JP6636226B2 - 対策立案支援装置、対策立案支援方法及び対策立案支援プログラム - Google Patents
対策立案支援装置、対策立案支援方法及び対策立案支援プログラム Download PDFInfo
- Publication number
- JP6636226B2 JP6636226B2 JP2019549608A JP2019549608A JP6636226B2 JP 6636226 B2 JP6636226 B2 JP 6636226B2 JP 2019549608 A JP2019549608 A JP 2019549608A JP 2019549608 A JP2019549608 A JP 2019549608A JP 6636226 B2 JP6636226 B2 JP 6636226B2
- Authority
- JP
- Japan
- Prior art keywords
- measure
- countermeasure
- threat
- standard
- specified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 28
- 238000013461 design Methods 0.000 claims description 56
- 238000012545 processing Methods 0.000 claims description 53
- 230000008569 process Effects 0.000 claims description 22
- 238000004458 analytical method Methods 0.000 claims description 18
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 238000009434 installation Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 39
- 230000006870 function Effects 0.000 description 19
- 238000004891 communication Methods 0.000 description 16
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 8
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 239000002131 composite material Substances 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Description
この発明は、機器及びシステムといった対象物のセキュリティ対策の立案を支援する技術に関する。
システムのセキュリティ対策を立案する場合には、セキュリティに関する規格の専門家とセキュリティの専門家とが、セキュリティに関する規格を満たしつつ、システムで発生し得る脅威を防止できる対策を検討する。しかし、この検討には、高い技術力が必要であり、工数もかかっていた。
特許文献1には、システムのセキュリティ対策の立案を支援する技術が記載されている。特許文献1では、特別なフォーマットを用いてコンポーネントの数等を入力させ、システムで発生し得る脅威の分析を行うことにより、システムのセキュリティ対策の立案を支援している。
特許文献1に記載された技術は、セキュリティの専門家の作業を支援する技術である。そのため、特許文献1に記載された技術では、セキュリティに関する規格については何ら考慮されていない。仮に、特許文献1に記載された技術において、セキュリティに関する規格も考慮し、規格が要求する要件を満たしつつ、システムで発生し得る脅威を防止できる対策を特定しようとすると、煩雑な処理になる。
この発明は、セキュリティに関する規格を満たしつつ、システムで発生し得る脅威を防止できる対策の立案を支援することを目的とする。
この発明は、セキュリティに関する規格を満たしつつ、システムで発生し得る脅威を防止できる対策の立案を支援することを目的とする。
この発明に係る対策立案支援装置は、
対象物の設計情報に基づき、前記対象物で発生し得る脅威を特定し、特定された前記脅威を防止するための対策を第1対策として特定する脅威分析部と、
前記対象物に対して適用されるセキュリティに関する規格を示す規格情報と、前記設計情報とに基づき、前記規格情報が示す前記規格を満たすための対策を第2対策として特定する規格導入部と、
前記脅威分析部によって特定された前記第1対策と、前記規格導入部によって特定された前記第2対策とを結合して対策データを生成する結合部と
を備える。
対象物の設計情報に基づき、前記対象物で発生し得る脅威を特定し、特定された前記脅威を防止するための対策を第1対策として特定する脅威分析部と、
前記対象物に対して適用されるセキュリティに関する規格を示す規格情報と、前記設計情報とに基づき、前記規格情報が示す前記規格を満たすための対策を第2対策として特定する規格導入部と、
前記脅威分析部によって特定された前記第1対策と、前記規格導入部によって特定された前記第2対策とを結合して対策データを生成する結合部と
を備える。
この発明では、設計情報に基づき脅威分析を行いセキュリティ対策を特定するとともに、セキュリティに関する規格に基づくセキュリティ対策を特定し、これらを組み合わせる。これにより、処理を煩雑にすることなく、セキュリティに関する規格を満たしつつ、システムで発生し得る脅威を防止できる対策の立案を支援することが可能である。
実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係る対策立案支援装置10の構成を説明する。
対策立案支援装置10は、コンピュータである。対策立案支援装置10は、設計情報41と、規格情報42とを入力として、セキュア設計図43を生成する。
対策立案支援装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
***構成の説明***
図1を参照して、実施の形態1に係る対策立案支援装置10の構成を説明する。
対策立案支援装置10は、コンピュータである。対策立案支援装置10は、設計情報41と、規格情報42とを入力として、セキュア設計図43を生成する。
対策立案支援装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
プロセッサ11は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ11は、具体例としては、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
メモリ12は、データを一時的に記憶する記憶装置である。メモリ12は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。
ストレージ13は、データを保管する記憶装置である。ストレージ13は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ13は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。
通信インタフェース14は、外部の装置と通信するためのインタフェースである。通信インタフェース14は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High−Definition Multimedia Interface)のポートである。
対策立案支援装置10は、機能構成要素として、脅威分析部21と、規格導入部22と、結合部23とを備える。脅威分析部21は、脅威特定部24と、対策特定部25とを備える。対策立案支援装置10の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ13には、対策立案支援装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、対策立案支援装置10の各機能構成要素の機能が実現される。
ストレージ13には、対策立案支援装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、対策立案支援装置10の各機能構成要素の機能が実現される。
ストレージ13は、脅威データベース31と、対策データベース32と、規格データベース33との機能を実現する。
図1では、プロセッサ11は、1つだけ示されていた。しかし、プロセッサ11は、複数であってもよく、複数のプロセッサ11が、各機能を実現するプログラムを連携して実行してもよい。
設計情報41は、機器及びシステムといった対象物の構成及び動作を示す情報である。ここでは、設計情報41は、UML(Unified Modeling Language)及びSysML(Systems Modeling Language)といった標準化されたフォーマットに則った形式で記述された情報である。
具体的には、設計情報41は、(1)ハードウェア及びソフトウェアの構成情報が記載された配置図又はブロック図と、(2)(1)の図が示すコンポーネントが内部で有する機能及び情報が記載されたクラス図又はブロック図と、(3)(1)及び(2)の図が示すコンポーネント及び機能のやり取り及び手順が記載されたシーケンス図とである。
具体的には、設計情報41は、(1)ハードウェア及びソフトウェアの構成情報が記載された配置図又はブロック図と、(2)(1)の図が示すコンポーネントが内部で有する機能及び情報が記載されたクラス図又はブロック図と、(3)(1)及び(2)の図が示すコンポーネント及び機能のやり取り及び手順が記載されたシーケンス図とである。
図2に示すように、設計情報41は、テンプレート化されている。図2では、設計情報41は、コンポーネントクラス図51と、情報クラス図52とを含む。
コンポーネントクラス図51は、ハードウェア及びソフトウェアを示す。コンポーネントクラス図51は、以下の(A1)(A2)の2つの情報を定義する。(A1:境界情報)境界情報は、ネットワークにおける位置を示す。境界情報は、例えば、Web等の外部接続と同等の位置にコンポーネントが設置されるのか、社内等の内部にコンポーネントが設置されるのかを示す。(A2:コンポーネント識別情報)コンポーネント識別情報は、コンポーネントの種別を示す。コンポーネント識別情報は、例えば、コンポーネントが機器であるか、ソフトウェアであるか、接続線であるかを示す。
データクラス図52は、コンポーネントが管理又は通信するデータを示す。データクラス図52は、データについて以下の(B1)〜(B6)の6つの情報を定義する。(B1:重要度)重要度は、公開してもよいデータか、社外秘と秘といった公開してはいけないデータかといった分類である。(B2:場所識別子)場所識別子は、コンポーネント識別情報とリンクする情報であり、データが存在する構成要素を示す。(B3:タイプ)タイプは、一般データか、パスワードか、鍵かといったデータの分類を示す。(B4:オーナ)オーナは、データを有するコンポーネントの所有者を示す。(B5:送信元)送信元は、コンポーネント識別データが通信を示す場合に通信の送信元が設定される。(B6:送信先)送信先は、コンポーネント識別データが通信を示す場合に通信の送信先が設定される。
コンポーネントクラス図51は、ハードウェア及びソフトウェアを示す。コンポーネントクラス図51は、以下の(A1)(A2)の2つの情報を定義する。(A1:境界情報)境界情報は、ネットワークにおける位置を示す。境界情報は、例えば、Web等の外部接続と同等の位置にコンポーネントが設置されるのか、社内等の内部にコンポーネントが設置されるのかを示す。(A2:コンポーネント識別情報)コンポーネント識別情報は、コンポーネントの種別を示す。コンポーネント識別情報は、例えば、コンポーネントが機器であるか、ソフトウェアであるか、接続線であるかを示す。
データクラス図52は、コンポーネントが管理又は通信するデータを示す。データクラス図52は、データについて以下の(B1)〜(B6)の6つの情報を定義する。(B1:重要度)重要度は、公開してもよいデータか、社外秘と秘といった公開してはいけないデータかといった分類である。(B2:場所識別子)場所識別子は、コンポーネント識別情報とリンクする情報であり、データが存在する構成要素を示す。(B3:タイプ)タイプは、一般データか、パスワードか、鍵かといったデータの分類を示す。(B4:オーナ)オーナは、データを有するコンポーネントの所有者を示す。(B5:送信元)送信元は、コンポーネント識別データが通信を示す場合に通信の送信元が設定される。(B6:送信先)送信先は、コンポーネント識別データが通信を示す場合に通信の送信先が設定される。
規格情報42は、対象物に適用される、規格の名称と、規格のレベルとを示す情報である。具体的には、規格情報42は、IEC62443やEDSA(Embedded Device Security Assurance)認証といった規格名称と、規格名称が示す規格に関連付けされるセキュリティレベルを示す。
セキュア設計図43は、対象物に対して実施すべきセキュリティ対策を示す情報である。セキュア設計図43は、対策とともに、対策に対応する脅威又は規格の要件を示してもよい。
***動作の説明***
図3から図23を参照して、実施の形態1に係る対策立案支援装置10の動作を説明する。
実施の形態1に係る対策立案支援装置10の動作は、実施の形態1に係る対策立案支援方法に相当する。また、実施の形態1に係る対策立案支援装置10の動作は、実施の形態1に係る対策立案支援プログラムの処理に相当する。
図3から図23を参照して、実施の形態1に係る対策立案支援装置10の動作を説明する。
実施の形態1に係る対策立案支援装置10の動作は、実施の形態1に係る対策立案支援方法に相当する。また、実施の形態1に係る対策立案支援装置10の動作は、実施の形態1に係る対策立案支援プログラムの処理に相当する。
<設計情報41の例>
図3から図10を参照して、以下の説明で用いる設計情報41について説明する。
図3に示すように、対象物は、アクターとして監視員が設定され、監視員がセンサの値を確認するユースケースを示す。ユースケース図は、対策立案支援装置10の入力としては不要であるが、他の設計情報41の理解を助けるために用いられる。
図3から図10を参照して、以下の説明で用いる設計情報41について説明する。
図3に示すように、対象物は、アクターとして監視員が設定され、監視員がセンサの値を確認するユースケースを示す。ユースケース図は、対策立案支援装置10の入力としては不要であるが、他の設計情報41の理解を助けるために用いられる。
図4に示すように、対象物のハードウェアコンポーネントは定義される。対象物は、ハードウェアコンポーネントとして、displayと定義された表示器と、sensorと定義されたセンサと、表示器とセンサとを接続するetherと呼ばれる線とを備える。ここで、ステレオタイプ<<>>で定義された情報は、定義又は名称でありethernetなどの特殊な接続線を示す情報ではない。
図5に示すように、表示器は定義される。表示器は、データと境界情報と識別子とを保管する領域を備える。表示器は、センサからデータを取得するための機能(getData)と、表示器に取得したデータを表示するための機能(runDisplay)とを備える。表示器は、HMI(Human Machine Interface)のインタフェースと、Deviceのインタフェースとが実装されている。
データは、取得されたセンサ値である。境界情報は、社内といった内部に設置される場合には0、外部に設置される場合には2、外部と内部とのどちらにも設置される場合には1が設定される。識別子は、種別を示し、機器の場合には1、通信機器の場合には2、携帯端末の場合には3が設定される。
データは、取得されたセンサ値である。境界情報は、社内といった内部に設置される場合には0、外部に設置される場合には2、外部と内部とのどちらにも設置される場合には1が設定される。識別子は、種別を示し、機器の場合には1、通信機器の場合には2、携帯端末の場合には3が設定される。
図6に示すように、センサは定義される。センサは、境界情報と識別子とを保管する領域を備える。センサは、データを別の機器へ送信する機能(putValue)を備える。センサは、Deviceのインタフェースが実装されている。
境界情報は、社内といった内部に設置される場合には0、外部に設置される場合には2、外部と内部とのどちらにも設置される場合には1が設定される。識別子は、種別を示し、機器の場合には1、通信機器の場合には2、携帯端末の場合には3が設定される。
境界情報は、社内といった内部に設置される場合には0、外部に設置される場合には2、外部と内部とのどちらにも設置される場合には1が設定される。識別子は、種別を示し、機器の場合には1、通信機器の場合には2、携帯端末の場合には3が設定される。
図7に示すように、etherと呼ばれる線は定義される。etherと呼ばれる線は、境界情報と識別子とを保管する領域を備える。
境界情報は、社内といった内部に設置される場合には0、外部に設置される場合には2、外部と内部とのどちらにも設置される場合には1が設定される。識別子は、種別を示し、通信路の場合には10が設定される。
境界情報は、社内といった内部に設置される場合には0、外部に設置される場合には2、外部と内部とのどちらにも設置される場合には1が設定される。識別子は、種別を示し、通信路の場合には10が設定される。
図8に示すように、対象物は動作する。つまり、監視員は、ControlDataを入力して、表示器のrunDisplay機能を呼び出す。表示器は、runDisplay機能が呼び出されると、getData機能を実行する。すると、センサのputValue機能が呼び出され、commDataが応答としてセンサから返される。表示器は、commDataをDisplayDataとして表示する。表示されたDisplayDataは、FileDataとして監視員に取得される。
図9に示すように、図8に示すシーケンス図で登場した各データは、重要度と場所識別子とタイプとオーナとの情報を保管する領域を備える。各データは、これらの情報を取得する機能と設定する機能とを備える。各データとは、図8に示すControlDataと、commDataと、DisplayDataと、FileDataとである。
重要度は公開の場合には0、社外秘の場合には1、秘の場合には2、極秘の場合には3が設定される。場所識別子は、他のクラス図の識別子とリンクしており、データが存在するコンポーネントを示す。また、場所識別子は、物理情報として100といった表現を扱うこともできる。タイプは、一般データの場合には1、パスワードの場合には2、鍵の場合には3、証明書の場合には4が設定される。オーナは、データを保有しているコンポーネント名が設定される。
重要度は公開の場合には0、社外秘の場合には1、秘の場合には2、極秘の場合には3が設定される。場所識別子は、他のクラス図の識別子とリンクしており、データが存在するコンポーネントを示す。また、場所識別子は、物理情報として100といった表現を扱うこともできる。タイプは、一般データの場合には1、パスワードの場合には2、鍵の場合には3、証明書の場合には4が設定される。オーナは、データを保有しているコンポーネント名が設定される。
図10に示すように、対象物全体は定義される。図10に示す情報が、設計情報41の一例である。図10に示す情報は、図3から図9に示す情報を用いて具体化されている。そのため、対象物の設計者は、図10に示す情報を直接生成してもよい。
なお、図3から図9で説明した値は、一例であり、適宜変更可能である。但し、境界情報に関しては、外部のようにリスク発生の可能性が高くなるほど、大きい値が設定されるものとする。
<対策立案支援装置10の全体的な処理>
図11を参照して、実施の形態1に係る対策立案支援装置10の全体的な処理を説明する。
(ステップS1:脅威特定処理)
脅威特定部24は、対象物の設計情報41に基づき、対象物で発生し得る脅威を特定する。
具体的には、脅威特定部24は、場所識別子とタイプとの組合せに応じた脅威を示す脅威データベース31を参照する。そして、脅威特定部24は、対象物で用いられるデータについて設計情報41が示す場所識別子と、データについて設計情報41が示すタイプとの組合せに対応する脅威を特定する。脅威特定部24は、特定された脅威をメモリ12に書き込む。
図11を参照して、実施の形態1に係る対策立案支援装置10の全体的な処理を説明する。
(ステップS1:脅威特定処理)
脅威特定部24は、対象物の設計情報41に基づき、対象物で発生し得る脅威を特定する。
具体的には、脅威特定部24は、場所識別子とタイプとの組合せに応じた脅威を示す脅威データベース31を参照する。そして、脅威特定部24は、対象物で用いられるデータについて設計情報41が示す場所識別子と、データについて設計情報41が示すタイプとの組合せに対応する脅威を特定する。脅威特定部24は、特定された脅威をメモリ12に書き込む。
(ステップS2:対策特定処理)
対策特定部25は、ステップS1で特定された脅威を防止するための対策を第1対策として特定する。
具体的には、対策特定部25は、脅威と、場所識別子又はタイプとの組合せに応じた対策を示す対策データベースを参照する。そして、対策特定部25は、データについて設計情報41が示す場所識別子、又は、データについて設計情報41が示すタイプと、データについてステップS1で特定された脅威との組合せに対応する対策を第1対策として特定する。対策特定部25は、特定された第1対策をメモリ12に書き込む。
対策特定部25は、ステップS1で特定された脅威を防止するための対策を第1対策として特定する。
具体的には、対策特定部25は、脅威と、場所識別子又はタイプとの組合せに応じた対策を示す対策データベースを参照する。そして、対策特定部25は、データについて設計情報41が示す場所識別子、又は、データについて設計情報41が示すタイプと、データについてステップS1で特定された脅威との組合せに対応する対策を第1対策として特定する。対策特定部25は、特定された第1対策をメモリ12に書き込む。
(ステップS3:規格導入処理)
規格導入部22は、対象物に対して適用されるセキュリティに関する規格を示す規格情報42と、設計情報41とに基づき、規格情報42が示す規格を満たすための対策を第2対策として特定する。
具体的には、規格導入部22は、規格のレベルと、場所識別子との組合せに応じた対策を示す規格データベースを参照して、対象物に対して導入する規格のレベルと、対象物の構成物の場所識別子とに対応する対策を第2対策として特定する。
規格導入部22は、対象物に対して適用されるセキュリティに関する規格を示す規格情報42と、設計情報41とに基づき、規格情報42が示す規格を満たすための対策を第2対策として特定する。
具体的には、規格導入部22は、規格のレベルと、場所識別子との組合せに応じた対策を示す規格データベースを参照して、対象物に対して導入する規格のレベルと、対象物の構成物の場所識別子とに対応する対策を第2対策として特定する。
(ステップS4:結合処理)
結合部23は、ステップS2で特定された第1対策と、ステップS3で特定された第2対策とを結合して対策データであるセキュア設計図43を生成する。
結合部23は、ステップS2で特定された第1対策と、ステップS3で特定された第2対策とを結合して対策データであるセキュア設計図43を生成する。
<脅威特定処理>
図12から図14を参照して、実施の形態1に係る脅威特定処理を説明する。
(ステップS11:受付処理)
脅威特定部24は、設計情報41の入力を受け付ける。
図12から図14を参照して、実施の形態1に係る脅威特定処理を説明する。
(ステップS11:受付処理)
脅威特定部24は、設計情報41の入力を受け付ける。
(ステップS12:対象判定処理)
脅威特定部24は、処理対象のクラスを特定する。処理対象のクラスは、対象物で用いられるデータ等のクラスである。属性に重要度を有するクラスを抽出することにより、処理対象のクラスを特定することができる。図3から図10で説明した例では、処理対象のクラスは、ControlDataと、commDataと、DisplayDataと、FileDataとのクラスである。
脅威特定部24は、処理対象のクラスを特定する。処理対象のクラスは、対象物で用いられるデータ等のクラスである。属性に重要度を有するクラスを抽出することにより、処理対象のクラスを特定することができる。図3から図10で説明した例では、処理対象のクラスは、ControlDataと、commDataと、DisplayDataと、FileDataとのクラスである。
ステップS12で特定された各クラスを対象として、ステップS13からステップS15の処理が実行される。
(ステップS13:キーワード取得処理)
脅威特定部24は、設計情報41から、対象とするクラスの場所識別子及びタイプをキーワードとして取得する。
例えば、対象とするクラスが図10に示すFileDataのクラスの場合には、場所識別子“1”及びタイプ“1”がキーワードとして取得される。
脅威特定部24は、設計情報41から、対象とするクラスの場所識別子及びタイプをキーワードとして取得する。
例えば、対象とするクラスが図10に示すFileDataのクラスの場合には、場所識別子“1”及びタイプ“1”がキーワードとして取得される。
(ステップS14:脅威検索処理)
脅威特定部24は、ステップS13で取得されたキーワードにより、脅威データベース31を検索して、キーワードに対応する脅威を特定する。
具体的には、図13に示すように、脅威データベース31は、ツリー型のデータベースであり、各ノードには、脅威名称と、脅威の特性と、識別子と、タイプと、脆弱性情報とが設定されている。ノードに設定された脅威情報は、ノードが葉に近いほど具体的な内容になっている。脅威データベース31は、アタックツリー及びゴールモデルといった一般的なものであり、かつ、脅威の網羅度が高いものを採用することが望ましい。脅威特定部24は、キーワードに含まれる場所識別子とノードの識別子が一致し、かつ、キーワードに含まれるタイプとノードのタイプが一致するノードを根から葉に向かって辿れるだけ辿る。脅威特定部24は、到達したノードに設定された脅威名称及び脆弱性情報を取得する。
例えば、対象とするクラスが図10に示すFileDataのクラスの場合には、場所識別子“1”及びタイプ“1”がキーワードである。そのため、脅威名称として、装置内部のデータの改ざん・暴露・消去が取得され、脆弱性情報として、CWE−312が取得される。
脅威特定部24は、ステップS13で取得されたキーワードにより、脅威データベース31を検索して、キーワードに対応する脅威を特定する。
具体的には、図13に示すように、脅威データベース31は、ツリー型のデータベースであり、各ノードには、脅威名称と、脅威の特性と、識別子と、タイプと、脆弱性情報とが設定されている。ノードに設定された脅威情報は、ノードが葉に近いほど具体的な内容になっている。脅威データベース31は、アタックツリー及びゴールモデルといった一般的なものであり、かつ、脅威の網羅度が高いものを採用することが望ましい。脅威特定部24は、キーワードに含まれる場所識別子とノードの識別子が一致し、かつ、キーワードに含まれるタイプとノードのタイプが一致するノードを根から葉に向かって辿れるだけ辿る。脅威特定部24は、到達したノードに設定された脅威名称及び脆弱性情報を取得する。
例えば、対象とするクラスが図10に示すFileDataのクラスの場合には、場所識別子“1”及びタイプ“1”がキーワードである。そのため、脅威名称として、装置内部のデータの改ざん・暴露・消去が取得され、脆弱性情報として、CWE−312が取得される。
(ステップS15:脅威値計算処理)
脅威特定部24は、対象とするクラスの重要度と、対象とするクラスのオーナの境界情報とから、脅威値を計算する。具体的には、脅威特定部24は、対象とするクラスの重要度に、対象とするクラスのオーナの境界情報を乗じて、脅威値を計算する。
例えば、対象とするクラスが図10に示すFileDataのクラスの場合には、FileDataのクラスの重要度は2である。また、FileDataのクラスのオーナは表示器1であり、表示器1の境界情報は1である。したがって、脅威値は2(=2×1)である。
脅威特定部24は、対象とするクラスの重要度と、対象とするクラスのオーナの境界情報とから、脅威値を計算する。具体的には、脅威特定部24は、対象とするクラスの重要度に、対象とするクラスのオーナの境界情報を乗じて、脅威値を計算する。
例えば、対象とするクラスが図10に示すFileDataのクラスの場合には、FileDataのクラスの重要度は2である。また、FileDataのクラスのオーナは表示器1であり、表示器1の境界情報は1である。したがって、脅威値は2(=2×1)である。
(ステップS16:結果出力処理)
脅威特定部24は、脅威特定処理を実行して得られた結果を脅威特定結果44としてまとめ、対策特定部25に出力する。
図14に示すように、脅威特定処理を実行した結果、ControlDataと、commDataと、DisplayDataと、FileDataとのクラスについての脅威が特定される。なお、図14では、DisplayDataについての脅威は省略されている。ここでは、FileDataのクラスについては脅威1が特定され、commDataのクラスについては脅威2が特定され、ControlDataのクラスについては脅威3が特定されている。
図14では、各クラスについて特定された脅威における脅威名称及び脆弱性情報には、ステップS14で取得された脅威名称及び脆弱性情報が設定されている。識別子とタイプとオーナとには、対象のクラスについての場所識別子とタイプとオーナとが設定されている。脅威値には、ステップS15で計算された脅威値が設定されている。
脅威特定部24は、脅威特定処理を実行して得られた結果を脅威特定結果44としてまとめ、対策特定部25に出力する。
図14に示すように、脅威特定処理を実行した結果、ControlDataと、commDataと、DisplayDataと、FileDataとのクラスについての脅威が特定される。なお、図14では、DisplayDataについての脅威は省略されている。ここでは、FileDataのクラスについては脅威1が特定され、commDataのクラスについては脅威2が特定され、ControlDataのクラスについては脅威3が特定されている。
図14では、各クラスについて特定された脅威における脅威名称及び脆弱性情報には、ステップS14で取得された脅威名称及び脆弱性情報が設定されている。識別子とタイプとオーナとには、対象のクラスについての場所識別子とタイプとオーナとが設定されている。脅威値には、ステップS15で計算された脅威値が設定されている。
<対策特定処理>
図15から図17を参照して、実施の形態1に係る対策特定処理を説明する。
(ステップS21:受付処理)
対策特定部25は、脅威特定結果44の入力を受け付ける。
図15から図17を参照して、実施の形態1に係る対策特定処理を説明する。
(ステップS21:受付処理)
対策特定部25は、脅威特定結果44の入力を受け付ける。
(ステップS22:脅威判定処理)
対策特定部25は、処理対象の脅威を特定する。処理対象の脅威は、脅威特定結果44に含まれる全ての脅威である。図14に示す脅威特定結果44の場合には、処理対象の脅威は、脅威1と脅威2と脅威3とである。
対策特定部25は、処理対象の脅威を特定する。処理対象の脅威は、脅威特定結果44に含まれる全ての脅威である。図14に示す脅威特定結果44の場合には、処理対象の脅威は、脅威1と脅威2と脅威3とである。
ステップS22で特定された各脅威を対象として、ステップS23及びステップS24の処理が実行される。
(ステップS23:キーワード取得処理)
対策特定部25は、脅威特定結果44から、対象とする脅威についての脅威名称と、識別子と、タイプと、脅威値とをキーワードとして取得する。
例えば、対象とする脅威が図14に示す脅威1の場合には、脅威名称“装置内部のデータの改ざん・暴露・消去”と、識別子“1”と、タイプ“1”と、脅威値“2”とが取得される。
対策特定部25は、脅威特定結果44から、対象とする脅威についての脅威名称と、識別子と、タイプと、脅威値とをキーワードとして取得する。
例えば、対象とする脅威が図14に示す脅威1の場合には、脅威名称“装置内部のデータの改ざん・暴露・消去”と、識別子“1”と、タイプ“1”と、脅威値“2”とが取得される。
(ステップS24:対策検索処理)
対策特定部25は、ステップS23で取得されたキーワードにより、対策データベース32を検索して、キーワードに対応する対策を特定する。
具体的には、図16に示すように、対策データベース32は、脅威名称及び対象毎に、対策と、対策IDとを有する表形式のデータベースである。対象には、識別子とタイプと脅威値とのいずれかが設定されている。なお、図16では、対策データベース32は、表形式のデータベースであるが、アタックディフェンスツリーといったツリー型のデータベースであってもよい。対策特定部25は、キーワードに含まれる脅威名称と、識別子又はタイプ又は脅威値との組により、対策データベース32を検索する。つまり、対策特定部25は、キーワードに含まれる脅威名称と、対策データベース32のレコードの脅威名称が一致し、かつ、キーワードに含まれる識別子又はタイプ又は脅威値と対策データベース32のレコードの識別子又はタイプ又は脅威値とが一致するレコードを特定する。対策特定部25は、特定されたレコードに設定された対策及び対策IDを取得する。
例えば、対象とする脅威が図14の脅威2の場合には、脅威名称が通信路上の盗聴・改ざんであり、かつ、識別子が10のレコードと、脅威名称が通信路上の盗聴・改ざんであり、かつ、タイプが1のレコードとが特定される。その結果、送信先でぺ根とレーション試験を実施するという対策、及び、対策ID“15−42”と、送信元でデータを暗号化する、送信先でデータを復号するという対策、及び、対策ID“16−46”とが取得される。なお、対象とする脅威が図14の脅威1,3の場合には、対応する対策が特定されない。
対策特定部25は、ステップS23で取得されたキーワードにより、対策データベース32を検索して、キーワードに対応する対策を特定する。
具体的には、図16に示すように、対策データベース32は、脅威名称及び対象毎に、対策と、対策IDとを有する表形式のデータベースである。対象には、識別子とタイプと脅威値とのいずれかが設定されている。なお、図16では、対策データベース32は、表形式のデータベースであるが、アタックディフェンスツリーといったツリー型のデータベースであってもよい。対策特定部25は、キーワードに含まれる脅威名称と、識別子又はタイプ又は脅威値との組により、対策データベース32を検索する。つまり、対策特定部25は、キーワードに含まれる脅威名称と、対策データベース32のレコードの脅威名称が一致し、かつ、キーワードに含まれる識別子又はタイプ又は脅威値と対策データベース32のレコードの識別子又はタイプ又は脅威値とが一致するレコードを特定する。対策特定部25は、特定されたレコードに設定された対策及び対策IDを取得する。
例えば、対象とする脅威が図14の脅威2の場合には、脅威名称が通信路上の盗聴・改ざんであり、かつ、識別子が10のレコードと、脅威名称が通信路上の盗聴・改ざんであり、かつ、タイプが1のレコードとが特定される。その結果、送信先でぺ根とレーション試験を実施するという対策、及び、対策ID“15−42”と、送信元でデータを暗号化する、送信先でデータを復号するという対策、及び、対策ID“16−46”とが取得される。なお、対象とする脅威が図14の脅威1,3の場合には、対応する対策が特定されない。
(ステップS25:結果出力処理)
対策特定部25は、対策特定処理を実行して得られた結果を対策特定結果45としてまとめ、結合部23に出力する。
図17に示すように、対策特定処理を実行した結果、脅威2については対策が特定されている。一方、脅威1,3については対策が特定されていない。
対策特定部25は、対策特定処理を実行して得られた結果を対策特定結果45としてまとめ、結合部23に出力する。
図17に示すように、対策特定処理を実行した結果、脅威2については対策が特定されている。一方、脅威1,3については対策が特定されていない。
<規格導入処理>
図18から図20を参照して、実施の形態1に係る規格導入処理を説明する。
(ステップS31:受付処理)
規格導入部22は、設計情報41と規格情報42との入力を受け付ける。
ここでは、規格情報42には、EDSA認証の機能的セキュリティ要件と、レベル1とが指定されているものとする。
図18から図20を参照して、実施の形態1に係る規格導入処理を説明する。
(ステップS31:受付処理)
規格導入部22は、設計情報41と規格情報42との入力を受け付ける。
ここでは、規格情報42には、EDSA認証の機能的セキュリティ要件と、レベル1とが指定されているものとする。
(ステップS32:キーワード取得処理)
規格導入部22は、規格情報42から規格及びレベルをキーワードとして取得する。ここでは、EDSA認証の機能的セキュリティ要件と、レベル1とがキーワードとして取得される。
規格導入部22は、規格情報42から規格及びレベルをキーワードとして取得する。ここでは、EDSA認証の機能的セキュリティ要件と、レベル1とがキーワードとして取得される。
(ステップS33:対策検索処理)
規格導入部22は、ステップS32で取得されたキーワードにより、規格データベース33を検索して、キーワードに対応する対策を特定する。
具体的には、図19に示すように、規格データベース33は、規格毎に用意されており、対策名称及び対象毎に、要求と、レベルと、IDと、対策IDと、新規コンポーネントとを有する表形式のデータベースである。対策名称は、対策に付された名称である。対象は、対策が必要なコンポーネントを絞り込むために利用される情報であり、(i)〜(iii)の3段階の情報が格納される。ここでは、対象は3段階であるがこれに限定されるものではない。要求には、対策の内容が格納される。レベルは、要求される規格のレベルを示す。対策IDは、対策データベース32と同じ粒度で割り当てられ、同じ対策には同じ対策IDが割り当てられる。新規コンポーネントは、対応するコンポーネントが対象物に存在しない場合には、新たにコンポーネントを追加する必要があることを示す。
規格導入部22は、キーワードに含まれる規格とレベルとで対象となるレコードを絞り込む。ここでは、規格導入部22は、EDSA認証の機能的セキュリティ要件とレベル1とでレコードを絞り込む。すると、規格名称がデータ伝送における平文の不使用であるレコードが特定される。規格導入部22は、特定されたレコードの情報を取得する。
規格導入部22は、ステップS32で取得されたキーワードにより、規格データベース33を検索して、キーワードに対応する対策を特定する。
具体的には、図19に示すように、規格データベース33は、規格毎に用意されており、対策名称及び対象毎に、要求と、レベルと、IDと、対策IDと、新規コンポーネントとを有する表形式のデータベースである。対策名称は、対策に付された名称である。対象は、対策が必要なコンポーネントを絞り込むために利用される情報であり、(i)〜(iii)の3段階の情報が格納される。ここでは、対象は3段階であるがこれに限定されるものではない。要求には、対策の内容が格納される。レベルは、要求される規格のレベルを示す。対策IDは、対策データベース32と同じ粒度で割り当てられ、同じ対策には同じ対策IDが割り当てられる。新規コンポーネントは、対応するコンポーネントが対象物に存在しない場合には、新たにコンポーネントを追加する必要があることを示す。
規格導入部22は、キーワードに含まれる規格とレベルとで対象となるレコードを絞り込む。ここでは、規格導入部22は、EDSA認証の機能的セキュリティ要件とレベル1とでレコードを絞り込む。すると、規格名称がデータ伝送における平文の不使用であるレコードが特定される。規格導入部22は、特定されたレコードの情報を取得する。
(ステップS34:対象特定処理)
規格導入部22は、ステップS33で特定されたレコードの対象となるコンポーネントを特定する。具体的には、規格導入部22は、設計情報41が示すコンポーネントから、レコードの対象に設定された内容に合致するコンポーネントを特定する。
ここでは、規格導入部22は、場所識別子が10であるデータを特定する。すると、図10に示すcommDataが特定される。さらに、規格導入部22は、commDataの送信元であり、識別子が1又は2又は3であるコンポーネントと、commDataの送信先であり、識別子が1又は2又は3であるコンポーネントとを特定する。すると、図10に示すセンサ1と表示器1とが特定される。
規格導入部22は、ステップS33で特定されたレコードの対象となるコンポーネントを特定する。具体的には、規格導入部22は、設計情報41が示すコンポーネントから、レコードの対象に設定された内容に合致するコンポーネントを特定する。
ここでは、規格導入部22は、場所識別子が10であるデータを特定する。すると、図10に示すcommDataが特定される。さらに、規格導入部22は、commDataの送信元であり、識別子が1又は2又は3であるコンポーネントと、commDataの送信先であり、識別子が1又は2又は3であるコンポーネントとを特定する。すると、図10に示すセンサ1と表示器1とが特定される。
(ステップS35:結果出力処理)
規格導入部22は、規格導入処理を実行して得られた結果を規格導入結果46としてまとめ、結合部23に出力する。
図20に示すように、規格導入処理を実行した結果、センサ1に符号化(Encode)するという対策が特定され、表示器1に符号化(Decode)するという対策が特定される。
規格導入部22は、規格導入処理を実行して得られた結果を規格導入結果46としてまとめ、結合部23に出力する。
図20に示すように、規格導入処理を実行した結果、センサ1に符号化(Encode)するという対策が特定され、表示器1に符号化(Decode)するという対策が特定される。
<結合処理>
図21から図23を参照して、実施の形態1に係る結合処理を説明する。
(ステップS41:受付処理)
結合部23は、対策特定処理で生成された対策特定結果45と、規格導入処理で生成された規格導入結果46との入力を受け付ける。
図21から図23を参照して、実施の形態1に係る結合処理を説明する。
(ステップS41:受付処理)
結合部23は、対策特定処理で生成された対策特定結果45と、規格導入処理で生成された規格導入結果46との入力を受け付ける。
(ステップS42:対策結合処理)
結合部23は、ステップS41で受け付けられた対策特定結果45と規格導入結果46とを結合してセキュア設計図43を生成する。具体的には、図22に示すように、図17に示す対策特定結果45と、図20に示す規格導入結果46とを単純に1つにまとめ、セキュア設計図43を生成する。
対策特定結果45では、データと脅威と対策と機器とが関連付けられている。規格導入結果46では、機器と規格要件とが関連付けられている。対策特定結果45と規格導入結果46とを結合することにより、機器を中心に、規格要件と、情報資産と、脅威と、対策とが関連付けられる。
結合部23は、ステップS41で受け付けられた対策特定結果45と規格導入結果46とを結合してセキュア設計図43を生成する。具体的には、図22に示すように、図17に示す対策特定結果45と、図20に示す規格導入結果46とを単純に1つにまとめ、セキュア設計図43を生成する。
対策特定結果45では、データと脅威と対策と機器とが関連付けられている。規格導入結果46では、機器と規格要件とが関連付けられている。対策特定結果45と規格導入結果46とを結合することにより、機器を中心に、規格要件と、情報資産と、脅威と、対策とが関連付けられる。
(ステップS43:情報整理処理)
結合部23は、ステップS42で生成された統合結果から、不要な情報を削除して、セキュア設計図43を整理する。
具体的には、結合部23は、データと脅威と対策とのみが関連付けされており、対策を機器に適用することがない情報は、不要な情報として扱う。また、結合部23は、データのみで関連付けられていない情報も、不要な情報として扱う。結合部23は、図22に示すセキュア設計図43から、これらの不要な情報を削除して、図23のように情報を整理する。
図23に示すように、表示器1は、規格要件として、符号化(Decode)することが要求されている。また、表示器1は、通信路上の盗聴・改ざんという脅威2が関連しており、この脅威2の対策としてデータを復号することが上げられている。センサ1は、規格要件として、符号化(Encode)することが要求されている。また、センサ1は、通信路上の盗聴・改ざんという脅威2が関連しており、この脅威2の対策として、データを暗号化すること、及び、ペネトレーション試験を実施することが上げられている。
結合部23は、ステップS42で生成された統合結果から、不要な情報を削除して、セキュア設計図43を整理する。
具体的には、結合部23は、データと脅威と対策とのみが関連付けされており、対策を機器に適用することがない情報は、不要な情報として扱う。また、結合部23は、データのみで関連付けられていない情報も、不要な情報として扱う。結合部23は、図22に示すセキュア設計図43から、これらの不要な情報を削除して、図23のように情報を整理する。
図23に示すように、表示器1は、規格要件として、符号化(Decode)することが要求されている。また、表示器1は、通信路上の盗聴・改ざんという脅威2が関連しており、この脅威2の対策としてデータを復号することが上げられている。センサ1は、規格要件として、符号化(Encode)することが要求されている。また、センサ1は、通信路上の盗聴・改ざんという脅威2が関連しており、この脅威2の対策として、データを暗号化すること、及び、ペネトレーション試験を実施することが上げられている。
ここで、対策IDは、XX−YYという構成になっている。XXは大分類を表し、YYは小分類を表している。したがって、XXが同じ対策は、同じ大分類の対策であることを意味する。つまり、XXが同じ対策は、類似の対策であることを意味する。具体例としては、大分類は、アクセス制御と、構成管理と、物理環境による保護と、システム及び通信の保護と、システム及びサービスの調達要件といった内容である。また、小分類としては、大分類がシステム及び通信の保護である場合には、暗号鍵の確立及び管理と、セキュリティ機能の隔離といった内容である。
例えば、図23に示すように、表示器1について、規格要件で上げられている対策と、脅威2の対策とは、いずれも対策IDの大分類が16で共通していることが分かる。
例えば、図23に示すように、表示器1について、規格要件で上げられている対策と、脅威2の対策とは、いずれも対策IDの大分類が16で共通していることが分かる。
***実施の形態1の効果***
以上のように、実施の形態1に係る対策立案支援装置10は、設計情報に基づき脅威分析を行いセキュリティ対策を特定するとともに、セキュリティに関する規格に基づくセキュリティ対策を特定し、これらを組み合わせる。これにより、処理を煩雑にすることなく、セキュリティに関する規格を満たしつつ、システムで発生し得る脅威を防止できる対策の立案を支援することが可能である。
つまり、セキュリティに関する規格では対応しづらい要件に対しては、脅威分析を行うことにより明確化し、脅威分析では対応しづらい明示の無い基準に対しては、セキュリティに関する規格に基づき明確化する。これにより、互いの欠点を補い、セキュリティとして明確な基準と多くの範囲に対応した対策を検討することが可能である。
以上のように、実施の形態1に係る対策立案支援装置10は、設計情報に基づき脅威分析を行いセキュリティ対策を特定するとともに、セキュリティに関する規格に基づくセキュリティ対策を特定し、これらを組み合わせる。これにより、処理を煩雑にすることなく、セキュリティに関する規格を満たしつつ、システムで発生し得る脅威を防止できる対策の立案を支援することが可能である。
つまり、セキュリティに関する規格では対応しづらい要件に対しては、脅威分析を行うことにより明確化し、脅威分析では対応しづらい明示の無い基準に対しては、セキュリティに関する規格に基づき明確化する。これにより、互いの欠点を補い、セキュリティとして明確な基準と多くの範囲に対応した対策を検討することが可能である。
ここで、ステップS13でキーワードとして取得された場所識別子とタイプとは、コンポーネントの種別と、データの分類とである。そのため、セキュリティの専門家でなくても容易に入力できる情報である。また、脅威値の計算に用いられる重要度と境界情報とは、データの公開レベルを示す情報と、コンポーネントの設置位置を示す情報とである。そのため、セキュリティの専門家でなくても容易に入力できる情報である。
実施の形態1に係る対策立案支援装置10では、場所識別子とタイプと重要度と境界情報とに基づき、脅威分析がされ、対策が特定される。そのため、セキュリティの専門家でなくても容易に対策を特定することが可能である。
実施の形態1に係る対策立案支援装置10では、場所識別子とタイプと重要度と境界情報とに基づき、脅威分析がされ、対策が特定される。そのため、セキュリティの専門家でなくても容易に対策を特定することが可能である。
***他の構成***
<変形例1>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例1として、各機能構成要素はハードウェアで実現されてもよい。この変形例1について、実施の形態1と異なる点を説明する。
<変形例1>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例1として、各機能構成要素はハードウェアで実現されてもよい。この変形例1について、実施の形態1と異なる点を説明する。
図24を参照して、変形例1に係る対策立案支援装置10の構成を説明する。
各機能構成要素がハードウェアで実現される場合には、対策立案支援装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路15を備える。電子回路15は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
各機能構成要素がハードウェアで実現される場合には、対策立案支援装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路15を備える。電子回路15は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。
電子回路15としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路15で実現してもよいし、各機能構成要素を複数の電子回路15に分散させて実現してもよい。
各機能構成要素を1つの電子回路15で実現してもよいし、各機能構成要素を複数の電子回路15に分散させて実現してもよい。
<変形例2>
変形例2として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
変形例2として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
プロセッサ11とメモリ12とストレージ13と電子回路15とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。
実施の形態2.
実施の形態2は、対策を階層的に特定する点が実施の形態1と異なる。実施の形態2では、この異なる点を説明し、同一の点については説明を省略する。
実施の形態2は、対策を階層的に特定する点が実施の形態1と異なる。実施の形態2では、この異なる点を説明し、同一の点については説明を省略する。
***構成の説明***
図25を参照して、実施の形態2に係る対策立案支援装置10の構成を説明する。
対策立案支援装置10は、ストレージ13が対策候補データベース34を実現する点が、図1に示す対策立案支援装置10と異なる。
対策候補データベース34は、対策データベース32と規格データベース33とが結合されて生成されたデータベースである。
図25を参照して、実施の形態2に係る対策立案支援装置10の構成を説明する。
対策立案支援装置10は、ストレージ13が対策候補データベース34を実現する点が、図1に示す対策立案支援装置10と異なる。
対策候補データベース34は、対策データベース32と規格データベース33とが結合されて生成されたデータベースである。
***動作の説明***
図26を参照して、実施の形態2に係る対策候補データベース34の生成処理を説明する。
規格データベース33に記憶された各対策IDを対象として、ステップS51からステップS53の処理が実行される。
図26を参照して、実施の形態2に係る対策候補データベース34の生成処理を説明する。
規格データベース33に記憶された各対策IDを対象として、ステップS51からステップS53の処理が実行される。
(ステップS51:要素判定処理)
結合部23は、対象の対策IDと同じ対策IDを持つ対策データベース32のレコードを特定する。
結合部23は、レコードが特定された場合には、処理をステップS52に進める。一方、結合部23は、レコードが特定されなかった場合には、処理をステップS53に進める。
結合部23は、対象の対策IDと同じ対策IDを持つ対策データベース32のレコードを特定する。
結合部23は、レコードが特定された場合には、処理をステップS52に進める。一方、結合部23は、レコードが特定されなかった場合には、処理をステップS53に進める。
(ステップS52:第1書込処理)
結合部23は、対象の対策IDを有する規格データベース33のレコードの内容と、ステップS51で特定された対策データベース32のレコードの内容とを、対策候補データベース34に書き込む。
具体的には、結合部23は、対策候補データベース34の対策IDの項目に、対象の対策IDを書き込む。結合部23は、対策候補データベース34の要求+対策の項目に、対象の対策IDを有する規格データベース33のレコードの要求の項目の内容と、特定された対策データベース32のレコードの対策の項目の内容とを書き込む。結合部23は、脅威特定部24のIDの項目に、対象の対策IDを有する規格データベース33のレコードのIDの項目の内容を書き込む。
結合部23は、対象の対策IDを有する規格データベース33のレコードの内容と、ステップS51で特定された対策データベース32のレコードの内容とを、対策候補データベース34に書き込む。
具体的には、結合部23は、対策候補データベース34の対策IDの項目に、対象の対策IDを書き込む。結合部23は、対策候補データベース34の要求+対策の項目に、対象の対策IDを有する規格データベース33のレコードの要求の項目の内容と、特定された対策データベース32のレコードの対策の項目の内容とを書き込む。結合部23は、脅威特定部24のIDの項目に、対象の対策IDを有する規格データベース33のレコードのIDの項目の内容を書き込む。
(ステップS53:第2書込処理)
結合部23は、対象の対策IDを有する規格データベース33のレコードの内容を、対策候補データベース34に書き込む。
具体的には、結合部23は、対策候補データベース34の対策IDの項目に、対象の対策IDを書き込む。結合部23は、対策候補データベース34の要求+対策の項目に、対象の対策IDを有する規格データベース33のレコードの要求の項目の内容を書き込む。結合部23は、脅威特定部24のIDの項目に、対象の対策IDを有する規格データベース33のレコードのIDの項目の内容を書き込む。
結合部23は、対象の対策IDを有する規格データベース33のレコードの内容を、対策候補データベース34に書き込む。
具体的には、結合部23は、対策候補データベース34の対策IDの項目に、対象の対策IDを書き込む。結合部23は、対策候補データベース34の要求+対策の項目に、対象の対策IDを有する規格データベース33のレコードの要求の項目の内容を書き込む。結合部23は、脅威特定部24のIDの項目に、対象の対策IDを有する規格データベース33のレコードのIDの項目の内容を書き込む。
図27を参照して、対策候補データベース34の具体的な生成例を説明する。
図19に示す規格データベース33における対策ID“16−46”と同じ対策IDを持つレコードを図16に示す対策データベース32から検索すると、レコードが特定される。そのため、対策候補データベース34には、対策ID“16−46”に関しては、規格データベース33だけでなく、対策データベース32における対策ID“16−46”の内容が書きこまれる。具体的には、対策候補データベース34の要求+対策の項目に、規格データベース33における要求の内容と、対策データベース32における対策の内容とが書き込まれる。
また、図19に示す規格データベース33における対策ID“16−45”と同じ対策IDを持つレコードを図16に示す対策データベース32から検索すると、レコードが特定されない。そのため、対策候補データベース34には、対策ID“16−45”に関しては、規格データベース33における対策ID“16−45”の内容が書きこまれる。
図19に示す規格データベース33における対策ID“16−46”と同じ対策IDを持つレコードを図16に示す対策データベース32から検索すると、レコードが特定される。そのため、対策候補データベース34には、対策ID“16−46”に関しては、規格データベース33だけでなく、対策データベース32における対策ID“16−46”の内容が書きこまれる。具体的には、対策候補データベース34の要求+対策の項目に、規格データベース33における要求の内容と、対策データベース32における対策の内容とが書き込まれる。
また、図19に示す規格データベース33における対策ID“16−45”と同じ対策IDを持つレコードを図16に示す対策データベース32から検索すると、レコードが特定されない。そのため、対策候補データベース34には、対策ID“16−45”に関しては、規格データベース33における対策ID“16−45”の内容が書きこまれる。
図28及び図29を参照して、実施の形態2に係る結合処理を説明する。
ステップS61からステップS63の処理は、図21のステップS41からステップS43の処理と同じである。
ステップS61からステップS63の処理は、図21のステップS41からステップS43の処理と同じである。
(ステップS64:階層化処理)
結合部23は、対策候補データベース34を参照して、ステップS63で整理されたセキュア設計図43の対策に対する、上位の対策と下位の対策とを特定する。結合部23は、上位の対策と下位の対策との少なくともいずれかが特定された場合には、特定された対策をセキュア設計図43に追記する。
具体的には、結合部23は、セキュア設計図43に含まれる各対策を対象として、対象の対策についてのIDに基づき、対策候補データベース34を検索して対象の対策の上位の対策と下位の対策とを特定する。ここで、IDは、階層的な構造になっている。具体的には、IDがX−Yとなっている対策は、IDがXの対策の下位の対策であり、IDがX−Y−Zとなっている対策の上位の対策であることを意味する。そこで、結合部23は、対象の対策の対策IDと対策の内容に基づき、対策候補データベース34を検索して、対象の対策のIDを特定する。そして、結合部23は、特定されたIDをキーワードとして、上位の対策と下位の対策とを特定する。そして、結合部23は、特定された上位の対策を、対象の対策の上位に追記し、特定された下位の対策を、対象の対策の下位に追記する。
結合部23は、対策候補データベース34を参照して、ステップS63で整理されたセキュア設計図43の対策に対する、上位の対策と下位の対策とを特定する。結合部23は、上位の対策と下位の対策との少なくともいずれかが特定された場合には、特定された対策をセキュア設計図43に追記する。
具体的には、結合部23は、セキュア設計図43に含まれる各対策を対象として、対象の対策についてのIDに基づき、対策候補データベース34を検索して対象の対策の上位の対策と下位の対策とを特定する。ここで、IDは、階層的な構造になっている。具体的には、IDがX−Yとなっている対策は、IDがXの対策の下位の対策であり、IDがX−Y−Zとなっている対策の上位の対策であることを意味する。そこで、結合部23は、対象の対策の対策IDと対策の内容に基づき、対策候補データベース34を検索して、対象の対策のIDを特定する。そして、結合部23は、特定されたIDをキーワードとして、上位の対策と下位の対策とを特定する。そして、結合部23は、特定された上位の対策を、対象の対策の上位に追記し、特定された下位の対策を、対象の対策の下位に追記する。
図29に示すように、図23に示す対策2−1(1)と対策2−1(2)との上位の対策が特定される。図23に示す対策2−1(1)は、対策IDが16−46であり、対策の内容がデータを復号するであることから、IDが2−1であると特定される。そのため、IDが2の符号化(Decode)するという対策が上位の対策であることが特定される。同様に、図23に示す対策2−1(2)は、対策IDが16−46であり、対策の内容がデータを暗号化するであることから、IDが1−1であることが特定される。そのため、IDが1の符号化(Encode)するという対策が上位の対策であることが特定される。
つまり、復号するという対策の上位には符号化(Decode)するという対策があり、暗号化するという対策の上位には符号化(Encode)するという対策があることが分かる。
つまり、復号するという対策の上位には符号化(Decode)するという対策があり、暗号化するという対策の上位には符号化(Encode)するという対策があることが分かる。
なお、結合部23は、上位の対策が特定された場合には、さらに上位の対策を特定して、下位の対策が特定された場合には、さらに下位の対策を特定する。図29では、対策2−1(1)と対策2−1(2)との上位の対策に対する上位の対策はないため、対策2−1(1)と対策2−1(2)との上位の対策だけが追記されている。
***実施の形態2の効果***
以上のように、実施の形態2に係る対策立案支援装置10は、上位の対策及び下位の対策を特定して、階層的な対策を明確化する。これにより、例えば、上位の階層の対策から実装を検討し、徐々に下位の階層の対策の実装を検討するといった作業の進め方が可能になる。そのため、脅威に対する対策に優先度を付けて対応することが可能になる。
以上のように、実施の形態2に係る対策立案支援装置10は、上位の対策及び下位の対策を特定して、階層的な対策を明確化する。これにより、例えば、上位の階層の対策から実装を検討し、徐々に下位の階層の対策の実装を検討するといった作業の進め方が可能になる。そのため、脅威に対する対策に優先度を付けて対応することが可能になる。
10 対策立案支援装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、15 電子回路、21 脅威分析部、22 規格導入部、23 結合部、24 脅威特定部、25 対策特定部、31 脅威データベース、32 対策データベース、33 規格データベース、34 対策候補データベース、41 設計情報、42 規格情報、43 セキュア設計図、44 脅威特定結果、45 対策特定結果、46 規格導入結果、51 コンポーネントクラス図、52 情報クラス図。
Claims (7)
- 対象物の設計情報に基づき、前記対象物で発生し得る脅威を特定し、特定された前記脅威を防止するための対策を第1対策として特定する脅威分析部と、
前記対象物に対して適用されるセキュリティに関する規格を示す規格情報と、前記設計情報とに基づき、前記規格情報が示す前記規格を満たすための対策を第2対策として特定する規格導入部と、
前記脅威分析部によって特定された前記第1対策と、前記規格導入部によって特定された前記第2対策とを結合するとともに、前記規格情報が示す規格において、前記第1対策の上位の対策と下位の対策との少なくともいずれかの対策が規定されている場合には、規定されている対策を第3対策として特定して、前記第1対策と前記第2対策とを示すとともに、前記第3対策が特定された場合には前記第3対策を示す対策データを生成する結合部と
を備える対策立案支援装置。 - 前記設計情報は、前記対象物で用いられるデータが存在する構成要素を示す場所識別子と、前記対象物で用いられるデータの分類を示すタイプとを示し、
前記脅威分析部は、
前記場所識別子と前記タイプとの組合せに応じた脅威を示す脅威データベースを参照して、前記対象物で用いられるデータについて前記設計情報が示す場所識別子と、前記データについて前記設計情報が示すタイプとの組合せに対応する脅威を特定する脅威特定部
を備える請求項1に記載の対策立案支援装置。 - 前記脅威分析部は、
脅威と、前記場所識別子又は前記タイプとの組合せに応じた対策を示す対策データベースを参照して、前記データについて前記脅威特定部によって特定された脅威と、前記データについて前記設計情報が示す場所識別子、又は、前記データについて前記設計情報が示すタイプとの組合せに対応する対策を前記第1対策として特定する対策特定部
を備える請求項2に記載の対策立案支援装置。 - 前記設計情報は、前記対象物で用いられるデータの重要度と、前記対象物の構成要素の設置位置である境界情報とを示し、
前記脅威特定部は、前記データについて前記設計情報が示す重要度と、前記データの場所識別子が示す構成要素について前記設計情報が示す境界情報とから、前記データについて特定された脅威のレベルを示す脅威値を計算し、
前記脅威データベースは、脅威と脅威値との組合せに対応する対策を示し、
前記対策特定部は、前記データについて特定された脅威と、前記脅威について計算された脅威値との組合せに対応する対策を前記第1対策として特定する
請求項3に記載の対策立案支援装置。 - 前記設計情報は、前記対象物で用いられるデータが存在する構成要素を示す場所識別子を示し、
前記規格導入部は、規格のレベルと、前記場所識別子との組合せに応じた対策を示す規格データベースを参照して、前記対象物に対して導入する規格のレベルと、前記対象物の構成物の場所識別子とに対応する対策を前記第2対策として特定する
請求項1から4までのいずれか1項に記載の対策立案支援装置。 - 脅威分析部が、対象物の設計情報に基づき、前記対象物で発生し得る脅威を特定し、特定された前記脅威を防止するための対策を第1対策として特定し、
規格導入部が、前記対象物に対して適用されるセキュリティに関する規格を示す規格情報と、前記設計情報とに基づき、前記規格情報が示す前記規格を満たすための対策を第2対策として特定し、
結合部が、前記第1対策と前記第2対策とを結合するとともに、前記規格情報が示す規格において、前記第1対策の上位の対策と下位の対策との少なくともいずれかの対策が規定されている場合には、規定されている対策を第3対策として特定して、前記第1対策と前記第2対策とを示すとともに、前記第3対策が特定された場合には前記第3対策を示す対策データを生成する対策立案支援方法。 - 対象物の設計情報に基づき、前記対象物で発生し得る脅威を特定し、特定された前記脅威を防止するための対策を第1対策として特定する脅威分析処理と、
前記対象物に対して適用されるセキュリティに関する規格を示す規格情報と、前記設計情報とに基づき、前記規格情報が示す前記規格を満たすための対策を第2対策として特定する規格導入処理と、
前記脅威分析処理によって特定された前記第1対策と、前記規格導入処理によって特定された前記第2対策とを結合するとともに、前記規格情報が示す規格において、前記第1対策の上位の対策と下位の対策との少なくともいずれかの対策が規定されている場合には、規定されている対策を第3対策として特定して、前記第1対策と前記第2対策とを示すとともに、前記第3対策が特定された場合には前記第3対策を示す対策データを生成する結合処理と
をコンピュータに実行させる対策立案支援プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/000667 WO2019138542A1 (ja) | 2018-01-12 | 2018-01-12 | 対策立案支援装置、対策立案支援方法及び対策立案支援プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2019138542A1 JPWO2019138542A1 (ja) | 2020-01-16 |
| JP6636226B2 true JP6636226B2 (ja) | 2020-01-29 |
Family
ID=67219524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019549608A Active JP6636226B2 (ja) | 2018-01-12 | 2018-01-12 | 対策立案支援装置、対策立案支援方法及び対策立案支援プログラム |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP6636226B2 (ja) |
| TW (1) | TW201931189A (ja) |
| WO (1) | WO2019138542A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI726455B (zh) * | 2019-10-23 | 2021-05-01 | 臺灣銀行股份有限公司 | 滲透測試個案建議方法及系統 |
| JP7003343B2 (ja) * | 2020-01-17 | 2022-01-20 | 三菱電機株式会社 | ベクトル計算装置、分類装置及び出力プログラム |
| JP7422584B2 (ja) * | 2020-03-26 | 2024-01-26 | 株式会社日立製作所 | アプリケーション開発支援システム、アプリケーション開発支援方法 |
| JP7543926B2 (ja) | 2021-01-19 | 2024-09-03 | 富士電機株式会社 | 支援装置、支援システム、支援方法、及びプログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4663484B2 (ja) * | 2005-04-25 | 2011-04-06 | 株式会社日立製作所 | システムセキュリティ設計・評価支援ツール、システムセキュリティ設計支援ツール、システムセキュリティ設計・評価支援プログラム、およびシステムセキュリティ設計支援プログラム |
| JP6484929B2 (ja) * | 2013-10-17 | 2019-03-20 | 株式会社リコー | 機器管理装置、プログラム、機器管理システム及びセキュリティ設定方法 |
| JP2015204061A (ja) * | 2014-04-16 | 2015-11-16 | 株式会社日立製作所 | システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム |
| JP6591899B2 (ja) * | 2016-01-08 | 2019-10-16 | 株式会社日立製作所 | 情報処理装置および通信系統の運用方法 |
-
2018
- 2018-01-12 WO PCT/JP2018/000667 patent/WO2019138542A1/ja active Application Filing
- 2018-01-12 JP JP2019549608A patent/JP6636226B2/ja active Active
- 2018-04-16 TW TW107112887A patent/TW201931189A/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019138542A1 (ja) | 2019-07-18 |
| TW201931189A (zh) | 2019-08-01 |
| JPWO2019138542A1 (ja) | 2020-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6636226B2 (ja) | 対策立案支援装置、対策立案支援方法及び対策立案支援プログラム | |
| US11531773B2 (en) | Verification of bitstreams | |
| US8117661B2 (en) | Encryption based silicon IP protection | |
| JP2014191670A5 (ja) | ||
| US20240184878A1 (en) | Login methodology | |
| CN112307515A (zh) | 基于数据库的数据处理方法、装置、电子设备和介质 | |
| CN117459327B (zh) | 一种云数据透明加密保护方法、系统及装置 | |
| CN109325360B (zh) | 信息管理方法与装置 | |
| US11513507B2 (en) | Systems and methods for distributed control of manufacturing processes | |
| US10970415B2 (en) | Sensitive data redaction in memory dump | |
| JP6395986B2 (ja) | 鍵生成源特定装置、鍵生成源特定方法及び鍵生成源特定プログラム | |
| JPWO2018131129A1 (ja) | 暗号化タグ生成装置、検索クエリ生成装置及び秘匿検索システム | |
| CN110968885A (zh) | 模型训练数据存储方法及装置、电子设备、存储介质 | |
| CN116361849A (zh) | 一种加密数据库的备份数据加密、解密方法及装置 | |
| JP2017107405A (ja) | セキュリティ対策立案支援方式 | |
| WO2018163274A1 (ja) | リスク分析装置、リスク分析方法及びリスク分析プログラム | |
| CN113158203B (zh) | 一种soc芯片、电路和soc芯片的外部数据读写方法 | |
| Laufer et al. | Modelling data protection in fog computing systems using UMLsec and SysML-Sec | |
| JP6192601B2 (ja) | パーソナル情報管理システム及びパーソナル情報匿名化装置 | |
| WO2024029123A1 (ja) | ソフトウェア情報管理装置、ソフトウェア情報管理方法 | |
| JP7195384B1 (ja) | 導入支援装置、導入支援方法及び導入支援プログラム | |
| US20130036474A1 (en) | Method and Apparatus for Secure Data Representation Allowing Efficient Collection, Search and Retrieval | |
| ES2941701T3 (es) | Sistema, dispositivo y método para gestionar el acceso a datos en un entorno de automatización | |
| JPH10340232A (ja) | ファイル複写防止装置及びファイル読込装置 | |
| CN113627938B (zh) | 一种区块链的数据删除方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190911 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190911 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190911 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20191021 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191119 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191217 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6636226 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |