JP6047463B2 - Evaluation apparatus and method for evaluating security threats - Google Patents

Evaluation apparatus and method for evaluating security threats Download PDF

Info

Publication number
JP6047463B2
JP6047463B2 JP2013170899A JP2013170899A JP6047463B2 JP 6047463 B2 JP6047463 B2 JP 6047463B2 JP 2013170899 A JP2013170899 A JP 2013170899A JP 2013170899 A JP2013170899 A JP 2013170899A JP 6047463 B2 JP6047463 B2 JP 6047463B2
Authority
JP
Japan
Prior art keywords
information
threat
subsystem
evaluation
externally connected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013170899A
Other languages
Japanese (ja)
Other versions
JP2015041167A (en
Inventor
伸義 森田
伸義 森田
信 萱島
信 萱島
英里子 安藤
英里子 安藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2013170899A priority Critical patent/JP6047463B2/en
Priority to PCT/JP2014/070298 priority patent/WO2015025694A1/en
Publication of JP2015041167A publication Critical patent/JP2015041167A/en
Application granted granted Critical
Publication of JP6047463B2 publication Critical patent/JP6047463B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、車載ネットワークシステムの設計者が、評価対象モデルの定義時に、ツールの入力指示に従ってリスク評価に必要となるデータを、設計書のような客観的に入力可能な情報をもとに定義することにより、分析者の熟練度に依存せずに自動的に脅威のリスク値を算出する装置及び方法に関する。   The present invention defines the data required for risk evaluation according to the input instructions of the tool when the designer of the in-vehicle network system defines the evaluation target model based on information that can be input objectively such as a design document The present invention relates to an apparatus and a method for automatically calculating a risk value of a threat without depending on the skill level of an analyst.

情報システムの分野と同様に、自動車の車載ネットワーク、及び車載ネットワークに接続される電子制御装置の設計において、適切なセキュリティ機能が正しく実装されていることを確認できることが求められている。   Similar to the field of information systems, in the design of an in-vehicle network of an automobile and an electronic control device connected to the in-vehicle network, it is required to be able to confirm that an appropriate security function is correctly implemented.

例えば、情報システムの分野では、セキュリティ製品(ハード/ソフトウェア)およびシステムの開発や製造、運用などに関する国際標準であるISO/IEC15408が、セキュリティ実装の保証レベルを向上させるために活用されている。ISO/IEC15408では、セキュリティ上の脅威に対する分析である脅威分析に基づいたセキュリティ要求仕様を策定し、定められたフォーマットでセキュリティ要求仕様書(ST:Security Target)を作成することが求められる。STでは、システム或いは装置に想定されるセキュリティ上の脅威であるセキュリティ脅威を抽出し、当該脅威に対して技術的あるいは運用的な対策が行われていることを示す必要がある。このような脅威分析では、過不足なくセキュリティ機能を実装することが重要である。このため、抽出されたセキュリティ上の脅威に対してリスク評価を行い、リスクの高い脅威に対して対策を行うことが求められる。   For example, in the field of information systems, ISO / IEC15408, which is an international standard for the development, manufacture, and operation of security products (hardware / software) and systems, is utilized to improve the assurance level of security implementation. In ISO / IEC15408, it is required to formulate a security requirement specification based on threat analysis, which is an analysis for a security threat, and to create a security requirement specification (ST: Security Target) in a predetermined format. In the ST, it is necessary to extract a security threat that is a security threat assumed for the system or apparatus and to indicate that technical or operational measures are being taken against the threat. In such threat analysis, it is important to implement security functions without excess or deficiency. For this reason, it is required to perform risk assessment on the extracted security threats and take measures against high-risk threats.

例えば、脅威のリスクを評価する装置として、特開2009−230278号公報には、予め、ツール開発者が脅威に対して被害の大きさ(機密性、完全性、可用性)を数値化する。そして、脅威リスク評価時に、分析者が脅威の発生確率を数値化し、ツールが抽出した脅威における、「被害の大きさ」と「発生確率」の積を、その脅威の脅威リスク値として算出する技術が開示されている。   For example, as an apparatus for evaluating the risk of a threat, Japanese Patent Application Laid-Open No. 2009-230278 preliminarily quantifies the magnitude of damage (confidentiality, integrity, availability) against a threat by a tool developer. And, when assessing threat risk, the analyst quantifies the probability of occurrence of the threat, and calculates the product of the “damage magnitude” and “occurrence probability” of the threat extracted by the tool as the threat risk value of the threat Is disclosed.

特開2009−230278号公報JP 2009-230278 A

特許文献1に記載されている技術は、実際に運用しているシステム或いは装置のように、発生確率が事前に分かっている場合において、各脅威に対するリスクを求めることができる。しかし、設計時においては、システム或いは装置における脅威の発生確率は分からない。このため、システム或いは装置における脅威の発生確率を数値化するためには、セキュリティに関する知識や経験が必要であり、リスク分析者に高い熟練度が要求されてしまう。   The technique described in Patent Document 1 can determine the risk for each threat when the occurrence probability is known in advance, as in a system or apparatus that is actually operated. However, at the time of design, the probability of occurrence of a threat in the system or apparatus is not known. For this reason, in order to quantify the probability of occurrence of a threat in a system or apparatus, knowledge and experience regarding security are required, and a high level of skill is required for a risk analyst.

本発明は、以上の問題に鑑みなされたものであり、分析者がリスクの高い脅威を分析者の熟練度に依存せずに判定できることを目的とする。   The present invention has been made in view of the above problems, and an object of the present invention is to enable an analyst to determine a high-risk threat without depending on the skill level of the analyst.

上記目的を達成するために、本発明の一つの観点から、評価対象となるシステムに対するセキュリティ上の脅威を評価する評価装置が提供される。当該評価装置は、システムにおける複数の設計項目に関する設計情報が入力される入力部と、セキュリティ上の脅威に関する複数の評価項目と入力部より入力された複数の設計項目に関する情報とを対応付けて格納する格納部と、複数の設計項目に関する情報に基づいて、システムにおけるセキュリティ上の脅威を抽出し、複数の設計項目に関する情報に対応付けられた評価項目に基づいて、抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、抽出されたシステムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる制御部と、を有する。   In order to achieve the above object, an evaluation apparatus for evaluating a security threat to a system to be evaluated is provided from one aspect of the present invention. The evaluation apparatus stores an input unit that receives design information related to a plurality of design items in the system, a plurality of evaluation items related to security threats, and information related to a plurality of design items input from the input unit in association with each other. Security threats in the system based on information related to multiple design items, and security threats for the extracted threats based on evaluation items associated with information related to multiple design items A control unit that calculates a threat risk value that is a value indicating the magnitude of the threat and displays the threat in the extracted system and the threat risk value for the threat on the display unit.

より好ましくは、入力部に入力されるシステムにおける複数の設計項目に関する情報は、システムにおける評価対象とするサブシステムに関する情報であり、サブシステムに関する情報は、サブシステムの外部接続機器情報、サブシステムの外部接続機器の数を示す外部接続機器数情報、サブシステムと外部接続機器との間の経路種別情報、サブシステムと外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、である。   More preferably, the information related to the plurality of design items in the system input to the input unit is information related to the subsystem to be evaluated in the system, and the information related to the subsystem is information on the externally connected equipment of the subsystem, Information on the number of externally connected devices indicating the number of externally connected devices, path type information between the subsystem and externally connected devices, information on the number of authentications that occur when communicating between the subsystem and externally connected devices, Participant type information that may cause a threat, and protected asset information related to protected assets.

本発明の別の観点によれば、評価対象となるシステムに対するセキュリティ上の脅威を評価する装置における評価方法が提供される。当該評価方法における装置は、システムにおける複数の設計項目に関する設計情報を受け付け、セキュリティ上の脅威に関する複数の評価項目と受け付けた複数の設計項目に関する情報とを対応付け、複数の設計項目に関する情報に基づいて、システムにおけるセキュリティ上の脅威を抽出し、複数の設計項目に関する情報に対応付けられた評価項目に基づいて、抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、抽出されたシステムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる。   According to another aspect of the present invention, an evaluation method in an apparatus for evaluating a security threat to a system to be evaluated is provided. The apparatus in the evaluation method receives design information on a plurality of design items in the system, associates a plurality of evaluation items on security threats with information on the received plurality of design items, and based on information on the plurality of design items System security threats, and based on evaluation items associated with information on multiple design items, a threat risk value is calculated that indicates the size of the security threats for the extracted threats. Then, the threat in the extracted system and the threat risk value for the threat are displayed on the display unit.

より好ましくは、装置が受け付けるシステムにおける複数の設計項目に関する情報は、システムにおける評価対象とするサブシステムに関する情報であり、サブシステムに関する情報は、サブシステムの外部接続機器情報、サブシステムの外部接続機器の数を示す外部接続機器数情報、サブシステムと外部接続機器との間の経路種別情報、サブシステムと外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、である。   More preferably, the information related to the plurality of design items in the system received by the apparatus is information related to the subsystem to be evaluated in the system, and the information related to the subsystem is the externally connected device information of the subsystem and the externally connected device of the subsystem. Number of externally connected devices indicating the number of devices, route type information between subsystems and externally connected devices, information on the number of authentications that occur when communicating between subsystems and externally connected devices, and security threats Information on the type of participant who may be allowed to be protected, and protected asset information related to the protected asset.

本発明によれば、設計書から得られる情報を入力に用いて脅威の抽出、及び、当該脅威のリスク値の算出を行うことができ、分析者に各脅威のリスク値を提示することが可能になる。これにより、分析者のセキュリティに関する知識や経験に依存せずに、脅威リスクを評価できる。   According to the present invention, it is possible to extract threats and calculate risk values of the threats using information obtained from the design document as input, and to present the risk values of each threat to the analyst. become. This makes it possible to evaluate the threat risk without depending on the analyst's security knowledge and experience.

脅威リスク評価支援装置の構成を示す図Diagram showing the configuration of the threat risk assessment support device リスク評価非依存情報におけるサブシステム区分情報のテーブル構成を示す図The figure which shows the table structure of the subsystem division information in risk evaluation independent information リスク評価非依存情報におけるライフサイクル区分情報のテーブル構成を示す図The figure which shows the table structure of the life cycle division information in risk evaluation independent information リスク評価非依存情報におけるASIL区分情報のテーブル構成を示す図The figure which shows the table structure of ASIL division | segmentation information in risk evaluation non-dependent information. リスク評価非依存情報における関与者区分情報のテーブル構成を示す図The figure which shows the table structure of the participant classification information in risk evaluation independent information リスク評価非依存情報における関与者・ライフサイクル・動機対応情報のテーブル構成を示す図Diagram showing the table structure of participant / life cycle / motivation correspondence information in risk assessment independent information リスク評価非依存情報における資産種別・脅威対応情報のテーブル構成を示す図Diagram showing the table structure of asset type / threat response information in risk assessment independent information リスク評価非依存情報における脅威一覧情報のテーブル構成を示す図Diagram showing the table structure of threat list information in risk assessment independent information リスク評価非依存情報における脅威リスク値情報のテーブル構成を示す図The figure which shows the table constitution of threat risk value information in risk evaluation independent information リスク評価依存情報における経路区分情報のテーブル構成を示す図The figure which shows the table structure of the route division information in risk evaluation dependence information リスク評価依存情報における機密性への影響度情報のテーブル構成を示す図The figure which shows the table structure of the influence degree information to the confidentiality in the risk evaluation dependence information リスク評価依存情報におけるサブシステム詳細情報のテーブル構成を示す図The figure which shows the table structure of the subsystem detailed information in risk evaluation dependence information リスク評価依存情報における外部接続機器情報のテーブル構成を示す図The figure which shows the table structure of the external connection apparatus information in risk evaluation dependence information リスク評価依存情報における関与者詳細情報のテーブル構成を示す図The figure which shows the table structure of the participant detailed information in risk evaluation dependence information リスク評価依存情報における内部接続機器情報のテーブル構成を示す図The figure which shows the table structure of the internal connection apparatus information in risk evaluation dependence information リスク評価依存情報における保護資産情報のテーブル構成を示す図The figure which shows the table constitution of the protection asset information in the risk evaluation dependence information リスク値算出手法一覧情報のテーブル構成を示す図The figure which shows the table structure of risk value calculation method list information リスク評価判定情報におけるCVSS判定情報のテーブル構成を示す図The figure which shows the table structure of the CVSS determination information in risk evaluation determination information. 脅威リスク評価における全体処理シーケンスを示す図Diagram showing overall processing sequence for threat risk assessment モデル定義時における処理シーケンスを示す図Diagram showing the processing sequence during model definition サブシステムの詳細情報登録時における処理シーケンスを示す図The figure which shows the processing sequence at the time of the detailed information registration of a subsystem 脅威事象抽出時における処理シーケンスを示す図Diagram showing the processing sequence when extracting a threat event リスク値算出時における処理シーケンスを示す図The figure which shows the processing sequence at the time of risk value calculation CIA算出じにおける処理シーケンスを示す図The figure which shows the process sequence in CIA calculation モデル定義時におけるリスク評価手法の選択の画面例を示す図Diagram showing an example of a screen for selecting a risk assessment method when defining a model サブシステムの選択追加の画面例を示す図The figure which shows the example of a screen of selective addition of a subsystem 編集するサブシステムの選択の画面例を示す図The figure which shows the example of a screen of the selection of the subsystem to edit モデル定義時における外部接続機器数の入力の画面例を示す図The figure which shows the example screen of the input of the number of externally connected devices at the time of model definition モデル定義時における外部接続機器の詳細情報入力の画面例を示す図The figure which shows the example screen of the detailed information input of the external connection device at the time of model definition モデル定義時における関与者の詳細情報入力の画面例を示す図The figure which shows the example screen of detailed information input of the participant at the time of model definition モデル定義時における内部接続機器数の入力の画面例を示す図The figure which shows the example of a screen of the input of the number of internal connection devices at the time of model definition モデル定義時における内部接続機器の詳細情報入力の画面例を示す図The figure which shows the example screen of detailed information input of the internal connection equipment at the time of model definition モデル定義じにおける保護資産数の入力の画面例を示す図Figure showing an example of the screen for entering the number of protected assets in the model definition モデル定義じにおける保護資産の詳細情報の入力の画面例を示す図Figure showing an example of a screen for entering detailed information on protected assets in the model definition モデル定義時におけるサブシステムのASIL情報の入力の画面例を示す図The figure which shows the example of a screen of the input of ASIL information of a subsystem at the time of model definition モデル定義時における定義済みサブシステム表示の画面例を示す図The figure which shows the example of a screen of the defined subsystem display at the time of model definition モデル定義時におけるリスク評価実行可能状態の表示の画面例を示す図The figure which shows the example of a screen of the display of the risk assessment execution possible state at the time of model definition 脅威リスク評価結果の画面例を示す図Diagram showing an example of the screen for threat risk assessment results

以下、図面を用いて本発明の実施の形態を詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

本実施形態では、本脅威リスク評価支援装置により、設計書或いは周知の情報をもとに共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)を用いたリスク値算出に必要となるデータを入力させ、予め保持するデータと、CVSSを用いたリスク値算出に必要なデータとを関連付けて管理することにより、評価対象における脅威の抽出、及び当該脅威のリスク値を自動的に算出可能な脅威リスク評価支援装置及び方法の例を用いる。ただし、本発明の技術的思想は、この例に限定されるものではない。   In this embodiment, the threat risk assessment support apparatus inputs data necessary for risk value calculation using a common vulnerability assessment system (CVSS: Common Vulnerability Scoring System) based on a design document or known information. , By managing the data held in advance and the data necessary for calculating the risk value using CVSS in association with each other, it is possible to extract the threat in the evaluation target and automatically calculate the risk value of the threat Examples of support devices and methods are used. However, the technical idea of the present invention is not limited to this example.

図1は本発明の実施形態における脅威リスク評価支援装置99の構成を示す。脅威リスク評価支援装置99は、脅威リスク評価支援装置99が入力装置1及び出力装置2と入出力制御部3を介して接続され、入出力制御部3、CPU4、メモリ5、ディスク6がバス7を介して互いに接続されている。入力装置1は、例えばキーボードやマウスやスキャナなどであり、脅威リスク評価支援装置の利用者からの入力を受け付ける。出力装置2は、例えばディスプレイであり、脅威リスク評価支援装置による、途中経過および評価結果を出力する。   FIG. 1 shows the configuration of a threat risk evaluation support apparatus 99 according to an embodiment of the present invention. In the threat risk evaluation support device 99, the threat risk evaluation support device 99 is connected to the input device 1 and the output device 2 via the input / output control unit 3, and the input / output control unit 3, the CPU 4, the memory 5, and the disk 6 are connected to the bus 7. Are connected to each other. The input device 1 is, for example, a keyboard, a mouse, a scanner, or the like, and receives input from a user of the threat risk evaluation support device. The output device 2 is, for example, a display, and outputs an intermediate result and an evaluation result by the threat risk evaluation support device.

入出力制御部3は、脅威リスク評価支援装置における入出力を制御する。CPU4は、装置内の各ハードウェアを制御しプログラムを実行する。メモリ5では、評価対象のモデル定義を支援するモデル定義支援部51、評価対象における脅威を抽出する脅威抽出部52、抽出した脅威におけるリスク値を算出する脅威リスク値算出部53、脅威リスク値をもとに優先度を決定する対策優先度判定部54、出力装置に出力する脅威リスク評価結果を作成する脅威リスク評価作成部55、前記入力装置1から入力される要求に応じて出力する脅威リスク評価結果の一覧を並べ替える脅威リスク一覧並べ替え部56が、プログラムとして動作することを想定する。   The input / output control unit 3 controls input / output in the threat risk assessment support apparatus. The CPU 4 controls each hardware in the apparatus and executes a program. In the memory 5, a model definition support unit 51 that supports model definition of an evaluation target, a threat extraction unit 52 that extracts a threat in the evaluation target, a threat risk value calculation unit 53 that calculates a risk value in the extracted threat, and a threat risk value A countermeasure priority determination unit 54 that determines priority based on, a threat risk evaluation creation unit 55 that creates a threat risk evaluation result to be output to the output device, and a threat risk that is output in response to a request input from the input device 1 It is assumed that the threat risk list sorting unit 56 that sorts the list of evaluation results operates as a program.

ディスク6は、例えばハードディスクドライブなどの不揮発性記憶装置であり、リスク評価手法に依存しないリスク評価非依存情報記憶部61、リスク評価手法に依存するリスク評価依存情報記憶部62、リスク評価手法における判定情報としてリスク評価判定情報記憶部63を備える。   The disk 6 is a non-volatile storage device such as a hard disk drive, for example, a risk evaluation-independent information storage unit 61 that does not depend on the risk evaluation method, a risk evaluation-dependent information storage unit 62 that depends on the risk evaluation method, and a determination in the risk evaluation method A risk evaluation determination information storage unit 63 is provided as information.

リスク評価非依存情報記憶部61では、車載システムにおけるサブシステムの区分を示すサブシステム区分情報611、自動車のライフサイクルの区分を示すライフサイクル区分情報612、自動車の装置やシステムにおける機能安全の基準であるASIL(Automotive Safety Integrity Level)の区分を示すASIL区分情報613、自動車における関与者の区分を示す関与者区分情報614、関与者と、ライフサイクルと、動機とを関連付けた関与者・ライフサイクル・動機対応情報615、資産の種類と対応する脅威を関連付けた資産種別・脅威対応情報616、脅威事象を導くために、脅威の種類と、脅威内容と、影響範囲と、起こりえるライフサイクルを関連付けた脅威一覧情報617、脅威と当該脅威のリスク値を保持する脅威リスク値情報618を保持する。   In the risk evaluation independent information storage unit 61, the subsystem classification information 611 indicating the classification of the subsystem in the in-vehicle system, the life cycle classification information 612 indicating the life cycle classification of the car, and the functional safety standard in the car device or system ASIL classification information 613 indicating a classification of a certain ASIL (Automatic Safety Integrity Level), participant classification information 614 indicating a classification of a participant in a car, a participant, a life cycle, an association of a participant, a life cycle, and a motive Motivation correspondence information 615, asset type / threat correspondence information 616 that associates asset types with corresponding threats, and threat types, threat contents, impact ranges, and possible life cycles in order to guide threat events Threat list information 617, threats and It holds the threat risk value information 618 which holds the risk value of the threat.

前記リスク評価依存情報記憶部62では、リスク値算出手法の要件に合わせた入力用テーブルを保持する。例えば、CVSSを用いる場合では、攻撃対象に対する攻撃経路の区分を示す経路区分情報6211、評価対象における機密性への影響度を示す機密性への影響度情報6212、評価対象におけるサブシステムの詳細情報を示すサブシステム詳細情報6213、評価対象と繋がる外部接続機器を示す外部接続機器情報6214、外部接続機器を利用する関与者を示す関与者詳細情報6215、攻撃対象と通信する内部接続機器を示す内部接続機器情報6216、攻撃対象における保護資産を示す保護資産情報6217を保持する。   The risk evaluation dependence information storage unit 62 holds an input table that matches the requirements of the risk value calculation method. For example, in the case of using CVSS, route classification information 6211 indicating the attack route classification for the attack target, confidentiality impact information 6212 indicating the impact on the confidentiality of the evaluation target, and detailed subsystem information on the evaluation target Subsystem detailed information 6213 indicating external connection device information 6214 indicating an external connection device connected to the evaluation target, participant detailed information 6215 indicating a participant who uses the external connection device, and internal connection device communicating with the attack target It holds connected device information 6216 and protected asset information 6217 indicating the protected assets in the attack target.

前記リスク評価判定情報記憶部63では、リスク値算出手法の一覧としてリスク値算出手法一覧情報631、リスク評価手法を用いたリスク値算出に用いる判定情報として例えばCVSS判定情報631を保持する。   The risk evaluation determination information storage unit 63 holds risk value calculation method list information 631 as a list of risk value calculation methods and, for example, CVSS determination information 631 as determination information used for risk value calculation using the risk evaluation method.

図2に、リスク評価非依存情報記憶部61に保持されているサブシステム区分情報611、図3にライフサイクル区分情報612、図4にASIL区分情報623のテーブル構成の一例を示す。   FIG. 2 shows an example of the table configuration of the subsystem classification information 611 held in the risk evaluation independent information storage unit 61, FIG. 3 shows the life cycle classification information 612, and FIG. 4 shows the ASIL classification information 623.

モデル定義支援部51は、評価対象におけるサブシステムを選択する際、サブシステム区分情報611を参照して選択項目としてサブシステム名6112を出力装置2に表示するとともに、入力装置1を用いて追加されたサブシステムをサブシステム区分情報611に追加する。S−ID6111は、サブシステムを識別するための固有値である。サブシステム名6112は、サブシステムの名称である。有効判定6113は、S−ID6111のサブシステムがモデルに含まれるかどうかを示す。例えば、S−ID6111のサブシステムがモデルに含まれる場合は、「○」とし、S−ID6111のサブシステムがモデルに含まれない場合は、「×」としてもよい。車載システムとサブシステムとしては、GW(GateWay)、情報系サブシステム、エンジン駆動系サブシステム、ボディ系サブシステム、シャーシ系サブシステムなどがある。   When selecting a subsystem in the evaluation target, the model definition support unit 51 refers to the subsystem classification information 611 to display the subsystem name 6112 as a selection item on the output device 2 and is added using the input device 1. The added subsystem is added to the subsystem classification information 611. The S-ID 6111 is a unique value for identifying the subsystem. The subsystem name 6112 is a name of the subsystem. The validity determination 6113 indicates whether the S-ID 6111 subsystem is included in the model. For example, when the S-ID 6111 subsystem is included in the model, “◯” may be set, and when the S-ID 6111 subsystem is not included in the model, “X” may be set. As the in-vehicle system and subsystem, there are a GW (GateWay), an information system subsystem, an engine drive system subsystem, a body system subsystem, a chassis system subsystem, and the like.

モデル定義支援部51は、保護資産情報6217における保護期間62176の選択の際、ライフサイクル区分情報612を保護期間の選択項目として参照する。L−ID6121は、ライフサイクルを識別するための固有値である。ライフサイクル名6122は、自動車におけるライフサイクルの名称である。   When selecting the protection period 62176 in the protected asset information 6217, the model definition support unit 51 refers to the life cycle classification information 612 as a protection period selection item. The L-ID 6121 is a unique value for identifying the life cycle. The life cycle name 6122 is a name of a life cycle in the automobile.

モデル定義支援部51は、サブシステムにおけるASIL値を入力する際、ASIL区分情報613を参照して選択項目として出力装置2に表示する。ASIL−ID6131は、ASILの区分を識別するための固有値である。ASIL値6132は、自動車におけるASIL値の区分である。   When inputting the ASIL value in the subsystem, the model definition support unit 51 refers to the ASIL classification information 613 and displays it on the output device 2 as a selection item. The ASIL-ID 6131 is a unique value for identifying the ASIL section. The ASIL value 6132 is a classification of the ASIL value in the automobile.

図5に、リスク評価非依存情報記憶部61に保持されている、関与者区分情報614、図6に関与者・ライフサイクル・動機対応情報615のテーブル構成の一例を示す。   FIG. 5 shows an example of the table configuration of the participant classification information 614 held in the risk evaluation independent information storage unit 61, and FIG. 6 shows the table configuration of the participant / life cycle / motivation correspondence information 615.

モデル定義支援部51は、関与者詳細情報6215における関与者区分を選択する際、関与者区分情報615を参照して選択項目として出力装置2に表示するとともに、入力装置1を用いて選択された関与者を関与者区分62152に登録する。W−ID6141は、関与者を識別するための固有値である。   When selecting the participant classification in the participant detailed information 6215, the model definition support unit 51 refers to the participant classification information 615 and displays it as a selection item on the output device 2 and is selected using the input device 1 The participant is registered in the participant category 62152. W-ID 6141 is a unique value for identifying a participant.

モデル定義支援部51は、関与者詳細情報を入力する際、関与者とそれに対応する攻撃タイミングの選択項目としてライフサイクル種別6152を参照して出力装置2に表示し、脅威抽出部52は、脅威を抽出する際、関与者に対応する動機を動機6153から抽出する。関与者種別6151は、関与者を識別する固有値であり、関与者区分情報614におけるW−ID6141を参照することで、関与者名を特定できる。ライフサイクル種別6152は、関与者種別6151が示す関与者に関連するライフサイクルである。動機6153は、関与者種別6151が示す関与者が関連する動機である。   When inputting the participant detailed information, the model definition support unit 51 refers to the life cycle type 6152 as a selection item of the participant and the attack timing corresponding to the participant and displays it on the output device 2, and the threat extraction unit 52 , The motive corresponding to the participant is extracted from the motive 6153. The participant type 6151 is a unique value for identifying a participant, and the participant name can be specified by referring to the W-ID 6141 in the participant classification information 614. The life cycle type 6152 is a life cycle related to the participant indicated by the participant type 6151. The motive 6153 is a motive related to the participant indicated by the participant type 6151.

図7に、リスク評価非依存情報記憶部61に保持されている資産種別・脅威対応情報616、図8に脅威一覧情報617、図9に脅威リスク値情報618のテーブル構成の一例を示す。   FIG. 7 shows an example of the table configuration of the asset type / threat response information 616 held in the risk evaluation independent information storage unit 61, the threat list information 617 in FIG. 8, and the threat risk value information 618 in FIG.

脅威抽出部52は、資産種別・脅威対応情報616を参照し、保護資産の種別に応じて、対応する脅威を抽出する。資産種別6161は、保護資産の資産種別である。脅威6162は、資産種別6161に対して発生しうる脅威である。なお、本テーブルは一例であり、資産種別や脅威の項目についてはこの限りではない。   The threat extraction unit 52 refers to the asset type / threat response information 616 and extracts a corresponding threat according to the type of the protected asset. The asset type 6161 is the asset type of the protected asset. The threat 6162 is a threat that can occur with respect to the asset type 6161. This table is an example, and the asset type and threat items are not limited to this.

脅威抽出部52は、資産種別・脅威対応情報616における脅威6162を選択し、その脅威に対応する影響範囲、影響内容を抽出する。脅威6171は、脅威の一覧である。影響範囲6172は、脅威6171の影響が自信のみか、通信先にも影響するかを示すものである。影響内容6173は、脅威6171が発生した場合の影響内容である。ライフサイクル6174は、脅威6171が発生するタイミングである。   The threat extraction unit 52 selects a threat 6162 in the asset type / threat correspondence information 616, and extracts an influence range and an influence content corresponding to the threat. The threat 6171 is a list of threats. The influence range 6172 indicates whether the influence of the threat 6171 affects only the confidence or the communication destination. The influence content 6173 is the influence content when the threat 6171 occurs. The life cycle 6174 is a timing when the threat 6171 occurs.

対策優先度判定部54は、脅威リスク値情報618を参照して対策優先度の高い脅威を抽出する。T−ID6181は、脅威事象を識別するための固有値である。脅威事象6182は、脅威抽出部52が抽出した脅威事象である。リスク値6183は、脅威事象6182に対する脅威リスク値である。S−ID6184は、脅威事象6182において攻撃対象となるサブシステムのS−IDであり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。E−ID6185は、脅威事象6182において攻撃元である外部接続機器のE−IDであり、外部接続機器情報6214を参照することで外部接続機器名を特定できる。P−ID6186は、脅威事象6182において守るべき保護資産のP−IDであり、保護資産情報6217を参照することで保護資産名を特定できる。脅威種別6187は、脅威事象6182における脅威の脅威種別である。   The countermeasure priority determination unit 54 refers to the threat risk value information 618 and extracts a threat with a high countermeasure priority. T-ID 6181 is a unique value for identifying a threat event. The threat event 6182 is a threat event extracted by the threat extraction unit 52. The risk value 6183 is a threat risk value for the threat event 6182. The S-ID 6184 is the S-ID of the subsystem that is the attack target in the threat event 6182, and the subsystem name can be specified by referring to the subsystem classification information 611. The E-ID 6185 is the E-ID of the externally connected device that is the attack source in the threat event 6182, and the externally connected device name can be specified by referring to the externally connected device information 6214. The P-ID 6186 is a P-ID of a protected asset to be protected in the threat event 6182, and a protected asset name can be specified by referring to the protected asset information 6217. The threat type 6187 is the threat type of the threat in the threat event 6182.

図10に、リスク評価依存情報記憶部62に保持されている経路区分情報6211、図11に機密性への影響度情報6212、図12にサブシステム詳細情報6213、図13に外部接続機器情報6214のテーブル構成の一例を示す。   FIG. 10 shows route classification information 6211 held in the risk evaluation dependent information storage unit 62, FIG. 11 shows confidentiality impact information 6212, FIG. 12 shows subsystem detailed information 6213, and FIG. 13 shows externally connected device information 6214. An example of the table configuration is shown.

モデル定義支援部51は、外部接続機器の経路区分を登録させる際、経路区分情報6211を参照して選択項目として出力装置2に表示する。R−ID62111は、経路区分を識別するための固有値である。経路62112は、経路として、ローカル、隣接、ネットワークを示すものである。例えば、自動車の車載ネットワークに直接接する場合をローカルとし、近距離通信を用いて接続する場合を隣接とし、インターネットや携帯通信網のように遠距離からの通信を用いて接続する場合をネットワークとして区別する。なお、経路の区別については一例であり、これに限定するものではない。   When registering the route classification of the external device, the model definition support unit 51 refers to the route classification information 6211 and displays it on the output device 2 as a selection item. The R-ID 62111 is a unique value for identifying a route segment. A route 62112 indicates a local, a neighbor, or a network as a route. For example, the case where the vehicle is directly connected to the in-vehicle network is regarded as local, the case where the connection is made using short-range communication is set as the adjacent, and the case where the connection is made using communication from a long distance, such as the Internet or a mobile communication network, is distinguished To do. Note that the route distinction is an example, and the present invention is not limited to this.

モデル定義支援部51は、保護資産情報の機密性への影響度を登録させる際、機密性への影響度情報6212を参照して選択項目として出力装置2に表示する。C−ID62121は、機密性への影響度を識別するための固有値である。影響度62122は、保護資産が与える機密性への影響度の区分である。例えば、資産価値に応じて、対象外、部分的、全面的と分類してもよい。   When registering the degree of influence of protected asset information on confidentiality, the model definition support unit 51 refers to the degree of influence information 6212 on confidentiality and displays it on the output device 2 as a selection item. The C-ID 62121 is a unique value for identifying the degree of influence on confidentiality. The degree of influence 62122 is a classification of the degree of influence on confidentiality given by the protected asset. For example, according to the asset value, it may be classified as non-target, partial, or full.

モデル定義支援部51は、評価対象となる自動車のサブシステムに関する詳細情報をサブシステム詳細情報6213に格納する。また、脅威リスク値計算部53は、リスク値算出時において、サブシステム詳細情報6213に格納された外部接続数62132、ASIL値62135を利用する。なお、外部接続数62132、ASIL値62135を利用したリスク値算出方法については後述する。S−ID62131は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。外部接続数62132は、S−ID62131が示すサブシステムに対して接続可能な外部接続機器の数である。内部接続数62133は、S−ID62131が示すサブシステムと通信が発生する内部接続機器の数である。保護資産数62134は、S−ID62131が示すサブシステムにおける保護資産の数である。ASIL値62135は、S−ID62131が示すサブシステムに定められたASIL値を示すものであり、ASIL区分情報613をもとに選択されたASIL−IDを保持する。   The model definition support unit 51 stores detailed information regarding the subsystem of the automobile to be evaluated in the subsystem detailed information 6213. The threat risk value calculation unit 53 uses the external connection number 62132 and the ASIL value 62135 stored in the subsystem detailed information 6213 when calculating the risk value. A risk value calculation method using the external connection number 62132 and the ASIL value 62135 will be described later. The S-ID 62131 is a unique value for identifying a subsystem, and the subsystem name can be specified by referring to the subsystem classification information 611. The external connection number 62132 is the number of externally connected devices connectable to the subsystem indicated by the S-ID 62131. The internal connection number 62133 is the number of internal connection devices that communicate with the subsystem indicated by the S-ID 62131. The number of protected assets 62134 is the number of protected assets in the subsystem indicated by the S-ID 62131. The ASIL value 62135 indicates the ASIL value defined in the subsystem indicated by the S-ID 62131, and holds the ASIL-ID selected based on the ASIL division information 613.

デル定義支援部51は、サブシステム詳細情報6213に登録された外部接続数62132に応じて、外部接続機器情報6214を登録する。また、脅威リスク値計算部53は、リスク値算出時において、外部接続機器情報6214に格納された経路区分62144、認証回数62145を利用する。なお、経路区分62144、認証回数62145を利用したリスク値算出方法については後述する。S−ID62141は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。E−ID62142は、S−ID62141に対する外部接続機器を識別する固有値である。外部接続機器名62143は、E−ID62142に対応する外部接続機器の名称である。経路区分62144は、E−ID62142に対応する外部接続機器の経路区分を示すものであり、経路区分情報6211をもとに選択されたR−ID62111を保持する。認証回数62145は、E−ID62142の外部接続機器が、対応するS−ID62141と通信する際に発生する認証回数である。関与者数62145は、E−ID62142の外部接続機器を用いて、対応するS−ID62141のサブシステムと通信を行う関与者種別の数である。   The Dell definition support unit 51 registers the external connection device information 6214 according to the number of external connections 62132 registered in the subsystem detailed information 6213. The threat risk value calculation unit 53 uses the path classification 62144 and the authentication count 62145 stored in the externally connected device information 6214 when calculating the risk value. A risk value calculation method using the route classification 62144 and the authentication count 62145 will be described later. The S-ID 62141 is a unique value for identifying a subsystem, and the subsystem name can be specified by referring to the subsystem classification information 611. The E-ID 62142 is a unique value that identifies an externally connected device corresponding to the S-ID 62141. The external connection device name 62143 is the name of the external connection device corresponding to the E-ID 62142. The route classification 62144 indicates the route classification of the externally connected device corresponding to the E-ID 62142, and holds the R-ID 62111 selected based on the route classification information 6211. The number of authentication times 62145 is the number of authentication times that occurs when the externally connected device of the E-ID 62142 communicates with the corresponding S-ID 62141. The number of participants 62145 is the number of participant types that communicate with the corresponding subsystem of S-ID 62141 using the externally connected device of E-ID 62142.

図14に、リスク評価依存情報記憶部62に保持されている関与者詳細情報6215、図15に内部接続機器情報6216、図16に保護資産情報6217のテーブル構成の一例を示す。   FIG. 14 shows an example of the table configuration of the participant detailed information 6215 held in the risk evaluation dependence information storage unit 62, the internal connection device information 6216 in FIG. 15, and the protected asset information 6217 in FIG.

モデル定義支援部51は、外部接続機器情報6214に登録された関与者数に応じて、関与者詳細情報6215を登録する。また、脅威抽出部52は、脅威を抽出する際、エントリポイントとなる外部接続機器と、それに対応する関与者及び攻撃タイミングを関与者詳細情報6215から抽出する。E−ID62151は、外部接続機器を識別するための固有値であり、外部接続機器情報6214を参照することで、外部接続機器名を特定できる。関与者区分62152は、E−ID62151に対応する外部接続機器を利用する関与者であり、関与者区分情報614を参照することで関与者名を特定できる。攻撃タイミング62153は、関与者区分62152に対応する関与者がE−ID62151をエントリポイントとして攻撃するタイミングを示すものであり、ライフサイクル区分情報612を参照することで、ライフサイクル名を特定できる。   The model definition support unit 51 registers the participant detailed information 6215 according to the number of participants registered in the external device information 6214. In addition, when extracting the threat, the threat extraction unit 52 extracts the externally connected device serving as an entry point, the corresponding participant, and the attack timing from the participant detailed information 6215. The E-ID 62151 is a unique value for identifying the externally connected device, and the externally connected device name can be specified by referring to the externally connected device information 6214. The participant category 62152 is a participant who uses an external connection device corresponding to the E-ID 62151, and the participant name can be specified by referring to the participant category information 614. The attack timing 62153 indicates the timing at which the participant corresponding to the participant category 62152 attacks using the E-ID 62151 as an entry point, and the life cycle name can be identified by referring to the life cycle category information 612.

モデル定義支援部51は、サブシステム詳細情報6213に登録された内部接続数62133に応じて、内部接続機器情報6216を登録する。また、脅威リスク値計算部53は、リスク値算出時において、内部接続機器情報6216に格納された認証回数62164を利用する。なお、認証回数62164を利用したリスク値算出方法については後述する。S−ID62161は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。I−ID62162は、内部接続機器を識別するための固有値である。内部接続機器62163は、S−ID62161に該当するサブシステムが通信を行うサブシステムであり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。認証回数62164は、S−ID62161に該当するサブシステムが、内部接続機器62163と通信を行う際に要求される認証回数である。   The model definition support unit 51 registers the internal connection device information 6216 according to the number of internal connections 62133 registered in the subsystem detailed information 6213. The threat risk value calculation unit 53 uses the authentication count 62164 stored in the internal connection device information 6216 when calculating the risk value. The risk value calculation method using the authentication count 62164 will be described later. The S-ID 62161 is a unique value for identifying the subsystem, and the subsystem name can be specified by referring to the subsystem classification information 611. The I-ID 62162 is a unique value for identifying the internally connected device. The internal connection device 62163 is a subsystem with which the subsystem corresponding to the S-ID 62161 communicates, and the subsystem name can be specified by referring to the subsystem classification information 611. The authentication count 62164 is the authentication count required when the subsystem corresponding to the S-ID 62161 communicates with the internal connection device 62163.

モデル定義支援部51は、サブシステム詳細情報6213に登録された保護資産数62134に応じて、保護資産情報6217を登録する。脅威抽出部52は、脅威を抽出する際、保護資産情報6217に格納された保護資産名62173、資産種別62174、保護機関62176を利用する。また、脅威リスク値計算部53は、リスク値算出時において、保護資産情報6217に格納された機密性への影響度62175、データフロー62177を利用する。なお、保護資産名62173、資産種別62174、保護機関62176を利用する脅威抽出方法、及び機密性への影響度62175、データフロー62177を利用したリスク値算出方法については後述する。S−ID62171は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。P−ID62172は、保護資産を識別するための固有値である。保護資産名62173は、S−ID62171における保護資産である。資産種別62174は、P−ID62172に対応する保護資産名62173の資産種別である。機密性への影響度62175は、P−ID62172に対応する保護資産名62173の機密性への影響度であり、機密性への影響度情報6212をもとに選択されたC−IDを保持する。保護期間62176は、P−ID62172に対応する保護資産名62173の保護期間であり、ライフサイクル区分情報612を参照することで、ライフサイクル名を特定できる。データフロー62177は、P−ID62172に対応する保護資産名62173のサブシステム間におけるデータフローを示すものであり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。   The model definition support unit 51 registers the protected asset information 6217 according to the number of protected assets 62134 registered in the subsystem detailed information 6213. The threat extraction unit 52 uses the protected asset name 62173, the asset type 62174, and the protection organization 62176 stored in the protected asset information 6217 when extracting the threat. Further, the threat risk value calculation unit 53 uses the confidentiality impact level 62175 and the data flow 62177 stored in the protected asset information 6217 at the time of risk value calculation. The threat extraction method using the protected asset name 62173, the asset type 62174, and the protection organization 62176, the degree of influence on confidentiality 62175, and the risk value calculation method using the data flow 62177 will be described later. The S-ID 62171 is a unique value for identifying a subsystem, and the subsystem name can be specified by referring to the subsystem classification information 611. The P-ID 62172 is a unique value for identifying the protected asset. The protected asset name 62173 is a protected asset in the S-ID 62171. The asset type 62174 is the asset type of the protected asset name 62173 corresponding to the P-ID 62172. The confidentiality impact level 62175 is the confidentiality impact level of the protected asset name 62173 corresponding to the P-ID 62172, and holds the C-ID selected based on the confidentiality impact level information 6212. . The protection period 62176 is the protection period of the protected asset name 62173 corresponding to the P-ID 62172, and the life cycle name can be specified by referring to the life cycle classification information 612. The data flow 62177 shows the data flow between subsystems of the protected asset name 62173 corresponding to the P-ID 62172, and the subsystem name can be specified by referring to the subsystem classification information 611.

図17に、リスク評価判定情報記憶部63に保持されているリスク値算出手法一覧情報631、図18にCVSS判定情報632のテーブル構成の一例を示す。   FIG. 17 shows an example of a table configuration of risk value calculation method list information 631 held in the risk evaluation determination information storage unit 63, and FIG. 18 shows a table configuration of CVSS determination information 632.

モデル定義支援部51は、リスク値算出手法一覧情報631を参照し、判定手法を選択項目として出力装置2に表示するとともに、入力装置1を用いた入力をもとにモデル定義における入力項目を変更する。手法名6311は、リスク値を算出する手法の名称である。参照情報6312は、手法名6311に応じて参照すべき具体的な判定情報である。   The model definition support unit 51 refers to the risk value calculation method list information 631, displays the determination method as a selection item on the output device 2, and changes the input items in the model definition based on the input using the input device 1. To do. The technique name 6311 is the name of the technique for calculating the risk value. The reference information 6312 is specific determination information to be referred to according to the method name 6311.

脅威リスク値計算部53は、CVSS判定情報632を参照して脅威のリスク値を算出する。パラメータ6321は、CVSSの基本値を求めるために必要となる6つの項目である。区分6322は、パラメータ6321ごとに参照すべきレンジを示すものである。判定値6323は、パラメータ6321における区分6322に設けられている値を示すものである。   The threat risk value calculation unit 53 refers to the CVSS determination information 632 and calculates a threat risk value. Parameters 6321 are six items necessary for obtaining the basic value of CVSS. The section 6322 indicates a range to be referred to for each parameter 6321. The determination value 6323 indicates a value provided in the section 6322 in the parameter 6321.

図19は、モデルの定義から、脅威事象の抽出、脅威リスク値の算出、対策優先度の判定、脅威リスク値一覧の出力までの本実施例における全体の概要処理フローを示す。   FIG. 19 shows an overall outline processing flow in this embodiment from model definition to threat event extraction, threat risk value calculation, countermeasure priority determination, and threat risk value list output.

ステップ511では、モデル定義支援部51は、出力装置2にリスク評価手法選択画面を表示し、入力装置1を用いてリスク評価手法が選択された場合は、ステップ512に進み、リスク評価手法が選択されていない場合は、ステップ511のまま処理を待つ。   In step 511, the model definition support unit 51 displays a risk evaluation method selection screen on the output device 2, and when a risk evaluation method is selected using the input device 1, the process proceeds to step 512 and the risk evaluation method is selected. If not, the process waits in step 511.

ステップ512では、モデル定義支援部51は、上記ステップ511で選択されたリスク値算出手法一覧情報631の手法名6311に応じた入力項目を表示し、リスク評価非依存情報記憶部61とリスク評価依存情報記憶部62で予め保持されている情報をもとに、入力装置1を介して入力された情報をサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納することで、評価対象のモデルを定義する。   In step 512, the model definition support unit 51 displays input items corresponding to the method name 6311 of the risk value calculation method list information 631 selected in step 511, and the risk evaluation independent information storage unit 61 and the risk evaluation dependent Based on information stored in advance in the information storage unit 62, information input via the input device 1 is converted into subsystem detailed information 6213, externally connected device information 6214, participant detailed information 6215, and internal device connection information 6216. By storing in the protected asset information 6217, a model to be evaluated is defined.

ステップ521では、脅威抽出部52はリスク評価非依存情報記憶部61とリスク評価依存情報記憶部62で予め保持されている情報と、上記ステップ512でサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納された情報をもとに脅威を抽出し、脅威リスク値情報618における脅威事象6182に登録する。   In step 521, the threat extraction unit 52 includes information previously stored in the risk evaluation independent information storage unit 61 and the risk evaluation dependency information storage unit 62, and the subsystem detailed information 6213, the external device information 6214, Threats are extracted based on the information stored in the participant detailed information 6215, internal device connection information 6216, and protected asset information 6217, and registered in the threat event 6182 in the threat risk value information 618.

ステップ531では、脅威リスク値計算部53は、脅威事象6182から上記ステップ521で抽出した各脅威を取得し、上記ステップ512でサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納された情報をもとに各脅威のリスク値を算出し、リスク値6183に登録する。   In step 531, the threat risk value calculation unit 53 acquires each threat extracted in step 521 from the threat event 6182, and in step 512, subsystem detailed information 6213, externally connected device information 6214, participant detailed information 6215, Based on the information stored in the internal device connection information 6216 and the protected asset information 6217, the risk value of each threat is calculated and registered in the risk value 6183.

ステップ541では、対策優先度判定部54はリスク値6183をもとに優先度を算出し、脅威リスク値情報618に登録する。例えば、脅威リスク値情報618をリスク値の高い脅威事象から並べて優先度を順位付けしてもよいし、他の方法を用いてもよい。なお、対策優先度判定部54は上記ステップ521で脅威事象が抽出されていない場合は、本対策優先度判定処理を実行しない。   In step 541, the countermeasure priority determination unit 54 calculates a priority based on the risk value 6183 and registers it in the threat risk value information 618. For example, the threat risk value information 618 may be arranged in order from the threat events having a high risk value to rank the priorities, or another method may be used. The countermeasure priority determination unit 54 does not execute the countermeasure priority determination process when no threat event is extracted in step 521.

ステップ551では、脅威リスク評価作成部55は、上記ステップ541で優先度付けされて脅威及びリスク値を脅威リスク値情報618から取得し、出力装置2に表示する。例えば、優先度の高い順番に出力装置2に表示してもよい。また、CSV形式のファイルとして出力してもよい。なお、脅威リスク評価作成部54は上記ステップ521で脅威事象が抽出されていない場合は、本脅威リスク評価結果出力処理を実行しない。   In step 551, the threat risk evaluation creating unit 55 acquires the threats and risk values prioritized in step 541 from the threat risk value information 618 and displays them on the output device 2. For example, you may display on the output device 2 in order with a high priority. Alternatively, it may be output as a CSV file. Note that the threat risk evaluation creation unit 54 does not execute the threat risk evaluation result output process if no threat event is extracted in step 521.

以上のステップにより、本脅威リスク評価支援装置は、対策優先度の高い脅威リスクを分析者に提示できる。   Through the above steps, the threat risk evaluation support apparatus can present a threat risk with a high countermeasure priority to the analyst.

図20は、上記ステップ512において、リスク判定手法の一例としてCVSSを選択した場合のモデル定義処理の概要処理フローを示す。   FIG. 20 shows an outline process flow of the model definition process when CVSS is selected as an example of the risk determination method in step 512.

ステップ5121では、モデル定義支援部51はサブシステム追加削除画面を表示する。   In step 5121, the model definition support unit 51 displays a subsystem addition / deletion screen.

ステップ5122では、モデル定義支援部51は上記ステップ5121において、サブシステムの追加或いは削除が選択された場合は、ステップ5123に進み、サブシステムの追加或いは削除が選択されなかった場合は、ステップ5124に進む。   In step 5122, the model definition support unit 51 proceeds to step 5123 if the addition or deletion of the subsystem is selected in step 5121, and proceeds to step 5124 if the addition or deletion of the subsystem is not selected. move on.

ステップ5123では、モデル定義支援部51は上記ステップ5122で選択或いは追加されたサブシステムをもとに、サブシステム区分情報611のS−ID6111とサブシステム名6112を追加、及び有効判定6113を有効化させる。   In step 5123, the model definition support unit 51 adds the S-ID 6111 and the subsystem name 6112 of the subsystem classification information 611 based on the subsystem selected or added in step 5122, and validates the validity determination 6113. Let

ステップ5124では、モデル定義支援部51はサブシステムに対するパラメータ情報登録画面を出力装置2に表示する。   In step 5124, the model definition support unit 51 displays a parameter information registration screen for the subsystem on the output device 2.

ステップ5125では、モデル定義支援部51は上記ステップ5124で入力装置2を用いてパラメータ情報を登録するサブシステムが選択された場合は、ステップ5125に進み、入力装置1を介して入力される情報をサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納する。一方、モデル定義支援部51は上記ステップ5124で入力装置2を用いてパラメータ情報を登録するサブシステムが選択されていない場合、ステップ5125のまま処理を待つ。   In step 5125, if the subsystem for registering parameter information using the input device 2 is selected in step 5124, the model definition support unit 51 proceeds to step 5125 and displays information input via the input device 1. It is stored in subsystem detailed information 6213, externally connected device information 6214, participant detailed information 6215, internal device connection information 6216, and protected asset information 6217. On the other hand, if the subsystem for registering the parameter information using the input device 2 is not selected in step 5124, the model definition support unit 51 waits for the processing in step 5125.

ステップ5126では、モデル定義支援部51はすべてのサブシステムのパラメータ情報登録処理が完了している場合、本処理を終了し、パラメータ情報登録処理が済んでいないサブシステムがある場合、ステップ5125に進む。   In step 5126, the model definition support unit 51 ends this process when the parameter information registration processing of all subsystems is completed, and proceeds to step 5125 when there is a subsystem for which parameter information registration processing has not been completed. .

以上のステップにより、モデル定義支援部51は、評価対象のモデルを定義することができる。   Through the above steps, the model definition support unit 51 can define a model to be evaluated.

図21は、上記ステップ5125において、サブシステムに対するパラメータ情報登録の概要処理フローを示す。   FIG. 21 shows an outline processing flow of parameter information registration for the subsystem in step 5125.

ステップ51251では、モデル定義支援部51は入力装置1を用いて入力されたサブシステムに対する外部接続機器数をサブシステム詳細情報6213の外部接続数62132として登録する。   In step 51251, the model definition support unit 51 registers the number of externally connected devices for the subsystem input using the input device 1 as the externally connected number 62132 of the subsystem detailed information 6213.

ステップ51252では、モデル定義支援部51は上記ステップ51251で入力された外部接続機器数に応じて、入力装置1を用いて外部接続機器の詳細な情報として、外部接続機器名62143、経路区分62144、認証回数62145、関与者種別数62145に登録する。ここで、経路区分62144は、経路区分情報6211をもとに選択項目を出力装置1に表示し、入力装置1を用いて選択させてもよい。   In step 51252, the model definition support unit 51 uses the input device 1 as the detailed information of the externally connected device according to the number of externally connected devices input in step 51251, as the externally connected device name 62143, route classification 62144, The number of authentications is 62145, and the number of participant types is 62145. Here, the route category 62144 may display selection items on the output device 1 based on the route category information 6211 and may be selected using the input device 1.

ステップ51253では、モデル定義支援部51は上記ステップ51252で入力された関与者種別数に応じて、入力装置1を用いて外部接続機器における関与者の詳細な情報として、関与者区分62152、攻撃タイミング62153を登録する。関与者区分62152は、関与者区分情報614をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。攻撃タイミング62153は、関与者・ライフサイクル・動機対応情報615をもとに、関与者種別6151に対応するライフサイクル種別6152に該当するライフサイクルを選択項目として出力装置2に表示し、入力装置1を用いて選択させてもよい。   In step 51253, the model definition support unit 51 uses the input device 1 as the detailed information of the participants in the externally connected device according to the number of participant types input in step 51252. 62153 is registered. The participant category 62152 may display a selection item on the output device 2 based on the participant category information 614 and select the selected item using the input device 1. The attack timing 62153 displays the life cycle corresponding to the life cycle type 6152 corresponding to the participant type 6151 on the output device 2 as a selection item based on the participant / life cycle / motivation correspondence information 615, and the input device 1 You may make it select using.

ステップ51254では、モデル定義支援部51は入力装置1を用いて、サブシステムが通信を行う内部接続機器の数をサブシステム詳細情報6213の内部接続数62133に登録する。   In step 51254, the model definition support unit 51 uses the input device 1 to register the number of internal connection devices with which the subsystem communicates in the internal connection number 62133 of the subsystem detailed information 6213.

ステップ51255では、モデル定義支援部51は上記ステップ51254で入力された内部接続機器数に応じて、入力装置1を用いて内部接続機器の詳細な情報として、内部接続機器62163、認証回数62164を登録する。ここで、内部接続機器62163は、サブシステム区分情報611をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。   In step 51255, the model definition support unit 51 registers the internal connection device 62163 and the authentication count 62164 as detailed information of the internal connection device using the input device 1 in accordance with the number of internal connection devices input in step 51254. To do. Here, the internal connection device 62163 may display a selection item on the output device 2 based on the subsystem classification information 611 and select it using the input device 1.

ステップ51256では、モデル定義支援部51は入力装置1を用いて、サブシステムにおける保護資産の数をサブシステム詳細情報6213の保護資産数62134に登録する。   In step 51256, the model definition support unit 51 uses the input device 1 to register the number of protected assets in the subsystem in the number of protected assets 62134 in the subsystem detailed information 6213.

ステップ51257では、モデル定義支援部51は上記ステップ51256で入力された保護資産数に応じて、入力装置1を用いて保護資産の詳細な情報として、保護資産名62173、資産種別62174、機密性への影響度62175、保護期間62176、データフロー62177を登録する。資産種別62174は資産種別・脅威対応情報616の資産種別6161をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。機密性への影響度62175は、機密性への影響度情報6212をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。保護期間62176は、ライフサイクル区分情報612をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。データフロー62177は、サブシステム区分情報611をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。   In step 51257, the model definition support unit 51 uses the input device 1 as the detailed information of the protected assets in accordance with the number of protected assets input in step 51256, and converts the protected asset name 62173, asset type 62174, and confidentiality. The degree of influence 62175, the protection period 62176, and the data flow 62177 are registered. For the asset type 62174, selection items may be displayed on the output device 2 based on the asset type 6161 of the asset type / threat response information 616 and may be selected using the input device 1. The confidentiality impact level 62175 may be selected using the input device 1 by displaying a selection item on the output device 2 based on the confidentiality impact level information 6212. In the protection period 62176, selection items may be displayed on the output device 2 based on the life cycle classification information 612 and may be selected using the input device 1. The data flow 62177 may display a selection item on the output device 2 based on the subsystem classification information 611 and select it using the input device 1.

ステップ51258では、モデル定義支援部51は入力装置1を用いて、サブシステムに定められているASILの値をASIL値62135に登録する。ここで、ASIL値62135は、ASIL区分情報613をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。   In step 51258, the model definition support unit 51 registers the ASIL value defined in the subsystem in the ASIL value 62135 using the input device 1. Here, the ASIL value 62135 may be selected using the input device 1 by displaying a selection item on the output device 2 based on the ASIL division information 613.

ステップ51259では、モデル定義支援部51は上記ステップ51251からす轍鮒51258までの処理においてパラメータの登録が完了したサブシステムを示す活性化画面を表示する。   In step 51259, the model definition support unit 51 displays an activation screen indicating the subsystem for which parameter registration has been completed in the processing from step 51251 to susumu 51258.

以上のステップにより、上記ステップ5125において選択したサブシステムに対するパラメータ情報を登録できる。   Through the above steps, parameter information for the subsystem selected in step 5125 can be registered.

図22は、上記ステップ521において、評価対象における脅威事象抽出の概要処理フローを示す。   FIG. 22 shows an outline processing flow of threat event extraction in the evaluation target in the above step 521.

ステップ52101では、脅威抽出部52はサブシステム区分情報611からサブシステム名6122を取得する。   In step 52101, the threat extraction unit 52 acquires the subsystem name 6122 from the subsystem classification information 611.

ステップ52102では、脅威抽出部52は上記ステップ52101でサブシステム区分情報611のサブシステム名が存在する場合、ステップ52103に進み、サブシステム区分情報611のサブシステム名が存在しない場合、本処理を終了する。   In step 52102, the threat extraction unit 52 proceeds to step 52103 when the subsystem name of the subsystem classification information 611 exists in the above step 52101, and ends this processing when the subsystem name of the subsystem classification information 611 does not exist. To do.

ステップ52103では、脅威抽出部52は評価対象における攻撃対象として、サブシステム区分情報611の選択されていないサブシステム名6122を取得する。例えば、脅威抽出部52はサブシステム名6122の総数を取得するとともに、カウンタを用いてサブシステム名6122が選択される度にカウンタの値をアップさせ、上記サブシステム名6122の総数及び上記カウンタ値をメモリで保持し、順番にサブシステム名6122を取得することで、選択されていないサブシステム6122を取得してもよい。   In step 52103, the threat extraction unit 52 acquires an unselected subsystem name 6122 in the subsystem classification information 611 as an attack target in the evaluation target. For example, the threat extraction unit 52 acquires the total number of subsystem names 6122 and increases the value of the counter every time the subsystem name 6122 is selected using a counter, so that the total number of subsystem names 6122 and the counter value are increased. May be acquired in the memory, and subsystem names 6122 that are not selected may be acquired by acquiring the subsystem names 6122 in order.

ステップ52104では、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する外部接続機器として、サブシステム区分情報611のS−ID6111をもとに、外部接続機器情報6214のS−ID62141に対応する選択されていない外部接続機器名62143を取得する。例えば、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する外部接続機器名62143の総数を取得するとともに、カウンタを用いて外部接続機器名62143が選択される度にカウンタの値をアップさせ、上記外部接続機器名62143の総数及び上記カウンタ値をメモリで保持し、順番に外部接続機器名62143を取得することで、選択されていない外部接続機器名62143を取得してもよい。   In step 52104, the threat extraction unit 52 corresponds to the S-ID 62141 of the externally connected device information 6214 based on the S-ID 6111 of the subsystem classification information 611 as the externally connected device corresponding to the subsystem acquired in the above step 52103. The name of the externally connected device 62143 that has not been selected is acquired. For example, the threat extraction unit 52 acquires the total number of externally connected device names 62143 corresponding to the subsystem acquired in step 52103 and increases the counter value each time the externally connected device name 62143 is selected using a counter. Then, the total number of the externally connected device names 62143 and the counter value may be held in the memory, and the externally connected device names 62143 may be acquired in order to acquire the externally connected device names 62143 that are not selected.

ステップ52105では、脅威抽出部52は上記ステップ52104で取得した外部接続機器に関連する関与者として、外部接続機器情報6214のE−ID62141をもとに、関与者詳細情報6215のE−ID62151に対応する選択されていない関与者区分62152を参照し、関与者区分情報614から関与者名6142を取得する。例えば、脅威抽出部52は上記ステップ52104で取得した外部接続機器に対応する関与者名6142の総数を取得するとともに、カウンタを用いて関与者名6142が選択される度にカウンタの値をアップさせ、上記関与者名6142の総数及び上記カウンタ値をメモリで保持し、順番に関与者名6142を取得することで、選択されていない関与者名6142を取得してもよい。   In step 52105, the threat extraction unit 52 corresponds to the E-ID 62151 of the participant detailed information 6215 based on the E-ID 62141 of the externally connected device information 6214 as a participant related to the externally connected device acquired in the above step 52104. The participant name 6142 is acquired from the participant category information 614 with reference to the participant category 62152 that is not selected. For example, the threat extraction unit 52 acquires the total number of participant names 6142 corresponding to the externally connected devices acquired in step 52104, and increases the value of the counter each time the participant name 6142 is selected using the counter. The total number of the participant names 6142 and the counter value may be held in a memory, and the participant names 6142 that are not selected may be acquired by acquiring the participant names 6142 in order.

ステップ52106では、脅威抽出部52は上記ステップ52105で取得した関与者の攻撃タイミングとして、関与者詳細情報6215の関与者区分62152をもとに、選択されていない攻撃タイミング62153を参照し、ライフサイクル区分情報612のライフサイクル名6122を取得する。例えば、脅威抽出部52は上記ステップ52105で取得した関与者に対応する攻撃タイミング62153の総数を取得するとともに、カウンタを用いて攻撃タイミング62153が選択される度にカウンタの値をアップさせ、上記攻撃タイミング62153の総数及び上記カウンタ値をメモリで保持し、順番に攻撃タイミング62153を取得することで、選択されていない攻撃タイミング62153を取得してもよい。   In step 52106, the threat extraction unit 52 refers to the attack timing 62153 that is not selected based on the participant classification 62152 of the participant detailed information 6215 as the attack timing of the participant acquired in step 52105, and determines the life cycle. The life cycle name 6122 of the division information 612 is acquired. For example, the threat extraction unit 52 acquires the total number of attack timings 62153 corresponding to the participants acquired in step 52105, and increases the counter value each time the attack timing 62153 is selected using the counter. The attack timing 62153 which is not selected may be acquired by holding the total number of timings 62153 and the counter value in the memory and acquiring the attack timings 62153 in order.

ステップ52107では、脅威抽出部52は上記52105で取得した関与者の動機として、関与者詳細情報6215の関与者区分62152をもとに、関与者・ライフサイクル・動機対応情報615の関与者種別6151を参照し、選択されていない動機6153を取得する。例えば、脅威抽出部52は上記ステップ52105で取得した関与者に対応する動機6153の総数を取得するとともに、カウンタを用いて動機6153が選択される度にカウンタの値をアップさせ、上記動機6153の総数及び上記カウンタ値をメモリで保持し、順番に動機6153を取得することで、選択されていない動機6153を取得してもよい。   In step 52107, the threat extraction unit 52 uses the participant classification 6151 of the participant / life cycle / motivation correspondence information 615 based on the participant classification 62152 of the participant detailed information 6215 as the motive of the participant acquired in 52105. To obtain the motivation 6153 that is not selected. For example, the threat extraction unit 52 acquires the total number of motivation 6153 corresponding to the participant acquired in step 52105 and increases the value of the counter each time the motivation 6153 is selected using the counter. The motivation 6153 which is not selected may be acquired by holding the total number and the counter value in the memory and acquiring the motivation 6153 in order.

ステップ52108では、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する保護資産として、サブシステム区分情報611のS−ID6111をもとに、保護資産情報6217のS−ID62171に対応する選択されていない保護資産名62173を取得する。例えば、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する保護資産名62173の総数を取得するとともに、カウンタを用いて保護資産名62173が選択される度にカウンタの値をアップさせ、上記保護資産名62173の総数及び上記カウンタ値をメモリで保持し、順番に保護資産名62173を取得することで、選択されていない保護資産名62173を取得してもよい。   In step 52108, the threat extraction unit 52 selects, as the protected asset corresponding to the subsystem acquired in step 52103, the S-ID 62171 of the protected asset information 6217 based on the S-ID 6111 of the subsystem classification information 611. An unprotected asset name 62173 is acquired. For example, the threat extraction unit 52 acquires the total number of protected asset names 62173 corresponding to the subsystem acquired in step 52103 above, and increases the value of the counter each time the protected asset name 62173 is selected using the counter. The total number of the protected asset names 62173 and the counter value may be held in a memory, and the protected asset names 62173 may be acquired in order to acquire the protected asset names 62173 that are not selected.

ステップ52109では、脅威抽出部52は上記ステップ52108で取得した保護資産に対応する脅威として、保護資産名62173の資産種別62174をもとに、資産種別・脅威対応情報616の資産種別6161に対応する選択されていない脅威6162を取得する。例えば、脅威抽出部52は上記ステップ52108で取得した保護資産に対応する脅威6162の総数を取得するとともに、カウンタを用いて脅威6162が選択される度にカウンタの値をアップさせ、上記脅威6162の総数及び上記カウンタ値をメモリで保持し、順番に脅威6162を取得することで、選択されていない脅威6162を取得してもよい。   In step 52109, the threat extraction unit 52 corresponds to the asset type 6161 of the asset type / threat correspondence information 616 based on the asset type 62174 of the protected asset name 62173 as the threat corresponding to the protected asset acquired in step 52108. An unselected threat 6162 is acquired. For example, the threat extraction unit 52 acquires the total number of threats 6162 corresponding to the protected assets acquired in step 52108 and increases the counter value each time the threat 6162 is selected using the counter. The unselected threat 6162 may be acquired by holding the total number and the counter value in the memory and acquiring the threats 6162 in order.

テップ52110では、脅威抽出部52は上記ステップ52109で取得した脅威に対応する影響内容として、脅威一覧情報617の脅威6171に対応する影響内容6173を取得する。例えば、脅威抽出部52は上記ステップ52109で取得した脅威に対応する影響内容6173の総数を取得するとともに、カウンタを用いて影響内容6173が選択される度にカウンタの値をアップさせ、上記影響内容6173の総数及び上記カウンタ値をメモリで保持し、順番に影響内容6173を取得することで、選択されていない影響内容6173を取得してもよい。   In step 52110, the threat extraction unit 52 acquires the influence content 6173 corresponding to the threat 6171 in the threat list information 617 as the influence content corresponding to the threat acquired in step 52109. For example, the threat extraction unit 52 acquires the total number of the influence contents 6173 corresponding to the threat obtained in the above step 52109, and increases the counter value each time the influence contents 6173 are selected using the counter. The total number of 6173 and the counter value may be held in the memory, and the influence contents 6173 that are not selected may be obtained by obtaining the influence contents 6173 in order.

ステップ52111では、脅威抽出部52は上記ステップ52106で取得した攻撃タイミングが上記ステップ52110で取得した影響内容に対応するライフサイクル6174に存在する場合、ステップ52112に進み、上記ステップ52106で取得した攻撃タイミングが上記ステップ52110で取得した影響内容に対応するライフサイクル6174に存在しない場合、ステップ52113に進む。   In step 52111, when the attack timing acquired in step 52106 exists in the life cycle 6174 corresponding to the influence content acquired in step 52110, the threat extraction unit 52 proceeds to step 52112, and the attack timing acquired in step 52106. Is not present in the life cycle 6174 corresponding to the influence content acquired in step 52110, the process proceeds to step 52113.

ステップ52112では、脅威抽出部52は上記ステップ52103からステップ52110で取得した、攻撃対象、外部接続機器、関与者、攻撃タイミング、動機、保護資産、脅威、影響内容を、脅威事象6182に登録する。例えば、「攻撃対象」に対して、「関与者」が、「攻撃タイミング」時に、「動機」で、「外部接続機器」経由で、「保護資産」を「脅威」することにより、「脅威内容」。という文章を作成し、脅威事象6182に登録してもよい。また、脅威抽出部52は攻撃対象を識別するS−ID、外部接続機器を識別するE−ID、保護資産を識別するP−IDを、S−ID6184、E−ID6185、P−ID6186に登録する。   In step 52112, the threat extraction unit 52 registers the attack target, external connection device, participant, attack timing, motive, protected asset, threat, and influence content acquired in steps 52103 to 52110 in the threat event 6182. For example, for the “attack target”, the “participant” “threats” the “protected asset” via the “external device” at the “motivation” at the “attack timing”. " May be created and registered in threat event 6182. Further, the threat extraction unit 52 registers an S-ID for identifying an attack target, an E-ID for identifying an external device, and a P-ID for identifying a protected asset in S-ID 6184, E-ID 6185, and P-ID 6186. .

ステップ52113では、脅威抽出部52は上記ステップ52110でメモリに保持している影響内容6173の総数とカウンタの値を比較する。脅威抽出部52は、影響内容6173の総数とカウンタの値が等しい場合、カウンタの値を消去し、ステップ52114に進み、影響内容6173の総数とカウンタの値が等しくない場合、上記ステップ52110に進む。   In step 52113, the threat extraction unit 52 compares the total number of influence contents 6173 held in the memory in step 52110 with the counter value. If the total number of influence contents 6173 and the counter value are equal, the threat extraction unit 52 deletes the counter value and proceeds to step 52114. If the total number of influence contents 6173 and the counter value are not equal, the threat extraction unit 52 proceeds to step 52110. .

ステップ52114では、脅威抽出部52は上記ステップ52109でメモリに保持している脅威6162の総数とカウンタ値を比較する。脅威抽出部52は、脅威6162の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52115に進み、脅威6162の総数とカウンタ値が等しくない場合、上記ステップ52109に進む。   In step 52114, the threat extraction unit 52 compares the counter value with the total number of threats 6162 held in the memory in step 52109. If the counter value is equal to the total number of threats 6162, the threat extraction unit 52 deletes the counter value and proceeds to Step 52115. If the total number of threats 6162 and the counter value are not equal, the threat extraction unit 52 proceeds to Step 52109.

ステップ52115では、脅威抽出部52は上記ステップ52108でメモリに保持している保護資産名62173の総数とカウンタ値を比較する。脅威抽出部52は、保護資産名62173の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52116に進み、保護資産名62173の総数とカウンタ値が等しくない場合、上記ステップ52108に進む。   In step 52115, the threat extraction unit 52 compares the counter value with the total number of protected asset names 62173 held in the memory in step 52108. If the total number of protected asset names 62173 is equal to the counter value, the threat extraction unit 52 deletes the counter value and proceeds to step 52116. If the total number of protected asset names 62173 and the counter value are not equal, the threat extraction unit 52 proceeds to step 52108. .

ステップ52116では、脅威抽出部52は上記ステップ52107でメモリに保持している動機6153の総数とカウンタ値を比較する。脅威抽出部52は、動機6153の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52117に進み、動機6153の総数とカウンタ値が等しくない場合、上記ステップ52107に進む。   In step 52116, the threat extraction unit 52 compares the counter value with the total number of motivation 6153 held in the memory in step 52107. If the total number of motives 6153 is equal to the counter value, the threat extraction unit 52 deletes the counter value, and the process proceeds to step 52117. If the total number of motives 6153 and the counter value are not equal, the process proceeds to step 52107.

ステップ52117では、脅威抽出部52は上記ステップ52106でメモリに保持している攻撃タイミング62153の総数とカウンタ値を比較する。脅威抽出部52は、攻撃タイミング62153の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52118に進み、攻撃タイミング62153の総数とカウンタ値が等しくない場合、上記ステップ52106に進む。   In step 52117, the threat extraction unit 52 compares the counter value with the total number of attack timings 62153 held in the memory in step 52106. If the counter value is equal to the total number of attack timings 62153, the threat extraction unit 52 deletes the counter value and proceeds to step 52118. If the total number of attack timings 62153 and the counter value are not equal, the threat extraction unit 52 proceeds to step 52106.

ステップ52118では、脅威抽出部52は上記ステップ52105でメモリに保持している関与者名6142の総数とカウンタ値を比較する。脅威抽出部52は、関与者名6142の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52119に進み、関与者名6142の総数とカウンタ値が等しくない場合、上記ステップ52105に進む。   In step 52118, the threat extraction unit 52 compares the counter value with the total number of participant names 6142 held in the memory in step 52105. If the total number of participant names 6142 and the counter value are equal, the threat extraction unit 52 deletes the counter value and proceeds to step 52119. If the total number of participant names 6142 and the counter value are not equal, the threat extraction unit 52 proceeds to step 52105. .

ステップ52119では、脅威抽出部52は上記ステップ52104でメモリに保持している外部接続機器名62143の総数とカウンタ値を比較する。脅威抽出部52は、外部接続機器名62143の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52120に進み、外部接続機器名62143の総数とカウンタ値が等しくない場合、上記ステップ52104に進む。   In step 52119, the threat extraction unit 52 compares the counter value with the total number of externally connected device names 62143 held in the memory in step 52104. When the total number of externally connected device names 62143 is equal to the counter value, the threat extraction unit 52 deletes the counter value, and proceeds to step 52120. When the total number of externally connected device names 62143 is not equal to the counter value, the above step 52104 is performed. Proceed to

ステップ52120では、脅威抽出部52は上記ステップ52103でメモリに保持しているサブシステム名6122の総数とカウンタ値を比較する。脅威抽出部52は、サブシステム名6122の総数とカウンタ値が等しい場合、カウンタの値を消去し、本処理を終了し、サブシステム名6122の総数とカウンタ値が等しくない場合、上記ステップ52103に進む。   In step 52120, the threat extraction unit 52 compares the counter value with the total number of subsystem names 6122 held in the memory in step 52103. If the total number of subsystem names 6122 is equal to the counter value, the threat extraction unit 52 deletes the counter value, ends this processing, and if the total number of subsystem names 6122 is not equal to the counter value, the threat extraction unit 52 proceeds to step 52103 above. move on.

以上のステップにより、上記ステップ521において、評価対象における脅威事象を抽出できる。   Through the above steps, threat events in the evaluation target can be extracted in step 521.

図23は、上記ステップ531において、抽出した脅威事象のリスク値算出の概要処理フローを示す。   FIG. 23 shows an outline processing flow for calculating the risk value of the threat event extracted in step 531.

ステップ5310では、脅威リスク値計算部53は上記ステップ521で抽出した脅威事象6182の中から、リスク値が算出されていない脅威事象のS−ID6184、E−ID6185、P−ID6186、脅威種別6187を取得する。   In step 5310, the threat risk value calculation unit 53 obtains S-ID 6184, E-ID 6185, P-ID 6186, and threat type 6187 of threat events for which risk values have not been calculated from the threat events 6182 extracted in step 521. get.

ステップ5311では、脅威リスク値計算部53は上記ステップ5310で脅威事象6182に脅威事象のS−ID6184、E−ID6185、P−ID6186、脅威種別6187が格納されている場合、ステップ5312に進み、脅威事象6182に脅威事象のS−ID6184、E−ID6185、P−ID6186、脅威種別6187が格納されていない場合、本処理を終了する。   In step 5311, if the threat risk value calculation unit 53 stores S-ID 6184, E-ID 6185, P-ID 6186, and threat type 6187 of the threat event in the threat event 6182 in step 5310, the process proceeds to step 5312. If S-ID 6184, E-ID 6185, P-ID 6186, and threat type 6187 of the threat event are not stored in event 6182, this process ends.

ステップ5312では、脅威リスク値計算部53は上記ステップ5310で取得したE−ID6185に対応する経路区分62144を取得し、CVSS判定情報632のパラメータ6321のAVにおける区分6322を参照し、その判定値6323を取得する。   In step 5312, the threat risk value calculation unit 53 acquires the path segment 62144 corresponding to the E-ID 6185 acquired in step 5310, refers to the segment 6322 in AV of the parameter 6321 of the CVSS determination information 632, and determines the determination value 6323. To get.

ステップ5313では、脅威リスク値計算部53は上記ステップ5310で取得したS−ID6184における外部接続数62132と、評価対象における外部接続機器数の総数とを比較して攻撃条件の複雑さを算出する。例えば、外部接続機器の総数を「n」、「Y1 = n/3」、「Y2 = 2Y1」とし、外部接続数62132がY1より小さい場合は「高」、外部接続数62132がY1以上Y2より小さい場合は「中」、外部接続数62132がY2以上の場合は「低」とし、CVSS判定情報632のパラメータ6321のACにおける区分6322を参照し、その判定値6323を取得する。 In step 5313, the threat risk value calculation unit 53 compares the number of external connections 62132 in the S-ID 6184 acquired in step 5310 with the total number of externally connected devices in the evaluation target to calculate the complexity of the attack condition. For example, if the total number of externally connected devices is “n”, “Y 1 = n / 3”, “Y 2 = 2Y 1 ”, and the external connection number 62132 is smaller than Y 1, then “high” and the external connection number 62132 is If it is Y 1 or more and smaller than Y 2, it is set to “medium”, and if the external connection number 62132 is Y 2 or more, it is set to “low”, referring to the AC classification 6322 of parameter 6321 of the CVSS determination information 632 get.

ステップ5314では、脅威リスク値計算部53は上記ステップ5312で取得したE−ID6185に対応する認証回数62145と、上記ステップ5310で取得したS−ID6184に対応する内部接続機器62163の中から最小値となる認証回数62164との合計値を「m」とし、mが0の場合は「不要」、mが1の場合は「単一」、mが2以上の場合は「複数」とし、CVSS判定情報632のパラメータ6321のAuにおける区分6322を参照し、その判定値6323を取得する。   In step 5314, the threat risk value calculation unit 53 obtains the minimum value from the authentication count 62145 corresponding to the E-ID 6185 acquired in step 5312 and the internal connection device 62163 corresponding to the S-ID 6184 acquired in step 5310. The total number of authentication times 62164 is “m”, “unnecessary” when m is 0, “single” when m is 1, “multiple” when m is 2 or more, and CVSS determination information The determination value 6323 is obtained by referring to the section 6322 in Au of the parameter 6321 of 632.

ステップ5315では、脅威リスク値計算部53は上記ステップ5310で取得した脅威種別6187に応じて、「C:機密性への影響度」、「I:完全性への影響度」、「A:可用性への影響度」の算出方法を変更し、その判定値6323を取得する。   In step 5315, the threat risk value calculation unit 53 “C: influence on confidentiality”, “I: influence on integrity”, “A: availability” according to the threat type 6187 acquired in step 5310. The calculation method of the “effect level” is changed, and the determination value 6323 is acquired.

ステップ5316では、脅威リスク値計算部53は上記ステップ5312からステップ5315で取得した判定値6323をCVSSの基本値算出計算式に代入し、その計算結果をリスク値6183として登録する。   In step 5316, the threat risk value calculation unit 53 substitutes the determination value 6323 acquired in steps 5312 to 5315 in the CVSS basic value calculation formula, and registers the calculation result as the risk value 6183.

ステップ5317では、脅威リスク値計算部53は上記ステップ5310からステップ5316で、すべての脅威事象6182におけるリスク値6183を算出している場合、本処理を終了し、上記ステップ5310からステップ5316で、すべての脅威事象6182におけるリスク値6183を算出していない場合、ステップ5310に進む。   In step 5317, if the threat risk value calculation unit 53 has calculated the risk values 6183 in all the threat events 6182 in steps 5310 to 5316, the present processing is terminated, and in steps 5310 to 5316, all If the risk value 6183 for the threat event 6182 is not calculated, the process proceeds to step 5310.

以上のステップにより、上記ステップ531において、抽出した脅威事象のリスク値を算出できる。   Through the above steps, the risk value of the threat event extracted in step 531 can be calculated.

図24は、上記ステップ5315において、脅威種別6187に応じて、「C:機密性への影響度」、「I:完全性への影響度」、「A:可用性への影響度」を算出する概要処理フローを示す。   FIG. 24 calculates “C: influence on confidentiality”, “I: influence on integrity”, and “A: influence on availability” in step 5315 according to the threat type 6187. An outline processing flow is shown.

ステップ531501では、脅威リスク値計算部53は上記ステップ5310で取得した脅威種別6187が「参照」の場合、ステップ531502に進み、脅威種別6187が「改ざん」、或いは「削除」、或いは「実行」の場合、ステップ531505に進み、脅威種別6187が「通信妨害」の場合、ステップ531509に進む。   In step 531501, if the threat type 6187 acquired in step 5310 is “reference”, the threat risk value calculation unit 53 proceeds to step 531502, and the threat type 6187 is “tampered”, “deleted”, or “executed”. In this case, the process proceeds to step 531505, and if the threat type 6187 is “communication interruption”, the process proceeds to step 531509.

ステップ531502では、脅威リスク値計算部53は完全性への影響度、及び可用性への影響度を「0」とする。   In step 531502, the threat risk value calculation unit 53 sets the degree of influence on integrity and the degree of influence on availability to “0”.

ステップ531503では、脅威リスク値計算部53は上記ステップ5310で取得したP−ID6186の機密性への影響度62175を取得する。   In step 531503, the threat risk value calculation unit 53 acquires the degree of influence 62175 on the confidentiality of the P-ID 6186 acquired in step 5310.

ステップ531504では、脅威リスク値計算部53は上記ステップ531504で取得した機密性への影響度62175をもとに、CVSS判定情報632のパラメータ6321のCにおける区分6322を参照し、その判定値6323を取得する。   In step 531504, the threat risk value calculation unit 53 refers to the classification 6322 in C of the parameter 6321 of the CVSS determination information 632 based on the confidentiality influence level 62175 acquired in step 531504, and sets the determination value 6323. get.

ステップ531505では、脅威リスク値算出部53は機密性への影響度を「0」とする。   In step 531505, the threat risk value calculation unit 53 sets the degree of influence on confidentiality to “0”.

ステップ531506では、脅威リスク値計算部53は上記ステップ5310で取得したP−ID6186のデータフロー62177として格納されているS−ID62131を取得する。   In step 531506, the threat risk value calculation unit 53 acquires the S-ID 62131 stored as the data flow 62177 of the P-ID 6186 acquired in step 5310.

ステップ531507では、脅威リスク値計算部53は上記ステップ531507で取得したS−ID62131の中から、最も高いASIL値62135を取得する。   In step 531507, the threat risk value calculation unit 53 acquires the highest ASIL value 62135 from the S-ID 62131 acquired in step 531507.

ステップ531508では、脅威リスク値計算部53は上記ステップ531507で取得した最も高いASIL値62135をもとに、CVSS判定情報632のパラメータ6321のIとAにおける区分6322をそれぞれ参照し、その判定値6323をそれぞれ取得する。   In step 531508, the threat risk value calculation unit 53 refers to the classification 6322 in I and A of the parameter 6321 of the CVSS determination information 632 based on the highest ASIL value 62135 acquired in step 531507, and determines the determination value 6323. Get each.

ステップ531509では、脅威リスク値計算部53は機密性への影響度、及び完全性への影響度を「0」とする。   In step 531509, the threat risk value calculation unit 53 sets the influence degree to the confidentiality and the influence degree to the integrity to “0”.

ステップ531510では、脅威リスク値計算部53は上記ステップ5310で取得したS−ID6184をもとに、対応するASIL値62135を取得する。   In step 531510, the threat risk value calculation unit 53 acquires the corresponding ASIL value 62135 based on the S-ID 6184 acquired in step 5310.

ステップ531511では、脅威リスク値計算部53は上記ステップ531510で取得したASIL値62135をもとに、CVSS判定情報632のパラメータ6321のAにおける区分6322を参照し、その判定値6323を取得する。   In step 531511, the threat risk value calculation unit 53 refers to the section 6322 in the parameter 6321 of the CVSS determination information 632 based on the ASIL value 62135 acquired in step 531510, and acquires the determination value 6323.

以上のステップにより、上記ステップ5315において、脅威種別6187に応じて、「C:機密性への影響度」、「I:完全性への影響度」、「A:可用性への影響度」を算出できる。   Through the above steps, in step 5315, “C: impact on confidentiality”, “I: impact on integrity”, and “A: impact on availability” are calculated according to threat type 6187. it can.

図25に、上記ステップ511で表示されるリスク評価手法選択画面、図26に、上記ステップ5121で表示されるサブシステム変更画面、図27に、上記ステップ5124で表示されるサブシステムのパラメータ情報登録画面の一例を示す。   FIG. 25 shows a risk evaluation method selection screen displayed in step 511, FIG. 26 shows a subsystem change screen displayed in step 5121, and FIG. 27 shows subsystem parameter information registration displayed in step 5124. An example of a screen is shown.

図25では、モデル定義支援部51は、利用するリスク評価手法を選択させる(ステップ511)。例えば、リスク値算出手法一覧情報631の手法名6311をもとに、リスク評価手法51002をプルダウン形式で選択させてもよい。選択完了後、次へボタン51001を押下することで図26の画面に遷移する。   In FIG. 25, the model definition support unit 51 selects a risk evaluation method to be used (step 511). For example, the risk evaluation method 51002 may be selected in a pull-down format based on the method name 6311 of the risk value calculation method list information 631. After the selection is completed, a next button 51001 is pressed to shift to the screen in FIG.

図26では、モデル定義支援部51は、評価対象となるサブシステムを選択または追加させる(ステップ5121)。例えば、サブシステム区分情報611のサブシステム名6112をもとに、サブシステムの選択項目51004をラジオボックス形式で選択させてもよい。モデル定義支援部51は、欄追加ボタン51005が押下された場合、入力装置1を用いてサブシステムを入力させるとともに、サブシステム区分情報611に登録する。戻るボタン51003を押下する場合、図25の画面を表示し、次へボタン51006を押下する場合、図27の画面を表示する。   In FIG. 26, the model definition support unit 51 selects or adds a subsystem to be evaluated (step 5121). For example, the subsystem selection item 51004 may be selected in a radio box format based on the subsystem name 6112 of the subsystem classification information 611. When the column addition button 51005 is pressed, the model definition support unit 51 inputs the subsystem using the input device 1 and registers it in the subsystem classification information 611. When the return button 51003 is pressed, the screen of FIG. 25 is displayed. When the next button 51006 is pressed, the screen of FIG. 27 is displayed.

図27では、モデル定義支援部51は、上記ステップ5121で選択或いは追加されたサブシステムを非活性化状態で出力装置2に表示し、詳細なパラメータ情報を入力するサブシステムを選択させる(ステップ5124)。例えば、サブシステムとして情報系サブシステムオブジェクト51007を押下させ、図28の画面をポップアップ形式で表示してもよい。なお、戻るボタン51006を押下する場合、図26の画面に戻る。   In FIG. 27, the model definition support unit 51 displays the subsystem selected or added in step 5121 on the output device 2 in a deactivated state, and selects a subsystem for inputting detailed parameter information (step 5124). ). For example, the information system subsystem object 51007 may be pressed as a subsystem to display the screen of FIG. 28 in a pop-up format. When the return button 51006 is pressed, the screen returns to the screen of FIG.

図28に、上記ステップ51251で表示される外部接続機器数登録画面、図29に、上記ステップ51252で表示される外部接続機器詳細情報登録画面、図30に、上記ステップ5163で表示される関与者詳細情報登録画面の一例を示す。   FIG. 28 shows the externally connected device number registration screen displayed in step 51251, FIG. 29 shows the externally connected device detailed information registration screen displayed in step 51252, and FIG. 30 shows the participants displayed in step 5163. An example of a detailed information registration screen is shown.

図28では、モデル定義支援部51は外部接続機器数を登録させる(ステップ51251)。例えば、外部接続機器数51009のように選択ボタンを用いて加算或いは減算させてもよいし、入力装置1を用いて直接入力してもよい。なお、戻るボタン51008を押下する場合は、ポップアップ画面を閉じて図27の画面に戻り、次へボタン51010を押下する場合は、図29の画面を表示する。   In FIG. 28, the model definition support unit 51 registers the number of externally connected devices (step 51251). For example, addition or subtraction may be performed using a selection button like the number of externally connected devices 51,090, or direct input may be performed using the input device 1. When the return button 51008 is pressed, the pop-up screen is closed and the screen returns to the screen of FIG. 27. When the next button 51010 is pressed, the screen of FIG. 29 is displayed.

図29では、モデル定義支援部51は外部接続機器の詳細な情報を入力させる(ステップ51252)。例えば、名称51012は入力装置1を用いて直接入力させてもよく、経路区分51013は経路区分情報6211の経路62112をもとにプルダウン形式で選択させてもよく、認証回数51014と関与者種別数51015は選択ボタンを用いて加算或いは減算させてもよい。   In FIG. 29, the model definition support unit 51 inputs detailed information of the externally connected device (step 51252). For example, the name 51012 may be directly input using the input device 1, and the route segment 51013 may be selected in a pull-down format based on the route 62112 of the route segment information 6211. The authentication count 51014 and the number of participant types 51015 may be added or subtracted using a selection button.

次へボタン51017を押下するとき、入力対象となる外部接続機器51016がすべて入力済みの場合は、図30の画面を表示し、入力対象となる外部接続機器51016がすべて入力済みでない場合は、入力していない外部接続機器51016にカーソルを合わせて、上記と同様に入力項目51012から入力項目51015を入力させる画面を表示する。   When the next button 51017 is pressed, if all the external connection devices 51016 to be input have been input, the screen of FIG. 30 is displayed. If all the external connection devices 51016 to be input have not been input, the input is performed. The cursor is moved to the externally connected device 51016 that has not been displayed, and a screen for inputting the input item 51015 from the input item 51012 is displayed in the same manner as described above.

戻るボタン51011を押下するとき、入力対象となる外部接続機器51016が一つも入力済みでない場合、或いは入力対象となる外部接続機器51016が一つだけの場合は、図28の画面を表示し、入力対象となる外部接続機器51016が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている外部接続機器51016から、一つ前の外部接続機器51016にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示する。   When the return button 51011 is pressed, if no external connection device 51016 to be input has been input, or if there is only one external connection device 51016 to be input, the screen of FIG. When there are a plurality of target external connection devices 51016 and at least one input has been completed, the cursor is moved from the external connection device 51016 to which the cursor is currently positioned to the previous external connection device 51016, and the same as described above. A screen for inputting the input item 51019 and the input item 51020 is displayed.

図30では、モデル定義支援部51は関与者の詳細な情報を入力させる(ステップ51253)。例えば、関与者名51019は外部接続機器に対応する関与者区分62152をもとに関与者名6142をプルダウン形式で選択させてもよく、攻撃タイミング51020は当該関与者区分62152の攻撃タイミング62153を選択項目としてラジオボタン形式で選択させてもよい。次へボタン51022を押下するとき、入力対象となる関与者51021がすべて入力済みの場合は、図31の画面を表示し、入力対象となる関与者51021がすべて入力済みでない場合は、入力していない関与者51021にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示し、戻るボタン51018を押下するとき、入力対象となる関与者51021が一つも入力済みでない場合、或いは入力対象となる関与者51021が一つだけの場合は、図29の画面を表示し、入力対象となる関与者51021が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている関与者51021から、一つ前の関与者51021にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示する。   In FIG. 30, the model definition support unit 51 inputs detailed information of participants (step 51253). For example, the participant name 51019 may select the participant name 6142 in a pull-down format based on the participant category 62152 corresponding to the externally connected device, and the attack timing 51020 selects the attack timing 62153 of the participant category 62152. An item may be selected in a radio button format. When the next button 51022 is pressed, if all the participants 51021 to be input have been input, the screen of FIG. 31 is displayed, and if all the participants 51021 to be input have not been input, the input has been made. Move the cursor to the participant 51021 who is not present, display the screen for inputting the input item 51019 and the input item 51020 in the same manner as described above, and when the return button 51018 is pressed, all the participants 51021 to be input have already been input. If there is only one participant 51021 to be input, the screen of FIG. 29 is displayed. If there are a plurality of participants 51021 to be input and at least one participant has been input, the current cursor is displayed. Move the cursor from the matching participant 51021 to the previous participant 51021 and enter the input item 51 as described above. 19, and displays a screen to enter the input item 51020.

図31に、上記ステップ51254で表示される内部接続機器数登録画面、図32に、上記ステップ51255で表示される内部接続機器詳細情報登録画面の一例を示す。   FIG. 31 shows an example of the internal connection device number registration screen displayed in step 51254, and FIG. 32 shows an example of the internal connection device detailed information registration screen displayed in step 51255.

図31では、モデル定義支援部51は内部接続機器数を入力させる(ステップ51254)。例えば、内部接続機器数51024は選択ボタンを用いて加算或いは減算させてもよい。戻るボタン51023を押下する場合は、図30の画面に戻り、次へボタン51025を押下する場合は、図32の画面を表示する。   In FIG. 31, the model definition support unit 51 inputs the number of internally connected devices (step 51254). For example, the number of internally connected devices 51024 may be added or subtracted using a selection button. When the return button 51023 is pressed, the screen returns to the screen of FIG. 30, and when the next button 51025 is pressed, the screen of FIG. 32 is displayed.

図32では、モデル定義支援部51は内部接続機器の詳細な情報を入力させる(ステップ51255)。例えば、名称51027はサブシステム区分情報611のサブシステム名6112をもとにプルダウン形式で選択させてもよく、認証回数51028は選択ボタンを用いて加算或いは減算させてもよい。次へボタン51030を押下するとき、入力対象となる内部接続機器51029がすべて入力済みの場合は、図33の画面を表示し、入力対象となる内部接続機器51029がすべて入力済みでない場合は、入力していない内部接続機器51029にカーソルを合わせて、上記と同様に入力項目51027、及び入力項目51028を入力させる画面を表示し、戻るボタン51026を押下するとき、入力対象となる内部接続機器51029が一つも入力済みでない場合、或いは入力対象となる内部接続機器51029が一つだけの場合は、図31の画面を表示し、入力対象となる内部接続機器51029が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている内部接続機器51029から、一つ前の内部接続機器51029にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示する。
図33に、上記ステップ51256で表示される保護資産数登録画面、図34に、上記ステップ51257で表示される保護資産詳細情報登録画面、図35に、上記ステップ5168で表示されるASIL情報登録画面の一例を示す。
In FIG. 32, the model definition support unit 51 inputs detailed information of the internal connection device (step 51255). For example, the name 51027 may be selected in a pull-down format based on the subsystem name 6112 of the subsystem classification information 611, and the authentication count 51028 may be added or subtracted using a selection button. When the next button 51030 is pressed, if all the internal connection devices 51029 to be input have been input, the screen of FIG. 33 is displayed, and if all the internal connection devices 51029 to be input have not been input, the input is performed. When the cursor is moved to the internal connection device 51029 that has not been displayed, a screen for inputting the input item 51027 and the input item 51028 is displayed in the same manner as described above, and when the return button 51026 is pressed, the internal connection device 51029 to be input is If no input has been completed, or if there is only one internal connection device 51029 to be input, the screen of FIG. 31 is displayed, and there are a plurality of internal connection devices 51029 to be input, and even one has been input. In the case of, the internal connection device 5102 of the previous one from the internal connection device 51029 on which the cursor is currently positioned. Move the cursor to the displays a screen for inputting the same manner as described above input items 51019, and the input item 51020.
FIG. 33 shows the protected asset number registration screen displayed in step 51256, FIG. 34 shows the protected asset detailed information registration screen displayed in step 51257, and FIG. 35 shows the ASIL information registration screen displayed in step 5168. An example is shown.

図33では、モデル定義支援部51は保護資産数を登録させる(ステップ51256)。例えば、保護資産数51032は選択ボタンを用いて加算或いは減算させてもよい。戻るボタン51031を押下する場合は、図32の画面に戻り、次へボタン51033を押下する場合は、図34の画面を表示する。   In FIG. 33, the model definition support unit 51 registers the number of protected assets (step 51256). For example, the number of protected assets 51032 may be added or subtracted using a selection button. When the return button 51031 is pressed, the screen returns to the screen of FIG. 32, and when the next button 51033 is pressed, the screen of FIG. 34 is displayed.

図34では、モデル定義支援部51は保護資産の詳細な情報を入力させる(ステップ51257)。例えば、資産名51035は入力装置1を用いて直接入力させてもよく、資産種別51036は資産種別・脅威対応情報616の資産種別6161をもとにプルダウン形式で選択させてもよく、影響度(機密性)51037は機密性への影響度情報6212の影響度62122をもとにプルダウン形式で選択させてもよく、攻撃タイミング51038はライフサイクル区分情報612のライフサイクル名6122をもとにチェックボックス形式で選択させてもよく、データフロー51039はサブシステム区分情報611のサブシステム名6112をもとにプルダウン形式で選択させてもよい。欄追加ボタン51040を押下すると、データフロー51039の入力項目を追加する。次へボタン51042を押下するとき、入力対象となる保護資産51041がすべて入力済みの場合は、図35の画面を表示し、入力対象となる保護資産51041がすべて入力済みでない場合は、入力していない保護資産51041にカーソルを合わせて、上記と同様に入力項目51035から入力項目51040を入力させる画面を表示し、戻るボタン51034を押下するとき、入力対象となる保護資産51041が一つも入力済みでない場合、或いは入力対象となる保護資産51041が一つだけの場合は、図33の画面を表示し、入力対象となる保護資産51041が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている保護資産51041から、一つ前の保護資産51041にカーソルを合わせて、上記と同様に入力項目51035から入力項目51040を入力させる画面を表示する。   In FIG. 34, the model definition support unit 51 inputs detailed information on protected assets (step 51257). For example, the asset name 51035 may be directly input using the input device 1, and the asset type 51036 may be selected in a pull-down format based on the asset type 6161 of the asset type / threat correspondence information 616. (Confidentiality) 51037 may be selected in a pull-down format based on the influence degree 62122 of the influence degree information 6212 on confidentiality, and the attack timing 51038 is a check box based on the life cycle name 6122 of the life cycle classification information 612. The data flow 51039 may be selected in a pull-down format based on the subsystem name 6112 of the subsystem classification information 611. When a column addition button 51040 is pressed, an input item of the data flow 51039 is added. When the next button 51042 is pressed, if all the protected assets 51041 to be input have been input, the screen of FIG. 35 is displayed, and if all the protected assets 51041 to be input have not been input, the input has been made. Move the cursor to the protected asset 51041 that is not present, display the screen for inputting the input item 51040 from the input item 51035 in the same manner as described above, and when the return button 51034 is pressed, no protected asset 51041 to be input has been input If there is only one protected asset 51041 to be input, the screen of FIG. 33 is displayed. If there are a plurality of protected assets 51041 to be input and at least one has been input, the current cursor is set. Move the cursor from the protected asset 51041 to the previous protected asset 51041, and the same as above To display the screen to enter the input item 51040 from the input item 51035.

図35では、モデル定義支援部51はASIL値を入力させる(ステップ51258)。例えば、ASIL区分情報613のASIL値6132をもとにプルダウン形式で選択させてもよい。戻るボタン51043を押下する場合は、図34の画面に戻り、完了ボタン51045を押下する場合は、ポップアップとして表示されている同画面を閉じる。   In FIG. 35, the model definition support unit 51 inputs an ASIL value (step 51258). For example, the selection may be made in a pull-down format based on the ASIL value 6132 of the ASIL classification information 613. When the return button 51043 is pressed, the screen returns to the screen of FIG. 34, and when the completion button 51045 is pressed, the same screen displayed as a pop-up is closed.

図36に、上記ステップ51259で表示される登録済みサブシステムの活性化画面、図37に、上記ステップ521で表示される脅威リスク評価実行画面の一例を示す。なお、図36及び図37は、上記ステップ5125から上記ステップ5126をもとに図27の表示内容が更新されたものである。   FIG. 36 shows an example of the registered subsystem activation screen displayed in step 51259, and FIG. 37 shows an example of the threat risk evaluation execution screen displayed in step 521. 36 and FIG. 37 are obtained by updating the display contents of FIG. 27 based on steps 5125 to 5126.

図36では、モデル定義支援部51は上記ステップ5125で選択したサブシステムオブジェクト51048に対して、上記ステップ51251からステップ51258で入力したパラメータをもとに経路線51046や外部接続機器オブジェクト51047を追加するとともに、当該サブシステムオブジェクト51048を活性化して表示する(ステップ51259)。   In FIG. 36, the model definition support unit 51 adds a route line 51046 and an externally connected device object 51047 to the subsystem object 51048 selected at step 5125 based on the parameters input at step 51251 to step 51258. At the same time, the subsystem object 51048 is activated and displayed (step 51259).

図37では、脅威抽出部52は脅威リスク評価として、脅威事象の抽出及び脅威リスク値の算出を実行する画面を表示する(ステップ521)。ここで、リスク評価ボタン51049を押下すると、上記ステップ521から上記ステップ541までの処理を実行する。   In FIG. 37, the threat extraction unit 52 displays a screen for executing threat event extraction and threat risk value calculation as a threat risk evaluation (step 521). Here, if the risk evaluation button 51049 is pressed, the processing from step 521 to step 541 is executed.

図38に、上記ステップ551で表示される脅威リスク評価結果画面の一例を示す。   FIG. 38 shows an example of the threat risk evaluation result screen displayed in step 551 above.

図38では、脅威抽出部52は上記ステップ511からステップ541までの処理における脅威リスク評価の結果として、脅威事象、リスク値、優先度を画面に表示する(ステップ551)。例えば、脅威リスク評価結果51051として、上記ステップ541で優先度付けされた、脅威リスク値情報618の脅威及びリスク値を表形式で表示してもよい。このとき、表示項目51050では、評価対象全体、及びサブシステム区分情報611のサブシステム名6112をもとにプルダウン形式で表示方法を選択させ、評価対象全体の脅威リスク評価結果を表示してもよいし、各サブシステムにおける脅威リスク評価結果を表示してもよい。   In FIG. 38, the threat extraction unit 52 displays a threat event, a risk value, and a priority on the screen as a result of the threat risk evaluation in the processing from step 511 to step 541 (step 551). For example, as the threat risk evaluation result 51051, the threats and risk values of the threat risk value information 618 that are prioritized in step 541 may be displayed in a table format. At this time, in the display item 51050, a display method may be selected in a pull-down format based on the entire evaluation target and the subsystem name 6112 of the subsystem classification information 611, and the threat risk evaluation result of the entire evaluation target may be displayed. Then, the threat risk evaluation result in each subsystem may be displayed.

以上により、本脅威リスク評価支援装置は、分析者のセキュリティに関する知識や経験に依存せずに、評価対象における脅威の抽出、及び当該脅威のリスク値を自動的に算出し、分析者に各脅威のリスク値を提示できる。   As described above, this threat risk evaluation support device automatically extracts threats in the evaluation target and automatically calculates the risk value of the threat without depending on the security knowledge and experience of the analyst, and sends each threat to the analyst. Risk value can be presented.

なお、本実施例では車載ネットワークを対象に説明しているが、本脅威リスク評価支援装置はこれに限定するものではなく、制御系システムや情報系システムを対象にした脅威リスク評価にも適用可能である。   Although this embodiment is described for an in-vehicle network, this threat risk assessment support device is not limited to this, and can also be applied to threat risk assessment for control systems and information systems. It is.

1 入力装置
2 出力装置
3 入出力制御部
4 CPU
5 メモリ
6 ディスク
7 バス
1 Input Device 2 Output Device 3 Input / Output Control Unit 4 CPU
5 Memory 6 Disk 7 Bus

Claims (10)

評価対象となるシステムに対するセキュリティ上の脅威を評価する評価装置であって、
前記システムにおける複数の設計項目に関する設計情報であって、前記複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報である設計情報が入力される入力部と、
セキュリティ上の脅威に関する複数の評価項目と前記入力部より入力された、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報からなる前記サブシステムに関する情報とを対応付けて格納する格納部であって、前記外部接続機器数情報を前記サブシステムの識別情報と対応付けて、前記経路種別情報を前記サブシステムの識別情報と前記外部接続機器の識別情報と対応付けて、前記認証回数情報を前記サブシステムの識別情報と前記内部接続機器の識別情報と対応付けて格納する格納部と、
当該評価装置が取得したサブシステムの識別情報、外部接続機器の識別情報および内部接続機器の識別情報のそれぞれに対応する外部接続機器数、経路種別情報および認証回数情報を、前記格納部から検索し、検索された前記外部接続機器数、経路種別情報および認証回数情報に基づいて、前記システムにおけるセキュリティ上の脅威を抽出し、
前記複数の設計項目に関する情報に対応付けられた前記評価項目に基づいて、前記抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、
前記抽出された前記システムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる制御部と、
を有することを特徴とする評価装置。
An evaluation device for evaluating a security threat to a system to be evaluated,
Design information on a plurality of design items in the system, wherein the information on the plurality of design items is an input unit to which design information that is information on a subsystem to be evaluated in the system is input,
A plurality of evaluation items related to security threats, information on the number of externally connected devices input from the input unit, and the number of externally connected devices in the subsystem, and path type information between the subsystem and the externally connected devices A storage unit that associates and stores information related to the subsystem including authentication count information generated when communicating between the subsystem and the externally connected device, the externally connected device number information being Associating with the identification information of the subsystem, associating the path type information with the identification information of the subsystem and the identification information of the externally connected device, and associating the authentication count information with the identification information of the subsystem and the internally connecting device. A storage unit for storing the identification information in association with each other,
The storage unit retrieves the number of externally connected devices, path type information, and authentication count information corresponding to each of the subsystem identification information, the externally connected device identification information, and the internally connected device identification information acquired by the evaluation apparatus. , Based on the searched number of externally connected devices, path type information and authentication count information , to extract security threats in the system,
Based on the evaluation items associated with the information on the plurality of design items, a threat risk value that is a value indicating the size of the security threat with respect to the extracted threat is calculated,
A control unit that causes a display unit to display a threat in the extracted system and a threat risk value for the threat;
The evaluation apparatus characterized by having.
請求項1に記載の評価装置であって、
前記制御部は、前記表示部にセキュリティ上の脅威を評価する複数種類の評価手法に関する情報を表示させ、前記入力部に入力される前記評価手法の種類に応じて前記表示部に表示させる前記設計項目に関する情報を決定する、ことを特徴とする評価装置。
The evaluation device according to claim 1,
The control unit displays information on a plurality of types of evaluation methods for evaluating security threats on the display unit, and displays the information on the display unit according to the type of the evaluation method input to the input unit. An evaluation apparatus characterized by determining information on an item.
請求項1に記載の評価装置であって、
セキュリティ上の脅威を評価する手法として、CVSS(Common Vulnerability Scoring System)を用いることを特徴とする評価装置。
The evaluation device according to claim 1,
An evaluation apparatus using CVSS (Common Vulnerability Scoring System) as a technique for evaluating a security threat.
請求項1に記載の評価装置であって、
記サブシステムに関する情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報がさらに含まれることを特徴とする評価装置。
The evaluation device according to claim 1,
The information about the previous SL subsystem participants type information that might cause a security threat, and the evaluation device, characterized that you protect asset information protected assets is further included.
請求項4に記載の評価装置であって、
前記格納部は、前記関与者種別情報とセキュリティ上の脅威を発生させる動機に関する動機情報とが対応付けられた第一の対応情報と、前記保護資産情報と脅威の種別に関する脅威種別情報とが対応付けられた第二の対応情報と、前記脅威種別情報と脅威の影響範囲を示す脅威影響範囲情報と脅威の内容を示す脅威内容情報とが対応付けられた第三の対応情報と、を格納し、
前記制御部は、前記第一の対応情報と前記第二の対応情報と前記第三の対応情報と入力部より入力された前記設計情報とに基づいて、前記サブシステムにおける脅威を抽出する、ことを特徴とする評価装置。
The evaluation device according to claim 4,
The storage unit corresponds to first correspondence information in which the participant type information is associated with motive information relating to a motive for generating a security threat, and the protected asset information and threat type information relating to a threat type are associated with each other. Second correspondence information attached, and third correspondence information in which the threat type information, threat influence range information indicating a threat influence range, and threat content information indicating a threat content are associated with each other. ,
The control unit extracts a threat in the subsystem based on the first correspondence information, the second correspondence information, the third correspondence information, and the design information input from the input unit; An evaluation apparatus characterized by.
評価対象となるシステムに対するセキュリティ上の脅威を評価する装置における評価方法であって、
前記装置は、
前記システムにおける複数の設計項目に関する設計情報であって、前記複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報である設計情報を受け付け、
セキュリティ上の脅威に関する複数の評価項目と前記受け付けた、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報からなる前記サブシステムに関する情報とを対応付け、前記外部接続機器数情報を前記サブシステムの識別情報と対応付けて、前記経路種別情報を前記サブシステムの識別情報と前記外部接続機器の識別情報と対応付けて、前記認証回数情報を前記サブシステムの識別情報と前記内部接続機器の識別情報と対応付けて前記装置の格納部に格納し、
当該評価装置が取得したサブシステムの識別情報、外部接続機器の識別情報および内部接続機器の識別情報のそれぞれに対応する外部接続機器数、経路種別情報および認証回数情報を、前記格納部から検索し、検索された前記外部接続機器数、経路種別情報および認証回数情報に基づいて、前記システムにおけるセキュリティ上の脅威を抽出し、
前記複数の設計項目に関する情報に対応付けられた前記評価項目に基づいて、前記抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、
前記抽出された前記システムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる、ことを有することを特徴とする評価方法。
An evaluation method in an apparatus for evaluating a security threat to a system to be evaluated,
The device is
Design information on a plurality of design items in the system, wherein the information on the plurality of design items accepts design information that is information on a subsystem to be evaluated in the system ,
A plurality of evaluation items related to security threats, the received number of externally connected devices indicating the number of externally connected devices of the subsystem, path type information between the subsystem and the externally connected devices, and the subsystem And the information related to the subsystem consisting of the authentication count information generated when communicating with the externally connected device , the externally connected device number information is correlated with the identification information of the subsystem, and the route The storage unit of the apparatus associates the type information with the identification information of the subsystem and the identification information of the externally connected device, and associates the authentication count information with the identification information of the subsystem and the identification information of the internally connected device. Stored in
The storage unit retrieves the number of externally connected devices, path type information, and authentication count information corresponding to each of the subsystem identification information, the externally connected device identification information, and the internally connected device identification information acquired by the evaluation apparatus. , Based on the searched number of externally connected devices, path type information and authentication count information , to extract security threats in the system,
Based on the evaluation items associated with the information on the plurality of design items, a threat risk value that is a value indicating the size of the security threat with respect to the extracted threat is calculated,
An evaluation method comprising: displaying the extracted threat in the system and a threat risk value for the threat on a display unit.
請求項に記載の評価方法であって、
前記装置は、前記表示部にセキュリティ上の脅威を評価する複数種類の評価手法に関する情報を表示させ、前記評価手法を示す評価手法情報を受け付け、
受け付けた前記評価手法情報が示す前記評価手法の種類に応じて前記表示部に表示させる前記設計項目に関する情報を決定する、ことを特徴とする評価方法。
The evaluation method according to claim 6 , wherein
The apparatus displays information on a plurality of types of evaluation methods for evaluating security threats on the display unit, accepts evaluation method information indicating the evaluation method,
The evaluation method characterized by determining the information regarding the said design item displayed on the said display part according to the kind of the said evaluation method which the said evaluation method information received has received.
請求項に記載の評価方法であって、
セキュリティ上の脅威を評価する手法として、CVSS(Common Vulnerability Scoring System)を用いることを特徴とする評価方法。
The evaluation method according to claim 6 , wherein
An evaluation method characterized by using CVSS (Common Vulnerability Scoring System) as a technique for evaluating a security threat.
請求項に記載の評価方法であって、
記サブシステムに関する情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報がさらに含まれることを特徴とする評価方法。
The evaluation method according to claim 6 , wherein
The information about the previous SL subsystem participants type information that might cause a security threat, and the evaluation method, wherein a protective asset information protected assets is further included.
請求項に記載の評価方法であって、
前記装置は、前記関与者種別情報とセキュリティ上の脅威を発生させる動機に関する動機情報とが対応付けられた第一の対応情報と、前記保護資産情報と脅威の種別に関する脅威種別情報とが対応付けられた第二の対応情報と、前記脅威種別情報と脅威の影響範囲を示す脅威影響範囲情報と脅威の内容を示す脅威内容情報とが対応付けられた第三の対応情報と、を格納し、
前記第一の対応情報と前記第二の対応情報と前記第三の対応情報と入力部より入力された前記設計情報とに基づいて、前記サブシステムにおける脅威を抽出する、ことを特徴とする評価方法。
The evaluation method according to claim 9 , comprising:
The apparatus associates first correspondence information in which the participant type information and motive information on a motive for generating a security threat are associated with each other, and the protected asset information and the threat type information on a threat type. Second correspondence information, and third correspondence information in which the threat type information, the threat influence range information indicating the threat influence range, and the threat content information indicating the threat content are associated with each other, and
Evaluation based on the first correspondence information, the second correspondence information, the third correspondence information, and the design information input from the input unit, to extract a threat in the subsystem. Method.
JP2013170899A 2013-08-21 2013-08-21 Evaluation apparatus and method for evaluating security threats Active JP6047463B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013170899A JP6047463B2 (en) 2013-08-21 2013-08-21 Evaluation apparatus and method for evaluating security threats
PCT/JP2014/070298 WO2015025694A1 (en) 2013-08-21 2014-08-01 Scoring device and method for scoring security threat

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013170899A JP6047463B2 (en) 2013-08-21 2013-08-21 Evaluation apparatus and method for evaluating security threats

Publications (2)

Publication Number Publication Date
JP2015041167A JP2015041167A (en) 2015-03-02
JP6047463B2 true JP6047463B2 (en) 2016-12-21

Family

ID=52483475

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013170899A Active JP6047463B2 (en) 2013-08-21 2013-08-21 Evaluation apparatus and method for evaluating security threats

Country Status (2)

Country Link
JP (1) JP6047463B2 (en)
WO (1) WO2015025694A1 (en)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108293038A (en) * 2015-08-21 2018-07-17 瑞萨电子欧洲有限公司 Design support system
EP3151114A1 (en) 2015-09-29 2017-04-05 Panasonic Intellectual Property Management Co., Ltd. Software development system in system development based on model-based method
US10268824B2 (en) 2016-03-01 2019-04-23 Wipro Limited Method and system for identifying test cases for penetration testing of an application
JP6901979B2 (en) * 2018-02-21 2021-07-14 株式会社日立製作所 Security evaluation server and security evaluation method
EP4333374A3 (en) * 2018-10-17 2024-03-27 Panasonic Intellectual Property Corporation of America Threat analysis apparatus, threat analysis method, and program
WO2020136837A1 (en) 2018-12-27 2020-07-02 三菱電機株式会社 Attack tree generation device, attack tree generation method, and attack tree generation program
JP2020113090A (en) 2019-01-15 2020-07-27 三菱電機株式会社 Vulnerability influence evaluation system
JP7422584B2 (en) * 2020-03-26 2024-01-26 株式会社日立製作所 Application development support system, application development support method
EP4239506A4 (en) * 2020-10-30 2023-11-29 Nissan Motor Co., Ltd. Vehicle-mounted computer, computer program, computer-readable storage medium, and security setting method
US11546767B1 (en) 2021-01-21 2023-01-03 T-Mobile Usa, Inc. Cybersecurity system for edge protection of a wireless telecommunications network
US11431746B1 (en) 2021-01-21 2022-08-30 T-Mobile Usa, Inc. Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network
CN114019942B (en) * 2021-11-04 2023-08-29 哈尔滨工业大学 Industrial robot system security threat evaluation method based on time-sharing frequency

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4084914B2 (en) * 1999-09-29 2008-04-30 株式会社日立製作所 Security evaluation method and apparatus, security measure creation support method and apparatus
JP2002352062A (en) * 2001-05-24 2002-12-06 Hitachi Ltd Security evaluation device
JP4663484B2 (en) * 2005-04-25 2011-04-06 株式会社日立製作所 System security design / evaluation support tool, system security design support tool, system security design / evaluation support program, and system security design support program
JP2009015570A (en) * 2007-07-04 2009-01-22 Nippon Telegr & Teleph Corp <Ntt> System and method for distributing vulnerability information
JP5413010B2 (en) * 2009-07-17 2014-02-12 日本電気株式会社 Analysis apparatus, analysis method, and program
US9141805B2 (en) * 2011-09-16 2015-09-22 Rapid7 LLC Methods and systems for improved risk scoring of vulnerabilities

Also Published As

Publication number Publication date
JP2015041167A (en) 2015-03-02
WO2015025694A1 (en) 2015-02-26

Similar Documents

Publication Publication Date Title
JP6047463B2 (en) Evaluation apparatus and method for evaluating security threats
CN108665297B (en) Method and device for detecting abnormal access behavior, electronic equipment and storage medium
US8768651B2 (en) System and method for automatic standardization and verification of system design requirements
CN109376078B (en) Mobile application testing method, terminal equipment and medium
US20130067572A1 (en) Security event monitoring device, method, and program
JP2017068825A (en) Software development system and program
WO2019169760A1 (en) Test case range determining method, device, and storage medium
JP6361837B2 (en) Training apparatus, training method, and training program
JP2015130152A (en) Information processing device and program
CN117034299B (en) Intelligent contract safety detection system based on block chain
CN112016138A (en) Method and device for automatic safe modeling of Internet of vehicles and electronic equipment
CN112529575A (en) Risk early warning method, equipment, storage medium and device
KR20180129623A (en) Apparatus for statically analyzing assembly code including assoxiated multi files
KR101742041B1 (en) an apparatus for protecting private information, a method of protecting private information, and a storage medium for storing a program protecting private information
CN104023025A (en) Website security vulnerability detection method and device based on service rules
US11899770B2 (en) Verification method and apparatus, and computer readable storage medium
CN106250761A (en) A kind of unit identifying web automation tools and method
JP5868515B2 (en) Signature verification apparatus, signature verification method and program
JP2005122560A (en) Program for detecting deadlock beforehand
CN106709335B (en) Vulnerability detection method and device
US20090327971A1 (en) Informational elements in threat models
JP2009134673A (en) Gui screen operation sequence verifying apparatus, method, and program
KR102269174B1 (en) Appratus and method for verification of smart contracts
KR102090229B1 (en) Method and apparatus for identifying security vulnerability and cause point thereof of executable binaries
JP6258189B2 (en) Specific apparatus, specific method, and specific program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160415

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160415

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160809

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161005

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161025

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161121

R150 Certificate of patent or registration of utility model

Ref document number: 6047463

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250