基準点法を用いて、多目的最適化問題を解くことによって求め、求めた2値変数の組み合わせで示される対策実施有無の組み合わせを対策案とする
    ことを特徴とするセキュリティリスク管理システム。
  2. クライアントシステムの状態を示す情報として、少なくとも該クライアントシステムにおけるセキュリティ対策の実施有無を示す対策実施情報と、管理区分を判別するために必要な該クライアントシステムの構成情報とを収集し、状態格納手段に格納させる状態収集手段と、
    クライアントシステムの資産価値を判定し、状態格納手段に格納させる資産情報収集手段とを備えた
    請求項1に記載のセキュリティリスク管理システム。
  3. 対策案生成手段は、脅威の種類別に対策実施に伴う1つ以上のセキュリティ要件を管理区分毎に定義した対策ポリシーと、クライアントシステムの状態から導出される各脅威およびその関連性に基づいてそのクライアントシステムに現在どれだけのセキュリティリスクが存在するのかを脅威の種類別に算出するためのモデル式を定義したリスクモデルとに基づいて、管理区分毎の対策案を生成し、
    リスク評価手段は、状態格納手段に格納されている情報で示される各クライアントシステムの対策実施有無と前記リスクモデルとから、各クライアントシステムの現在のセキュリティリスクの度合いを示すリスク値を脅威の種類別に算出する
    請求項1または請求項2に記載のセキュリティ管理システム。
  4. クライアントシステムのセキュリティリスクに関する情報として、少なくともリスク評価手段によって算出されるリスク値を表示するとともに、リスク値が所定の閾値よりも高いクライアントシステムの情報を強調表示する表示手段を備えた
    請求項1から請求項3のうちのいずれか1項に記載のセキュリティリスク管理システム。
  5. 対策案生成手段によって生成された対策案を、クライアントシステム上で自動で実施する、またはクライアントシステムのユーザに対し、実施することを喚起する対策実施手段を備えた
    請求項1から請求項のうちのいずれか1項に記載のセキュリティリスク管理システム。
  6. 管理区分ポリシーおよび対策ポリシーの設定内容を変更または追加するための画面を表示することによって、ユーザに対して管理区分ポリシーおよび対策ポリシーを編集させるポリシー編集手段を備えた
    請求項1から請求項のうちのいずれか1項に記載のセキュリティリスク管理システム。
  7. ポリシー編集手段は、対策が実施されることによって脅威の種類別にどの程度リスク値が低減するかを表示する領域と、脅威の種類別に許容できるリスク値を設定するための領域とを含む画面を表示する
    請求項に記載のセキュリティリスク管理システム。
  8. 対策ポリシーは、少なくともセキュリティ対策を実施する際に許容する脆弱性の大きさと、コストの大きさと、可用性低下の大きさとを示す情報を含み、
    リスクモデルは、少なくとも対策を実施することによって低減する脆弱性の大きさと、対策を実施することによって増大する可用性低下の大きさおよびコストの大きさとを算出するための計算式を含む
    請求項1から請求項のうちのいずれか1項に記載のセキュリティリスク管理システム。
JP2006310555A 2006-11-16 2006-11-16 セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム Expired - Fee Related JP5125069B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006310555A JP5125069B2 (ja) 2006-11-16 2006-11-16 セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006310555A JP5125069B2 (ja) 2006-11-16 2006-11-16 セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム

Publications (2)

Publication Number Publication Date
JP2008129648A JP2008129648A (ja) 2008-06-05
JP5125069B2 true JP5125069B2 (ja) 2013-01-23

Family

ID=39555425

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006310555A Expired - Fee Related JP5125069B2 (ja) 2006-11-16 2006-11-16 セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム

Country Status (1)

Country Link
JP (1) JP5125069B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10922417B2 (en) 2015-09-15 2021-02-16 Nec Corporation Information processing apparatus, information processing method, and program

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4384252B1 (ja) * 2009-03-12 2009-12-16 三菱電機インフォメーションシステムズ株式会社 セキュリティ評価装置及びセキュリティ評価方法及びセキュリティ評価プログラム
JP4970484B2 (ja) * 2009-03-27 2012-07-04 株式会社東芝 事務品質管理装置、事務品質管理処理プログラムおよび事務品質管理処理方法
JP5413010B2 (ja) * 2009-07-17 2014-02-12 日本電気株式会社 分析装置、分析方法およびプログラム
US8566391B2 (en) 2009-08-13 2013-10-22 Hitachi, Ltd. System and method for evaluating application suitability in execution environment
US9742778B2 (en) 2009-09-09 2017-08-22 International Business Machines Corporation Differential security policies in email systems
JP5127852B2 (ja) * 2010-03-04 2013-01-23 株式会社オプティム レコメンドデータ出力システム、方法及びプログラム
US8577809B2 (en) * 2011-06-30 2013-11-05 Qualcomm Incorporated Method and apparatus for determining and utilizing value of digital assets
JP6425865B1 (ja) * 2017-03-07 2018-11-21 三菱電機株式会社 リスク分析装置、リスク分析方法及びリスク分析プログラム
TW201843614A (zh) * 2017-03-17 2018-12-16 日商日本電氣股份有限公司 安全風險管理裝置、安全風險管理方法及安全風險管理程式
CN110400075A (zh) * 2019-07-24 2019-11-01 中煤地建设工程有限公司 一种智慧工地质量安全管理系统
US20220215306A1 (en) * 2021-01-07 2022-07-07 TUV SUD Hong Kong Limited System and method for modelling and assessing risks
WO2023175878A1 (ja) * 2022-03-18 2023-09-21 日本電気株式会社 情報処理装置、方法、及びコンピュータ可読媒体

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001222420A (ja) * 1999-11-30 2001-08-17 Hitachi Ltd セキュリティシステム設計支援方法
JP2002352062A (ja) * 2001-05-24 2002-12-06 Hitachi Ltd セキュリティ評価装置
JP4190765B2 (ja) * 2002-01-18 2008-12-03 株式会社コムスクエア セキュリティレベル情報提供方法及びシステム
JP4052156B2 (ja) * 2003-03-19 2008-02-27 株式会社日立製作所 ポリシーベースシステム設定支援装置
JP2005190066A (ja) * 2003-12-25 2005-07-14 Hitachi Ltd 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム
JP2005216003A (ja) * 2004-01-29 2005-08-11 Ricoh Co Ltd リスク管理支援方法及びリスク管理支援プログラム
JP2005234840A (ja) * 2004-02-19 2005-09-02 Nec Micro Systems Ltd リスク評価方法及びセキュリティ管理策の選定支援方法およびプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10922417B2 (en) 2015-09-15 2021-02-16 Nec Corporation Information processing apparatus, information processing method, and program

Also Published As

Publication number Publication date
JP2008129648A (ja) 2008-06-05

Similar Documents

Publication Publication Date Title
JP5125069B2 (ja) セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム
US20180137288A1 (en) System and method for modeling security threats to prioritize threat remediation scheduling
US20180191781A1 (en) Data insights platform for a security and compliance environment
US8091065B2 (en) Threat analysis and modeling during a software development lifecycle of a software application
US20140172495A1 (en) System and method for automated brand protection
US20130246371A1 (en) System and Method for Concept Building
WO2008004498A1 (fr) Système, dispositif, procédé et programme de gestion des risques de sécurité
Schlegel et al. Structured system threat modeling and mitigation analysis for industrial automation systems
Mantha et al. Assessment of the cybersecurity vulnerability of construction networks
Papastergiou et al. Cyber security incident handling, warning and response system for the european critical information infrastructures (cybersane)
JP2019219898A (ja) セキュリティ対策検討ツール
Kotenko et al. Creating new-generation cybersecurity monitoring and management systems
KR20210083607A (ko) 위험 분석을 위한 보안요소 지수화 시스템 및 방법
Shehu et al. Cyber Kill Chain Analysis Using Artificial Intelligence
CN105912927B (zh) 用于生成应用控制规则的系统和方法
CN117972704A (zh) 一种区块链生态安全协同监管方法
Park et al. Security requirements prioritization based on threat modeling and valuation graph
Graves How machine learning is catching up with the insider threat
Paz Cybersecurity standards and frameworks
Kemendi et al. ICT security in businesses-efficiency analysis
Kalugina et al. Development of a tool for modeling security threats of an enterprise information system
Securosis Understanding and selecting a data loss prevention solution
KR20050093196A (ko) 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템
KR102540904B1 (ko) 빅데이터 기반의 취약보안 관리를 위한 보안 토탈 관리 시스템 및 보안 토탈 관리 방법
KR102267411B1 (ko) 컴플라이언스를 이용한 데이터 보안 관리 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091027

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110906

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111102

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120807

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120814

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121002

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121015

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5125069

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151109

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees