JP5304243B2 - セキュリティリスク管理システム、装置、方法、およびプログラム - Google Patents

セキュリティリスク管理システム、装置、方法、およびプログラム Download PDF

Info

Publication number
JP5304243B2
JP5304243B2 JP2008523664A JP2008523664A JP5304243B2 JP 5304243 B2 JP5304243 B2 JP 5304243B2 JP 2008523664 A JP2008523664 A JP 2008523664A JP 2008523664 A JP2008523664 A JP 2008523664A JP 5304243 B2 JP5304243 B2 JP 5304243B2
Authority
JP
Japan
Prior art keywords
countermeasure
target system
risk
vulnerability
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008523664A
Other languages
English (en)
Other versions
JPWO2008004498A1 (ja
Inventor
啓 榊
一男 矢野尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008523664A priority Critical patent/JP5304243B2/ja
Publication of JPWO2008004498A1 publication Critical patent/JPWO2008004498A1/ja
Application granted granted Critical
Publication of JP5304243B2 publication Critical patent/JP5304243B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

(関連出願)本願は、先の日本特許出願2006−187236号(2006年7月6日出願)の優先権を主張するものであり、前記先の出願の全記載内容は、本書に引用をもって繰込み記載されているものとみなされる。
本発明は、対象システムにおけるセキュリティリスクを管理するセキュリティリスク管理システム、装置、方法、およびプログラムに関し、特に、対象システムの運用中におけるセキュリティリスク管理に用いるセキュリティリスク管理システム、装置、方法、およびプログラムに関する。
組織における情報システムへの依存度が増すとともに、情報セキュリティの重要性もますます大きなものとなりつつある。情報セキュリティの最終的な目的は、予め定められた要件(セキュリティポリシー)に則って、情報システムが運営されることを保障することである。しかしながら、情報セキュリティを常に100%完全に確保することは現実的には困難である。その理由として3つの理由が挙げられる。
1つ目は、セキュリティを確保するメカニズムが不十分であるという技術的な課題によるものである。2つ目は、セキュリティを強化したり運用したりする費用が限られていて常に十分な対策を取ることができないという経済的な制約によるものである。3つ目は、セキュリティを構成する3つの要件−機密性・完全性・可用性−が本質的に相反するものであり、多くの場合それらを同時に保障することはできないためである。
従って、情報システムのセキュリティ管理者は、システムが晒されているセキュリティ上のリスクを評価し、技術的制約や経済的制約を考慮し、更に、相反する要件の折り合いをつけつつ、最適なシステムの構成を構築、維持、改善していかなくてはならない。これをセキュリティリスク管理と呼ぶ。システムのセキュリティリスクを管理する方法として、幾つかの手法が開示されている。
従来技術の一つとして、特許文献1では、脆弱性検査ツールによる検査結果を元に、発見された脆弱性を保護するように、不正アクセス対処ツールに通知する方式が開示されている。これを従来技術1と呼ぶ。
また、別の従来技術として、特許文献2では、資産価値を持つファイルに対して予め損失額・機密度といった属性情報を割り当てておき、当該ファイルに対するファイルアクセス・ネットワークアクセスを元にリスク値を更新する方式が開示されている。特許文献2に記載の方式では、更新したリスク値が予め指定された閾値を超えたら、ファイルのアクセス制限やファイルの削除といった対策を行う。
また、特許文献3では、不正侵入検知ツールによる検知結果を元に、検知された攻撃に対処するための対策(パッチ適用やファイアウォールによるネットワークアクセス制御)をする方式が開示されている。また、特許文献4では、発見した脆弱性に対応するセキュリティインシデント情報と情報資産情報を勘案してリスク分析を行うことによって、対策を生成する方式が開示されている。このような特許文献2、3、4で開示されている技術を従来技術2と呼ぶ。
また、別の従来技術として、非特許文献1では、脆弱性の発生頻度、脅威の発現時における損害額、それに対策する実現方式のコスト(費用)といった事前に定義された情報を元に、低コストで最も効率よくリスクを減らせる対策目標候補集合を選定する方式が提案されている。
また、非特許文献2では、予め定義される脅威の発生確率と情報資産の価値との関係を元に、低コストで最も効率よくリスクを減らせる対策目標候補集合を選定する方式が提案されている。このような非特許文献1、2で開示されている技術を従来技術3と呼ぶ。
特開2002−328896号公報 特開2005−190066号公報 特開2005−301551号公報 特開2005−242754号公報 永井他、"機能的適合性を考慮した情報システムのセキュリティ基本設計方の提案"、情処論文誌、2004年4月、Vol.45、No.4 中村他、"セキュリティ対策選定の実用的な一手法の提案とその評価"、情処論文誌、2004年8月、Vol.45、No.8
以上の特許文献1〜4及び非特許文献1〜2の開示事項は、本書に引用をもって繰り込み記載されているものとする。
従来技術1では、運用中のシステムのセキュリティリスクを一定レベル以下に保つことは実現している。しかしながら、対象とする脆弱性と対策との関係が固定的に定められているため、システムの状況に応じた適応的な対策がとれるようなセキュリティリスク管理は実現されていない。
従来技術2では、システムの状態から脆弱性を検出し、検出した脆弱性から対策を導く際に、リスク分析の手法をある程度導入することによって、従来技術1の課題を解消している。しかしながら、一般に、ある脅威に対して複数の対策方法が存在するが、従来技術2では、複数の対策方法からどの対策手段を導くべきかを判定する手段が固定的であり、必ずしも最適な対策が得られるようになっていない。
特に、運用中のシステムに対策を施す場合、その対策によっては、サーバの停止による業務の中断、アクセス権限の強化による利便性の低下などの副作用が生じることがある。このため、リスクを最大限低減させる対策よりも他の副作用の小さい対策が望まれる場合がある。従って、運用中のシステムに対策を施す場合、その対策によって生じる副作用がどの程度のものであるかをセキュリティ管理者が判断できることが望ましい。また、複数の対策方法が考えられる場合、簡単にできる対策を応急処置的に施し、次第に理想的な対策に移行するといった、段階的な対策がとれることが望ましい。
従来技術3は、システムの設計・導入時に最適な構成を選択する際に利用することを目的としており、運用中システムの現状のリスクを判定し、最適な対策を出力する機能を持たない。また、脆弱性の発生頻度や情報資産の価値といった情報を全て入力しておく必要があるが、このような情報をシステムの運用中の状況に応じて更新していくのは困難である。また、対策実施の費用は考慮されているものの、可用性などの制約については考慮されていない。
すなわち、従来技術における第1の問題点は、運用中のシステムの状態(脆弱性の有無、脆弱性の発生頻度、資産価値等)を元にリスクを分析した上で、リスクを軽減するための対策候補から、最適な対策方法を提示することができないということである。その理由は、従来の技術では、対策を実施することによる副作用(導入に要する費用や、サーバの停止による業務の中断、アクセス権限の強化による利便性の低下など)を評価する際に、運用中のシステムの状態を考慮していないためである。
第2の問題点は、複数の対策案が考えられる場合、対策をする際に生じる費用や可用性の低下といった副作用を多面的に考慮して、対策案を優先づけることができない、または、どのような副作用がどの程度生じるかをセキュリティ管理者が判断することができないということである。従来技術3では、導入時の費用を考慮してリスクを低減する方式が提案されているが、可用性の低下など費用以外の制約条件については考慮されていない。
第3の問題点は、簡単にできる対策を応急処置的に施し、次第に理想的な対策に移行するといった、段階的な対策が考慮されていないということである。その理由は、従来技術では、対策をすることによる可用性の低下や、対策がなされるまでのリードタイム(展開時間)を考慮した対策立案が実現されていないためである。
そこで、本発明は、運用中のシステムの状態に基づいてリスクを分析し、リスクを軽減するための対策候補から、運用中のシステムに生じる各種制約を考慮した上で、最適な対策方法を提示することができるセキュリティリスク管理システム、装置、方法、およびプログラムを提供することを目的とする。
本発明の第1の視点によれば、対象システムの状態(例えば、脆弱性の有無、脅威の発生頻度、資産価値)を分析する状態分析手段(例えば、現状分析手段、資産分析手段)と、状態分析手段の分析結果に基づいて、対象システムのセキュリティリスクを判定するリスク判定手段(例えば、リスク分析手段)と、リスク判定手段によってセキュリティリスクが所定の許容範囲を超えていると判定された場合に、対象システムに所定の対策を実施することによって低減するセキュリティリスクの度合いを示すリスク低減度と、前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間と、前記所定の対策を実施することによって前記対象システムの利便性の低下度とに基づいて、セキュリティリスクを低減するための複数の対策案を選定する対策案選定手段(例えば、対策案生成手段)と、前記対策案の中から前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間が少ない緊急対策案と、前記対象システムの利便性の低下度が小さい通常対策案と、を決定する対策優先順位決定手段とを備え、対象システムにおけるセキュリティリスクを管理するセキュリティリスク管理システムが提供される。
また、上記セキュリティリスク管理システムは、前記対策案選定手段によって選定された対策案について、当該対策のリスク低減度と、当該対策のそれぞれの制約度とを含む対策案情報を出力する対策案情報出力手段例えば、対策優先順位決定手段)と、対策案選定手段によって選定された対策案に従って、セキュリティリスクを低減するための所定の処理を実行する対策実行手段(例えば、対策実施手段203)とを備えていてもよい。ここで、セキュリティリスクを低減するための処理としては、例えば、ディスク暗号化ツールのパスワードを設定させるために、ユーザがログオンしたときに警告画面を表示する処理や、パスワードを設定するようにユーザに警告する電子メールを送信する処理を望ましく採用できる。
また、前記状態分析手段は、少なくとも対象システムの脆弱性の有無と、対象システムの価値とを分析し、前記リスク判定手段は、対象システムの脆弱性の有無と、対象システムの資産価値と、予めセキュリティ上の脅威の発生頻度を定義した脅威モデルと、予め脆弱性の有無による脅威の顕在化に係る脆弱性と脅威との関係を予め定義した脅威−脆弱性モデルと、予め脅威の顕在化による資産への影響度に係る脅威と資産との関係を定義した脅威−資産モデルとに基づいて、対象システムのセキュリティリスクの度合いを示すリスク値を算出し、前記対策案選定手段は、予め各脆弱性によるセキュリティリスクを低減するための対策手段を定義した脆弱性−対策モデルと、予め各対策手段を実施することによって対象システムに生じる各種制約の大きさを示す制約度を定義した対策−制約モデルとに基づいて、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を、対策案として選定してもよい。
また、上記セキュリティリスク管理システムは、対策の実施段階に応じて定義される対策ステージであって、実施する対策が対応づけられる各対策ステージについて、対策ステージからの遷移条件を定義した対策ステージ遷移ルール(例えば、対策シナリオモデル)を記憶する記憶手段(例えば、対策モデル格納手段)と、前記対策案選定手段によって選定された対策案のうちのいずれかを、所定の条件に従って、対策ステージ遷移ルールで示される各対策ステージに割り当てることによって、いずれの対策案をいずれのタイミングで実行するかを示す対策シナリオを生成する対策シナリオ生成手段(例えば、対策シナリオ生成手段)とを備えていてもよい。
また、上記セキュリティリスク管理システムは、前記対策ステージ遷移ルールに従って、少なくとも対象システムの状態変化、現在時刻、または対策を実施したときからの経過時間に基づいて、前記対策シナリオ生成手段によって生成された対策シナリオ上で対策ステージを遷移させることによって、実行する対策案を決定する対策実行決定手段(対策実行判定手段)を備えていてもよい。
また、セキュリティリスク管理システムは、リスク管理の対象とする対象システムと、該対象システムと通信ネットワークを介して接続されるリスク管理装置とを備え、前記対象システムは、当該対象システムの脆弱性の有無を判定し、判定結果をリスク管理システムに送信する現状分析手段と、当該対象システムの価値を判定し、判定結果をリスク管理システムに送信する資産分析手段とを有し、前記リスク管理装置は、対象システムから、当該対象システムの脆弱性の有無を示す脆弱性情報と、当該対象システムの価値を示す資産情報とを収集する情報収集手段と、セキュリティリスクを判定するためのリスクモデルとして、少なくともセキュリティ上の各脅威の発生頻度を示す情報である脅威モデルと、脅威モデルで示される各脅威について、脅威の顕在化に係る各脆弱性の有無の関係性を示す情報である脅威−脆弱性モデルと、脅威モデルで示される各脅威について、脅威の顕在化による対象システムの資産への影響度を示す情報である脅威−資産モデルとを記憶するリスクモデル記憶手段と、対策手段を決定するための対策モデルとして、少なくとも脅威−脆弱性モデルで示される各脆弱性に対し、実施しうる対策手段を示す情報である脆弱性−対策モデルと、脆弱性−対策モデルで示される各対策手段について、当該対策手段の各種制約度を示す情報である対策−制約モデルとを記憶する対策モデル記憶手段と、情報収集手段によって収集された脆弱性情報および資産情報を、リスクモデル記憶手段に記憶されている各モデルを用いて分析することによって、対象システムにおける各脅威の発生頻度と、各脅威に対する脆弱性の大きさと、各脅威が顕在化した際の対象システムの資産への影響度とに基づくリスク値を算出するリスク分析手段と、リスク分析手段によって算出されたリスク値が所定の許容範囲を超えた場合に、対策モデル格納手段に記憶されている各モデルを用いて、存在が発見された脆弱性に対する対策手段を分析することによって、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を、対策案として選定する対策案生成手段とを有する構成とすることもできる。
また、本発明の第2の視点によれば、対象システムの状態に基づいて、対象システムのセキュリティリスクを判定するリスク判定手段と、リスク判定手段によってセキュリティリスクが所定の許容範囲を超えていると判定された場合に、対象システムに所定の対策を実施することによって低減するセキュリティリスクの度合いを示すリスク低減度と、前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間と、前記所定の対策を実施することによって前記対象システムの利便性の低下度とに基づいて、セキュリティリスクを低減するための複数の対策案を選定する対策案選定手段と、前記対策案の中から前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間が少ない緊急対策案と、前記対象システムの利便性の低下度が小さい通常対策案と、を決定する対策優先順位決定手段とを備え、対象システムにおけるセキュリティリスクを管理するセキュリティリスク管理装置が提供される。
また、上記セキュリティリスク管理装置は、前記対策案選定手段によって選定された対策案について、当該対策のリスク低減度と、当該対策のそれぞれの制約度とを含む対策案情報を出力する対策案情報出力手段と、対策案選定手段によって選定された対策案に従って、セキュリティリスクを低減するための所定の処理を実行する対策実行手段とを備えていてもよい。
また、前記リスク判定手段は、対象システムの脆弱性の有無と、対象システムの資産価値と、予めセキュリティ上の脅威の発生頻度を定義した脅威モデルと、予め脆弱性の有無による脅威の顕在化に係る脆弱性と脅威との関係を予め定義した脅威−脆弱性モデルと、予め脅威の顕在化による資産への影響度に係る脅威と資産との関係を定義した脅威−資産モデルとに基づいて、対象システムのセキュリティリスクの度合いを示すリスク値を算出し、前記対策案選定手段は、予め各脆弱性によるセキュリティリスクを低減するための対策手段を定義した脆弱性−対策モデルと、予め各対策手段を実施することによって対象システムに生じる各種制約の大きさを示す制約度を定義した対策−制約モデルとに基づいて、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を、対策案として選定してもよい。
また、上記セキュリティリスク管理装置は、対策の実施段階に応じて定義される対策ステージであって、実施する対策が対応づけられる各対策ステージについて、対策ステージからの遷移条件を定義した対策ステージ遷移ルールを記憶する記憶手段と、前記対策案選定手段によって選定された対策案のうちのいずれかを、所定の条件に従って、対策ステージ遷移ルールで示される各対策ステージに割り当てることによって、いずれの対策案をいずれのタイミングで実行するかを示す対策シナリオを生成する対策シナリオ生成手段とを備えていてもよい。
また、上記セキュリティリスク管理装置は、前記対策ステージ遷移ルールに従って、少なくとも対象システムの状態変化、現在時刻、または対策を実施したときからの経過時間に基づいて、前記対策シナリオ生成手段によって生成された対策シナリオ上で対策ステージを遷移させることによって、実行する対策案を決定する対策実行決定手段を備えていてもよい。
また、セキュリティリスク管理装置は、対象システムから、当該対象システムの脆弱性の有無を示す脆弱性情報と、当該対象システムの価値を示す資産情報とを収集する情報収集手段と、セキュリティリスクを判定するためのリスクモデルとして、少なくともセキュリティ上の各脅威の発生頻度を示す情報である脅威モデルと、脅威モデルで示される各脅威について、脅威の顕在化に係る各脆弱性の有無の関係性を示す情報である脅威−脆弱性モデルと、脅威モデルで示される各脅威について、脅威の顕在化による対象システムの資産への影響度を示す情報である脅威−資産モデルとを記憶するリスクモデル記憶手段と、対策手段を決定するための対策モデルとして、少なくとも脅威−脆弱性モデルで示される各脆弱性に対し、実施しうる対策手段を示す情報である脆弱性−対策モデルと、脆弱性−対策モデルで示される各対策手段について、当該対策手段の各種制約度を示す情報である対策−制約モデルとを記憶する対策モデル記憶手段と、情報収集手段によって収集された脆弱性情報および資産情報を、リスクモデル記憶手段に記憶されている各モデルを用いて分析することによって、対象システムにおける各脅威の発生頻度と、各脅威に対する脆弱性の大きさと、各脅威が顕在化した際の対象システムの資産への影響度とに基づくリスク値を算出するリスク分析手段と、リスク分析手段によって算出されたリスク値が所定の許容範囲を超えた場合に、対策モデル格納手段に記憶されている各モデルを用いて、存在が発見された脆弱性に対する対策手段を分析することによって、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を、対策案として選定する対策案生成手段とを備える構成とすることもできる。
また、本発明の第3の視点によれば、対象システムの状態を分析する状態分析ステップと、分析結果に基づいて、対象システムのセキュリティリスクを判定するリスク判定ステップと、セキュリティリスクが所定の許容範囲を超えていると判定された場合に、対象システムに所定の対策を実施することによって低減するセキュリティリスクの度合いを示すリスク低減度と、前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間と、前記所定の対策を実施することによって前記対象システムの利便性の低下度とに基づいて、セキュリティリスクを低減するための複数の対策案を選定する対策案選定ステップと、前記対策案の中から前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間が少ない緊急対策案と、前記対象システムの利便性の低下度が小さい通常対策案と、を決定する対策優先順位決定ステップとを含み、対象システムにおけるセキュリティリスクを管理するセキュリティリスク管理方法が提供される。
また、上記セキュリティリスク管理方法は、前記選定された対策案について、当該対策のリスク低減度と、当該対策のそれぞれの制約度とを含む対策案情報を出力する対策案情報出力ステップと、前記選定された対策案に従って、セキュリティリスクを低減するための所定の処理を実行する対策実行ステップとを含んでいてもよい。
また、前記状態分析ステップで、少なくとも対象システムの脆弱性の有無と、対象システムの価値とを分析し、前記リスク判定ステップで、対象システムの脆弱性の有無と、対象システムの資産価値と、予めセキュリティ上の脅威の発生頻度を定義した脅威モデルと、予め脆弱性の有無による脅威の顕在化に係る脆弱性と脅威との関係を予め定義した脅威−脆弱性モデルと、予め脅威の顕在化による資産への影響度に係る脅威と資産との関係を定義した脅威−資産モデルとに基づいて、対象システムのセキュリティリスクの度合いを示すリスク値を算出し、前記対策案選定ステップで、予め各脆弱性によるセキュリティリスクを低減するための対策手段を定義した脆弱性−対策モデルと、予め各対策手段を実施することによって対象システムに生じる各種制約の大きさを示す制約度を定義した対策−制約モデルとに基づいて、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を、対策案として選定してもよい。
また、上記セキュリティリスク管理方法は、前記選定された対策案のうちのいずれかを、所定の条件に従って、対策の実施段階に応じて定義される対策ステージであって、実施する対策が対応づけられる各対策ステージについて、対策ステージからの遷移条件を定義した対策ステージ遷移ルールで示される各対策ステージに割り当てることによって、いずれの対策案をいずれのタイミングで実行するかを示す対策シナリオを生成する対策シナリオ生成ステップを含んでいてもよい。
また、上記セキュリティリスク管理方法は、前記対策ステージ遷移ルールに従って、少なくとも対象システムの状態変化、現在時刻、または対策を実施したときからの経過時間に基づいて、前記対策シナリオ上で対策ステージを遷移させることによって、実行する対策案を決定する対策実行決定ステップを含んでいてもよい。
また、セキュリティリスク管理方法は、対象システムが、当該対象システムの脆弱性の有無を判定し、判定結果をリスク管理システムに送信するステップと、対象システムが、当該対象システムの価値を判定し、判定結果をリスク管理システムに送信するステップと、リスク管理装置が、対象システムから、当該対象システムの脆弱性の有無を示す脆弱性情報と、当該対象システムの価値を示す資産情報とを収集するステップと、リスク管理装置が、情報収集手段によって収集された脆弱性情報および資産情報を、セキュリティ上の各脅威の発生頻度を示す情報である脅威モデルと、脅威モデルで示される各脅威について、脅威の顕在化に係る各脆弱性の有無の関係性を示す情報である脅威−脆弱性モデルと、脅威モデルで示される各脅威について、脅威の顕在化による対象システムの資産への影響度を示す情報である脅威−資産モデルとを用いて分析することによって、対象システムにおける各脅威の発生頻度と、各脅威に対する脆弱性の大きさと、各脅威が顕在化した際の対象システムの資産への影響度とに基づくリスク値を算出するステップと、リスク管理装置が、算出されたリスク値が所定の許容範囲を超えた場合に、脅威−脆弱性モデルで示される各脆弱性に対し、実施しうる対策手段を示す情報である脆弱性−対策モデルと、脆弱性−対策モデルで示される各対策手段について、当該対策手段の各種制約度を示す情報である対策−制約モデルとを用いて、存在が発見された脆弱性に対する対策手段を分析することによって、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を、対策案として選定するステップとを含んだ方法とすることもできる。
また、本発明の第4の視点によれば、コンピュータに、対象システムの状態を分析する状態分析処理、分析結果に基づいて、対象システムのセキュリティリスクを判定するリスク判定処理、セキュリティリスクが所定の許容範囲を超えていると判定された場合に、対象システムに所定の対策を実施することによって低減するセキュリティリスクの度合いを示すリスク低減度と、前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間と、前記所定の対策を実施することによって前記対象システムの利便性の低下度とに基づいて、セキュリティリスクを低減するための複数の対策案を選定する対策案選定処理、および、前記対策案の中から前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間が少ない緊急対策案と、前記対象システムの利便性の低下度が小さい通常対策案と、を決定する対策優先順位決定処理を実行させ、対象システムにおけるセキュリティリスクを管理するためのセキュリティリスク管理プログラムが提供される。
また、上記セキュリティリスク管理プログラムにより、コンピュータに、前記選定された対策案について、当該対策のリスク低減度と、当該対策のそれぞれの制約度とを含む対策案情報を出力する対策案情報出力処理、および選定された対策案に従って、セキュリティリスクを低減するための所定の処理を実行する対策実行処理を実行させてもよい。
また、上記セキュリティリスク管理プログラムにより、コンピュータに、前記状態分析処理で、少なくとも対象システムの脆弱性の有無と、対象システムの価値とを分析させ、前記リスク判定処理で、対象システムの脆弱性の有無と、対象システムの資産価値と、予めセキュリティ上の脅威の発生頻度を定義した脅威モデルと、予め脆弱性の有無による脅威の顕在化に係る脆弱性と脅威との関係を予め定義した脅威−脆弱性モデルと、予め脅威の顕在化による資産への影響度に係る脅威と資産との関係を定義した脅威−資産モデルとに基づいて、対象システムのセキュリティリスクの度合いを示すリスク値を算出させ、前記対策案選定処理で、予め各脆弱性によるセキュリティリスクを低減するための対策手段を定義した脆弱性−対策モデルと、予め各対策手段を実施することによって対象システムに生じる各種制約の大きさを示す制約度を定義した対策−制約モデルとに基づいて、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を、対策案として選定させてもよい。
また、上記セキュリティリスク管理プログラムにより、コンピュータに、前記選定された対策案のうちのいずれかを、所定の条件に従って、対策の実施段階に応じて定義される対策ステージであって、実施する対策が対応づけられる各対策ステージについて、対策ステージからの遷移条件を定義した対策ステージ遷移ルールで示される各対策ステージに割り当てることによって、いずれの対策案をいずれのタイミングで実行するかを示す対策シナリオを生成する対策シナリオ生成処理を実行させてもよい。
また、セキュリティリスク管理プログラムにより、コンピュータに、前記対策ステージ遷移ルールに従って、少なくとも対象システムの状態変化、現在時刻、または対策を実施したときからの経過時間に基づいて、対策シナリオ上で対策ステージを遷移させることによって、実行する対策案を決定する対策実行決定処理を実行させてもよい。
また、セキュリティリスク管理プログラムは、コンピュータに、対象システムから、当該対象システムの脆弱性の有無を示す脆弱性情報と、当該対象システムの価値を示す資産情報とを収集する処理、情報収集手段によって収集された脆弱性情報および資産情報を、セキュリティ上の各脅威の発生頻度を示す情報である脅威モデルと、脅威モデルで示される各脅威について、脅威の顕在化に係る各脆弱性の有無の関係性を示す情報である脅威−脆弱性モデルと、脅威モデルで示される各脅威について、脅威の顕在化による対象システムの資産への影響度を示す情報である脅威−資産モデルとを用いて分析することによって、対象システムにおける各脅威の発生頻度と、各脅威に対する脆弱性の大きさと、各脅威が顕在化した際の対象システムの資産への影響度とに基づくリスク値を算出する処理、および算出されたリスク値が所定の許容範囲を超えた場合に、脅威−脆弱性モデルで示される各脆弱性に対し、実施しうる対策手段を示す情報である脆弱性−対策モデルと、脆弱性−対策モデルで示される各対策手段について、当該対策手段の各種制約度を示す情報である対策−制約モデルとを用いて、存在が発見された脆弱性に対する対策手段を分析することによって、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を、対策案として選定する処理を実行させるプログラムとすることができる。
本発明は、リスク判定手段がリスク管理の対象とするシステムの状態の分析結果に基づいてセキュリティリスクを判定した上で、対策案選定手段がリスク低減度と各種制約度とに基づいて対策案を選定するよう構成されているので、対象システムに生じる各種制約を考慮した上で最適な対策案を提示することができる。
例えば、運用中のシステムの状態(脆弱性の有無、脆弱性の発生頻度、資産価値等)に基づいて分析した現在のセキュリティリスクを軽減する対策候補から、その対策を実施することによって生じる各種制約を考慮した上で、最適な対策方法を提示することができることにある。その理由は、システムの状態を調べることにより得られた、対象システム内の資産価値とその脆弱性の情報から、予め定められたセキュリティリスクを分析するためのリスクモデルを用いてリスク値を算出し、さらに予め定められた対策手段を決定するための対策モデルを用いて、対策を実施する際に生じる各種コスト(制約度)を算出した上で対策案を生成するためである。
また、本発明の、特定の視点ないし実施の形態において、複数の対策案が考えられる場合、対策を実施する際に生じる各種コストがどの程度生じるかを判断しつつ、セキュリティ管理者が最適な対策を実施できる。その理由は、例えば、対策モデルとして、機器コスト、可用性コスト、展開コストといった複数のコストを定義しておくことにより、可用性の低下を優先するか、速やかな対策の展開を優先するか、全体的にコストを最小限にすることを優先するか、といった複数の異なる対策案を提示することができ、セキュリティ管理者がどの対策を取れば、どのようなコストがどの程度生じるかが把握できるようになるためである。
更に、本発明の特定の視点ないし実施の形態において、簡単にできる対策を応急処置的に施して次第に理想的な対策に移行するといった、段階的な対策をセキュリティ管理者が実施できる。その理由は、展開コストの小さい対策を先に実施し、その後、その他の条件(コスト)も考慮した最適な対策を実施するといった、典型的な対策実施のパターンを対策シナリオとして生成し、実施することができるためである。
本発明によるセキュリティリスク管理システムの構成例を示すブロック図である。 セキュリティリスク管理システムが対象システムのセキュリティリスクに応じて対策を実施する動作の例を示す流れ図である。 状態格納手段に格納される脆弱性情報のデータ構造の例を示す説明図である。 文書ファイルの機密レベルとその価値の例を示す説明図である。 状態格納手段に格納される資産情報のデータ構造の例を示す説明図である。 脅威モデルの例を示す説明図である。 脅威−脆弱性モデルの例を示す説明図である。 脅威−脆弱性モデルのデータ格納形式の例を示す説明図である。 脅威−脆弱性モデルから導出される関数の解の一例を示す説明図である。 脅威−資産モデルの例を示す説明図である。 リスク分析手段が行うリスク分析処理の例を示す流れ図である。 脆弱性−対策モデルの例を示す説明図である。 対策−コストモデルの例を示す説明図である。 脆弱性−対策モデルと対策−コストモデル104bを組み合わせた例を示す説明図である。 対策案生成手段が行う対策案生成処理の例を示す流れ図である。 脅威−脆弱性−対策モデルの例を示す説明図である。 対策優先順位決定手段が出力する画面の例を示す説明図である。 対策順位決定方針を設定するための設定画面の例を示す説明図である。 対策順位決定方針を設定するための設定画面の例を示す説明図である。 対策関係演算子を用いて表現した脅威−脆弱性−対策モデルの例を示す説明図である。 対策関係演算子を用いた脅威−脆弱性−対策モデルから対策案を生成する処理の例を示す流れ図である。 第2の実施例によるセキュリティリスク管理システムの構成例を示すブロック図である。 「ワーム発生による情報漏洩」に対する対策シナリオモデル114cの例を示す説明図である。 コストに応じて対策ステージに各対策を割り当てた場合の対策確認画面の例である。 対策シナリオモデルの構成要素の例を示す説明図である。 対策シナリオ生成手段が行う対策シナリオ生成処理の例を示す流れ図である。
符号の説明
100 リスク管理システム
101 状態格納手段
102 リスクモデル格納手段
102a 脅威モデル
102b 脅威−脆弱性モデル
102c 脅威−資産モデル
103 リスク分析手段
104 対策モデル格納手段
104a 脆弱性−対策モデル
104b 対策−コストモデル
105 対策案生成手段
106 ポリシー格納手段
106a 対策順位決定方針
107 対策優先順位決定手段
200 対象システム
201 現状分析手段
202 資産分析手段
203 対策実施手段
111 対策シナリオ生成手段
112 対策実行判定手段
114c 対策シナリオモデル
211 イベント収集手段
実施例1.
続いて、本発明を実施するための最良の形態として、運用中のシステムのセキュリティリスクが許容範囲を超える場合に複数の対策案を生成するとともに、各対策を実施する際に生じる各種制約(費用や可用性の低下といった様々な副作用)がどの程度生じるかを提示して、セキュリティ管理者が適切な判断を下せるように支援する本発明の第1実施例を説明する。
以下、本発明の第1の実施例を図面を参照して説明する。図1は、本発明によるセキュリティリスク管理システムの構成例を示すブロック図である。図1に示すように、セキュリティリスク管理システムは、リスク管理システム100と、対象システム200とを含む。リスク管理システム100と対象システム200とは、例えば、インターネット等の通信ネットワークを介して接続される。リスク管理システム100は、具体的には、ワークステーションやパーソナルコンピュータ等の情報処理装置によって実現される。
リスク管理システム100は、状態格納手段101と、リスクモデル格納手段102と、リスク分析手段103と、対策モデル格納手段104と、対策案生成手段105と、ポリシー格納手段106と、対策優先順位決定手段107と、ポリシー設定手段108とを備える。また、リスク管理の対象となる対象システム200には、現状分析手段201と、資産分析手段202と、対策実施手段203とが含まれる。
対象システム200は、具体的には、オペレーティングシステム(OS)がインストールされているパーソナルコンピュータ等の情報処理装置である。例えば、対象システム200は、ユーザが使用する端末(以下、クライアントPCという。)や各種サーバである。なお、本実施例では、対象システムがMicrosoft Windows(登録商標)がインストールされているクライアントPCやサーバであると仮定して具体例を示すが、これに限らず、例えば、Linux(登録商標)がインストールされているサーバワークステーションであってもよい。また、図1では、1つの対象システム200を示しているが、セキュリティリスク管理システムは、複数の対象システム200を備え、1つのリスク管理システム100で複数の対象システム200を管理するようにしてもよい。
現状分析手段201は、対象システム200の状態を調べ、脆弱性が存在するか否かを判断し、リスク管理システム100に通知する。本実施例では、その現状分析手段201を備える対象システム200において、対象システム200上の脆弱性の有無を判定し、対象システム200の脆弱性情報として、リスク管理システム100に送信して状態格納手段101に格納させる。ここで脆弱性とは、情報システムにおいて、情報セキュリティ上の脅威となる行為の要因となりうる情報システムの性質(システム上の欠陥、仕様上の問題点、ユーザによる利用形態等)をいう。脆弱性は、例えば、「ディスク暗号化ツールがインストールされていない」といったソフトウェアのインストール情報であったり、「USBメモリが利用可能である」といったシステムの状態であったり、「ゲストアカウントが無効にされていない」といったユーザアカウント情報であったり、「telnetサービスが実行されている」といったOSの状態であったりする。
資産分析手段202は、対象システム200の状態を調べ、その資産のセキュリティレベル(機密性、完全性、可用性に関して要求される指標)を判定し、リスク管理システム100に通知する。本実施例では、その資産分析手段202を備える対象システム対象システム200において、対象システム200上に存在する文書ファイルの機密度を判定し、対象システム200の資産情報として、リスク管理システム100に送信して状態格納手段101に格納させる。ここで文書ファイルの機密度とは、例えば、「個人情報」、「取扱注意情報」、「社外秘情報」といった、予めセキュリティポリシーに従って定められた文書の機密性に関する分類(度合い)を表す指標であり、ファイルとして記憶されている文書の内容によって決定される。
対策実施手段203は、その対策実施手段203を備える対象システム200において、リスク管理システム100から指示された対策案に従って、セキュリティリスクを解消するための処理を実行する。
現状分析手段201、資産分析手段202、対策実施手段203は、具体的には、プログラムに従って動作するCPUによって実現される。なお、本実施例では、現状分析手段201、資産分析手段202、対策実施手段203は、各対象システムがプログラムをインストールする等して、リスク管理の対象とするシステム(対象システム)それぞれに、備えられているものとする。
状態格納手段101は、対象システム200の現在のシステム状態を示す情報を格納(記憶)する。具体的には、状態格納手段101は、対象システム200から収集(受信)したシステムの脆弱性の有無を示す脆弱性情報と、システムの資産価値を示す資産情報とを記憶する。なお、脆弱性情報、資産情報は、対象システム200が所定のタイミングで送信したものを受信してもよいし、状態格納手段101が収集手段を含み、収集手段が対象システムに問い合わせて、その応答として受信してもよい。
リスクモデル格納手段102は、対象システムのシステム状態からセキュリティリスクの度合いを示すリスク値を分析するために必要なリスクモデルを格納(記憶)する。具体的には、リスクモデル格納手段102は、脅威モデル102aと、脅威−脆弱性モデル102bと、脅威−資産モデル102cとを記憶する。脅威モデル102aは、セキュリティ上の脅威と、それら脅威の発生頻度を定義するためのモデル(情報)である。脅威−脆弱性モデル102bは、現状分析手段201が検出する脆弱性と、それら脆弱性と脅威モデル102aで定義される脅威との関係(脅威の顕在化に係る関係)を定義するためのモデルである。脅威−資産モデル102cは、脅威モデル102aで定義される脅威と対象システム上の資産との関係(資産への影響度に係る関係)を定義するためのモデルである。なお、これら各モデルは、セキュリティに関する専門知識を元にしてあらかじめ作成されているものとする。これらのモデルは、例えば、XMLファイルやHTMLファイルとして作成されてもよい。
リスク分析手段103は、状態格納手段101に格納されている対象システム200の現在のシステム状態を示す情報(脆弱性情報、資産情報)を、リスクモデル格納手段102に格納されているリスクモデルを用いて分析し、対象システム200の現在のリスク値を算出する。
対策モデル格納手段104は、対象システム200の現在のセキュリティリスクに対する最適な対策を分析するために必要な対策モデルを格納(記憶)する。具体的には、対策モデル格納手段104は、脆弱性−対策モデル104aと、対策毎に定義される対策−コストモデル104bとを記憶する。脆弱性−対策モデル104aは、脅威−脆弱性モデル102bで定義される脆弱性に対し、実施しうる対策手段を定義するためのモデルである。対策−コストモデル104bは、脆弱性−対策モデル104aで定義される対策手段に対し、その対策手段を実施する際に生じる各種コストを定義するためのモデルである。以下、「コスト」と表現した場合には、単純に「費用」をいうのではなく、対策に必要な費用や、対策を実施したことにより生じる副作用などを総称した、対策を実施する際に生じる「制約」をいう。これらのモデルは、例えば、XMLファイルやHTMLファイルとして作成されてもよい。
対策案生成手段105は、リスク分析手段103によって算出されたリスク値が許容範囲を超える場合に、リスクモデルおよび対策モデルを用いて分析し、セキュリティリスクを低減させるためのいくつかの対策案を生成する。なお、リスク値の許容範囲は、予め定めておいた値を用いるだけでなく、セキュリティ管理者が設定した値を用いることも可能である。
ポリシー格納手段106は、対象システムに対策を施すに当たって、優先すべきコストや、コストの評価式を示す情報である対策順位決定方針106aを格納(記憶)する。なお、対策順位決定方針106aには、対象システムにおいて許容できるリスク値の最大値を示すリスク許容値を含めてもよい。対策順位決定方針106aは、セキュリティ管理者によって予めセキュリティポリシーとして登録されているものとする。なお、対策順位決定方式106aは、後述のポリシー設定手段108によってセキュリティポリシーを表現する具体的な数値や式などに変換した上で格納してもよい。
対策優先順位決定手段107は、ポリシー格納手段106に格納されている対策順位決定方針106aに従って対策案を優先順位づけることによって、実施する対策を決定する。対策優先順位決定手段107は、優先順位に従って対策案を決定するだけでなく、優先順位に従って対策案を並び替えて、例えば選択用画面に出力することによってセキュリティ管理者に提示し、どの対策を実施すべきかを選択させることによって決定してもよい。また、対策優先順位決定手段107は、決定した対策を実施するための各種制御を行う。例えば、対策優先順位決定手段107は、対象システム200の対策実施手段203に決定した対策を実施する旨の要求を送信する。
ポリシー設定手段108は、セキュリティポリシーを反映する対策順位決定方針106aを設定する。ポリシー設定手段108は、例えば、所定の設定用画面を用意し、入力手段を用いてセキュリティ管理者が入力したセキュリティポリシーを表現する条件や評価式等を対策順位決定方針106aとしてポリシー格納手段106に格納する。
なお、状態格納手段101、リスクモデル格納手段102、対策モデル格納手段104、ポリシー格納手段106は、具体的には、記憶装置によって実現される。また、リスク分析手段103、対策案生成手段105、対策優先順位決定手段107、ポリシー設定手段108は、具体的には、プログラムに従って動作するCPUによって実現される。なお、状態格納手段101が収集手段を備える場合には、状態格納手段101は、記憶装置と、通信装置と、プログラムに従って動作するCPUとによって実現される。
次に、動作について説明する。図2は、セキュリティリスク管理システムが対象システム200のセキュリティリスクに応じて対策を実施する動作の例を示す流れ図である。システム管理者は、例えば、リスク管理システム100を操作して、対象システム200のセキュリティリスクのチェック処理の実行を入力指示する。すると、リスク管理システム100は、対象システム200に対して現状分析及び資産分析の実行を指示する。
対象システム200の現状分析手段201は、対象システム200上の脆弱性の有無を判定し、判定結果を脆弱性情報としてリスク管理システム100に送信する(ステップS11)。リスク管理システム100は、受信した脆弱性情報を状態格納手段101に格納する。また、対象システム200の資産分析手段202は、対象システム200上に存在する文書ファイルの機密度を判定し、判定結果を資産情報としてリスク管理システム100に送信する(ステップS12)。リスク管理システム100は、受信した資産情報を状態格納手段101に格納する。
次に、リスク管理システム100のリスク分析手段103は、状態格納手段101に格納されている情報(脆弱性情報、資産情報)を、リスクモデル格納手段102に格納されているリスクモデルを用いて分析し、対象システム200の現在のシステム状態におけるリスク値を算出する(ステップS13)。
次に、リスク管理システム100の対策案生成手段105は、リスク分析手段103が算出したリスク値が許容範囲を超えるか否かを判定する(ステップS14)。リスク値が許容範囲を超える場合には、対策案生成手段105は、リスクモデル格納手段102に格納されているリスクモデルと、対策モデル格納手段104に格納されている対策モデルとを用いて分析し、セキュリティリスクを低減させるためのいくつかの対策案を生成する(ステップS15)。対策案生成手段105は、例えば、実施後のリスク値を許容範囲内に収めることができる対策手段のうち、その対策の各種コストが所定の条件に合致するものを選定する。そして、対策案として、例えば、選定した対策手段がどのような処理をするかを示す処理内容と、実施する際に生じるそれぞれのコストの大きさとを出力するためのXMLファイルやHTMLファイルとして生成する。
次に、リスク管理システム100の対策優先順位決定手段107は、対策案生成手段105が生成した対策案の中から、実施する対策を決定する(ステップS16)。対策優先順位決定手段107は、例えば、ポリシー格納手段106に格納されている対策順位決定方針106aに従って対策案を優先順位づけ、最も優先順位の高い対策に決定してもよい。また、例えば、対策順位決定方針106aに従って各コストの優先順位に従って対策案を評価し、評価結果(各コストに応じた影響等)を提示し、セキュリティ管理者に選択させることによって、どの対策を実施するかを決定してもよい。実施する対策が決定した場合には、対策優先順位決定手段107は、決定した対策案を対象システム200の対策実施手段203に送信する。
そして、対象システム200の対策実施手段203は、受信した対策案に従って、セキュリティリスクを解消するための処理を実行する(ステップS17)。
次に、各手段の処理の詳細について述べる。現状分析手段201は、既に説明したように、システムの状態を調べ、脆弱性が存在するか否かを判定する手段である。現状分析手段201が存在の有無を判定する脆弱性は、リスク管理システム100のリスクモデル格納手段102に格納されている脅威−脆弱性モデル102bに列挙されている脆弱性である。なお、判定する脆弱性は、リスク管理システム100と対象システム200とで共通に認識されていればよく、例えば、リスク管理システム100が、脅威−脆弱性モデル102bに各脆弱性の分析方法を示す情報を含めてリスクモデル格納手段102に格納しておき、分析指示を送信するタイミングや脅威−脆弱性モデル102bが更新されたタイミングで対象システム200に送信してもよい。また、例えば、対象システム200がネットワークアクセスをし、直接読み出してもよい。なお、現状分析手段201の具体的な処理内容は、存在の有無を判定する脆弱性毎に異なる。
現状分析手段201は、例えば、「ディスク暗号化ツールがインストールされていない」という脆弱性について判定する場合、レジストリ「HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows(登録商標) \Current Version \Uninstall」以下を調べ、既存のディスク暗号化ツールがインストールされているかどうかを調べるプログラムを用いて実現できる。また、Microsoft Baseline Security analyzerのような、既存の脆弱性検査ツールを起動し、その出力から脆弱性の有無を判定してもよい。
判定された脆弱性の有無は、脆弱性情報として、リスク管理システム100において、収集された場所(対象システム200を識別するための情報)と合わせて、状態格納手段101に格納される。図3は、状態格納手段101に格納される脆弱性情報のデータ構造の例を示す説明図である。図3では、例えば、対象システムの1つであるクライアントPC1には、「ノートPCである」という脆弱性と、「ディスク暗号化ツール未導入」という脆弱性と、「ファイル暗号化ツール未導入」という脆弱性とが存在していることが示されている。また、例えば、別の対象システムであるクライアントPC2には、「ノートPCである」という脆弱性と、「ディスク暗号化ツールのパスワードが空」という脆弱性と、「ファイル暗号化ツール未導入」という脆弱性とが存在していることが示されている。また、例えば、別の対象システムであるサーバSERVER1には、「ノートPCである」という脆弱性は存在しないが、他の脆弱性はクライアントPC1と同様に存在していることが示されている。図3に示す例から、クライアントPC1は、ノート型パーソナルコンピュータ(以下、ノートPC)であり、かつ、ディスク暗号化ツールもファイル暗号化ツールもインストールされていないことがわかる。また、クライアントPC2は、ノートPCであり、ディスク暗号化ツールがインストールされているが、そのパスワードが設定されていないことがわかる。また、サーバSERVER1は、ノートPCではなく、ディスク暗号化ツールもファイル暗号化ツールもインストールされていないことがわかる。
資産分析手段101は、既に説明したように、対象システムの状態を調べ、その資産のセキュリティレベルを判定する手段である。ここで、セキュリティレベルとは、機密性、完全性、可用性に関して要求される指標を表す。例えば、機密性に関するセキュリティレベル(機密レベルと呼ぶ)は、対象システム内に存在するファイルの機密性をどの程度確保しなくてはならないかを表す指標である。
ここで、機密レベルとは、予め組織内の情報セキュリティポリシーによって定められた文書の機密度を表す指標であり、例えば、関係者以外への開示を制限する「関係者外秘」、社外への開示を制限する「社外秘」、社内および協力会社以外への開示を制限する「取扱注意」といった指標である。それぞれの機密レベルに対して、その機密レベルの資産価値、すなわち、情報が漏洩した場合の平均被害額を設定してもよい。そのようにすれば、最終的なリスク値を被害額という具体的な指標で算出することが可能になる。図4は、文書ファイルの機密レベルとその価値の例を示す説明図である。図4に示す例では、機密レベルとして、L4〜L0まで設定されていることが示されている。また、図4に示す例では、機密レベルL1,L2,L3,L4の文書ファイルの資産価値(平均被害額)がそれぞれ10,100,100,1000[千円]であることが示されている。
機密性に関する資産分析手段202は、ファイルの内容を解析して、その機密レベルを返すプログラムを用いて実現できる。このような手段として、例えば、ファイル内の文字列と文字列の位置などの構造情報とを取り出し、予め決められた辞書に従って文字列を判定することによって得た個人情報や機密情報の量や、構造情報を判定することによって得た重要度に基づいてファイルの機密度や重要度を判定するような公知の技術を使用してファイルの解析を行い、その結果を利用してもよい。なお、上記に示したファイル解析方法は、例えば、文献「細見他、”文書解析と設定検証に基づく情報漏洩脅威分析方式 (2)文書内容解析と構造解析を用いた機密度判定”、第67回情報処理学会全国大会、3E−7」に記載されている。また、企業内のシステムを対象とする場合、単にオフィスらしい文章かどうかに基づいて機密度を判定してもよい。なぜなら、企業内のクライアントPCに保存されているファイルは、企業内秘密情報である場合が多いためである。なお、この場合「関係者外秘」か「社外秘」かの判定はできない。
判定された機密レベルは、資産情報として、収集された場所(対象システム200を識別するための情報)と合わせて、状態格納手段101に格納される。図5は、状態格納手段101に格納される資産情報のデータ構造の例を示す説明図である。なお、図5に示す例では、資産情報として、各対象システムが保持している機密レベル毎のファイル数とともに、図4に示す機密レベルの資産価値を掛け合わせたシステム全体の資産価値も合わせて格納している。図5に示す例では、例えば、クライアントPC1には、機密レベルL1〜L4のファイルが一つも保持されておらず、システム全体の資産価値が0[千円]であることが示されている。また、例えば、サーバSERVER1には、機密レベルL1のファイルが100、機密レベルL2のファイルが80、機密レベルL3のファイルが3、機密レベルL4のファイルが1保持され、システム全体の資産価値が10300[千円]であることが示されている。
リスク分析手段103は、既に説明したように、対象システム200の現在のシステム状態におけるリスク値を算出する手段である。具体的には、対象システム200から収集した脆弱性情報、資産情報を、リスクモデル格納手段102に予め登録されているリスクモデルを用いて分析することによって、対象システム200における各脅威に対する現在のリスク値を算出する。
まず、リスクモデル格納手段102に格納されるリスクモデルについて説明する。脅威モデル102aは、セキュリティ上の脅威を列挙し、それら脅威の発生頻度を示す情報である。脅威モデル102aは、統計的なデータなどを元にして予め作成される。図6は、脅威モデル102aの例を示す説明図である。図6に示す例では、「PCの紛失・盗難による情報漏洩(脅威t1)」と、「マルウェアによる情報漏洩(脅威t2)」、「メール誤送信による情報漏洩(脅威t3)」という情報漏洩についての3つの脅威(t1〜t3)が列挙され、それぞれの脅威の発生頻度として、0.1、0.5、0.1[回/年]が設定されていることが示されている。なお、発生頻度は必ずしも[回/年]という定量的な単位で設定する必要はなく、大・中・小の3段階のような値で設定するようにしてもよい。
また、脅威−脆弱性モデル102bは、脅威モデル102aで定義された脅威と、脆弱性との顕在化に係る関係性を示す情報である。脅威と脆弱性の関係性は、AND(論理積)またはOR(論理和)の関係またはその組み合わせによって表現することができる。ANDは、入力される脆弱性が全て存在する場合のみ脅威が顕在化することを表す。ORは、入力される脆弱性のいずれかが存在すれば、脅威が顕在化することを表す。また、脅威−脆弱性モデル102bには、ある脆弱性が存在する状態でどの程度脅威が顕在化するかを示す数値(最大脆弱度)と、ある脆弱性が存在しない状態でどの程度脅威が顕在化するかを示す数値(最小脆弱度)とを含んでいてもよい。なお、本実施例では、最大脆弱度と最小脆弱度とは0から1までの値をとる。
ここで、脆弱性viが存在する場合にxi=1、存在しない場合にxi=0となる変数xiを定義し、viの最大脆弱度をai、最小脆弱度をbiとすると、ある2つの脆弱性(v1,v2)の有無によるある脅威の顕在化に係る関係性(脆弱性の大きさ)は、ANDとORとで、それぞれ以下の式(1)で表すことができる。
AND:(a1x1+b1(1-x1))(a2x2+b2(1-x2))
OR:1-(1-(a1x1+b1(1-x1)))(1-(a2x2+b2(1-x2)))・・・式(1)
なお、これらの情報は、脆弱性に関する専門知識を元にして予め作成される。図7は、脅威−脆弱性モデル102bの例を示す説明図である。図7に示す例では、「PCの紛失・盗難による情報漏洩(脅威t1)」の顕在化に対し、その要因となりうる4つの脆弱性(v1〜v4)の関係性を示している。なお、図7において、各脆弱性から引かれた矢印の上に示す数値はその脆弱性の最大脆弱度を示し、矢印の下に示す数値はその脆弱性の最小脆弱度を示している。
図7に示す脅威−脆弱性モデル102bは、以下に示す脆弱性に関する専門知識を元にして記述された例である。「ノートPCでない場合は、盗難・紛失は生じない。(知識1)」、「ノートPCが紛失・盗難に遭っても、ディスク暗号化ツールがインストールされていれば、PC内の全てのファイルが暗号化されているので漏洩は生じない。(知識2)」、「ただし、ディスク暗号化ツールのパスワードが設定されていなければ、暗号化されていたとしても盗難・紛失時に漏洩の可能性が生じる。ただし、ユーザ名を推定しなくてはならないので、漏洩の可能性はたかだか10%程度である。(知識3)」、「ユーザディレクトリ内のファイルを自動的に暗号化するファイル暗号化ツールがインストールされていれば、ノートPCが紛失・盗難に遭っても、重要なファイルは暗号化されているので漏洩は生じにくい。ただし、重要なファイルがユーザディレクトリ外に誤って保存されている場合もありうるので、完全に防止できるのではなく、5%程度の漏洩の可能性がある。(知識4)」。
すなわち、図7に示す例では、知識2,知識3より、「ディスク暗号化ツール未導入(脆弱性v2)」と「ディスク暗号化ツールのパスワードが空(脆弱性v3)」のどちらかが存在すると脅威t1は顕在化するので、脆弱性v2と脆弱性v3はORゲートで結合される。また、知識1,知識2,知識4より、「ノートPCである(脆弱性v1)」と脆弱性v2,脆弱性v3の両方と、「ファイル暗号化ツール未導入(脆弱性v4)」のいずれかが存在しなければ、脅威t1は顕在化しないので、それらはANDゲートで結合される。また、知識4より、脆弱性v4が存在しない状態でも、5%の漏洩の可能性があるので、脆弱性v4の最小脆弱度b4は0.05となっている。また、知識3より、脆弱性v3が存在する状態でも10%の漏洩の可能性しかないので、脆弱性v3の最小脆弱度a3は0.1となっている。
このようにして、脆弱性に関する専門知識を用いて、図7に示すような脅威−脆弱性モデル102bを定義することができる。なお、脅威−脆弱性モデル102bとして、例えば、図8に示すようなXML形式データとして格納してもよいし、または、論理ゲートを計算式に適用し、以下の式(2)に示すような脆弱性の大きさSを求める関数として格納してもよい。
S(t1)=x1×(1-(1-x2)(1-0.1×x3))×(x4+0.05(1-x4)) ・・・式(2)
図9に、式(2)で示した関数のとる値を列挙して示す。図9において、S1で示される解(S(t1)=0)は、ノートPCでないので脅威t1が全く顕在化しないことを示している。また、S2で示される解(S(t1)=0)は、ディスク暗号化ツールがインストールされ、かつ、パスワードが設定されているため、脅威t1が全く顕在化しないことを示している。また、S3で示される解(S(t1)=0.005)は、ディスク暗号化ツールとファイル暗号化ツールの両方がインストールされているが、ディスク暗号化ツールのパスワードが設定されていないため、わずかながら漏洩の可能性(0.5%)があることを示している。また、S4で示される解(S(t1)=0.1)は、ディスク暗号化ツールのみインストールされているが、パスワードが設定されていないため、10%の漏洩可能性があることを示している。S5で示される解(S(t1)=0.05)は、ファイル暗号化ツールのみインストールされているため、少し漏洩の可能性(5%)があることを示している。S6で示される解(S(t1)=1)は、ディスク暗号化ツールもファイル暗号化ツールもインストールされていないので、脅威t1が完全に顕在化されることを示している。
また、脅威−資産モデル102cは、脅威モデル102aで定義される脅威と資産の影響度に係る関係性を示す情報である。具体的には、ある脅威が顕在化した場合に、どの資産がどの程度影響を受けるかを示す情報である。図10は、脅威−資産モデル102cの例を示す説明図である。図10では、例えば、クライアントPC1で脅威t1(PCの紛失・盗難による情報漏洩)が顕在化した場合に、クライアントPC1上の資産が100%影響を受けること、および、他の資産には影響を与えないことが示されている。また、例えば、クライアントPC1で脅威t3(メール誤送信による情報漏洩)が顕在化した場合に、クライアントPC1上の資産が10%影響をうけること、および、サーバSERVER1上の資産にも10%影響を与えることが示されている。このような設定は、クライアントPC1からアクセス可能なサーバSERVER1上のファイルをユーザが誤って送信するかもしれないためである。また、脅威t1とは異なり、脅威t3の場合、全てのファイルが影響を受けるのではなく、誤って送信されたファイルのみが影響をうけるため、影響度を示す数値は0.1と小さく設定されている。
次に、上記で説明したリスクモデルを用いて、リスク分析手段103が行うリスク分析について説明する。図11は、リスク分析手段103が行うリスク分析処理(リスク値の算出処理)の例を示す流れ図である。図11に示すように、リスク分析手段103は、まず、状態格納手段101に格納されている対象システムの脆弱性情報を、脅威−脆弱性モデル102bに当てはめることによって、対象システムの各脅威に対する現在の脆弱性の大きさを求める(ステップS101)。リスク分析手段103は、例えば、脆弱性情報で示される各脆弱性の有無(xi=0,1)を脅威−脆弱性モデル102bから導き出させる関数に代入することによって脆弱性の大きさS(t)を算出する。例えば、クライアントPC2から、図3に示すような脆弱性情報が収集されたとする。また、例えば、脅威−脆弱性モデル102bとして、図7に示す関係性から導出される式(2)が登録されているとする。このような場合、クライアントPC2における脅威t1に対する脆弱性の大きさS(PC2t1)は、現在のクライアントPC2における各脆弱性の有無(x1=1,x2=0,x3=1,x4=1)を、式(2)に代入することによって、0.1であると求まる。
次に、リスク分析手段103は、状態格納手段101に格納されている資産情報を、脅威−資産モデル102cに当てはめることによって、各脅威の顕在化によって影響をうける資産価値を算出する(ステップS102)。例えば、リスク分析手段103は、脅威−資産モデル102cから、対象とする脅威毎に、その脅威の顕在化によって影響をうける資産価値を算出する計算式を求めておく。例えば、クライアントPC1上の資産価値をp1、クライアントPC2上の資産価値をp2、サーバSERVER1上の資産価値をp3とすると、図10に示す脅威−資産モデル102cの例に基づく、クライアントPC1上の脅威t1、t2、t3の顕在化によって影響をうける資産価値assは、それぞれ以下の式(3)で示される。
ass(PC1t1) = p1
ass(PC1t2) = 0.5p1 + 0.5p3
ass(PC1t3) = 0.1p1 + 0.1p3・・・式(3)
ここで、各対象システム上の資産価値p1,p2,p3は、状態格納手段101に格納されている資産情報に基づき、例えば、図5に示す例では、p1=0,p2=2400,p3=10300[千円]と導出することができるので、これらを式(3)に代入することによって、各対象システム上の各脅威の顕在化によって影響をうける資産価値assを算出することができる。
最後に、リスク分析手段103は、脅威モデル102aから各脅威の発現率(発生頻度)fを参照し(ステップS103)、各脅威に対し、影響をうける資産価値assと発生頻度fと脆弱性の大きさSとを掛け合わせることによって、その脅威に対するリスク値Riskを算出する(ステップS104)。例えば、クライアントPC2上の脅威t1に対するリスク値Risk(PC2t1)は、以下の式(4)によって、24[千円]であると求められる。
Risk(PC2t1) = ass(PC2t1)×f(t1)×S(t1)
= 2400×0.1×0.1 ・・・式(4)
なお、求めたリスク値が所定の許容範囲(リスク許容値)を超える場合には、対策案生成手段105によって、対策案が生成されることになる。
対策案生成手段105は、既に説明したように、リスク値が許容範囲を超える場合に、リスクモデル格納手段102に格納されているリスクモデルと対策モデル格納手段104に格納されている対策モデルとを用いてリスク値を分析し、リスク値を低減させるためのいくつかの対策案を生成する手段である。
まず、対策モデル格納手段104に格納される対策モデルについて説明する。脆弱性−対策モデル104aは、脅威−脆弱性モデル102bで定義される脆弱性に対して、どのような対策手段があるかを示す情報である。図12は、脆弱性−対策モデル104aの例を示す説明図である。脆弱性−対策モデル104aは、脅威−脆弱性モデル102bと同様に、脆弱性とその対策手段に関する知識を元に予め作成される。なお、1つの脆弱性に対して、複数の対策手段を関連づけてもよい。図12に示す例では、例えば、脆弱性v3に対する対策手段として、「空パスワードであれば変更するように警告する(対策c3)」と、「空パスワードであれば強制的にパスワードを割り振る(対策c4)」とが関連づけられている。なお、脆弱性に対して対策手段が一つも存在しない場合もありうる。
また、対策−コストモデル104bは、脆弱性−対策モデル104aで定義される対策手段毎に、その対策手段を実施する際に生じる各種コストを示す情報である。なお、既に説明したように、コストとは、単に対策に必要な費用だけでなく、対策を実施することによって生じる副作用などを総称した「制約」を意味する。本実施例では、「機器コスト」、「可用性コスト」、「展開コスト」の3つのコストによる観点で、対策手段を定義づける。
「機器コスト」とは、その対策を導入することによって継続的に生じる費用を示す指標をいう。セキュリティのために際限なくお金をかけることはできないので、機器コストは大きな制約条件となる。
また、「可用性コスト」とは、その対策を導入することによって生じる可用性(利便性)の低下を示す指標をいう。例えば、ノートPCの使用を禁止すると、外出先での仕事に支障をきたすなど、可用性を大きく低下させることになる。情報漏洩への対策は可用性を損なう場合が多いので、対策立案時には重要な制約となる。
また、「展開コスト」とは、その対策を実施するために要する時間を示す指標をいう。
例えば、空パスワードであれば変更するように警告したとしても、実際にその指示がユーザに行き渡って実施されるまでにかなり時間がかかる。ウイルス対策のように緊急の対策が必要な場合、展開コストが大きい対策は役に立たないので、やはり対策立案時の制約となりうる。
対策−コストモデル104bは、具体的には、それぞれの対策に機器コスト、可用性コスト、展開コストを対応付けた情報である(図13参照)。図13は、対策−コストモデル104bの例を示す説明図である。図13では、図12に示す脆弱性−対策モデル104aで定義された各対策について、それぞれの対策を実施する際に生じるコストを示している。なお、コストが大きいほど、その制約が強いことを表す。例えば、「ノートPCの持ち出しを禁止する」という対策c1は、管理的対策であるため、機器コストはかからならいものの、可用性への影響が大きく、十分に浸透して実施されるまでの時間がかかるので、展開コストも大きく設定されている(機器コスト0,可用性コスト100,展開コスト100)。一方、「ディスク暗号化ツールを導入する」という対策c2は、ツールのライセンス契約を結ぶ必要があるため機器コストがかかるものの、可用性への影響は少なく設定されている(機器コスト80,可用性コスト10,展開コスト80)。
なお、図13に示す例では、それぞれのコストの単位は無次元量であるとしているが、機器コストはリスク値と同様に[金額/年]の単位で表すようにしてもよい。そのようにすれば、リスクとコストの比較が容易になり、セキュリティ管理者がより適切な対策を取りやすくなる。
なお、図14は、図12に示す脆弱性−対策モデル104aの例に、図13に示す対策−コストモデル104bの例を組み合わせた説明図である。脆弱性−対策モデル104a、対策−コストモデル104bは、リスクモデルと同様に、対策手段に関する専門知識を元にして予め作成される。
次に、上記で説明したリスクモデル、対策モデルを用いて、対策案生成手段105が行う対策案生成動作について説明する。図15は、対策案生成手段105が行う対策案生成処理の例を示す流れ図である。図15に示すように、対策案生成手段105は、まず、複数の対策をもつ脆弱性を分割してAND結合することによって、脆弱性の有無と対策の有無が1対1に対応する、脅威−脆弱性−対策モデルを生成する(ステップS201)。
図16は、脅威−脆弱性−対策モデルの例を示す説明図である。図16に示す例では、脆弱性v3と、脆弱性v3に対する対策c3,c4とを1対1で対応させるため、脆弱性v3をv31とv32とに分割してAND結合し、脆弱性v31,v32にそれぞれ対策c3,c4を対応づけている。分割した脆弱性はAND結合されるので、この変形によって、脅威−脆弱性モデル102bと脆弱性−対策モデル104aの内容は変化しない。この脅威−脆弱性−対策モデルは、脅威−脆弱性モデル102bと脆弱性−対策モデル104aが決定した時点で、予め生成しておいてもよい。
次に、対策案生成手段105は、それぞれの脅威に対して、リスク値を許容範囲以下に抑えつつ、例えば、コストの合計が最小となる対策案を生成する(ステップS202)。
また、対策案生成手段105は、リスク値を許容範囲以下に抑えつつ、例えば、展開コストが最小となる対策案を生成する(ステップS203)。また、対策案生成手段105は、リスク値を許容範囲以下に抑えつつ、例えば、可用性コストの合計が最小となる対策案を生成する(ステップS204)。
ここで、それぞれの対策案を生成する方法について、脅威t1を例にして、具体的に説明する。以下、説明しやすくするため、クライアントPC2のリスク値のみを対象とするが、複数のPCを対象とする場合も、それらのPCのリスク値を合計することによって、同様に算出することが可能である。
まず、対策ciが実施されている場合にyi=0,実施されていない場合にyi=1となる変数yiを定義すると、クライアントPC2上の脅威t1に対するリスク値は、以下の式(5)のように表すことができる。
Risk(PC2t1) = E01 = 2400×0.1×(y1×(1-(1-y2)×(1-0.1×y3×y4))(y5+0.05×(1-y5)))
・・・式(5)
ここで、2400は影響を受ける資産価値ass(PC2t1)であり、その後ろの0.1は脅威t1の発生頻度f(t1)であり、その後ろは脅威−脆弱性モデル102bにおけるリスク計算式(1)を図16の脅威−脆弱性−対策モデルに当てはめたものである。ここで、状態格納手段101に格納されている現在の脆弱性の有無は、現在の対策の有無に対応し、現在のyiの値をYiとおくと、図3に示す例では、クライアントPC2における現在の対策の有無は、Y1=1,Y2=0,Y3=1,Y4=1,Y5=1となる。
機器コストの値は、ある対策ciの機器コストがCiである場合、ΣCi(1−yi)で表すことができる。つまり、ある対策ciを実施する場合(yi=0)、既にその対策が導入されているかどうかに関わらず、機器コストCiがかかる。
可用性コストの値は、ある対策ciの可用性コストがCiである場合、ΣCi(Yi−yi)で表すことができる。つまり、ある対策ciを実施する場合(yi=0)、既にその対策が実施されていれば(Yi=0の場合)可用性コストはかからないが、実施されていなければ(Yi=1)Ciだけ可用性コストがかかる。また、対策ciを実施しない場合(yi=1)、既にその対策が実施されていれば(Yi=0の場合)は可用性コストが減少する。つまり、現状よりも可用性が向上する。
展開コストの値は、ある対策ciの展開コストがCiである場合、ΣYiCi(1−yi)で表すことができる。つまり、ある対策ciを実施する場合(yi=0)、既にその対策が実施されていれば(Yi=0の場合)既に対策されているので展開コストがかからないが、実施されていなければ(Yi=1)Ciだけ展開コストがかかる。対策ciを実施しなければ(yi=0)、展開コストCiは発生しない。
以上の計算式をあてはめると、図16に示す脅威−脆弱性−対策モデルの場合、機器コスト、可用性コスト、展開コストを求める計算式は、以下の式(6)で表すことができる。
機器コスト= E02 = 80×(1-y2) + 70×(1-y5)
可用性コスト= E03 = 100×(Y1-y1) + 10×(Y2-y2) + 50×(Y4-y4) + 10×(Y5-y5)
展開コスト= E04 = 100×(1-y1) + 80×(1-y2) + 30×(1-y3) + 40×(1-y5)
・・・式(6)
これらの式から、ステップS202,S203,S204の処理は、変数y1,y2,y3,y4,y5に関する整数計画問題として表されることが分かる。整数計画問題は、分岐限定法や遺伝的アルゴリズムなど公知の手法を用いて厳密解または近似解を得ることができる。例えば、ステップS203は以下の式(7)に示す整数計画問題として表される。
目標関数:100×(1-y1) + 80×(1-y2) + 30×(1-y3) + 40×(1-y5)→min
制約条件:2400×0.1×(y1×(1-(1-y2)×(1-0.1×y3×y4))(y5+0.05×(1-y5))) < 10
・・・式(7)
上記例では、制約条件としてリスク許容値=10が与えられ、これらを解くと、ステップS202とステップS204の解としてy3=0(対策c3を実施)という解が得られ、ステップS203の解としてy4=0(対策c4を実施)という解が得られる。
対策優先順位決定手段107は、対策案生成手段105で得られた対策案をセキュリティ管理者に提示し、セキュリティ管理者が選択した対策を、対策実施手段203に伝えて実施させる機能を備える。図17は、対策優先順位決定手段107が出力する画面の例を示す説明図である。図17に示す例では、展開コストが最小の対策案を緊急対策案、可用性コストが最小の対策案を通常対策案、全てのコストの和が最小の対策案を最適対策案として提示している。なお、本例では、PCの紛失・盗難による情報漏洩(脅威t1)に対する現在のリスクが24(警告状態)であること、および、この脅威t1への緊急対策として、実施後のリスクが0になる、可用性コスト50、機器コスト80、展開コスト0の対策c4(空パスワードであれば強制的にパスワードを割り振る)を提示している。また、通常対策案および最適対策案として、実施後のリスクが0になる、可用性コスト0、機器コスト80、展開コスト30の対策c3(空パスワードであれば変更するよう警告する)を提示している。また、図17に示すように、現在のリスク、各対策における実施後のリスクや、対策を実施する際に生じる各コストを、その大きさに応じて色分け(図17では網掛け)して提示してもよい。
これにより、セキュリティ管理者は、対策を速やかに実施したい場合は「緊急対策案」を選び、ユーザの可用性への影響を最小に抑えたい場合は「通常対策案」を選び、機器コストも含めて最適な対策を実施したい場合は「最適対策案」を選ぶことができる。従って、単に対策に要する費用という観点だけでなく、対策の実施しやすさやユーザへの影響も考慮した上で、対策を決定することができる。
対策実施手段203は、対策優先順位決定手段107によって決定された対策を実施する手段である。例えば、図17に示す最適対策案を実施する場合、対策実施手段203は、ディスク暗号化ツールのパスワードを設定するようにユーザに警告するための処理を実行する。この処理は、例えば、クライアントPC上で、ユーザがログオンしたときに警告画面を表示するプログラムを用いて実現できる。なお、対策実施手段203は、必ずしも対象システム200上で動作するプログラムを用いて実現される必要はない。すなわち、リスク管理システム100が対策実施手段203を備えていてもよい。このような場合、例えば、リスク管理システム100の対策実施手段203は、リスク管理システム100上で動作する、ディスク暗号化ツールのパスワードを設定するようにユーザに警告するメールを送信するプログラムを用いて実現することができる。
また、対策優先順位決定手段107は、ポリシー格納手段106に対策順位決定方針106aが格納されている場合には、対策順位決定方針106aに定義されている各種コストの優先順位や目標値に基づいて対策案を順位付けて選定してもよい。ポリシー設定手段108は、例えば、図18に示すような、対策順位決定方針用の設定画面を提示し、セキュリティ管理者に入力させることによってセキュリティポリシーに応じた対策順位決定方針106aを設定する。図18は、対策順位決定方針106aを設定するための設定画面の例を示す説明図である。図18に示すように、設定画面は、例えば、リスク許容値を設定できる入力項目や、コストの評価方法を指定できる入力項目(リスクを最小にする、指定のコストの和を最小にする、指定の順序でコストの評価を行う等)、各コストの目標値を指定できるような入力項目を含んでいてもよい。なお、対策案を生成する条件である対策順位決定方針106aは、各組織に応じたセキュリティポリシーに基づいて決定されるものであり、セキュリティ管理者は、セキュリティポリシーに従ってコスト評価式やリスク許容値を入力することで、より望ましい対策案を生成させることができる。
例えば、図18に示すように、リスク許容値(図中では許容リスク)1000円/年および展開コスト2ヶ月以下という制約条件が設定され、機器コストと展開コストと可用性コストの和を最小にする、という評価方法が設定されたとする。このような場合には、目標関数および制約条件式は、前述の式(6)および式(7)におけるE01〜E04を用いると、目標関数:E02+E03+E04→min、制約条件1:E01≦1000、制約条件2:E04≦60となる。
また、図19に示すように、機器コスト1000円/年という制約条件が設定され、リスクを最小にする、という評価方法が設定された場合には、目標関数および制約条件式は、目標関数:E01→min、制約条件:E04≦10000となる。
以上のように、本実施例により、システムの状態を調べることにより得られた、対象システム内の資産価値とその脆弱性の情報から、予め定められたリスクモデルを用いてリスク値を算出し、さらに対策モデルに基づいた対策立案を行うことによって、対策を実施することによって生じる機器費用や可用性の低下や、展開に要する時間を考慮した対策実施を実現することができることが分かる。展開コストや可用性コストは、現在の脆弱性の状態(対策の実施状態)に基づいて算出されるので、現在のシステムの状態に応じて、最適な対策案をセキュリティ管理者に対して提案することができる。
即ち、複数の対策案が考えられる場合、対策を実施する際に生じる各種コストがどの程度生じるかを判断しつつ、セキュリティ管理者が最適な対策を実施できることになる。その理由は、例えば、対策モデルとして、機器コスト、可用性コスト、展開コストといった複数のコストを定義しておくことにより、可用性の低下を優先するか、速やかな対策の展開を優先するか、全体的にコストを最小限にすることを優先するか、といった複数の異なる対策案を提示することができ、セキュリティ管理者がどの対策を取れば、どのようなコストがどの程度生じるかが把握できるようになるためである。
なお、上記の説明では、脅威−脆弱性−対策モデルを図16に示すように、ANDとORとを用いて表現する例を示したが、脅威−脆弱性−対策モデルは、ANDとORとを用いて表現された脅威−脆弱性モデル102bに代わり、例えば、OR、MAX、MIN、SUB、XORなどの対策関係演算子を用いて表現することもできる。ここで、対策関係演算子とは、複数の対策が独立して効果を発揮できるか、どちらか一方しか実施できないか、または、ある脆弱性を実施したときのみ有効であるといった対策間の関係を表現するものである。
図20は、対策関係演算子を用いて表現した脅威−脆弱性−対策モデルの例を示す説明図である。なお、図20では、脆弱性と対策は1対1の関係で置き換えることができることから、脆弱性の表記を省略している。
図20において、ORとは、ORで結合された対策を自由に組み合わせて実施できることを表し、また、それらの対策を実施したときの脅威に対する効果は加算されることを表す。つまり、対策Aと対策Bとがあったときに、(1)対策Aだけを実施する、(2)対策Bだけを実施する、(3)対策Aと対策Bの両方を実施する、という3つの対策案から選択でき、単独で実施する(1)、(2)よりも同時に実施する(3)の方が、より効果が高くなる。
また、MAXとは、MAXで結合された対策を自由に組み合わせて実施できるが、脅威を低減させる効果を発揮するものは、それら対策のうち、最大の効果を持つものだけであることを表す。また、MINとは、MAXの逆で、組み合わせた対策のうち、最小の効果を持つものだけが効果を発揮することができることを表す。
また、SUBとは、主となる対策を実施したときのみ従となる対策が実施できるような対策の組み合わせを表す。例えば、主となる対策である「認証機構の導入」を実施したときのみ、従となる対策である「パスワード長の制限」が実施できるというような対策間の関係を表す。また、XORとは、XORで結合された対策を、2つ以上同時に実施することができないような対策間の関係を表す。例えば、「通信経路の暗号化」対策と、「通信経路中の機密文書検出」対策とでは、通信経路を暗号化すると通信経路中の機密文書の検出ができなくなるため、この2つの対策を同時に実施することはできない。このような対策間の関係を表すのがXORである。
以上のように、対策間の関係を定義することによって、より精密な脅威−脆弱性−対策モデルを作成することができる。また、SUBのように、AND、OR、NOTといった記述演算子だけでは記述しきれない制約条件も付加することができる。
また、図20では、各対策の有効性を数値(図中における各対策から引かれた矢印に付加した数値)で示している。本実施例において、有効性を示す数値は、0〜1の間の数値をとり、上述のANDとORとを用いた脅威−脆弱性モデル102bにおける最大脆弱度に相当する(実際には最大脆弱度の逆数である)。つまり、有効度と最大脆弱度とは互いに逆数をとることで、相互に変換可能である。
次に、対策関係演算子を用いた脅威−脆弱性−対策モデルからリスク値を計算するときの動作を説明する。ここで、脆弱性viが存在する場合にxi=1、存在しない場合にxi=0となる変数xiを定義し、脆弱性viの対策をciとする。また、ciの有効度をziとする。このとき、前述した対策関係演算子は、それぞれ以下の式(8)のように計算することができる。
OR:max(z1×AND(x1,!x2),(1-1-z1)(1-z2)×AND(x1,x2),z2×AND(!x1,x2))
MAX:max(z1×x1,z2×x2)
MIN:min(z1×x1,z2×x2)
SUB:max(z1×AND(x1,!x2),(1-1-z1)(1-z2)×AND(x1,x2))
XOR:max(z1×AND(x1,!x2),z2×AND(!x1,x2))・・・式(8)
式(8)において、”!”は、直前の否定を表す演算子である。例えば、!xiはxiの否定であり、xi=1のとき!xi=0となり、xi=0のとき!xi=1となる。また、max()は、()の数値のうち最大の値を取り出す演算子を表し、min()は、()ないの数値のうち最小の値を取り出す演算子を表す。また、AND()は、論理演算子を表す。このように、対策関係演算子を導入しても、リスク値の計算は可能である。
次に、図21を参照して、対策関係演算子を用いた脅威−脆弱性−対策モデルから対策案を生成するときの動作を説明する。図21は、対策関係演算子を用いた脅威−脆弱性−対策モデルから対策案を生成する処理の例を示す流れ図である。図21に示すように、対策関係演算子を用いた脅威−脆弱性−対策モデルに、SUBの関係演算子(対策関係演算子)が含まれる場合には、SUBをAND,OR,!に変換して、制約式を付加する(ステップS201)。例えば、x1とx2がSUBの関係にある場合には、x1−x2≧0を制約式に加える。同様に、XORの関係演算子が含まれる場合には、XORをAND,OR,!に変換して、制約式を付加する(ステップS202)。例えば、x1とx2がXORの関係にある場合には、x1+x2=1を制約式に加える。このように、制約式を加えた後は、ANDとORとを用いた脅威−脆弱性−対策モデルから対策案を生成する手順と同様の手順で生成する。
以上のように、対策関係演算子を含む脅威−脆弱性−対策モデルを用いることで、通常のAND,ORだけでは表現できない対策間の制約条件を表現することができ、より精密な対策案を生成することができる。また、対策間の関係を直接表現するモデルとしたことで、モデルの生成が容易になる。
実施例2.
続いて、簡単にできる対策を応急処置的に施し、次第に理想的な対策に移行するといった、段階的な対策実施手順を実施する機能を追加した本発明の第2実施例を説明する。
次に、本発明の第2の実施例について図面を参照して説明する。図22は、第2の実施例によるセキュリティリスク管理システムの構成例を示すブロック図である。図22に示すセキュリティ管理システムは、図1に示す第1の実施例と比べて、リスク管理システム100が、ポリシー格納手段106および対策優先順位決定手段107に代えて、対策シナリオ生成手段111と、対策実行判定手段112とを備える点、および、対象システム200がイベント収集手段211を備える点で異なる。また、対策モデル格納手段104に、対策シナリオモデル114cが含まれる点でも異なる。
以下、第2の実施例に特有の動作を説明する。イベント収集手段211は、対象システム200において、セキュリティに関する変化(例えば、攻撃やワームの発生)を見知し、イベントとしてリスク管理システム100に通知(送信)する。イベント収集手段211は、例えば、パケットやログを監視して、攻撃やワームの発生などを見知しイベントを発信することができるIDS(Intrusion Detection System)によって実現される。
対策シナリオ生成手段111は、対策案生成手段105が生成した対策案を、対策シナリオモデル114cに基づいて、即日対策、緊急対策、通常対策、最終対策等に割り当てることによって、どの段階でどの対策を実施するかを示す対策モデルを生成する。対策実行判定手段112は、生成された対策シナリオとイベント収集手段211から通知されるイベントとに基づいて、どの対策を実施するかを判定し、対策実施手段203に通知する。
次に、対策シナリオの生成および実施する対策の判定動作について詳細に説明する。まず、対策シナリオモデル114cについて説明する。対策シナリオモデル114cは、それぞれの対策間をイベントによって遷移する状態遷移モデルとして記述されるモデルであって、対策の実施段階(以下、対策ステージという。)と、対策ステージ間を移動する条件(遷移条件)とを定義するためのモデルである。対策シナリオモデル114cの具体例を図23に示す。図23は、「ワーム発生による情報漏洩」に対する対策シナリオモデル114cの例を示す説明図である。図23に示す例では、初期状態、即日対策、緊急対策、通常対策、最終対策の5つの対策ステージが定義され、例えば、即日対策ステージから通常対策ステージへは時刻が所定の閾値を超えたを条件に遷移すること、通常対策ステージから緊急対策ステージへはワーム発生を条件に遷移すること等が定義されている。なお、図23に示すように、遷移条件には、イベント収集手段211から通知されるイベントだけでなく、対策実行からの経過時間や時刻を含めてもよい。対策シナリオモデル114cは、予めセキュリティ管理者によって作成される。
対策シナリオ生成手段111は、対策案生成手段105が生成した対策案を、対策シナリオモデル114cに定義されている各対策ステージに割り当てることによって対策シナリオを生成する。どの対策ステージに割り当てるかは、所定の条件に従う。例えば、コストによって決定する例として、許容されるリスク値を高く設定した上で、可用性コストが最も低い対策を即日対策、展開コストが最も低い対策を緊急対策、可用性コストと機器コストの和が最も低い対策を通常対策とし、許容されるリスク値を低く設定した上で、全てのコストの和が最も小さい対策を最終対策としてもよい。なお、同じ対策を複数の対策ステージに割り当ててもよい。図24は、上述した条件に従って各対策を割り当てた場合の対策確認画面の例である。また、図25に示すように、対策シナリオモデル114cには、対策ステージ名と対策ステージ間の遷移条件と合わせて、各対策ステージに割り当てる対策を決定するための制約式を含めてもよい。
図26は、対策シナリオ生成手段111が行う対策シナリオ生成処理の例を示す流れ図である。図26に示すように、対策シナリオ生成手段111は、まず、対策シナリオモデル114cから、対策ステージの制約式(対策優先順位決定方針)を取り出す(ステップS301)。次に、対策シナリオ生成手段111は、制約式に従って、対策案生成手段105が生成した対策案を評価し、最も制約式に当てはまる対策を選び、そのステージに割り当てる(ステップS302)。これを対策シナリオモデル114cに定義されている全ての対策ステージに対して行う。
対策実行判定手段112は、対策シナリオ生成手段111によって生成された対策シナリオに基づいて、イベント収集手段211から通知されるイベントに従い、実行すべき対策を決定する。対策実行判定手段112は、例えば、イベント収集手段211から受信したイベントによって、他の対策ステージへの遷移条件を満たしたときに、対策ステージを遷移し(現在の状態を更新し)、遷移先の対策ステージに割り当てられた対策を、実行する対策として決定する。対策実行判定手段112は、対策ステージが変化し実行すべき対策を決定した場合には、その対策を対策実施手段203に通知する。なお、対策実行判定手段112は、イベント収集手段211からイベントを受信した場合だけでなく、一定のタイミングで、現在の対策ステージから他の対策ステージへの遷移条件を満たすかどうかを判定することで、現在時刻が閾値とする時刻を超えたときや、現対策を実施してからの経過時間が閾値とする時間を超えたときにも、イベント発生による状態遷移と同様に対策ステージを遷移させる。
例えば、図23に示す対策シナリオモデル114cにおいて、現在の対策ステージが即日対策ステージであって、イベント収集手段211からワーム発生のイベントが通知された場合には、対策実行判定手段112は、即日対策ステージからの遷移条件「ワーム発生」に従って、現在の対策ステージを緊急対策ステージに状態を遷移させ、対策実施手段203に緊急対策ステージに割り当てられた対策の実施を要求する。その後、イベント収集手段211からワーム収束のイベントが通知され、かつ、現時刻が所定の閾値を超えた場合には、緊急対策ステージからの遷移条件「ワーム収束・時刻>閾値1」に従って、現在の対策ステージを通常対策ステージに遷移させ、対策実施手段203に通常対策ステージに割り当てられた対策の実施を要求する。
このように、所定の条件に従って状態遷移を行う複数の対策ステージを定義した対策シナリオを生成することで、より現実的な複数の段階を踏む対策を実施することができる。また、対策実行判定手段112がイベントを解析して実行すべき対策を決定することで、攻撃の状況や、ネットワークの利用状況などに応じた動的な対策実施を実現できる。
即ち、簡単にできる対策を応急処置的に施して次第に理想的な対策に移行するといった、段階的な対策をセキュリティ管理者が実施できることになる。その理由は、展開コストの小さい対策を先に実施し、その後、その他の条件(コスト)も考慮した最適な対策を実施するといった、典型的な対策実施のパターンを対策シナリオとして生成し、実施することができるためである。
本発明は、システムの脆弱性を収集し適切な対策を適用する、セキュリティ運用管理ツールといった用途に適用できる。また、ポリシーに基づいてシステムのセキュリティ状態を保障するセキュリティポリシーコンプライアンスツールといった用途に適用できる。
本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。

Claims (20)

  1. 対象システムにおけるセキュリティリスクを管理するセキュリティリスク管理システムであって、
    前記対象システムの状態を分析する状態分析手段と、
    前記状態分析手段の分析結果に基づいて、前記対象システムのセキュリティリスクを判定するリスク判定手段と、
    前記リスク判定手段によってセキュリティリスクが所定の許容範囲を超えていると判定された場合に、前記対象システムに所定の対策を実施することによって低減するセキュリティリスクの度合いを示すリスク低減度と、前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間と、前記所定の対策を実施することによって前記対象システムの利便性の低下度とに基づいてリスクを低減するための複数の対策を選定する対策案選定手段と、
    前記対策案の中から前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間が少ない緊急対策案と、前記対象システムの利便性の低下度が小さい通常対策案と、を決定する対策優先順位決定手段と、を備える
    ことを特徴とするセキュリティリスク管理システム。
  2. 前記対策案選定手段によって選定された対策案について、当該対策のリスク低減度と、当該対策のそれぞれの制約度とを含む対策案情報を出力する対策案情報出力手段と、
    前記対策案選定手段によって選定された複数の対策案から選択された対策案に従って、セキュリティリスクを低減するための所定の処理を実行する対策実行手段とを備えた
    請求項に記載のセキュリティリスク管理システム。
  3. 前記状態分析手段は、少なくとも対象システムの脆弱性の有無と対象システムの価値とを分析し、
    前記リスク判定手段は、前記対象システムの脆弱性の有無と、前記対象システムの資産価値と、あらかじめセキュリティ上の異常の発生頻度を定義した脅威モデルと、予め脆弱性の有無による脅威の顕在化による資産への影響度にかかわる脅威と資産との関係を定義した脅威―資産モデルとに基づいて、前記対象システムのセキュリティリスクの度合いを示すリスク値を算出し、
    前記対策案選定手段は、予め各対策間の関係を表現できるように各対策間をAND,OR,SUB,MAX,MIN,XORの関係子をひとつ以上利用して定義した脅威−脆弱性−対策モデルと、前記対策を実施することによって前記対象システムに生じる各種制約の大きさを示す制約度対策間の関係を表現できるように各対策間をAND,OR,SUB,MAX,MIN,XORの関係子をひとつ以上利用して定義した対策−制約モデルとに基づいて、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を対策案として選定する請求項1又は2に記載のセキュリティリスク管理システム。
  4. 対策の実施段階に応じて定義される対策ステージであって、実施する対策が対応付けられる各対策ステージについて、対策ステージからの遷移条件を定義した対策ステージ遷移ルールを記憶する記憶手段と、
    前記対策ステージ毎に前記対策案選定手段によって選定されるべき目標値を予め定義し、前記定義された目標値にしたがって、前記対策案選定手段が対策案を選定し、所定の条件にしたがって、前記対策ステージ遷移ルールで示されるかを対策ステージに割り当てることによって、前記対策案選定手段が作成した対策案をいずれのタイミングで実行するかを示す対策シナリオを生成する対策シナリオ生成手段とを備えた
    請求項から請求項のうちのいずれか1項に記載のセキュリティリスク管理システム。
  5. 前記対策ステージ遷移ルールに従って、少なくとも対象システムの状態変化、現在時刻、または対策を実施したときからの経過時間に基づいて、前記対策シナリオ生成手段によって生成された対策シナリオ上で対策ステージを遷移させることによって、実行する対策案を決定する対策実行決定手段を備えた
    請求項に記載のセキュリティリスク管理システム。
  6. 対象システムにおけるセキュリティリスクを管理するセキュリティリスク管理装置であって、
    前記対象システムの状態に基づいて、前記対象システムのセキュリティリスクを判定するリスク判定手段と、
    前記リスク判定手段によってセキュリティリスクが所定の許容範囲を超えていると判定された場合に、前記対象システムに所定の対策を実施することによって低減するセキュリティリスクの度合いを示すリスク低減度と、前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間と、前記所定の対策を実施することによって前記対象システムの利便性の低下度とに基づいてリスクを低減するための複数の対策を選定する対策案選定手段と、
    前記対策案の中から前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間が少ない緊急対策案と、前記対象システムの利便性の低下度が小さい通常対策案と、を決定する対策優先順位決定手段と、を備える
    ことを特徴とするセキュリティリスク管理装置。
  7. 前記対策案選定手段によって選定された対策案について、当該対策のリスク低減度と、当該対策のそれぞれの制約度とを含む対策案情報を出力する対策案情報出力手段と、
    前記対策案選定手段によって選定された複数の対策案から選択された対策案に従って、セキュリティリスクを低減するための所定の処理を実行する対策実行手段とを備えた
    請求項に記載のセキュリティリスク管理装置。
  8. 前記リスク判定手段は、前記対象システムの脆弱性の有無と、前記対象システムの資産価値と、あらかじめセキュリティ上の異常の発生頻度を定義した脅威モデルと、予め脆弱性の有無による脅威の顕在化による資産への影響度にかかわる脅威と資産との関係を定義した脅威―資産モデルとに基づいて、前記対象システムのセキュリティリスクの度合いを示すリスク値を算出し、
    前記対策案選定手段は、予め各対策間の関係を表現できるように各対策間をAND,OR,SUB,MAX,MIN,XORの関係子をひとつ以上利用して定義した脅威−脆弱性−対策モデルと、前記対策を実施することによって前記対象システムに生じる各種制約の大きさを示す制約度対策間の関係を表現できるように各対策間をAND,OR,SUB,MAX,MIN,XORの関係子をひとつ以上利用して定義した対策−制約モデルとに基づいて、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を対策案として選定する
    請求項6又は7に記載のセキュリティリスク管理装置。
  9. 対策の実施段階に応じて定義される対策ステージであって、実施する対策が対応づけられる各対策ステージについて、対策ステージからの遷移条件を定義した対策ステージ遷移ルールを記憶する記憶手段と、
    前記対策ステージ毎に前記対策案選定手段によって選定されるべき目標値を予め定義し、前記定義された目標値にしたがって、前記対策案選定手段が対策案を選定し、所定の条件にしたがって、前記対策ステージ遷移ルールで示されるかを対策ステージに割り当てることによって、前記対策案選定手段が作成した対策案をいずれのタイミングで実行するかを示す対策シナリオを生成する対策シナリオ生成手段とを備えた
    請求項から請求項のうちのいずれか1項に記載のセキュリティリスク管理装置。
  10. 前記対策ステージ遷移ルールに従って、少なくとも対象システムの状態変化、現在時刻、または対策を実施したときからの経過時間に基づいて、前記対策シナリオ生成手段によって生成された対策シナリオ上で対策ステージを遷移させることによって、実行する対策案を決定する対策実行決定手段を備えた
    請求項に記載のセキュリティリスク管理装置。
  11. 対象システムにおけるセキュリティリスクを管理するセキュリティリスク管理方法であって、
    前記対象システムの状態を分析する状態分析ステップと、
    前記分析結果に基づいて、前記対象システムのセキュリティリスクを判定するリスク判定ステップと、
    前記セキュリティリスクが所定の許容範囲を超えていると判定された場合に、前記対象システムに所定の対策を実施することによって低減するセキュリティリスクの度合いを示すリスク低減度と、前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間と、前記所定の対策を実施することによって前記対象システムの利便性の低下度とに基づいてリスクを低減するための複数の対策を選定する対策案選定ステップと、
    前記対策案の中から前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間が少ない緊急対策案と、前記対象システムの利便性の低下度が小さい通常対策案と、を決定する対策優先順位決定ステップとを含む
    ことを特徴とするセキュリティリスク管理方法。
  12. 前記選定された対策案について、当該対策のリスク低減度と、当該対策のそれぞれの制約度とを含む対策案情報を出力する対策案情報出力ステップと、
    前記選定された複数の対策案から選択された対策案に従って、セキュリティリスクを低減するための所定の処理を実行する対策実行ステップとを含む
    請求項11に記載のセキュリティリスク管理方法。
  13. 前記状態分析ステップで、少なくとも対象システムの脆弱性の有無と、対象システムの価値とを分析し、
    前記リスク判定ステップで、前記対象システムの脆弱性の有無と、前記対象システムの資産価値と、予めセキュリティ上の脅威の発生頻度を定義した脅威モデルと、予め脆弱性の有無による脅威の顕在化に係る脆弱性と脅威との関係を予め定義した脅威−脆弱性モデルと、予め脅威の顕在化による資産への影響度に係る脅威と資産との関係を定義した脅威−資産モデルとに基づいて、前記対象システムのセキュリティリスクの度合いを示すリスク値を算出し、
    前記対策案選定ステップで、予め各対策間の関係を表現できるように各対策間をAND,OR,SUB,MAX,MIN,XORの関係子をひとつ以上利用して定義した脅威−脆弱性−対策モデルと、前記対策を実施することによって前記対象システムに生じる各種制約の大きさを示す制約度対策間の関係を表現できるように各対策間をAND,OR,SUB,MAX,MIN,XORの関係子をひとつ以上利用して定義した対策−制約モデルとに基づいて、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を対策案として選定する
    請求項11又は12に記載のセキュリティリスク管理方法。
  14. 対策の実施段階に応じて定義される対策ステージであって、実施する対策が対応づけられる各対策ステージについて、対策ステージからの遷移条件を定義した対策ステージ遷移ルールと、前記対策ステージ毎に前記対策案選定手段によって選定されるべき目標値とを予め定義し、
    前記定義された目標値にしたがって、前記対策案選定手段が対策案を選定し、所定の条件にしたがって、前記対策ステージ遷移ルールで示される各対策ステージに割り当てることによって、いずれの対策案をいずれのタイミングで実行するかを示す対策シナリオを生成する対策シナリオ生成ステップを含む
    請求項11から請求項13のうちのいずれか1項に記載のセキュリティリスク管理方法。
  15. 前記対策ステージ遷移ルールに従って、少なくとも対象システムの状態変化、現在時刻、または対策を実施したときからの経過時間に基づいて、前記対策シナリオ上で対策ステージを遷移させることによって、実行する対策案を決定する対策実行決定ステップを含む
    請求項14に記載のセキュリティリスク管理方法。
  16. 対象システムにおけるセキュリティリスクを管理するためのセキュリティリスク管理プログラムであって、
    コンピュータに、
    前記対象システムの状態を分析する状態分析処理、
    分析結果に基づいて、前記対象システムのセキュリティリスクを判定するリスク判定処理
    前記セキュリティリスクが所定の許容範囲を超えていると判定された場合に、前記対象システムに所定の対策を実施することによって低減するセキュリティリスクの度合いを示すリスク低減度と、前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間と、前記所定の対策を実施することによって前記対象システムの利便性の低下度とに基づいてリスクを低減するための複数の対策を選定する対策案選定処理、および、
    前記対策案の中から前記所定の対策を決定してからその対策が有効に機能し始めるまでの時間が少ない緊急対策案と、前記対象システムの利便性の低下度が小さい通常対策案と、を決定する対策優先順位決定処理、
    を実行させるためのセキュリティリスク管理プログラム。
  17. コンピュータに、
    前記選定された対策案について、当該対策のリスク低減度と、当該対策のそれぞれの制約度とを含む対策案情報を出力する対策案情報出力処理、および
    前記選定された複数の対策案から選択された対策案に従って、セキュリティリスクを低減するための所定の処理を実行する対策実行処理を実行させるための
    請求項16に記載のセキュリティリスク管理プログラム。
  18. コンピュータに、
    前記状態分析処理で、少なくとも対象システムの脆弱性の有無と、対象システムの価値とを分析し、
    前記リスク判定処理で、前記対象システムの脆弱性の有無と、前記対象システムの資産価値と、予めセキュリティ上の脅威の発生頻度を定義した脅威モデルと、予め脆弱性の有無による脅威の顕在化に係る脆弱性と脅威との関係を予め定義した脅威−脆弱性モデルと、予め脅威の顕在化による資産への影響度に係る脅威と資産との関係を定義した脅威−資産モデルとに基づいて、前記対象システムのセキュリティリスクの度合いを示すリスク値を算出させ、
    前記対策案選定ステップで、予め各対策間の関係を表現できるように各対策間をAND,OR,SUB,MAX,MIN,XORの関係子をひとつ以上利用して定義した脅威−脆弱性−対策モデルと、前記対策を実施することによって前記対象システムに生じる各種制約の大きさを示す制約度対策間の関係を表現できるように各対策間をAND,OR,SUB,MAX,MIN,XORの関係子をひとつ以上利用して定義した対策−制約モデルとに基づいて、実施後のリスク値および各種制約度が所定の条件に合致する対策手段を対策案として選定させる
    請求項16又は17に記載のセキュリティリスク管理プログラム。
  19. コンピュータに、
    所定の条件にしたがって、対策の実施段階に応じて定義される対策ステージであって、実施する対策が対応づけられる各対策ステージについて、対策ステージからの遷移条件を定義した対策ステージ遷移ルールと、対策ステージ毎に前記対策案選定手段によって選定されるべき目標値とを予め定義し、
    前記定義された目標値にしたがって、前記対策案選定手段が対策案を選定し、所定の条件にしたがって、前記対策ステージ遷移ルールで示される各対策ステージに割り当てることによって、いずれの対策案をいずれのタイミングで実行するかを示す対策シナリオを生成する対策シナリオ生成処理を実行させるための
    請求項16から請求項18のうちのいずれか1項に記載のセキュリティリスク管理プログラム。
  20. コンピュータに、
    前記対策ステージ遷移ルールに従って、少なくとも対象システムの状態変化、現在時刻、または対策を実施したときからの経過時間に基づいて、前記対策シナリオ上で対策ステージを遷移させることによって、実行する対策案を決定する対策実行決定処理を実行させるための請求項19に記載のセキュリティリスク管理プログラム。
JP2008523664A 2006-07-06 2007-06-29 セキュリティリスク管理システム、装置、方法、およびプログラム Expired - Fee Related JP5304243B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008523664A JP5304243B2 (ja) 2006-07-06 2007-06-29 セキュリティリスク管理システム、装置、方法、およびプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2006187236 2006-07-06
JP2006187236 2006-07-06
PCT/JP2007/063087 WO2008004498A1 (fr) 2006-07-06 2007-06-29 Système, dispositif, procédé et programme de gestion des risques de sécurité
JP2008523664A JP5304243B2 (ja) 2006-07-06 2007-06-29 セキュリティリスク管理システム、装置、方法、およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2008004498A1 JPWO2008004498A1 (ja) 2009-12-03
JP5304243B2 true JP5304243B2 (ja) 2013-10-02

Family

ID=38894468

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008523664A Expired - Fee Related JP5304243B2 (ja) 2006-07-06 2007-06-29 セキュリティリスク管理システム、装置、方法、およびプログラム

Country Status (2)

Country Link
JP (1) JP5304243B2 (ja)
WO (1) WO2008004498A1 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101941039B1 (ko) * 2018-05-29 2019-01-23 한화시스템(주) 사이버 위협 예측 시스템 및 방법
US10764322B2 (en) 2017-03-27 2020-09-01 Nec Corporation Information processing device, information processing method, and computer-readable recording medium
US10902131B2 (en) 2016-03-30 2021-01-26 Nec Corporation Information processing device, information processing method, and non-transitory computer readable medium for providing improved security
US10922417B2 (en) 2015-09-15 2021-02-16 Nec Corporation Information processing apparatus, information processing method, and program
KR20210065687A (ko) * 2019-11-27 2021-06-04 국방과학연구소 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램
WO2022132831A1 (en) * 2020-12-18 2022-06-23 Hive Pro Inc. Predictive vulnerability management analytics, orchestration, automation and remediation platform for computer systems. networks and devices
US11412386B2 (en) 2020-12-30 2022-08-09 T-Mobile Usa, Inc. Cybersecurity system for inbound roaming in a wireless telecommunications network
KR102468156B1 (ko) * 2022-06-29 2022-11-17 국방과학연구소 사이버 위협 대응 대상 우선순위 산출 장치, 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램
US11641585B2 (en) 2020-12-30 2023-05-02 T-Mobile Usa, Inc. Cybersecurity system for outbound roaming in a wireless telecommunications network
US11683334B2 (en) 2020-12-30 2023-06-20 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8220056B2 (en) * 2008-09-23 2012-07-10 Savvis, Inc. Threat management system and method
JP5148442B2 (ja) * 2008-09-30 2013-02-20 株式会社東芝 脆弱性対応優先度表示装置及びプログラム
JP5160379B2 (ja) * 2008-11-11 2013-03-13 株式会社東芝 セキュリティ劣化防止装置
JP5413010B2 (ja) * 2009-07-17 2014-02-12 日本電気株式会社 分析装置、分析方法およびプログラム
US9742778B2 (en) 2009-09-09 2017-08-22 International Business Machines Corporation Differential security policies in email systems
JP5127852B2 (ja) * 2010-03-04 2013-01-23 株式会社オプティム レコメンドデータ出力システム、方法及びプログラム
JP2011248753A (ja) * 2010-05-28 2011-12-08 Nippon Telegr & Teleph Corp <Ntt> 個人情報管理システム、個人情報管理方法、個人情報管理型端末、個人情報管理サーバ及びこれらのプログラム
US8539546B2 (en) 2010-10-22 2013-09-17 Hitachi, Ltd. Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy
US8577809B2 (en) * 2011-06-30 2013-11-05 Qualcomm Incorporated Method and apparatus for determining and utilizing value of digital assets
WO2015114791A1 (ja) * 2014-01-31 2015-08-06 株式会社日立製作所 セキュリティ管理装置
US10805337B2 (en) * 2014-12-19 2020-10-13 The Boeing Company Policy-based network security
JP6392170B2 (ja) * 2015-05-26 2018-09-19 日本電信電話株式会社 脅威分析支援方法、脅威分析支援装置、及び脅威分析支援プログラム
JP6760300B2 (ja) 2015-10-19 2020-09-23 日本電気株式会社 情報処理装置、セキュリティ管理システム、セキュリティ対策提示方法、及びプログラム
JP6663700B2 (ja) * 2015-12-10 2020-03-13 株式会社日立製作所 セキュリティ対策立案支援方式
JP6518613B2 (ja) * 2016-03-22 2019-05-22 株式会社日立製作所 セキュリティ対処サーバ及びシステム
JP6716995B2 (ja) * 2016-03-29 2020-07-01 日本電気株式会社 情報処理装置、情報処理方法、およびプログラム
JP6324646B1 (ja) * 2016-06-20 2018-05-16 三菱電機株式会社 セキュリティ対策決定装置、セキュリティ対策決定方法およびセキュリティ対策決定プログラム
JP2018077607A (ja) * 2016-11-08 2018-05-17 株式会社日立システムズ セキュリティルール評価装置およびセキュリティルール評価システム
TW201843614A (zh) * 2017-03-17 2018-12-16 日商日本電氣股份有限公司 安全風險管理裝置、安全風險管理方法及安全風險管理程式
EP3643036B1 (en) * 2017-06-23 2023-08-09 Cisoteria Ltd. Enterprise cyber security risk management and resource planning
US10678954B2 (en) * 2017-09-21 2020-06-09 GM Global Technology Operations LLC Cybersecurity vulnerability prioritization and remediation
JP6718476B2 (ja) * 2018-02-23 2020-07-08 株式会社日立製作所 脅威分析システムおよび分析方法
JP7213626B2 (ja) * 2018-06-20 2023-01-27 三菱電機株式会社 セキュリティ対策検討ツール
KR101947757B1 (ko) 2018-06-26 2019-02-13 김종현 취약점 분석을 수행하는 보안 관리 시스템
KR102143510B1 (ko) * 2019-01-31 2020-08-11 김종현 정보 보안 위험 관리 시스템
JP7149219B2 (ja) 2019-03-29 2022-10-06 株式会社日立製作所 リスク評価対策立案システム及びリスク評価対策立案方法
JP7258801B2 (ja) * 2020-03-10 2023-04-17 株式会社東芝 情報処理装置、情報処理方法およびプログラム
JP7226819B2 (ja) * 2020-07-28 2023-02-21 日本電気株式会社 情報処理装置、情報処理方法、プログラム
JP7427577B2 (ja) * 2020-12-04 2024-02-05 株式会社東芝 情報処理装置、情報処理方法およびプログラム
US11546767B1 (en) 2021-01-21 2023-01-03 T-Mobile Usa, Inc. Cybersecurity system for edge protection of a wireless telecommunications network
US11431746B1 (en) 2021-01-21 2022-08-30 T-Mobile Usa, Inc. Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network
JPWO2023175756A1 (ja) * 2022-03-16 2023-09-21
CN115374426A (zh) * 2022-08-23 2022-11-22 中国电信股份有限公司 访问控制方法、装置、设备及存储介质
CN116244705B (zh) * 2023-03-08 2024-01-12 北京航天驭星科技有限公司 一种商业卫星运控平台漏洞处理方法及相关设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1070571A (ja) * 1996-06-20 1998-03-10 Internatl Business Mach Corp <Ibm> 最適パス決定方法
JP2001155081A (ja) * 1999-11-25 2001-06-08 Hitachi Ltd 安全対策方針作成装置
JP2002024526A (ja) * 2000-07-10 2002-01-25 Mitsubishi Electric Corp 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体
JP2005018186A (ja) * 2003-06-24 2005-01-20 Hitachi Ltd アクセス管理方法及び装置並びにその処理プログラム
JP2005190066A (ja) * 2003-12-25 2005-07-14 Hitachi Ltd 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム
JP2005234840A (ja) * 2004-02-19 2005-09-02 Nec Micro Systems Ltd リスク評価方法及びセキュリティ管理策の選定支援方法およびプログラム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4448307B2 (ja) * 2003-09-29 2010-04-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 セキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1070571A (ja) * 1996-06-20 1998-03-10 Internatl Business Mach Corp <Ibm> 最適パス決定方法
JP2001155081A (ja) * 1999-11-25 2001-06-08 Hitachi Ltd 安全対策方針作成装置
JP2002024526A (ja) * 2000-07-10 2002-01-25 Mitsubishi Electric Corp 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体
JP2005018186A (ja) * 2003-06-24 2005-01-20 Hitachi Ltd アクセス管理方法及び装置並びにその処理プログラム
JP2005190066A (ja) * 2003-12-25 2005-07-14 Hitachi Ltd 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム
JP2005234840A (ja) * 2004-02-19 2005-09-02 Nec Micro Systems Ltd リスク評価方法及びセキュリティ管理策の選定支援方法およびプログラム

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10922417B2 (en) 2015-09-15 2021-02-16 Nec Corporation Information processing apparatus, information processing method, and program
US11822671B2 (en) 2016-03-30 2023-11-21 Nec Corporation Information processing device, information processing method, and non-transitory computer readable medium for identifying terminals without security countermeasures
US10902131B2 (en) 2016-03-30 2021-01-26 Nec Corporation Information processing device, information processing method, and non-transitory computer readable medium for providing improved security
US10764322B2 (en) 2017-03-27 2020-09-01 Nec Corporation Information processing device, information processing method, and computer-readable recording medium
KR101941039B1 (ko) * 2018-05-29 2019-01-23 한화시스템(주) 사이버 위협 예측 시스템 및 방법
KR20210065687A (ko) * 2019-11-27 2021-06-04 국방과학연구소 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램
KR102291142B1 (ko) * 2019-11-27 2021-08-18 국방과학연구소 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램
WO2022132831A1 (en) * 2020-12-18 2022-06-23 Hive Pro Inc. Predictive vulnerability management analytics, orchestration, automation and remediation platform for computer systems. networks and devices
US11979426B2 (en) 2020-12-18 2024-05-07 Hive Pro Inc. Predictive vulnerability management analytics, orchestration, automation and remediation platform for computer systems. networks and devices
US11641585B2 (en) 2020-12-30 2023-05-02 T-Mobile Usa, Inc. Cybersecurity system for outbound roaming in a wireless telecommunications network
US11683334B2 (en) 2020-12-30 2023-06-20 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks
US11412386B2 (en) 2020-12-30 2022-08-09 T-Mobile Usa, Inc. Cybersecurity system for inbound roaming in a wireless telecommunications network
US12113825B2 (en) 2020-12-30 2024-10-08 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks
KR102468156B1 (ko) * 2022-06-29 2022-11-17 국방과학연구소 사이버 위협 대응 대상 우선순위 산출 장치, 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램

Also Published As

Publication number Publication date
WO2008004498A1 (fr) 2008-01-10
JPWO2008004498A1 (ja) 2009-12-03

Similar Documents

Publication Publication Date Title
JP5304243B2 (ja) セキュリティリスク管理システム、装置、方法、およびプログラム
de Gusmão et al. Cybersecurity risk analysis model using fault tree analysis and fuzzy decision theory
US9219739B2 (en) Reputation based access control
EP3128459B1 (en) System and method of utilizing a dedicated computer security service
US10540176B2 (en) Method and system for controlling software risks for software development
JP6245175B2 (ja) リスク分析装置、リスク分析方法およびプログラム
US9736182B1 (en) Context-aware compromise assessment
US8141127B1 (en) High granularity reactive measures for selective pruning of information
CN103065091B (zh) 用恶意软件检测扩充系统还原
JP5125069B2 (ja) セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム
US8484729B2 (en) Security operation management system, security operation management method, and security operation management program
US20080201780A1 (en) Risk-Based Vulnerability Assessment, Remediation and Network Access Protection
JP5145907B2 (ja) セキュリティ運用管理システム、方法、及び、プログラム
US20150040217A1 (en) Data protection in a networked computing environment
Schlegel et al. Structured system threat modeling and mitigation analysis for industrial automation systems
JP7470116B2 (ja) セキュア通信方法およびそのシステム
JP4338163B2 (ja) 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体
Islam et al. A goal-driven risk management approach to support security and privacy analysis of cloud-based system
Karabulut et al. Security and trust in it business outsourcing: a manifesto
JP2022537124A (ja) サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション
Lee et al. Quantum computing threat modelling on a generic cps setup
Awiszus et al. Building resilience in cybersecurity: An artificial lab approach
JP2002189643A (ja) 通信トラヒックを走査するための方法および装置
KR20120076661A (ko) 정보자산 관리 장치, 서버, 에이전트 및 방법
Ouedraogo et al. Deployment of a security assurance monitoring framework for telecommunication service infrastructures on a VoIP service

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100514

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130305

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130430

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130528

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130610

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees