JP6320965B2 - セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法 - Google Patents
セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法 Download PDFInfo
- Publication number
- JP6320965B2 JP6320965B2 JP2015081026A JP2015081026A JP6320965B2 JP 6320965 B2 JP6320965 B2 JP 6320965B2 JP 2015081026 A JP2015081026 A JP 2015081026A JP 2015081026 A JP2015081026 A JP 2015081026A JP 6320965 B2 JP6320965 B2 JP 6320965B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- security
- input
- database
- combination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
ここで、Σ1は、全てのリスク事象についての総和を意味し、Σ2は、全ての攻撃についての総和を意味し、Πは、全ての対策についての総乗を意味する。また、想定被害額は、リスク事象の想定被害額、年間発生率は、攻撃の年間発生率、防御率は、セキュリティ対策による防御率を意味する。
[式2] 年間の被害額期待値
=20M¥×[0.2×ΠAB(1−防御率)+0.02×ΠCD(1−防御率)]+10M¥×0.3×ΠE(1−防御率)
=4M¥×ΠAB(1−防御率)+0.4M¥×ΠCD(1−防御率)+3M¥×ΠE(1−防御率)
となる。ここで、M¥は百万円を意味し、ΠABは、セキュリティ対策「A:プログラム修正」及び「B:WAF設置」についての総乗を意味し、ΠCDは、セキュリティ対策「C:DB暗号化」及び「D:ICカード入退室管理の導入」についての総乗を意味し、ΠEは、セキュリティ対策「E:利用者認証でICカードを利用」についての総乗を意味する。
10 入出力部
20 制御部
30 計算部
40 データベース
41 対策テーブル
42 脆弱性テーブル
43 攻撃テーブル
44 リスク事象テーブル
Claims (5)
- 入出力部と、
制御部と、
計算部と、
セキュリティ対策毎に対策費と防御率と対応する脆弱性とを関連付けた対策情報と、脆弱性毎に対応する攻撃を関連付けた脆弱性情報と、攻撃毎に所定期間発生率と対応するリスク事象とを関連付けた攻撃情報と、リスク事象毎に想定被害額を関連付けたリスク事象情報とを記憶するデータベースと、を備え、
前記入出力部は、計算実行の指示情報が入力されると、前記制御部を介して前記計算実行の指示情報を前記計算部に送信し、
前記計算部は、前記計算実行の指示情報を受信すると、前記データベースに記憶された前記セキュリティ対策の任意の組み合わせについて、前記組み合わせに係るセキュリティ対策の総額と、前記組み合わせに係るセキュリティ対策を施したときの所定期間の被害額の期待値とを、前記データベースに記憶された前記対策情報と前記脆弱性情報と前記攻撃情報と前記リスク事象情報とに基づいて計算し、計算結果を前記制御部を介して前記入出力部に送信し、
前記入出力部は、受信した前記計算結果を出力する、
セキュリティ対策選定支援システム。 - 前記計算部は、前記組み合わせに係るセキュリティ対策を施したときの所定期間の被害額の期待値を、
式:所定期間の被害額期待値=Σ1[前記想定被害額×Σ2[前記所定期間発生率×Π(1−前記防御率)]]
(Σ1は全ての前記リスク事象についての総和、Σ2は全ての前記攻撃についての総和、Πは全ての前記対策についての総乗)
に従って算出する、請求項1に記載のセキュリティ対策選定支援システム。 - 前記データベースは、前記対策情報における前記セキュリティ対策毎に選択フラグを記憶し、
前記入出力部は、前記セキュリティ対策の組み合わせの情報が入力されると、そのセキュリティ対策の組み合わせの情報を前記制御部に送信し、
前記制御部は、受信したセキュリティ対策の組み合わせの情報に係るセキュリティ対策の選択フラグを立てる指示情報を前記データベースに送信し、
前記データベースは、前記選択フラグを立てる指示情報に係る前記セキュリティ対策の前記選択フラグを立て、
前記計算部は、前記計算実行の指示情報を受信すると、前記データベースに記憶された前記選択フラグが立てられた前記セキュリティ対策の組み合わせについて、前記組み合わせに係るセキュリティ対策の総額と、前記組み合わせに係るセキュリティ対策を施したときの所定期間の被害額の期待値とを計算する、
請求項1または2に記載のセキュリティ対策選定支援システム。 - 前記入出力部は、要素の更新の指示情報が入力されると、その指示情報を前記制御部を介して前記データベースに送信し、
前記データベースは、受信した前記要素の更新の指示情報に基づいて、前記データベースに記憶された情報を更新する、
請求項1から3の何れか一項に記載のセキュリティ対策選定支援システム。 - 入出力部と、制御部と、計算部と、セキュリティ対策毎に対策費と防御率と対応する脆弱性とを関連付けた対策情報と、脆弱性毎に対応する攻撃を関連付けた脆弱性情報と、攻撃毎に所定期間発生率と対応するリスク事象とを関連付けた攻撃情報と、リスク事象毎に想定被害額を関連付けたリスク事象情報とを記憶するデータベースと、を備えるセキュリティ対策選定支援システムにおけるセキュリティ対策選定支援方法であって、
前記入出力部により、入力された計算実行の指示情報を前記制御部を介して前記計算部に送信するステップと、
前記計算部により、前記計算実行の指示情報の受信に応じて、前記データベースに記憶された前記セキュリティ対策の任意の組み合わせについて、前記組み合わせに係るセキュリティ対策の総額と、前記組み合わせに係るセキュリティ対策を施したときの所定期間の被害額の期待値とを、前記データベースに記憶された前記対策情報と前記脆弱性情報と前記攻撃情報と前記リスク事象情報とに基づいて計算し、計算結果を前記制御部を介して前記入出力部に送信するステップと、
前記入出力部により、前記計算結果を出力するステップと、
を含むセキュリティ対策選定支援方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015081026A JP6320965B2 (ja) | 2015-04-10 | 2015-04-10 | セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015081026A JP6320965B2 (ja) | 2015-04-10 | 2015-04-10 | セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016200991A JP2016200991A (ja) | 2016-12-01 |
JP6320965B2 true JP6320965B2 (ja) | 2018-05-09 |
Family
ID=57424291
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015081026A Active JP6320965B2 (ja) | 2015-04-10 | 2015-04-10 | セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6320965B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6901979B2 (ja) * | 2018-02-21 | 2021-07-14 | 株式会社日立製作所 | セキュリティ評価サーバおよびセキュリティ評価方法 |
JP7149219B2 (ja) | 2019-03-29 | 2022-10-06 | 株式会社日立製作所 | リスク評価対策立案システム及びリスク評価対策立案方法 |
WO2023084563A1 (ja) * | 2021-11-09 | 2023-05-19 | 日本電気株式会社 | 共有システム、共有方法、対策装置、対策方法及び記憶媒体 |
WO2023175878A1 (ja) * | 2022-03-18 | 2023-09-21 | 日本電気株式会社 | 情報処理装置、方法、及びコンピュータ可読媒体 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4084914B2 (ja) * | 1999-09-29 | 2008-04-30 | 株式会社日立製作所 | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
JP3952648B2 (ja) * | 1999-11-25 | 2007-08-01 | 株式会社日立製作所 | 安全対策方針作成装置 |
JP4338163B2 (ja) * | 2000-07-10 | 2009-10-07 | 三菱電機株式会社 | 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体 |
-
2015
- 2015-04-10 JP JP2015081026A patent/JP6320965B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016200991A (ja) | 2016-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9531746B2 (en) | Generating accurate preemptive security device policy tuning recommendations | |
JP6320965B2 (ja) | セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法 | |
US11126716B2 (en) | System security method and apparatus | |
JP6312578B2 (ja) | リスク評価システムおよびリスク評価方法 | |
WO2020202934A1 (ja) | リスク評価対策立案システム及びリスク評価対策立案方法 | |
US10089473B2 (en) | Software nomenclature system for security vulnerability management | |
US20130318615A1 (en) | Predicting attacks based on probabilistic game-theory | |
US9213813B2 (en) | Authentication device, authentication method, and recording medium | |
EP3270318B1 (en) | Dynamic security module terminal device and method for operating same | |
Farhang et al. | FlipLeakage: a game-theoretic approach to protect against stealthy attackers in the presence of information leakage | |
JP6913057B2 (ja) | 損害予測方法、損害予測システム及びプログラム | |
JPWO2017126041A1 (ja) | 訓練装置、訓練方法、及び訓練プログラム | |
JP7019533B2 (ja) | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
US9930031B2 (en) | Multi-factor user authentication based on user credentials and entry timing | |
US20220147613A1 (en) | Automatic password expiration based on password integrity | |
WO2019163266A1 (ja) | セキュリティ評価サーバおよびセキュリティ評価方法 | |
KR20180014537A (ko) | 분산 스토리지 환경에서 데이터 무결성 검증을 위한 장치 및 방법 | |
JP6324344B2 (ja) | アクセス権限情報管理システム、端末機器及びアクセス権限情報管理方法 | |
JP6284301B2 (ja) | 保守作業判定装置および保守作業判定方法 | |
JP5476882B2 (ja) | セキュリティポリシー作成装置、作成方法および作成プログラム | |
KR101986028B1 (ko) | 코드 포인터 보수를 사용하여 프로세싱 흐름에 대한 공격에 대해 장치를 보호하기 위한 시스템 및 방법 | |
US20160070909A1 (en) | Secure platform implementing dynamic countermeasures | |
Refsdal et al. | Risk Evaluation | |
US8931070B2 (en) | Authentication using three-dimensional structure | |
KR101532873B1 (ko) | 스마트 폰의 듀얼 운영체제를 실행하는 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170823 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180314 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180403 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180404 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6320965 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |