JP6047463B2 - Evaluation apparatus and method for evaluating security threats - Google Patents
Evaluation apparatus and method for evaluating security threats Download PDFInfo
- Publication number
- JP6047463B2 JP6047463B2 JP2013170899A JP2013170899A JP6047463B2 JP 6047463 B2 JP6047463 B2 JP 6047463B2 JP 2013170899 A JP2013170899 A JP 2013170899A JP 2013170899 A JP2013170899 A JP 2013170899A JP 6047463 B2 JP6047463 B2 JP 6047463B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- threat
- subsystem
- evaluation
- externally connected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011156 evaluation Methods 0.000 title claims description 119
- 238000000034 method Methods 0.000 title claims description 33
- 238000013461 design Methods 0.000 claims description 30
- 239000000284 extract Substances 0.000 claims description 7
- 230000000875 corresponding effect Effects 0.000 claims 2
- 230000002596 correlated effect Effects 0.000 claims 1
- 230000001681 protective effect Effects 0.000 claims 1
- 238000000605 extraction Methods 0.000 description 57
- 238000004364 calculation method Methods 0.000 description 48
- 238000012545 processing Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 16
- 238000012502 risk assessment Methods 0.000 description 13
- 230000008450 motivation Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000001419 dependent effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、車載ネットワークシステムの設計者が、評価対象モデルの定義時に、ツールの入力指示に従ってリスク評価に必要となるデータを、設計書のような客観的に入力可能な情報をもとに定義することにより、分析者の熟練度に依存せずに自動的に脅威のリスク値を算出する装置及び方法に関する。 The present invention defines the data required for risk evaluation according to the input instructions of the tool when the designer of the in-vehicle network system defines the evaluation target model based on information that can be input objectively such as a design document The present invention relates to an apparatus and a method for automatically calculating a risk value of a threat without depending on the skill level of an analyst.
情報システムの分野と同様に、自動車の車載ネットワーク、及び車載ネットワークに接続される電子制御装置の設計において、適切なセキュリティ機能が正しく実装されていることを確認できることが求められている。 Similar to the field of information systems, in the design of an in-vehicle network of an automobile and an electronic control device connected to the in-vehicle network, it is required to be able to confirm that an appropriate security function is correctly implemented.
例えば、情報システムの分野では、セキュリティ製品(ハード/ソフトウェア)およびシステムの開発や製造、運用などに関する国際標準であるISO/IEC15408が、セキュリティ実装の保証レベルを向上させるために活用されている。ISO/IEC15408では、セキュリティ上の脅威に対する分析である脅威分析に基づいたセキュリティ要求仕様を策定し、定められたフォーマットでセキュリティ要求仕様書(ST:Security Target)を作成することが求められる。STでは、システム或いは装置に想定されるセキュリティ上の脅威であるセキュリティ脅威を抽出し、当該脅威に対して技術的あるいは運用的な対策が行われていることを示す必要がある。このような脅威分析では、過不足なくセキュリティ機能を実装することが重要である。このため、抽出されたセキュリティ上の脅威に対してリスク評価を行い、リスクの高い脅威に対して対策を行うことが求められる。 For example, in the field of information systems, ISO / IEC15408, which is an international standard for the development, manufacture, and operation of security products (hardware / software) and systems, is utilized to improve the assurance level of security implementation. In ISO / IEC15408, it is required to formulate a security requirement specification based on threat analysis, which is an analysis for a security threat, and to create a security requirement specification (ST: Security Target) in a predetermined format. In the ST, it is necessary to extract a security threat that is a security threat assumed for the system or apparatus and to indicate that technical or operational measures are being taken against the threat. In such threat analysis, it is important to implement security functions without excess or deficiency. For this reason, it is required to perform risk assessment on the extracted security threats and take measures against high-risk threats.
例えば、脅威のリスクを評価する装置として、特開2009−230278号公報には、予め、ツール開発者が脅威に対して被害の大きさ(機密性、完全性、可用性)を数値化する。そして、脅威リスク評価時に、分析者が脅威の発生確率を数値化し、ツールが抽出した脅威における、「被害の大きさ」と「発生確率」の積を、その脅威の脅威リスク値として算出する技術が開示されている。 For example, as an apparatus for evaluating the risk of a threat, Japanese Patent Application Laid-Open No. 2009-230278 preliminarily quantifies the magnitude of damage (confidentiality, integrity, availability) against a threat by a tool developer. And, when assessing threat risk, the analyst quantifies the probability of occurrence of the threat, and calculates the product of the “damage magnitude” and “occurrence probability” of the threat extracted by the tool as the threat risk value of the threat Is disclosed.
特許文献1に記載されている技術は、実際に運用しているシステム或いは装置のように、発生確率が事前に分かっている場合において、各脅威に対するリスクを求めることができる。しかし、設計時においては、システム或いは装置における脅威の発生確率は分からない。このため、システム或いは装置における脅威の発生確率を数値化するためには、セキュリティに関する知識や経験が必要であり、リスク分析者に高い熟練度が要求されてしまう。
The technique described in
本発明は、以上の問題に鑑みなされたものであり、分析者がリスクの高い脅威を分析者の熟練度に依存せずに判定できることを目的とする。 The present invention has been made in view of the above problems, and an object of the present invention is to enable an analyst to determine a high-risk threat without depending on the skill level of the analyst.
上記目的を達成するために、本発明の一つの観点から、評価対象となるシステムに対するセキュリティ上の脅威を評価する評価装置が提供される。当該評価装置は、システムにおける複数の設計項目に関する設計情報が入力される入力部と、セキュリティ上の脅威に関する複数の評価項目と入力部より入力された複数の設計項目に関する情報とを対応付けて格納する格納部と、複数の設計項目に関する情報に基づいて、システムにおけるセキュリティ上の脅威を抽出し、複数の設計項目に関する情報に対応付けられた評価項目に基づいて、抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、抽出されたシステムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる制御部と、を有する。 In order to achieve the above object, an evaluation apparatus for evaluating a security threat to a system to be evaluated is provided from one aspect of the present invention. The evaluation apparatus stores an input unit that receives design information related to a plurality of design items in the system, a plurality of evaluation items related to security threats, and information related to a plurality of design items input from the input unit in association with each other. Security threats in the system based on information related to multiple design items, and security threats for the extracted threats based on evaluation items associated with information related to multiple design items A control unit that calculates a threat risk value that is a value indicating the magnitude of the threat and displays the threat in the extracted system and the threat risk value for the threat on the display unit.
より好ましくは、入力部に入力されるシステムにおける複数の設計項目に関する情報は、システムにおける評価対象とするサブシステムに関する情報であり、サブシステムに関する情報は、サブシステムの外部接続機器情報、サブシステムの外部接続機器の数を示す外部接続機器数情報、サブシステムと外部接続機器との間の経路種別情報、サブシステムと外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、である。 More preferably, the information related to the plurality of design items in the system input to the input unit is information related to the subsystem to be evaluated in the system, and the information related to the subsystem is information on the externally connected equipment of the subsystem, Information on the number of externally connected devices indicating the number of externally connected devices, path type information between the subsystem and externally connected devices, information on the number of authentications that occur when communicating between the subsystem and externally connected devices, Participant type information that may cause a threat, and protected asset information related to protected assets.
本発明の別の観点によれば、評価対象となるシステムに対するセキュリティ上の脅威を評価する装置における評価方法が提供される。当該評価方法における装置は、システムにおける複数の設計項目に関する設計情報を受け付け、セキュリティ上の脅威に関する複数の評価項目と受け付けた複数の設計項目に関する情報とを対応付け、複数の設計項目に関する情報に基づいて、システムにおけるセキュリティ上の脅威を抽出し、複数の設計項目に関する情報に対応付けられた評価項目に基づいて、抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、抽出されたシステムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる。 According to another aspect of the present invention, an evaluation method in an apparatus for evaluating a security threat to a system to be evaluated is provided. The apparatus in the evaluation method receives design information on a plurality of design items in the system, associates a plurality of evaluation items on security threats with information on the received plurality of design items, and based on information on the plurality of design items System security threats, and based on evaluation items associated with information on multiple design items, a threat risk value is calculated that indicates the size of the security threats for the extracted threats. Then, the threat in the extracted system and the threat risk value for the threat are displayed on the display unit.
より好ましくは、装置が受け付けるシステムにおける複数の設計項目に関する情報は、システムにおける評価対象とするサブシステムに関する情報であり、サブシステムに関する情報は、サブシステムの外部接続機器情報、サブシステムの外部接続機器の数を示す外部接続機器数情報、サブシステムと外部接続機器との間の経路種別情報、サブシステムと外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、である。 More preferably, the information related to the plurality of design items in the system received by the apparatus is information related to the subsystem to be evaluated in the system, and the information related to the subsystem is the externally connected device information of the subsystem and the externally connected device of the subsystem. Number of externally connected devices indicating the number of devices, route type information between subsystems and externally connected devices, information on the number of authentications that occur when communicating between subsystems and externally connected devices, and security threats Information on the type of participant who may be allowed to be protected, and protected asset information related to the protected asset.
本発明によれば、設計書から得られる情報を入力に用いて脅威の抽出、及び、当該脅威のリスク値の算出を行うことができ、分析者に各脅威のリスク値を提示することが可能になる。これにより、分析者のセキュリティに関する知識や経験に依存せずに、脅威リスクを評価できる。 According to the present invention, it is possible to extract threats and calculate risk values of the threats using information obtained from the design document as input, and to present the risk values of each threat to the analyst. become. This makes it possible to evaluate the threat risk without depending on the analyst's security knowledge and experience.
以下、図面を用いて本発明の実施の形態を詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
本実施形態では、本脅威リスク評価支援装置により、設計書或いは周知の情報をもとに共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)を用いたリスク値算出に必要となるデータを入力させ、予め保持するデータと、CVSSを用いたリスク値算出に必要なデータとを関連付けて管理することにより、評価対象における脅威の抽出、及び当該脅威のリスク値を自動的に算出可能な脅威リスク評価支援装置及び方法の例を用いる。ただし、本発明の技術的思想は、この例に限定されるものではない。 In this embodiment, the threat risk assessment support apparatus inputs data necessary for risk value calculation using a common vulnerability assessment system (CVSS: Common Vulnerability Scoring System) based on a design document or known information. , By managing the data held in advance and the data necessary for calculating the risk value using CVSS in association with each other, it is possible to extract the threat in the evaluation target and automatically calculate the risk value of the threat Examples of support devices and methods are used. However, the technical idea of the present invention is not limited to this example.
図1は本発明の実施形態における脅威リスク評価支援装置99の構成を示す。脅威リスク評価支援装置99は、脅威リスク評価支援装置99が入力装置1及び出力装置2と入出力制御部3を介して接続され、入出力制御部3、CPU4、メモリ5、ディスク6がバス7を介して互いに接続されている。入力装置1は、例えばキーボードやマウスやスキャナなどであり、脅威リスク評価支援装置の利用者からの入力を受け付ける。出力装置2は、例えばディスプレイであり、脅威リスク評価支援装置による、途中経過および評価結果を出力する。
FIG. 1 shows the configuration of a threat risk
入出力制御部3は、脅威リスク評価支援装置における入出力を制御する。CPU4は、装置内の各ハードウェアを制御しプログラムを実行する。メモリ5では、評価対象のモデル定義を支援するモデル定義支援部51、評価対象における脅威を抽出する脅威抽出部52、抽出した脅威におけるリスク値を算出する脅威リスク値算出部53、脅威リスク値をもとに優先度を決定する対策優先度判定部54、出力装置に出力する脅威リスク評価結果を作成する脅威リスク評価作成部55、前記入力装置1から入力される要求に応じて出力する脅威リスク評価結果の一覧を並べ替える脅威リスク一覧並べ替え部56が、プログラムとして動作することを想定する。
The input /
ディスク6は、例えばハードディスクドライブなどの不揮発性記憶装置であり、リスク評価手法に依存しないリスク評価非依存情報記憶部61、リスク評価手法に依存するリスク評価依存情報記憶部62、リスク評価手法における判定情報としてリスク評価判定情報記憶部63を備える。
The
リスク評価非依存情報記憶部61では、車載システムにおけるサブシステムの区分を示すサブシステム区分情報611、自動車のライフサイクルの区分を示すライフサイクル区分情報612、自動車の装置やシステムにおける機能安全の基準であるASIL(Automotive Safety Integrity Level)の区分を示すASIL区分情報613、自動車における関与者の区分を示す関与者区分情報614、関与者と、ライフサイクルと、動機とを関連付けた関与者・ライフサイクル・動機対応情報615、資産の種類と対応する脅威を関連付けた資産種別・脅威対応情報616、脅威事象を導くために、脅威の種類と、脅威内容と、影響範囲と、起こりえるライフサイクルを関連付けた脅威一覧情報617、脅威と当該脅威のリスク値を保持する脅威リスク値情報618を保持する。
In the risk evaluation independent
前記リスク評価依存情報記憶部62では、リスク値算出手法の要件に合わせた入力用テーブルを保持する。例えば、CVSSを用いる場合では、攻撃対象に対する攻撃経路の区分を示す経路区分情報6211、評価対象における機密性への影響度を示す機密性への影響度情報6212、評価対象におけるサブシステムの詳細情報を示すサブシステム詳細情報6213、評価対象と繋がる外部接続機器を示す外部接続機器情報6214、外部接続機器を利用する関与者を示す関与者詳細情報6215、攻撃対象と通信する内部接続機器を示す内部接続機器情報6216、攻撃対象における保護資産を示す保護資産情報6217を保持する。
The risk evaluation dependence
前記リスク評価判定情報記憶部63では、リスク値算出手法の一覧としてリスク値算出手法一覧情報631、リスク評価手法を用いたリスク値算出に用いる判定情報として例えばCVSS判定情報631を保持する。
The risk evaluation determination information storage unit 63 holds risk value calculation
図2に、リスク評価非依存情報記憶部61に保持されているサブシステム区分情報611、図3にライフサイクル区分情報612、図4にASIL区分情報623のテーブル構成の一例を示す。
FIG. 2 shows an example of the table configuration of the
モデル定義支援部51は、評価対象におけるサブシステムを選択する際、サブシステム区分情報611を参照して選択項目としてサブシステム名6112を出力装置2に表示するとともに、入力装置1を用いて追加されたサブシステムをサブシステム区分情報611に追加する。S−ID6111は、サブシステムを識別するための固有値である。サブシステム名6112は、サブシステムの名称である。有効判定6113は、S−ID6111のサブシステムがモデルに含まれるかどうかを示す。例えば、S−ID6111のサブシステムがモデルに含まれる場合は、「○」とし、S−ID6111のサブシステムがモデルに含まれない場合は、「×」としてもよい。車載システムとサブシステムとしては、GW(GateWay)、情報系サブシステム、エンジン駆動系サブシステム、ボディ系サブシステム、シャーシ系サブシステムなどがある。
When selecting a subsystem in the evaluation target, the model
モデル定義支援部51は、保護資産情報6217における保護期間62176の選択の際、ライフサイクル区分情報612を保護期間の選択項目として参照する。L−ID6121は、ライフサイクルを識別するための固有値である。ライフサイクル名6122は、自動車におけるライフサイクルの名称である。
When selecting the
モデル定義支援部51は、サブシステムにおけるASIL値を入力する際、ASIL区分情報613を参照して選択項目として出力装置2に表示する。ASIL−ID6131は、ASILの区分を識別するための固有値である。ASIL値6132は、自動車におけるASIL値の区分である。
When inputting the ASIL value in the subsystem, the model
図5に、リスク評価非依存情報記憶部61に保持されている、関与者区分情報614、図6に関与者・ライフサイクル・動機対応情報615のテーブル構成の一例を示す。
FIG. 5 shows an example of the table configuration of the
モデル定義支援部51は、関与者詳細情報6215における関与者区分を選択する際、関与者区分情報615を参照して選択項目として出力装置2に表示するとともに、入力装置1を用いて選択された関与者を関与者区分62152に登録する。W−ID6141は、関与者を識別するための固有値である。
When selecting the participant classification in the participant
モデル定義支援部51は、関与者詳細情報を入力する際、関与者とそれに対応する攻撃タイミングの選択項目としてライフサイクル種別6152を参照して出力装置2に表示し、脅威抽出部52は、脅威を抽出する際、関与者に対応する動機を動機6153から抽出する。関与者種別6151は、関与者を識別する固有値であり、関与者区分情報614におけるW−ID6141を参照することで、関与者名を特定できる。ライフサイクル種別6152は、関与者種別6151が示す関与者に関連するライフサイクルである。動機6153は、関与者種別6151が示す関与者が関連する動機である。
When inputting the participant detailed information, the model
図7に、リスク評価非依存情報記憶部61に保持されている資産種別・脅威対応情報616、図8に脅威一覧情報617、図9に脅威リスク値情報618のテーブル構成の一例を示す。
FIG. 7 shows an example of the table configuration of the asset type /
脅威抽出部52は、資産種別・脅威対応情報616を参照し、保護資産の種別に応じて、対応する脅威を抽出する。資産種別6161は、保護資産の資産種別である。脅威6162は、資産種別6161に対して発生しうる脅威である。なお、本テーブルは一例であり、資産種別や脅威の項目についてはこの限りではない。
The
脅威抽出部52は、資産種別・脅威対応情報616における脅威6162を選択し、その脅威に対応する影響範囲、影響内容を抽出する。脅威6171は、脅威の一覧である。影響範囲6172は、脅威6171の影響が自信のみか、通信先にも影響するかを示すものである。影響内容6173は、脅威6171が発生した場合の影響内容である。ライフサイクル6174は、脅威6171が発生するタイミングである。
The
対策優先度判定部54は、脅威リスク値情報618を参照して対策優先度の高い脅威を抽出する。T−ID6181は、脅威事象を識別するための固有値である。脅威事象6182は、脅威抽出部52が抽出した脅威事象である。リスク値6183は、脅威事象6182に対する脅威リスク値である。S−ID6184は、脅威事象6182において攻撃対象となるサブシステムのS−IDであり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。E−ID6185は、脅威事象6182において攻撃元である外部接続機器のE−IDであり、外部接続機器情報6214を参照することで外部接続機器名を特定できる。P−ID6186は、脅威事象6182において守るべき保護資産のP−IDであり、保護資産情報6217を参照することで保護資産名を特定できる。脅威種別6187は、脅威事象6182における脅威の脅威種別である。
The countermeasure
図10に、リスク評価依存情報記憶部62に保持されている経路区分情報6211、図11に機密性への影響度情報6212、図12にサブシステム詳細情報6213、図13に外部接続機器情報6214のテーブル構成の一例を示す。
FIG. 10 shows
モデル定義支援部51は、外部接続機器の経路区分を登録させる際、経路区分情報6211を参照して選択項目として出力装置2に表示する。R−ID62111は、経路区分を識別するための固有値である。経路62112は、経路として、ローカル、隣接、ネットワークを示すものである。例えば、自動車の車載ネットワークに直接接する場合をローカルとし、近距離通信を用いて接続する場合を隣接とし、インターネットや携帯通信網のように遠距離からの通信を用いて接続する場合をネットワークとして区別する。なお、経路の区別については一例であり、これに限定するものではない。
When registering the route classification of the external device, the model
モデル定義支援部51は、保護資産情報の機密性への影響度を登録させる際、機密性への影響度情報6212を参照して選択項目として出力装置2に表示する。C−ID62121は、機密性への影響度を識別するための固有値である。影響度62122は、保護資産が与える機密性への影響度の区分である。例えば、資産価値に応じて、対象外、部分的、全面的と分類してもよい。
When registering the degree of influence of protected asset information on confidentiality, the model
モデル定義支援部51は、評価対象となる自動車のサブシステムに関する詳細情報をサブシステム詳細情報6213に格納する。また、脅威リスク値計算部53は、リスク値算出時において、サブシステム詳細情報6213に格納された外部接続数62132、ASIL値62135を利用する。なお、外部接続数62132、ASIL値62135を利用したリスク値算出方法については後述する。S−ID62131は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。外部接続数62132は、S−ID62131が示すサブシステムに対して接続可能な外部接続機器の数である。内部接続数62133は、S−ID62131が示すサブシステムと通信が発生する内部接続機器の数である。保護資産数62134は、S−ID62131が示すサブシステムにおける保護資産の数である。ASIL値62135は、S−ID62131が示すサブシステムに定められたASIL値を示すものであり、ASIL区分情報613をもとに選択されたASIL−IDを保持する。
The model
デル定義支援部51は、サブシステム詳細情報6213に登録された外部接続数62132に応じて、外部接続機器情報6214を登録する。また、脅威リスク値計算部53は、リスク値算出時において、外部接続機器情報6214に格納された経路区分62144、認証回数62145を利用する。なお、経路区分62144、認証回数62145を利用したリスク値算出方法については後述する。S−ID62141は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。E−ID62142は、S−ID62141に対する外部接続機器を識別する固有値である。外部接続機器名62143は、E−ID62142に対応する外部接続機器の名称である。経路区分62144は、E−ID62142に対応する外部接続機器の経路区分を示すものであり、経路区分情報6211をもとに選択されたR−ID62111を保持する。認証回数62145は、E−ID62142の外部接続機器が、対応するS−ID62141と通信する際に発生する認証回数である。関与者数62145は、E−ID62142の外部接続機器を用いて、対応するS−ID62141のサブシステムと通信を行う関与者種別の数である。
The Dell
図14に、リスク評価依存情報記憶部62に保持されている関与者詳細情報6215、図15に内部接続機器情報6216、図16に保護資産情報6217のテーブル構成の一例を示す。
FIG. 14 shows an example of the table configuration of the participant detailed
モデル定義支援部51は、外部接続機器情報6214に登録された関与者数に応じて、関与者詳細情報6215を登録する。また、脅威抽出部52は、脅威を抽出する際、エントリポイントとなる外部接続機器と、それに対応する関与者及び攻撃タイミングを関与者詳細情報6215から抽出する。E−ID62151は、外部接続機器を識別するための固有値であり、外部接続機器情報6214を参照することで、外部接続機器名を特定できる。関与者区分62152は、E−ID62151に対応する外部接続機器を利用する関与者であり、関与者区分情報614を参照することで関与者名を特定できる。攻撃タイミング62153は、関与者区分62152に対応する関与者がE−ID62151をエントリポイントとして攻撃するタイミングを示すものであり、ライフサイクル区分情報612を参照することで、ライフサイクル名を特定できる。
The model
モデル定義支援部51は、サブシステム詳細情報6213に登録された内部接続数62133に応じて、内部接続機器情報6216を登録する。また、脅威リスク値計算部53は、リスク値算出時において、内部接続機器情報6216に格納された認証回数62164を利用する。なお、認証回数62164を利用したリスク値算出方法については後述する。S−ID62161は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。I−ID62162は、内部接続機器を識別するための固有値である。内部接続機器62163は、S−ID62161に該当するサブシステムが通信を行うサブシステムであり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。認証回数62164は、S−ID62161に該当するサブシステムが、内部接続機器62163と通信を行う際に要求される認証回数である。
The model
モデル定義支援部51は、サブシステム詳細情報6213に登録された保護資産数62134に応じて、保護資産情報6217を登録する。脅威抽出部52は、脅威を抽出する際、保護資産情報6217に格納された保護資産名62173、資産種別62174、保護機関62176を利用する。また、脅威リスク値計算部53は、リスク値算出時において、保護資産情報6217に格納された機密性への影響度62175、データフロー62177を利用する。なお、保護資産名62173、資産種別62174、保護機関62176を利用する脅威抽出方法、及び機密性への影響度62175、データフロー62177を利用したリスク値算出方法については後述する。S−ID62171は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。P−ID62172は、保護資産を識別するための固有値である。保護資産名62173は、S−ID62171における保護資産である。資産種別62174は、P−ID62172に対応する保護資産名62173の資産種別である。機密性への影響度62175は、P−ID62172に対応する保護資産名62173の機密性への影響度であり、機密性への影響度情報6212をもとに選択されたC−IDを保持する。保護期間62176は、P−ID62172に対応する保護資産名62173の保護期間であり、ライフサイクル区分情報612を参照することで、ライフサイクル名を特定できる。データフロー62177は、P−ID62172に対応する保護資産名62173のサブシステム間におけるデータフローを示すものであり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。
The model
図17に、リスク評価判定情報記憶部63に保持されているリスク値算出手法一覧情報631、図18にCVSS判定情報632のテーブル構成の一例を示す。
FIG. 17 shows an example of a table configuration of risk value calculation
モデル定義支援部51は、リスク値算出手法一覧情報631を参照し、判定手法を選択項目として出力装置2に表示するとともに、入力装置1を用いた入力をもとにモデル定義における入力項目を変更する。手法名6311は、リスク値を算出する手法の名称である。参照情報6312は、手法名6311に応じて参照すべき具体的な判定情報である。
The model
脅威リスク値計算部53は、CVSS判定情報632を参照して脅威のリスク値を算出する。パラメータ6321は、CVSSの基本値を求めるために必要となる6つの項目である。区分6322は、パラメータ6321ごとに参照すべきレンジを示すものである。判定値6323は、パラメータ6321における区分6322に設けられている値を示すものである。
The threat risk
図19は、モデルの定義から、脅威事象の抽出、脅威リスク値の算出、対策優先度の判定、脅威リスク値一覧の出力までの本実施例における全体の概要処理フローを示す。 FIG. 19 shows an overall outline processing flow in this embodiment from model definition to threat event extraction, threat risk value calculation, countermeasure priority determination, and threat risk value list output.
ステップ511では、モデル定義支援部51は、出力装置2にリスク評価手法選択画面を表示し、入力装置1を用いてリスク評価手法が選択された場合は、ステップ512に進み、リスク評価手法が選択されていない場合は、ステップ511のまま処理を待つ。
In
ステップ512では、モデル定義支援部51は、上記ステップ511で選択されたリスク値算出手法一覧情報631の手法名6311に応じた入力項目を表示し、リスク評価非依存情報記憶部61とリスク評価依存情報記憶部62で予め保持されている情報をもとに、入力装置1を介して入力された情報をサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納することで、評価対象のモデルを定義する。
In
ステップ521では、脅威抽出部52はリスク評価非依存情報記憶部61とリスク評価依存情報記憶部62で予め保持されている情報と、上記ステップ512でサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納された情報をもとに脅威を抽出し、脅威リスク値情報618における脅威事象6182に登録する。
In
ステップ531では、脅威リスク値計算部53は、脅威事象6182から上記ステップ521で抽出した各脅威を取得し、上記ステップ512でサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納された情報をもとに各脅威のリスク値を算出し、リスク値6183に登録する。
In
ステップ541では、対策優先度判定部54はリスク値6183をもとに優先度を算出し、脅威リスク値情報618に登録する。例えば、脅威リスク値情報618をリスク値の高い脅威事象から並べて優先度を順位付けしてもよいし、他の方法を用いてもよい。なお、対策優先度判定部54は上記ステップ521で脅威事象が抽出されていない場合は、本対策優先度判定処理を実行しない。
In
ステップ551では、脅威リスク評価作成部55は、上記ステップ541で優先度付けされて脅威及びリスク値を脅威リスク値情報618から取得し、出力装置2に表示する。例えば、優先度の高い順番に出力装置2に表示してもよい。また、CSV形式のファイルとして出力してもよい。なお、脅威リスク評価作成部54は上記ステップ521で脅威事象が抽出されていない場合は、本脅威リスク評価結果出力処理を実行しない。
In step 551, the threat risk
以上のステップにより、本脅威リスク評価支援装置は、対策優先度の高い脅威リスクを分析者に提示できる。 Through the above steps, the threat risk evaluation support apparatus can present a threat risk with a high countermeasure priority to the analyst.
図20は、上記ステップ512において、リスク判定手法の一例としてCVSSを選択した場合のモデル定義処理の概要処理フローを示す。
FIG. 20 shows an outline process flow of the model definition process when CVSS is selected as an example of the risk determination method in
ステップ5121では、モデル定義支援部51はサブシステム追加削除画面を表示する。
In
ステップ5122では、モデル定義支援部51は上記ステップ5121において、サブシステムの追加或いは削除が選択された場合は、ステップ5123に進み、サブシステムの追加或いは削除が選択されなかった場合は、ステップ5124に進む。
In
ステップ5123では、モデル定義支援部51は上記ステップ5122で選択或いは追加されたサブシステムをもとに、サブシステム区分情報611のS−ID6111とサブシステム名6112を追加、及び有効判定6113を有効化させる。
In
ステップ5124では、モデル定義支援部51はサブシステムに対するパラメータ情報登録画面を出力装置2に表示する。
In step 5124, the model
ステップ5125では、モデル定義支援部51は上記ステップ5124で入力装置2を用いてパラメータ情報を登録するサブシステムが選択された場合は、ステップ5125に進み、入力装置1を介して入力される情報をサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納する。一方、モデル定義支援部51は上記ステップ5124で入力装置2を用いてパラメータ情報を登録するサブシステムが選択されていない場合、ステップ5125のまま処理を待つ。
In
ステップ5126では、モデル定義支援部51はすべてのサブシステムのパラメータ情報登録処理が完了している場合、本処理を終了し、パラメータ情報登録処理が済んでいないサブシステムがある場合、ステップ5125に進む。
In step 5126, the model
以上のステップにより、モデル定義支援部51は、評価対象のモデルを定義することができる。
Through the above steps, the model
図21は、上記ステップ5125において、サブシステムに対するパラメータ情報登録の概要処理フローを示す。
FIG. 21 shows an outline processing flow of parameter information registration for the subsystem in
ステップ51251では、モデル定義支援部51は入力装置1を用いて入力されたサブシステムに対する外部接続機器数をサブシステム詳細情報6213の外部接続数62132として登録する。
In step 51251, the model
ステップ51252では、モデル定義支援部51は上記ステップ51251で入力された外部接続機器数に応じて、入力装置1を用いて外部接続機器の詳細な情報として、外部接続機器名62143、経路区分62144、認証回数62145、関与者種別数62145に登録する。ここで、経路区分62144は、経路区分情報6211をもとに選択項目を出力装置1に表示し、入力装置1を用いて選択させてもよい。
In step 51252, the model
ステップ51253では、モデル定義支援部51は上記ステップ51252で入力された関与者種別数に応じて、入力装置1を用いて外部接続機器における関与者の詳細な情報として、関与者区分62152、攻撃タイミング62153を登録する。関与者区分62152は、関与者区分情報614をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。攻撃タイミング62153は、関与者・ライフサイクル・動機対応情報615をもとに、関与者種別6151に対応するライフサイクル種別6152に該当するライフサイクルを選択項目として出力装置2に表示し、入力装置1を用いて選択させてもよい。
In
ステップ51254では、モデル定義支援部51は入力装置1を用いて、サブシステムが通信を行う内部接続機器の数をサブシステム詳細情報6213の内部接続数62133に登録する。
In
ステップ51255では、モデル定義支援部51は上記ステップ51254で入力された内部接続機器数に応じて、入力装置1を用いて内部接続機器の詳細な情報として、内部接続機器62163、認証回数62164を登録する。ここで、内部接続機器62163は、サブシステム区分情報611をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。
In
ステップ51256では、モデル定義支援部51は入力装置1を用いて、サブシステムにおける保護資産の数をサブシステム詳細情報6213の保護資産数62134に登録する。
In step 51256, the model
ステップ51257では、モデル定義支援部51は上記ステップ51256で入力された保護資産数に応じて、入力装置1を用いて保護資産の詳細な情報として、保護資産名62173、資産種別62174、機密性への影響度62175、保護期間62176、データフロー62177を登録する。資産種別62174は資産種別・脅威対応情報616の資産種別6161をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。機密性への影響度62175は、機密性への影響度情報6212をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。保護期間62176は、ライフサイクル区分情報612をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。データフロー62177は、サブシステム区分情報611をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。
In
ステップ51258では、モデル定義支援部51は入力装置1を用いて、サブシステムに定められているASILの値をASIL値62135に登録する。ここで、ASIL値62135は、ASIL区分情報613をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。
In
ステップ51259では、モデル定義支援部51は上記ステップ51251からす轍鮒51258までの処理においてパラメータの登録が完了したサブシステムを示す活性化画面を表示する。
In
以上のステップにより、上記ステップ5125において選択したサブシステムに対するパラメータ情報を登録できる。
Through the above steps, parameter information for the subsystem selected in
図22は、上記ステップ521において、評価対象における脅威事象抽出の概要処理フローを示す。
FIG. 22 shows an outline processing flow of threat event extraction in the evaluation target in the
ステップ52101では、脅威抽出部52はサブシステム区分情報611からサブシステム名6122を取得する。
In
ステップ52102では、脅威抽出部52は上記ステップ52101でサブシステム区分情報611のサブシステム名が存在する場合、ステップ52103に進み、サブシステム区分情報611のサブシステム名が存在しない場合、本処理を終了する。
In
ステップ52103では、脅威抽出部52は評価対象における攻撃対象として、サブシステム区分情報611の選択されていないサブシステム名6122を取得する。例えば、脅威抽出部52はサブシステム名6122の総数を取得するとともに、カウンタを用いてサブシステム名6122が選択される度にカウンタの値をアップさせ、上記サブシステム名6122の総数及び上記カウンタ値をメモリで保持し、順番にサブシステム名6122を取得することで、選択されていないサブシステム6122を取得してもよい。
In
ステップ52104では、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する外部接続機器として、サブシステム区分情報611のS−ID6111をもとに、外部接続機器情報6214のS−ID62141に対応する選択されていない外部接続機器名62143を取得する。例えば、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する外部接続機器名62143の総数を取得するとともに、カウンタを用いて外部接続機器名62143が選択される度にカウンタの値をアップさせ、上記外部接続機器名62143の総数及び上記カウンタ値をメモリで保持し、順番に外部接続機器名62143を取得することで、選択されていない外部接続機器名62143を取得してもよい。
In
ステップ52105では、脅威抽出部52は上記ステップ52104で取得した外部接続機器に関連する関与者として、外部接続機器情報6214のE−ID62141をもとに、関与者詳細情報6215のE−ID62151に対応する選択されていない関与者区分62152を参照し、関与者区分情報614から関与者名6142を取得する。例えば、脅威抽出部52は上記ステップ52104で取得した外部接続機器に対応する関与者名6142の総数を取得するとともに、カウンタを用いて関与者名6142が選択される度にカウンタの値をアップさせ、上記関与者名6142の総数及び上記カウンタ値をメモリで保持し、順番に関与者名6142を取得することで、選択されていない関与者名6142を取得してもよい。
In
ステップ52106では、脅威抽出部52は上記ステップ52105で取得した関与者の攻撃タイミングとして、関与者詳細情報6215の関与者区分62152をもとに、選択されていない攻撃タイミング62153を参照し、ライフサイクル区分情報612のライフサイクル名6122を取得する。例えば、脅威抽出部52は上記ステップ52105で取得した関与者に対応する攻撃タイミング62153の総数を取得するとともに、カウンタを用いて攻撃タイミング62153が選択される度にカウンタの値をアップさせ、上記攻撃タイミング62153の総数及び上記カウンタ値をメモリで保持し、順番に攻撃タイミング62153を取得することで、選択されていない攻撃タイミング62153を取得してもよい。
In step 52106, the
ステップ52107では、脅威抽出部52は上記52105で取得した関与者の動機として、関与者詳細情報6215の関与者区分62152をもとに、関与者・ライフサイクル・動機対応情報615の関与者種別6151を参照し、選択されていない動機6153を取得する。例えば、脅威抽出部52は上記ステップ52105で取得した関与者に対応する動機6153の総数を取得するとともに、カウンタを用いて動機6153が選択される度にカウンタの値をアップさせ、上記動機6153の総数及び上記カウンタ値をメモリで保持し、順番に動機6153を取得することで、選択されていない動機6153を取得してもよい。
In
ステップ52108では、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する保護資産として、サブシステム区分情報611のS−ID6111をもとに、保護資産情報6217のS−ID62171に対応する選択されていない保護資産名62173を取得する。例えば、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する保護資産名62173の総数を取得するとともに、カウンタを用いて保護資産名62173が選択される度にカウンタの値をアップさせ、上記保護資産名62173の総数及び上記カウンタ値をメモリで保持し、順番に保護資産名62173を取得することで、選択されていない保護資産名62173を取得してもよい。
In
ステップ52109では、脅威抽出部52は上記ステップ52108で取得した保護資産に対応する脅威として、保護資産名62173の資産種別62174をもとに、資産種別・脅威対応情報616の資産種別6161に対応する選択されていない脅威6162を取得する。例えば、脅威抽出部52は上記ステップ52108で取得した保護資産に対応する脅威6162の総数を取得するとともに、カウンタを用いて脅威6162が選択される度にカウンタの値をアップさせ、上記脅威6162の総数及び上記カウンタ値をメモリで保持し、順番に脅威6162を取得することで、選択されていない脅威6162を取得してもよい。
In step 52109, the
テップ52110では、脅威抽出部52は上記ステップ52109で取得した脅威に対応する影響内容として、脅威一覧情報617の脅威6171に対応する影響内容6173を取得する。例えば、脅威抽出部52は上記ステップ52109で取得した脅威に対応する影響内容6173の総数を取得するとともに、カウンタを用いて影響内容6173が選択される度にカウンタの値をアップさせ、上記影響内容6173の総数及び上記カウンタ値をメモリで保持し、順番に影響内容6173を取得することで、選択されていない影響内容6173を取得してもよい。
In
ステップ52111では、脅威抽出部52は上記ステップ52106で取得した攻撃タイミングが上記ステップ52110で取得した影響内容に対応するライフサイクル6174に存在する場合、ステップ52112に進み、上記ステップ52106で取得した攻撃タイミングが上記ステップ52110で取得した影響内容に対応するライフサイクル6174に存在しない場合、ステップ52113に進む。
In step 52111, when the attack timing acquired in step 52106 exists in the
ステップ52112では、脅威抽出部52は上記ステップ52103からステップ52110で取得した、攻撃対象、外部接続機器、関与者、攻撃タイミング、動機、保護資産、脅威、影響内容を、脅威事象6182に登録する。例えば、「攻撃対象」に対して、「関与者」が、「攻撃タイミング」時に、「動機」で、「外部接続機器」経由で、「保護資産」を「脅威」することにより、「脅威内容」。という文章を作成し、脅威事象6182に登録してもよい。また、脅威抽出部52は攻撃対象を識別するS−ID、外部接続機器を識別するE−ID、保護資産を識別するP−IDを、S−ID6184、E−ID6185、P−ID6186に登録する。
In
ステップ52113では、脅威抽出部52は上記ステップ52110でメモリに保持している影響内容6173の総数とカウンタの値を比較する。脅威抽出部52は、影響内容6173の総数とカウンタの値が等しい場合、カウンタの値を消去し、ステップ52114に進み、影響内容6173の総数とカウンタの値が等しくない場合、上記ステップ52110に進む。
In step 52113, the
ステップ52114では、脅威抽出部52は上記ステップ52109でメモリに保持している脅威6162の総数とカウンタ値を比較する。脅威抽出部52は、脅威6162の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52115に進み、脅威6162の総数とカウンタ値が等しくない場合、上記ステップ52109に進む。
In
ステップ52115では、脅威抽出部52は上記ステップ52108でメモリに保持している保護資産名62173の総数とカウンタ値を比較する。脅威抽出部52は、保護資産名62173の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52116に進み、保護資産名62173の総数とカウンタ値が等しくない場合、上記ステップ52108に進む。
In
ステップ52116では、脅威抽出部52は上記ステップ52107でメモリに保持している動機6153の総数とカウンタ値を比較する。脅威抽出部52は、動機6153の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52117に進み、動機6153の総数とカウンタ値が等しくない場合、上記ステップ52107に進む。
In step 52116, the
ステップ52117では、脅威抽出部52は上記ステップ52106でメモリに保持している攻撃タイミング62153の総数とカウンタ値を比較する。脅威抽出部52は、攻撃タイミング62153の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52118に進み、攻撃タイミング62153の総数とカウンタ値が等しくない場合、上記ステップ52106に進む。
In step 52117, the
ステップ52118では、脅威抽出部52は上記ステップ52105でメモリに保持している関与者名6142の総数とカウンタ値を比較する。脅威抽出部52は、関与者名6142の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52119に進み、関与者名6142の総数とカウンタ値が等しくない場合、上記ステップ52105に進む。
In step 52118, the
ステップ52119では、脅威抽出部52は上記ステップ52104でメモリに保持している外部接続機器名62143の総数とカウンタ値を比較する。脅威抽出部52は、外部接続機器名62143の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52120に進み、外部接続機器名62143の総数とカウンタ値が等しくない場合、上記ステップ52104に進む。
In
ステップ52120では、脅威抽出部52は上記ステップ52103でメモリに保持しているサブシステム名6122の総数とカウンタ値を比較する。脅威抽出部52は、サブシステム名6122の総数とカウンタ値が等しい場合、カウンタの値を消去し、本処理を終了し、サブシステム名6122の総数とカウンタ値が等しくない場合、上記ステップ52103に進む。
In
以上のステップにより、上記ステップ521において、評価対象における脅威事象を抽出できる。
Through the above steps, threat events in the evaluation target can be extracted in
図23は、上記ステップ531において、抽出した脅威事象のリスク値算出の概要処理フローを示す。
FIG. 23 shows an outline processing flow for calculating the risk value of the threat event extracted in
ステップ5310では、脅威リスク値計算部53は上記ステップ521で抽出した脅威事象6182の中から、リスク値が算出されていない脅威事象のS−ID6184、E−ID6185、P−ID6186、脅威種別6187を取得する。
In step 5310, the threat risk
ステップ5311では、脅威リスク値計算部53は上記ステップ5310で脅威事象6182に脅威事象のS−ID6184、E−ID6185、P−ID6186、脅威種別6187が格納されている場合、ステップ5312に進み、脅威事象6182に脅威事象のS−ID6184、E−ID6185、P−ID6186、脅威種別6187が格納されていない場合、本処理を終了する。
In
ステップ5312では、脅威リスク値計算部53は上記ステップ5310で取得したE−ID6185に対応する経路区分62144を取得し、CVSS判定情報632のパラメータ6321のAVにおける区分6322を参照し、その判定値6323を取得する。
In
ステップ5313では、脅威リスク値計算部53は上記ステップ5310で取得したS−ID6184における外部接続数62132と、評価対象における外部接続機器数の総数とを比較して攻撃条件の複雑さを算出する。例えば、外部接続機器の総数を「n」、「Y1 = n/3」、「Y2 = 2Y1」とし、外部接続数62132がY1より小さい場合は「高」、外部接続数62132がY1以上Y2より小さい場合は「中」、外部接続数62132がY2以上の場合は「低」とし、CVSS判定情報632のパラメータ6321のACにおける区分6322を参照し、その判定値6323を取得する。
In
ステップ5314では、脅威リスク値計算部53は上記ステップ5312で取得したE−ID6185に対応する認証回数62145と、上記ステップ5310で取得したS−ID6184に対応する内部接続機器62163の中から最小値となる認証回数62164との合計値を「m」とし、mが0の場合は「不要」、mが1の場合は「単一」、mが2以上の場合は「複数」とし、CVSS判定情報632のパラメータ6321のAuにおける区分6322を参照し、その判定値6323を取得する。
In
ステップ5315では、脅威リスク値計算部53は上記ステップ5310で取得した脅威種別6187に応じて、「C:機密性への影響度」、「I:完全性への影響度」、「A:可用性への影響度」の算出方法を変更し、その判定値6323を取得する。
In
ステップ5316では、脅威リスク値計算部53は上記ステップ5312からステップ5315で取得した判定値6323をCVSSの基本値算出計算式に代入し、その計算結果をリスク値6183として登録する。
In
ステップ5317では、脅威リスク値計算部53は上記ステップ5310からステップ5316で、すべての脅威事象6182におけるリスク値6183を算出している場合、本処理を終了し、上記ステップ5310からステップ5316で、すべての脅威事象6182におけるリスク値6183を算出していない場合、ステップ5310に進む。
In
以上のステップにより、上記ステップ531において、抽出した脅威事象のリスク値を算出できる。
Through the above steps, the risk value of the threat event extracted in
図24は、上記ステップ5315において、脅威種別6187に応じて、「C:機密性への影響度」、「I:完全性への影響度」、「A:可用性への影響度」を算出する概要処理フローを示す。
FIG. 24 calculates “C: influence on confidentiality”, “I: influence on integrity”, and “A: influence on availability” in
ステップ531501では、脅威リスク値計算部53は上記ステップ5310で取得した脅威種別6187が「参照」の場合、ステップ531502に進み、脅威種別6187が「改ざん」、或いは「削除」、或いは「実行」の場合、ステップ531505に進み、脅威種別6187が「通信妨害」の場合、ステップ531509に進む。
In step 531501, if the threat type 6187 acquired in step 5310 is “reference”, the threat risk
ステップ531502では、脅威リスク値計算部53は完全性への影響度、及び可用性への影響度を「0」とする。
In
ステップ531503では、脅威リスク値計算部53は上記ステップ5310で取得したP−ID6186の機密性への影響度62175を取得する。
In step 531503, the threat risk
ステップ531504では、脅威リスク値計算部53は上記ステップ531504で取得した機密性への影響度62175をもとに、CVSS判定情報632のパラメータ6321のCにおける区分6322を参照し、その判定値6323を取得する。
In
ステップ531505では、脅威リスク値算出部53は機密性への影響度を「0」とする。
In step 531505, the threat risk
ステップ531506では、脅威リスク値計算部53は上記ステップ5310で取得したP−ID6186のデータフロー62177として格納されているS−ID62131を取得する。
In
ステップ531507では、脅威リスク値計算部53は上記ステップ531507で取得したS−ID62131の中から、最も高いASIL値62135を取得する。
In
ステップ531508では、脅威リスク値計算部53は上記ステップ531507で取得した最も高いASIL値62135をもとに、CVSS判定情報632のパラメータ6321のIとAにおける区分6322をそれぞれ参照し、その判定値6323をそれぞれ取得する。
In step 531508, the threat risk
ステップ531509では、脅威リスク値計算部53は機密性への影響度、及び完全性への影響度を「0」とする。
In
ステップ531510では、脅威リスク値計算部53は上記ステップ5310で取得したS−ID6184をもとに、対応するASIL値62135を取得する。
In
ステップ531511では、脅威リスク値計算部53は上記ステップ531510で取得したASIL値62135をもとに、CVSS判定情報632のパラメータ6321のAにおける区分6322を参照し、その判定値6323を取得する。
In
以上のステップにより、上記ステップ5315において、脅威種別6187に応じて、「C:機密性への影響度」、「I:完全性への影響度」、「A:可用性への影響度」を算出できる。
Through the above steps, in
図25に、上記ステップ511で表示されるリスク評価手法選択画面、図26に、上記ステップ5121で表示されるサブシステム変更画面、図27に、上記ステップ5124で表示されるサブシステムのパラメータ情報登録画面の一例を示す。
FIG. 25 shows a risk evaluation method selection screen displayed in
図25では、モデル定義支援部51は、利用するリスク評価手法を選択させる(ステップ511)。例えば、リスク値算出手法一覧情報631の手法名6311をもとに、リスク評価手法51002をプルダウン形式で選択させてもよい。選択完了後、次へボタン51001を押下することで図26の画面に遷移する。
In FIG. 25, the model
図26では、モデル定義支援部51は、評価対象となるサブシステムを選択または追加させる(ステップ5121)。例えば、サブシステム区分情報611のサブシステム名6112をもとに、サブシステムの選択項目51004をラジオボックス形式で選択させてもよい。モデル定義支援部51は、欄追加ボタン51005が押下された場合、入力装置1を用いてサブシステムを入力させるとともに、サブシステム区分情報611に登録する。戻るボタン51003を押下する場合、図25の画面を表示し、次へボタン51006を押下する場合、図27の画面を表示する。
In FIG. 26, the model
図27では、モデル定義支援部51は、上記ステップ5121で選択或いは追加されたサブシステムを非活性化状態で出力装置2に表示し、詳細なパラメータ情報を入力するサブシステムを選択させる(ステップ5124)。例えば、サブシステムとして情報系サブシステムオブジェクト51007を押下させ、図28の画面をポップアップ形式で表示してもよい。なお、戻るボタン51006を押下する場合、図26の画面に戻る。
In FIG. 27, the model
図28に、上記ステップ51251で表示される外部接続機器数登録画面、図29に、上記ステップ51252で表示される外部接続機器詳細情報登録画面、図30に、上記ステップ5163で表示される関与者詳細情報登録画面の一例を示す。 FIG. 28 shows the externally connected device number registration screen displayed in step 51251, FIG. 29 shows the externally connected device detailed information registration screen displayed in step 51252, and FIG. 30 shows the participants displayed in step 5163. An example of a detailed information registration screen is shown.
図28では、モデル定義支援部51は外部接続機器数を登録させる(ステップ51251)。例えば、外部接続機器数51009のように選択ボタンを用いて加算或いは減算させてもよいし、入力装置1を用いて直接入力してもよい。なお、戻るボタン51008を押下する場合は、ポップアップ画面を閉じて図27の画面に戻り、次へボタン51010を押下する場合は、図29の画面を表示する。
In FIG. 28, the model
図29では、モデル定義支援部51は外部接続機器の詳細な情報を入力させる(ステップ51252)。例えば、名称51012は入力装置1を用いて直接入力させてもよく、経路区分51013は経路区分情報6211の経路62112をもとにプルダウン形式で選択させてもよく、認証回数51014と関与者種別数51015は選択ボタンを用いて加算或いは減算させてもよい。
In FIG. 29, the model
次へボタン51017を押下するとき、入力対象となる外部接続機器51016がすべて入力済みの場合は、図30の画面を表示し、入力対象となる外部接続機器51016がすべて入力済みでない場合は、入力していない外部接続機器51016にカーソルを合わせて、上記と同様に入力項目51012から入力項目51015を入力させる画面を表示する。
When the
戻るボタン51011を押下するとき、入力対象となる外部接続機器51016が一つも入力済みでない場合、或いは入力対象となる外部接続機器51016が一つだけの場合は、図28の画面を表示し、入力対象となる外部接続機器51016が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている外部接続機器51016から、一つ前の外部接続機器51016にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示する。
When the
図30では、モデル定義支援部51は関与者の詳細な情報を入力させる(ステップ51253)。例えば、関与者名51019は外部接続機器に対応する関与者区分62152をもとに関与者名6142をプルダウン形式で選択させてもよく、攻撃タイミング51020は当該関与者区分62152の攻撃タイミング62153を選択項目としてラジオボタン形式で選択させてもよい。次へボタン51022を押下するとき、入力対象となる関与者51021がすべて入力済みの場合は、図31の画面を表示し、入力対象となる関与者51021がすべて入力済みでない場合は、入力していない関与者51021にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示し、戻るボタン51018を押下するとき、入力対象となる関与者51021が一つも入力済みでない場合、或いは入力対象となる関与者51021が一つだけの場合は、図29の画面を表示し、入力対象となる関与者51021が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている関与者51021から、一つ前の関与者51021にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示する。
In FIG. 30, the model
図31に、上記ステップ51254で表示される内部接続機器数登録画面、図32に、上記ステップ51255で表示される内部接続機器詳細情報登録画面の一例を示す。
FIG. 31 shows an example of the internal connection device number registration screen displayed in
図31では、モデル定義支援部51は内部接続機器数を入力させる(ステップ51254)。例えば、内部接続機器数51024は選択ボタンを用いて加算或いは減算させてもよい。戻るボタン51023を押下する場合は、図30の画面に戻り、次へボタン51025を押下する場合は、図32の画面を表示する。
In FIG. 31, the model
図32では、モデル定義支援部51は内部接続機器の詳細な情報を入力させる(ステップ51255)。例えば、名称51027はサブシステム区分情報611のサブシステム名6112をもとにプルダウン形式で選択させてもよく、認証回数51028は選択ボタンを用いて加算或いは減算させてもよい。次へボタン51030を押下するとき、入力対象となる内部接続機器51029がすべて入力済みの場合は、図33の画面を表示し、入力対象となる内部接続機器51029がすべて入力済みでない場合は、入力していない内部接続機器51029にカーソルを合わせて、上記と同様に入力項目51027、及び入力項目51028を入力させる画面を表示し、戻るボタン51026を押下するとき、入力対象となる内部接続機器51029が一つも入力済みでない場合、或いは入力対象となる内部接続機器51029が一つだけの場合は、図31の画面を表示し、入力対象となる内部接続機器51029が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている内部接続機器51029から、一つ前の内部接続機器51029にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示する。
図33に、上記ステップ51256で表示される保護資産数登録画面、図34に、上記ステップ51257で表示される保護資産詳細情報登録画面、図35に、上記ステップ5168で表示されるASIL情報登録画面の一例を示す。
In FIG. 32, the model
FIG. 33 shows the protected asset number registration screen displayed in step 51256, FIG. 34 shows the protected asset detailed information registration screen displayed in
図33では、モデル定義支援部51は保護資産数を登録させる(ステップ51256)。例えば、保護資産数51032は選択ボタンを用いて加算或いは減算させてもよい。戻るボタン51031を押下する場合は、図32の画面に戻り、次へボタン51033を押下する場合は、図34の画面を表示する。
In FIG. 33, the model
図34では、モデル定義支援部51は保護資産の詳細な情報を入力させる(ステップ51257)。例えば、資産名51035は入力装置1を用いて直接入力させてもよく、資産種別51036は資産種別・脅威対応情報616の資産種別6161をもとにプルダウン形式で選択させてもよく、影響度(機密性)51037は機密性への影響度情報6212の影響度62122をもとにプルダウン形式で選択させてもよく、攻撃タイミング51038はライフサイクル区分情報612のライフサイクル名6122をもとにチェックボックス形式で選択させてもよく、データフロー51039はサブシステム区分情報611のサブシステム名6112をもとにプルダウン形式で選択させてもよい。欄追加ボタン51040を押下すると、データフロー51039の入力項目を追加する。次へボタン51042を押下するとき、入力対象となる保護資産51041がすべて入力済みの場合は、図35の画面を表示し、入力対象となる保護資産51041がすべて入力済みでない場合は、入力していない保護資産51041にカーソルを合わせて、上記と同様に入力項目51035から入力項目51040を入力させる画面を表示し、戻るボタン51034を押下するとき、入力対象となる保護資産51041が一つも入力済みでない場合、或いは入力対象となる保護資産51041が一つだけの場合は、図33の画面を表示し、入力対象となる保護資産51041が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている保護資産51041から、一つ前の保護資産51041にカーソルを合わせて、上記と同様に入力項目51035から入力項目51040を入力させる画面を表示する。
In FIG. 34, the model
図35では、モデル定義支援部51はASIL値を入力させる(ステップ51258)。例えば、ASIL区分情報613のASIL値6132をもとにプルダウン形式で選択させてもよい。戻るボタン51043を押下する場合は、図34の画面に戻り、完了ボタン51045を押下する場合は、ポップアップとして表示されている同画面を閉じる。
In FIG. 35, the model
図36に、上記ステップ51259で表示される登録済みサブシステムの活性化画面、図37に、上記ステップ521で表示される脅威リスク評価実行画面の一例を示す。なお、図36及び図37は、上記ステップ5125から上記ステップ5126をもとに図27の表示内容が更新されたものである。
FIG. 36 shows an example of the registered subsystem activation screen displayed in
図36では、モデル定義支援部51は上記ステップ5125で選択したサブシステムオブジェクト51048に対して、上記ステップ51251からステップ51258で入力したパラメータをもとに経路線51046や外部接続機器オブジェクト51047を追加するとともに、当該サブシステムオブジェクト51048を活性化して表示する(ステップ51259)。
In FIG. 36, the model
図37では、脅威抽出部52は脅威リスク評価として、脅威事象の抽出及び脅威リスク値の算出を実行する画面を表示する(ステップ521)。ここで、リスク評価ボタン51049を押下すると、上記ステップ521から上記ステップ541までの処理を実行する。
In FIG. 37, the
図38に、上記ステップ551で表示される脅威リスク評価結果画面の一例を示す。 FIG. 38 shows an example of the threat risk evaluation result screen displayed in step 551 above.
図38では、脅威抽出部52は上記ステップ511からステップ541までの処理における脅威リスク評価の結果として、脅威事象、リスク値、優先度を画面に表示する(ステップ551)。例えば、脅威リスク評価結果51051として、上記ステップ541で優先度付けされた、脅威リスク値情報618の脅威及びリスク値を表形式で表示してもよい。このとき、表示項目51050では、評価対象全体、及びサブシステム区分情報611のサブシステム名6112をもとにプルダウン形式で表示方法を選択させ、評価対象全体の脅威リスク評価結果を表示してもよいし、各サブシステムにおける脅威リスク評価結果を表示してもよい。
In FIG. 38, the
以上により、本脅威リスク評価支援装置は、分析者のセキュリティに関する知識や経験に依存せずに、評価対象における脅威の抽出、及び当該脅威のリスク値を自動的に算出し、分析者に各脅威のリスク値を提示できる。 As described above, this threat risk evaluation support device automatically extracts threats in the evaluation target and automatically calculates the risk value of the threat without depending on the security knowledge and experience of the analyst, and sends each threat to the analyst. Risk value can be presented.
なお、本実施例では車載ネットワークを対象に説明しているが、本脅威リスク評価支援装置はこれに限定するものではなく、制御系システムや情報系システムを対象にした脅威リスク評価にも適用可能である。 Although this embodiment is described for an in-vehicle network, this threat risk assessment support device is not limited to this, and can also be applied to threat risk assessment for control systems and information systems. It is.
1 入力装置
2 出力装置
3 入出力制御部
4 CPU
5 メモリ
6 ディスク
7 バス
1
5
Claims (10)
前記システムにおける複数の設計項目に関する設計情報であって、前記複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報である設計情報が入力される入力部と、
セキュリティ上の脅威に関する複数の評価項目と前記入力部より入力された、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報からなる前記サブシステムに関する情報とを対応付けて格納する格納部であって、前記外部接続機器数情報を前記サブシステムの識別情報と対応付けて、前記経路種別情報を前記サブシステムの識別情報と前記外部接続機器の識別情報と対応付けて、前記認証回数情報を前記サブシステムの識別情報と前記内部接続機器の識別情報と対応付けて格納する格納部と、
当該評価装置が取得したサブシステムの識別情報、外部接続機器の識別情報および内部接続機器の識別情報のそれぞれに対応する外部接続機器数、経路種別情報および認証回数情報を、前記格納部から検索し、検索された前記外部接続機器数、経路種別情報および認証回数情報に基づいて、前記システムにおけるセキュリティ上の脅威を抽出し、
前記複数の設計項目に関する情報に対応付けられた前記評価項目に基づいて、前記抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、
前記抽出された前記システムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる制御部と、
を有することを特徴とする評価装置。 An evaluation device for evaluating a security threat to a system to be evaluated,
Design information on a plurality of design items in the system, wherein the information on the plurality of design items is an input unit to which design information that is information on a subsystem to be evaluated in the system is input,
A plurality of evaluation items related to security threats, information on the number of externally connected devices input from the input unit, and the number of externally connected devices in the subsystem, and path type information between the subsystem and the externally connected devices A storage unit that associates and stores information related to the subsystem including authentication count information generated when communicating between the subsystem and the externally connected device, the externally connected device number information being Associating with the identification information of the subsystem, associating the path type information with the identification information of the subsystem and the identification information of the externally connected device, and associating the authentication count information with the identification information of the subsystem and the internally connecting device. A storage unit for storing the identification information in association with each other,
The storage unit retrieves the number of externally connected devices, path type information, and authentication count information corresponding to each of the subsystem identification information, the externally connected device identification information, and the internally connected device identification information acquired by the evaluation apparatus. , Based on the searched number of externally connected devices, path type information and authentication count information , to extract security threats in the system,
Based on the evaluation items associated with the information on the plurality of design items, a threat risk value that is a value indicating the size of the security threat with respect to the extracted threat is calculated,
A control unit that causes a display unit to display a threat in the extracted system and a threat risk value for the threat;
The evaluation apparatus characterized by having.
前記制御部は、前記表示部にセキュリティ上の脅威を評価する複数種類の評価手法に関する情報を表示させ、前記入力部に入力される前記評価手法の種類に応じて前記表示部に表示させる前記設計項目に関する情報を決定する、ことを特徴とする評価装置。 The evaluation device according to claim 1,
The control unit displays information on a plurality of types of evaluation methods for evaluating security threats on the display unit, and displays the information on the display unit according to the type of the evaluation method input to the input unit. An evaluation apparatus characterized by determining information on an item.
セキュリティ上の脅威を評価する手法として、CVSS(Common Vulnerability Scoring System)を用いることを特徴とする評価装置。 The evaluation device according to claim 1,
An evaluation apparatus using CVSS (Common Vulnerability Scoring System) as a technique for evaluating a security threat.
前記サブシステムに関する情報には、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報がさらに含まれることを特徴とする評価装置。 The evaluation device according to claim 1,
The information about the previous SL subsystem participants type information that might cause a security threat, and the evaluation device, characterized that you protect asset information protected assets is further included.
前記格納部は、前記関与者種別情報とセキュリティ上の脅威を発生させる動機に関する動機情報とが対応付けられた第一の対応情報と、前記保護資産情報と脅威の種別に関する脅威種別情報とが対応付けられた第二の対応情報と、前記脅威種別情報と脅威の影響範囲を示す脅威影響範囲情報と脅威の内容を示す脅威内容情報とが対応付けられた第三の対応情報と、を格納し、
前記制御部は、前記第一の対応情報と前記第二の対応情報と前記第三の対応情報と入力部より入力された前記設計情報とに基づいて、前記サブシステムにおける脅威を抽出する、ことを特徴とする評価装置。 The evaluation device according to claim 4,
The storage unit corresponds to first correspondence information in which the participant type information is associated with motive information relating to a motive for generating a security threat, and the protected asset information and threat type information relating to a threat type are associated with each other. Second correspondence information attached, and third correspondence information in which the threat type information, threat influence range information indicating a threat influence range, and threat content information indicating a threat content are associated with each other. ,
The control unit extracts a threat in the subsystem based on the first correspondence information, the second correspondence information, the third correspondence information, and the design information input from the input unit; An evaluation apparatus characterized by.
前記装置は、
前記システムにおける複数の設計項目に関する設計情報であって、前記複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報である設計情報を受け付け、
セキュリティ上の脅威に関する複数の評価項目と前記受け付けた、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報からなる前記サブシステムに関する情報とを対応付け、前記外部接続機器数情報を前記サブシステムの識別情報と対応付けて、前記経路種別情報を前記サブシステムの識別情報と前記外部接続機器の識別情報と対応付けて、前記認証回数情報を前記サブシステムの識別情報と前記内部接続機器の識別情報と対応付けて前記装置の格納部に格納し、
当該評価装置が取得したサブシステムの識別情報、外部接続機器の識別情報および内部接続機器の識別情報のそれぞれに対応する外部接続機器数、経路種別情報および認証回数情報を、前記格納部から検索し、検索された前記外部接続機器数、経路種別情報および認証回数情報に基づいて、前記システムにおけるセキュリティ上の脅威を抽出し、
前記複数の設計項目に関する情報に対応付けられた前記評価項目に基づいて、前記抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、
前記抽出された前記システムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる、ことを有することを特徴とする評価方法。 An evaluation method in an apparatus for evaluating a security threat to a system to be evaluated,
The device is
Design information on a plurality of design items in the system, wherein the information on the plurality of design items accepts design information that is information on a subsystem to be evaluated in the system ,
A plurality of evaluation items related to security threats, the received number of externally connected devices indicating the number of externally connected devices of the subsystem, path type information between the subsystem and the externally connected devices, and the subsystem And the information related to the subsystem consisting of the authentication count information generated when communicating with the externally connected device , the externally connected device number information is correlated with the identification information of the subsystem, and the route The storage unit of the apparatus associates the type information with the identification information of the subsystem and the identification information of the externally connected device, and associates the authentication count information with the identification information of the subsystem and the identification information of the internally connected device. Stored in
The storage unit retrieves the number of externally connected devices, path type information, and authentication count information corresponding to each of the subsystem identification information, the externally connected device identification information, and the internally connected device identification information acquired by the evaluation apparatus. , Based on the searched number of externally connected devices, path type information and authentication count information , to extract security threats in the system,
Based on the evaluation items associated with the information on the plurality of design items, a threat risk value that is a value indicating the size of the security threat with respect to the extracted threat is calculated,
An evaluation method comprising: displaying the extracted threat in the system and a threat risk value for the threat on a display unit.
前記装置は、前記表示部にセキュリティ上の脅威を評価する複数種類の評価手法に関する情報を表示させ、前記評価手法を示す評価手法情報を受け付け、
受け付けた前記評価手法情報が示す前記評価手法の種類に応じて前記表示部に表示させる前記設計項目に関する情報を決定する、ことを特徴とする評価方法。 The evaluation method according to claim 6 , wherein
The apparatus displays information on a plurality of types of evaluation methods for evaluating security threats on the display unit, accepts evaluation method information indicating the evaluation method,
The evaluation method characterized by determining the information regarding the said design item displayed on the said display part according to the kind of the said evaluation method which the said evaluation method information received has received.
セキュリティ上の脅威を評価する手法として、CVSS(Common Vulnerability Scoring System)を用いることを特徴とする評価方法。 The evaluation method according to claim 6 , wherein
An evaluation method characterized by using CVSS (Common Vulnerability Scoring System) as a technique for evaluating a security threat.
前記サブシステムに関する情報には、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報がさらに含まれることを特徴とする評価方法。 The evaluation method according to claim 6 , wherein
The information about the previous SL subsystem participants type information that might cause a security threat, and the evaluation method, wherein a protective asset information protected assets is further included.
前記装置は、前記関与者種別情報とセキュリティ上の脅威を発生させる動機に関する動機情報とが対応付けられた第一の対応情報と、前記保護資産情報と脅威の種別に関する脅威種別情報とが対応付けられた第二の対応情報と、前記脅威種別情報と脅威の影響範囲を示す脅威影響範囲情報と脅威の内容を示す脅威内容情報とが対応付けられた第三の対応情報と、を格納し、
前記第一の対応情報と前記第二の対応情報と前記第三の対応情報と入力部より入力された前記設計情報とに基づいて、前記サブシステムにおける脅威を抽出する、ことを特徴とする評価方法。 The evaluation method according to claim 9 , comprising:
The apparatus associates first correspondence information in which the participant type information and motive information on a motive for generating a security threat are associated with each other, and the protected asset information and the threat type information on a threat type. Second correspondence information, and third correspondence information in which the threat type information, the threat influence range information indicating the threat influence range, and the threat content information indicating the threat content are associated with each other, and
Evaluation based on the first correspondence information, the second correspondence information, the third correspondence information, and the design information input from the input unit, to extract a threat in the subsystem. Method.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013170899A JP6047463B2 (en) | 2013-08-21 | 2013-08-21 | Evaluation apparatus and method for evaluating security threats |
PCT/JP2014/070298 WO2015025694A1 (en) | 2013-08-21 | 2014-08-01 | Scoring device and method for scoring security threat |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013170899A JP6047463B2 (en) | 2013-08-21 | 2013-08-21 | Evaluation apparatus and method for evaluating security threats |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015041167A JP2015041167A (en) | 2015-03-02 |
JP6047463B2 true JP6047463B2 (en) | 2016-12-21 |
Family
ID=52483475
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013170899A Active JP6047463B2 (en) | 2013-08-21 | 2013-08-21 | Evaluation apparatus and method for evaluating security threats |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6047463B2 (en) |
WO (1) | WO2015025694A1 (en) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108293038A (en) * | 2015-08-21 | 2018-07-17 | 瑞萨电子欧洲有限公司 | Design support system |
EP3151114A1 (en) | 2015-09-29 | 2017-04-05 | Panasonic Intellectual Property Management Co., Ltd. | Software development system in system development based on model-based method |
US10268824B2 (en) | 2016-03-01 | 2019-04-23 | Wipro Limited | Method and system for identifying test cases for penetration testing of an application |
JP6901979B2 (en) * | 2018-02-21 | 2021-07-14 | 株式会社日立製作所 | Security evaluation server and security evaluation method |
EP4333374A3 (en) * | 2018-10-17 | 2024-03-27 | Panasonic Intellectual Property Corporation of America | Threat analysis apparatus, threat analysis method, and program |
WO2020136837A1 (en) | 2018-12-27 | 2020-07-02 | 三菱電機株式会社 | Attack tree generation device, attack tree generation method, and attack tree generation program |
JP2020113090A (en) | 2019-01-15 | 2020-07-27 | 三菱電機株式会社 | Vulnerability influence evaluation system |
JP7422584B2 (en) * | 2020-03-26 | 2024-01-26 | 株式会社日立製作所 | Application development support system, application development support method |
EP4239506A4 (en) * | 2020-10-30 | 2023-11-29 | Nissan Motor Co., Ltd. | Vehicle-mounted computer, computer program, computer-readable storage medium, and security setting method |
US11546767B1 (en) | 2021-01-21 | 2023-01-03 | T-Mobile Usa, Inc. | Cybersecurity system for edge protection of a wireless telecommunications network |
US11431746B1 (en) | 2021-01-21 | 2022-08-30 | T-Mobile Usa, Inc. | Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network |
CN114019942B (en) * | 2021-11-04 | 2023-08-29 | 哈尔滨工业大学 | Industrial robot system security threat evaluation method based on time-sharing frequency |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4084914B2 (en) * | 1999-09-29 | 2008-04-30 | 株式会社日立製作所 | Security evaluation method and apparatus, security measure creation support method and apparatus |
JP2002352062A (en) * | 2001-05-24 | 2002-12-06 | Hitachi Ltd | Security evaluation device |
JP4663484B2 (en) * | 2005-04-25 | 2011-04-06 | 株式会社日立製作所 | System security design / evaluation support tool, system security design support tool, system security design / evaluation support program, and system security design support program |
JP2009015570A (en) * | 2007-07-04 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | System and method for distributing vulnerability information |
JP5413010B2 (en) * | 2009-07-17 | 2014-02-12 | 日本電気株式会社 | Analysis apparatus, analysis method, and program |
US9141805B2 (en) * | 2011-09-16 | 2015-09-22 | Rapid7 LLC | Methods and systems for improved risk scoring of vulnerabilities |
-
2013
- 2013-08-21 JP JP2013170899A patent/JP6047463B2/en active Active
-
2014
- 2014-08-01 WO PCT/JP2014/070298 patent/WO2015025694A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP2015041167A (en) | 2015-03-02 |
WO2015025694A1 (en) | 2015-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6047463B2 (en) | Evaluation apparatus and method for evaluating security threats | |
CN108665297B (en) | Method and device for detecting abnormal access behavior, electronic equipment and storage medium | |
US8768651B2 (en) | System and method for automatic standardization and verification of system design requirements | |
CN109376078B (en) | Mobile application testing method, terminal equipment and medium | |
US20130067572A1 (en) | Security event monitoring device, method, and program | |
JP2017068825A (en) | Software development system and program | |
WO2019169760A1 (en) | Test case range determining method, device, and storage medium | |
JP6361837B2 (en) | Training apparatus, training method, and training program | |
JP2015130152A (en) | Information processing device and program | |
CN117034299B (en) | Intelligent contract safety detection system based on block chain | |
CN112016138A (en) | Method and device for automatic safe modeling of Internet of vehicles and electronic equipment | |
CN112529575A (en) | Risk early warning method, equipment, storage medium and device | |
KR20180129623A (en) | Apparatus for statically analyzing assembly code including assoxiated multi files | |
KR101742041B1 (en) | an apparatus for protecting private information, a method of protecting private information, and a storage medium for storing a program protecting private information | |
CN104023025A (en) | Website security vulnerability detection method and device based on service rules | |
US11899770B2 (en) | Verification method and apparatus, and computer readable storage medium | |
CN106250761A (en) | A kind of unit identifying web automation tools and method | |
JP5868515B2 (en) | Signature verification apparatus, signature verification method and program | |
JP2005122560A (en) | Program for detecting deadlock beforehand | |
CN106709335B (en) | Vulnerability detection method and device | |
US20090327971A1 (en) | Informational elements in threat models | |
JP2009134673A (en) | Gui screen operation sequence verifying apparatus, method, and program | |
KR102269174B1 (en) | Appratus and method for verification of smart contracts | |
KR102090229B1 (en) | Method and apparatus for identifying security vulnerability and cause point thereof of executable binaries | |
JP6258189B2 (en) | Specific apparatus, specific method, and specific program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160415 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160415 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160809 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161005 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161025 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161121 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6047463 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |