WO2010074093A1 - セキュリティ対策機能評価プログラム - Google Patents

Abstract

　セキュリティ対策機能評価装置（１０）においては、評価者による入力部（１１）の操作により、評価点数算出部（１５）が、セキュリティ対策機能の詳細を示す対策情報の各項目が十分条件表情報の各項目を満たすか否かを評価して、各項目の評価結果から評価点数を算出し、遷移確率算出部（１６）が評価点数に基づいて遷移確率を算出する。これにより、未熟な評価者でも、評価対象のセキュリティ対策機能を項目毎に詳細に評価できるので、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価できる。

Description

セキュリティ対策機能評価プログラム

　本発明は、セキュリティ対策機能を評価するためのセキュリティ対策機能評価プログラムに係り、例えば、評価者の熟練度に依存せずに、セキュリティ対策機能を評価し得るセキュリティ対策機能評価プログラムに関する。

　情報処理機器には、様々な用途や種類、ＯＳ（Operating System）が存在し、保持する情報や機能が増加している。

　このような情報処理機器に対しては、単純、単一のセキュリティ対策機能から、複数の幅広い脅威に対応するセキュリティ対策機能まで、様々なセキュリティ対策機能が開発されて実装可能となっている。これらのセキュリティ対策機能は、開発元や提供ベンダーによる機能自体や効果の表記に違いがあり、効果を客観的に評価して相互に比較することが難しい。

　このため、セキュリティ対策機能は、脅威やセキュリティ問題の特徴を荒く捉えた項目に対し、対応可能か否かという観点で評価されている。この評価においては、同種のセキュリティ対策機能で夫々対応可能であれば、互いに同一の効果をもつとみなされている。

　なお、この出願の発明に関連する先行技術文献情報としては次のものがある。　

特開２００５－２５５２３号公報

　しかしながら、以上のようなセキュリティ対策機能の評価手法は、前述した通り、セキュリティ対策機能の効果を客観的に評価して比較することが難しい状況にある。例えば、実装されたセキュリティ対策機能が、実際にユーザが想定した脅威を抑制する効果をもつか否か、また、他の同種のセキュリティ対策機能よりも高い効果をもつか否かを評価することが難しい。このため、実際の効果やそれらの比較は、評価者の熟練度に応じて客観的に評価される。

　これは、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価するための手法や基準が存在していないからである。

　本発明の目的は、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価し得るセキュリティ対策機能評価プログラムを提供することにある。

　本発明の一つの局面は、記憶装置であるデータベース部を読出／書込可能であり、情報処理機器に実装されるセキュリティ対策機能を評価するためのセキュリティ対策機能評価装置に対し、前記セキュリティ対策機能評価装置に用いられ、コンピュータ読み取り可能な記憶媒体に記憶されたセキュリティ対策機能評価プログラムであって、情報処理機器の物理的本体、情報処理機器の機能、及び情報処理機器に保存されたデータ、を個別に示すセキュリティ保護対象資産情報と、前記各セキュリティ保護対象資産情報に個別に関連付けられたセキュリティ状態ＩＤ及び状態情報からなる複数のセキュリティ状態情報とを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第１プログラムコード、セキュリティ状態が安全な状態から危険な状態又は被害発生状態に遷移する原因である脅威の実施者及び実行条件の情報を含む脅威情報を含んだ文書データを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第２プログラムコード、任意の対策方針を実行する十分条件に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む十分条件評価パラメータと、任意のセキュリティ対策機能に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む対策機能評価パラメータとを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第３プログラムコード、脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報が入力される対策方針領域と、当該対策方針情報の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を前記十分条件評価パラメータに関連付けて列挙した選択領域及び前記選択領域で選択された選択肢に応じた点数が前記十分条件評価パラメータに基づいて記述される点数領域とを含む十分条件表雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第４プログラムコード、前記セキュリティ対策機能の製品を特定する対策名が入力される対策名領域と、当該対策名により特定される製品のセキュリティ対策機能の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を前記対策機能評価パラメータに関連付けて列挙した選択領域及び前記選択領域で選択された選択肢に応じた点数が前記対策機能評価パラメータに基づいて記述される点数領域とを含む対策雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第５プログラムコード、セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令の入力を受け付けると、この選択命令に基づいて、前記データベース部内のセキュリティ保護対象資産情報を選択する処理を前記セキュリティ対策機能評価装置に実行させるための第６プログラムコード、前記選択されたセキュリティ保護対象資産情報を表示する処理を前記セキュリティ対策機能評価装置に実行させるための第７プログラムコード、前記セキュリティ保護対象資産情報の表示中、セキュリティ状態ＩＤの入力を受け付けると、このセキュリティ状態ＩＤに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報を前記データベース部から抽出する処理を前記セキュリティ対策機能評価装置に実行させるための第８プログラムコード、抽出したセキュリティ状態情報のセキュリティ状態ＩＤを表示する処理を前記セキュリティ対策機能評価装置に実行させるための第９プログラムコード、表示中のセキュリティ状態ＩＤ毎に、安全、危険又は被害発生のグループに関する指定の入力を受け付けると、この指定に基づいて、各セキュリティ状態ＩＤを、安全、危険又は被害発生のいずれかのグループに分類する処理を前記セキュリティ対策機能評価装置に実行させるための第１０プログラムコード、分類したグループに応じた形式の外枠情報を、表示中のセキュリティ状態ＩＤに付加して表示する処理を前記セキュリティ対策機能評価装置に実行させるための第１１プログラムコード、表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、前記安全のグループに応じた形式の外枠情報から前記危険又は被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に第１遷移パス情報を描画する処理を前記セキュリティ対策機能評価装置に実行させるための第１２プログラムコード、表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、前記危険のグループに応じた外枠情報から前記被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に第２遷移パス情報を描画する処理を前記セキュリティ対策機能評価装置に実行させるための第１３プログラムコード、表示中の第１又は第２遷移パス情報と、前記脅威情報との指定の入力を受け付けると、この指定に基づいて、当該第１又は第２遷移パス情報と当該脅威情報とを関連付ける処理を前記セキュリティ対策機能評価装置に実行させるための第１４プログラムコード、前記脅威情報が関連付けられなかった第１又は第２遷移パス情報を削除することにより、互いに関連付けられた複数のセキュリティ状態情報、外枠情報、第１遷移パス情報、第２遷移パス情報及び脅威情報からなる脅威発生モデル情報を作成する処理を前記セキュリティ対策機能評価装置に実行させるための第１５プログラムコード、前記脅威発生モデル情報に基づいて、遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報及び脅威情報を互いに関連付けた脅威分析途中データを作成して表示する処理を前記セキュリティ対策機能評価装置に実行させるための第１６プログラムコード、前記脅威分析途中データの表示中に、当該脅威分析途中データ内の脅威情報における脅威の実施者及び実行条件の指定の入力を受け付けると、この指定に基づいて、当該脅威情報から脅威の実施者及び実行条件の情報を抽出する処理を前記セキュリティ対策機能評価装置に実行させるための第１７プログラムコード、前記脅威分析途中データ内の遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報、及び前記抽出した脅威の実施者及び実行条件の情報を互いに関連付けた脅威分析結果データを作成する処理を前記セキュリティ対策機能評価装置に実行させるための第１８プログラムコード、前記脅威分析結果データ内の脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報の入力を受け付けると、この対策方針情報を前記十分条件表雛形情報の対策方針領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第１９プログラムコード、前記対策方針領域に書き込まれた対策方針情報の実行及び実行のための機能名に関し、前記選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する処理を前記セキュリティ対策機能評価装置に実行させるための第２０プログラムコード、前記十分条件評価パラメータに基づいて、前記選択領域内で選択された選択肢に対応する点数を前記点数領域に記述する処理を前記セキュリティ対策機能評価装置に実行させるための第２１プログラムコード、前記対策方針情報が入力された対策方針領域、前記選択肢が選択された選択領域、及び前記点数が記述された点数領域を含む十分条件表情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第２２プログラムコード、前記対策名の入力を受け付けると、この対策名を前記対策雛形情報内の対策名領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第２３プログラムコード、前記対策名領域に書き込まれた対策名の実行及び実行のための機能名に関し、前記対策雛形情報の選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する処理を前記セキュリティ対策機能評価装置に実行させるための第２４プログラムコード、前記対策機能評価パラメータに基づいて、前記対策雛形情報の選択領域内で選択された選択肢に対応する点数を当該対策雛形情報の点数領域に記述する処理を前記セキュリティ対策機能評価装置に実行させるための第２５プログラムコード、前記対策雛形情報に基づいて作成され、前記対策名が入力された対策名領域、前記選択肢が選択された選択領域、及び前記点数が記述された点数領域を含む対策情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第２６プログラムコード、前記対策情報内及び前記十分条件表情報内の互いに同一の項目における点数領域に関し、当該対策情報の点数領域の点数から当該十分条件表情報の点数領域の点数を引いた差分を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第２７プログラムコード、前記差分が０以上の値であれば評価結果を正の値の点数とし、差分が負の値であれば評価結果を０値の点数として、前記対策情報内及び前記十分条件表情報内の互いに同一の項目毎に、評価結果の点数を記入する評価結果点数記入処理を前記セキュリティ対策機能評価装置に実行させるための第２８プログラムコード、前記各対策方針情報の機能毎に、評価結果の点数の平均値を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第２９プログラムコード、前記対策方針情報毎に、全ての平均値を積算して評価点数を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第３０プログラムコード、前記情報処理機器にセキュリティ対策機能を施す前の場合に関し、前記脅威分析結果データに基づいて、同一の遷移元のセキュリティ状態情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第３１プログラムコード、前記情報処理機器にセキュリティ対策機能を施した後の場合に関し、前記対策前遷移確率の算出に用いた分子の値から前記評価点数を減算して当該分子の値を修正し、この修正した分子の値を前記分母の値で除算することにより、対策後遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第３２プログラムコード、前記対策前遷移確率と前記対策後遷移確率とを表示する処理を前記セキュリティ対策機能評価装置に実行させるための第３３プログラムコード、を備えたセキュリティ対策機能評価プログラムである。

　本発明の一つの局面によれば、セキュリティ対策機能の詳細を示す対策情報の各項目が十分条件表情報の各項目を満たすか否かを評価し、各項目の評価結果から評価点数を算出し、評価点数に基づいて遷移確率を算出する構成により、未熟な評価者でも評価対象のセキュリティ対策機能を項目毎に詳細に評価できることから、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価することができる。

　以上説明したように本発明によれば、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価できる。

図１は、本発明の一実施形態に係るセキュリティ対策機能評価装置及びその周辺構成を示す模式図である。 図２は、同実施形態におけるセキュリティ保護対象資産情報及びセキュリティ状態情報の一例を示す模式図である。 図３は、同実施形態における十分条件評価パラメータ及び対策機能評価パラメータを含む評価パラメータ表の一例を示す模式図である。 図４は、同実施形態における十分条件表雛形情報の一例を示す模式図である。 図５は、同実施形態における対策雛形情報の一例を示す模式図である。 図６は、同実施形態における回復十分条件雛形情報の一例を示す模式図である。 図７は、同実施形態における回復十分条件雛形情報の一例を示す模式図である。 図８は、同実施形態における回復対策雛形情報の一例を示す模式図である。 図９は、同実施形態における脅威発生モデル情報の作成処理を説明するためのフローチャートである。 図１０は、同実施形態におけるセキュリティ状態のグループを説明するための模式図である。 図１１は、同実施形態における脅威発生モデル情報の一例を示す模式図である。 図１２は、同実施形態における脅威発生モデル情報の一例を示す模式図である。 図１３は、同実施形態における脅威発生モデル情報の一例を示す模式図である。 図１４は、同実施形態における脅威分析結果データの一例を示す模式図である。 図１５は、同実施形態における脅威分析結果データの一例を示す模式図である。 図１６は、同実施形態における十分条件表情報の一例を示す模式図である。 図１７は、同実施形態における十分条件表情報の一例を示す模式図である。 図１８は、同実施形態における十分条件表情報の一例を示す模式図である。 図１９は、同実施形態におけるセキュリティ対策機能の評価処理を説明するためのフローチャートである。 図２０は、同実施形態における対策情報の一例を示す模式図である。 図２１は、同実施形態における評価結果の計算表の一例を示す模式図である。 図２２は、同実施形態における評価点数の計算表の一例を示す模式図である。 図２３は、同実施形態における遷移パラメータの一例を示す模式図である。 図２４は、同実施形態における対策前の遷移確率の計算表の一例を示す模式図である。 図２５は、同実施形態における対策後の遷移確率の計算表の一例を示す模式図である。 図２６は、同実施形態におけるシミュレーション処理を説明するためのフローチャートである。 図２７は、同実施形態における対策前のシミュレーション結果の一例を示す模式図である。 図２８は、同実施形態における対策後のシミュレーション結果の一例を示す模式図である。 図２９は、同実施形態におけるシミュレーション結果の視覚表現の一例を示す模式図である。 図３０は、同実施形態における回復モデル情報の作成処理を説明するためのフローチャートである。 図３１は、同実施形態における回復モデル情報の一例を示す模式図である。 図３２は、同実施形態における回復モデル情報の一例を示す模式図である。 図３３は、同実施形態における回復モデル情報の一例を示す模式図である。 図３４は、同実施形態における回復十分条件表情報の一例を示す模式図である。 図３５は、同実施形態における回復十分条件表情報の一例を示す模式図である。 図３６は、同実施形態における回復対策情報の一例を示す模式図である。 図３７は、同実施形態における評価結果の算出過程の一例を示す模式図である。 図３８は、同実施形態における評価点数の計算表の一例を示す模式図である。 図３９は、同実施形態における評価点数の一例を示す模式図である。 図４０は、同実施形態におけるシミュレーション結果の視覚表現の一例を示す模式図である。

　以下、本発明の一実施形態について図面を用いて説明する。なお、以下のセキュリティ対策機能評価装置は、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、図１に示すように、予めネットワーク又は記憶媒体Ｍからセキュリティ対策機能評価装置１０となるコンピュータにインストールされ、セキュリティ対策機能評価装置１０の各機能を実現させるためのセキュリティ対策機能評価プログラムが用いられる。

　図１は本発明の一実施形態に係るセキュリティ対策機能評価プログラムをインストールしたセキュリティ対策機能評価装置及びその周辺構成を示す模式図である。このセキュリティ対策機能評価装置１０は、情報処理装置に実装されるセキュリティ対策機能を評価する機能を有しており、また、読出／書込可能な記憶装置としてのデータベース部２０に接続されている。評価対象であるセキュリティ対策機能は、セキュリティ対策機能を実現する製品である。具体的には、ソフトウェア、ハードウェア、ソフトウェアとハードウェアを組み合わせた製品、ネットワークを利用する製品の他、任意の実装形態の製品が評価対象である。このため、「セキュリティ対策機能」の用語は「セキュリティ対策製品」と読み替えてもよい。

　セキュリティ対策機能評価装置１０は、入力部１１、初期設定部１２、記憶部１３、脅威モデル作成部１４、評価点数算出部１５、遷移確率算出部１６、シミュレーション実行部１７、回復モデル作成部１８及び表示部１９を備えている。

　ここで、入力部１１は、評価者の操作により、各種のデータや命令などの情報をセキュリティ対策機能評価装置１０内に入力するための入力デバイスである。

　初期設定部１２は、セキュリティ保護対象資産情報や各種の雛形情報などを含むセキュリティ対策機能評価プログラムのインストール時にセキュリティ保護対象資産情報や各種の雛形情報などをデータベース部２０に書き込む機能をもっている。

　具体的には初期設定部１２は、後述するセキュリティ保護対象資産情報、複数のセキュリティ状態情報、文書データ、十分条件評価パラメータ、対策機能評価パラメータ、十分条件表雛形情報、対策雛形情報、回復十分条件表雛形情報及び回復対策雛形情報をデータベース部２０に書き込む機能をもっている。

　記憶部１３は、各部１１，１２，１４～１９から読出／書込可能なメモリであり、例えば、入力部１１が入力するデータ、各部１２，１４～１８がデータベース部２０との間で読出／書込処理する情報、各部１４～１８による処理中のデータ、計算途中又は計算結果のデータ、表示部１９が表示する情報などが適宜、記憶される。

　脅威モデル作成部１４は、例えば、以下の各機能(f14-1)～(f14-12)をもっている。　
　(f14-1)　入力部１１の操作により、セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令の入力を受け付けると、この選択命令に基づいて、データベース部２０内のセキュリティ保護対象資産情報を選択する機能。

　(f14-2)　選択されたセキュリティ保護対象資産情報を表示部１９により表示する機能と、セキュリティ保護対象資産情報の表示中、セキュリティ状態ＩＤの入力を受け付けると、このセキュリティ状態ＩＤに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報をデータベース部２０から抽出する機能。

　(f14-3)　抽出したセキュリティ状態情報のセキュリティ状態ＩＤを表示部１９により表示する機能。

　(f14-4)　表示中のセキュリティ状態ＩＤ毎に、安全、危険又は被害発生のグループに関する指定の入力を受け付けると、この指定に基づいて、各セキュリティ状態ＩＤを、安全、危険又は被害発生のいずれかのグループに分類する機能。

　(f14-5)　分類したグループに応じた形式の外枠情報を、表示中のセキュリティ状態ＩＤに付加して表示部１９に表示する機能。

　(f14-6)　表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、安全のグループに応じた形式の外枠情報から危険又は被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に遷移パス情報を描画する機能。

　(f14-7)　表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、危険のグループに応じた外枠情報から被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に他の遷移パス情報を描画する機能。

　(f14-8)　表示中の各遷移パス情報と、脅威情報との指定の入力を受け付けると、この指定に基づいて、当該遷移パス情報と当該脅威情報とを関連付ける機能。

　(f14-9)　脅威情報が関連付けられなかった遷移パス情報を削除することにより、互いに関連付けられた複数のセキュリティ状態情報、外枠情報、第１遷移パス情報、第２遷移パス情報及び脅威情報からなる脅威発生モデル情報を作成する機能。

　(f14-10)　脅威発生モデル情報に基づいて、遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報及び脅威情報を互いに関連付けた脅威分析途中データを作成して表示部１９に表示する機能。

　(f14-11)　脅威分析途中データの表示中に、当該脅威分析途中データ内の脅威情報における脅威の実施者及び実行条件の指定の入力を受け付けると、この指定に基づいて、当該脅威情報から脅威の実施者及び実行条件の情報を抽出する機能。

　(f14-12)　脅威分析途中データ内の遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報、及び抽出した脅威の実施者及び実行条件の情報を互いに関連付けた脅威分析結果データを作成する機能。

　評価点数算出部１５は、例えば、以下の各機能(f15-1)～(f15-12)をもっている。　
　(f15-1)　脅威分析結果データ内の脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報の入力を受け付けると、この対策方針情報を十分条件表雛形情報の対策方針領域に書き込む機能。

　(f15-2)　対策方針領域に書き込まれた対策方針情報の実行及び実行のための機能名に関し、選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する機能。

　(f15-3)　十分条件評価パラメータに基づいて、選択領域内で選択された選択肢に対応する点数を点数領域に記述する機能。

　(f15-4)　対策方針情報が入力された対策方針領域、選択肢が選択された選択領域、及び点数が記述された点数領域を含む十分条件表情報をデータベース部２０に書き込む機能。

　(f15-5)　対策名の入力を受け付けると、この対策名を対策雛形情報内の対策名領域に書き込む機能。

　(f15-6)　対策名領域に書き込まれた対策名の実行及び実行のための機能名に関し、対策雛形情報の選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する機能。

　(f15-7)　対策機能評価パラメータに基づいて、対策雛形情報の選択領域内で選択された選択肢に対応する点数を当該対策雛形情報の点数領域に記述する機能。

　(f15-8)　対策雛形情報に基づいて作成され、対策名が入力された対策名領域、選択肢が選択された選択領域、及び点数が記述された点数領域を含む対策情報をデータベース部２０に書き込む機能。

　(f15-9)　対策情報内及び十分条件表情報内の互いに同一の項目における点数領域に関し、当該対策情報の点数領域の点数から当該十分条件表情報の点数領域の点数を引いた差分を算出する機能。

　(f15-10)　差分が０以上の値であれば評価結果を正の値の点数とし、差分が負の値であれば評価結果を０値の点数として、対策情報内及び十分条件表情報内の互いに同一の項目毎に、評価結果の点数を記入する評価結果点数記入機能。なお、評価結果点数記入機能は、評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数とする機能を含んでいてもよい。

　(f15-11)　各対策方針情報の機能毎に、評価結果の点数の平均値を算出する機能。

　(f15-12)　対策方針情報毎に、全ての平均値を積算して評価点数を算出する機能。

　また、評価点数算出部１５は、情報処理機器に複数のセキュリティ対策機能を施す場合、当該各セキュリティ対策機能に関し、対策方針情報毎に算出された評価点数を当該対策方針情報毎に加算して最終的な評価点数を算出する機能(f15-13)をもっていてもよい。

　また、評価点数算出部１５は、例えば、以下の各機能(f15-14)～(f15-20)を更にもっていてもよい。　
　(f15-14)　回復モデル作成部１８による回復モデル情報の作成後、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報の入力を受け付けると、この回復十分条件情報を回復十分条件表雛形情報の十分条件領域に書き込む機能。

　(f15-15)　回復対策方針領域と、回復十分条件情報が書き込まれた十分条件領域とを含む回復十分条件表情報をデータベース部２０に書き込む機能。

　(f15-16)　回復対策雛形情報に対する対策名の入力を受け付けると、この対策名を回復対策雛形情報内の対策名領域に書き込む機能。

　(f15-17)　回復対策雛形情報内の選択肢としての回復十分条件情報の指定を受け付けると、この指定された回復十分条件情報を選択する機能。

　(f15-18)　回復対策雛形情報に基づいて作成され、対策名が入力された対策名領域と、回復十分条件情報が選択された選択領域とを含む回復対策情報をデータベース部２０に書き込む機能。

　(f15-19)　回復対策情報内及び回復十分条件表情報内の互いに同一の項目に関し、当該回復十分条件表情報内の回復十分条件情報と当該回復対策情報内の回復十分条件情報とが一致すれば評価結果を正の値の点数とし、両者が不一致であれば評価結果を０値の点数として、回復十分条件表情報の回復対策方針領域内の各回復機能要件情報における当該同一の項目毎に、評価結果の点数を記入する回復評価点数記入機能。なお、回復評価点数記入機能は、評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数とする機能を含んでいてもよい。

　(f15-20)　当該回復機能要件毎に、全ての評価結果の点数を積算して評価点数を算出する機能。

　遷移確率算出部１６は、以下の各機能(f16-1)～(f16-3)をもっている。　
　(f16-1)　情報処理機器にセキュリティ対策機能を施す前の場合に関し、脅威分析結果データに基づいて、同一の遷移元のセキュリティ状態情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する機能。

　(f16-2)　情報処理機器にセキュリティ対策機能を施した後の場合に関し、対策前遷移確率の算出に用いた分子の値から評価点数を減算して当該分子の値を修正し、この修正した分子の値を上記分母の値で除算することにより、対策後遷移確率を算出する機能。

　(f16-3)　対策前遷移確率と対策後遷移確率とを表示部１９に表示する機能。

　また、遷移確率算出部１６は、以下の各機能(f16-4)～(f16-6)を更にもっていてもよい。　
　(f16-4)　情報処理機器にセキュリティ対策機能を施す前の場合に関し、回復モデル情報に基づいて、同一の遷移元のセキュリティ状態情報に関連する回復機能要件情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報に関連する回復機能要件情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する機能。

　(f16-5)　情報処理機器にセキュリティ対策機能を施した後の場合に関し、この対策前遷移確率の算出に用いた分子の値に上記回復評価点数記入機能による評価点数を乗算して当該分子の値を修正し、この修正した分子の値を上記回復機能要件情報の個数としての分母の値で除算することにより、対策後遷移確率を算出する機能。

　(f16-6)　回復モデル情報及び評価点数に基づく対策前遷移確率と対策後遷移確率とを表示部１９に表示する機能。

　シミュレーション実行部１７は、遷移確率算出部１６により算出された遷移確率に基づいてシミュレーションを実行する機能と、シミュレーションの実行結果を表示部１９により表示する機能とをもっている。

　回復モデル作成部１８は、以下の各機能(f18-1)～(f18-5)をもっている。
　(f18-1)　評価者による入力部１１の操作により、セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令の入力を受け付けると、この選択命令に基づいて、データベース部２０からセキュリティ保護対象資産情報を選択して表示し、このセキュリティ保護対象資産情報の表示中、セキュリティ状態ＩＤの入力を受け付けると、このセキュリティ状態ＩＤに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報を脅威発生モデル情報から抽出する機能。

　(f18-2)　脅威発生モデル情報から抽出したセキュリティ状態情報のセキュリティ状態ＩＤを表示し、当該セキュリティ状態ＩＤ毎に、安全、危険又は被害発生のグループの指定の入力を受け付けると、この指定に基づいて、各セキュリティ状態ＩＤを、安全、危険又は被害発生のいずれかのグループに分類し、当該各グループに応じた形式の外枠情報を、表示中のセキュリティ状態ＩＤに付加して表示部１９に表示する機能。

　(f18-3)　当該表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、危険又は被害発生のグループに応じた形式の外枠情報からそれぞれ安全のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に遷移パス情報を描画する機能。

　(f18-4)　遷移パス情報毎に、回復機能要件情報の入力を受け付けると、当該遷移パス情報と、当該回復機能要件情報とを関連付ける機能。

　(f18-5)　互いに関連付けられた複数のセキュリティ状態情報、外枠情報、遷移パス情報及び回復機能要件情報からなる回復モデル情報を作成する機能。

　表示部１９は、各部１１，１２，１４～１８に制御され、各部１２，１４～１８の処理により記憶部１３に記憶されたデータや、各部１２，１４～１８から受けたデータを表示するための表示デバイスである。

　データベース部２０は、保護対象資産ＤＢ２１、脅威発生モデルＤＢ２２、脅威評価指標ＤＢ２３、セキュリティ対策機能評価指標ＤＢ２４及び回復モデルＤＢ２５を備えている。

　ここで、保護対象資産ＤＢ２１は、各部１１，１２，１４～１９から読出／書込可能な不揮発性の記憶部であり、例えば、後述するセキュリティ保護対象資産情報、セキュリティ状態情報、などが適宜、記憶される。

　脅威発生モデルＤＢ２２は、各部１１，１２，１４～１９から読出／書込可能な不揮発性の記憶部であり、例えば、後述する脅威発生モデル情報、などが適宜、記憶される。

　脅威評価指標ＤＢ２３は、各部１１，１２，１４～１９から読出／書込可能な不揮発性の記憶部であり、例えば、後述する文書データ、脅威分析結果データ、などが適宜、記憶される。

　セキュリティ対策機能評価指標ＤＢ２４は、各部１１，１２，１４～１９から読出／書込可能な不揮発性の記憶部であり、例えば、後述する十分条件評価パラメータ、対策機能評価パラメータ、十分条件表雛形情報、対策雛形情報、回復十分条件表雛形情報、回復対策雛形情報、などが適宜、記憶される。

　回復モデルＤＢ２５は、各部１１，１２，１４～１９から読出／書込可能な不揮発性の記憶部であり、例えば、後述する回復モデル情報などが適宜、記憶される。

　なお、各ＤＢ２１～２５は、全てのＤＢ２１～２５を含む単一のＤＢとしてもよく、各ＤＢ２１～２５のうちの任意の組合せからなる複数のＤＢとしてもよい。また、データベース部２０は、セキュリティ対策機能評価装置１０の外部にある記憶装置に限らず、セキュリティ対策機能評価装置１０内の記憶装置として実現してもよい。

　次に、以上のように構成されたセキュリティ対策機能評価装置の動作を図２乃至図４０を用いて説明する。

　（初期設定）
　初期設定部１２は、セキュリティ保護対象資産情報や各種の雛形情報をデータベース部２０に書き込む。この書き込み動作は、セキュリティ保護対象資産情報、各種の雛形情報、評価パラメータなどを含むセキュリティ対策機能評価プログラムのインストール時に１回だけ実行される。なお、各種の雛形情報は、未記入状態の各種の情報を意味するので、未記入状態の当該情報と読み替えてもよい。例えば「十分条件表雛形情報」は「未記入状態の十分条件表情報」と読み替えてもよい。

　続いて、書き込み動作を具体的に説明する。　
　初期設定部１２は、図２に示すように、情報処理機器の物理的本体、情報処理機器の機能、及び情報処理機器に保存されたデータ、を個別に示すセキュリティ保護対象資産情報と、各セキュリティ保護対象資産情報に個別に関連付けられたセキュリティ状態ＩＤ及び状態情報からなる複数のセキュリティ状態情報とをデータベース部２０の保護対象資産ＤＢ２１に書き込む。

　補足すると、セキュリティ保護対象資産は、情報処理機器の物理的本体、情報処理機器の機能、情報処理機器に保存されたデータ、のいずれかに分類される。これら情報処理機器の物理的本体、情報処理機器の機能、及び情報処理機器に保存されたデータは、互いに独立であり、包含関係をもたない。

　情報処理機器は、電子データを情報処理（例、記憶処理、加工処理及び／又は演算処理）する機器であり、例えば、パーソナルコンピュータ（以下、パソコンという）、モバイルパソコン、携帯電話、サーバ、家庭電化製品（以下、家電製品ともいう）、ゲーム機器、スマートカード、スマートカード発行機器、ＩＣチップ、情報発信機器、ネットワーク機器等といった任意の情報処理装置が該当する。

　情報処理機器の物理的本体は、図２に示すように、ＣＰＵ、記憶装置、入出力デバイス等のハードウェア資源を有し、物理的に存在するものを意味する。

　情報処理機器の機能は、図２に示すように、ＯＳ、ＢＩＯＳ等ファームウェア、コマンドライブラリ、各種アプリケーションなどと、これらを実行するために必要な設定情報とからなり、情報処理機器のハードウェアで実行可能な処理手順及び／又は命令を含むようなソフトウェアを意味する。

　情報処理機器に保存されたデータとは、図２に示すように、個人情報、音楽データ、業務関係情報、送受信メールなどのデータを意味する。

　また、初期設定部１２は、セキュリティ状態が安全な状態から危険な状態又は被害発生状態に遷移する原因である脅威の実施者及び実行条件の情報を含む脅威情報を含んだ文書データをデータベース部２０の脅威評価指標ＤＢ２３に書き込む。

　さらに、初期設定部１２は、図３に示すように、任意の対策方針を実行する十分条件に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む十分条件評価パラメータと、任意のセキュリティ対策機能に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む対策機能評価パラメータとをデータベース部２０のセキュリティ対策機能評価指標ＤＢ２４に書き込む。なお、図３中、十分条件評価パラメータ及び対策機能評価パラメータは、それぞれ評価パラメータ表に含まれているが、これに限らず、十分条件評価パラメータ及び対策機能評価パラメータを別々に分けてもよい。また、ここに挙げた“時間”とは、例えば情報処理機器の起動に要する時間を指している。

　また、初期設定部１２は、図４に示すように、脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報が入力される対策方針領域と、当該対策方針情報の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を十分条件評価パラメータに関連付けて列挙した選択領域及び選択領域で選択された選択肢に応じた点数が十分条件評価パラメータに基づいて記述される点数領域とを含む十分条件表雛形情報をデータベース部２０のセキュリティ対策機能評価指標ＤＢ２４に書き込む。

　さらに、初期設定部１２は、図５に示すように、セキュリティ対策機能の製品を特定する対策名が入力される対策名領域と、当該対策名により特定される製品のセキュリティ対策機能の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を対策機能評価パラメータに関連付けて列挙した選択領域及び選択領域で選択された選択肢に応じた点数が対策機能評価パラメータに基づいて記述される点数領域とを含む対策雛形情報をデータベース部２０のセキュリティ対策機能評価指標ＤＢ２４に書き込む。

　また、初期設定部１２は、図６及び図７に示すように、回復対策方針を示す回復機能要件情報が記述される回復対策方針領域と、当該回復対策方針領域内の回復機能要件情報を実現するための十分条件に関し、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報が入力される十分条件領域とを含む回復十分条件表雛形情報をデータベース部２０のセキュリティ対策機能評価指標ＤＢ２４に書き込む。なお、ログの種類は、対象、位置、ユーザ、時間及び保存先などがある。

　さらに、初期設定部１２は、図８に示すように、セキュリティ対策機能の製品を特定する対策名が入力される対策名領域と、当該対策名により特定される製品のセキュリティ対策機能に関し、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報を選択肢として示す選択領域とを含む回復対策雛形情報をデータベース部２０のセキュリティ対策機能評価指標ＤＢ２４に書き込む。なお、選択肢としての回復十分条件情報は、前述した回復十分条件表雛形情報に入力された回復十分条件情報が用いられる。ログの種類は、前述同様に、対象、位置、ユーザ、時間及び保存先などがある。

　（脅威発生モデル情報の作成処理：図９）
　セキュリティ対策機能評価装置１０においては、評価者による入力部１１の操作により、セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令を入力部１１が受け付けると、この選択命令に基づいて、脅威モデル作成部１４がデータベース部２０の保護対象資産ＤＢ２１からセキュリティ保護対象資産情報を選択し（ＳＴ１１）、当該セキュリティ保護対象資産情報を表示部１９に送出する。

　表示部１９は、このセキュリティ保護対象資産情報を表示する。セキュリティ保護対象資産には、情報処理機器の物理的本体、情報処理機器の機能、情報処理機器に保存されたデータ、の３種類がある。

　セキュリティ保護対象資産情報の表示中、脅威モデル作成部１４は、評価者の操作により、セキュリティ状態ＩＤを入力部１１が受け付けると、このセキュリティ状態ＩＤに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報をデータベース部２０の保護対象資産ＤＢ２１から抽出する（ＳＴ１２）。

　ここで、各セキュリティ状態の妥当性、独立性は、遷移元の状態から遷移先の状態に遷移するための、ユニークな特徴を持つ脅威が存在するという条件で確認している。

　脅威モデル作成部１４は、抽出したセキュリティ状態情報のセキュリティ状態ＩＤを表示部１９に送出する。表示部１９は、このセキュリティ状態ＩＤを表示する。

　脅威モデル作成部１４は、評価者の操作により、表示中のセキュリティ状態ＩＤ毎に、安全、危険又は被害発生のグループの指定を入力部１１が受け付けると、この指定に基づいて、各セキュリティ状態を、安全、危険又は被害発生、のいずれかのグループに分類する（ＳＴ１３）。各グループは、互いに独立しており、包含関係を持たない。

　ここで、「安全」のグループとは、図１０に示すように、正当な管理者の管理下に置かれた状態、正当な管理者の元で廃棄された状態、機能の実行が正当な管理者が意図する範囲で正常に実行されている状態、保護対象データが情報処理機器内に存在する状態、の少なくとも一つを含むグループである。

　「危険」のグループとは、正当な管理者の管理下にない状態、機能の実行が正当な管理者の意図した範囲を逸脱する可能性のある状態（例、コンピュータウィルスを保有した状態）、保護対象データが正当な管理者以外に閲覧された状態、保護対象データが通信経路上に存在する状態、保護対象データが情報処理機器以外の機器に存在する状態、保護対象データが外部記憶媒体に保存された状態、保護対象データが印刷された状態、の少なくとも一つを含むグループである。

　「被害発生」のグループとは、セキュリティ保護対象資産が、破壊（機能を実行できない状態）、盗難、紛失、コンピュータウィルスに感染した状態、正当な管理者が意図している範囲を逸脱した処理が行われた状態、正当な管理者の意図に関係なく他の情報処理機器及びそこに含まれる他者の資産に被害を与えた状態、の少なくとも一つを含むグループである。

　いずれにしても脅威モデル作成部１４は、分類したグループに応じた形式の外枠情報を、セキュリティ状態ＩＤに付加して表示部１９により表示する。なお、分類したグループに応じた形式としては、例えば、実線（安全）、一点鎖線（危険）、点線（被害発生）など、所望の形式が使用可能となっている。

　続いて、脅威モデル作成部１４は、評価者による入力部１１の操作により、表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、安全のグループに応じた形式の外枠情報から危険又は被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に遷移パス情報（第１遷移パス情報）を描画する（矢印を引く）。

　また同様に、脅威モデル作成部１４は、表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、危険のグループに応じた外枠情報から被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に遷移パス情報（第２遷移パス情報）を描画する（矢印を引く）（ＳＴ１４）。

　ステップＳＴ１４で描画する遷移パス情報は、「安全」から「危険」に至る方向、「危険」から「被害発生」に至る方向、「安全」から「被害発生」に至る方向、の３種類の方向の矢印のみとする。なお、この遷移パス情報の方向は３種類のみであるが、矢印の線種は任意の種類（例、実線、破線、一点鎖線、太線など）を使用可能となっている。

　脅威モデル作成部１４は、評価者による入力部１１の操作により、存在する可能性のある脅威を示す脅威情報を脅威評価指標ＤＢ２３内の文書データから抽出する（ＳＴ１５）。ここで、脅威とは、安全状態から離れる向きに、セキュリティ状態間の遷移を促す力、すなわち安全状態から離れる向きの、セキュリティ状態間の遷移の原因を意味している。脅威情報は、脅威を記述したテキストデータであり、脅威の実施者及び実行条件を未整理の状態で含んでいる。文書データは、経験則や実際に発生したセキュリティ問題や攻撃例などの文書を電子化したデータである。

　脅威モデル作成部１４は、評価者による入力部１１の操作により、表示中のいずれかの遷移パス情報と、脅威情報との指定の入力を受け付けると、この指定に基づいて、当該遷移パス情報と当該脅威情報とを関連付ける（ＳＴ１６）。しかる後、脅威モデル作成部１４は、脅威情報が関連付けられなかった遷移パス情報を削除する。

　これにより、脅威モデル作成部１４は、図１１、図１２又は図１３に示すように、互いに関連付けられた複数のセキュリティ状態情報、外枠情報、各遷移パス情報及び脅威情報からなる脅威発生モデル情報を作成する。脅威発生モデル情報は表示部１９により表示される。

　また、脅威モデル作成部１４は、この脅威発生モデル情報と、ステップＳＴ１２で抽出したセキュリティ状態情報とに基づき、遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報及び脅威情報を互いに関連付けた脅威分析途中データを作成し、この脅威分析途中データを表示部１９により表示する。但し、この段階では、脅威情報は未整理の状態にある。

　脅威分析途中データの表示中に、脅威モデル作成部１４は、評価者による入力部１１の操作により、当該脅威分析途中データ内の脅威情報における脅威の実施者及び実行条件の指定の入力を受け付けると、この指定に基づいて、図１４及び図１５に示すように、脅威情報から脅威の実施者（誰が(Who)）及び脅威が効力を持つための実行条件（どうやって(How)）の情報を抽出して整理する（ＳＴ１７）。

　これにより、脅威モデル作成部１４は、脅威分析途中データ内の遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報、及び抽出した脅威の実施者及び実行条件の情報を互いに関連付けた脅威分析結果データを作成する。

　また、情報処理機器の機能の場合には、脅威の実施者及び実行条件の情報に加え、ネットワーク条件を整理することにより、脅威モデル作成部１４は、脅威分析途中データから脅威分析結果データを作成する。ネットワーク条件は、送受信可能なネットワークの場合（ＯＮ：オン）か、又はネットワークの有無に無関係の場合（ａｎｙ：エニイ）かを表している。ここで、「ネットワークの有無」とは、「ネットワークに接続されているか否か」を意味している。また、「ネットワークの有無に無関係な場合」とは、「ネットワークとの接続に依存しない場合」、すなわち、「ネットワークに接続していてもしていなくても構わない場合」を意味している。ステップＳＴ１７における整理は、ネットワーク条件の指定内容又は指定値によらず、複数の脅威情報間で脅威の実施者と実行条件が同一であれば、当該複数の脅威情報を同一の脅威情報であるとみなすことを意味する。脅威分析結果の各遷移パスにおける脅威の実施者と実行条件との組合せは、互いに独立しており、包含関係を持たない。

　ステップＳＴ１７の整理が完了すると、脅威モデル作成部１４は、図１４及び図１５に示した如き、脅威分析結果データを脅威評価指標ＤＢ２３に保存する。

　また、脅威モデル作成部１４は、図１１、図１２及び図１３に示した如き、脅威発生モデル情報を脅威発生モデルＤＢ２２に保存する。

　（セキュリティ対策機能の評価処理）
　（準備：十分条件表情報の作成処理）
　セキュリティ対策機能評価装置１０においては、評価者による入力部１１の操作により、評価点数算出部１５が、図４に示した如き、対策方針領域、選択領域及び点数領域が未記入の十分条件表雛形情報をセキュリティ対策機能評価指標ＤＢ２４から読み出し、この十分条件表雛形情報を表示部１９に表示する。

　十分条件表雛形情報の表示中、評価点数算出部１５は、評価者による入力部１１の操作により、脅威分析結果データ内の脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報の入力を受け付けると、この対策方針情報を十分条件表雛形情報の対策方針領域に書き込む。

　また、評価点数算出部１５は、評価者による入力部１１の操作により、対策方針領域に書き込まれた対策方針情報の実行（例、動作タイミング、時間、…等の条件）及び実行のための機能名に関し、選択領域内のいずれかの選択肢（例、定期（動作タイミングの項目）、無関係（時間の項目）、…）が指定されると、当該指定された選択肢を当該選択領域内で選択する。なお、条件や機能名の各項目は、互いに独立しており、包含関係を持たない。また、評価点数算出部１５は、評価者による入力部１１の操作により、十分条件表の項目をも変更してもよい。

　選択肢が選択されると、評価点数算出部１５は、セキュリティ対策機能評価指標ＤＢ２４内の十分条件評価パラメータに基づいて、当該選択領域で選択された選択肢に対応する点数を点数領域に記述する。

　これにより、脅威に対抗してセキュリティ対策機能が満たすべき機能や条件とその点数とを関連付けたものとして、図１６、図１７及び図１８に示すように、対策方針情報が入力された対策方針領域、選択肢が選択された選択領域、及び点数が記述された点数領域を含む十分条件表情報が作成される。

　十分条件表情報は、脅威分析結果内の実行条件を抑止するための対策方針毎に、不特定のセキュリティ対策機能が満たすべき機能や条件の項目に関し、満たすべき十分条件を選択して点数化した表形式の情報である。

　評価点数算出部１５は、評価者による入力部１１の操作により、十分条件表情報をセキュリティ対策機能評価指標ＤＢ２４に保存する。

　続いて、以下の評価処理においては、各製品を特定したセキュリティ対策機能が、任意のセキュリティ対策機能に関する十分条件表情報を根拠として評価される。

　（評価処理：図１９）
　セキュリティ対策機能評価装置１０においては、評価者による入力部１１の操作により、対策雛形情報を指定した読出命令を入力部１１が受け付けると、この読出命令に基づいて、評価点数算出部１５がセキュリティ対策機能評価指標ＤＢ２４から対策雛形情報を読み出し、図５に示した如き、対策名、対象、各機能の選択結果及び点数を未記入状態とした対策雛形情報を表示部１９により表示する。

　対策雛形情報の表示中、評価点数算出部１５は、評価者による入力部１１の操作により、評価対象のセキュリティ対策機能を示す対策名の入力を受け付けると、この対策名を対策雛形情報内の対策名領域に書き込む（ＳＴ２１）。対象も同様にして対象領域に書き込まれる。

　また、評価点数算出部１５は、対策名領域に書き込まれた対策名の実行及び実行のための機能名に関し、評価者による入力部１１の操作により、対策雛形情報の選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する（ＳＴ２２）。この選択された選択肢は、セキュリティ対策機能の特徴を表している。

　評価点数算出部１５は、セキュリティ対策機能評価指標ＤＢ２４内の対策機能評価パラメータに基づいて、対策雛形情報の選択領域内で選択された選択肢に対応する点数を、当該対策雛形情報の点数領域に記述する。これにより、セキュリティ対策機能を示す対策名及び対象に対し、機能や条件の項目毎に、点数が付けられたものとして、図２０に示すように、対策名が入力された対策名領域、選択肢が選択された選択領域、及び点数が記述された点数領域を含む対策情報が作成される。評価点数算出部１５は、この対策情報をデータベース部２０内のセキュリティ対策機能評価指標ＤＢ２４に書き込む。

　また、評価点数算出部１５は、図２１に示すように、対策情報内及び十分条件表情報内の互いに同一の項目における点数領域に関し、当該対策情報内の点数から十分条件表情報内の点数を引いた差分を算出して計算表の差分欄に記入する。

　評価点数算出部１５は、この差分が０以上の値であれば評価結果を正の値の点数とし、差分が負の値であれば評価結果を０値の点数として、対策情報内及び十分条件表情報内の互いに同一の項目毎に、評価結果の点数を計算表の評価結果欄に記入する（ＳＴ２３）。この例では、差分が０以上の値における評価結果の正の値を“１”点としている。すなわち、この例では、対策方針の十分条件が必須であるのに、対策機能が十分条件を満たさない場合には評価結果を“０”点とし、他の場合には評価結果を“１”点とするような評価結果の算出方法を用いている。但し、評価結果の正の値は、“１”点に限らず、任意の重み付け値としてもよい。すなわち、評価点数算出部１５は、評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数としてもよい。

　さらに、評価点数算出部１５は、図２２に示すように、各対策方針情報の機能毎に評価結果の点数の平均値を算出して計算表の平均値欄に記入し、全ての平均値を積算して評価点数を算出し（ＳＴ２４）、この評価点数を計算表の評価点数欄に記入する。平均値の算出過程においては、評価結果の点数に重み付けをしてもよく、所望の評価結果の点数を平均値の算出式から除いてもいい。

　いずれにしても、評価点数算出部１５は、セキュリティ対策機能の評価点数を、対策方針情報毎に算出する。

　（シミュレーション演算）
　（準備１：遷移パラメータの設定）
　セキュリティ対策機能評価装置１０においては、評価者による入力部１１の操作により、遷移確率算出部１６が、情報処理機器にセキュリティ対策機能を施す前の場合に関し、脅威分析結果データに基づいて、同一の遷移元のセキュリティ状態情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する。

　例えば図１４及び図２４に示すように、同一の遷移元のセキュリティ状態情報“Ｐ１”の個数“１６”を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報“Ｐ７”の個数“８”を分子の値とし、当該分子の値“８”を当該分母の値“１６”で除算することにより、対策前遷移確率“０．５”を算出する。

　同様に、遷移確率算出部１６は、評価者による入力部１１の操作により、情報処理機器にセキュリティ対策機能を施した後の場合に関し、対策前遷移確率の算出に用いた分子の値から評価点数を減算して当該分子の値を修正し、この修正した分子の値を上記分母の値で除算することにより、対策後遷移確率を算出する。

　例えば図２３及び図２５に示すように、対策前遷移確率の算出に用いた分子の値“８”から評価点数“１”を減算して当該分子の値を修正し、この修正した分子の値“７”を上記分母の値“１６”で除算することにより、対策後遷移確率“０．４３７５”を算出する。

　ここで、このような遷移確率を算出する工程について詳しく述べる。　
　始めに、セキュリティ対策機能評価装置１０においては、評価者による入力部１１の操作により、遷移確率算出部１６が、脅威発生モデルＤＢ２２及びセキュリティ対策機能評価指標ＤＢ２４を参照しながら、遷移パラメータを設定する。

　遷移パラメータは、図２３に示すように、遷移元のセキュリティ状態ＩＤａ１、遷移先のセキュリティ状態ＩＤａ２、遷移を促す脅威（対策前）の数（＝“脅威の実施者及び実行条件の情報”の個数）に基づく遷移し易さの値ａ３、遷移を促す脅威（対策後）の数（＝“脅威の実施者及び実行条件の情報”の個数）に基づく遷移し易さの値ａ４、遷移を促す脅威（回復時）の数に基づく遷移し易さの値ａ５、評価点数の和ａ６及び回復の本数ａ７を含んでいる。

　遷移し易さの値ａ３としては、脅威発生モデルＤＢ２２内の脅威発生モデル情報に基づいて、遷移しない場合に「０」が設定され、無条件で遷移する場合には「１」を単位とした“脅威の実施者及び実行条件の情報”の個数が設定される。例えば、図２３中、遷移元のセキュリティ状態ＩＤ“Ｐ１”から遷移先のセキュリティ状態ＩＤ“Ｐ５”に遷移する場合、遷移し易さの値ａ３は、“２”である。これは、図１４等に示すように、２個の“脅威の実施者及び実行条件の情報”の分だけ遷移し易いことを示している。

　対策後の遷移し易さの値ａ４のうち、安全状態に留まる場合（遷移元の状態ａ１と遷移先の状態ａ２が共にＰ１の場合）の値（３．５）は、対策前のａ３の値（１）に対し、評価点数の和ａ６を合計した値（２．５＝１＋１．５）を足した値（３．５＝１＋２．５）である。すなわち、対策後の遷移し易さの値ａ４のうち、安全状態に留まる場合の値は、対策による脅威の抑制効果の分だけ安全状態に留まる確率が増えることを反映している。

　対策後の遷移し易さの値ａ４のうち、遷移する場合の値は、対策前の値ａ３に対し、評価点数の和ａ６を減算した値である。

　遷移し易さの値ａ５としては、回復モデルＤＢ２５内の回復モデル情報に基づいて、遷移しない場合に「０」が設定され、無条件で遷移する場合には「１」を単位とした情報の個数が設定される。

　評価点数の和ａ６は、各々の対策名における評価点数を対策方針毎に合計した値が設定される。例えば、別々の対策名をもつ２つの製品を同時に用いた場合、２つの対策名に関して対策方針毎に算出した２通りの評価点数を、それぞれ対策方針毎に加算した値（２つの製品間の対策方針毎の評価点数の合計値）が設定される。

　（準備２：遷移確率の計算）
　遷移パラメータの設定後、遷移確率算出部１６は、遷移パラメータに基づいて、遷移確率を計算する。

　図２４は図２３の対策前の遷移パラメータによる遷移確率の計算表を示す模式図である。遷移確率の計算表は、遷移元のセキュリティ状態ＩＤｂ１、遷移先のセキュリティ状態ＩＤｂ２、遷移の割合ｂ３、遷移確率の分子ｂ４、遷移確率の分母ｂ５、遷移確率ｂ６、遷移確率（累計値）ｂ７、パス通過回数ｂ８及びパス通過確率ｂ９を含んでいる。

　図２４では、現実には存在しないが、セキュリティ状態が安全である状態のみに遷移する状態を起点状態Ｐ０として仮定し、この起点状態Ｐ０をシミュレーションの初期状態として遷移元のセキュリティ状態ＩＤｂ１の一部に設定している。

　遷移確率ｂ６の値は、ある遷移元のセキュリティ状態ＩＤｂ１から１つ以上の異なる遷移先のセキュリティ状態ＩＤｂ２への遷移パス情報が存在するとき、それぞれの遷移先のセキュリティ状態ＩＤｂ２に移動する確率として、各セキュリティ状態ＩＤｂ１，ｂ２間の“脅威の実施者及び実行条件の情報”の個数に基づく遷移の割合ｂ３から算出される。

　具体的には、遷移の割合ｂ３は、図２３に示す如き、脅威（対策前）の数（＝“脅威の実施者及び実行条件の情報”の個数）に基づく遷移のし易さの値ａ３がコピーされている。値ａ３のコピーは遷移確率の分子ｂ４にも同様に行われている。

　遷移確率の分母ｂ５の値は、遷移元のセキュリティ状態ＩＤｂ１が同一の値である行における遷移確率の分子ｂ４の値を合計した合計値が入力されている。

　例えば、遷移元のセキュリティ状態ＩＤｂ１が「Ｐ０」の行は２行存在し、これらの遷移確率の分子ｂ４の値の合計値２が、それぞれの遷移確率の分母ｂ５の値として入力されている。

　遷移確率ｂ６の値には、遷移確率の分子ｂ４の値を、遷移確率の分母ｂ５の値で除算した除算結果が入力されている。

　まとめると、遷移確率ｂ６の値は、ある一組の遷移元と遷移先のセキュリティ状態ＩＤに関する“脅威の実施者及び実行条件の情報”の個数（一組分のｂ３の値）を、当該遷移元のセキュリティ状態ＩＤをもつ複数組の遷移元と遷移先のセキュリティ状態ＩＤに関する“脅威の実施者及び実行条件の情報”の個数（複数組分のｂ３の値）の合計値（ｂ４の値）で除算した値である。

　遷移確率（累計値）ｂ７には、遷移元のセキュリティ状態ＩＤｂ１が同一の値である行の遷移確率ｂ６を累計した結果が入力されている。

　図２５は図２３の対策後の遷移パラメータによる遷移確率の計算表を示す模式図であり、図２４に比べ、各値ｂ３’～ｂ９’が対策後の値となっている。

　例えば遷移確率ｂ６’は、ある遷移元のセキュリティ状態ＩＤｂ１から１つ以上の異なる遷移先のセキュリティ状態ＩＤｂ２への遷移パス情報が存在するとき、それぞれの遷移先のセキュリティ状態ＩＤｂ２に移動する確率として、各セキュリティ状態ＩＤｂ１，ｂ２間の“脅威の実施者及び実行条件の情報”の個数に基づく遷移の割合ｂ３とは異なり、各セキュリティ状態ＩＤｂ１，ｂ２間の“脅威の実施者及び実行条件の情報”の個数から対策機能の効果（評価点数）を減算した値に基づく遷移の割合ｂ３’から算出される。対策前の“脅威の実施者及び実行条件の情報”の個数を対策機能の効果が上回る場合には、遷移しない“０”という値の遷移の割合ｂ３’から算出される。

　具体的には、対策後の遷移の割合ｂ３’は、図２３に示す如き、脅威（対策後）の数（＝“脅威の実施者及び実行条件の情報”の個数）に基づく遷移のし易さの値ａ４がコピーされている。値ａ４のコピーは遷移確率の分子ｂ４’にも同様に行われている。

　遷移確率の分母ｂ５’、遷移確率ｂ６’及び遷移確率（累計値）ｂ７’は、前述した対策前の値ｂ５，ｂ６，ｂ７をそれぞれ対策後の値ｂ５’，ｂ６’，ｂ７’としたものである。

　いずれにしても、遷移確率は、遷移確率算出部１６により算出される。　
　しかる後、遷移確率算出部１６は、対策前遷移確率と対策後遷移確率とを表示部１９により表示する。

　また、遷移確率算出部１６は、図２４及び図２５に示す遷移確率の算出により、セキュリティ対策前の遷移確率ｂ６と、セキュリティ対策後の遷移確率ｂ６’とを遷移パス情報（ｂ１－ｂ２間）毎に比較し、対策前後の遷移確率の減少度合に応じて、セキュリティ対策機能の効果と有効性を判定することができる。

　さらに、遷移確率算出部１６は、遷移元のセキュリティ状態情報及び遷移先のセキュリティ状態情報の組のうちの互いに同一の組毎に比較するように、対策前遷移確率と対策後遷移確率とをレーダーチャート又は棒グラフ等の任意の視覚表現により表示部１９に表示することができる。

　（シミュレーション処理：図２６）
　セキュリティ対策機能評価装置１０においては、評価者による入力部１１の操作により、シミュレーション実行部１７が、例えば１０００回といったシミュレーション試行回数を記憶部１３に設定する（ＳＴ３１）。試行回数が多いほど、シミュレーションにより得られた遷移確率と、算出した遷移確率との誤差が少なくなる。

　シミュレーション実行部１７は、評価者による入力部１１の操作により、例えば４回といった遷移ステップ数の上限値を記憶部１３に設定する（ＳＴ３２）。遷移ステップ数の上限値は、起点状態Ｐ０からいずれかの最終到達状態に遷移するまでに用いる遷移パス情報の数の最大値（以下、最大遷移パス情報の数という）に一致させる。例えば、図１１に示す脅威発生モデル情報では、図示しない起点状態Ｐ０から状態Ｐ１，Ｐ２，Ｐ５を介して最終到達状態Ｐ６に遷移するまでに４つの遷移パス情報を用いる場合が最大であり、最大遷移パス情報の数が４となる。

　以後、シミュレーション実行部１７は、ステップＳＴ３３－ＳＴ４１までのシミュレーション処理を遷移ステップ数の上限値に到達するまで、繰り返し実行する。

　シミュレーション実行部１７は、０以上１以下の乱数を生成する（ＳＴ３３）。

　１度目の試行においては、シミュレーション実行部１７は、セキュリティ対策機能評価指標ＤＢ２４内の「対策前の遷移確率の計算表」を参照し、当該計算表における遷移元のセキュリティ状態が起点状態Ｐ０である場合の遷移確率（累計）の値と乱数とを比較し、遷移確率の値が乱数未満か否かを判定する（ＳＴ３４）。２度目以降の試行においては、シミュレーション実行部１７は、前述した「対策前の遷移確率の計算表」における遷移元のセキュリティ状態がシミュレーション実行後の遷移先の状態である場合の遷移確率の値を用いる。判定の結果、遷移確率（累計）の値が乱数以上の場合、シミュレーション実行部１７は、再度ステップＳＴ３４の処理に戻る。

　ステップＳＴ３４の判定の結果、遷移確率（累計）の値が乱数未満の場合、シミュレーション実行部１７は、その遷移先状態を、次の遷移先状態と定める（ＳＴ３５）。

　シミュレーション実行部１７は、遷移元状態の「パス通過回数」を一回カウントして（ＳＴ３６）、前述した計算表における当該遷移元状態のパス通過回数ｂ８の値を＋１だけ増加させる。

　以後、シミュレーション実行部１７は、ステップＳＴ３７－ＳＴ４１の処理をシミュレーション試行回数分だけ繰り返す。

　シミュレーション実行部１７は、０以上１以下の乱数を生成する（ＳＴ３７）。

　シミュレーション実行部１７は、前述した「対策前の遷移確率の計算表」における現在の遷移元状態の遷移確率（累計）の値と乱数を比較し、遷移確率の値が乱数未満か否かを判定する（ＳＴ３８）。判定の結果、遷移確率（累計）の値が乱数以上の場合、再度ステップＳＴ３８の処理に戻る。

　シミュレーション実行部１７は、ステップＳＴ３８の判定の結果、遷移確率（累計）の値が乱数未満の場合、その遷移先状態を、次の遷移先状態と定める（ＳＴ３９）。

　シミュレーション実行部１７は、遷移元状態の「パス通過回数」を一回カウントして（ＳＴ４０）、前述した計算表における当該遷移元状態のパス通過回数ｂ８の値を＋１だけ増加させる。

　シミュレーション実行部１７は、遷移元状態と遷移先状態とが同一の場合、遷移元状態の「自己遷移回数」を一回カウントする（ＳＴ４１）。

　シミュレーション実行部１７は、ステップＳＴ３６，ＳＴ４０，ＳＴ４１でカウントした回数の合計値がステップＳＴ３２で設定した遷移ステップ数の上限値に到達したか否かを判定し（ＳＴ４２）、当該合計値が遷移ステップ数の上限値に到達しない場合にはステップＳＴ３７に戻る。

　ステップＳＴ４２の判定の結果、上限値に到達した場合、シミュレーション実行部１７は、上限値に到達したときの状態（最終到達状態）に到達した回数（最終到達状態の最終到達回数）の値を＋１だけ更新し、各最終到達状態の最終到達回数の合計値がステップＳＴ３１で設定した試行回数を満たすか否かを判定し（ＳＴ４３）、試行回数を満たさない場合にはステップＳＴ３３に戻る。

　ステップＳＴ４３の判定の結果、試行回数を満たした場合、シミュレーション実行部１７は処理を終了する。

　図２７は対策前のシミュレーション結果の一例を示す模式図である。図示するように、セキュリティ状態ｃ１毎に、最終到達回数（その状態が最終到達点となった試行の数）ｃ２、最終到達確率ｃ３、状態ｃ１を通過した通過回数ｃ４、通過確率ｃ５、自己遷移回数ｃ６、自己遷移確率（計測値）ｃ７がシミュレーション結果として作成される。

　ここで、通過確率ｃ５及び自己遷移確率ｃ７は、それぞれ次式のように算出される。　
通過確率ｃ５＝通過回数ｃ４／（最終到達回数ｃ２の合計値）　
自己遷移確率ｃ７＝自己遷移回数ｃ６／（通過回数ｃ４＋自己遷移回数ｃ６－最終到達回数ｃ２）　
　また、最終到達回数ｃ２の合計値は、ステップＳＴ３１で設定される試行回数と同じ値である（最終到達回数ｃ２の合計値＝試行回数）。

　ステップＳＴ３１で設定される試行回数にステップＳＴ３２で設定される上限値を乗じた値は、通過回数ｃ４の合計値と自己遷移回数ｃ６の合計値とを合計した値である（試行回数×上限値＝通過回数ｃ４の合計値＋自己遷移回数ｃ６の合計値）。

　自己遷移確率（理論値）ｃ８は、比較用に図２４の遷移確率ｂ６がコピーされた値であり、自己遷移確率（計測値）ｃ７との誤差により、シミュレーション試行回数の妥当性を判断する目安に用いられる。

　図２８は対策後のシミュレーション結果の一例を示す模式図であり、図２７に示した各値に比べ、各値ｃ２’～ｃ８’が対策後の値となっている。

　例えば、自己遷移確率（理論値）ｃ８’は、比較用に図２５の遷移確率ｂ６’がコピーされた値であり、自己遷移確率（計測値）ｃ７’との誤差により、シミュレーション試行回数の妥当性を判断する目安に用いられる。

　シミュレーション実行部１７は、図２７又は図２８のような表形式に限らず、図２９のような視覚表現により、シミュレーション結果を表示部１９に表示することができる。このシミュレーション結果は、図２８における最終到達状態ｃ１、最終到達確率ｃ３’、自己遷移確率ｃ７’、及び遷移パスの遷移確率ｂ６’に基づいて、丸い枠線内の状態（ｃ１）と数値（ｃ３’）、丸い枠線の半径（ｃ３’）、丸い枠線の種類（ｃ７’）及び遷移パスの矢印線（ｃ７’）が描画されている。但し、シミュレーション結果は、図２９のような表示に限らず、レーダーチャート又は棒グラフなどの任意の視覚表現により表示してもよい。また、シミュレーション実行部１７は、セキュリティ対策機能の効果がある場合とない場合とに関し、シミュレーション結果を比較した値を用いて、図２９のような表示、レーダーチャート又は棒グラフなどの任意の視覚表現により表示部１９に表示してもよい。

　（回復モデル情報の作成処理：図３０）
　セキュリティ対策機能評価装置１０は、前述した脅威発生モデル情報の作成とそれに基づく遷移確率の計算に限らず、回復モデル情報の作成とそれに基づく遷移確率の計算をも実行することができる。

　セキュリティ対策機能評価装置１０においては、評価者による入力部１１の操作により、セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令を入力部１１が受け付けると、この選択命令に基づいて、回復モデル作成部１８がデータベース部２１の保護対象資産ＤＢ２１からセキュリティ保護対象資産情報を選択し（ＳＴ５１）、当該セキュリティ保護対象資産情報を表示部１９により表示する。

　このセキュリティ保護対象資産情報の表示中、回復モデル作成部１８は、評価者の操作により、セキュリティ状態ＩＤの入力を受け付けると、このセキュリティ状態ＩＤに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報を脅威発生モデルＤＢ２２内の脅威発生モデル情報から抽出する（ＳＴ５２）。

　回復モデル作成部１８は、抽出したセキュリティ状態情報のセキュリティ状態ＩＤを表示部１９により表示する。この時点では、外枠情報の無い状態でセキュリティ状態ＩＤが表示される。

　回復モデル作成部１８は、評価者の操作により、表示中のセキュリティ状態ＩＤ毎に、安全、危険又は被害発生のグループの指定の入力を入力部１１が受け付けると、この指定に基づいて、各セキュリティ状態を、安全、危険、被害発生、のいずれかのグループに分類する（ＳＴ５３）。

　回復モデル作成部１８は、分類した各グループに応じた形式の外枠情報を、表示中のセキュリティ状態ＩＤに付加して表示部１９により表示する。外枠情報は、前述同様に、実線（安全）、一点鎖線（危険）、点線（被害発生）等の任意の形式が使用可能となっている。

　続いて、回復モデル作成部１８は、評価者による入力部１１の操作により、表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、危険又は被害発生のグループに応じた形式の外枠情報からそれぞれ安全のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に遷移パス情報（第３遷移パス情報）を描画する（矢印を引く）（ＳＴ５４）。この遷移パス情報は、「危険」から「安全」へ、「被害発生」から「安全」へ、の２種類の方向の矢印のみとする。遷移パス情報は、回復機能に対応している。回復機能とは、安全状態となる向きに、セキュリティ状態間の遷移を促す効果を持つセキュリティ対策機能を意味している。なお、回復機能に対応する遷移パス情報の方向は２種類のみであるが、前述同様に、矢印の線種は任意の種類（例、実線、破線、一点鎖線、太線など）を使用可能となっている。

　遷移パス情報を描画した後、回復モデル作成部１８は、評価者による入力部１１の操作により、表示中の遷移パス情報毎に、“ＰＲ１；情報処理機器を取り戻す”といった回復対策方針を示す回復機能要件情報の入力を受け付けると、当該遷移パス情報と当該回復機能要件情報とを関連付ける（ＳＴ５５）。

　なお、回復機能要件情報は、遷移元のセキュリティ状態情報と、遷移先のセキュリティ状態情報とを比較した結果、遷移元のセキュリティ状態情報に対応するセキュリティ保護対象資産に不足しているとみなされた機能要件を示す。換言すると、回復機能要件情報は、安全状態となる方向に遷移を促す対策方針の実行に必要な機能要件であり、危険状態又は被害発生状態のセキュリティ保護対象資産に付加することにより、当該セキュリティ保護対象資産を安全状態に遷移可能とするような機能要件である。回復機能要件は、遷移元と遷移先のセキュリティ状態間において、遷移元のセキュリティ状態に不足しているとみなされた複数の回復機能要件が全く同じであれば、同一の回復機能要件であるとみなされるように整理される（ＳＴ５６）。この整理は、評価者の入力部１１の操作により、回復モデル作成部１８が実行する。

　いずれにしても、遷移パス情報と回復機能要件情報との関連付けにより、回復モデル作成部１８は、図３１、図３２又は図３３に示すように、互いに関連付けられた複数のセキュリティ状態情報、外枠情報、遷移パス情報及び回復機能要件情報からなる回復モデル情報を作成する。回復モデル情報は表示部１９により表示される。

　次に、回復モデル作成部１８は、評価者による入力部１１の操作により、図６に示した如き、回復十分条件表雛形情報をデータベース部２０のセキュリティ対策機能評価指標ＤＢ２４から読み出すと、回復モデル情報内の回復機能要件情報を回復十分条件表雛形情報の回復対策方針領域に入力する。

　また、回復モデル作成部１８は、評価者により入力部１１の操作により、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報の入力を受け付けると、この回復十分条件情報を、回復十分条件表雛形情報の十分条件領域に書き込む。

　また、回復モデル作成部１８は、評価者による入力部１１の操作により、図７に示した如き、回復（原因究明）十分条件表雛形情報をデータベース部２０のセキュリティ対策機能評価指標ＤＢ２４から読み出して表示部１９により表示する。

　回復モデル作成部１８は、評価者により入力部１１の操作により、原因究明のための対策方針情報の入力を受け付けると、この対策方針情報を回復（原因究明）対策方針領域に入力する。

　また、回復モデル作成部１８は、評価者による入力部１１の操作により、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復（原因究明）十分条件情報の入力を受け付けると、この回復（原因究明）十分条件情報を、回復（原因究明）十分条件表雛形情報の十分条件領域に書き込む。回復（原因究明）十分条件情報は、脅威の痕跡を示す情報である。回復（原因究明）十分条件情報は、複数の回復機能間において、脅威の痕跡を示す情報が全く同じであれば、同じ原因究明の条件であるとみなされ、整理される。子の整理は、前述同様に、評価者の入力部１１の操作により、回復モデル作成部１８が実行する。

　これにより、回復モデル作成部１８は、図３４及び図３５に示す如き、回復対策方針領域と、回復十分条件情報が書き込まれた十分条件領域とを含む回復十分条件表情報をデータベース部２０のセキュリティ対策機能評価指標ＤＢ２４に書き込む。

　また、回復モデル作成部１８は、回復モデル情報を回復モデルＤＢ２５に保存する。

　続いて、以下の評価処理においては、前述同様に、各製品を特定したセキュリティ対策機能が、任意のセキュリティ対策機能の回復十分条件表情報を根拠として評価される。

　（評価処理）
　セキュリティ対策機能評価装置１０においては、評価者による入力部１１の操作により、評価対象とするセキュリティ対策機能の指定を含むセキュリティ対策機能の選択命令を入力部１１が受け付けると、この選択命令に基づいて、評価点数算出部１５がセキュリティ対策機能評価指標ＤＢ２４から回復対策雛形情報を選択し、図８に示した如き、対策名、ログの種類の各項目（対象、位置、ユーザ、時間、保存先）、追跡機能の対象、バックアップの対象、その他の機能、を未記入状態とした回復対策雛形情報を表示部１９により表示する。

　回復対策雛形情報の表示中、評価点数算出部１５は、評価者による入力部１１の操作により、回復対策雛形情報に対する対策名の入力を受け付けると、この対策名を回復対策雛形情報の対策名領域に書き込む。

　また、評価点数算出部１５は、評価者による入力部１１の操作により、回復対策雛形情報内の各項目の選択肢としての回復十分条件情報の指定を受け付けると、この指定された回復十分条件情報を選択する。この選択肢は、セキュリティ対策機能評価指標ＤＢ２４内の回復十分条件表情報内の回復十分条件情報が使用される。

　これにより、評価点数算出部１５は、図３６に示すように、対策名が入力された対策名領域と、回復十分条件情報が選択された選択領域とを含む回復対策情報をデータベース部２０のセキュリティ対策機能評価指標ＤＢ２４に書き込む。

　評価点数算出部１５は、図３７及び図３８に示すように、回復対策情報内及び回復十分条件表情報内の互いに同一の項目に関し、当該回復十分条件表情報内の回復十分条件情報と当該回復対策情報内の回復十分条件情報とが一致すれば評価結果を正の値の点数とし、両者が不一致であれば評価結果を０値の点数として、回復十分条件表情報の回復対策方針領域内の各回復機能要件情報における当該同一の項目毎に、評価結果の点数を記入する。この例では、評価結果の正の値を“１”点としている。但し、評価結果の正の値は、“１”点に限らず、任意の重み付け値としてもよい。すなわち、評価点数算出部１５は、評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数としてもよい。

　また、評価点数算出部１５は、図３９に示すように、回復機能要件情報毎に、全ての評価結果の点数を積算して評価点数を算出して評価点数領域に記入する。なお、評価点数の算出過程においては、各評価結果の点数には重み付けをしてもよく、所望の評価結果の点数を評価点数の算出式から除いてもいい。

　いずれにしても、評価点数算出部１５は、回復機能及び原因究明条件の評価点数を、対策方針領域の回復機能要件情報毎に算出する。

　（シミュレーション演算）
　遷移確率算出部１６は、回復機能に関し、前述同様に対策前後の遷移確率を計算し、遷移確率に基づくシミュレーション演算を実行することができる。すなわち、遷移確率算出部１６は、情報処理機器にセキュリティ対策機能を施す前の場合に関し、回復モデル情報に基づいて、同一の遷移元のセキュリティ状態情報に関連する回復機能要件情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報に関連する回復機能要件情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出することができる。

　例えば図３１に示すように、同一の遷移元のセキュリティ状態情報“Ｐ６”に関連する回復機能要件情報“ＰＲ２”の個数“１”を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報“Ｐ１”に関連する回復機能要件情報“ＰＲ２”の個数“１”を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率“１”を算出することができる。

　同様に、遷移確率算出部１６は、情報処理機器にセキュリティ対策機能を施した後の場合に関し、この対策前遷移確率の算出に用いた分子の値に評価点数を乗算して当該分子の値を修正し、この修正した分子の値を上記回復機能要件情報の個数としての分母の値で除算することにより、対策後遷移確率を算出することができる。

　例えば図３１及び図３９に示すように、この対策前遷移確率の算出に用いた分子の値“１”に評価点数“０”を乗算して当該分子の値を修正し、この修正した分子の値“０”を上記回復機能要件情報の個数としての分母の値“１”で除算することにより、対策後遷移確率“０”を算出することができる。

　また、遷移確率算出部１６は、対策前遷移確率と対策後遷移確率とを表示部１９により表示する。ここで、遷移確率算出部１６は、遷移元のセキュリティ状態情報及び遷移先のセキュリティ状態情報の組のうちの互いに同一の組毎に比較するように、回復モデル情報及び評価点数に基づく対策前遷移確率と対策後遷移確率とをレーダーチャート又は棒グラフにより表示部１９に表示してもよい。

　また、シミュレーション実行部１７は、回復機能に関し、遷移確率の演算結果に基づいて、前述同様にシミュレーション演算を実行できると共に、図４０に示すように、シミュレーション結果を表示することができる。

　上述したように本実施形態によれば、セキュリティ対策機能の詳細を示す対策情報の各項目が十分条件表情報の各項目を満たすか否かを評価し、各項目の評価結果から評価点数を算出し、評価点数に基づいて遷移確率を算出する構成により、未熟な評価者でも評価対象のセキュリティ対策機能を項目毎に詳細に評価できることから、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価することができる。

　遷移パス情報毎に、対策前後の遷移確率を算出することにより、対策前後の遷移確率を比較でき、セキュリティ対策機能の効果を定量的に評価することができる。

　また、同様の効果をもつセキュリティ対策機能同士を比較することにより、より高い普遍性を有し、情報処理機器の使用目的により適しており、より優秀な方のセキュリティ対策機能を選択するための判断を支援することができる。

　さらに、将来にわたって、セキュリティ対策機能の進歩と、脅威の変化とに応じて、セキュリティ対策機能の評価を容易にやり直すことができると共に、過去のセキュリティ対策機能の評価結果との比較をも実現することができる。

　また、本実施形態は、情報処理機器に一つのセキュリティ対策機能を施す場合について説明したが、これに限らず、情報処理機器に複数のセキュリティ対策機能を施す場合であっても実施でき、同様の効果を得ることができる。補足すると、情報処理機器に複数のセキュリティ対策機能を施す場合、評価点数算出部１５は、当該各セキュリティ対策機能に関し、対策方針情報毎に算出された評価点数を当該対策方針毎に加算して最終的な評価点数を算出することにより、本実施形態を同様に実施して同様の効果を得ることができる。

　なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク（フロッピー（登録商標）ディスク、ハードディスクなど）、光ディスク（ＣＤ－ＲＯＭ、ＤＶＤなど）、光磁気ディスク（ＭＯ）、半導体メモリなどの記憶媒体に格納して頒布することもできる。

　また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。

　また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているＯＳ（オペレーティングシステム）や、データベース管理ソフト、ネットワークソフト等のＭＷ（ミドルウェア）等が上記実施形態を実現するための各処理の一部を実行しても良い。

　さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、ＬＡＮやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。

　また、記憶媒体は１つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。

　尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の１つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。

　また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。

　なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。

Claims (5)

1. 　記憶装置であるデータベース部（２０）を読出／書込可能であり、情報処理機器に実装されるセキュリティ対策機能を評価するためのセキュリティ対策機能評価装置（１０）に対し、前記セキュリティ対策機能評価装置に用いられ、コンピュータ読み取り可能な記憶媒体（Ｍ）に記憶されたセキュリティ対策機能評価プログラムであって、
   　情報処理機器の物理的本体、情報処理機器の機能、及び情報処理機器に保存されたデータ、を個別に示すセキュリティ保護対象資産情報と、前記各セキュリティ保護対象資産情報に個別に関連付けられたセキュリティ状態ＩＤ及び状態情報からなる複数のセキュリティ状態情報とを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第１プログラムコード（１２）、
   　セキュリティ状態が安全な状態から危険な状態又は被害発生状態に遷移する原因である脅威の実施者及び実行条件の情報を含む脅威情報を含んだ文書データを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第２プログラムコード（１２）、
   　任意の対策方針を実行する十分条件に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む十分条件評価パラメータと、任意のセキュリティ対策機能に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む対策機能評価パラメータとを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第３プログラムコード（１２）、
   　脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報が入力される対策方針領域と、当該対策方針情報の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を前記十分条件評価パラメータに関連付けて列挙した選択領域及び前記選択領域で選択された選択肢に応じた点数が前記十分条件評価パラメータに基づいて記述される点数領域とを含む十分条件表雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第４プログラムコード（１２）、
   　前記セキュリティ対策機能の製品を特定する対策名が入力される対策名領域と、当該対策名により特定される製品のセキュリティ対策機能の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を前記対策機能評価パラメータに関連付けて列挙した選択領域及び前記選択領域で選択された選択肢に応じた点数が前記対策機能評価パラメータに基づいて記述される点数領域とを含む対策雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第５プログラムコード（１２）、
   　セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令の入力を受け付けると、この選択命令に基づいて、前記データベース部内のセキュリティ保護対象資産情報を選択する処理を前記セキュリティ対策機能評価装置に実行させるための第６プログラムコード（１４）、
   　前記選択されたセキュリティ保護対象資産情報を表示する処理を前記セキュリティ対策機能評価装置に実行させるための第７プログラムコード（１４）、
   　前記セキュリティ保護対象資産情報の表示中、セキュリティ状態ＩＤの入力を受け付けると、このセキュリティ状態ＩＤに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報を前記データベース部から抽出する処理を前記セキュリティ対策機能評価装置に実行させるための第８プログラムコード（１４）、
   　抽出したセキュリティ状態情報のセキュリティ状態ＩＤを表示する処理を前記セキュリティ対策機能評価装置に実行させるための第９プログラムコード（１４）、
   　表示中のセキュリティ状態ＩＤ毎に、安全、危険又は被害発生のグループに関する指定の入力を受け付けると、この指定に基づいて、各セキュリティ状態ＩＤを、安全、危険又は被害発生のいずれかのグループに分類する処理を前記セキュリティ対策機能評価装置に実行させるための第１０プログラムコード（１４）、
   　分類したグループに応じた形式の外枠情報を、表示中のセキュリティ状態ＩＤに付加して表示する処理を前記セキュリティ対策機能評価装置に実行させるための第１１プログラムコード（１４）、
   　表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、前記安全のグループに応じた形式の外枠情報から前記危険又は被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に第１遷移パス情報を描画する処理を前記セキュリティ対策機能評価装置に実行させるための第１２プログラムコード（１４）、
   　表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、前記危険のグループに応じた外枠情報から前記被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に第２遷移パス情報を描画する処理を前記セキュリティ対策機能評価装置に実行させるための第１３プログラムコード（１４）、
   　表示中の第１又は第２遷移パス情報と、前記脅威情報との指定の入力を受け付けると、この指定に基づいて、当該第１又は第２遷移パス情報と当該脅威情報とを関連付ける処理を前記セキュリティ対策機能評価装置に実行させるための第１４プログラムコード（１４）、
   　前記脅威情報が関連付けられなかった第１又は第２遷移パス情報を削除することにより、互いに関連付けられた複数のセキュリティ状態情報、外枠情報、第１遷移パス情報、第２遷移パス情報及び脅威情報からなる脅威発生モデル情報を作成する処理を前記セキュリティ対策機能評価装置に実行させるための第１５プログラムコード（１４）、
   　前記脅威発生モデル情報に基づいて、遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報及び脅威情報を互いに関連付けた脅威分析途中データを作成して表示する処理を前記セキュリティ対策機能評価装置に実行させるための第１６プログラムコード（１４）、
   　前記脅威分析途中データの表示中に、当該脅威分析途中データ内の脅威情報における脅威の実施者及び実行条件の指定の入力を受け付けると、この指定に基づいて、当該脅威情報から脅威の実施者及び実行条件の情報を抽出する処理を前記セキュリティ対策機能評価装置に実行させるための第１７プログラムコード（１４）、
   　前記脅威分析途中データ内の遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報、及び前記抽出した脅威の実施者及び実行条件の情報を互いに関連付けた脅威分析結果データを作成する処理を前記セキュリティ対策機能評価装置に実行させるための第１８プログラムコード（１４）、
   　前記脅威分析結果データ内の脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報の入力を受け付けると、この対策方針情報を前記十分条件表雛形情報の対策方針領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第１９プログラムコード（１５）、
   　前記対策方針領域に書き込まれた対策方針情報の実行及び実行のための機能名に関し、前記選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する処理を前記セキュリティ対策機能評価装置に実行させるための第２０プログラムコード（１５）、
   　前記十分条件評価パラメータに基づいて、前記選択領域内で選択された選択肢に対応する点数を前記点数領域に記述する処理を前記セキュリティ対策機能評価装置に実行させるための第２１プログラムコード（１５）、
   　前記対策方針情報が入力された対策方針領域、前記選択肢が選択された選択領域、及び前記点数が記述された点数領域を含む十分条件表情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第２２プログラムコード（１５）、
   　前記対策名の入力を受け付けると、この対策名を前記対策雛形情報内の対策名領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第２３プログラムコード（１５）、
   　前記対策名領域に書き込まれた対策名の実行及び実行のための機能名に関し、前記対策雛形情報の選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する処理を前記セキュリティ対策機能評価装置に実行させるための第２４プログラムコード（１５）、
   　前記対策機能評価パラメータに基づいて、前記対策雛形情報の選択領域内で選択された選択肢に対応する点数を当該対策雛形情報の点数領域に記述する処理を前記セキュリティ対策機能評価装置に実行させるための第２５プログラムコード（１５）、
   　前記対策雛形情報に基づいて作成され、前記対策名が入力された対策名領域、前記選択肢が選択された選択領域、及び前記点数が記述された点数領域を含む対策情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第２６プログラムコード（１５）、
   　前記対策情報内及び前記十分条件表情報内の互いに同一の項目における点数領域に関し、当該対策情報の点数領域の点数から当該十分条件表情報の点数領域の点数を引いた差分を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第２７プログラムコード（１５）、
   　前記差分が０以上の値であれば評価結果を正の値の点数とし、差分が負の値であれば評価結果を０値の点数として、前記対策情報内及び前記十分条件表情報内の互いに同一の項目毎に、評価結果の点数を記入する評価結果点数記入処理を前記セキュリティ対策機能評価装置に実行させるための第２８プログラムコード（１５）、
   　前記各対策方針情報の機能毎に、評価結果の点数の平均値を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第２９プログラムコード（１５）、
   　前記対策方針情報毎に、全ての平均値を積算して評価点数を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第３０プログラムコード（１５）、
   　前記情報処理機器にセキュリティ対策機能を施す前の場合に関し、前記脅威分析結果データに基づいて、同一の遷移元のセキュリティ状態情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第３１プログラムコード（１６）、
   　前記情報処理機器にセキュリティ対策機能を施した後の場合に関し、前記対策前遷移確率の算出に用いた分子の値から前記評価点数を減算して当該分子の値を修正し、この修正した分子の値を前記分母の値で除算することにより、対策後遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第３２プログラムコード（１６）、
   　前記対策前遷移確率と前記対策後遷移確率とを表示する処理を前記セキュリティ対策機能評価装置に実行させるための第３３プログラムコード（１６）、
   　を備えたことを特徴とするセキュリティ対策機能評価プログラム。
2. 　請求項１に記載のセキュリティ対策機能評価プログラムにおいて、
   　回復対策方針を示す回復機能要件情報が記述される回復対策方針領域と、当該回復対策方針領域内の回復機能要件情報を実現するための十分条件に関し、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報が入力される十分条件領域とを含む回復十分条件表雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第３４プログラムコード（１２）、
   　セキュリティ対策機能の製品を特定する対策名が入力される対策名領域と、当該対策名により特定される製品のセキュリティ対策機能に関し、前記ログの種類、追跡機能の対象、及びバックアップ、の項目毎の前記回復十分条件情報を選択肢として示す選択領域とを含む回復対策雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第３５プログラムコード（１２）、
   　セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令の入力を受け付けると、この選択命令に基づいて、前記データベース部からセキュリティ保護対象資産情報を選択して表示し、このセキュリティ保護対象資産情報の表示中、セキュリティ状態ＩＤの入力を受け付けると、このセキュリティ状態ＩＤに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報を前記脅威発生モデル情報から抽出する処理を前記セキュリティ対策機能評価装置に実行させるための第３６プログラムコード（１８）、
   　前記脅威発生モデル情報から抽出したセキュリティ状態情報のセキュリティ状態ＩＤを表示し、当該セキュリティ状態ＩＤ毎に、安全、危険又は被害発生のグループの指定の入力を受け付けると、この指定に基づいて、各セキュリティ状態ＩＤを、安全、危険又は被害発生のいずれかのグループに分類し、当該各グループに応じた形式の外枠情報を、表示中のセキュリティ状態ＩＤに付加して表示する処理を前記セキュリティ対策機能評価装置に実行させるための第３７プログラムコード（１８）、
   　当該表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、前記危険又は被害発生のグループに応じた形式の外枠情報からそれぞれ前記安全のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に第３遷移パス情報を描画する処理を前記セキュリティ対策機能評価装置に実行させるための第３８プログラムコード（１８）、
   　前記第３遷移パス情報毎に、回復機能要件情報の入力を受け付けると、当該第３遷移パス情報と、当該回復機能要件情報とを関連付ける処理を前記セキュリティ対策機能評価装置に実行させるための第３９プログラムコード（１８）、
   　互いに関連付けられた複数のセキュリティ状態情報、外枠情報、第３遷移パス情報及び回復機能要件情報からなる回復モデル情報を作成する処理を前記セキュリティ対策機能評価装置に実行させるための第４０プログラムコード（１８）、
   　前記ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報の入力を受け付けると、この回復十分条件情報を前記回復十分条件表雛形情報の十分条件領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第４１プログラムコード（１５）、
   　前記回復対策方針領域と、前記回復十分条件情報が書き込まれた十分条件領域とを含む回復十分条件表情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第４２プログラムコード（１５）、
   　前記回復対策雛形情報に対する対策名の入力を受け付けると、この対策名を前記回復対策雛形情報内の対策名領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第４３プログラムコード（１５）、
   　前記回復対策雛形情報内の選択肢としての回復十分条件情報の指定を受け付けると、この指定された回復十分条件情報を選択する処理を前記セキュリティ対策機能評価装置に実行させるための第４４プログラムコード（１５）、
   　前記回復対策雛形情報に基づいて作成され、前記対策名が入力された対策名領域と、前記回復十分条件情報が選択された選択領域とを含む回復対策情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第４５プログラムコード（１５）、
   　前記回復対策情報内及び前記回復十分条件表情報内の互いに同一の項目に関し、当該回復十分条件表情報内の回復十分条件情報と当該回復対策情報内の回復十分条件情報とが一致すれば評価結果を正の値の点数とし、両者が不一致であれば評価結果を０値の点数として、前記回復十分条件表情報の回復対策方針領域内の各回復機能要件情報における当該同一の項目毎に、評価結果の点数を記入する回復評価点数記入処理を前記セキュリティ対策機能評価装置に実行させるための第４６プログラムコード（１５）、
   　当該回復機能要件毎に、全ての評価結果の点数を積算して評価点数を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第４７プログラムコード（１５）、
   　前記情報処理機器にセキュリティ対策機能を施す前の場合に関し、前記回復モデル情報に基づいて、同一の遷移元のセキュリティ状態情報に関連する回復機能要件情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報に関連する回復機能要件情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第４８プログラムコード（１６）、
   　前記情報処理機器にセキュリティ対策機能を施した後の場合に関し、この対策前遷移確率の算出に用いた分子の値に前記回復評価点数記入処理による評価点数を乗算して当該分子の値を修正し、この修正した分子の値を前記回復機能要件情報の個数としての分母の値で除算することにより、対策後遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第４９プログラムコード（１６）、
   　前記回復モデル情報に基づく前記対策前遷移確率と前記対策後遷移確率とを表示する処理を前記セキュリティ対策機能評価装置に実行させるための第５０プログラムコード（１６）、
   　を更に備えたことを特徴とするセキュリティ対策機能評価プログラム。
3. 　請求項１に記載のセキュリティ対策機能評価プログラムにおいて、
   　前記評価結果点数記入処理は、前記評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数とする処理、
   　を含むことを特徴とするセキュリティ対策機能評価プログラム。
4. 　請求項１に記載のセキュリティ対策機能評価プログラムにおいて、
   　前記情報処理機器に複数のセキュリティ対策機能を施す場合、当該各セキュリティ対策機能に関し、前記対策方針情報毎に算出された評価点数を当該対策方針情報毎に加算して最終的な評価点数を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第３４プログラムコード（１５）、
   　を更に備えたことを特徴とするセキュリティ対策機能評価プログラム。
5. 　請求項２に記載のセキュリティ対策機能評価プログラムにおいて、
   　前記回復評価点数記入処理は、前記評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数とする処理、
   　を含むことを特徴とするセキュリティ対策機能評価プログラム。

Images