JP7474800B2 - Risk assessment system and risk assessment method - Google Patents

Risk assessment system and risk assessment method Download PDF

Info

Publication number
JP7474800B2
JP7474800B2 JP2022074325A JP2022074325A JP7474800B2 JP 7474800 B2 JP7474800 B2 JP 7474800B2 JP 2022074325 A JP2022074325 A JP 2022074325A JP 2022074325 A JP2022074325 A JP 2022074325A JP 7474800 B2 JP7474800 B2 JP 7474800B2
Authority
JP
Japan
Prior art keywords
risk assessment
service
information
risk
service provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022074325A
Other languages
Japanese (ja)
Other versions
JP2023163413A (en
Inventor
和幸 鈴木
侑斗 磯
Original Assignee
株式会社アシュアード
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社アシュアード filed Critical 株式会社アシュアード
Priority to JP2022074325A priority Critical patent/JP7474800B2/en
Priority to JP2023036164A priority patent/JP2023164296A/en
Publication of JP2023163413A publication Critical patent/JP2023163413A/en
Application granted granted Critical
Publication of JP7474800B2 publication Critical patent/JP7474800B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、リスク評価システム及びリスク評価方法に関する。 The present invention relates to a risk assessment system and a risk assessment method.

近年、サイバー攻撃が増加していることから、サイバー攻撃に対するリスク評価が注目を集めている。リスク評価において、第三者に公開されている情報源から情報を収集し、収集された情報を分析する手法(OSINT; Open Source Intelligence)を活用する技術が提案されている(例えば、特許文献1)。 In recent years, cyber attacks have been increasing, and risk assessment against cyber attacks has been attracting attention. In risk assessment, a technique has been proposed that utilizes a method (OSINT; Open Source Intelligence) for collecting information from information sources that are publicly available to third parties and analyzing the collected information (for example, Patent Literature 1).

特開2021-99589号公報JP 2021-99589 A

ところで、個人、法人又は団体などのサービス利用者は、サービス提供者によって提供される様々なサービス(例えば、SaaS; Software as a Service)を利用することが想定される。このようなケースにおいて、様々なサービスのリスク評価を取得する手間は極めて煩雑である。また、サービスのリスク評価を適切に可視化することも重要である。 Meanwhile, service users, such as individuals, corporations, or organizations, are expected to use various services (e.g., SaaS; Software as a Service) provided by service providers. In such cases, the effort required to obtain risk assessments for various services is extremely cumbersome. It is also important to properly visualize the risk assessments of services.

そこで、本発明は、上述した課題を解決するためになされたものであり、サービスのリスク評価を適切に可視化することを可能とするリスク評価システム及びリスク評価方法を提供することを目的とする。 Therefore, the present invention has been made to solve the above-mentioned problems, and aims to provide a risk assessment system and a risk assessment method that make it possible to appropriately visualize the risk assessment of a service.

開示の一態様は、サービス提供者によってネットワークを介して提供されるサービスに関する属性情報に基づいて、第三者に公開されている情報源から、前記サービスに関する情報を収集する収集部と、前記サービスに関する情報に基づいて、前記サービスのリスク評価を算定する制御部と、前記サービスのリスク評価を算定した時間情報とともに前記サービスのリスク評価を時系列で格納する格納部と、前記サービスのリスク評価の推移を時系列で出力する出力部と、を備える、リスク評価装置である。 One aspect of the disclosure is a risk assessment device that includes a collection unit that collects information about a service provided by a service provider via a network from an information source that is open to third parties based on attribute information about the service, a control unit that calculates a risk assessment of the service based on the information about the service, a storage unit that stores the risk assessment of the service in chronological order together with time information when the risk assessment of the service was calculated, and an output unit that outputs the progress of the risk assessment of the service in chronological order.

開示の一態様は、サービス提供者によってネットワークを介して提供されるサービスに関する属性情報に基づいて、第三者に公開されている情報源から、前記サービスに関する情報を収集するステップAと、前記サービスに関する情報に基づいて、前記サービスのリスク評価を算定するステップBと、前記サービスのリスク評価を時系列で格納するステップCと、前記サービスのリスク評価の推移を時系列で出力するステップDと、を備えるリスク評価方法である。 One aspect of the disclosure is a risk assessment method including step A of collecting information on a service provided by a service provider via a network from an information source open to a third party based on attribute information on the service, step B of calculating a risk assessment of the service based on the information on the service, step C of storing the risk assessment of the service in chronological order, and step D of outputting the progress of the risk assessment of the service in chronological order.

本発明によれば、サービスのリスク評価を適切に可視化することを可能とするリスク評価システム及びリスク評価方法を提供することができる。 The present invention provides a risk assessment system and a risk assessment method that enable appropriate visualization of the risk assessment of a service.

図1は、実施形態に係るリスク評価システム100を示す図である。FIG. 1 is a diagram showing a risk assessment system 100 according to an embodiment. 図2は、実施形態に係るリスク評価装置10を示す図である。FIG. 2 is a diagram showing a risk assessment device 10 according to an embodiment. 図3は、実施形態に係るリスク評価について説明するための図である。FIG. 3 is a diagram for explaining risk assessment according to the embodiment. 図4は、実施形態に係る表示態様の一例を示す図である。FIG. 4 is a diagram showing an example of a display mode according to the embodiment. 図5は、実施形態に係る表示態様の一例を示す図である。FIG. 5 is a diagram showing an example of a display mode according to the embodiment. 図6は、実施形態に係るリスク評価方法を示す図である。FIG. 6 is a diagram showing a risk assessment method according to an embodiment. 図7は、変更例1に係る動作例を示す図である。FIG. 7 is a diagram showing an example of operation according to the first modification. 図8は、変更例1に係る動作例を示す図である。FIG. 8 is a diagram showing an example of operation according to the first modification.

以下において、実施形態について図面を参照しながら説明する。なお、以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。 The following describes the embodiments with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals.

但し、図面は模式的なものであり、各寸法の比率などは現実のものとは異なる場合があることに留意すべきである。従って、具体的な寸法などは以下の説明を参酌して判断すべきである。また、図面相互間においても互いの寸法の関係又は比率が異なる部分が含まれている場合があることは勿論である。 However, it should be noted that the drawings are schematic and the ratios of the dimensions may differ from the actual ones. Therefore, the specific dimensions should be determined with reference to the explanation below. Of course, the drawings may also contain parts with different dimensional relationships or ratios.

[開示の概要]
開示の概要に係るリスク評価装置は、サービス提供者によってネットワークを介して提供されるサービスに関する属性情報に基づいて、第三者に公開されている情報源から、前記サービスに関する情報を収集する収集部と、前記サービスに関する情報に基づいて、前記サービスのリスク評価を算定する制御部と、前記サービスのリスク評価を算定した時間情報とともに前記サービスのリスク評価を時系列で格納する格納部と、前記サービスのリスク評価の推移を時系列で出力する出力部と、を備える。 [Disclosure Summary]
The risk assessment device according to the disclosure outline includes a collection unit that collects information regarding a service from an information source that is publicly available to third parties based on attribute information regarding the service provided by a service provider via a network, a control unit that calculates a risk assessment of the service based on the information regarding the service, a storage unit that stores the risk assessment of the service in chronological order along with time information when the risk assessment of the service was calculated, and an output unit that outputs the progress of the risk assessment of the service in chronological order.

開示の概要に係るリスク評価方法は、サービス提供者によってネットワークを介して提供されるサービスに関する属性情報に基づいて、第三者に公開されている情報源から、前記サービスに関する情報を収集するステップAと、前記サービスに関する情報に基づいて、前記サービスのリスク評価を算定するステップBと、前記サービスのリスク評価を時系列で格納するステップCと、前記サービスのリスク評価の推移を時系列で出力するステップDと、を備える。 The risk assessment method according to the disclosure outline includes step A of collecting information on a service provided by a service provider via a network from an information source open to a third party based on attribute information on the service, step B of calculating a risk assessment of the service based on the information on the service, step C of storing the risk assessment of the service in chronological order, and step D of outputting the progress of the risk assessment of the service in chronological order.

開示の概要では、リスク評価装置は、サービスのリスク評価を算定した時間情報とともにサービスのリスク評価を時系列で格納するとともに、サービスのリスク評価の推移を時系列で出力する。このような構成によれば、サービスのリスク評価の悪化/改善の状況を容易に把握することができ、サービスのリスク評価を適切に可視化することができる。 In the disclosed overview, the risk assessment device stores the risk assessment of the service in chronological order along with the time information when the risk assessment of the service was calculated, and outputs the progress of the risk assessment of the service in chronological order. With such a configuration, it is possible to easily grasp the deterioration/improvement status of the risk assessment of the service, and to appropriately visualize the risk assessment of the service.

[実施形態]
(リスク評価システム)
以下において、実施形態に係るリスク評価システムについて説明する。図1は、実施形態に係るリスク評価システム100を示す図である。 [Embodiment]
(Risk Assessment System)
A risk assessment system according to an embodiment will be described below. Fig. 1 is a diagram showing a risk assessment system 100 according to an embodiment.

図1に示すように、リスク評価システム100は、リスク評価装置10と、収集サーバ20と、提供サーバ30と、第1端末40と、第2端末50と、を有する。リスク評価装置10、収集サーバ20、提供サーバ30、第1端末40及び第2端末50は、ネットワーク200によって接続される。特に限定されるものではないが、ネットワーク200は、インターネットによって構成されてもよい。ネットワーク200は、ローカルエリアネットワークを含んでもよく、移動体通信網を含んでもよく、VPN(Virtual Private Network)を含んでもよい。 As shown in FIG. 1, the risk assessment system 100 includes a risk assessment device 10, a collection server 20, a provision server 30, a first terminal 40, and a second terminal 50. The risk assessment device 10, the collection server 20, the provision server 30, the first terminal 40, and the second terminal 50 are connected by a network 200. Although not particularly limited, the network 200 may be configured by the Internet. The network 200 may include a local area network, a mobile communication network, or a VPN (Virtual Private Network).

実施形態では、ネットワーク200は、第三者に公開されている情報源(例えば、Websiteなど)を含む用語として用いられてもよい。 In an embodiment, network 200 may be used as a term that includes information sources (e.g., websites, etc.) that are publicly available to third parties.

リスク評価装置10は、サービス提供者によってネットワーク200を介して提供されるサービスのリスク評価を算定する装置である。 The risk assessment device 10 is a device that calculates the risk assessment of a service provided by a service provider via the network 200.

実施形態では、リスク評価装置10は、サービスに関する属性情報に基づいて、第三者によって公開される情報源から、サービスに関する情報を収集する。リスク評価装置10は、収集サーバ20を利用して、サービスに関する情報を収集してもよい。リスク評価装置10は、サービスに関する情報に基づいてサービスのリスク評価を算定し、算定されたリスク評価を出力する。リスク評価装置10の詳細については後述する(図2を参照)。 In an embodiment, the risk assessment device 10 collects information about the service from information sources published by third parties based on attribute information about the service. The risk assessment device 10 may collect information about the service using a collection server 20. The risk assessment device 10 calculates a risk assessment of the service based on the information about the service, and outputs the calculated risk assessment. Details of the risk assessment device 10 will be described later (see FIG. 2).

ここで、サービスに関する属性情報は、ネットワーク200においてサービスを特定する識別情報を含んでもよい。例えば、識別情報は、サービスを利用するためのログインURL(Uniform Resource Locator)を含んでもよい。サービスに関する情報は、ウェブ関連の情報、ネットワーク関連の情報、メール関連の情報、DNS(Domain Name Server)関連の情報、TLS(Transport Layer Security)関連の情報などを含んでもよい。特に限定されるものではないが、TLSは、SSL(Secure Socket Layer)と読み替えられてもよい。 Here, the attribute information regarding the service may include identification information that identifies the service in the network 200. For example, the identification information may include a login URL (Uniform Resource Locator) for using the service. The information regarding the service may include web-related information, network-related information, email-related information, DNS (Domain Name Server)-related information, TLS (Transport Layer Security)-related information, and the like. Although not particularly limited, TLS may be read as SSL (Secure Socket Layer).

収集サーバ20は、ネットワーク200上の情報を収集する機能を有するサーバである。収集サーバ20は、サービスに関する情報を収集するリスク評価装置10の機能の少なくとも一部を実行(代行)し得るサーバであると考えてもよい。 The collection server 20 is a server that has the function of collecting information on the network 200. The collection server 20 may be considered to be a server that can execute (act as) at least a part of the function of the risk assessment device 10, which collects information about services.

提供サーバ30は、ネットワーク200を介してサービスを提供するサービス提供者に属するサーバである。提供サーバ30は、SaaS(Software as a Service)などに関するサービスを提供してもよい。提供サーバ30は、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)などに関するサービスを提供してもよい。提供サーバ30は、その他のクラウドサービスを提供してもよい。 The providing server 30 is a server belonging to a service provider that provides services via the network 200. The providing server 30 may provide services related to SaaS (Software as a Service) and the like. The providing server 30 may provide services related to IaaS (Infrastructure as a Service), PaaS (Platform as a Service), and the like. The providing server 30 may provide other cloud services.

第1端末40は、サービス提供者によって利用される端末である。第1端末40は、表示部41を有してもよい。表示部41は、液晶パネル、有機EL(Electroluminescence)パネル、LED(Light Emitting Diode)などのディスプレイによって構成されてもよい。例えば、第1端末40は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。 The first terminal 40 is a terminal used by a service provider. The first terminal 40 may have a display unit 41. The display unit 41 may be configured with a display such as a liquid crystal panel, an organic EL (Electroluminescence) panel, or an LED (Light Emitting Diode). For example, the first terminal 40 may be a personal computer, a smartphone, or a tablet terminal.

第2端末50は、サービス提供者以外の者によって利用される端末である。サービス提供者以外の者は、サービスを利用するサービス利用者を含んでもよい。第2端末50は、表示部51を有してもよい。表示部51は、液晶パネル、有機ELパネル、LEDなどのディスプレイによって構成されてもよい。例えば、第2端末50は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。 The second terminal 50 is a terminal used by a person other than the service provider. The person other than the service provider may include a service user who uses the service. The second terminal 50 may have a display unit 51. The display unit 51 may be configured with a display such as a liquid crystal panel, an organic EL panel, or an LED. For example, the second terminal 50 may be a personal computer, a smartphone, or a tablet terminal.

(リスク評価装置)
以下において、実施形態に係るリスク評価装置10について説明する。図2は、実施形態に係るリスク評価装置10を示す図である。 (Risk assessment device)
The risk assessment device 10 according to the embodiment will be described below. Fig. 2 is a diagram showing the risk assessment device 10 according to the embodiment.

図2に示すように、リスク評価装置10は、収集部11と、格納部12と、出力部13と、制御部14と、を有する。 As shown in FIG. 2, the risk assessment device 10 has a collection unit 11, a storage unit 12, an output unit 13, and a control unit 14.

収集部11は、通信モジュールによって構成されてもよい。通信モジュールは、IEEE802.11a/b/g/n/ac/ax、LTE、5G、6Gなどの規格に準拠する無線通信モジュールであってもよく、IEEE802.3などの規格に準拠する有線通信モジュールであってもよい。 The collection unit 11 may be configured by a communication module. The communication module may be a wireless communication module conforming to a standard such as IEEE802.11a/b/g/n/ac/ax, LTE, 5G, or 6G, or may be a wired communication module conforming to a standard such as IEEE802.3.

実施形態では、収集部11は、サービスに関する属性情報に基づいて、第三者によって公開される情報源から、サービスに関する情報を収集する収集部を構成する。収集部11は、収集サーバ20を利用して、サービスに関する情報を収集してもよい。 In the embodiment, the collection unit 11 constitutes a collection unit that collects information about the service from an information source published by a third party based on attribute information about the service. The collection unit 11 may collect information about the service using the collection server 20.

格納部12は、SSD(Solid State Drive)、HDD(Hard Disk Drive)などの記憶媒体によって構成されており、様々な情報を格納する。 The storage unit 12 is composed of storage media such as a solid state drive (SSD) or a hard disk drive (HDD), and stores various information.

実施形態では、格納部12は、サービスのリスク評価を算定した時間情報とともにサービスのリスク評価を時系列で格納する格納部を構成する。 In an embodiment, the storage unit 12 constitutes a storage unit that stores the risk assessment of the service in chronological order together with time information when the risk assessment of the service was calculated.

出力部13は、サービスのリスク評価を出力する。例えば、出力部13は、通信モジュールによって構成されており、表示部41又は表示部52でリスク評価を表示するための表示データを第1端末40又は第2端末50に送信する。 The output unit 13 outputs the risk assessment of the service. For example, the output unit 13 is configured by a communication module, and transmits display data for displaying the risk assessment on the display unit 41 or the display unit 52 to the first terminal 40 or the second terminal 50.

実施形態では、出力部13は、サービスのリスク評価の推移を時系列で出力する出力部を構成する。出力部13の出力態様(以下、表示態様)については後述する。 In the embodiment, the output unit 13 constitutes an output unit that outputs the transition of the risk assessment of the service in time series. The output form (hereinafter, display form) of the output unit 13 will be described later.

制御部14は、少なくとも1つのプロセッサを含んでもよい。少なくとも1つのプロセッサは、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、1以上のIntegrated Circuit、1以上のDiscrete Circuit、及び、これらの組合せによって構成されてもよい。 The control unit 14 may include at least one processor. The at least one processor may be configured with a CPU (Central Processing Unit), an MPU (Micro Processing Unit), a GPU (Graphics Processing Unit), one or more integrated circuits, one or more discrete circuits, or a combination thereof.

実施形態では、制御部14は、サービスに関する情報に基づいて、サービスのリスク評価を算定する制御部を構成する。リスク評価の詳細については後述する。 In an embodiment, the control unit 14 constitutes a control unit that calculates a risk assessment of a service based on information about the service. Details of the risk assessment will be described later.

(リスク評価)
以下において、実施形態に係るリスク評価について説明する。図3は、実施形態に係るリスク評価について説明するための図である。 (Risk assessment)
The risk assessment according to the embodiment will be described below. Fig. 3 is a diagram for explaining the risk assessment according to the embodiment.

図3に示すように、リスク評価は、収集機能及び評価機能によって、評価項目毎に実行されてもよい。収集機能は、上述した収集部11によって実行されてもよい。収集機能の少なくとも一部は、収集サーバ20を利用して実行されてもよい。評価機能は、上述した制御部14によって実行されてもよい。評価項目は、リスク評価を定義する項目である。評価項目は、カテゴリと称されてもよい。 As shown in FIG. 3, risk assessment may be performed for each assessment item by a collection function and an assessment function. The collection function may be performed by the collection unit 11 described above. At least a part of the collection function may be performed using the collection server 20. The assessment function may be performed by the control unit 14 described above. Assessment items are items that define risk assessment. Assessment items may be referred to as categories.

収集機能は、サービスに関する属性情報に基づいて、第三者によって公開される情報源から、サービスに関する情報を収集する機能を有してもよい。例えば、収集機能は、ウェブ情報収集部、ネットワーク情報収集部、メール情報収集部、DNS情報収集部、TLS情報収集部の中から選択された1以上の機能を含んでもよい。 The collection function may have a function of collecting information about the service from information sources published by third parties based on attribute information about the service. For example, the collection function may include one or more functions selected from a web information collection unit, a network information collection unit, a mail information collection unit, a DNS information collection unit, and a TLS information collection unit.

ウェブ情報収集部は、サービスを利用するためのログインURLに基づいて、サービスに関するログインページにアクセスし、ウェブ関連の情報を収集してもよい。ウェブ関連の情報は、ウェブ関連のリスクの評価に用いられる情報であってもよい。例えば、ウェブ情報収集部は、ログインURLに基づいたアクセスによってサーバから発行されるCookieを収集してもよく、ログインURLに基づいたアクセスに対するサーバからのレスポンスに付与されるHTTPヘッダを収集してもよい。 The web information collection unit may access a login page for the service based on a login URL for using the service, and collect web-related information. The web-related information may be information used to evaluate web-related risks. For example, the web information collection unit may collect cookies issued by a server upon access based on the login URL, and may collect HTTP headers added to the response from the server to the access based on the login URL.

ネットワーク情報収集部は、サービスを利用するためのログインURLに基づいて、ログインURLのドメインを特定し、特定されたドメインについて設定されたサブドメインを特定する機能を有してもよい。ネットワーク情報収集部は、特定されたサブドメインに基づいて、サブドメインに対応するIPアドレスを特定する機能(IPアドレスの逆引き機能)を有してもよい。ネットワーク情報収集部は、IPアドレス毎にネットワーク関連の情報を収集してもよい。ネットワーク関連の情報は、ネットワーク関連のリスクの評価に用いられる情報であってもよい。例えば、ネットワーク情報収集部は、IPアドレスがネットワークに公開しているポート番号を収集してもよい。 The network information collection unit may have a function of identifying the domain of a login URL based on the login URL for using the service, and identifying a subdomain set for the identified domain. The network information collection unit may have a function of identifying an IP address corresponding to the subdomain based on the identified subdomain (IP address reverse lookup function). The network information collection unit may collect network-related information for each IP address. The network-related information may be information used to evaluate network-related risks. For example, the network information collection unit may collect port numbers that IP addresses expose to the network.

メール情報収集部は、サービスを利用するためのログインURLに基づいて、メールで用いるドメイン(以下、メールドメイン)を類推する機能を有してもよい。メール情報収集部は、類推されたメールドメインに基づいて、メール関連の情報を収集してもよい。メール関連の情報は、DNSから取得されてもよい。メール関連の情報は、メール関連のリスクの評価に用いられる情報であってもよい。例えば、メール情報収集部は、メールドメインのSPF(Sender Policy Framework)レコードを収集してもよい。 The email information collection unit may have a function of inferring the domain used in email (hereinafter, email domain) based on the login URL for using the service. The email information collection unit may collect email-related information based on the inferred email domain. The email-related information may be obtained from DNS. The email-related information may be information used to evaluate email-related risks. For example, the email information collection unit may collect Sender Policy Framework (SPF) records for the email domain.

DNS情報収集部は、サービスを利用するためのログインURLに基づいて、DNSレコードを特定する機能(DNSレコードの逆引き機能)を有してもよい。DNS情報収集部は、DNSレコード毎にDNS関連の情報を収集してもよい。DNS関連の情報は、DNS関連のリスクの評価に用いられる情報であってもよい。例えば、DNS情報収集部は、サービスのドメインのNS(Name Server)レコードを収集してもよく、サービスのドメインに対応する名前解決の有無を収集してもよい。 The DNS information collection unit may have a function for identifying a DNS record based on a login URL for using the service (a reverse lookup function for DNS records). The DNS information collection unit may collect DNS-related information for each DNS record. The DNS-related information may be information used to evaluate DNS-related risks. For example, the DNS information collection unit may collect NS (Name Server) records for the domain of the service, and may collect whether or not name resolution is available for the domain of the service.

TLS情報収集部は、サービスを利用するためのログインURLに基づいて、TLS clientとしてサービスに関するログインページにアクセスし、TLS関連の情報を収集してもよい。TLS関連の情報は、TLS関連のリスクの評価に用いられる情報であってもよい。例えば、TLS情報収集部は、ログインURLに基づいたアクセスで利用されるSSL/TLS証明書を収集してもよい。 The TLS information collection unit may access a login page for the service as a TLS client based on a login URL for using the service, and collect TLS-related information. The TLS-related information may be information used to evaluate TLS-related risks. For example, the TLS information collection unit may collect the SSL/TLS certificate used in the access based on the login URL.

評価機能は、収集機能によって収集された情報に基づいて、サービスのリスク評価を算定する機能を有してもよい。具体的には、評価機能は、収集機能によって収集された情報に基づいてリスク項目を特定し、特定されたリスク項目に基づいてリスク評価を算定してもよい。リスク評価は、特定されたリスク項目の総数及び対策済みのリスク項目の数によって表されてもよい。このようなケースにおいて、リスク評価は、対策網羅率と称されてもよい。評価機能は、評価項目毎にリスク評価を算定してもよい。例えば、評価機能は、ウェブ情報評価部、ネットワーク情報評価部、メール情報評価部、DNS情報評価部、TLS情報評価部の中から選択された1以上の機能を含んでもよい。 The evaluation function may have a function of calculating a risk assessment of a service based on the information collected by the collection function. Specifically, the evaluation function may identify risk items based on the information collected by the collection function, and calculate a risk assessment based on the identified risk items. The risk assessment may be expressed by the total number of identified risk items and the number of risk items for which measures have been taken. In such a case, the risk assessment may be referred to as the countermeasure coverage rate. The evaluation function may calculate a risk assessment for each evaluation item. For example, the evaluation function may include one or more functions selected from a web information evaluation unit, a network information evaluation unit, an email information evaluation unit, a DNS information evaluation unit, and a TLS information evaluation unit.

ウェブ情報評価部は、ウェブ関連の情報に基づいて、Security Headers、Cookie、Content Securityに関するリスク評価を算定してもよい。Security Headers、Cookie、Content Securityは、評価項目の一例である。Security Headers、Cookie、Content Securityに関するリスク評価は、項目リスク評価と称されてもよい。 The web information evaluation unit may calculate a risk assessment for security headers, cookies, and content security based on web-related information. Security headers, cookies, and content security are examples of evaluation items. The risk assessment for security headers, cookies, and content security may be referred to as an item risk assessment.

ネットワーク情報評価部は、ネットワーク関連の情報に基づいて、IP Reputation、Amplification Attack、Unsafe Open Serviceに関するリスク評価を算定してもよい。IP Reputation、Amplification Attack、Unsafe Open Serviceは、評価項目の一例である。IP Reputation、Amplification Attack、Unsafe Open Serviceに関するリスク評価は、項目リスク評価と称されてもよい。 The network information evaluation unit may calculate a risk assessment for IP reputation, amplification attack, and unsafe open service based on the network-related information. IP reputation, amplification attack, and unsafe open service are examples of evaluation items. The risk assessment for IP reputation, amplification attack, and unsafe open service may be referred to as an item risk assessment.

メール情報評価部は、メール関連の情報に基づいて、Transport Security、Anti-Spoofingに関するリスク評価を算定してもよい。Transport Security、Anti-Spoofingは、評価項目の一例である。Transport Security、Anti-Spoofingに関するリスク評価は、項目リスク評価と称されてもよい。 The email information evaluation unit may calculate a risk assessment related to transport security and anti-spoofing based on email-related information. Transport security and anti-spoofing are examples of evaluation items. The risk assessment related to transport security and anti-spoofing may be referred to as an item risk assessment.

DNS情報評価部は、ネットワーク関連の情報及びDNS関連の情報に基づいて、DNS Securityに関するリスク評価を算定してもよい。DNS Securityは、評価項目の一例である。DNS Securityに関するリスク評価は、項目リスク評価と称されてもよい。 The DNS information evaluation unit may calculate a risk assessment regarding DNS Security based on the network-related information and the DNS-related information. DNS Security is an example of an evaluation item. The risk assessment regarding DNS Security may be referred to as an item risk assessment.

TLS情報評価部は、TLS関連の情報に基づいて、TLS Securityに関するリスク評価を算定してもよい。TLS Securityは、評価項目の一例である。TLS Securityに関するリスク評価は、項目リスク評価と称されてもよい。 The TLS information evaluation unit may calculate a risk assessment regarding TLS security based on TLS-related information. TLS security is an example of an evaluation item. The risk assessment regarding TLS security may be referred to as an item risk assessment.

(表示態様)
以下において、実施形態に係る表示態様について説明する。図4及び図5は、実施形態に係る表示態様の一例を示す図である。リスク評価装置10によってリスク評価の算定対象とされるサービスは対象サービスと称されてもよい。 (Display Mode)
The display mode according to the embodiment will be described below. Fig. 4 and Fig. 5 are diagrams showing an example of the display mode according to the embodiment. A service that is the target of the risk assessment calculation by the risk assessment device 10 may be called a target service.

第1に、サービス提供者に対して表示されるリスク評価の態様(第1態様)について、図4を参照しながら説明する。 First, the form (first form) of risk assessment displayed to the service provider will be explained with reference to Figure 4.

図4に示すように、第1態様は、態様41Aと、態様41Bと、態様41Cと、態様41Dと、を含む。 As shown in FIG. 4, the first aspect includes aspect 41A, aspect 41B, aspect 41C, and aspect 41D.

態様41Aは、対象サービスのリスク評価(図4では、過去30日の対策網羅率)の推移を時系列で含む態様である。例えば、態様41Aは、対象サービス全体のリスク評価の推移を時系列で含んでもよい。対象サービス全体のリスク評価は、評価項目毎のリスク評価に基づいて算定されてもよい。 Aspect 41A is an aspect that includes a time series of the risk assessment of the target service (measure coverage rate for the past 30 days in FIG. 4). For example, aspect 41A may include a time series of the risk assessment of the entire target service. The risk assessment of the entire target service may be calculated based on the risk assessment for each assessment item.

ここで、態様41Aは、対象サービスのリスク評価の推移とともに、対象サービスに関連する参照サービスの参照リスク評価の推移を時系列で含んでもよい。参照サービスは、対象サービスと同一又は類似の機能を提供する1以上のサービスであってもよい。参照サービスは、リスク評価装置10において予め指定された1以上のサービスであってもよい。参照リスク評価は、リスク評価装置10で算定されてもよく、外部サービスから取得されてもよい。参照リスク評価は、1以上の参照サービスに関するリスク評価の平均値、中央値、最大値及び最小値の中から選択されたいずれか1つの値であってもよい。 Here, aspect 41A may include a time series of a transition of the risk assessment of the target service as well as a transition of the reference risk assessment of a reference service related to the target service. The reference service may be one or more services that provide the same or similar functions as the target service. The reference service may be one or more services that are pre-specified in the risk assessment device 10. The reference risk assessment may be calculated by the risk assessment device 10 or may be obtained from an external service. The reference risk assessment may be any one value selected from the average, median, maximum, and minimum value of the risk assessments related to one or more reference services.

態様41Bは、対象サービスのリスク評価を定義する評価項目毎の最新の項目リスク評価を含む態様である。態様41Bは、態様41Bとともに表示されてもよい。 Aspect 41B is an aspect that includes the latest item risk assessment for each assessment item that defines the risk assessment of the target service. Aspect 41B may be displayed together with aspect 41B.

ここで、態様41Bは、対象サービスに関する最新の項目リスク評価とともに、参照サービスに関する参照リスク評価を定義する評価項目毎の最新の項目リスク評価を含んでもよい。参照サービスは、対象サービスと同一又は類似の機能を提供する1以上のサービスであってもよい。参照サービスは、リスク評価装置10において予め指定された1以上のサービスであってもよい。参照サービスに関する評価項目は、リスク評価装置10で算定されてもよく、外部サービスから取得されてもよい。参照サービスに関する評価項目は、1以上の参照サービスに関する項目リスク評価の平均値、中央値、最大値及び最小値の中から選択されたいずれか1つの値であってもよい。 Here, aspect 41B may include the latest item risk assessment for each assessment item that defines a reference risk assessment for the reference service along with the latest item risk assessment for the target service. The reference service may be one or more services that provide the same or similar functions as the target service. The reference service may be one or more services that are pre-specified in the risk assessment device 10. The assessment items for the reference service may be calculated by the risk assessment device 10 or may be obtained from an external service. The assessment item for the reference service may be any one value selected from the average, median, maximum, and minimum values of the item risk assessments for one or more reference services.

態様41Cは、対象サービスが有するリスクに対する対策状況(図4では、対策網羅率)を含む態様である。態様41Cは、調査項目(図4では、カテゴリ)毎の対策状況を含んでもよい。対策状況は、特定されたリスク項目の総数及び対策済みのリスク項目によって表される対策網羅率であってもよい。 Aspect 41C is an aspect that includes the countermeasure status (countermeasure coverage rate in FIG. 4) for the risks that the target service has. Aspect 41C may include the countermeasure status for each survey item (category in FIG. 4). The countermeasure status may be the countermeasure coverage rate represented by the total number of identified risk items and the risk items for which countermeasures have been taken.

態様41Dは、リスク評価に関する詳細(図4では、セキュリティ評価)を含む態様である。態様41Dは、評価項目(例えば、”Content Security Policy”)、評価項目に関するリスク項目(例えば、”値が設定されていません”)、リスク項目に対する対応(例えば、”推奨される対応”)、リスク項目に関連する参照情報などを含んでもよい。 Aspect 41D is an aspect that includes details about a risk assessment (in FIG. 4, a security assessment). Aspect 41D may include an assessment item (e.g., "Content Security Policy"), a risk item related to the assessment item (e.g., "No value set"), a response to the risk item (e.g., "Recommended response"), reference information related to the risk item, etc.

なお、態様41A~態様41Dの中から選択された2以上の態様は、同時に表示されてもよく、別々に表示されてもよい。例えば、態様41A~態様41Dの中から選択された2以上の態様は、1つのウィンドウにおいて表示されてもよく、別々なウィンドウを用いてポップアップ形式で表示されてもよい。 Two or more aspects selected from aspects 41A to 41D may be displayed simultaneously or separately. For example, two or more aspects selected from aspects 41A to 41D may be displayed in one window, or may be displayed in a pop-up format using separate windows.

第2に、サービス提供者以外の者(例えば、サービス利用者)に対して表示されるリスク評価の態様(第2態様)について、図5を参照しながら説明する。 Secondly, the form (second form) of risk assessment displayed to persons other than the service provider (e.g., the service user) will be described with reference to Figure 5.

図5に示すように、第2態様は、態様51Aと、態様51Bと、態様51Cと、態様51Dと、態様51Eと、を含む。 As shown in FIG. 5, the second aspect includes aspect 51A, aspect 51B, aspect 51C, aspect 51D, and aspect 51E.

態様51Aは、対象サービスのリスク評価(図5では、過去30日の対策網羅率)の推移を時系列で含む態様である。態様51Aは、上述した態様41Aと同様であってもよい。 Aspect 51A is an aspect that includes a time series of the risk assessment of the target service (measure coverage rate for the past 30 days in FIG. 5). Aspect 51A may be the same as aspect 41A described above.

態様51Bは、対象サービスのリスク評価を定義する評価項目毎の最新の項目リスク評価を含む態様である。態様51Bは、上述した態様41Bと同様であってもよい。 Aspect 51B is an aspect that includes the latest item risk assessment for each assessment item that defines the risk assessment of the target service. Aspect 51B may be similar to aspect 41B described above.

態様51Cは、対象サービスが有するリスクに対する対策状況(図5では、対策網羅率)を含む態様である。態様51Cは、上述した態様41Cと同様であってもよい。 Aspect 51C is an aspect that includes the countermeasure status (countermeasure coverage rate in FIG. 5) for the risk of the target service. Aspect 51C may be the same as aspect 41C described above.

態様51Dは、リスク評価に関する概要(図5では、リスク内容)を含む態様である。評価項目(例えば、”Content Security Policy”)、評価項目に関する内容の説明などを含んでもよい。ここで、態様51Dは、リスク項目に対する対応などを含まない点で、態様41Dと異なってもよい。 Aspect 51D is an aspect that includes an overview of risk assessment (risk content in FIG. 5). It may include assessment items (e.g., "Content Security Policy"), explanations of the content related to the assessment items, etc. Here, aspect 51D may differ from aspect 41D in that it does not include responses to risk items, etc.

態様51Eは、対象サービス全体のリスク評価(図5では、総合評価)を含む態様であってもよい。総合評価は、態様51A~態様51Cで用いる対策網羅率を用いて特定される点数(例えば、100点満点で表される点数)によって表現されてもよい。総合評価は、態様51A~態様51Cで用いる対策網羅率とは異なる基準で算定されてもよい。例えば、総合評価は、未対策のリスク項目毎の重要度が加味された点数(例えば、100点満点で表される点数)によって表現されてもよい。 Aspect 51E may be an aspect that includes a risk assessment of the entire target service (in FIG. 5, an overall assessment). The overall assessment may be expressed by a score (e.g., a score expressed out of 100 points) determined using the countermeasure coverage rate used in aspects 51A to 51C. The overall assessment may be calculated using a standard different from the countermeasure coverage rate used in aspects 51A to 51C. For example, the overall assessment may be expressed by a score (e.g., a score expressed out of 100 points) that takes into account the importance of each uncountered risk item.

なお、態様51A~態様51Eの中から選択された2以上の態様は、同時に表示されてもよく、別々に表示されてもよい。例えば、態様51A~態様51Eの中から選択された2以上の態様は、1つのウィンドウにおいて表示されてもよく、別々なウィンドウを用いてポップアップ形式で表示されてもよい。 Two or more aspects selected from aspects 51A to 51E may be displayed simultaneously or separately. For example, two or more aspects selected from aspects 51A to 51E may be displayed in one window, or may be displayed in a pop-up format using separate windows.

以上説明したように、図4に示す第1態様は、図5に示す第2態様と異なっていてもよい。例えば、第1態様は、態様41Dの内容が態様51Dの内容と異なる点で第2態様と異なってもよい。第1態様は、態様51Eを含まない点で第2態様と異なってもよい。 As described above, the first aspect shown in FIG. 4 may differ from the second aspect shown in FIG. 5. For example, the first aspect may differ from the second aspect in that the content of aspect 41D differs from the content of aspect 51D. The first aspect may differ from the second aspect in that it does not include aspect 51E.

(リスク評価方法)
以下において、実施形態に係るリスク評価方法について説明する。図6は、実施形態に係るリスク評価方法を示す図である。 (Risk assessment method)
The risk assessment method according to the embodiment will be described below. Fig. 6 is a diagram showing the risk assessment method according to the embodiment.

図6に示すように、ステップS10において、リスク評価装置10は、サービスに関する属性情報を特定する。 As shown in FIG. 6, in step S10, the risk assessment device 10 identifies attribute information related to the service.

例えば、リスク評価装置10は、サービスを利用するためのログインURLを特定してもよい。リスク評価装置10は、ログインURLに基づいてログインURLのドメインを特定し、特定されたドメインについて設定されたサブドメインを特定してもよい。リスク評価装置10は、サブドメインに対応するIPアドレスを特定してもよい。リスク評価装置10は、サービスを利用するためのログインURLに基づいてメールドメインを類推してもよい。リスク評価装置10は、サービスを利用するためのログインURLに基づいて、DNSレコードを特定してもよい。ログインURL、ログインURLのドメイン、ドメインについて設定されたサブドメイン、IPアドレス、メールドメイン、DNSレコードは、属性情報の一例であると考えてもよい。 For example, the risk assessment device 10 may identify a login URL for using the service. The risk assessment device 10 may identify the domain of the login URL based on the login URL, and identify a subdomain set for the identified domain. The risk assessment device 10 may identify an IP address corresponding to the subdomain. The risk assessment device 10 may infer an email domain based on the login URL for using the service. The risk assessment device 10 may identify a DNS record based on the login URL for using the service. The login URL, the domain of the login URL, the subdomain set for the domain, the IP address, the email domain, and the DNS record may be considered to be examples of attribute information.

ステップS11において、リスク評価装置10は、収集要求を収集サーバ20に送信する。 In step S11, the risk assessment device 10 sends a collection request to the collection server 20.

ステップS12において、収集サーバ20は、ネットワーク200上においてサービスに関する情報を収集する。 In step S12, the collection server 20 collects information about services on the network 200.

ステップS13において、リスク評価装置10は、収集応答を収集サーバ20から受信する。収集応答は、ステップS12で収集された情報を含む。 In step S13, the risk assessment device 10 receives a collection response from the collection server 20. The collection response includes the information collected in step S12.

なお、収集機能の一部の実行を収集サーバ20に要求しない場合には、ステップS11~ステップS13の処理は省略されてもよい。リスク評価装置10は、ネットワーク200上においてサービスに関する情報を収集する。 Note that if the collection server 20 is not requested to execute some of the collection functions, the processing of steps S11 to S13 may be omitted. The risk assessment device 10 collects information about services on the network 200.

ステップS14において、リスク評価装置10は、サービスに関する情報に基づいて、サービスのリスク評価を算定する。リスク評価装置10は、評価項目毎にリスク評価を算定してもよい。 In step S14, the risk assessment device 10 calculates a risk assessment of the service based on the information about the service. The risk assessment device 10 may calculate a risk assessment for each evaluation item.

ステップS15において、リスク評価装置10は、サービスのリスク評価を算定した時間情報とともにサービスのリスク評価を時系列で格納する。 In step S15, the risk assessment device 10 stores the risk assessment of the service in chronological order together with the time information when the risk assessment of the service was calculated.

ステップS20において、リスク評価装置10は、リスク評価の出力要求を第1端末40から受信する。なお、リスク評価装置10からリスク評価が自律的に出力される場合には、ステップS20の処理は省略されてもよい。 In step S20, the risk assessment device 10 receives a request to output a risk assessment from the first terminal 40. Note that if the risk assessment is output autonomously from the risk assessment device 10, the processing of step S20 may be omitted.

ステップS21において、リスク評価装置10は、リスク評価を送信する。リスク評価は、上述した第1態様(図4を参照)で出力されてもよい。第1態様は、第2態様と異なってもよい。 In step S21, the risk assessment device 10 transmits a risk assessment. The risk assessment may be output in the first manner described above (see FIG. 4). The first manner may be different from the second manner.

ステップS30において、リスク評価装置10は、リスク評価の出力要求を第2端末50から受信する。なお、リスク評価装置10からリスク評価が自律的に出力される場合には、ステップS30の処理は省略されてもよい。 In step S30, the risk assessment device 10 receives a request to output a risk assessment from the second terminal 50. Note that if the risk assessment is output autonomously from the risk assessment device 10, the processing of step S30 may be omitted.

ステップS31において、リスク評価装置10は、リスク評価を送信する。リスク評価は、上述した第2態様(図5を参照)で出力されてもよい。第2態様は、第1態様と異なってもよい。 In step S31, the risk assessment device 10 transmits a risk assessment. The risk assessment may be output in the second manner described above (see FIG. 5). The second manner may be different from the first manner.

(作用及び効果)
実施形態では、リスク評価装置10は、対象サービスのリスク評価を算定した時間情報とともに対象サービスのリスク評価を時系列で格納するとともに、対象サービスのリスク評価の推移を時系列で出力する(態様41A、態様51Aを参照)。このような構成によれば、対象サービスのリスク評価の悪化/改善の状況を容易に把握することができ、対象サービスのリスク評価を適切に可視化することができる。 (Action and Effects)
In the embodiment, the risk assessment device 10 stores the risk assessment of the target service in chronological order together with the time information when the risk assessment of the target service is calculated, and outputs the transition of the risk assessment of the target service in chronological order (see Aspect 41A and Aspect 51A). With such a configuration, the deterioration/improvement status of the risk assessment of the target service can be easily grasped, and the risk assessment of the target service can be appropriately visualized.

実施形態では、リスク評価装置10は、対象サービスのリスク評価を定義する評価項目毎の最新の項目リスク評価を出力してもよい(態様41B、態様51Bを参照)。このような構成によれば、対象サービスのリスク評価の現状を評価項目毎に容易に把握であり、対象サービスに関する評価項目毎のリスク評価を適切に可視化することができる。 In an embodiment, the risk assessment device 10 may output the latest item risk assessment for each assessment item that defines the risk assessment of the target service (see aspect 41B and aspect 51B). With such a configuration, the current state of the risk assessment of the target service can be easily grasped for each assessment item, and the risk assessment for each assessment item related to the target service can be appropriately visualized.

実施形態では、リスク評価装置10は、対象サービスのリスク評価の推移とともに、参照サービスの参照リスク評価の推移を時系列で出力してもよい(態様41A、態様51Aを参照)。このような構成によれば、対象サービスのリスク評価を参照リスク評価と見比べることが可能であり、対象サービスのリスク評価を適切に可視化することができる。 In an embodiment, the risk assessment device 10 may output the transition of the reference risk assessment of the reference service in chronological order along with the transition of the risk assessment of the target service (see embodiment 41A and embodiment 51A). With such a configuration, it is possible to compare the risk assessment of the target service with the reference risk assessment, and the risk assessment of the target service can be appropriately visualized.

実施形態では、リスク評価装置10は、対象サービスに関する最新の項目リスク評価とともに、参照サービスに関する最新の項目リスク評価を出力してもよい(態様41B、態様51Bを参照)。このような構成によれば、対象サービスの項目リスク評価を参照サービスの項目リスト評価と見比べることが可能であり、対象サービスに関する評価項目毎のリスク評価を適切に可視化することができる。 In an embodiment, the risk assessment device 10 may output the latest item risk assessment for the reference service along with the latest item risk assessment for the target service (see aspect 41B and aspect 51B). With such a configuration, it is possible to compare the item risk assessment for the target service with the item list assessment for the reference service, and the risk assessment for each assessment item for the target service can be appropriately visualized.

実施形態では、サービス提供者に提供されるリスク評価の第1態様は、サービス提供者以外の者に提供されるリスク評価の第2態様と異なってもよい。このような構成によれば、サービス提供者以外の者に提供する必要がない情報をサービス提供者以外の者に提供せずに、サービス提供者に必要な情報を提供することができる。 In an embodiment, the first aspect of the risk assessment provided to the service provider may be different from the second aspect of the risk assessment provided to a person other than the service provider. With such a configuration, it is possible to provide necessary information to the service provider without providing information that does not need to be provided to a person other than the service provider.

[変更例1]
以下において、実施形態の変更例1について説明する。以下においては、実施形態に対する相違点について主として説明する。 [Change Example 1]
Modification 1 of the embodiment will be described below. Differences from the embodiment will be mainly described below.

変更例1では、各収集機能がサービスに関する情報の収集を完了するタイミング(以下、収集完了タイミング)及びリスク評価を算定するタイミング(以下、算定タイミング)の関係について説明する。収集完了タイミングと算定タイミングとの関係としては、以下に示すオプションが考えられる。 In Modification Example 1, the relationship between the timing at which each collection function completes collection of information about the service (hereinafter, collection completion timing) and the timing at which a risk assessment is calculated (hereinafter, calculation timing) is explained. The following options are possible for the relationship between the collection completion timing and the calculation timing.

以下においては、収集機能としてウェブ情報収集部、ネットワーク情報収集部及びメール情報収集部を例示し、算定タイミングが1日毎のタイミング(例えば、0:00)であるケースについて例示する。 In the following, the collection functions are exemplified as a web information collection unit, a network information collection unit, and an email information collection unit, and an example is given of a case in which the calculation timing is a daily timing (e.g., 0:00).

第1オプションでは、各収集機能の収集完了タイミングが算定タイミングで同期する制約が課される。例えば、図7に示すように、ウェブ情報収集部、ネットワーク情報収集部及びメール情報収集部は、各算定タイミングまでに情報の収集を完了するように構成される。 In the first option, a constraint is imposed that the collection completion timing of each collection function is synchronized with the calculation timing. For example, as shown in FIG. 7, the web information collection unit, network information collection unit, and mail information collection unit are configured to complete information collection by each calculation timing.

このようなケースにおいて、例えば、9/1と9/2との間においてネットワーク情報収集部による収集のタイムアウトが生じる場合には、9/2の算定タイミングにおいてネットワーク情報収集部で収集すべき情報が不足するため、リスク評価装置10は、9/2の算定タイミングにおいて情報が不足するサービス(Srv.B)のリスク評価の算定のペンディングが生じる。或いは、9/2と9/3との間においてウェブ情報収集部による収集の失敗が生じる場合には、9/3の算定タイミングにおいてウェブ情報収集部で収集すべき情報が不足するため、リスク評価装置10は、9/3の算定タイミングにおいて情報が不足するサービス(Srv.A)のリスク評価の算定のペンディングが生じる。 In such a case, for example, if a collection timeout occurs by the network information collection unit between 9/1 and 9/2, the information that the network information collection unit should collect will be insufficient at the calculation timing of 9/2, and the risk assessment device 10 will put the risk assessment calculation of the service (Srv.B) that lacks information at the calculation timing of 9/2 on hold. Alternatively, if a collection failure occurs by the web information collection unit between 9/2 and 9/3, the information that the web information collection unit should collect will be insufficient at the calculation timing of 9/3, and the risk assessment device 10 will put the risk assessment calculation of the service (Srv.A) that lacks information at the calculation timing of 9/3 on hold.

第1オプションは、以下のように表現されてもよい。リスク評価装置10は、所定タイミング(上述した算定タイミング)でサービスのリスク評価を算定するように構成される。リスク評価装置10は、所定タイミングまでに情報の収集を完了する場合にリスク評価の算定を実行する。リスク評価装置10は、所定タイミングまでに情報の収集を完了しない場合にリスク評価の算定をペンディングする。 The first option may be expressed as follows. The risk assessment device 10 is configured to calculate a risk assessment of a service at a predetermined timing (the calculation timing described above). The risk assessment device 10 executes the calculation of the risk assessment if the collection of information is completed by the predetermined timing. The risk assessment device 10 puts the calculation of the risk assessment on hold if the collection of information is not completed by the predetermined timing.

このように、第1オプションでは、算定タイミング毎のリスク評価を同条件で算定することができる。一方で、パフォーマンスが最も悪い収集機能に合わせて算定タイミングを設定する必要があり、リスク評価の算定のペンディングが生じ得る。 In this way, with the first option, risk assessment for each calculation timing can be calculated under the same conditions. On the other hand, it is necessary to set the calculation timing according to the collection function with the worst performance, which may result in pending calculation of risk assessment.

第2オプションでは、各収集機能の収集タイミングは、算定タイミングと同期しないことが許容される。例えば、図8に示すように、ウェブ情報収集部、ネットワーク情報収集部及びメール情報収集部がサービスに関する情報を各々の周期で収集することが許容される。 In the second option, the collection timing of each collection function is allowed to be asynchronous with the calculation timing. For example, as shown in Figure 8, the web information collection unit, network information collection unit, and mail information collection unit are allowed to collect information about services at their own intervals.

このようなケースにおいて、例えば、9/1の算定タイミングにおいて、ネットワーク情報収集部の収集が完了しない場合には、ネットワーク情報収集部で収集すべき情報が不足するが、リスク評価装置10は、9/1の算定タイミングにおいて、ネットワーク情報収集部によって収集される情報を除外して、サービス(Srv.A)のリスク評価を算定する。或いは、9/1と9/2との間においてメール情報収集部による収集の失敗が生じる場合には、9/2の算定タイミングにおいてメール情報収集部で収集すべき情報が不足するが、リスク評価装置10は、9/2の算定タイミングにおいて、メール情報収集部で収集すべき情報を除外して、サービス(Srv.A)のリスク評価を算定する。 In such a case, for example, if the network information collection unit does not complete collection at the calculation timing of 9/1, the information that should be collected by the network information collection unit will be insufficient, but the risk assessment device 10 will calculate the risk assessment of the service (Srv.A) by excluding the information collected by the network information collection unit at the calculation timing of 9/1. Alternatively, if the mail information collection unit fails to collect information between 9/1 and 9/2, the information that should be collected by the mail information collection unit will be insufficient at the calculation timing of 9/2, but the risk assessment device 10 will calculate the risk assessment of the service (Srv.A) by excluding the information that should be collected by the mail information collection unit at the calculation timing of 9/2.

第2オプションは、以下のように表現されてもよい。リスク評価装置10は、所定タイミング(上述した算定タイミング)でサービスのリスク評価を算定するように構成される。リスク評価装置10は、所定タイミングで収集が完了してない情報を除外して、所定タイミングで収集が完了している情報に基づいて、サービスのリスク評価を算定する。 The second option may be expressed as follows: The risk assessment device 10 is configured to calculate a risk assessment of a service at a predetermined timing (the calculation timing described above). The risk assessment device 10 excludes information that has not been completely collected at the predetermined timing, and calculates a risk assessment of a service based on information that has been completely collected at the predetermined timing.

このように、第2オプションでは、算定タイミング毎のリスク評価を同条件で算定することができないが、パフォーマンスが最も悪い収集機能に合わせて算定タイミングを設定する必要がなく、リスク評価の算定のペンディングが生じない。 Thus, with the second option, it is not possible to calculate risk assessment for each calculation timing under the same conditions, but there is no need to set the calculation timing to match the collection function with the worst performance, and there is no pending calculation of risk assessment.

[その他の実施形態]
本発明は上述した実施形態によって説明したが、この開示の一部をなす論述及び図面は、この発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。 [Other embodiments]
Although the present invention has been described by the above-mentioned embodiment, the description and drawings forming a part of this disclosure should not be understood as limiting the present invention. From this disclosure, various alternative embodiments, examples and operating techniques will become apparent to those skilled in the art.

上述した開示では、リスク評価が対策網羅率であるケースについて主として説明した。しかしながら、上述した開示はこれに限定されるものではない。リスク評価は、リスク項目の重要度、未対策のリスク項目の数、対策済みのリスク項目の数などに基づいて算定されてもよい。 In the above disclosure, a case has been mainly described in which the risk assessment is the coverage rate of measures. However, the above disclosure is not limited to this. The risk assessment may be calculated based on the importance of the risk item, the number of risk items that have not been addressed, the number of risk items that have been addressed, etc.

上述した開示では、参照サービスが対象サービスと同一又は類似の機能を提供する1以上のサービスであるケースについて例示した。しかしながら、上述した開示はこれに限定されるものではない。参照サービスは、対象サービスそのものであってもよい。例えば、対象月における対象サービスのリスク評価を時系列で出力するケースにおいて、参照サービスは、対象月の前年同月の対象サービスであってもよい。参照リスク評価は、対象月の前年同月の対象サービスのリスク評価であってもよい。 In the above disclosure, an example was given of a case where the reference service is one or more services that provide the same or similar functions as the target service. However, the above disclosure is not limited to this. The reference service may be the target service itself. For example, in a case where a risk assessment of the target service in a target month is output in chronological order, the reference service may be the target service for the same month of the previous year. The reference risk assessment may be a risk assessment of the target service for the same month of the previous year.

上述した開示では、収集機能の少なくとも一部は、収集サーバ20を利用して実行されてもよい。しかしながら、上述した開示はこれに限定されるものではない。評価機能の少なくとも一部は、収集サーバ20を利用して実行されてもよい。 In the above disclosure, at least a portion of the collection function may be performed using the collection server 20. However, the above disclosure is not limited thereto. At least a portion of the evaluation function may be performed using the collection server 20.

上述した開示では特に触れていないが、ネットワーク200上の情報を収集及び分析する機能は、OSINT(Open Source Intelligence)と称されてもよい。 Although not specifically mentioned in the above disclosure, the function of collecting and analyzing information on network 200 may be referred to as OSINT (Open Source Intelligence).

上述した開示では特に触れていないが、収集機能によって収集されるサービスに関する情報は、サービスに関する企業又は第三者の発表記事や報道記事などのテキスト情報を含んでもよい。 Although not specifically mentioned in the disclosure above, information about the service collected by the collection function may include text information such as company or third party announcements or press articles about the service.

上述した開示では特に触れていないが、出力及び表示は相互に読み替えられてもよい。表示は、物理現実における表示を含んでもよく、AR(Artificial Reality)などの拡張現実における表示を含んでもよく、VR(Virtual Reality)などの仮想現実における表示、metaverseなどの仮想空間における表示を含んでもよい。 Although not specifically mentioned in the above disclosure, output and display may be interpreted as interchangeable. Display may include a display in physical reality, a display in augmented reality such as AR (Artificial Reality), a display in virtual reality such as VR (Virtual Reality), or a display in a virtual space such as the metaverse.

上述した開示では特に触れていないが、リスク評価装置10は、リスク評価を表示する表示部を有してもよい。表示部は、液晶パネル、有機ELパネル、LEDなどのディスプレイによって構成されてもよい。 Although not specifically mentioned in the above disclosure, the risk assessment device 10 may have a display unit that displays the risk assessment. The display unit may be configured with a display such as a liquid crystal panel, an organic EL panel, or an LED.

実施形態では特に触れていないが、リスク評価装置10が行う各処理をコンピュータに実行させるプログラムが提供されてもよい。また、プログラムは、コンピュータ読取り可能媒体に記録されていてもよい。コンピュータ読取り可能媒体を用いれば、コンピュータにプログラムをインストールすることが可能である。ここで、プログラムが記録されたコンピュータ読取り可能媒体は、非一過性の記録媒体であってもよい。非一過性の記録媒体は、特に限定されるものではないが、例えば、CD-ROMやDVD-ROM等の記録媒体であってもよい。 Although not specifically mentioned in the embodiment, a program may be provided that causes a computer to execute each process performed by the risk assessment device 10. The program may also be recorded on a computer-readable medium. Using the computer-readable medium, it is possible to install the program on a computer. Here, the computer-readable medium on which the program is recorded may be a non-transient recording medium. The non-transient recording medium is not particularly limited, but may be, for example, a recording medium such as a CD-ROM or DVD-ROM.

或いは、リスク評価装置10が行う各処理を実行するためのプログラムを記憶するメモリ及びメモリに記憶されたプログラムを実行するプロセッサによって構成されるチップが提供されてもよい。 Alternatively, a chip may be provided that is configured with a memory that stores programs for executing each process performed by the risk assessment device 10 and a processor that executes the programs stored in the memory.

10…リスク評価装置、11…収集部、12…格納部、13…出力部、14…制御部、20…収集サーバ、30…提供サーバ、40…第1端末、50…第2端末、100…リスク評価システム、200…ネットワーク
 Reference Signs List 10: risk assessment device, 11: collection unit, 12: storage unit, 13: output unit, 14: control unit, 20: collection server, 30: provision server, 40: first terminal, 50: second terminal, 100: risk assessment system, 200: network

Claims (10)

サービス提供者によってネットワークを介して提供されるサービスに関する属性情報に基づいて、第三者に公開されている情報源から、前記サービスに関する情報を収集する収集部と、
前記サービスに関する情報に基づいて、前記サービスのリスク評価を算定する制御部と、
前記サービスのリスク評価を格納する格納部と、
前記サービスのリスク評価を出力する出力部と、を備え、
前記出力部は、前記サービス提供者に対して前記サービスのリスク評価を第1態様で出力し、前記サービス提供者以外の者に対して前記サービスのリスク評価を前記第1態様とは異なる第2態様で出力し、
前記サービス提供者に対して前記第1態様で出力することとして、前記サービスのリスク評価を示す複数の態様として、1以上の所定態様と、前記1以上の所定態様以外の他態様と、を含んで出力し、
前記サービス提供者以外の者に対して前記第2態様で出力することとして、前記1以上の所定態様と同一の態様と、前記他態様から前記他態様に含まれる前記サービスのリスク評価の少なくとも一部を除いた態様とを出力し、
前記サービス提供者に対して前記第1態様で出力する場合は前記他態様において前記リスク評価の項目におけるリスクの内容に対する前記サービス提供者の対応を含んで出力し、
前記サービス提供者以外の者に対して前記第2態様で出力する場合は前記第1態様における前記他態様の前記対応を含まないで出力し、
前記サービス提供者及び前記サービス提供者以外の者の双方に対して前記1以上の所定態様で出力することとして、前記リスク評価の結果について複数の項目をレーダーチャートで表示すること、または、前記リスク評価の時系列の変化をグラフで表示すること、の少なくともいずれかを含んで出力する、リスク評価装置。 a collection unit that collects information on a service provided by a service provider via a network from an information source that is open to a third party based on attribute information on the service;
A control unit that calculates a risk assessment of the service based on information about the service;
A storage unit for storing a risk assessment of the service;
an output unit that outputs a risk assessment of the service;
the output unit outputs the risk assessment of the service to the service provider in a first manner, and outputs the risk assessment of the service to a person other than the service provider in a second manner different from the first manner;
outputting the service provider in the first manner, the service provider being provided with a plurality of manners indicating a risk assessment of the service, the plurality of manners including one or more predetermined manners and other manners other than the one or more predetermined manners;
outputting the information in the second format to a person other than the service provider, the information being the same as the one or more predetermined formats and the information being the other format excluding at least a part of the risk assessment of the service included in the other format;
When outputting to the service provider in the first mode, outputting the information in the other mode including the response of the service provider to the risk content in the item of the risk assessment,
When outputting in the second mode to a person other than the service provider, the output does not include the correspondence of the other mode in the first mode ,
A risk assessment device that outputs the results of the risk assessment in one or more specified forms to both the service provider and persons other than the service provider, and that includes at least one of displaying a radar chart of multiple items regarding the results of the risk assessment, or displaying a graph showing changes in the risk assessment over time . 前記出力部は、前記サービスのリスク評価とともに、前記サービスに関連する参照サービスの参照リスク評価を出力し、
前記参照サービスは、前記サービスと同一又は類似の機能を提供する1以上のサービスである、請求項1に記載のリスク評価装置。 The output unit outputs a reference risk assessment of a reference service related to the service together with the risk assessment of the service;
The risk assessment device of claim 1 , wherein the reference service is one or more services that provide the same or similar functions as the service. 前記参照リスク評価は、1以上の前記参照サービスに関するリスク評価の平均値、中央値、最大値及び最小値の中から選択されたいずれか1つの値である、請求項に記載のリスク評価装置。 The risk assessment device according to claim 2 , wherein the reference risk assessment is any one value selected from the group consisting of an average value, a median value, a maximum value, and a minimum value of risk assessments relating to one or more of the reference services. 前記出力部は、前記サービスのリスク評価を定義する項目毎の最新の項目リスク評価を前記サービスに関する最新の項目リスク評価として出力する、請求項1に記載のリスク評価装置。 The risk assessment device according to claim 1, wherein the output unit outputs the latest item risk assessment for each item that defines the risk assessment of the service as the latest item risk assessment for the service. 前記出力部は、前記サービスに関する最新の項目リスク評価とともに、前記サービスに関連する参照サービスの参照リスク評価を定義する項目毎の最新の項目リスク評価を前記参照サービスに関する最新の項目リスク評価として出力し、
前記参照サービスは、前記サービスと同一又は類似の機能を提供する1以上のサービスである、請求項に記載のリスク評価装置。 The output unit outputs, together with the latest item risk evaluation for the service, the latest item risk evaluation for each item defining a reference risk evaluation of a reference service related to the service as the latest item risk evaluation for the reference service;
The risk assessment device according to claim 4 , wherein the reference service is one or more services that provide the same or similar functions as the service. 前記参照サービスに関する最新の項目リスク評価は、1以上の前記参照サービスに関する最新の項目リスク評価の平均値、中央値、最大値及び最小値の中から選択されたいずれか1つの値である、請求項に記載のリスク評価装置。 The risk assessment device of claim 5, wherein the latest item risk assessment for the reference service is any one value selected from the average, median, maximum and minimum values of the latest item risk assessments for one or more of the reference services. 前記属性情報は、前記ネットワークにおいて前記サービスを特定する識別情報を含み、
前記収集部は、前記識別情報によって特定されるドメインに基づいて、前記ドメインについて設定されたサブドメインを特定し、前記サブドメインに基づいて前記サービスに関する情報を収集する、請求項1に記載のリスク評価装置。 the attribute information includes identification information for identifying the service in the network;
The risk assessment device according to claim 1 , wherein the collection unit identifies a subdomain set for the domain based on the domain identified by the identification information, and collects information regarding the service based on the subdomain. 前記制御部は、所定タイミングでサービスのリスク評価を算定するように構成されており、
前記制御部は、前記所定タイミングまでに情報の収集を完了する場合に、前記リスク評価の算定を実行する、請求項1に記載のリスク評価装置。 The control unit is configured to calculate a risk assessment of the service at a predetermined timing,
The risk assessment device according to claim 1 , wherein the control unit executes the calculation of the risk assessment when the collection of information is completed by the predetermined time. 前記制御部は、所定タイミングで前記サービスのリスク評価を算定するように構成されており、
前記制御部は、前記所定タイミングで収集が完了してない情報を除外して、前記所定タイミングで収集が完了している情報に基づいて、前記サービスのリスク評価を算定する、請求項1に記載のリスク評価装置。 The control unit is configured to calculate a risk assessment of the service at a predetermined timing,
The risk assessment device according to claim 1 , wherein the control unit calculates a risk assessment of the service based on information that has been collected at the specified time, excluding information that has not been collected at the specified time. リスク評価装置が、サービス提供者によってネットワークを介して提供されるサービスに関する属性情報に基づいて、第三者に公開されている情報源から、前記サービスに関する情報を収集するステップAと、
前記リスク評価装置が、前記サービスに関する情報に基づいて、前記サービスのリスク評価を算定するステップBと、
前記リスク評価装置が、前記サービスのリスク評価を格納するステップCと、
前記リスク評価装置が、前記サービスのリスク評価を出力するステップDと、を備え、
前記ステップDは、前記サービス提供者に対して前記サービスのリスク評価を第1態様で出力するステップと、前記サービス提供者以外の者に対して前記サービスのリスク評価を前記第1態様とは異なる第2態様で出力するステップと、を含み、
前記サービス提供者に対して前記第1態様で出力することとして、前記サービスのリスク評価を示す複数の態様として、1以上の所定態様と、前記1以上の所定態様以外の他態様と、を含んで出力し、
前記サービス提供者以外の者に対して前記第2態様で出力することとして、前記1以上の所定態様と同一の態様と、前記他態様から前記他態様に含まれる前記サービスのリスク評価の少なくとも一部を除いた態様とを出力し、
前記サービス提供者に対して前記第1態様で出力する場合は前記他態様において前記リスク評価の項目におけるリスクの内容に対する前記サービス提供者の対応を含んで出力し、
前記サービス提供者以外の者に対して前記第2態様で出力する場合は前記第1態様における前記他態様の前記対応を含まないで出力し、
前記サービス提供者及び前記サービス提供者以外の者の双方に対して前記1以上の所定態様で出力することとして、前記リスク評価の結果について複数の項目をレーダーチャートで表示すること、または、前記リスク評価の時系列の変化をグラフで表示すること、の少なくともいずれかを含んで出力する、リスク評価方法。 A step A in which a risk assessment device collects information on a service provided by a service provider via a network from an information source open to a third party based on attribute information on the service;
A step B in which the risk assessment device calculates a risk assessment of the service based on information about the service;
A step C of the risk assessment device storing a risk assessment of the service;
and a step D of the risk assessment device outputting a risk assessment of the service;
the step D includes a step of outputting a risk assessment of the service to the service provider in a first manner, and a step of outputting the risk assessment of the service to a person other than the service provider in a second manner different from the first manner,
outputting the service provider in the first manner, the service provider being provided with a plurality of manners indicating a risk assessment of the service, the plurality of manners including one or more predetermined manners and other manners other than the one or more predetermined manners;
outputting the information in the second format to a person other than the service provider, the information being the same as the one or more predetermined formats and the information being the other format excluding at least a part of the risk assessment of the service included in the other format;
When outputting to the service provider in the first mode, outputting the information in the other mode including the response of the service provider to the risk content in the item of the risk assessment,
When outputting in the second mode to a person other than the service provider, the output does not include the correspondence of the other mode in the first mode ,
A risk assessment method which outputs the results of the risk assessment to both the service provider and a person other than the service provider in one or more predetermined forms, including at least one of displaying a radar chart of multiple items regarding the results of the risk assessment, or displaying a graph showing changes in the risk assessment over time .
JP2022074325A 2022-04-28 2022-04-28 Risk assessment system and risk assessment method Active JP7474800B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022074325A JP7474800B2 (en) 2022-04-28 2022-04-28 Risk assessment system and risk assessment method
JP2023036164A JP2023164296A (en) 2022-04-28 2023-03-09 Risk evaluation system and risk evaluation method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022074325A JP7474800B2 (en) 2022-04-28 2022-04-28 Risk assessment system and risk assessment method

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2023036164A Division JP2023164296A (en) 2022-04-28 2023-03-09 Risk evaluation system and risk evaluation method

Publications (2)

Publication Number Publication Date
JP2023163413A JP2023163413A (en) 2023-11-10
JP7474800B2 true JP7474800B2 (en) 2024-04-25

Family

ID=88651901

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2022074325A Active JP7474800B2 (en) 2022-04-28 2022-04-28 Risk assessment system and risk assessment method
JP2023036164A Pending JP2023164296A (en) 2022-04-28 2023-03-09 Risk evaluation system and risk evaluation method

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2023036164A Pending JP2023164296A (en) 2022-04-28 2023-03-09 Risk evaluation system and risk evaluation method

Country Status (1)

Country Link
JP (2) JP7474800B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006107387A (en) 2004-10-08 2006-04-20 Sanwa Comtec Kk Method and device for real time security certification for on-line service
JP2010198194A (en) 2009-02-24 2010-09-09 Nomura Research Institute Ltd Security management support system
JP2013041372A (en) 2011-08-12 2013-02-28 Nomura Research Institute Ltd Security evaluation support device and security evaluation support method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004054706A (en) * 2002-07-22 2004-02-19 Sofutekku:Kk Security risk management system, program, and recording medium thereof
WO2018223079A1 (en) * 2017-06-02 2018-12-06 DigitSec, Inc. Saas configuration and security analysis engine
JP2020024650A (en) * 2018-08-06 2020-02-13 沖電気工業株式会社 Security information processing device, program, and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006107387A (en) 2004-10-08 2006-04-20 Sanwa Comtec Kk Method and device for real time security certification for on-line service
JP2010198194A (en) 2009-02-24 2010-09-09 Nomura Research Institute Ltd Security management support system
JP2013041372A (en) 2011-08-12 2013-02-28 Nomura Research Institute Ltd Security evaluation support device and security evaluation support method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
大澤 文隆,サーバーの安全性をシールでアピール! HACKER SAFE,iNTERNET magazine 2nd STAGE,日本,株式会社インプレス,2004年09月01日,通巻第116号,pp.62-63

Also Published As

Publication number Publication date
JP2023164296A (en) 2023-11-10
JP2023163413A (en) 2023-11-10

Similar Documents

Publication Publication Date Title
US11323472B2 (en) Identifying automated responses to security threats based on obtained communication interactions
JP6687799B2 (en) Network flow log for multi-tenant environment
US20210314354A1 (en) Techniques for determining threat intelligence for network infrastructure analysis
US10270725B2 (en) Real life to digital life event correlation
JP5913754B2 (en) Customized predictors of user behavior in online systems
JP6441817B2 (en) Start real-time bidding based on expected bidding revenue
US10587705B2 (en) Methods and systems for determining use and content of PYMK based on value model
US10410296B2 (en) Selection of advertisements based on social networking system login status
US8938411B2 (en) Inferring user family connections from social information
US20190065606A1 (en) Systems and methods for automated page category recommendation
US20150287336A1 (en) Automated phishing-email training
US10388034B2 (en) Augmenting web content to improve user experience
US11144939B2 (en) Cross-device consumer identification and device type determination
US20160335405A1 (en) Method and system for analyzing digital activity
EP2854080A1 (en) NXD query monitor
JP4215771B2 (en) Service evaluation method, system, and computer program
JP7474800B2 (en) Risk assessment system and risk assessment method
Giommoni et al. Characterising the structure of the largest online commercial sex network in the UK: observational study with implications for sti prevention
EP2873050A2 (en) Enhanced adserving metric determination
US20150019271A1 (en) Estimating wait time for an establishment
US20140207585A1 (en) Simplified creation of advertisements for a social networking system
EP3144827A1 (en) A device for identifying organizations and monitoring organization's website activity from visit logs
US20230239314A1 (en) Risk management security system
TW201104457A (en) Context driven arrangement of portlets in a portal
WO2018215745A1 (en) Method and apparatus for operating an email demand-side platform

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220428

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20220428

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220802

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220922

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20221214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230309

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20230322

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20230519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240306

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240415

R150 Certificate of patent or registration of utility model

Ref document number: 7474800

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150