JP5419475B2 - Security management apparatus and program - Google Patents
Security management apparatus and program Download PDFInfo
- Publication number
- JP5419475B2 JP5419475B2 JP2009005595A JP2009005595A JP5419475B2 JP 5419475 B2 JP5419475 B2 JP 5419475B2 JP 2009005595 A JP2009005595 A JP 2009005595A JP 2009005595 A JP2009005595 A JP 2009005595A JP 5419475 B2 JP5419475 B2 JP 5419475B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- survey
- security management
- item
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、セキュリティ対策の実施状況を管理する装置に関し、より具体的には、ある組織で実施している情報セキュリティ対策の実施状況を管理する装置に関する。 The present invention relates to an apparatus for managing the implementation status of security measures, and more specifically to an apparatus for managing the implementation status of information security measures implemented in a certain organization.
企業等の組織内での、IT(Information Technology)に限らない情報セキュリティ施策全体の管理状況を測るものとして、IPA(独立行政法人 情報処理推進機構)が提供する情報セキュリティ対策ベンチマークがある(参考URL:http://www.ipa.go.jp/security/benchmark/benchmark−gaiyou.html)。 There is an information security measure benchmark provided by IPA (Information Processing Promotion Organization) as a measure of the overall management status of information security measures not limited to IT (Information Technology) in organizations such as companies (Reference URL) : Http://www.ipa.go.jp/security/benchmark/benchmark-gaiyou.html).
これは、組織が実施している情報セキュリティ施策について、25問の質問に対して回答することで、情報セキュリティ施策実施状況の概要をつかむことを第一の目的としている。
また、この情報セキュリティ対策ベンチマークでは、15項目の企業プロフィールに関する回答から、その組織に望まれる情報セキュリティのレベルを評価したり、同業他社やグループ内企業等の他組織と比較したりすることによって、組織外から見た当該組織の情報セキュリティ管理情況の評価を行うことが第二の目的であり、大きな特徴となっている。
The primary purpose of this is to obtain an overview of the implementation status of information security measures by answering 25 questions regarding information security measures implemented by the organization.
Also, in this information security measure benchmark, by evaluating the level of information security desired for the organization from responses concerning the company profile of 15 items, or by comparing with other organizations such as other companies in the same industry or companies in the group, The second purpose is to evaluate the information security management situation of the organization viewed from outside the organization, which is a major feature.
また、例えば、組織内の情報セキュリティポリシーに従ったシステム設定を、クライアントまで確実に行わせることを目的とした装置も提案されている(特許文献1)。
これは、組織内のLAN(Local Area Network)に接続される様々なIT機器に対して、組織の情報セキュリティポリシーから導き出された、最適でかつ具体的なシステム設定を行うための仕組みである。
本システムでは、事前に、社内システムに接続されるIT機器に対して設定されるべき設定情報のバリエーションを用意しておき、PC(Personal Computer)を代表とする各IT機器の特定情報やインストールされているS/W(Soft Ware)の情報等を取得し、そのPCに適切なシステム設定を事前に登録された中から選択して設定させるというものである。
In addition, for example, an apparatus has been proposed that is intended to ensure that the system setting according to the information security policy in the organization is performed by the client (Patent Document 1).
This is a mechanism for performing optimum and specific system settings derived from the information security policy of the organization for various IT devices connected to the LAN (Local Area Network) in the organization.
In this system, variations of setting information to be set for IT devices connected to the in-house system are prepared in advance, and specific information and installed information of each IT device represented by a PC (Personal Computer) are prepared. S / W (Soft Wear) information and the like are acquired, and an appropriate system setting is selected from the pre-registered settings in the PC and set.
上で述べたように、上記の情報セキュリティ対策ベンチマークでは、組織の情報セキュリティ管理の概況が、他組織と比較してどうかということをVisibleにすることが目的であるため、組織内での情報セキュリティ管理施策の詳細を管理することは困難であるという課題がある。
すなわち、組織では往々にして、組織を構成するサブ組織の業務の特性やサブ組織のオフィスの立地上の制限により、一部セキュリティ施策を変更・強化したりするケースがあるが、そのようなケースは「概況」には現れないという点がある。
As described above, in the above information security countermeasure benchmark, the purpose of the organization's information security management overview is to make it visible as compared to other organizations. There is a problem that it is difficult to manage details of management measures.
In other words, organizations often change or strengthen some security measures depending on the business characteristics of the sub-organizations that make up the organization and restrictions on the location of the sub-organization offices. There is a point that does not appear in "Overview".
一方、特許文献1に説明されるシステムでは、その範囲を社内ネットワークの設定を含むITがターゲットである。
情報セキュリティでは、インシデント発生時に代表される緊急時の対応がいかに組織内の全構成員に徹底されているか、組織構成員がある業務の遂行において適切に情報を扱っているか等のIT以外の側面も多く、それらは互いに補完しあっているといえる。
そのため、本システムでは、ITに限らない全体的な情報セキュリティ施策状況を把握することができないという課題がある。
On the other hand, in the system described in
In information security, aspects other than IT, such as how the emergency response represented when an incident occurs is thoroughly implemented by all members of the organization, and whether the members of the organization handle information appropriately in the performance of a certain task. Many of them are complementary to each other.
Therefore, in this system, there is a problem that it is impossible to grasp the overall information security measure status not limited to IT.
この発明は、上記のような課題を解決することを主な目的の一つとしており、組織で採用している広範な情報セキュリティ対策の実施状況を、既存の評価基準と照らし合せて詳細に評価することができる仕組みを実現することを主な目的とする。 One of the main purposes of this invention is to solve the above-mentioned problems, and the implementation status of a wide range of information security measures adopted by the organization is evaluated in detail against the existing evaluation criteria. The main purpose is to realize a mechanism that can do this.
本発明に係るセキュリティ管理装置は、
セキュリティ対策の実施状況を調査するための調査項目が示される調査項目情報を、セキュリティ対策の実施状況を評価するための評価基準が示されるセキュリティ管理基準情報に関連付ける情報関連付け部と、
調査項目情報とセキュリティ管理情報を記憶する情報記憶部と、
調査項目情報に示されている調査項目に対する調査結果を取得し、取得した調査結果を調査項目情報に関連付けて、調査項目情報の調査項目と調査結果とセキュリティ管理基準情報の評価基準とを関連付ける調査結果取得部とを有することを特徴とする。
The security management device according to the present invention is:
An information association unit for associating survey item information indicating a survey item for investigating the implementation status of security measures with security management standard information indicating an evaluation criteria for evaluating the implementation status of security measures;
An information storage unit for storing survey item information and security management information;
Survey results for the survey items indicated in the survey item information are acquired, the acquired survey results are associated with the survey item information, and the survey items in the survey item information are associated with the survey results and the evaluation criteria in the security management standard information. And a result acquisition unit.
本発明によれば、セキュリティ対策の実施状況を調査するための調査項目と、調査項目に対する調査結果と、セキュリティ対策の実施状況を評価するための評価基準とを関連付けることできるので、セキュリティ対策の実施状況を、評価基準と照らし合せて詳細に評価することができる。 According to the present invention, it is possible to associate a survey item for investigating the implementation status of security measures, a survey result for the survey item, and an evaluation standard for evaluating the implementation status of security measures. The situation can be evaluated in detail against the evaluation criteria.
実施の形態1.
図1は、本実施の形態に係る情報セキュリティ管理装置1の構成例を示す。
図1において、情報セキュリティ管理装置1は、組織内で採用している情報セキュリティ対策の実施状況を確認することを目的とした装置である。
より具体的には、情報セキュリティ管理装置1は、組織内で採用している情報セキュリティ対策の実施状況を確認(調査)するための確認項目(調査項目)と、情報セキュリティ対策の実施状況に関する既存の評価基準とを関連付け、また、これにより確認項目に対する確認結果(調査結果)と確認項目と、既存の評価基準とを関連付けるものである。
既存の評価基準とは、例えば、JIS Q 27002等の既存の基準である。
なお、情報セキュリティ管理装置1は、セキュリティ管理装置の例である。
また、以下では、情報セキュリティ対策の実施状況を調査、評価する例を説明するが、本実施の形態に係る情報セキュリティ管理装置1は、不正アクセス対策や情報漏えい防止といった狭義の情報セキュリティに限らず、例えば、執務室への入室にはICカードや生体情報による本人認証が行われているか、監視カメラが所定の位置に設置されているか等の広範なセキュリティ対策の実施状況の調査、評価に適用することができる。
FIG. 1 shows a configuration example of an information
In FIG. 1, an information
More specifically, the information
The existing evaluation standard is an existing standard such as JIS
The information
In the following, an example of investigating and evaluating the implementation status of information security measures will be described. However, the information
情報セキュリティ管理装置1の利用者2は、オペレータとユーザに分類される。オペレータは管理者ともいう。また、ユーザは一般利用者ともいう。
オペレータは、組織内の情報システムを管理するシステム管理者である。オペレータは、情報セキュリティ管理装置1を用いて情報セキュリティ対策の実施状況の調査結果を収集し、調査結果から情報セキュリティ対策の実施状況の分析、実施状況の評価等を行う。
ユーザは、組織内の情報システムを利用するユーザである。ユーザは、情報セキュリティ対策の実施状況について情報セキュリティ管理装置1に対して回答を行う。
オペレータ及びユーザは、例えば各人に割り当てられている端末装置から、LAN等のネットワークを介して情報セキュリティ管理装置1と通信するにしてもよいし、情報セキュリティ管理装置1に接続されているキーボード、マウス、ディスプレイ装置等(図示せず)を用いて、情報セキュリティ管理装置1へ入力を行い、情報セキュリティ管理装置1からの出力を得てもよい。
また、同一の利用者がオペレータとユーザの両方の役割を果たす場合がある。
オペレータ及びユーザをまとめて利用者2と称する。
The
The operator is a system administrator who manages the information system in the organization. The operator uses the information
The user is a user who uses an information system in the organization. The user responds to the information
An operator and a user may communicate with the information
Moreover, the same user may play the role of both an operator and a user.
The operator and user are collectively referred to as
次に、情報セキュリティ管理装置1の内部構成例について説明する。
Next, an internal configuration example of the information
入出力部10は、情報セキュリティ管理装置1に接続されているキーボード、マウス、ディスプレイ装置、通信ボード等とのインタフェースとなり、キーボード、マウス、通信ボード等を介して、利用者2からの情報を入力し、また、ディスプレイ装置、通信ボード等を介して、利用者2に情報を出力する。
The input /
利用者属性管理部11は、利用者の識別情報や、利用者の所属する組織の情報、利用者が情報セキュリティ上担う役割、利用者を認証するための認証情報等の利用者属性情報を管理する。
利用者属性情報の例を、図8に示す。
The user
An example of user attribute information is shown in FIG.
利用者認証部12は、アクセスがあった際に、利用者属性管理部11を通じて事前に登録された利用者属性情報と、利用者が実際に入力した情報によって、登録されている利用者からのアクセスであるか否かを認証するとともに、登録されている利用者からのアクセスである場合に、アクセスのあった利用者の属性を判別する。属性は、例えば、所属部署、資格、役職、職能等である。
利用者認証部12は、認証部の例である。
When the
The
実行処理制御部13は、利用者の属性や、各情報セキュリティ対策の実施状況の確認状態等から、利用者が実行可能な処理を制御する。
また、実行処理制御部13は、利用者の属性に従って実行できる処理を制御する。
制御のための利用者属性は、例えば、情報セキュリティ実施状況を把握すべき管理者(オペレータ)なのか、一般の利用者(ユーザ)なのかという役割や、所属する部門等を利用してもよい。また、制御のために図7のような表を利用してもよい。
図7では、それぞれの利用者に許可されている動作が「○」として示されている。
The execution
Moreover, the execution
As the user attribute for control, for example, the role of whether it is an administrator (operator) or a general user (user) who should grasp the information security implementation status, a department to which the user belongs, or the like may be used. . Moreover, you may utilize a table | surface like FIG. 7 for control.
In FIG. 7, an operation permitted for each user is indicated by “◯”.
実施状況入力部14は、個別の情報セキュリティ対策の実施状況を確認するための確認項目(調査項目)を入出力部10を介してユーザに提示し、確認項目に対する回答として、確認項目評価結果(調査結果)が示される確認項目評価結果情報を入出力部10を介してユーザから取得し、更には、確認項目評価結果情報の一部として、実施状況を示すエビデンス情報をユーザから取得する。
確認項目は、例えば、図9及び図10に示す確認項目情報300の情報セキュリティ施策関連情報301に示されている。図10の符号3011で示す箇所が確認項目であり、ユーザは確認項目3011に示されている事項を確認する。
確認項目は、情報セキュリティ対策の実施状況を確認するために企業等の組織が独自に設けた項目である。
なお、確認項目情報300の詳細は、後述する。
図12及び図13は、ユーザからの回答である確認項目評価結果情報の例を示す。
確認項目評価結果情報500には、情報ID503、確認項目評価結果501、エビデンス情報502が含まれる。
確認項目評価結果501は、実施状況判断基準情報303に基づき、ユーザ自身が実施状況を評価した内容である。つまり、実施状況に対応するレベル(実施状況判断基準情報303に示されているレベルのいずれか)が示される。
エビデンス情報502は、実施状況を判断するにあたって、客観的にそれが確認できる情報である。
エビデンス情報502は必要に応じて記入すればよい。つまり、エビデンス情報502は省略可能である。また、他にも必要な情報があれば、付加情報として追加してもよい。
情報ID503は、実施状況入力部14が確認項目評価結果情報500を取得した際に、実施状況入力部14により設定される。
The implementation
The confirmation item is shown in the information security measure
The confirmation item is an item uniquely established by an organization such as a company in order to confirm the implementation status of information security measures.
Details of the
12 and 13 show examples of confirmation item evaluation result information that is an answer from the user.
The confirmation item evaluation result
The confirmation
The
The
The
また、実施状況入力部14は、取得した確認項目評価結果と確認項目と情報セキュリティ対策の実施状況に関する既存の基準とを関連付ける。
情報セキュリティ対策の実施状況に関する既存の基準とは、前述したように、JIS Q 27002に代表される情報セキュリティ対策の実施状況に関する既存の評価基準である。
確認項目評価結果と確認項目と既存の基準との関連付けは、例えば、図14に示す確認項目−結果関係情報600を生成することにより行われる。
図14において、確認項目情報IDは、図9及び図10に示す確認項目情報300の情報ID304(AA00123)であり、確認項目評価結果情報IDは、図12及び図13に示す確認項目評価結果情報500の情報ID503(ZZ01456)である。
図10に示すように、確認項目情報300には、確認項目と関係する既存基準を示す既存基準との関係情報302が含まれているので、図14の確認項目−結果関係情報600により確認項目評価結果と確認項目と既存の基準とを関連付けることができる。
実施状況入力部14は、調査結果取得部の例である。
In addition, the implementation
The existing standard regarding the implementation status of information security measures is an existing evaluation standard regarding the implementation status of information security measures represented by JIS Q27002, as described above.
The association between the confirmation item evaluation result, the confirmation item, and the existing standard is performed, for example, by generating confirmation item-
14, the confirmation item information ID is the information ID 304 (AA00123) of the
As shown in FIG. 10, since the
The implementation
実施状況管理部15は、個別の情報セキュリティ対策の実施状況を確認するための項目に対する、利用者の実施状況入力状況を管理する。
The implementation
確認リスト管理部16は、個別の情報セキュリティ対策の実施状況を確認するための確認項目の集合である確認項目情報の処理状況を管理する。
より具体的には、確認リスト管理部16は、確認項目が示される情報セキュリティ施策関連情報301(調査項目情報)を、情報セキュリティ対策の実施状況に関する既存の評価基準が示される情報(JIS Q 27002等)(セキュリティ管理基準情報)に関連付けるとともに、情報セキュリティ施策関連情報301と既存基準との関連付けが示される確認項目情報を管理する。
つまり、確認リスト管理部16は、図9及び図10に示されるように、確認項目3011が示される情報セキュリティ施策関連情報301が含まれるとともに、確認項目と関係する既存基準を示す既存基準との関係情報302が含まれる確認項目情報300を管理する。
更に、確認リスト管理部16は、確認項目3011の対象となるユーザ属性3014を設定する。
確認リスト管理部106は、情報関連付け部及び属性設定部の例である。
The confirmation
More specifically, the confirmation
That is, as shown in FIGS. 9 and 10, the confirmation
Furthermore, the confirmation
The confirmation list management unit 106 is an example of an information association unit and an attribute setting unit.
リスト間関係管理部17は、JIS Q 27002に代表される既存基準と、個別の情報セキュリティ対策の実施状況を確認するための確認項目との関係を管理する。
リスト間関係管理部17は、例えば、図11に示すリスト間関係情報400を生成して、既存基準と確認項目との関係を管理する。
図11のリスト間関係情報400では、確認項目情報300の情報ID304(図10及び図11の例では、AA00123)と既存基準のID(図12では、JIS Q 27002 7.2.2)を対応付けている。
The inter-list
For example, the inter-list
In the
また、情報セキュリティ管理装置1内で扱う情報は、次のDB(Data Base)で管理される。
環境DB31は、利用者の識別情報や、利用者の所属する組織の情報、利用者が情報セキュリティ上担う役割、利用者を認証するための認証情報等の利用者属性情報200(図8)を格納する。
回答結果DB32は、図12及び図13に示す確認項目評価結果情報500、図14に示す確認項目−結果関係情報600を格納する。
確認リストDB33は、組織内で採用している情報セキュリティ施策に関する情報である確認項目情報300(図9、図10)を格納する。
ベースラインリストDB34は、既存の情報セキュリティ管理基準に関する情報(JIS Q 27002等)を格納する。
確認リストDB33及びベースラインリストDB34は、情報記憶部の例である。
リスト間関係DB35は、既存の情報セキュリティ管理基準に関する情報と組織内で採用している情報セキュリティ施策との対応関係を示すリスト間関係情報400を格納する。
Information handled in the information
The
The
The
The
The
The
次に、図21を用いて、本実施の形態に係る情報セキュリティ管理装置1の動作について説明する。
情報セキュリティ管理装置1は、環境設定フェーズ(S1)、実施状況確認フェーズ(S2)、分析フェーズ(S3)の順に動作する。
Next, the operation of the information
The information
まず、情報セキュリティ管理装置1の環境設定フェーズを説明する。
図22は、環境設定フェーズにおける情報セキュリティ管理装置1の動作例を示すフローチャートである。
First, the environment setting phase of the information
FIG. 22 is a flowchart illustrating an operation example of the information
まず、ステップS101において、利用者属性管理部11が、利用者の識別情報、利用者の所属する組織の情報、利用者が情報セキュリティ上担う役割、利用者を認証するための認証情報等を示す利用者属性情報200(図8)を入出力部10を介して入力し、環境DB31に登録する。
First, in step S101, the user
次に、ステップS102において、確認リスト管理部16が、JIS Q 27002や情報セキュリティ対策ベンチマーク等の既存の情報セキュリティ管理基準情報を入出力部10を介して入力し、ベースラインリストDB34に格納する(情報記憶ステップ)。この既存の情報セキュリティ管理基準情報は、ある程度、一般的に評価されているものであることが望ましい。
Next, in step S102, the confirmation
次に、ステップS103において、確認リスト管理部16が、オペレータからの指示に基づき、組織内で採用している情報セキュリティ施策を示す確認項目情報を生成し、生成した確認項目情報を確認リストDB33に格納する(情報関連付けステップ)(情報記憶ステップ)。
図9及び図10に示すように、確認項目情報300は、情報ID304、情報セキュリティ施策関連情報301、既存基準との関係情報302及び実施状況判断基準情報303から構成される。
Next, in step S103, the confirmation
As shown in FIGS. 9 and 10, the
ここで、確認項目情報300の詳細を図10を参照して説明する。
Details of the
情報セキュリティ施策関連情報301は、次のような要素から構成される。
組織内の情報セキュリティ施策の概要を表す情報3012、組織内の情報セキュリティ施策の詳細を定めた文書3013、情報セキュリティ対策の実施状況を確認するための確認項目3011、実施対象者を特定する情報3014である。
確認項目3011に示されている内容(文章)がユーザに提示され、ユーザは確認項目3011の内容に従って、情報セキュリティ対策の実施状況を調査する。
また、情報3014には、確認項目3011の調査を行うユーザ、つまり、確認項目3011の対象となるユーザのユーザ属性が示される。ユーザ属性とは、例えば、所属部署、資格、役職、職能等である。
なお、情報セキュリティ施策関連情報301は、調査項目情報の例である。
The information security measure
The content (sentence) shown in the
Also, the
Information security measure
また、既存基準との関係情報302には、情報セキュリティ施策関連情報301と関連付ける既存の情報セキュリティ管理基準情報(JIS Q 27002や情報セキュリティベンチマーク等)の識別情報3021が含まれる。
Further, the
また、実施状況判断基準情報303は、次のような要素から構成される。
情報セキュリティ施策の実施状況を判断するための判断基準情報3031と、判断基準情報3031に示されるレベルのうち組織として目標とするレベルを示すベースライン3032である。
判断基準情報3031については、ある事実をもって実施状況を客観的に判断する、判断基準を複数のレベルで提示する。
例えば、図10に示されているものの他、ユーザの7割以上が実施していればレベル1、ユーザの10割実施していればレベル2、未実施者の実施状況をフォローして10割実施を達成していればレベル3とすることが考えられる。
また、複数の判断細目の実施状況により、最終的な判断を行う(例えば、ノートパソコンの管理状況について、持出し/持帰りの確認、パスワードの設定、USBポート管理等の全てが適切ならば、適切と判断する)等の方法をとってもよい。
The implementation status
They are
With respect to the
For example, in addition to what is shown in FIG. 10,
In addition, a final decision is made based on the implementation status of a plurality of decision details (for example, if the management status of the notebook computer is all appropriate, such as confirmation of take-out / take-out, password setting, USB port management, etc.) Or the like may be used.
次に、図23を参照して、図22に示した確認項目情報の生成、格納手順(S103)の詳細を説明する。 Next, details of the procedure for generating and storing the confirmation item information (S103) shown in FIG. 22 will be described with reference to FIG.
まず、確認リスト管理部16は、入出力部10を介して、オペレータから情報セキュリティ施策関連情報301を入力する(S1031)。なお、確認リスト管理部16は、少なくとも、確認項目3011と、対象となるユーザ属性3014を取得すればよく、3012及び3013の情報はなくてもよい。
次に、確認リスト管理部16は、入出力部10を介して、オペレータから、S1031で入力した情報セキュリティ施策関連情報と関連付ける既存基準のID情報を入力し、入力したID情報に基づいて、既存基準との関係情報302を生成する(S1032)。
次に、確認リスト管理部16は、入出力部10を介して、オペレータから、実施状況判断基準情報303を入力する(S1033)。
そして、確認リスト管理部16は、情報セキュリティ施策関連情報301、既存基準との関係情報302、実施状況判断基準情報303を組み合わせ、また、情報ID304を設定して、確認項目情報300を生成する(S1034)。
また、確認リスト管理部16は、情報ID304と既存基準のID3021から、リスト間関係情報400(図11)を生成し、生成したリスト間関係情報400をリスト間関係管理部17に渡す(S1035)。
次に、確認リスト管理部16が確認項目情報300を確認リストDB33に格納し(S1036)、リスト間関係管理部17がリスト間関係情報400をリスト間関係DB35に格納する(S1037)。
なお、リスト間関係情報400の生成(S1035)及び格納(S1037)は省略してもかまわない。
First, the confirmation
Next, the confirmation
Next, the confirmation
Then, the confirmation
Further, the confirmation
Next, the confirmation
Note that the generation (S1035) and storage (S1037) of the
なお、例えば、組織内で情報システムの管理を所管している部門と、コンプライアンス状況を管理している部門が同じとは限らないので、確認項目情報を登録する管理者は、それぞれの所管部門から選出した複数名で構成してもよい。
また、確認項目情報が確定した時点で、オペレータは実施状況管理部15を介して、確定した旨を確認リストDB33に登録し、実施状況確認フェーズにうつる。
Note that, for example, the department in charge of managing the information system in an organization is not necessarily the same as the department that manages the compliance status. It may be composed of a plurality of selected people.
Also, when the confirmation item information is confirmed, the operator registers the confirmation in the
次に、図24を参照して、実施状況確認フェーズの詳細を説明する。 Next, details of the implementation status confirmation phase will be described with reference to FIG.
まず、S201において、利用者認証部12は、入出力部10を介してユーザからのアクセスがあるか否かを判断し、ユーザからのアクセスがあれば(S201でYES)、利用者認証部12は環境DB31に格納されている利用者属性情報200を用いてユーザ認証を行い、また、アクセスのあったユーザが認証された場合は、そのユーザのユーザ属性を判別する(S202)。
次に、実施状況入力部14が、S202において判別されたユーザ属性に一致するユーザ属性が設定されている確認項目情報を確認リストDB33から抽出する(S203)。より具体的には、S202において判別されたユーザ属性に一致する内容が図10のユーザ属性3014の欄に示される確認項目情報300を抽出する。
このように、ユーザ属性を照合することで、例えば、「組織の情報セキュリティポリシーを知っている」という確認項目ならば、全ユーザに提示されるが、「サーバマシンのログ情報のバックアップ手順が確立している」という確認項目ならば、サーバマシンの管理を行うユーザのみに提示されるという運用が可能である。
First, in S201, the
Next, the implementation
In this way, by checking the user attributes, for example, if it is a confirmation item “I know the organization's information security policy”, it is presented to all users, but “a backup procedure for server machine log information is established. If it is a confirmation item “Yes”, an operation can be performed in which it is presented only to a user who manages the server machine.
次に、実施状況入力部14は、S203で抽出した確認項目情報300を入出力部10を介してユーザに提示する(S204)。
ユーザは、提示された確認項目情報300の確認項目3011に対して、実施状況判断基準情報303をにらみつつ、実施状況を判定する。
Next, the implementation
The user determines the implementation status while looking at the implementation status
次に、実施状況入力部14は、S204で提示した確認項目情報300に対する応答として、入出力部10を介して、ユーザから確認項目評価結果情報500を取得する(S205)(調査結果取得ステップ)。このとき、実施状況入力部14は、取得した確認項目評価結果情報500に情報IDを設定する。
次に、実施状況入力部14は、S205で取得した確認項目評価結果情報500を、S203で抽出した確認項目情報300に関連付けて、回答結果DB32に格納する(S206)(調査結果取得ステップ)。具体的には、実施状況入力部14は、図14に示す確認項目−結果関係情報600を生成して、確認項目評価結果情報500と確認項目情報300を関連付ける。
Next, the implementation
Next, the implementation
また、実施状況管理部15は、ユーザ毎あるいは確認項目毎に実施状況を管理する機能を備える。そのため、実施状況管理部15は、実施確認の対象となる全利用者から、回答が得られたかどうかを確認し、実施確認の対象となる全利用者から回答が寄せられた時点で、分析フェーズにうつる。
The implementation
分析フェーズでは、実施状況管理部15が、ユーザから収集した確認項目評価結果情報から、分析情報を出力する。分析情報は、図15に示す要素から構成される。
すなわち、既存の情報セキュリティ管理基準と照らし合わせた際の、確認項目の分布状況と、ベースライン状態と比較した結果等である。
In the analysis phase, the implementation
That is, the result of comparing the distribution status of the confirmation items with the baseline status when compared with the existing information security management standards.
管理者は、分析情報を元に、情報セキュリティ施策の拡充や強化、重複施策の解消等によって、情報セキュリティ施策の最適化を実現することができる。 Based on the analysis information, the administrator can realize optimization of information security measures by expanding and strengthening information security measures and eliminating duplicate measures.
以上のように、本実施の形態によれば、既存の情報セキュリティ管理基準と各確認項目を関連付けるようにしているので、組織内の情報セキュリティに係る施策の網羅性を確認することができる。
また、情報セキュリティ施策と、その実施を指示する文書に関連する情報等を関連付けて管理していることにより、重複した施策の有無を確認することができ、組織内の情報セキュリティ施策を効率的に管理することができる。
また、組織を取りまく環境の変化に応じて情報セキュリティ施策の変更や追加が発生する場合でも、関連した施策が管理しやすい状態にあるため、情報セキュリティ施策による効果の重複を回避することができる。
また、利用者の確認結果評価情報に、それを客観的に確認可能なエビデンスを関連付けることができるため、実際の情報セキュリティ施策の実施状況と確認結果評価情報の差分の有無により、適切な評価結果が得られているかどうかを確認することができる。
As described above, according to the present embodiment, since the existing information security management standard is associated with each confirmation item, it is possible to confirm the completeness of measures related to information security in the organization.
In addition, by managing information security measures in association with information related to documents instructing their implementation, it is possible to confirm the presence or absence of duplicate measures and efficiently implement information security measures within the organization. Can be managed.
In addition, even when information security measures are changed or added according to changes in the environment surrounding the organization, the related measures are easy to manage, so that it is possible to avoid duplication of effects due to the information security measures.
In addition, since it is possible to associate evidence that can be objectively confirmed with the user's confirmation result evaluation information, an appropriate evaluation result can be determined depending on whether there is a difference between the actual information security measure implementation status and the confirmation result evaluation information. Can be confirmed.
以上、本実施の形態では、組織内で採用している情報セキュリティ維持のための対策の実施状況を確認することを目的とした情報セキュリティ管理装置であって、以下の手段を有する情報セキュリティ管理装置を説明した。
利用者属性管理部:利用者の識別情報や、利用者の所属する組織の情報、利用者が情報セキュリティ上担う役割、利用者を認証するための認証情報等の、利用者属性情報を管理する手段、
利用者認証部:利用者属性管理部を通じて事前に登録された利用者属性情報と、利用者が実際に入力した情報によって、利用者を認証する手段、
実行処理制御部:利用者の属性や、各情報セキュリティ対策の実施状況の確認状態等から、利用者が実行可能な処理を制御する手段、
実施状況入力部:個別の情報セキュリティ対策の実施状況を確認するための項目に対して、利用者がその状況を直接回答したり、その実施状況を示すエビデンス情報を入力したりする手段、
実施状況管理部:個別の情報セキュリティ対策の実施状況を確認するための項目に対する、利用者の実施状況入力状況を管理する手段、
確認リスト管理部:個別の情報セキュリティ対策の実施状況を確認するための項目の集合である確認リスト自体の処理状況を管理する手段、
リスト間関係管理部:JIS Q 27002に代表される既存の情報セキュリティ管理策集と、組織内で採用する個別の情報セキュリティ対策の実施状況を確認するための項目との関係を管理する手段。
そして、リスト間関係管理部によって、既存の情報セキュリティ管理策集と個別の情報セキュリティ対策の実施状況を確認するための項目とを関係づけることにより、組織の情報セキュリティ対策の網羅性を検証できることを説明した。
As described above, in the present embodiment, an information security management apparatus for confirming the implementation status of measures for maintaining information security adopted in an organization, the information security management apparatus having the following means: Explained.
User attribute management unit: Manages user attribute information such as user identification information, information on the organization to which the user belongs, the role that the user plays in information security, and authentication information for authenticating the user. means,
User authentication unit: means for authenticating a user based on user attribute information registered in advance through the user attribute management unit and information actually entered by the user,
Execution process control unit: means for controlling the process executable by the user from the attribute of the user and the confirmation status of the implementation status of each information security measure,
Implementation status input section: A means for users to directly answer the status of items for confirming the implementation status of individual information security measures, or to input evidence information indicating the implementation status,
Implementation status management unit: A means for managing the user's implementation status input status for items for confirming the implementation status of individual information security measures,
Confirmation list management unit: means for managing the processing status of the confirmation list itself, which is a set of items for confirming the implementation status of individual information security measures,
Inter-list relationship management unit: means for managing the relationship between an existing information security management policy collection represented by
The relationship management section between lists can verify the comprehensiveness of the organization's information security measures by associating the collection of existing information security management measures with items for checking the implementation status of individual information security measures. explained.
実施の形態2.
以上の実施の形態1では、ある組織内での情報セキュリティ施策の実施状況の管理を容易にするようにしたものであるが、既存基準と情報セキュリティ施策関連情報の関連付けは、オペレータが指示していた。
本実施の形態では、情報セキュリティ施策関連情報と既存基準との関連付けを支援する例を説明する。
In the first embodiment described above, the management of the implementation status of information security measures within a certain organization is facilitated. However, the operator instructs the association between existing standards and information security measure related information. It was.
In the present embodiment, an example of supporting the association between information security measure related information and existing standards will be described.
図2は、本実施の形態に係る情報セキュリティ管理装置1の構成例を示す。
図2の構成例では、図1の構成のリスト間関係管理部17の代わりに、分類基準誘導部18を備える。
分類基準誘導部18は、段階的に質問を提示し、オペレータがその質問に回答していくことで、既存の情報セキュリティ管理基準情報(既存基準)と、確認リスト中の確認項目との関連付けをナビゲートする。
つまり、分類基準誘導部18は、情報セキュリティ施策関連情報の関連付けの対象となるセキュリティ管理基準情報を、複数のセキュリティ管理基準情報の中から選択するための質問メッセージを生成し、生成した質問メッセージを入出力部10を介して出力し、質問メッセージに対する応答を入出力部10を介して入力し、質問メッセージと応答とに基づき、情報セキュリティ施策関連情報の関連付けの対象となるセキュリティ管理基準情報を選択する。
なお、本実施の形態では、入出力部10はメッセージ出力部及び応答入力部の例であり、また、分類基準誘導部18は、情報関連付け部の一部を構成する。
FIG. 2 shows a configuration example of the information
In the configuration example of FIG. 2, a classification
The classification
In other words, the classification
In the present embodiment, the input /
分類基準誘導部18は、ガイド項目情報を用いて、質問メッセージを生成する。
ガイド項目情報は、既存の情報セキュリティ管理基準の内容や構成を説明するための情報であって、複数のガイド項目情報が連結している。
ガイド項目情報は、該当する分野、分野内の大分類、大分類を細分化した中分類、中分類を細分化した小分類等のように、それを利用して確認項目情報を登録する管理者が、目的の情報に徐々にフォーカスがあたっていくような階層的な構成を持つものとする。
ガイド項目情報は、次のような要素から構成される。
1)管理者が、登録したい情報セキュリティ施策を情報セキュリティ管理項目に関連付けるために、情報セキュリティ管理装置1側が管理者に確認する質問メッセージ、
2)質問メッセージに回答する際の選択肢、
3)選択肢を各々選択した際に、関連付けられる既存の情報セキュリティ管理基準情報或いは情報セキュリティ管理装置1が次に管理者に提示するガイド項目情報を識別するための情報。
The classification
The guide item information is information for explaining the contents and configuration of the existing information security management standard, and a plurality of guide item information is connected.
Administrators who register the check item information using the guide item information such as the applicable field, the major classification within the field, the middle classification that subdivides the major classification, and the minor classification that subdivides the middle classification. However, it is assumed that the target information has a hierarchical structure that gradually focuses on the information.
The guide item information is composed of the following elements.
1) A question message that the information
2) Options for answering question messages,
3) Information for identifying existing information security management reference information associated with each option, or information for identifying guide item information that the information
ガイド項目情報は、例えば、図16及び図17に示す情報である。
ガイド項目情報800は、例えば、ガイド項目情報の番号801、質問メッセージ802、当該質問メッセージ802に対する選択肢情報803から構成される。
選択肢情報803には、複数の選択肢8031、8032が含まれている。また、選択肢8031、8032には、次項目の情報が含まれており、ある選択肢が管理者により応答された場合は、その選択肢の次項目の欄に示されている番号のガイド項目情報の質問メッセージが管理者に提示される。
例えば、図17において、ガイド項目情報800aの質問メッセージ802a「対象となる情報資産の種類はどれか」が管理者に提示されるとともに、応答の選択肢として、選択肢1(8031a)の「クライアントマシン」や選択肢2(8032a)の「サーバマシン」等が管理者に提示され、管理者が「クライアントマシン」を選択した場合には、選択肢1(8031a)の次項目として示されている番号13に該当するガイド項目情報800bが次に選択される。
そして、質問メッセージ802b「どのフェーズでのマシンの取り扱いに関するものか」が提示され、また、選択肢として「廃棄、初期化後再利用」、「導入時、設置時」等が管理者に提示される。
The guide item information is information shown in FIGS. 16 and 17, for example.
The
The option information 803 includes a plurality of options 8031 and 8032. Further, the options 8031 and 8032 include information on the next item. When an option is answered by the administrator, the question of the guide item information having the number indicated in the column of the next item of the option is displayed. A message is presented to the administrator.
For example, in FIG. 17, the
Then, a
ガイド項目情報800の順序としては、例えば図17に示すように、最初に、ガイド項目として確認対象の情報資産の種類を選択するようにし(クライアントマシン、サーバマシン、ネットワーク機器、測定機器等のH/W、モバイル機器、紙、媒体、オフィス機器、電子データ、人等)、次に各情報資産のライフサイクル中のどのフェーズに関連するかを選択するよう設定し(入手・生成、移動・配送、複製、削除・廃棄、バックアップ、復旧等)、さらに、必要があればそのフェーズの詳細化したものから適切なものを選択(移動・配送の細分化したものとして、持帰りの有無等)していくことが考えられる。
また、最終的にたどり着いたガイド項目情報には、既存の情報セキュリティ管理基準情報のいずれかに関連付けておくこととする。
また、このガイド項目情報は、JIS Q 27002の箇条−セキュリティカテゴリ−管理策−実施の手引という構造に当てはめてみてもよいし、情報セキュリティベンチマーク対策の分類にあてはめてみてもよい。
As the order of the
In addition, the guide item information finally reached is associated with any of the existing information security management standard information.
In addition, this guide item information may be applied to the structure of
次に動作について説明する。
実施の形態1では、既存基準との関連情報は、それを入力する管理者が提供するものとしているが、実施の形態2では、既存基準との関連情報の作成手順を支援する。
具体的には、図25に示すフローに従う。
Next, the operation will be described.
In the first embodiment, the administrator who inputs the related information with the existing standard is provided. In the second embodiment, the procedure for creating the related information with the existing standard is supported.
Specifically, the flow shown in FIG. 25 is followed.
図25において、まず、実施の形態1と同様に、確認リスト管理部16が、入出力部10を介して、オペレータから情報セキュリティ施策関連情報301を入力する(S1031)。
次に、分類基準誘導部18が、ガイド項目情報に示されている質問メッセージと選択肢を入出力部10を介してオペレータに提示する(S1041)。
また、分類基準誘導部18は、入出力部10を介して、オペレータからの応答を取得する(S1042)。
そして、S1042で取得した応答によって、S1031で入力した情報セキュリティ施策関連情報を関連付ける既存基準が特定できた場合(S1043でYES)は、確認リスト管理部16が、その既存基準と情報セキュリティ施策関連情報とを関連付ける既存基準との関係情報302を生成する(S1044)。
一方、既存技術が特定されない場合(S1043でNO)は、分類基準誘導部18は、次のガイド項目情報を検索し、S1041以降の処理を繰り返す。
また、ステップS1044で既存基準との関係情報302が生成された後の動作は図23のS1033〜S1037と同様である(S1045)。
In FIG. 25, first, as in the first embodiment, the confirmation
Next, the classification
Moreover, the classification reference |
If the existing standard that associates the information security measure related information input in S1031 can be specified by the response acquired in S1042 (YES in S1043), the confirmation
On the other hand, when the existing technology is not specified (NO in S1043), the classification
Further, the operation after the
このように、本実施の形態によれば、あるガイド項目を選択すると、結果としてより詳細なガイド項目が提示されるので、管理者の確認項目情報登録時の、既存基準との関連情報を作成する際に、情報セキュリティ管理装置側の提示するガイドに従うだけで適切に作業することができる。
つまり、管理者は、情報セキュリティ管理装置が提示する質問に対して選択肢を回答するだけで、確認項目と既存基準との関連付けを適切に行うことができる。
そして、既存の情報セキュリティ管理基準に対する組織の情報セキュリティ施策の網羅性を確認するために、情報セキュリティ管理項目と個々の情報セキュリティ施策を関連付けるための既存基準との関連情報が容易に作成できることから、実施の形態1で実現した管理負荷軽減をさらに加速させることが可能となる。
As described above, according to the present embodiment, when a certain guide item is selected, a more detailed guide item is presented as a result. Therefore, information related to the existing standard is created when the administrator confirms item information registration. In doing so, it is possible to work properly simply by following the guide presented by the information security management device.
In other words, the administrator can appropriately associate the confirmation item with the existing standard simply by answering options to the question presented by the information security management apparatus.
And in order to confirm the completeness of the organization's information security measures against the existing information security management standards, information related to existing standards for associating information security management items with individual information security measures can be easily created. The management load reduction realized in the first embodiment can be further accelerated.
以上、本実施の形態では、JIS Q 27002に代表される既存の情報セキュリティ管理策集と、個別の情報セキュリティ対策の実施状況を確認するための確認項目との関係を管理する手段として、段階的に質問を提示し、利用者がその質問に回答していくことで、既存の情報セキュリティ管理策集と、確認リスト中の確認項目との関連付けをナビゲートする分類基準誘導部を説明した。
As described above, in the present embodiment, as a means for managing the relationship between the existing information security management measure collection represented by
実施の形態3.
実施の形態2では、既存の情報セキュリティ管理基準と組織の情報セキュリティ施策を関連付けるための情報の作成を支援している。
本実施の形態では、もう一種類の支援の方法として、既存の情報セキュリティ管理基準内で利用されている用語等を検索し、その一致率によって情報同士を関連づけることを支援する例を説明する。
Embodiment 3 FIG.
In the second embodiment, creation of information for associating existing information security management standards with organizational information security measures is supported.
In the present embodiment, as another type of support method, an example will be described in which terms used in existing information security management standards are searched and information is associated with each other based on the matching rate.
図3は、このような場合の、情報セキュリティ管理装置1の構成を示す。
図2の構成に加えて、キーワード抽出部19とキーワードDB36を備える。
キーワード抽出部19は、既存の情報セキュリティ管理基準情報の評価基準に含まれているキーワードと、情報セキュリティ施策関連情報の確認項目に含まれているキーワードをそれぞれ抽出する。
また、キーワードDB36は、既存の情報セキュリティ管理基準情報の評価基準から抽出したキーワードを格納する。
なお、図3では、分類基準誘導部18が示されているが、分類基準誘導部18は省略可能である。
本実施の形態では、キーワード抽出部19は、情報関連付け部の一部を構成する。
FIG. 3 shows the configuration of the information
In addition to the configuration of FIG. 2, a
The
The
In FIG. 3, the classification
In the present embodiment, the
次に、図18を用いて、本実施の形態に係る既存の情報セキュリティ管理基準情報と情報セキュリティ施策関連情報との関連付けの概要を説明する。
既存の情報セキュリティ管理基準情報には、情報セキュリティ対策の実施状況の評価基準が示されており、この評価基準の文章からキーワード抽出部19がキーワードを抽出し、照合用キーワード情報としてキーワードDB36に登録しておく。
そして、情報セキュリティ施策関連情報の確認項目からも同様にしてキーワード抽出部19がキーワードを抽出し、確認リスト管理部16が、確認項目から抽出されたキーワードとキーワードDB36に格納されているキーワードとを比較して、関連付けの候補となる既存基準を抽出し、抽出した既存基準をリストアップして、管理者に提示し、管理者がリストの中から関連付けの対象となる既存基準を選択する。
Next, the outline of the association between the existing information security management standard information and the information security measure related information according to the present embodiment will be described with reference to FIG.
The existing information security management standard information indicates an evaluation standard for the implementation status of information security measures. The
Similarly, the
次に、図26及び図27を参照して、本実施の形態に係る動作を説明する。
図26はキーワード抽出フェーズの動作を示すフローチャートであり、図27は本実施の形態における確認項目情報の生成、格納手順(S103)の詳細を示すフローチャートである。
Next, the operation according to the present embodiment will be described with reference to FIGS.
FIG. 26 is a flowchart showing the operation of the keyword extraction phase, and FIG. 27 is a flowchart showing details of the confirmation item information generation and storage procedure (S103) in this embodiment.
まず、図26の動作を説明する。
キーワード抽出フェーズは、例えば、図22のS102において既存の情報セキュリティ管理基準情報がベースラインリストDB34に格納する際に行われる。
図26において、まず、キーワード抽出部19が、S401において、情報セキュリティ管理基準情報の評価基準の本文中から用語や表現を抽出して、抽出元の情報セキュリティ管理基準情報と対応付けて、照合用キーワード情報としてキーワードDB36に登録する。
キーワード抽出にあたっては、名詞句を自動抽出する。その後、管理者やその他情報セキュリティ有識者が必要に応じて照合用キーワードを修正してもよい。
また、全ての情報セキュリティ管理基準情報の評価基準からキーワード抽出が終わった後、キーワード抽出部19は、再度、各情報セキュリティ管理基準情報の評価基準を入力し、ステップS402において、照合用キーワード情報中のキーワードの出現キーワード数や各キーワードの出現頻度を計測し、ベースライン情報キーワード出現率として、抽出元の情報セキュリティ管理基準情報と対応付けて、ベースラインリストDB34に登録する。
なお、ステップS402の動作を省略してもよい。
First, the operation of FIG. 26 will be described.
The keyword extraction phase is performed, for example, when the existing information security management reference information is stored in the
26, first, in S401, the
When extracting keywords, noun phrases are automatically extracted. Thereafter, the manager and other information security experts may correct the verification keyword as necessary.
Further, after the keyword extraction is completed from the evaluation criteria of all the information security management criteria information, the
Note that the operation in step S402 may be omitted.
ステップS401では、照合用キーワード情報を、登録する情報セキュリティ管理基準から抽出しているが、インターネットや書籍等で公開されている情報セキュリティ用語集等を利用してもよい。この場合は、情報セキュリティ用語集から抽出した照合用キーワード情報に対応する情報セキュリティ管理基準情報(既存基準)を管理者等が指定する。
また、照合用キーワード情報に含まれる用語と、組織内で利用している用語に齟齬がある場合、それらを関連付けておいて、キーワードDB36に登録してもよい。
In step S401, keyword information for collation is extracted from the information security management standard to be registered. However, an information security glossary published on the Internet, books, or the like may be used. In this case, the administrator or the like designates information security management standard information (existing standard) corresponding to the matching keyword information extracted from the information security glossary.
Moreover, when there is a discrepancy between a term included in the keyword information for verification and a term used in the organization, they may be associated with each other and registered in the
次に、図27に示す動作を説明する。
まず、実施の形態1と同様に、確認リスト管理部16が、入出力部10を介して、オペレータから情報セキュリティ施策関連情報301を入力する(S1031)。
次に、キーワード抽出部19が、S1031で入力した情報セキュリティ施策関連情報301の確認項目3011の文章からキーワードを抽出する(S1051)。例えば、確認項目3011の文章に含まれている名詞句を抽出する。
次に、図26で示したステップS402が実施されていれば、キーワード抽出部19は、ステップS402と同様に、確認項目3011の文章に含まれているキーワードに対して、出現キーワード数、出現回数を確認項目キーワード出現率として計測する(S1052)。
次に、確認リスト管理部16が、確認項目3011から抽出されたキーワードとキーワードDB36に格納されている照合用キーワードとを比較し、また、ベースライン情報キーワード出現率及び確認項目キーワード出現率を参酌して、確認項目とキーワードの一致度合いが高い情報セキュリティ管理基準情報(既存基準)を抽出し、抽出した情報セキュリティ管理基準情報を示すリストを生成する(S1053)。
次に、確認リスト管理部16は、入出力部10を介して、情報セキュリティ管理基準情報のリストを管理者に提示する(S1054)。
そして、管理者がリストの中から関連付けの対象となる情報セキュリティ管理基準情報を選択すると、確認リスト管理部16が入出力部10を介して、管理者からの指定を受付け(S1055)、管理者から指定された既存基準と確認項目3011とを関連付ける既存基準との関係情報302を生成する(S1056)。
また、ステップS1056で既存基準との関係情報302が生成された後の動作は図23のS1033〜S1037と同様である(S1057)。
Next, the operation shown in FIG. 27 will be described.
First, as in the first embodiment, the confirmation
Next, the
Next, if step S402 shown in FIG. 26 is performed, the
Next, the confirmation
Next, the confirmation
When the administrator selects information security management reference information to be associated from the list, the confirmation
Further, the operation after the
以上のように、本実施の形態によれば、既存の情報セキュリティ管理基準と、組織の情報セキュリティ施策の各々から情報セキュリティに関連するキーワードを抽出し、その一致率によってそれらの関係を判断できるので、実施の形態1で実現した管理負荷をさらに軽減することが可能となる。 As described above, according to the present embodiment, keywords related to information security can be extracted from each of existing information security management standards and organization information security measures, and the relationship between them can be determined by the matching rate. Thus, the management load realized in the first embodiment can be further reduced.
以上、本実施の形態では、既存の情報セキュリティ管理策集の各対策の内容を示すキーワードと、確認リスト中の確認項目のキーワードをそれぞれ抽出し、そのヒット率で双方を関連付けるキーワード抽出部を説明した。 As described above, in this embodiment, the keyword extracting unit that extracts the keywords indicating the contents of each countermeasure in the existing information security management policy collection and the keywords of the confirmation items in the confirmation list and associates them with the hit rate is described. did.
実施の形態4.
以上の実施の形態では、ある組織内での情報セキュリティ施策の実施状況の管理を容易にするようにしたものだが、次に、情報セキュリティ施策間の関連情報を管理し、回答側の負荷を軽減することを目的とする実施の形態を示す。
Embodiment 4 FIG.
In the above embodiment, management of the implementation status of information security measures within an organization is made easier. Next, related information between information security measures is managed to reduce the burden on the answering side. An embodiment intended to do this will be described.
組織内の情報セキュリティ施策の記述は曖昧なものが多く、誰が何をどうするのかが明記されていないことがある。
また、誰が、情報セキュリティ施策の順守状況を確認するのかについても、曖昧なままであることが多い。
情報セキュリティ施策では、利用者が情報セキュリティ上担う役割によって、確認が必要な事項が異なる場合があり、このような曖昧な記述は、施策の確実な実施を妨げるものとなる。
例えば、指定したOS(Operating System)のパッチ情報がベンダから提示された場合に、規定時間以内にパッチプログラムを適用する、という施策を導入していたとする。この時、ユーザは、自身がパッチプログラムを適用しているか否かを実施状況として報告するが、管理者は、その実施状況をみて、未適用のユーザに対してフォローしたり、適用できない理由があればそれが妥当かどうかを判断したりする、という役割があるとする。
この施策の場合、同じ情報セキュリティ施策に対して、ユーザと管理者で、実施する内容が異なることになる。
There are many vague descriptions of information security measures in the organization, and it may not be clear who will do what.
Also, it is often unclear who will check the status of compliance with information security measures.
In information security measures, matters that need to be confirmed may differ depending on the role that the user plays in information security, and such an ambiguous description hinders reliable implementation of the measures.
For example, it is assumed that a measure has been introduced in which a patch program is applied within a specified time when patch information of a specified OS (Operating System) is presented by a vendor. At this time, the user reports whether or not he / she has applied the patch program as the implementation status, but the administrator sees the implementation status and follows up on unapplied users or why he / she cannot apply it. It is assumed that there is a role of judging whether or not it is appropriate.
In the case of this measure, the content to be implemented differs between the user and the administrator for the same information security measure.
本実施の形態では、「情報セキュリティ施策を指示するにあたって曖昧な文章」とはどのようなものかを事前に定義し、それにマッチした文章が情報セキュリティ施策関連情報に登録されている/されようとしている場合にそれを検出し、より明確な指示や文章になるよう誘導する手段を提供する。 In the present embodiment, it is defined in advance that what is an ambiguous sentence when instructing an information security measure is intended, and a sentence that matches the sentence is registered in information security measure related information. Provide a means to detect when there is, and guide it to clearer instructions and sentences.
図4は、この場合の情報セキュリティ管理装置1の構成を示す。
以上の実施の形態で説明してきた情報セキュリティ管理装置1に対して、図4では、項目間関係管理部20と項目間関係DB37を追加している。
なお、図4では、分類基準誘導部18、キーワード抽出部19及びキーワードDB36が含まれているが、これらは省略してもよい。
FIG. 4 shows the configuration of the information
In contrast to the information
In FIG. 4, the classification
項目間関係管理部20は、情報セキュリティ施策関連情報の確認項目の文章を構文解析し、構文解析の結果に基づき、当該確認項目を詳細化する新たな調査項目の生成が必要であるか否かを判断し、新たな調査項目の生成が必要である場合に、新たな調査項目の生成が必要であることを通知する通知メッセージを生成し、入出力部10を介して通知メッセージを出力する。
また、項目間関係管理部20は、通知メッセージへの管理者からの応答を入出力部10を介して入力し、入力した応答に基づいて、新たな確認項目が示される新たな情報セキュリティ施策関連情報を生成する。項目間関係管理部20は、2つ以上の新たな情報セキュリティ施策関連情を生成することがある。新たな情報セキュリティ施策関連情報は、確認リストDB33に格納される。
また、項目間関係管理部20は、新たな情報セキュリティ施策関連情報と当該新たな情報セキュリティ施策関連情報の生成元となった情報セキュリティ施策関連情報(以下、生成元情報セキュリティ施策関連情報という)との関係が示される項目間関係情報を作成する。
項目間関係管理部20は、調査項目判断部及び調査項目情報生成部の例である。
項目間関係DB37は、項目間関係管理部20により生成された項目間関係情報を格納する。
The inter-item
In addition, the item
In addition, the inter-item
The inter-item
The
また、本実施の形態では、確認リスト管理部16は、項目間関係管理部20により複数の新たな情報セキュリティ施策関連情報が生成された場合に、複数の情報セキュリティ施策関連情報を共通のセキュリティ管理基準情報(既存基準)に関連付ける。
また、確認リスト管理部16は、管理者からの指定に従い、複数の新たな情報セキュリティ施策関連情報の各々に対して、個別に、対象となるユーザ属性を設定する。つまり、新たな情報セキュリティ施策関連情報ごとに異なるユーザ属性を設定することができる。
そして、実施状況入力部14は、実施の形態1と同様に、利用者認証部12により判別されたユーザ属性に一致するユーザ属性が設定されている情報セキュリティ施策関連情報を抽出して、アクセスのあったユーザに確認項目を提示するが、前述したように、新たな情報セキュリティ施策関連情報ごとに異なるユーザ属性が設定される場合があるので、新たな情報セキュリティ施策関連情報ごとに確認項目が提示されるユーザが異なる場合がある。
Further, in the present embodiment, the confirmation
In addition, the confirmation
Then, as in the first embodiment, the implementation
図19を用いて、本実施の形態に係る情報セキュリティ管理装置1の動作の概要を説明する。
例えば、確認項目3011に「ベンダからリリースされたパッチプログラムは、適用が社内でオーソライズされてから、指定期間内に適用する」と記載され、対象となるユーザ属性3014は全従業員となっている情報セキュリティ施策関連情報301(項目1)が存在している。
確認項目3011に示されている内容は、「各一般利用者が、それぞれ自身のコンピュータにパッチプログラムを適用したことを確認する」というステップと、「一般利用者の確認結果から、一般利用者全員のコンピュータでパッチプログラムが適用済みであることを管理者が確認する」というステップの2段階で達成される。
このため、項目間関係管理部20は、情報セキュリティ施策関連情報301(項目1)の確認項目3011に示されている内容が曖昧であり、新たな確認項目の生成が必要と判断し、管理者にその旨を通知する。
そして、管理者からの指示に従って、例えば、一般の従業員を対象とする新たな情報セキュリティ施策関連情報301a(項目1−a)と、部門長/部門内担当者を対象とする新たな情報セキュリティ施策関連情報301b(項目1−b)を生成する。
また、項目間関係管理部20は、管理者からの指示に従って、項目間関係情報371を生成する。
図19の例では、関係1として、項目1は項目1−aと項目1−bに細分化されていることが示されている。また、関係2として、項目1−aの結果が100%ならば、項目1―bはOKであるということが示されている。
また、関係3として、項目1−aの結果が100%未満ならば、項目1―bはNGであるということが示されている。
このような生成元情報セキュリティ施策関連情報、新たな情報セキュリティ施策関連情報の相互間の関係が示される項目間関係情報371は、項目間関係DB37に格納される。
そして、実施状況入力部14は、情報セキュリティ施策関連情報301a(項目1−a)を一般の従業員に提示し、情報セキュリティ施策関連情報301b(項目1−b)を部門長/部門内担当者に提示して、それぞれから確認項目評価結果情報500を取得する。
取得した確認項目評価結果情報500は、項目間関係情報371の関係に従って解析される。
The outline of the operation of the information
For example, the
The contents shown in the
For this reason, the inter-item
Then, according to instructions from the administrator, for example, new information security measure-related
Further, the inter-item
In the example of FIG. 19 , as the
Further, as relation 3, it is indicated that if the result of item 1-a is less than 100%, item 1-b is NG.
The
Then, the implementation
The acquired confirmation item evaluation result
次に、図28を参照して、本実施の形態における確認項目情報の生成、格納手順(S103)の詳細を説明する。 Next, with reference to FIG. 28, details of the procedure for generating and storing confirmation item information (S103) in the present embodiment will be described.
まず、実施の形態1と同様に、確認リスト管理部16が、入出力部10を介して、オペレータから情報セキュリティ施策関連情報301を入力する(S1031)。
次に、項目間関係管理部20が、入力した情報セキュリティ施策関連情報301の確認項目3011の文章の構文解析を行う(S1061)。
そして、項目間関係管理部20は、確認項目3011の文章が曖昧な指示であるか否かを判断する(S1062)。
例えば、項目間関係管理部20は、確認項目3011の文章が以下の条件(1)及び(2)に合致した場合には、「曖昧な指示」と判断する。
(1)人や組織が主語でない。
(2)判断基準が数値化されていない。
First, as in the first embodiment, the confirmation
Next, the inter-item
Then, the inter-item
For example, the inter-item
(1) People and organizations are not the subject.
(2) Judgment criteria are not quantified.
項目間関係管理部20は、確認項目3011の文章が「曖昧な指示」」であると判断した場合(S1062でYES)は、「曖昧な指示」を「明確な指示」にするよう通知する通知メッセージを生成し、入出力部10から通知メッセージを出力する。また、通知メッセージには、例えば、上記の条件(1)及び(2)に該当していることを通知する。
次に、項目間関係管理部20は、入出力部10を介して、管理者から細分化の具体的な内容を入力する(S1064)。
図19の新たな情報セキュリティ施策関連情報301a、301bを生成する場合には、3011a〜3015aの各々に示す情報、3011b〜3015bの各々に示す情報を入力する。
また、項目間関係管理部20は、併せて、項目間関係情報371の具体的内容も管理者より入力する。
そして、項目間関係管理部20は、管理者からの指示に従って、情報セキュリティ施策関連情報301を細分化して、新たな情報セキュリティ施策関連情報301a、301bを生成する(S1065)。
また、項目間関係管理部20は、併せて、管理者からの指示に従って、項目間関係情報371を生成し、項目間関係DB37に格納する。
When the inter-item
Next, the inter-item
When the new information security measure related
In addition, the inter-item
Then, the inter-item
In addition, the inter-item
その後の動作は図23のS1032〜S1037と同様である(S1066)。
但し、S1032において、確認リスト管理部16は、既存基準との関係情報を生成するが、本実施の形態では、生成元情報セキュリティ施策関連情報、新たな情報セキュリティ施策関連情報の各々に共通の既存基準を関連付ける。
Subsequent operations are the same as S1032 to S1037 in FIG. 23 (S1066).
However, in S1032, the confirmation
以上のように、確認項目が細分化されて確認項目情報が作成された後の実施状況確認フェーズは、図24に示した手順に従う。
例えば、利用者αは、一般の利用者であり、情報セキュリティの管理についての役割を割り当てられていないとする。この利用者αが、情報セキュリティ管理装置1にアクセスすると、図24のS203及びS204において、実施状況入力部14が、アクセスのあった利用者αの属性に一致する情報セキュリティ施策関連情報として図19に示した情報セキュリティ施策関連情報301a(項目1−a)を選択して提示する。そして、利用者αは、情報セキュリティ施策関連情報301a(項目1−a)に対する実施状況を入力する。
As described above, the implementation status confirmation phase after the confirmation items are subdivided and the confirmation item information is created follows the procedure shown in FIG.
For example, it is assumed that the user α is a general user and is not assigned a role for information security management. When this user α accesses the information
新たな情報セキュリティ施策関連情報301a(項目1−a)に回答しなければならない利用者が他にもいる場合、情報セキュリティ管理装置1は実施状況管理部15からそれを認識できるので、情報セキュリティに関する管理者の役割をもつ利用者βが情報セキュリティ管理装置1にアクセスした場合、実施状況入力部14はまだ、情報セキュリティ施策関連情報301b(項目1−b)は提示しない。
When there is another user who has to reply to the new information security measure related
そして、全ての一般利用者が情報セキュリティ施策関連情報301a(項目1−a)に対する実施状況を入力すると、実施状況管理部15がそれを検知する。
情報セキュリティに関する管理者の役割をもつ利用者βが情報セキュリティ管理装置1にアクセスすると、実施状況入力部14は利用者βに対し、情報セキュリティ施策関連情報301b(項目1−b)とともに、情報セキュリティ施策関連情報301a(項目1−a)の結果を提示する。
管理者は、この結果から、情報セキュリティ施策関連情報301b(項目1−b)の実施状況を入力する。
この時、管理者は、情報セキュリティ施策関連情報301b(項目1−b)の実施状況を補足する情報として、情報セキュリティ施策関連情報301a(項目1−a)の回答結果、情報セキュリティ施策関連情報301a(項目1−a)の回答結果を示すエビデンス(例えば、各利用者の、情報セキュリティポリシーへのアクセスログ)を、エビデンス情報として添付してもよい。
And if all the general users input the implementation status with respect to the information security measure related
When a user β having the role of an administrator related to information security accesses the information
From this result, the administrator inputs the implementation status of the information security measure
At this time, the administrator supplements the implementation status of the information security measure
以上の説明では、「曖昧な指示」か否かの判断基準として、主語の有無、数値による基準の有無を示したが、判断基準はこれらに限るものではない。
また、「曖昧な指示」か否かの判断基準は、必要に応じて追加・削除することもできる。
In the above description, the presence / absence of a subject and the presence / absence of a numerical criterion are shown as criteria for determining whether or not the instruction is ambiguous. However, the criteria for determination are not limited to these.
In addition, the criterion for determining whether or not it is an “ambiguous instruction” can be added or deleted as necessary.
このように、本実施の形態によれば、確認項目の文章の構文解析を行い、確認項目の内容が曖昧であれば、新たな確認項目を生成し、確認すべき内容をより詳細化することができるので、情報セキュリティ対策の実施状況をより正確かつ効率的に確認、評価することができる。 As described above, according to the present embodiment, the syntax of the confirmation item text is analyzed, and if the content of the confirmation item is ambiguous, a new confirmation item is generated and the content to be confirmed is further detailed. Therefore, the implementation status of information security measures can be confirmed and evaluated more accurately and efficiently.
以上、本実施の形態では、確認項目の内容の曖昧さを検出し、確認項目の詳細化を支援する項目間関係管理部を説明した。 As described above, in the present embodiment, the inter-item relationship management unit that detects the ambiguity of the content of the confirmation item and supports the refinement of the confirmation item has been described.
実施の形態5.
以上の実施の形態では、ある組織内で情報セキュリティ管理装置1を運用する例について説明したが、次に、階層化された組織で情報セキュリティ管理装置1を導入することで、組織全体の情報セキュリティ施策や、ある一部の組織で追加的に行っている情報セキュリティ強化施策などについても一元管理し、管理者の管理負荷及び利用者の実施状況回答負荷を軽減する例を説明する。
Embodiment 5 FIG.
In the above embodiment, an example in which the information
例えば、図20に示すように、組織αでは、組織共通の情報セキュリティ施策群Sが展開されているとする。組織内の下位組織であるサブ組織Aでは、顧客Cの要求によって情報セキュリティ施策群sが導入されている。この場合、施策sは施策Sに反しない施策であり、付加的に追加される施策、または施策Sを強化した施策である。
この時、サブ組織Aでは、施策S+施策sの情報セキュリティ施策群の実施状況について確認する必要がある。
For example, as shown in FIG. 20, it is assumed that a group of information security measures S common to the organization is deployed in the organization α. In the sub-organization A, which is a subordinate organization within the organization, the information security measure group s is introduced at the request of the customer C. In this case, the measure s is a measure that does not violate the measure S, and is a measure that is additionally added or a measure that strengthens the measure S.
At this time, the sub-organization A needs to confirm the implementation status of the information security measure group of measure S + measure s.
図5及び図6は、このような場合に対応するための情報セキュリティ管理装置を示したものである。
図5では、情報セキュリティ管理装置は、組織共通の情報セキュリティ施策群Sを管理する上位情報セキュリティ管理装置1000を示し、図6では、業務上情報セキュリティ施策を追加した下位組織での情報セキュリティ施策群sも合わせて管理する下位情報セキュリティ管理装置1100からなる。
5 and 6 show an information security management apparatus for dealing with such a case.
In FIG. 5, the information security management apparatus shows a higher-level information
上位情報セキュリティ管理装置1000では、これまでの実施の形態で説明した要素に加えて、配付情報抽出部101、装置間情報交換部102、回答情報入手部103を備える。
配付情報抽出部101は、組織全体で実施する情報セキュリティ施策群に関する情報を下位情報セキュリティ管理装置1100に配付するために、装置内のDB群から必要な情報を抽出して配付用情報として構成する。
装置間情報交換部102は、上位と下位の情報セキュリティ管理装置間での情報交換を行う。
回答情報入手部103は、下位情報セキュリティ管理装置1100から入手した共通回答情報を回答結果DB32に登録する。
The higher-level information
The distribution
The inter-device
The response
また、下位情報セキュリティ管理装置1100は、これまでの実施の形態で説明した要素に加えて、装置間情報交換部102、差分情報抽出部104及び差分データベース群111〜115を備える。
装置間情報交換部102は、上位情報セキュリティ管理装置1000の装置間情報交換部102と同様に、上位と下位の情報セキュリティ管理装置間での情報交換を行う。
差分情報抽出部104は、上位情報セキュリティ管理装置1000から配付されてきた配付情報と、現在登録されている情報セキュリティ施策に関する情報の差分を抽出する。
差分データベース群111〜115は、差分情報抽出部104で抽出された差分情報を格納する。
差分データベース群111〜115はデータベース群33〜37に対応しており、差分データベース群111〜115の各データベースは、データベース群33〜37の同じ名称のデータベースに格納される情報と同種の差分情報を格納する。
The lower information
Similar to the inter-device
The difference
The
The
本実施の形態では、このようにして、上位情報セキュリティ管理装置1000と下位情報セキュリティ管理装置1100とを設け、組織全体に関係する情報セキュリティ施策関連情報と、特定のサブ組織に関係する情報セキュリティ施策関連情報とを区別して記憶し、また、組織全体に関係する情報セキュリティ施策関連情報に対しては、組織全体からの確認結果を取得し、特定のサブ組織に関係する情報セキュリティ施策関連情報に対しては、特定のサブ組織からの確認結果を取得するようにしている。
In this embodiment, the upper information
次に、動作について説明する。 Next, the operation will be described.
上位情報セキュリティ管理装置1000内でのベースラインリストDB34、確認リストDB33、キーワードDB36、リスト間関係DB35、項目間関係DB37、環境DB31への登録手順は、実施の形態1〜4に示したものと同様である。
また、下位情報セキュリティ管理装置1100内での環境DB31への登録手順も、実施の形態1〜4で述べた手順と同様である。
The registration procedure to the base
The registration procedure in the
(ステップa−1)上位情報セキュリティ管理装置1000では、図22のS101で示す環境DB31への登録処理に加えて、上位情報セキュリティ管理装置1000から情報を配付する相手となる下位情報セキュリティ管理装置1100を特定するための情報や下位情報セキュリティ管理装置1100の認証情報等を、環境DB31で管理する。
(Step a-1) In the upper information
(ステップa−2)配布情報抽出部101は、上位情報セキュリティ管理装置1000で管理する全情報セキュリティ管理基準情報のうち、下位情報セキュリティ管理装置1100に関連する情報を抽出して、配付情報として作成する。下位情報セキュリティ管理装置1100に関連しない情報は、上記ステップa−1で追加で環境DB31に登録した情報等である。
(Step a-2) The distribution
(ステップa−3)配付情報抽出部101によって作成された配付情報は、装置間情報交換部102を介して、下位情報セキュリティ管理装置1100に届けられる。
この時、装置間情報交換部102は、情報セキュリティ管理装置間で直接通信してもよいし、媒体等を介して配付情報を入出力する機能としてもよい。また、認証情報を利用したより確実な認証機能をあわせて備えてもよい。
(Step a-3) The distribution information created by the distribution
At this time, the inter-device
(ステップa−4)下位情報セキュリティ管理装置1100では、差分情報抽出部104が、装置間情報交換部102によって入手した配付情報から、全情報セキュリティ管理基準情報を構成する各DB33〜37に相当する情報に展開して登録する。
この時、下位情報セキュリティ管理装置1100が初期状態であれば、全ての配付情報は、全情報セキュリティ管理基準情報を構成する各DB33〜37に登録されるが、既に上位情報セキュリティ管理装置1000から配付情報を受け取って、全情報セキュリティ管理基準情報を構成する各DB33〜37に登録されていた場合、差分情報抽出部104は、既存の各DB33〜37の内容と配付情報との差分を抽出し、差分データベース群111〜115に登録する。
(Step a-4) In the lower information
At this time, if the lower information
(ステップa−5)上位情報セキュリティ管理装置1000からの配付情報を受け取った後、下位情報セキュリティ管理装置1100では、上位情報セキュリティ管理装置1000から配付された全情報セキュリティ管理基準情報を元に、下位組織での情報セキュリティ施策群sを追加で登録してもよい。
確認リスト管理部16では、ステップa−4で登録された確認リストを構成する確認項目を管理者に対して提示する。この時、組織内で独自に採用している情報セキュリティ施策があれば、追加情報として登録する。
または、下位組織内での業務にマッチするように、用語を使い分けているようであれば、登録された確認項目に対して、下位組織で利用している情報を補足してもよい。
(Step a-5) After receiving the distribution information from the higher-level information
The
Alternatively, if the term is used properly so as to match the business in the subordinate organization, the information used in the subordinate organization may be supplemented to the registered confirmation item.
(ステップa−6)この時、ステップa−5で登録された情報があれば、差分情報抽出部104は、差分データベース群に登録する。
(Step a-6) At this time, if there is information registered in Step a-5, the difference
次に、下位組織内での実施状況確認フェーズに移る。
下位組織内での実施状況確認フェーズの動作は、図24と同様である。
Next, the process proceeds to the implementation status confirmation phase within the subordinate organization.
The operation in the implementation status confirmation phase in the subordinate organization is the same as in FIG.
実施確認の対象となる全利用者から回答が寄せられた時点で、分析フェーズに移る点も、実施の形態1で示したものと同様である。 The point of moving to the analysis phase when responses are received from all users who are the targets of the implementation confirmation is the same as that described in the first embodiment.
次に、下位情報セキュリティ管理装置1100では、上位情報セキュリティ管理装置1000から配付された配付情報に対して、下位情報セキュリティ管理装置1100の利用者が回答した情報を抽出して、上位に送付するフェーズとなる。
Next, in the lower information
(ステップa−7)下位情報セキュリティ管理装置1100の差分情報抽出部104は、上位情報セキュリティ管理装置1000から配付された配付情報に対する回答情報を、共通回答情報として抽出し、装置間情報交換部102を介して、上位情報セキュリティ管理装置1000に届ける。
(Step a-7) The difference
(ステップa−8)上位情報セキュリティ管理装置1000では、回答情報入手部103が、装置間情報交換部102によって入手した共通回答情報を、回答結果DB32に回答情報として登録する。上位情報セキュリティ管理装置1000の管理者は、必要に応じて、回答結果に対する分析を行う。
(Step a-8) In the higher-level information
このようにすることで、組織共通の情報セキュリティ施策と下位組織内での情報セキュリティ施策が同一でなく、後者が前者を包含している場合でも、組織共通の情報セキュリティ施策の実施状況と、下位組織内独自の情報セキュリティ実施状況を別々に管理することができ、組織で規定した情報セキュリティ施策が適切に実施されていることを確認できる。 By doing this, even if the information security measures common to the organization and the information security measures in the subordinate organizations are not the same, and the latter includes the former, the implementation status of the information security measures common to the organization and the subordinate It is possible to manage the information security implementation status unique in the organization separately, and to confirm that the information security measures prescribed by the organization are properly implemented.
以上、本実施の形態では、組織内の情報セキュリティ施策の実施状況を階層的に管理することを目的とする、上位情報セキュリティ管理装置と下位情報セキュリティ管理装置を説明した。
そして、上位情報セキュリティ管理装置は、以下の手段を備えることを説明した。
配付情報抽出部:組織全体で実施する情報セキュリティ施策群に関する情報を下位情報セキュリティ管理装置に配付するために、装置内のDB群から必要な情報を抽出して配付用情報として構成する。
装置間情報交換部:上位と下位の情報セキュリティ管理装置内での情報交換を行う。
回答情報入手部:下位情報セキュリティ管理装置から入手した共通回答情報を回答結果DBに登録する。
また、下位情報セキュリティ管理装置は、以下の手段を備えることを説明した。
差分情報抽出部:上位情報セキュリティ管理装置から配付されてきた配付情報と、現在登録されている情報セキュリティ施策に関する情報の差分を抽出する。
装置間情報交換部:上位と下位の情報セキュリティ管理装置内での情報交換を行う。
As described above, in the present embodiment, the upper information security management apparatus and the lower information security management apparatus for the purpose of hierarchically managing the implementation status of information security measures in the organization have been described.
The upper information security management apparatus has been described as including the following means.
Distribution information extraction unit: In order to distribute information related to the information security measure group implemented in the entire organization to the lower information security management apparatus, necessary information is extracted from the DB group in the apparatus and configured as distribution information.
Inter-device information exchange unit: Exchanges information between the upper and lower information security management devices.
Answer information obtaining unit: registers common answer information obtained from the lower information security management apparatus in the answer result DB.
Further, it has been described that the lower information security management device includes the following means.
Difference information extraction unit: Extracts the difference between the distribution information distributed from the higher-level information security management device and the information on the currently registered information security measure.
Inter-device information exchange unit: Exchanges information between the upper and lower information security management devices.
最後に、実施の形態1〜5に示した情報セキュリティ管理装置1、上位情報セキュリティ管理装置1000、下位情報セキュリティ管理装置1100(以下、まとめて情報セキュリティ管理装置1等と表記する)のハードウェア構成例について説明する。
図29は、実施の形態1〜5に示す情報セキュリティ管理装置1等のハードウェア資源の一例を示す図である。
なお、図29の構成は、あくまでも情報セキュリティ管理装置1等のハードウェア構成の一例を示すものであり、情報セキュリティ管理装置1等のハードウェア構成は図29に記載の構成に限らず、他の構成であってもよい。
Finally, the hardware configuration of the information
FIG. 29 is a diagram illustrating an example of hardware resources such as the information
29 is merely an example of the hardware configuration of the information
図29において、情報セキュリティ管理装置1等は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
In FIG. 29, the information
The
Further, the
The
A
Further, the
例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されている。
For example, the
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
The
The programs in the
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
The
The
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
情報セキュリティ管理装置1等の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
The
When the information
上記プログラム群923には、実施の形態1〜5の説明において「〜部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
The
ファイル群924には、実施の形態1〜5の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の評価」、「〜の登録」、「〜の設定」、「〜の取得」、「〜の選択」、「〜の認証」、「〜の抽出」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜5で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
In the
The “˜file” and “˜database” are stored in a recording medium such as a disk or a memory. Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the
Information, data, signal values, variable values, and parameters are stored in the main memory, registers, cache memory, and buffers during the CPU operations of extraction, search, reference, comparison, calculation, processing, editing, output, printing, and display. It is temporarily stored in a memory or the like.
In addition, the arrows in the flowcharts described in the first to fifth embodiments mainly indicate input / output of data and signals. The data and signal values are the
また、実施の形態1〜5の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1〜5の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1〜5の「〜部」の手順や方法をコンピュータに実行させるものである。
In addition, what is described as “˜unit” in the description of the first to fifth embodiments may be “˜circuit”, “˜device”, “˜device”, and “˜step”, It may be “˜procedure” or “˜processing”. That is, what is described as “˜unit” may be realized by firmware stored in the
このように、実施の形態1〜5に示す情報セキュリティ管理装置1等は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
As described above, the information
1 情報セキュリティ管理装置、2 利用者、10 入出力部、11 利用者属性管理部、12 利用者認証部、13 実行処理制御部、14 実施状況入力部、15 実施状況管理部、16 確認リスト管理部、17 リスト間関係管理部、18 分類基準誘導部、19 キーワード抽出部、20 項目間関係管理部、31 環境DB、32 回答結果DB、33 確認リストDB、34 ベースラインリストDB、35 リスト間関係DB、36 キーワードDB、37 項目間関係DB 101 配付情報抽出部、102 装置間情報交換部、103 回答情報入手部、104 差分情報抽出部、110 差分データベース群、111 確認リストDB、112 ベースラインリストDB、113 キーワードDB、114 リスト間関係DB、115 項目間関係DB、200 利用者属性情報、300 確認項目情報、301 情報セキュリティ施策関連情報、302 既存基準との関係情報、303 実施状況判断基準情報、304 情報ID、400 リスト間関係情報、500 確認項目評価結果情報、501 確認項目評価結果、502 エビデンス情報、503 情報ID、600 確認項目−結果関係情報、700 分析情報、800 ガイド項目情報、1000 上位情報セキュリティ管理装置、1100 下位情報セキュリティ管理装置。 DESCRIPTION OF SYMBOLS 1 Information security management apparatus, 2 User, 10 Input / output part, 11 User attribute management part, 12 User authentication part, 13 Execution process control part, 14 Implementation status input part, 15 Implementation status management part, 16 Confirmation list management Part, 17 List relation management part, 18 Classification standard guidance part, 19 Keyword extraction part, 20 Item relation management part, 31 Environment DB, 32 Answer result DB, 33 Confirmation list DB, 34 Baseline list DB, 35 Between lists Relationship DB, 36 Keyword DB, 37 Item Relationship DB 101 Distribution Information Extraction Unit, 102 Device Information Exchange Unit, 103 Response Information Acquisition Unit, 104 Difference Information Extraction Unit, 110 Difference Database Group, 111 Confirmation List DB, 112 Baseline List DB, 113 Keyword DB, 114 Inter-list Relationship DB, 115 items Inter-relationship DB, 200 User attribute information, 300 Confirmation item information, 301 Information security measure related information, 302 Relationship information with existing standards, 303 Implementation status criteria information, 304 Information ID, 400 Inter-relationship information, 500 Confirmation items Evaluation result information, 501 confirmation item evaluation result, 502 evidence information, 503 information ID, 600 confirmation item-result relation information, 700 analysis information, 800 guide item information, 1000 upper information security management device, 1100 lower information security management device.
Claims (7)
調査項目情報の調査項目の文章を構文解析し、構文解析の結果に基づき、当該調査項目を詳細化する新たな調査項目の生成が必要であるか否かを判断する調査項目判断部と、
前記調査項目判断部により新たな調査項目の生成が必要であると判断された場合に、新たな調査項目の生成が必要であることを通知する通知メッセージを出力するメッセージ出力部と、
複数の調査項目情報の各々に対して、対象となるユーザ属性を設定する属性設定部と、
アクセスがあった際に、登録されているユーザからのアクセスであるか否かを認証するとともに、登録されているユーザからのアクセスである場合に、アクセスのあったユーザのユーザ属性を判別する認証部と、
前記属性設定部によりユーザ属性が設定された複数の調査項目情報と複数のセキュリティ管理基準情報とを記憶する情報記憶部と、
前記認証部により判別されたユーザ属性に一致するユーザ属性が設定されている調査項目情報を前記情報記憶部から抽出し、抽出した調査項目情報を、アクセスのあったユーザに提示し、提示した調査項目情報に示されている調査項目に対する調査結果を取得し、取得した調査結果を調査項目情報に関連付けて、調査項目情報の調査項目と調査結果とセキュリティ管理基準情報の評価基準とを関連付ける調査結果取得部と、
を有することを特徴とするセキュリティ管理装置。 A survey item information survey items to investigate the implementation of security measures is shown in the text, a specific security management of a plurality of security management standard information criteria for evaluating the implementation of security measures is shown An information association unit associated with the reference information;
A survey item determination unit that parses the survey item text of the survey item information and determines whether it is necessary to generate a new survey item that refines the survey item based on the result of the syntax analysis;
A message output unit that outputs a notification message notifying that generation of a new survey item is necessary when it is determined by the survey item determination unit that generation of a new survey item is necessary;
An attribute setting unit that sets a target user attribute for each of a plurality of survey item information,
Authentication that identifies whether the access is from a registered user when there is an access, and if the access is from a registered user, authenticates the user attributes of the accessed user And
An information storage unit for storing a plurality of pieces of survey item information and a plurality of security management reference information in which user attributes are set by the attribute setting unit ;
The survey item information in which the user attribute that matches the user attribute determined by the authentication unit is extracted from the information storage unit, the extracted survey item information is presented to the accessed user, and the presented survey is presented. Survey results for the survey items indicated in the item information are acquired, the acquired survey results are associated with the survey item information, and the survey items in the survey item information are associated with the survey results and the evaluation criteria for the security management standard information An acquisition unit;
A security management device comprising:
調査項目情報の調査項目の文章に対する構文解析の結果、当該調査項目の文章に主語が示されていない場合及び当該調査項目の文章に数値化された基準が示されていない場合の少なくともいずれかにおいて、新たな調査項目の生成が必要であると判断することを特徴とする請求項1に記載のセキュリティ管理装置。 The survey item determination unit
As a result of syntactic analysis of the survey item text in the survey item information, at least one of the case where the subject is not shown in the text of the survey item and the case where the quantified standard is not shown in the text of the survey item 2. The security management apparatus according to claim 1, wherein it is determined that a new investigation item needs to be generated .
前記メッセージ出力部により出力されたメッセージへの応答を入力する応答入力部と、
前記応答入力部により入力された応答に基づいて、新たな調査項目が示される新たな調査項目情報を生成する調査項目情報生成部とを有し、
前記情報関連付け部は、
前記調査項目情報生成部により新たな調査項目情報が複数生成された場合に、複数の新たな調査項目情報を共通のセキュリティ管理基準情報に関連付けることを特徴とする請求項1又は2に記載のセキュリティ管理装置。 The security management device further includes:
A response input unit for inputting a response to the message output by the message output unit;
A survey item information generating unit that generates new survey item information indicating a new survey item based on the response input by the response input unit;
The information association unit includes:
3. The security according to claim 1 , wherein when a plurality of new survey item information is generated by the survey item information generation unit, the plurality of new survey item information is associated with common security management standard information. Management device.
メッセージを出力するメッセージ出力部と、
前記メッセージ出力部により出力されたメッセージへの応答を入力する応答入力部とを有し、
前記情報関連付け部は、
調査項目情報の関連付けの対象となるセキュリティ管理基準情報を、前記複数のセキュリティ管理基準情報の中から選択するための質問メッセージを生成し、生成した質問メッセージを前記メッセージ出力部を介して出力し、前記質問メッセージに対する応答を前記応答入力部を介して入力し、前記質問メッセージと前記応答とに基づき、調査項目情報の関連付けの対象となるセキュリティ管理基準情報を選択することを特徴とする請求項1から3のいずれかに記載のセキュリティ管理装置。 The security management device further includes:
A message output unit for outputting a message;
A response input unit for inputting a response to the message output by the message output unit,
The information association unit includes:
Generating a question message for selecting the security management standard information to be associated with the survey item information from the plurality of security management standard information, and outputting the generated question message via the message output unit; claim 1 of the response to the inquiry message input through the response input section, based on said response and said inquiry message, and selects the security management reference information to be associated with the study item information 4. The security management device according to any one of items 1 to 3 .
セキュリティ管理基準情報ごとに評価基準に含まれているキーワードを解析し、調査項目情報の調査項目に含まれているキーワードを解析し、評価基準に対するキーワード解析結果及び調査項目に対するキーワード解析結果に基づき、調査項目情報の関連付けの対象となるセキュリティ管理基準情報を選択することを特徴とする請求項1から4のいずれかに記載のセキュリティ管理装置。 The information association unit includes:
Analyze the keywords included in the evaluation criteria for each security management standard information, analyze the keywords included in the survey items of the survey item information, and based on the keyword analysis results for the evaluation criteria and the keyword analysis results for the survey items, The security management apparatus according to any one of claims 1 to 4, wherein security management reference information to be associated with survey item information is selected .
少なくとも1つのサブ組織が含まれる組織におけるセキュリティ対策の実施状況を管理しており、
前記情報記憶部は、
組織全体に関係する調査項目情報と、特定のサブ組織に関係する調査項目情報とを区別して記憶しており、
前記調査結果取得部は、
組織全体に関係する調査項目情報に対しては、組織全体からの調査結果を取得し、特定のサブ組織に関係する調査項目情報に対しては、特定のサブ組織からの調査結果を取得することを特徴とする請求項1〜5のいずれかに記載のセキュリティ管理装置。 The security management device includes:
Manages the implementation status of security measures in an organization that includes at least one sub-organization,
The information storage unit
The survey item information related to the entire organization and the survey item information related to a specific sub-organization are distinguished and stored.
The survey result acquisition unit
For survey item information related to the entire organization, obtain survey results from the entire organization, and for survey item information related to a specific sub-organization, obtain survey results from the specific sub-organization. The security management device according to any one of claims 1 to 5.
調査項目情報の調査項目の文章を構文解析し、構文解析の結果に基づき、当該調査項目を詳細化する新たな調査項目の生成が必要であるか否かを判断する調査項目判断処理と、
前記調査項目判断処理により新たな調査項目の生成が必要であると判断された場合に、新たな調査項目の生成が必要であることを通知する通知メッセージを出力するメッセージ出力処理と、
複数の調査項目情報の各々に対して、対象となるユーザ属性を設定する属性設定処理と、
アクセスがあった際に、登録されているユーザからのアクセスであるか否かを認証するとともに、登録されているユーザからのアクセスである場合に、アクセスのあったユーザのユーザ属性を判別する認証処理と、
前記属性設定処理によりユーザ属性が設定された複数の調査項目情報と複数のセキュリティ管理基準情報とを記憶する情報記憶処理と、
前記認証処理により判別されたユーザ属性に一致するユーザ属性が設定されている、前記情報記憶処理により記憶された調査項目情報を抽出し、抽出した調査項目情報を、アクセスのあったユーザに提示し、提示した調査項目情報に示されている調査項目に対する調査結果を取得し、取得した調査結果を調査項目情報に関連付けて、調査項目情報の調査項目と調査結果とセキュリティ管理基準情報の評価基準とを関連付ける調査結果取得処理と、
をコンピュータに実行させることを特徴とするプログラム。 Specific security management among multiple items of security management standard information indicating the evaluation criteria for evaluating the implementation status of security measures. An information association process associated with the reference information;
Survey item determination processing that parses the survey item text of the survey item information and determines whether it is necessary to generate a new survey item that refines the survey item based on the result of the syntax analysis,
A message output process for outputting a notification message notifying that a new survey item needs to be generated when it is determined that a new survey item needs to be generated by the survey item determination process ;
An attribute setting process for setting a target user attribute for each of a plurality of survey item information,
Authentication that identifies whether the access is from a registered user when there is an access, and if the access is from a registered user, authenticates the user attributes of the accessed user Processing,
An information storage process for storing a plurality of investigation item information and a plurality of security management standard information in which user attributes are set by the attribute setting process ;
The survey item information stored by the information storage process, in which the user attribute matching the user attribute determined by the authentication process is set, is extracted, and the extracted survey item information is presented to the accessed user. Obtain the survey results for the survey items indicated in the presented survey item information, associate the acquired survey results with the survey item information, and check the survey item information survey results, the survey results, and the security management standard information evaluation criteria. A survey result acquisition process to associate
A program that causes a computer to execute.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009005595A JP5419475B2 (en) | 2009-01-14 | 2009-01-14 | Security management apparatus and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009005595A JP5419475B2 (en) | 2009-01-14 | 2009-01-14 | Security management apparatus and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010165099A JP2010165099A (en) | 2010-07-29 |
| JP5419475B2 true JP5419475B2 (en) | 2014-02-19 |
Family
ID=42581220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009005595A Expired - Fee Related JP5419475B2 (en) | 2009-01-14 | 2009-01-14 | Security management apparatus and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5419475B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7026475B2 (en) * | 2017-10-06 | 2022-02-28 | 株式会社野村総合研究所 | Security evaluation system and security evaluation method |
| JP7094836B2 (en) | 2018-08-28 | 2022-07-04 | 株式会社富士通エフサス | Check support device, check support method and check support program |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004295590A (en) * | 2003-03-27 | 2004-10-21 | Nec Corp | Auditing system and method, auditing server and auditing program |
| US8201256B2 (en) * | 2003-03-28 | 2012-06-12 | Trustwave Holdings, Inc. | Methods and systems for assessing and advising on electronic compliance |
| JP2005004549A (en) * | 2003-06-12 | 2005-01-06 | Fuji Electric Holdings Co Ltd | Policy server, its policy setting method, access control method, and program |
| JP4504706B2 (en) * | 2004-03-09 | 2010-07-14 | 株式会社日立製作所 | Integrated system security design method and program thereof |
| JP2006023916A (en) * | 2004-07-07 | 2006-01-26 | Laurel Intelligent Systems Co Ltd | Information protection method, information security management device, information security management system and information security management program |
| JP2008152516A (en) * | 2006-12-18 | 2008-07-03 | Hitachi Electronics Service Co Ltd | It easy interview/diagnostic service providing system |
| JP2008171253A (en) * | 2007-01-12 | 2008-07-24 | Risk Manage Co Ltd | Information security audit system in information security management system |
| JP4630894B2 (en) * | 2007-10-04 | 2011-02-09 | 株式会社東芝 | Security design evaluation support apparatus and program |
-
2009
- 2009-01-14 JP JP2009005595A patent/JP5419475B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010165099A (en) | 2010-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Schuster et al. | The limitations of stylometry for detecting machine-generated fake news | |
| US20210004798A1 (en) | Transaction policy audit | |
| US8127365B1 (en) | Origination-based content protection for computer systems | |
| US8904471B1 (en) | Policy system for E-procurement | |
| US20200201934A1 (en) | Content discovery systems and methods | |
| CN112262388A (en) | Protecting Personal Identity Information (PII) using tagging and persistence of PII | |
| US20080114678A1 (en) | Method and apparatus for remote authorization | |
| CN101826101A (en) | Search engine device and method | |
| US11282078B2 (en) | Transaction auditing using token extraction and model matching | |
| JP2013008121A (en) | Database access management system, method and program | |
| WO2020253068A1 (en) | Shared file security management method and apparatus, terminal and readable storage medium | |
| KR20230043889A (en) | Risk-based biometric identification and authentication using a trusted source for secure access | |
| JP2007048266A (en) | Apparatus, method, and program for tracing audit trail | |
| Pentel | Predicting user age by keystroke dynamics | |
| JP5419475B2 (en) | Security management apparatus and program | |
| US20210398118A1 (en) | Transaction policy audit | |
| US20150051951A1 (en) | Systems and methods for analyzing online surveys and survey creators | |
| US20090287654A1 (en) | Device for identifying electronic file based on assigned identifier | |
| JP2011086130A (en) | Fingerprint authentication system | |
| JP2011191823A (en) | Log management server, log management method and log management program | |
| JP5213758B2 (en) | Information processing apparatus, information processing method, and program | |
| US20210182710A1 (en) | Method and system of user identification by a sequence of opened user interface windows | |
| WO2021140681A1 (en) | Evaluation support system, evaluation support method, and evaluation support program | |
| Dages et al. | Pre‐employment risk screening: Comparability of integrity assessment technology platforms | |
| JP7409735B1 (en) | Operational design document creation device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110928 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130123 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130212 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130326 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130924 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131003 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131022 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131119 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5419475 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |