JP6901979B2 - セキュリティ評価サーバおよびセキュリティ評価方法 - Google Patents

セキュリティ評価サーバおよびセキュリティ評価方法 Download PDF

Info

Publication number
JP6901979B2
JP6901979B2 JP2018028887A JP2018028887A JP6901979B2 JP 6901979 B2 JP6901979 B2 JP 6901979B2 JP 2018028887 A JP2018028887 A JP 2018028887A JP 2018028887 A JP2018028887 A JP 2018028887A JP 6901979 B2 JP6901979 B2 JP 6901979B2
Authority
JP
Japan
Prior art keywords
evaluation
security
information
hierarchy
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018028887A
Other languages
English (en)
Other versions
JP2019144881A (ja
Inventor
イーウェン チェン
イーウェン チェン
甲斐 賢
賢 甲斐
英里子 安藤
英里子 安藤
博史 峯
博史 峯
飯室 聡
聡 飯室
川口 貴正
貴正 川口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2018028887A priority Critical patent/JP6901979B2/ja
Priority to PCT/JP2018/045824 priority patent/WO2019163266A1/ja
Priority to CN201880085748.2A priority patent/CN111587433B/zh
Priority to EP18906954.5A priority patent/EP3757836A4/en
Priority to US16/969,010 priority patent/US20210026970A1/en
Publication of JP2019144881A publication Critical patent/JP2019144881A/ja
Application granted granted Critical
Publication of JP6901979B2 publication Critical patent/JP6901979B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、セキュリティ評価サーバおよびセキュリティ評価方法に関するものである。
機能安全を達成するにはISO61508やISO26262などの機能安全評価があり、サイバーセキュリティを達成するにはIEC62443やISO15408などのセキュリティ評価が知られている。
機能安全の点からは、ハード部品の故障発生率や、ハード部品の寿命があるため、時間経過により、ハード部品を製造した時点と比べて、機能安全のレベルが低下する。また、サイバーセキュリティの点からは、次々と新規のウイルスが発生することや、同一暗証番号を継続して使用し続けることによる危険性を考えると、時間経過により、情報システムを新規に構築した時点と比べて、セキュリティレベルが低下する。
ハード部品と情報システムの時間経過に対して、特許文献1には、情報システムの構築時に設定された複数のセキュリティ機能の時間経過に対するセキュリティレベルSLの変化傾向を的確に把握するために、一定周期で可用性の喪失経過時間を計時し、各セキュリティ機能のセキュリティレベルSLを算出する。このセキュリティレベルSLを全部のセキュリティ機能に亘って換算して情報システム全体のセキュリティSLGを算出し、算出された各時刻におけるシステムセキュリティレベルSLGをグラフ表示出力する、という技術が開示されている。
特開2008−176634号公報
特許文献1に開示された技術を用いれば、ハード部品と情報システムの時間経過に対して、セキュリティレベルを評価することは可能になる。しかしながら、階層化された情報システムがハード部品を制御するシステムでは、情報システムの各階層へのサイバー攻撃がハード部品の機能安全に影響するものの、特許文献1にはこのような影響に関するセキュリティレベルを評価する技術までは開示されていなかった。
本発明の目的は、サイバーセキュリティによる機能安全を評価することである。
本発明に係る代表的なセキュリティ評価サーバは、評価対象システムの複数のシステム階層に関する情報を生成する階層生成部と、前記階層生成部により生成された複数のシステム階層に関する情報を用いて、各システム階層に含まれるセキュリティ機能要件による防御有効性の評価値を算出し、セキュリティ機能要件の組合せによる防御有効性の評価値を算出する評価部と、前記評価部により算出された評価値と、目標値とに基づいて、前記評価対象システムにおけるセキュリティ機能要件の過不足を検証する検証部と、を備えたことを特徴とする。
本発明によれば、サイバーセキュリティによる機能安全を評価することが可能になる。
セキュア機能安全評価装置のブロック構成の例を示す図である。 セキュア機能安全評価装置のハードウェア構成の例を示す図である。 システム稼働環境仕様書情報テーブルの例を示す図である。 各個システムによる階層情報テーブルの例を示す図である。 システム構成仕様書情報テーブルの例を示す図である。 評価演算データテーブルの例を示す図である。 セキュア機能安全評価装置のシーケンスの例を示す図である。 入力処理部のフローチャートの例を示す図である。 階層化のフローチャートの例を示す図である。 評価演算部のフローチャートの例を示す図である。 要件過不足検証部のフローチャートの例を示す図である。 実行項目と稼働環境仕様書の入力画面の例を示す図である。 目標とする防御有効性の入力画面の例を示す図である。 システム稼働環境仕様書情報と各階層定義の表示画面の例を示す図である。 階層化したシステム構成の入力画面の例を示す図である。 セキュリティ機能要件構成の入力画面の例を示す図である。 システムと各セキュリティ機能要件の定量評価結果の表示画面の例を示す図である。 過不足要件推奨結果の表示画面の例を示す図である。 システムにおける攻撃と機能安全の例を示す図である。
以下、本発明の実施形態について図面を用いて詳細に説明する。
−−−システム構成−−−
本実施例のセキュア機能安全評価装置1のブロック構成の例を、図1を用いて説明する。セキュア機能安全評価装置1は、拡張性があるコネクティッド組込みシステムにおけるサイバーセキュリティによる機能安全を定量評価するためのシステムである。
セキュア機能安全評価装置1は、入力部2、出力部3、入力処理部4、評価演算部5、要件過不足検証部6、結果処理部7、必要要件DB8、評価演算DB9、検証演算DB10、および結果DB11から構成されている。
入力部2は、評価対象システム仕様と目標とする防御有効性の情報の入力を、ユーザから受け付ける。出力部3は、評価対象システムの評価結果を、ユーザに出力する。入力処理部4は、入力部2において入力された評価対象システム仕様から、定量評価するために使用される情報を抽出する。
評価演算部5は、評価対象システム仕様から抽出された情報を使用して防御有効性を定量化する。要件過不足検証部6は、定量化された防御有効性が、目標とする防御有効性を満たすかを評価し、目標とする防御有効性を満たすセキュリティ機能要件を検証する。結果処理部7は、防御有効性の評価結果と過不足検証結果を出力するための処理を行う。
必要要件DB8は、評価対象システムの階層情報、ユーザが入力部2を通じて入力した評価対象システムの稼働環境仕様に対応できる階層化情報、およびサイバーセキュリティ定量評価を実行する際に使用されるセキュリティ機能要件の情報が格納されるデータベースである。評価演算DB9は、防御有効性の定量化の演算手順が格納されるデータベースである。
検証演算DB10は、目標とする防御有効性を満たすかを評価するための要件情報、および目標とする防御有効性を満たすための要件情報が格納されるデータベースである。結果DB11は、評価対象システムの防御有効性の定量評価結果と、目標とする防御有効性を満たすセキュリティ機能要件が格納されるデータベースである。
−−−ハードウェア構成の例−−−
本実施例のセキュア機能安全評価装置1のハードウェア構成の例を、図2を用いて説明する。図2で例示するセキュア機能安全評価装置1は、CPU101、メモリ102、記憶装置103、通信装置104、電源装置105、入力装置106、および出力装置107を備え、これらはバス108で接続されている。
CPU101は、中央処理装置(演算装置)であり、記憶装置103あるいはメモリ102上に保存されたプログラムを実行することにより、入力処理部4、評価演算部5、要件過不足検証部6、および結果処理部7をセキュア機能安全評価装置1で実現する。
メモリ102は、CPU101が動作するときにプログラムとデータがロードされる主記憶装置であり、揮発性記憶素子で構成される。記憶装置103は、CPU101の入力データ、出力データ、およびプログラムを保存するための補助記憶装置であり、不揮発記憶素子で構成される。この記憶装置103には、必要要件DB8、評価演算DB9、検証演算DB10、結果DB11が格納される。
通信装置104は、外部のネットワークノードとネットワークを介して通信を行う。電源装置105は、電源コンセントと接続され、セキュア機能安全評価装置1内の各装置に電源を供給する。
入力装置106は、ユーザが情報を入力するためのインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、あるいは音声入力などである。出力装置107は、ユーザにフィードバックと演算結果などを提供するためのインタフェースであり、例えば、画面表示装置、音声出力装置、あるいは印字装置などである。
なお、図2に示すセキュア機能安全評価装置1は、以上の構成であるのでセキュリティ評価サーバと呼ばれてもよく、1台のハードウェア上で構成されるものであるが、大規模なサービスに対応するために負荷を分散処理する場合、あるいは可用性向上のために冗長構成をとる場合は、2台以上のハードウェア上で構築されたプラットフォーム上で構成されるものであってもよい。
また、入力処理部4、評価演算部5、要件過不足検証部6、および結果処理部7を実現するためのプログラムあるいはテーブルなどの情報は、記憶装置103、あるいは図示を省略したストレージサブシステム、不揮発半導体メモリ、HDD(Hard Disk Drive)、あるいはSSD(Solid State Drive)などの記憶デバイス、または、ICカード、SDカード、DVDなどの計算機読み取り可能な非一時的データ記憶媒体に格納されてもよい。
−−−データの例−−−
本実施例のセキュア機能安全評価装置1で使用されるデータの例を、図3A〜3Cおよび図4を用いてそれぞれ説明する。図3A〜3Cは、必要要件DB8に格納されるデータの例を示す図である。必要要件DB8は、システム稼働環境仕様書情報テーブル300、各個システムによる階層情報テーブル310、およびシステム構成仕様書情報テーブル320からなる。
システム稼働環境仕様書情報テーブル300は、ユーザ109が入力部2を通じて指定した評価対象システムの稼働環境仕様書に関するデータである。システム稼働環境仕様書情報テーブル300は、仕様書項目301とシステム稼働環境情報302をペアとし、当該ペアを複数持つテーブルである。
一例として仕様書項目301は、システムタイプ、オペレーティングシステムタイプ、ライフサイクル年数、および利用状況を含み、これらの仕様書項目301とペアになるシステム稼働環境情報302は、仕様書項目301に対応するシステム稼働環境の情報を含む。仕様書項目301は、入力処理部4で処理内容の規定された項目であることが好ましい。
各個システムによる階層情報テーブル310は、ユーザ109が入力部2を通じて指定した評価対象システムの稼働環境仕様書に対応し、対応する稼働環境仕様書の評価システムの階層構成を規定するためのデータであって、予め設定された各個システムを構成する階層を示すデータである。
各個システムによる階層情報テーブル310は、組込みシステムタイプ311と階層構成312をペアとし、当該ペアを複数保持し、さらに階層構成312は複数の階層それぞれの情報を持つテーブルである。組込みシステムタイプ311は、評価対象システムとなり得る「自動車」、「ロボット」などの組込みシステムのカテゴリを含む。
また、階層構成312は、組込みシステムタイプ311に該当する階層構成として、どの階層を含むか否かを「○」と「×」の情報で含む。一例として、図3Bに示した組込みシステムタイプ311にある「自動車」は、「○」である物理制御層、情報−制御層、情報層およびクラウドから構成されていることを示す。なお、「ロボット」はクラウドが「×」であるので、物理制御層、情報制御装置、および情報層から構成されていることを示す。
システム構成仕様書情報テーブル320は、ユーザ109が入力部2を通じて入力した詳細なシステム構成仕様のデータである。システム構成仕様書情報テーブル320は、システム仕様321とセキュリティ機能要件322の独立した2つのテーブルからなり、それぞれが複数の項目を持つテーブルである。
システム仕様321は、図3Cに示すようなネットワーク機能仕様およびコンピュータ機能仕様などのシステム構成情報の項目を含み、これらの項目は入力処理部4で処理内容の規定された項目である。
セキュリティ機能要件322は、評価対象システムで運用されている各セキュリティ機能要件と、その通信場所、およびその通信方法などの各セキュリティ機能要件に関する詳細情報からなる。また、セキュリティ機能要件322は、各セキュリティ機能要件が評価対象システムのどの階層で運用されているかの運用階層情報323を含んでもよい。
システム稼働環境仕様書情報テーブル300、各個システムによる階層情報テーブル310、およびシステム構成仕様書情報テーブル320の3つのテーブルは、ユーザ109からの入力に基づいて互いに関連している。
セキュア機能安全評価装置1は、システム稼働環境仕様書情報テーブル300から評価対象システムのタイプを入力処理部4が判定し、評価対象システムのタイプの判定結果と各個システムによる階層情報テーブル310の内容に応じて、入力処理部4は評価対象システムに対応する階層情報をユーザ109に表示する。
そして、ユーザ109が評価対象システムに対応できる階層情報を入力すると、システム構成仕様書情報テーブル320の運用階層情報323を含むセキュリティ機能要件322が設定される。
図4は、評価演算DB9に格納されるデータの例を示す図である。評価演算DB9は、防御有効性の定量化の演算手順以外に、評価演算データテーブル400を含む。図4に示すように、評価演算データテーブル400は、セキュリティ機能要件の情報が格納される評価科目401と、各セキュリティ機能要件に対して階層ごとの評価結果の情報を格納する定量評価402から構成される。
評価科目401のセキュリティ機能要件の情報は、システム構成仕様書情報テーブル320のセキュリティ機能要件の列が保持している情報が取得されて設定される。なお、評価科目401の「セキュリティ機能要件1」などは、説明のための表現であり、セキュリティ機能要件を表す別の表現であってもよい。
定量評価402は、各セキュリティ機能要件の各階層における評価結果の情報が格納される列403、列404、および列405と、評価対象システムを対象とする評価結果の情報が格納される列406とを有する。
図4に示した定量評価402の情報は、実施例1に係る例として、制御−情報層の攻撃成功期間の情報を列403、情報層の攻撃成功期間の情報を列404、クラウド層の攻撃成功期間の情報を列405に分けられて格納されている。
列403、列404、および列405は、各個システムによる階層情報テーブル310の組み込みシステムタイプ311で該当する評価対象システムのタイプの階層構成312から情報が取得されて設定される。そのため、階層の種類、階層数は図4に示した例に限るものではない。
なお、定量評価402に格納される定量評価の指標すなわち攻撃成功期間などは、1つではなく複数であってもよい。またその指標は、攻撃成功期間と攻撃成功達成率に限定するものではなく、その他の指標であってもよい。例えば、過去の実績に基づく攻撃可能性などであってもよい。
評価科目401のセキュリティ機能要件と定量評価402の各列の各階層とによって定まるテーブルの各欄には、評価演算部5の図8に示すフローチャートの処理により算出された情報が格納される。
−−−処理フロー−−−
本実施例におけるセキュア機能安全評価装置1のシーケンスの例を、図5を用いて説明する。図5に示した入力処理部4、評価演算部5、要件過不足検証部6、および結果処理部7のそれぞれは、図1などを用いて説明したとおりである。
ステップS201で、入力処理部4は、入力装置106を通じて、ユーザ109からシステム稼働環境仕様書情報テーブル300の情報を含める稼働環境仕様書が入力される。セキュア機能安全評価装置1がユーザ109に表示する入力画面の例は、図10を用いて後述する。
ステップS202で、入力処理部4は、入力装置106を通じて、ユーザ109から評価対象システムが満たすべき目標とする防御有効性が入力される。セキュア機能安全評価装置1がユーザ109に表示する入力画面の例は、図11を用いてで後述する。
ステップS203で、入力処理部4は、ステップS201において受信した稼働環境仕様書のデータをもとに、必要要件DB8に格納された各個システムによる階層情報テーブル310の階層構成312を対応させ、対応した各階層定義をユーザ109に提示して、評価対象システムの階層処理をユーザ109に問い合せる。
稼働環境仕様書のデータをもとに、対応する各階層定義を各個システムによる階層情報テーブル310から取得するための入力処理部4の処理は、図6のステップS503でも後述する。セキュア機能安全評価装置1がユーザ109に表示する出力画面の例は、図12を用いて後述する。
ステップS204で、入力処理部4は、ユーザ109から階層化した構成情報を受信し、システム構成仕様書情報テーブル320に情報を設定する。このために、ユーザ109は、ステップS203で表示された各個システムによる階層情報テーブル310に基づく情報により、評価対象システムの構成を階層化し、階層化した構成情報を入力処理部4に入力する。
ユーザ109に表示した各階層定義をもとに、対応する階層化した構成情報をユーザ109から取得するための入力処理部4の処理は、図6のステップS504でも後述する。セキュア機能安全評価装置1がユーザ109に表示する入力画面の例は、図13A、13Bを用いて後述する。
ステップS205で、入力処理部4は、ユーザ109により入力された階層化した構成情報から、必要要件DB8を用いて、定量評価をするための要件すなわち階層化したセキュリティ機能要件を抽出し、抽出した階層化したセキュリティ機能要件を評価演算部5に送信する。
ステップS206で、評価演算部5は、入力処理部4から階層化したセキュリティ機能要件を受信し、評価演算DB9に格納された演算手順を用いて、階層化したセキュリティ機能要件の防御有効性を定量評価し、システム評価結果をユーザ109に表示する。また、システム評価結果は評価演算DB9の評価演算データテーブル400に格納される。定量評価の計算の例は、図8のステップS604〜S610でも後述する。
ステップS207で、入力処理部4は、ステップS202においてユーザ109が入力した目標とする防御有効性を、要件過不足検証部6に送信する。そして、ステップS208は、階層化したセキュリティ機能要件が目標とする防御有効性を満たすか否かを検証する、あるいは目標とする防御有効性を満たす階層化したセキュリティ機能要件の組合せを検証するループである。
階層化したセキュリティ機能要件は、1つの階層内に複数のセキュリティ機能要件を有する場合もあるし、複数の階層それぞれにセキュリティ機能要件を有する場合もある。このため、セキュリティ機能要件の組合せを検証することにより、目標とする防御有効性を満たす必要最小限のセキュリティ機能要件の組合せを抽出することも可能になる。
ステップS208のループは、ステップS209とステップS210を含み、検証可能なセキュリティ機能要件の組合せが検証されるまで、あるいは予め設定された条件が満たされるまで繰り返される。なお、ステップS208のループの基となる要件過不足検証部6の処理の例は、図9のステップS702とステップS707でも後述する。
ステップS209で、要件過不足検証部6は、検証可能なセキュリティ機能要件の組合せの中から1つの組合せを評価演算部5に送信する。そして、ステップS208のループによる次のステップS209で、要件過不足検証部6は、検証可能なセキュリティ機能要件の組合せの中から別の1つの組合せを評価演算部5に送信する。組合せの送信の処理の例は、図9のステップS703でも後述する。
ステップS210で、評価演算部5は、要件過不足検証部6から受信したセキュリティ機能要件の組合せの防御有効性を定量評価し、評価結果を要件過不足検証部6に送信する。要件過不足検証部6は、評価演算部5から受信した評価結果を用いて検証する。
ステップS211で、要件過不足検証部6は、入力処理部4から受信した目標とする防御有効性と、評価演算部5から受信した評価結果を比較して、要件の過不足を判定することにより検証し、要件検証結果などを結果処理部7に送信する。なお、検証の処理の例は、図9のステップS705〜S706でも後述する。
ステップS212で、結果処理部7は、要件過不足検証部6から受信した要件検証結果などに基づき、セキュリティ機能要件検証結果と過不足要件推奨結果をユーザ109に表示する。出力画面の例は、図14と図15を用いて後述する。
セキュア機能安全評価装置1の入力処理部4が行う処理のフローチャートの例を、図6を用いて説明する。ステップS501で、入力処理部4は、ユーザ109から入力された情報に基づいて稼働環境仕様書を受信する。ステップS501は図5のステップS201に相当する。
図10は、ユーザ109へ表示する実行項目と稼働環境仕様書の入力画面900の例を示す図である。この入力画面900は、ステップS501において表示されGUI(Graphical User Interface)であり、図10に示すように、実行項目選択欄800と、ユーザ109に稼働環境仕様書のファイルをアップロードさせるための稼働環境仕様書欄801を含む。
実行項目選択欄800は、ユーザ109によりセキュア機能安全評価装置1の実行項目が選択される欄であり、チェックの付けられた項目が選択される。ただし、「評価対象システムの現状セキュリティ定量評価」は必須であるので、ユーザ109の選択に関わらず、常にチェックが付けられてもよい。
実行項目選択欄800の「要件過不足検証」にチェックが付けられると、図5に示したステップS208、S211、S212が実行され、「要件過不足検証」にチェックが付けられないと、ステップS208、S211、S212は実行されなくてもよい。
また、「評価対象システムの現状セキュリティ定量評価」は必須であるので、「要件過不足検証」にチェックが付けられると、「評価対象システムの現状セキュリティ定量評価」と「要件過不足検証」の両方の実行が選択される。
ユーザ109により、稼働環境仕様書欄801の空欄に稼働環境仕様書のファイル名が設定され、「参照」のボタンがクリックされると、入力処理部4は、設定されたファイル名を持つ稼働環境仕様書のファイル(データ)を入力処理部4へアップロードする。
ここで、稼働環境仕様書のファイル(データ)は、システム稼働環境仕様書情報テーブル300の情報を含み、入力処理部4が評価対象システムのタイプを取得できるような情報を含むファイルであることが好ましい。
ただし、図10に示した入力画面900は一例であり、セキュア機能安全評価装置1が稼働環境の情報を取得できれば、入力画面の表示内容と入力される情報の種類は限定されるものではない。例えば、稼働環境仕様書のファイルを取得する代わりに、取得すべき情報の項目それぞれをユーザ109に表示して、ユーザ109がそれぞれの項目を手動で入力する入力画面であってもよい。
ステップS502で、入力処理部4は、ユーザ109が入力した目標とする防御有効性を受信する。ステップS502は図5のステップS202に相当する。ステップS501は、実行項目選択欄800の「要件過不足検証」がチェックされた場合に実行され、「要件過不足検証」がチェックされなかった場合は実行されず、スキップされてもよい。
図11は、ユーザ109へ表示する目標とする防御有効性の入力画面901の例を示す図である。この入力画面901は、ステップS502において表示されるGUIであり、図11に示すように、目標とする防御有効性欄802、ボタン803、およびボタン804を含む。
目標とする防御有効性は、許容安全範囲、許容発生頻度、および許容回復時間などセキュリティ機能要件に対する定量指標である。具体的に、目標とする防御有効性欄802において、上記許容安全範囲の一例はサイバー攻撃成功期間であり、上記許容発生頻度の一例はサイバー攻撃成功達成率であり、上記許容回復時間の一例は安全状態復帰許容時間である。
ボタン803は機能安全検証を実行するためのボタンであり、ボタン803がクリックされると、セキュア機能安全評価装置1は入力された評価対象システムの機能安全要件が機能安全要求を満たすかの検証機能を行う。ボタン804がクリックされると、セキュリティ機能要件評価へ進み、ステップS503へ進む。
ただし、目標とする防御有効性の情報が取得できれば、入力画面の表示内容と入力される情報の種類は限定されるものではない。また、ボタンの種類も限定するものではなく、各ボタンがクリックされた場合の動作も限定するものではない。
ステップS502において、ユーザ109が入力する目標とする防御有効性の情報は、図11に示した目標とする防御有効性欄802の項目に限定するものではない。例えば、Safety Concept Notation Study Group(http://www.scn-sg.com/main/)の発行する文献Safety Concept Description Language (Version 1.3)に記載の項目が含まれてもよい。
上記文献によると、ユーザ109は機能安全要求を導出すために、初期段階で分析対象のハザート分析、目標とする安全目標・安全状態・時間的制約と、意図した機能にAutomotive Safety Integrity Level (ASIL)を並列で入力する。
ステップS502において、ユーザ109が入力する目標とする防御有効性は、上記文献の項目に限定するものではなく、機能安全の故障発生頻度などの定量項目が含まれてもよい。
ステップS502において、セキュア機能安全評価装置1では、ユーザ109が入力する目標とする防御有効性は、上記文献に記載された項目あるいはそれらの項目以外の項目に基づいて、機能安全とセキュリティの両方の機能要求を兼ねる項目を含めばよい。
この一例として、目標とする防御有効性欄802における許容安全範囲という項目は、1つの項目で、上記文献と同じように許容機能故障発生範囲に加えて、セキュリティ上の許容サイバー攻撃成功期間も兼ねる項目となっている。
ステップS503で、入力処理部4は、受信した稼働環境仕様書から、必要要件DB8の各個システムによる階層情報テーブル310に基づいて、階層定義を抽出し、抽出した階層定義をユーザ109に表示することにより、評価対象システムの階層処理をユーザ109に問い合せる。ステップS503は図5のステップS203に相当する。
図12は、ステップS503において、階層定義をユーザ109に表示する際のシステム稼働環境仕様書情報と各階層定義の表示画面902の例である。図12に示すように、表示画面902は、システム稼働環境仕様書情報テーブル300の情報を表示するためのシステム稼働環境仕様書情報欄805、階層定義を表示するための各階層定義欄806、ボタン807、およびボタン808を含む。
ボタン807がクリックされるとステップS501に戻り、ボタン808がクリックされるとステップS504へ進むことにより階層処理へ進む。ただし、表示画面は、システム稼働環境仕様書情報欄805と各階層定義欄806に限定するものではなく、各階層定義欄806を表示するだけであってもよい。
ステップS504で、入力処理部4は、ユーザ109からシステム構成情報を階層化するための情報が入力され、入力された情報をシステム構成仕様書情報テーブル320に設定する。ステップS504は図5のステップS204に相当し、ステップS504に関しては図7あるいは図13Aを用いてさらに後述する。
ステップS505で、入力処理部4は、階層化が完了したかを判定する。判定の条件に関しては図13Aを用いてさらに後述する。入力処理部4は、階層化が完了したと判定するとステップS506へ進み、階層化が完了していないと判定するとステップS510へ進む。
ステップS506で、入力処理部4は、ユーザ109からセキュリティ機能要件構成情報が入力され、入力されたセキュリティ機能要件構成情報を必要要件DB8のシステム構成仕様書情報テーブル320に格納する。ステップS506も図5のステップS204に相当し、図13Bを用いてさらに後述する。
ステップS507で、入力処理部4は、検証項目の入力が完了したかを判定する。判定の条件に関しては図13Bを用いてさらに後述する。入力処理部4は、検証項目の入力が完了したと判定するとステップS508に進み、検証項目の入力が完了していないと判定するとステップS510へ進む。
ステップS508で、入力処理部4は、階層化したセキュリティ機能要件構成情報を評価演算部5へ送信する。ステップS508は図5のステップS205に相当する。ステップS509で、入力処理部4は、ステップS502で入力された目標とする防御有効性を要件過不足検証部6へ送信する。
ステップS509は図5のステップS207に相当する。ステップS510で、入力処理部4は、ユーザ109へ情報の不足の警告を表示し、ステップS501に戻る。なお、入力処理部4は、以上で説明したように階層に関する情報を生成するため、階層生成部と呼ばれてもよい。
図13Aは、階層化したシステム構成をユーザ109へ表示し、ユーザ109から各階層の情報が入力される入力画面903の例を示す図である。入力画面903は、評価対象システムの階層化した構成の表示であるが、図13Aの例では、評価対象システムを「システム内」と「システム外」に分けた表示であり、「システム内」と「システム外」のそれぞれに含まれる各階層の表示である。
ここで、「システム内」は組込みシステムであり、「システム外」は組込みシステムへのコネクティドの世界であってもよい。ただし、「システム内」と「システム外」はこれらに限定するものではない。
「システム内」、「システム外」、「物理制御層」、「情報−制御層」、「情報層」、「クラウド」、および各階層内の構成を表示するための情報は、各個システムによる階層情報テーブル310とシステム構成仕様書情報テーブル320から取得された情報が含まれてもよいし、ユーザ109から入力画面903において入力された情報が含まれてもよい。
ユーザ109から入力画面903において入力される場合の処理について、図7を用いてさらに後述する。なお、システム構成仕様書情報テーブル320から情報が取得されるだけでなく、入力画面903で入力された情報がシステム構成仕様書情報テーブル320に設定されてもよい。
入力画面903の各階層の表示がクリックされると、クリックされた階層のセキュリティ機能要件に関する情報を入力するための入力画面へ表示が移行する。例えば、表示820がクリックされると、情報−制御層に関するセキュリティ機能要件に関する情報を入力するための図13Bに示した入力画面904へ表示が移行する。
入力画面903に表示された階層がクリックされない場合、メッセージ823が表示されてもよい。また、入力画面903において、ボタン821がクリックされると図6に示したステップS505で階層化が完了していないと判定され、ボタン822がクリックされるとステップS505で階層化が完了したと判定される。
図13Bは、入力画面903でクリックされた階層のセキュリティ機能要件に関する情報が入力される入力画面904の例を示す図である。例えば、入力画面903の「情報−制御層」の表示820がクリックされると、入力画面904が表示されて、情報−制御層のセキュリティ機能要件とそのシステム仕様情報が入力可能となり、ユーザ109により「IDS」と「パケット暗号化」などのセキュリティ機能要件が入力される。
そして、各セキュリティ機能要件の「ソフトウェアベンダ」、「現バージョン」、および「数」に関する情報が入力されてもよいが、入力画面904の表示項目と入力項目を、これらに限定するものではない。入力画面904で入力された情報は、システム構成仕様書情報テーブル320に設定される。
また、入力画面904において、ボタン824がクリックされると図6に示したステップS507で検証項目の入力が完了していないと判定され、ボタン825がクリックされるとステップS507で検証項目の入力が完了したと判定される。ステップS504とステップS505が1つのステップにまとめられて、入力画面903へ戻るボタンが入力画面904に設けられてもよい。
図6に示したステップS504の処理のフローチャートの例を、図7を用いて説明する。ステップS521で、入力処理部4は、ユーザ109から階層化に関する情報を入力する。ここで入力される情報は、図13Aを用いて説明した情報であってもよいし、以下で説明する判定の対象となる情報であってもよい。
ステップS522で、入力処理部4は、ステップS521で入力された情報が、図12で表示した各階層定義に基づき、物理制御層から1番近い階層の定義情報に相当するかを判定する。例えば、通信処理がシステム内で実行されるか否かの判定であってもよい。
入力処理部4は、通信処理がシステム内で実行されると判定するとステップS523へ進み、通信処理がシステム内で実行されないと判定するとステップS524へ進む。ステップS523で、入力処理部4は、物理制御層から1番近い階層に、ステップS521で入力された情報を分類する。
ステップS524で、入力処理部4は、ステップS521で入力された情報が、図12で表示した各階層定義に基づき、物理制御層から2番目に近い階層の定義情報に相当するかを判定する。例えば、インタフェースとしてシステム内外のつながりであるか否かの判定であってもよい。
入力処理部4は、インタフェースとしてシステム内外のつながりであると判定するとステップS525へ進み、インタフェースとしてシステム内外のつながりでないと判定するとステップS526へ進む。ステップS525で、入力処理部4は、物理制御層から2番目に近い階層に、ステップS521で入力された情報を分類する。
ステップS526で、入力処理部4は、ステップS521で入力された情報が、図12で表示した各階層定義に基づき、物理制御層から1番遠い階層の定義情報に相当するかを判定する。例えば、IoTセキュリティ対策であるか否かの判定であってもよい。
入力処理部4は、IoTセキュリティ対策であると判定するとステップS527へ進み、IoTセキュリティ対策でないと判定すると処理を終了する。ステップS527で、入力処理部4は、物理制御層から1番目遠い階層に、ステップS521で入力された情報を分類する。
なお、評価対象システムの構成を複数の階層に分けるために、ステップS521〜S527は複数回繰り返されてもよい。また、ステップS522、S524、S526の判定の代わりに、図13Aに示した入力画面903のGUIにより、どの階層であるかの入力をユーザ109から受け付けてもよい。
図16に示すように、拡張性がある組込みシステム870は、インターネットなどコネクションを利用して、コネクティッド世界871とのつながりが増えつつある。本実施例におけるサイバーセキュリティによる機能安全を定量化する評価対象システムは、組込みシステム870とコネクティッド世界871の両方の中の1つ以上の階層から構成されるシステムである。
図16に示した評価対象システムにおけるサイバー攻撃は、例えば、情報−制御層859へのサイバー攻撃850、情報層863へのサイバー攻撃851、あるいはクラウド865へのサイバー攻撃852があり、クラウド865から物理制御層853の方向へサイバー攻撃が伝搬するため、物理制御層853を脅かす可能性が増えつつある。
そして、物理制御層853の異常動作は人的被害を引き起こす可能性もあるため、サイバー攻撃による人的被害の危険性が高まり、機能安全の面からもサイバー攻撃は脅威となってきている。
本実施例のセキュア機能安全評価装置1は、サイバーセキュリティによる機能安全をどれだけ守れているかをユーザに提示する。このために、図16を参照しつつ、セキュア機能安全評価装置1の評価演算部5が、防御有効性を定量評価する処理のフローチャートの例を、図8を用いて説明する。
以下の説明の前提として、評価対象システムが物理制御層を除くN層で構成され、物理制御層と1番遠い層が第N層となる。すなわち、変数nが定数Nに近づくにつれて、物理制御層から遠い階層となる。また、以下のパラメータを定義する。
N:評価対象システムの物理制御層を除く階層数
n:評価対象になる階層
i:評価対象になる階層にある評価対象になるセキュリティ機能要件
x:第n層から物理制御層までの階層
Pnix:第n層にある第i番目のセキュリティ機能要件が、第x層からの攻撃に対する防御有効性
Pni:第n層にある第i番目のセキュリティ機能要件が、評価対象システムへの攻撃に対する防御有効性
Pn:評価対象になる第n層の防御有効性
Dn:評価対象になる第n層から物理制御層までの全体防御有効性
r、p:防御有効性の削減率 0<r、p<1
ステップS601で、評価演算部5は、入力処理部4からセキュリティ機能要件を受信するかを判定する。評価演算部5は、入力処理部4からのセキュリティ機能要件の受信であると判定するとステップS602へ進み、入力処理部4からのセキュリティ機能要件の受信ではないと判定すると、すなわち要件過不足検証部6からのセキュリティ機能要件の組合せの受信であると判定するとステップS603へ進む。
ステップS602で、評価演算部5は、入力処理部4から階層化したセキュリティ機能要件を受信する。ステップS602は図5に示したステップS205に相当する。ステップS603で、評価演算部5は、要件過不足検証部6から評価対象のセキュリティ機能要件の組合せを受信する。ステップS603は図5に示したステップS209に相当する。
ステップS604で、物理制御層と1番近い第1層から各階層(第n層)を評価対象として順次に抽出する。図16の例で、評価演算部5は、ステップS604からステップS608までのループの最初の実行において、物理制御層853と1番近い情報−制御層859を評価対象の階層とする。
ステップS605で、評価演算部5は、抽出した第n層にある第i番目のセキュリティ機能要件が、第x層からの攻撃に対する防御有効性Pnixを定量評価する。図16で評価演算部5は、例えば、情報−制御層859の中の第1番目のセキュリティ機能要件であるエッジ860が、情報−制御層859に対する防御有効性を定量評価する。
ここで、変数iの値と変数xの値がそれぞれ振られてもよい。変数iの値で特定されるセキュリティ機能要件は、ステップS602あるいはステップS603で受信された1または複数の(組合された)セキュリティ要件であってもよい。
ステップS606で、評価演算部5は、抽出した第n層にある第i番目のセキュリティ機能要件が、評価対象システムへの攻撃に対する防御有効性Pniを定量評価する。図16で評価演算部5は、例えば、情報−制御層859の中の第1番目のセキュリティ機能要件であるエッジ860が、評価対象システムへの攻撃に対する防御有効性を定量評価する。ここで、変数iの値は振られてもよい。
ステップS607で、評価演算部5は、評価対象の階層を第n+1層に移し、n+1を新たなnに設定する。図16で評価演算部5は、例えば、評価対象を情報−制御層859から情報層863に移す。
ステップS608で、評価演算部5は、評価対象が物理制御層と1番遠い階層まで至っていないか、すなわちn<Nであるかを判定し、評価対象が物理制御層と1番遠い階層まで至っていると判定するとステップS609へ進み、評価対象が物理制御層と1番遠い階層まで至っていないと判定するとステップS604に戻る。
これにより、評価演算部5は、図16で、例えば、情報−制御層859からクラウド865までを評価対象とし、クラウド865を評価対象とした後は、ステップS609へ進む。
ステップS609で、評価演算部5は、防御有効性Pnと全体防御有効性Dnを算出する。評価対象になる第n層の防御有効性Pnは、Pn=MAX(Pnix)ただしn=xで算出され、評価対象になる第n層から物理制御層までの全体防御有効性Dnは、Dn=Pn+r*P(n−1)+p*P(n−2)+・・・≒ΣPnで算出される。
評価演算部5は、図16で、例えば、情報−制御層859のエッジ860の防御有効性、テレメトリ通信861の防御有効性、およびBPCSネットワーク862(BPCS: Basic Process Control System)の防御有効性の3つの防御有効性の中で、1番大きい防御有効性を、情報−制御層859の防御有効性Pnにする。
また、評価演算部5は、図16で、情報層863の防御有効性と情報−制御層859の防御有効性の加算結果を、情報層863から物理制御層853までの全体防御有効性Dnにする。
ステップS610で、評価演算部5は、ステップS604からステップS609までで得られた各セキュリティ機能要件の定量評価結果を評価演算DB9の評価演算データテーブル400に保存する。
ステップS611で、評価演算部5は、ステップS601と同じく、入力処理部4から受信したセキュリティ機能要件の処理であったかを判定する。評価演算部5は、入力処理部4から受信したセキュリティ機能要件の処理であったと判定するとステップS612へ進み、入力処理部4から受信したセキュリティ機能要件の処理でなかったと判定すると、すなわち要件過不足検証部6から受信したセキュリティ機能要件の組合せの処理であったと判定するとステップS613へ進む。
ステップS612で、評価演算部5は、ステップS610で保存した定量評価結果をユーザ109へ表示して処理を終了する。ユーザ109へ表示する情報は、ステップS610で保存された定量評価結果の一部であってもよい。ステップS612は図5のステップS206に相当する。
ステップS613で、評価演算部5は、入力画面900の実行項目選択欄800で「要件過不足検証」にチェックが付けられていたかを判定する。評価演算部5は、「要件過不足検証」にチェックが付けられていたと判定するとステップS614へ進み、「要件過不足検証」にチェックが付けられていなかったと判定すると処理を終了する。
ステップS614で、評価演算部5は、ステップS610で保存した定量評価結果を要件過不足検証部6へ送信して処理を終了する。ステップS614は図5のステップS210に相当する。
なお、防御有効性の定量評価の処理は、セキュア機能安全評価装置1に接続された外部装置で実行されてもよく、評価演算部5は、セキュリティ機能要件などの情報を外部装置へ送信し、外部装置から定量評価の結果を受信してもよい。また、定量評価される項目は、目標とする防御有効性の項目と同じであることが好ましい。このため、評価演算部5は目標とする防御有効性を入力処理部4から受信してもよい。
以上の処理手順により、ステップS602、およびステップS604からステップS612が、図5のステップS205からステップS206に相当し、ステップS603からステップS611、およびステップS614が、図5のステップS209からステップS210に相当する。
セキュア機能安全評価装置1の要件過不足検証部6が、目標とする防御有効性に対する要件過不足を検証する処理のフローチャートの例を、図9を用いて説明する。図9を用いて説明する処理は、入力画面900の実行項目選択欄800で「要件過不足検証」が選択された場合に実行される。このため、「要件過不足検証」が選択されたかが、ステップS701より前で判定されてもよい。
ステップS701で、要件過不足検証部6は、目標とする防御有効性を入力処理部4から受信する。ステップS701は図5のステップS207に相当する。
ステップS702で、要件過不足検証部6は、評価対象となるセキュリティ機能要件の組合せを1つずつ生成し、ステップS702からステップS707までを繰り返す。ここで、評価対象のセキュリティ機能要件は、システム構成仕様書情報テーブル320のセキュリティ機能要件322に情報が格納されたセキュリティ機能要件であってもよい。
また、セキュリティ機能要件の組合せは、セキュリティ機能要件322に情報が格納されたセキュリティ機能要件の個数をSとすると、2個1組からS個1組までのそれぞれを、S個のセキュリティ機能要件からによって、生成されてもよい。セキュリティ機能要件の組合せは、セキュリティ機能要件の順列を用いて生成してもよいし、組合せを用いて生成してもよい。
ステップS703で、要件過不足検証部6は、ステップS702で生成されたセキュリティ機能要件の組合せを評価演算部5へ送信する。ステップS703は図5のステップS209に相当し、評価演算部5はステップS603でセキュリティ機能要件の組合せを受信する。
ステップS704で、要件過不足検証部6は、評価演算部5から定量評価結果を受信する。ステップS704は図5のステップS210に相当し、要件過不足検証部6が受信する定量評価結果は評価演算部5がステップS614で送信した定量評価結果である。
ステップS705で、要件過不足検証部6は、ステップS701で受信した目標とする防御有効性と、ステップS704で受信した定量評価結果との大小を比較する。ステップS706で、要件過不足検証部6は、ステップS705の比較結果により、目標とする防御有効性が定量評価結果以上の場合は十分と判定し、目標とする防御有効性が定量評価結果未満の場合は不足と判定して、判定結果を保存する。
なお、ステップS706で、要件過不足検証部6は、十分であると判定された定量評価結果の基となった1以上の階層および1以上のセキュリティ機能要件の1以上の定量評価結果の中から最大値を特定してもよい。
ステップS707で、要件過不足検証部6は、ステップS702で生成される組合せの中で生成されていない組合せが残っている場合、ステップS702に戻り、生成されていない組合せが残っていない場合、ステップS702からステップS707までの繰り返しを終了してステップS708へ進む。
なお、繰り返しを終了する条件が予め設定されていた場合、例えば、十分という判定結果の上限個数が予め設定されていた場合、要件過不足検証部6は、生成されていない組合せが残っているか否かに関わらず、予め設定されていた条件にしたがって、ステップS702からステップS707までの繰り返しを終了してステップS708へ進んでもよい。
ステップS708で、要件過不足検証部6は、ステップS706で保存した判定結果を検証結果として結果処理部7へ送信し、十分と判定された目標を満たすセキュリティ機能要件の組合せの情報を結果処理部7へ送信する。ステップS708は図5のステップS211に相当し、定量評価結果も結果処理部7へ送信されてもよい。
なお、要件過不足検証部6は、セキュリティ機能要件の組合せと判定結果を結果DB11に保存してもよい。以上の処理により得られたセキュリティ機能要件の組合せと判定結果(検証結果)に関する表示として、過不足要件推奨結果の表示画面906については、図15を用いて後述する。
図14は、評価対象システムと各セキュリティ機能要件の定量評価結果の表示の例を示す図である。表示画面905は、システム全体評価結果欄811と各セキュリティ機能要件詳細評価結果欄812から構成され、ステップS708で送信された情報を基にしたステップS212の表示であってもよい。
また、表示画面905は、評価演算DB9に格納されている評価演算データテーブル400から取得された情報を基にして表示されてもよい。システム全体評価結果欄811は、図11に示した入力画面901の目標とする防御有効性欄802の情報を含んでもよい。
また、各セキュリティ機能要件詳細評価結果欄812のセキュリティ要件は、「セキュリティ機能要件1」と「セキュリティ機能要件2」だけでなく、「セキュリティ機能要件1」と「セキュリティ機能要件2」の組合せなどのステップS702で生成されたセキュリティ機能要件の組合せを含んでもよい。
表示画面905は、図14に示した例に限定するものではなく、定量評価結果の値だけの表示であってもよいし、評価演算データテーブル400の情報のテーブル形式での表示であってもよい。さらに、表示画面905は、検証結果が不足であることによるユーザへのアラート情報を含んでもよい。
図15は、過不足要件推奨結果の表示の例を示す図である。表示画面906は、ステップS708で送信された情報を基にしたステップS212の表示であってもよい。
表示画面906において、例えば、「セキュリティ機能要件1」、「セキュリティ機能要件2」、および「セキュリティ機能要件4」の組合せに対して、この組合せのそれぞれに「○」が表示され、「組合せ」に組合せの識別子となる「(1)」が表示され、この組合せがステップS706で十分と判定されたことを示すために、「システム評価」の「十分」の列に表示されてもよい。
そして、この組合せは十分であるので、推奨される組合せとして表示されてもよい。過不足要件推奨結果として表示される情報は、図15に示した表示画面906に限定するものではなく、十分と不足の検証結果の基となった数値すなわちステップS705で比較された数値の値が表示されてもよい。
さらに、不足の組合せに対して、目標とする防御有効性に収めるための変更候補が算出できるのであれば、表示画面906は、その変更候補の情報を含んでもよく、変更候補が採用された場合の定量評価結果が表示されてもよい。
図15に示すように、表示画面906はボタン815を含んでもよく、ボタン815がクリックされると、ステップS202すなわちステップS502の目標とする防御有効性の入力から処理をやり直してもよい。
以上で説明したように、実施例1によれば、サイバーセキュリティによる機能安全を評価することが可能になる。具体的には、サイバーセキュリティの目標値と機能安全の目標値の両方を兼ねる項目の目標値に対して、防御有効性を評価できる。また、機能安全に関わる物理制御層へ影響を与えるシステムの階層を設定できる。
そして、設定された階層ごとにセキュリティ機能要件の防御有効性を評価できるため、評価を単純化でき、特定の階層から機能安全に関わる物理制御層までのセキュリティ機能要件の防御有効性の評価も単純化できる。
また、目標値に対し、評価されたセキュリティ機能要件だけで十分かも判定できる。このため、余分なセキュリティ機能要件があるかの情報も提供可能となる。
実施例1では、サイバーセキュリティによる機能安全システムの評価を自社内で行う場合に好適な例を説明した。実施例2では、他社が開発した機能安全システムを自社のネットワークに接続するときに、他社が開発した機能安全システムが、サイバー攻撃に対して目標とする防御有効性を満たすかを評価する場合に好適な例を説明する。
実施例2では、必要要件DB8、評価演算DB9、検証演算DB10、および結果DB11の4つのデータベースが、セキュア機能安全評価装置1のメモリ102に格納されていても、これらの4つのデータベースは、通信装置104を通じてクラウドに格納のようにふるまってもよい。
また、図1に示したセキュア機能安全評価装置1の各部は独立したコンピュータであって、各部は自社のネットワークで接続されたクラウドのコンピュータのようにふるまってもよい。
実施例2におけるシーケンスの例を、図5を用いて説明する。なお、以下で説明するシーケンス以外の説明は実施例1での説明と同じであるので省略する。入力部2は、ステップS201で他社が開発した機能安全システムから稼働環境仕様書を受信し、ステップS202で目標とする防御有効性を受信して、受信した情報を自社のネットワークを通じて入力処理部4に送信する。
入力処理部4は、自社のネットワークと出力部3を通じて、ステップS203での階層処理の問合せを他社のシステムへ送信し、他社のシステムで表示させる。入力部2は、ステップS204で他社が開発した機能安全システムから階層化した構成情報を受信し、受信した情報を自社のネットワークを通じて入力処理部4に送信する。
ステップS204以降のステップS205、ステップS207からステップS211までは、クラウドで処理を実行するものの、実施例1で説明したセキュア機能安全評価装置1の処理と同じである。
また、評価演算部5と結果処理部7のそれぞれは、ステップS206とステップS212のそれぞれで、自社のネットワークと出力部3を通じて、それぞれの処理結果を他社のシステムへ送信し、他社のシステムで表示させる。
実施例2で、ステップS503の処理に必要な必要要件DB8に格納されている各個システムによる階層情報テーブル310は、クラウドに格納されているため、階層構成の変化に応じてクラウドのデータへ直接にフィードバックすることにより、データを効率よく更新することが可能になる。
以上で説明したように、実施例2によれば、機能安全システムとセキュア機能安全評価装置1の両方が自社で開発された場合のみならず、他社で開発した機能安全システムに対してもセキュア機能安全評価装置1により、機能安全とセキュリティを評価することが可能になる。
実施例1では、各階層、すなわち物理制御層、情報−制御層、情報層、およびクラウドが独立である例を説明した。すなわち、ユーザ109から受信する階層化した構成情報は、十分に階層化されている例であり、入力処理部4はステップS505で十分な階層化が完了するという前提での例であった。
実施例3では、各階層は相互に影響する可能性があり、ユーザ109から受信する階層化した構成情報が、十分に階層化されていない情報である場合の例を説明する。実施例3における入力処理部4には階層検証処理部が追加される。階層検証処理部は、図6に示したステップS504とステップS505の間に追加され、階層が十分に階層化されたかどうかを検証する。
階層検証処理部は、階層化した構成情報をさらに分類できるかどうか、または階層化した構成情報をさらに多くの階層にできるかどうかを判定する。そして、階層検証処理部は、各階層の相互の従属関係の分析と、各階層の独立性の分析を行い、これらの分析結果にしたがって、階層化した構成情報を変更し、階層数を増やす。
図16に示した例は4階層であったが、さらに巨大なシステムを評価対象とすると、各階層で相互に干渉する可能性が高くなってしまう。例えば、情報−制御層859が、物理制御層853の一部に干渉してしまう可能性もあり、情報−制御層859と物理制御層853のそれぞれを独立した階層として分けられない可能性がある。
この状況で、階層検証処理部は、情報−制御層859と物理制御層853の従属関係を分析し、図16に示した情報−制御層859は1階層だけであるが、情報−制御層859を複数の階層に分けて、物理制御層853とは独立な情報−制御層859に分ける。
以上で説明したように、実施例3によれば、拡張性がある巨大なシステムに対して、階層を十分に分けることが可能になるので、階層ごとの定量評価においても他の階層との干渉を排除でき、定量評価の精度を向上させられる。
1 セキュア機能安全評価装置
2 入力部
3 出力部
4 入力処理部
5 評価演算部
6 要件過不足検証部
7 結果処理部
8 必要要件DB
9 評価演算DB
10 検証演算DB
11 結果DB

Claims (14)

  1. 評価対象システムの複数のシステム階層に関する情報を生成する階層生成部と、
    前記階層生成部により生成された複数のシステム階層に関する情報を用いて、各システム階層に含まれるセキュリティ機能要件による防御有効性の第一の評価値を算出し、セキュリティ機能要件の組合せによる防御有効性の第二の評価値を算出する評価部と、
    前記評価部により算出された第一と第二の評価値と、目標値とに基づいて、前記評価対象システムにおけるセキュリティ機能要件の過不足を検証する検証部と、
    を備えたことを特徴とするセキュリティ評価サーバ。
  2. 請求項1に記載のセキュリティ評価サーバにおいて、
    前記階層生成部は、機能安全に関わる第1のシステム階層と、前記第1のシステム階層とデータの授受を行う第2のシステム階層と、以下順に、第n(n≧2)のシステム階層とデータの授受を行う第n+1のシステム階層と、から成る複数のシステム階層に関する情報を生成する、
    ことを特徴とするセキュリティ評価サーバ。
  3. 請求項2に記載のセキュリティ評価サーバにおいて、
    前記評価部は、第2のシステム階層から第nのシステム階層へと順に、各システム階層に含まれるセキュリティ機能要件による各システム階層の防御有効性の第一の評価値を算出し、算出した各システム階層の防御有効性の第一の評価値に基づき、第nのシステム階層の全体防御有効性の第一の評価値を算出する、
    ことを特徴とするセキュリティ評価サーバ。
  4. 請求項3に記載のセキュリティ評価サーバにおいて、
    前記検証部は、前記評価部により算出された第二の評価値が、目標値以上である場合に、セキュリティ機能要件が十分であると判定する、
    ことを特徴とするセキュリティ評価サーバ。
  5. 請求項3に記載のセキュリティ評価サーバにおいて、
    前記検証部は、前記評価部により算出された第二の評価値が、目標値未満である場合に、セキュリティ機能要件が不足であると判定する、
    ことを特徴とするセキュリティ評価サーバ。
  6. 請求項4に記載のセキュリティ評価サーバにおいて、
    前記検証部は、前記セキュリティ機能要件が十分であると判定された場合、十分であると判定された第二の評価値の算出の基となった第一の評価値の最大値を特定する、
    ことを特徴とするセキュリティ評価サーバ。
  7. 請求項2に記載のセキュリティ評価サーバにおいて、
    前記階層生成部は、機能安全要件の目標値とセキュリティ機能要件の目標値を兼ねる項目の目標値の入力を受け付け、
    前記評価部は、入力が受け付けられた目標値の項目に対応する項目で、各システム階層の防御有効性の第一の評価値を算出する、
    ことを特徴とするセキュリティ評価サーバ。
  8. 請求項3に記載のセキュリティ評価サーバにおいて、
    第1のシステム階層は物理制御層である、
    ことを特徴とするセキュリティ評価サーバ。
  9. 請求項1に記載のセキュリティ評価サーバにおいて、
    前記階層生成部は、
    システム仕様書を受け付け、受け付けたシステム仕様書に含まれるシステムタイプに基づいて、複数のシステム階層に関する情報を生成する、
    ことを特徴とするセキュリティ評価サーバ。
  10. 請求項1に記載のセキュリティ評価サーバにおいて、
    前記階層生成部は、
    階層を特定する操作を受け付け、受け付けた操作にしたがって、複数のシステム階層に関する情報を生成する、
    ことを特徴とするセキュリティ評価サーバ。
  11. サーバにより実行されるセキュリティ評価方法において、
    前記サーバは、CPUと、プログラムが格納された記憶装置と、を備え、
    前記記憶装置に格納されたプログラムを実行する前記CPUは、
    評価対象システムの複数のシステム階層に関する情報を生成し、
    生成された複数のシステム階層に関する情報を用いて、各システム階層に含まれるセキュリティ機能要件による防御有効性の第一の評価値を算出し、セキュリティ機能要件の組合せによる防御有効性の第二の評価値を算出し、
    算出された第一と第二の評価値と、目標値とに基づいて、前記評価対象システムにおけるセキュリティ機能要件の過不足を検証する、
    ことを特徴とするセキュリティ評価方法。
  12. 請求項11に記載のセキュリティ評価方法において、
    前記CPUは、機能安全に関わる第1のシステム階層と、前記第1のシステム階層とデータの授受を行う第2のシステム階層と、以下順に、第n(n≧2)のシステム階層とデータの授受を行う第n+1のシステム階層と、から成る複数のシステム階層に関する情報を生成する、
    ことを特徴とするセキュリティ評価方法。
  13. 請求項12に記載のセキュリティ評価方法において、
    前記CPUは、第2のシステム階層から第nのシステム階層へと順に、各システム階層に含まれるセキュリティ機能要件による各システム階層の防御有効性の第一の評価値を算出し、算出した各システム階層の防御有効性の第一の評価値に基づき、第nのシステム階層の全体防御有効性の第一の評価値を算出する、
    ことを特徴とするセキュリティ評価方法。
  14. 請求項12に記載のセキュリティ評価方法において、
    前記CPUは、
    機能安全要件の目標値とセキュリティ機能要件の目標値を兼ねる項目の目標値の入力を受け付け、
    入力が受け付けられた目標値の項目に対応する項目で、各システム階層の防御有効性の第一の評価値を算出する、
    ことを特徴とするセキュリティ評価方法。
JP2018028887A 2018-02-21 2018-02-21 セキュリティ評価サーバおよびセキュリティ評価方法 Active JP6901979B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2018028887A JP6901979B2 (ja) 2018-02-21 2018-02-21 セキュリティ評価サーバおよびセキュリティ評価方法
PCT/JP2018/045824 WO2019163266A1 (ja) 2018-02-21 2018-12-13 セキュリティ評価サーバおよびセキュリティ評価方法
CN201880085748.2A CN111587433B (zh) 2018-02-21 2018-12-13 安保评价服务器和安保评价方法
EP18906954.5A EP3757836A4 (en) 2018-02-21 2018-12-13 SECURITY ASSESSMENT SERVER AND SECURITY ASSESSMENT PROCESS
US16/969,010 US20210026970A1 (en) 2018-02-21 2018-12-13 Security evaluation server and security evaluation method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018028887A JP6901979B2 (ja) 2018-02-21 2018-02-21 セキュリティ評価サーバおよびセキュリティ評価方法

Publications (2)

Publication Number Publication Date
JP2019144881A JP2019144881A (ja) 2019-08-29
JP6901979B2 true JP6901979B2 (ja) 2021-07-14

Family

ID=67687589

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018028887A Active JP6901979B2 (ja) 2018-02-21 2018-02-21 セキュリティ評価サーバおよびセキュリティ評価方法

Country Status (5)

Country Link
US (1) US20210026970A1 (ja)
EP (1) EP3757836A4 (ja)
JP (1) JP6901979B2 (ja)
CN (1) CN111587433B (ja)
WO (1) WO2019163266A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111587433A (zh) * 2018-02-21 2020-08-25 株式会社日立制作所 安保评价服务器和安保评价方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7482159B2 (ja) * 2022-02-01 2024-05-13 株式会社日立製作所 計算機システム及びセキュリティリスクの影響分析方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07120335B2 (ja) * 1984-10-19 1995-12-20 株式会社東芝 計算機システムの階層性評価装置
JP4084914B2 (ja) * 1999-09-29 2008-04-30 株式会社日立製作所 セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置
JP4905657B2 (ja) * 2006-05-24 2012-03-28 オムロン株式会社 セキュリティ監視装置、セキュリティ監視システム、セキュリティ監視方法
JP2008176634A (ja) 2007-01-19 2008-07-31 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム
JP4469910B1 (ja) * 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム
US8726393B2 (en) * 2012-04-23 2014-05-13 Abb Technology Ag Cyber security analyzer
US9294495B1 (en) * 2013-01-06 2016-03-22 Spheric Security Solutions System and method for evaluating and enhancing the security level of a network system
JP6047463B2 (ja) * 2013-08-21 2016-12-21 日立オートモティブシステムズ株式会社 セキュリティ上の脅威を評価する評価装置及びその方法
CN104320271B (zh) * 2014-10-20 2017-11-21 北京神州绿盟信息安全科技股份有限公司 一种网络设备安全评估方法及装置
US20160234240A1 (en) * 2015-02-06 2016-08-11 Honeywell International Inc. Rules engine for converting system-related characteristics and events into cyber-security risk assessment values
JP6320965B2 (ja) * 2015-04-10 2018-05-09 日本電信電話株式会社 セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法
CN104850794A (zh) * 2015-05-28 2015-08-19 天津大学 基于未确知测度理论和粗糙集的软件安全等级细化方法
CN106384193A (zh) * 2016-09-06 2017-02-08 中国电子技术标准化研究院 一种基于层次分析法的ics信息安全评估方法
JP6901979B2 (ja) * 2018-02-21 2021-07-14 株式会社日立製作所 セキュリティ評価サーバおよびセキュリティ評価方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111587433A (zh) * 2018-02-21 2020-08-25 株式会社日立制作所 安保评价服务器和安保评价方法
CN111587433B (zh) * 2018-02-21 2023-07-18 株式会社日立制作所 安保评价服务器和安保评价方法

Also Published As

Publication number Publication date
EP3757836A1 (en) 2020-12-30
WO2019163266A1 (ja) 2019-08-29
CN111587433A (zh) 2020-08-25
US20210026970A1 (en) 2021-01-28
CN111587433B (zh) 2023-07-18
JP2019144881A (ja) 2019-08-29
EP3757836A4 (en) 2021-11-17

Similar Documents

Publication Publication Date Title
JP4663484B2 (ja) システムセキュリティ設計・評価支援ツール、システムセキュリティ設計支援ツール、システムセキュリティ設計・評価支援プログラム、およびシステムセキュリティ設計支援プログラム
CN106484606A (zh) 一种代码提交方法和设备
WO2006110243A2 (en) Computer system for building a probabilistic model
WO2014013603A1 (ja) 監視システム及び監視プログラム
Daramola et al. Pattern-based security requirements specification using ontologies and boilerplates
WO2015025694A1 (ja) セキュリティ上の脅威を評価する評価装置及びその方法
JP6901979B2 (ja) セキュリティ評価サーバおよびセキュリティ評価方法
Jain Availability prediction of imperfect fault coverage system with reboot and common cause failure
JP7051724B2 (ja) 計算機システム及び対象に関する目的を達成するために有用な情報の提示方法
Alkaff et al. Modeling and analysis of system reliability using phase‐type distribution closure properties
JP2018073087A (ja) デバイス設計受付システム
Dyck et al. Inductive invariant checking with partial negative application conditions
CN105262719A (zh) 一种Web环境下用户行为的信任评估方法
Gallimard Error bounds for the reliability index in finite element reliability analysis
Chung et al. An analytical method for developing appropriate protection profiles of Instrumentation & Control System for nuclear power plants
Delgado et al. Accurate and fast computations with positive extended Schoenmakers–Coffey matrices
EP3058519A2 (en) Case-based reasoning
US11055448B2 (en) Systems and methods for SMT processes using uninterpreted function symbols
Saarela et al. A flexible parametric approach for estimating continuous‐time inverse probability of treatment and censoring weights
Ding et al. A Novel Algorithm of Stochastic Chance‐Constrained Linear Programming and Its Application
WO2013114911A1 (ja) リスク評価システム、リスク評価方法、及びプログラム
CN115309513A (zh) 基于事件的决策方法、系统、存储介质及计算机设备
Ferris et al. The fundamental nature of resilience of engineered systems
Kim et al. Effects of subsystem mission time on reliability allocation
Thal et al. A robust system maturity model for complex systems utilizing system readiness level and Petri nets

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210525

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210618

R150 Certificate of patent or registration of utility model

Ref document number: 6901979

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150