WO2015025694A1

WO2015025694A1 - セキュリティ上の脅威を評価する評価装置及びその方法

Info

Publication number: WO2015025694A1
Application number: PCT/JP2014/070298
Authority: WO
Inventors: 伸義森田; 信萱島; 英里子安藤
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2013-08-21
Filing date: 2014-08-01
Publication date: 2015-02-26
Also published as: JP2015041167A; JP6047463B2

Abstract

　分析者の熟練度に依存せずに、脅威リスク値を算出できる脅威リスク評価支援装置及び方法を提供する。　モデル定義支援部は、選択されたリスク評価手法に応じた入力支援を行うとともに、設計書から得られる外部接続機器数、経路情報、サブシステム間の認証回数、保護資産の機密性影響度、サブシステムに設定されたＡＳＩＬをリスク評価依存情報記憶部のサブシステム詳細情報、外部接続機器情報、内部接続機器情報、保護資産情報に格納する。脅威抽出部と脅威リスク値計算部は、本脅威リスク評価支援装置が予め保持するリスク評価非依存情報記憶部と前記リスク評価依存情報記憶部に格納された情報をもとに、選択されたリスク評価手法を用いて脅威抽出及び脅威リスク値の算出を行う。

Description

セキュリティ上の脅威を評価する評価装置及びその方法

　本発明は、車載ネットワークシステムの設計者が、評価対象モデルの定義時に、ツールの入力指示に従ってリスク評価に必要となるデータを、設計書のような客観的に入力可能な情報をもとに定義することにより、分析者の熟練度に依存せずに自動的に脅威のリスク値を算出する装置及び方法に関する。

　情報システムの分野と同様に、自動車の車載ネットワーク、及び車載ネットワークに接続される電子制御装置の設計において、適切なセキュリティ機能が正しく実装されていることを確認できることが求められている。

　例えば、情報システムの分野では、セキュリティ製品（ハード/ソフトウェア）およびシステムの開発や製造、運用などに関する国際標準であるＩＳＯ／ＩＥＣ１５４０８が、セキュリティ実装の保証レベルを向上させるために活用されている。ＩＳＯ／ＩＥＣ１５４０８では、セキュリティ上の脅威に対する分析である脅威分析に基づいたセキュリティ要求仕様を策定し、定められたフォーマットでセキュリティ要求仕様書（ＳＴ：ＳｅｃｕｒｉｔｙＴａｒｇｅｔ）を作成することが求められる。ＳＴでは、システム或いは装置に想定されるセキュリティ上の脅威であるセキュリティ脅威を抽出し、当該脅威に対して技術的あるいは運用的な対策が行われていることを示す必要がある。このような脅威分析では、過不足なくセキュリティ機能を実装することが重要である。このため、抽出されたセキュリティ上の脅威に対してリスク評価を行い、リスクの高い脅威に対して対策を行うことが求められる。

　例えば、脅威のリスクを評価する装置として、特開２００９－２３０２７８号公報には、予め、ツール開発者が脅威に対して被害の大きさ（機密性、完全性、可用性）を数値化する。そして、脅威リスク評価時に、分析者が脅威の発生確率を数値化し、ツールが抽出した脅威における、「被害の大きさ」と「発生確率」の積を、その脅威の脅威リスク値として算出する技術が開示されている。

特開２００９－２３０２７８号公報

　特許文献１に記載されている技術は、実際に運用しているシステム或いは装置のように、発生確率が事前に分かっている場合において、各脅威に対するリスクを求めることができる。しかし、設計時においては、システム或いは装置における脅威の発生確率は分からない。このため、システム或いは装置における脅威の発生確率を数値化するためには、セキュリティに関する知識や経験が必要であり、リスク分析者に高い熟練度が要求されてしまう。

　本発明は、以上の問題に鑑みなされたものであり、分析者がリスクの高い脅威を分析者の熟練度に依存せずに判定できることを目的とする。

　上記目的を達成するために、本発明の一つの観点から、評価対象となるシステムに対するセキュリティ上の脅威を評価する評価装置が提供される。当該評価装置は、システムにおける複数の設計項目に関する設計情報が入力される入力部と、セキュリティ上の脅威に関する複数の評価項目と入力部より入力された複数の設計項目に関する情報とを対応付けて格納する格納部と、複数の設計項目に関する情報に基づいて、システムにおけるセキュリティ上の脅威を抽出し、複数の設計項目に関する情報に対応付けられた評価項目に基づいて、抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、抽出されたシステムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる制御部と、を有する。

　より好ましくは、入力部に入力されるシステムにおける複数の設計項目に関する情報は、システムにおける評価対象とするサブシステムに関する情報であり、サブシステムに関する情報は、サブシステムの外部接続機器情報、サブシステムの外部接続機器の数を示す外部接続機器数情報、サブシステムと外部接続機器との間の経路種別情報、サブシステムと外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、である。　

　本発明の別の観点によれば、評価対象となるシステムに対するセキュリティ上の脅威を評価する装置における評価方法が提供される。当該評価方法における装置は、システムにおける複数の設計項目に関する設計情報を受け付け、セキュリティ上の脅威に関する複数の評価項目と受け付けた複数の設計項目に関する情報とを対応付け、複数の設計項目に関する情報に基づいて、システムにおけるセキュリティ上の脅威を抽出し、複数の設計項目に関する情報に対応付けられた評価項目に基づいて、抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、抽出されたシステムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる。

　より好ましくは、装置が受け付けるシステムにおける複数の設計項目に関する情報は、システムにおける評価対象とするサブシステムに関する情報であり、サブシステムに関する情報は、サブシステムの外部接続機器情報、サブシステムの外部接続機器の数を示す外部接続機器数情報、サブシステムと外部接続機器との間の経路種別情報、サブシステムと外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、である。

　本発明によれば、設計書から得られる情報を入力に用いて脅威の抽出、及び、当該脅威のリスク値の算出を行うことができ、分析者に各脅威のリスク値を提示することが可能になる。これにより、分析者のセキュリティに関する知識や経験に依存せずに、脅威リスクを評価できる。

脅威リスク評価支援装置の構成を示す図リスク評価非依存情報におけるサブシステム区分情報のテーブル構成を示す図リスク評価非依存情報におけるライフサイクル区分情報のテーブル構成を示す図リスク評価非依存情報におけるＡＳＩＬ区分情報のテーブル構成を示す図リスク評価非依存情報における関与者区分情報のテーブル構成を示す図リスク評価非依存情報における関与者・ライフサイクル・動機対応情報のテーブル構成を示す図リスク評価非依存情報における資産種別・脅威対応情報のテーブル構成を示す図リスク評価非依存情報における脅威一覧情報のテーブル構成を示す図リスク評価非依存情報における脅威リスク値情報のテーブル構成を示す図リスク評価依存情報における経路区分情報のテーブル構成を示す図リスク評価依存情報における機密性への影響度情報のテーブル構成を示す図リスク評価依存情報におけるサブシステム詳細情報のテーブル構成を示す図リスク評価依存情報における外部接続機器情報のテーブル構成を示す図リスク評価依存情報における関与者詳細情報のテーブル構成を示す図リスク評価依存情報における内部接続機器情報のテーブル構成を示す図リスク評価依存情報における保護資産情報のテーブル構成を示す図リスク値算出手法一覧情報のテーブル構成を示す図リスク評価判定情報におけるＣＶＳＳ判定情報のテーブル構成を示す図脅威リスク評価における全体処理シーケンスを示す図モデル定義時における処理シーケンスを示す図サブシステムの詳細情報登録時における処理シーケンスを示す図脅威事象抽出時における処理シーケンスを示す図リスク値算出時における処理シーケンスを示す図ＣＩＡ算出じにおける処理シーケンスを示す図モデル定義時におけるリスク評価手法の選択の画面例を示す図サブシステムの選択追加の画面例を示す図編集するサブシステムの選択の画面例を示す図モデル定義時における外部接続機器数の入力の画面例を示す図モデル定義時における外部接続機器の詳細情報入力の画面例を示す図モデル定義時における関与者の詳細情報入力の画面例を示す図モデル定義時における内部接続機器数の入力の画面例を示す図モデル定義時における内部接続機器の詳細情報入力の画面例を示す図モデル定義じにおける保護資産数の入力の画面例を示す図モデル定義じにおける保護資産の詳細情報の入力の画面例を示す図モデル定義時におけるサブシステムのＡＳＩＬ情報の入力の画面例を示す図モデル定義時における定義済みサブシステム表示の画面例を示す図モデル定義時におけるリスク評価実行可能状態の表示の画面例を示す図脅威リスク評価結果の画面例を示す図

　以下、図面を用いて本発明の実施の形態を詳細に説明する。

　本実施形態では、本脅威リスク評価支援装置により、設計書或いは周知の情報をもとに共通脆弱性評価システム（ＣＶＳＳ：Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｓｃｏｒｉｎｇ　Ｓｙｓｔｅｍ）を用いたリスク値算出に必要となるデータを入力させ、予め保持するデータと、ＣＶＳＳを用いたリスク値算出に必要なデータとを関連付けて管理することにより、評価対象における脅威の抽出、及び当該脅威のリスク値を自動的に算出可能な脅威リスク評価支援装置及び方法の例を用いる。ただし、本発明の技術的思想は、この例に限定されるものではない。

　図１は本発明の実施形態における脅威リスク評価支援装置９９の構成を示す。脅威リスク評価支援装置９９は、脅威リスク評価支援装置９９が入力装置１及び出力装置２と入出力制御部３を介して接続され、入出力制御部３、ＣＰＵ４、メモリ５、ディスク６がバス７を介して互いに接続されている。入力装置１は、例えばキーボードやマウスやスキャナなどであり、脅威リスク評価支援装置の利用者からの入力を受け付ける。出力装置２は、例えばディスプレイであり、脅威リスク評価支援装置による、途中経過および評価結果を出力する。

　入出力制御部３は、脅威リスク評価支援装置における入出力を制御する。ＣＰＵ４は、装置内の各ハードウェアを制御しプログラムを実行する。メモリ５では、評価対象のモデル定義を支援するモデル定義支援部５１、評価対象における脅威を抽出する脅威抽出部５２、抽出した脅威におけるリスク値を算出する脅威リスク値算出部５３、脅威リスク値をもとに優先度を決定する対策優先度判定部５４、出力装置に出力する脅威リスク評価結果を作成する脅威リスク評価作成部５５、前記入力装置１から入力される要求に応じて出力する脅威リスク評価結果の一覧を並べ替える脅威リスク一覧並べ替え部５６が、プログラムとして動作することを想定する。

　ディスク６は、例えばハードディスクドライブなどの不揮発性記憶装置であり、リスク評価手法に依存しないリスク評価非依存情報記憶部６１、リスク評価手法に依存するリスク評価依存情報記憶部６２、リスク評価手法における判定情報としてリスク評価判定情報記憶部６３を備える。

　リスク評価非依存情報記憶部６１では、車載システムにおけるサブシステムの区分を示すサブシステム区分情報６１１、自動車のライフサイクルの区分を示すライフサイクル区分情報６１２、自動車の装置やシステムにおける機能安全の基準であるＡＳＩＬ（Ａｕｔｏｍｏｔｉｖｅ　Ｓａｆｅｔｙ　Ｉｎｔｅｇｒｉｔｙ　Ｌｅｖｅｌ）の区分を示すＡＳＩＬ区分情報６１３、自動車における関与者の区分を示す関与者区分情報６１４、関与者と、ライフサイクルと、動機とを関連付けた関与者・ライフサイクル・動機対応情報６１５、資産の種類と対応する脅威を関連付けた資産種別・脅威対応情報６１６、脅威事象を導くために、脅威の種類と、脅威内容と、影響範囲と、起こりえるライフサイクルを関連付けた脅威一覧情報６１７、脅威と当該脅威のリスク値を保持する脅威リスク値情報６１８を保持する。

　前記リスク評価依存情報記憶部６２では、リスク値算出手法の要件に合わせた入力用テーブルを保持する。例えば、ＣＶＳＳを用いる場合では、攻撃対象に対する攻撃経路の区分を示す経路区分情報６２１１、評価対象における機密性への影響度を示す機密性への影響度情報６２１２、評価対象におけるサブシステムの詳細情報を示すサブシステム詳細情報６２１３、評価対象と繋がる外部接続機器を示す外部接続機器情報６２１４、外部接続機器を利用する関与者を示す関与者詳細情報６２１５、攻撃対象と通信する内部接続機器を示す内部接続機器情報６２１６、攻撃対象における保護資産を示す保護資産情報６２１７を保持する。

　前記リスク評価判定情報記憶部６３では、リスク値算出手法の一覧としてリスク値算出手法一覧情報６３１、リスク評価手法を用いたリスク値算出に用いる判定情報として例えばＣＶＳＳ判定情報６３１を保持する。

　図２に、リスク評価非依存情報記憶部６１に保持されているサブシステム区分情報６１１、図３にライフサイクル区分情報６１２、図４にＡＳＩＬ区分情報６２３のテーブル構成の一例を示す。

　モデル定義支援部５１は、評価対象におけるサブシステムを選択する際、サブシステム区分情報６１１を参照して選択項目としてサブシステム名６１１２を出力装置２に表示するとともに、入力装置１を用いて追加されたサブシステムをサブシステム区分情報６１１に追加する。Ｓ－ＩＤ６１１１は、サブシステムを識別するための固有値である。サブシステム名６１１２は、サブシステムの名称である。有効判定６１１３は、Ｓ－ＩＤ６１１１のサブシステムがモデルに含まれるかどうかを示す。例えば、Ｓ－ＩＤ６１１１のサブシステムがモデルに含まれる場合は、「○」とし、Ｓ－ＩＤ６１１１のサブシステムがモデルに含まれない場合は、「×」としてもよい。車載システムとサブシステムとしては、ＧＷ（ＧａｔｅＷａｙ）、情報系サブシステム、エンジン駆動系サブシステム、ボディ系サブシステム、シャーシ系サブシステムなどがある。

　モデル定義支援部５１は、保護資産情報６２１７における保護期間６２１７６の選択の際、ライフサイクル区分情報６１２を保護期間の選択項目として参照する。Ｌ－ＩＤ６１２１は、ライフサイクルを識別するための固有値である。ライフサイクル名６１２２は、自動車におけるライフサイクルの名称である。

　モデル定義支援部５１は、サブシステムにおけるＡＳＩＬ値を入力する際、ＡＳＩＬ区分情報６１３を参照して選択項目として出力装置２に表示する。ＡＳＩＬ－ＩＤ６１３１は、ＡＳＩＬの区分を識別するための固有値である。ＡＳＩＬ値６１３２は、自動車におけるＡＳＩＬ値の区分である。

　図５に、リスク評価非依存情報記憶部６１に保持されている、関与者区分情報６１４、図６に関与者・ライフサイクル・動機対応情報６１５のテーブル構成の一例を示す。

　モデル定義支援部５１は、関与者詳細情報６２１５における関与者区分を選択する際、関与者区分情報６１５を参照して選択項目として出力装置２に表示するとともに、入力装置１を用いて選択された関与者を関与者区分６２１５２に登録する。Ｗ－ＩＤ６１４１は、関与者を識別するための固有値である。

　モデル定義支援部５１は、関与者詳細情報を入力する際、関与者とそれに対応する攻撃タイミングの選択項目としてライフサイクル種別６１５２を参照して出力装置２に表示し、脅威抽出部５２は、脅威を抽出する際、関与者に対応する動機を動機６１５３から抽出する。関与者種別６１５１は、関与者を識別する固有値であり、関与者区分情報６１４におけるＷ－ＩＤ６１４１を参照することで、関与者名を特定できる。ライフサイクル種別６１５２は、関与者種別６１５１が示す関与者に関連するライフサイクルである。動機６１５３は、関与者種別６１５１が示す関与者が関連する動機である。

　図７に、リスク評価非依存情報記憶部６１に保持されている資産種別・脅威対応情報６１６、図８に脅威一覧情報６１７、図９に脅威リスク値情報６１８のテーブル構成の一例を示す。

　脅威抽出部５２は、資産種別・脅威対応情報６１６を参照し、保護資産の種別に応じて、対応する脅威を抽出する。資産種別６１６１は、保護資産の資産種別である。脅威６１６２は、資産種別６１６１に対して発生しうる脅威である。なお、本テーブルは一例であり、資産種別や脅威の項目についてはこの限りではない。

　脅威抽出部５２は、資産種別・脅威対応情報６１６における脅威６１６２を選択し、その脅威に対応する影響範囲、影響内容を抽出する。脅威６１７１は、脅威の一覧である。影響範囲６１７２は、脅威６１７１の影響が自信のみか、通信先にも影響するかを示すものである。影響内容６１７３は、脅威６１７１が発生した場合の影響内容である。ライフサイクル６１７４は、脅威６１７１が発生するタイミングである。

　対策優先度判定部５４は、脅威リスク値情報６１８を参照して対策優先度の高い脅威を抽出する。Ｔ－ＩＤ６１８１は、脅威事象を識別するための固有値である。脅威事象６１８２は、脅威抽出部５２が抽出した脅威事象である。リスク値６１８３は、脅威事象６１８２に対する脅威リスク値である。Ｓ－ＩＤ６１８４は、脅威事象６１８２において攻撃対象となるサブシステムのＳ－ＩＤであり、サブシステム区分情報６１１を参照することで、サブシステム名を特定できる。Ｅ－ＩＤ６１８５は、脅威事象６１８２において攻撃元である外部接続機器のＥ－ＩＤであり、外部接続機器情報６２１４を参照することで外部接続機器名を特定できる。Ｐ－ＩＤ６１８６は、脅威事象６１８２において守るべき保護資産のＰ－ＩＤであり、保護資産情報６２１７を参照することで保護資産名を特定できる。脅威種別６１８７は、脅威事象６１８２における脅威の脅威種別である。

　図１０に、リスク評価依存情報記憶部６２に保持されている経路区分情報６２１１、図１１に機密性への影響度情報６２１２、図１２にサブシステム詳細情報６２１３、図１３に外部接続機器情報６２１４のテーブル構成の一例を示す。

　モデル定義支援部５１は、外部接続機器の経路区分を登録させる際、経路区分情報６２１１を参照して選択項目として出力装置２に表示する。Ｒ－ＩＤ６２１１１は、経路区分を識別するための固有値である。経路６２１１２は、経路として、ローカル、隣接、ネットワークを示すものである。例えば、自動車の車載ネットワークに直接接する場合をローカルとし、近距離通信を用いて接続する場合を隣接とし、インターネットや携帯通信網のように遠距離からの通信を用いて接続する場合をネットワークとして区別する。なお、経路の区別については一例であり、これに限定するものではない。

　モデル定義支援部５１は、保護資産情報の機密性への影響度を登録させる際、機密性への影響度情報６２１２を参照して選択項目として出力装置２に表示する。Ｃ－ＩＤ６２１２１は、機密性への影響度を識別するための固有値である。影響度６２１２２は、保護資産が与える機密性への影響度の区分である。例えば、資産価値に応じて、対象外、部分的、全面的と分類してもよい。

　モデル定義支援部５１は、評価対象となる自動車のサブシステムに関する詳細情報をサブシステム詳細情報６２１３に格納する。また、脅威リスク値計算部５３は、リスク値算出時において、サブシステム詳細情報６２１３に格納された外部接続数６２１３２、ＡＳＩＬ値６２１３５を利用する。なお、外部接続数６２１３２、ＡＳＩＬ値６２１３５を利用したリスク値算出方法については後述する。Ｓ－ＩＤ６２１３１は、サブシステムを識別するための固有値であり、サブシステム区分情報６１１を参照することで、サブシステム名を特定できる。外部接続数６２１３２は、Ｓ－ＩＤ６２１３１が示すサブシステムに対して接続可能な外部接続機器の数である。内部接続数６２１３３は、Ｓ－ＩＤ６２１３１が示すサブシステムと通信が発生する内部接続機器の数である。保護資産数６２１３４は、Ｓ－ＩＤ６２１３１が示すサブシステムにおける保護資産の数である。ＡＳＩＬ値６２１３５は、Ｓ－ＩＤ６２１３１が示すサブシステムに定められたＡＳＩＬ値を示すものであり、ＡＳＩＬ区分情報６１３をもとに選択されたＡＳＩＬ－ＩＤを保持する。

　デル定義支援部５１は、サブシステム詳細情報６２１３に登録された外部接続数６２１３２に応じて、外部接続機器情報６２１４を登録する。また、脅威リスク値計算部５３は、リスク値算出時において、外部接続機器情報６２１４に格納された経路区分６２１４４、認証回数６２１４５を利用する。なお、経路区分６２１４４、認証回数６２１４５を利用したリスク値算出方法については後述する。Ｓ－ＩＤ６２１４１は、サブシステムを識別するための固有値であり、サブシステム区分情報６１１を参照することで、サブシステム名を特定できる。Ｅ－ＩＤ６２１４２は、Ｓ－ＩＤ６２１４１に対する外部接続機器を識別する固有値である。外部接続機器名６２１４３は、Ｅ－ＩＤ６２１４２に対応する外部接続機器の名称である。経路区分６２１４４は、Ｅ－ＩＤ６２１４２に対応する外部接続機器の経路区分を示すものであり、経路区分情報６２１１をもとに選択されたＲ－ＩＤ６２１１１を保持する。認証回数６２１４５は、Ｅ－ＩＤ６２１４２の外部接続機器が、対応するＳ－ＩＤ６２１４１と通信する際に発生する認証回数である。関与者数６２１４５は、Ｅ－ＩＤ６２１４２の外部接続機器を用いて、対応するＳ－ＩＤ６２１４１のサブシステムと通信を行う関与者種別の数である。

　図１４に、リスク評価依存情報記憶部６２に保持されている関与者詳細情報６２１５、図１５に内部接続機器情報６２１６、図１６に保護資産情報６２１７のテーブル構成の一例を示す。

　モデル定義支援部５１は、外部接続機器情報６２１４に登録された関与者数に応じて、関与者詳細情報６２１５を登録する。また、脅威抽出部５２は、脅威を抽出する際、エントリポイントとなる外部接続機器と、それに対応する関与者及び攻撃タイミングを関与者詳細情報６２１５から抽出する。Ｅ－ＩＤ６２１５１は、外部接続機器を識別するための固有値であり、外部接続機器情報６２１４を参照することで、外部接続機器名を特定できる。関与者区分６２１５２は、Ｅ－ＩＤ６２１５１に対応する外部接続機器を利用する関与者であり、関与者区分情報６１４を参照することで関与者名を特定できる。攻撃タイミング６２１５３は、関与者区分６２１５２に対応する関与者がＥ－ＩＤ６２１５１をエントリポイントとして攻撃するタイミングを示すものであり、ライフサイクル区分情報６１２を参照することで、ライフサイクル名を特定できる。

　モデル定義支援部５１は、サブシステム詳細情報６２１３に登録された内部接続数６２１３３に応じて、内部接続機器情報６２１６を登録する。また、脅威リスク値計算部５３は、リスク値算出時において、内部接続機器情報６２１６に格納された認証回数６２１６４を利用する。なお、認証回数６２１６４を利用したリスク値算出方法については後述する。Ｓ－ＩＤ６２１６１は、サブシステムを識別するための固有値であり、サブシステム区分情報６１１を参照することで、サブシステム名を特定できる。Ｉ－ＩＤ６２１６２は、内部接続機器を識別するための固有値である。内部接続機器６２１６３は、Ｓ－ＩＤ６２１６１に該当するサブシステムが通信を行うサブシステムであり、サブシステム区分情報６１１を参照することで、サブシステム名を特定できる。認証回数６２１６４は、Ｓ－ＩＤ６２１６１に該当するサブシステムが、内部接続機器６２１６３と通信を行う際に要求される認証回数である。

　モデル定義支援部５１は、サブシステム詳細情報６２１３に登録された保護資産数６２１３４に応じて、保護資産情報６２１７を登録する。脅威抽出部５２は、脅威を抽出する際、保護資産情報６２１７に格納された保護資産名６２１７３、資産種別６２１７４、保護機関６２１７６を利用する。また、脅威リスク値計算部５３は、リスク値算出時において、保護資産情報６２１７に格納された機密性への影響度６２１７５、データフロー６２１７７を利用する。なお、保護資産名６２１７３、資産種別６２１７４、保護機関６２１７６を利用する脅威抽出方法、及び機密性への影響度６２１７５、データフロー６２１７７を利用したリスク値算出方法については後述する。Ｓ－ＩＤ６２１７１は、サブシステムを識別するための固有値であり、サブシステム区分情報６１１を参照することで、サブシステム名を特定できる。Ｐ－ＩＤ６２１７２は、保護資産を識別するための固有値である。保護資産名６２１７３は、Ｓ－ＩＤ６２１７１における保護資産である。資産種別６２１７４は、Ｐ－ＩＤ６２１７２に対応する保護資産名６２１７３の資産種別である。機密性への影響度６２１７５は、Ｐ－ＩＤ６２１７２に対応する保護資産名６２１７３の機密性への影響度であり、機密性への影響度情報６２１２をもとに選択されたＣ－ＩＤを保持する。保護期間６２１７６は、Ｐ－ＩＤ６２１７２に対応する保護資産名６２１７３の保護期間であり、ライフサイクル区分情報６１２を参照することで、ライフサイクル名を特定できる。データフロー６２１７７は、Ｐ－ＩＤ６２１７２に対応する保護資産名６２１７３のサブシステム間におけるデータフローを示すものであり、サブシステム区分情報６１１を参照することで、サブシステム名を特定できる。

　図１７に、リスク評価判定情報記憶部６３に保持されているリスク値算出手法一覧情報６３１、図１８にＣＶＳＳ判定情報６３２のテーブル構成の一例を示す。

　モデル定義支援部５１は、リスク値算出手法一覧情報６３１を参照し、判定手法を選択項目として出力装置２に表示するとともに、入力装置１を用いた入力をもとにモデル定義における入力項目を変更する。手法名６３１１は、リスク値を算出する手法の名称である。参照情報６３１２は、手法名６３１１に応じて参照すべき具体的な判定情報である。

　脅威リスク値計算部５３は、ＣＶＳＳ判定情報６３２を参照して脅威のリスク値を算出する。パラメータ６３２１は、ＣＶＳＳの基本値を求めるために必要となる６つの項目である。区分６３２２は、パラメータ６３２１ごとに参照すべきレンジを示すものである。判定値６３２３は、パラメータ６３２１における区分６３２２に設けられている値を示すものである。

　図１９は、モデルの定義から、脅威事象の抽出、脅威リスク値の算出、対策優先度の判定、脅威リスク値一覧の出力までの本実施例における全体の概要処理フローを示す。

　ステップ５１１では、モデル定義支援部５１は、出力装置２にリスク評価手法選択画面を表示し、入力装置１を用いてリスク評価手法が選択された場合は、ステップ５１２に進み、リスク評価手法が選択されていない場合は、ステップ５１１のまま処理を待つ。

　ステップ５１２では、モデル定義支援部５１は、上記ステップ５１１で選択されたリスク値算出手法一覧情報６３１の手法名６３１１に応じた入力項目を表示し、リスク評価非依存情報記憶部６１とリスク評価依存情報記憶部６２で予め保持されている情報をもとに、入力装置１を介して入力された情報をサブシステム詳細情報６２１３、外部接続機器情報６２１４、関与者詳細情報６２１５、内部機器接続情報６２１６、保護資産情報６２１７に格納することで、評価対象のモデルを定義する。

　ステップ５２１では、脅威抽出部５２はリスク評価非依存情報記憶部６１とリスク評価依存情報記憶部６２で予め保持されている情報と、上記ステップ５１２でサブシステム詳細情報６２１３、外部接続機器情報６２１４、関与者詳細情報６２１５、内部機器接続情報６２１６、保護資産情報６２１７に格納された情報をもとに脅威を抽出し、脅威リスク値情報６１８における脅威事象６１８２に登録する。

　ステップ５３１では、脅威リスク値計算部５３は、脅威事象６１８２から上記ステップ５２１で抽出した各脅威を取得し、上記ステップ５１２でサブシステム詳細情報６２１３、外部接続機器情報６２１４、関与者詳細情報６２１５、内部機器接続情報６２１６、保護資産情報６２１７に格納された情報をもとに各脅威のリスク値を算出し、リスク値６１８３に登録する。

　ステップ５４１では、対策優先度判定部５４はリスク値６１８３をもとに優先度を算出し、脅威リスク値情報６１８に登録する。例えば、脅威リスク値情報６１８をリスク値の高い脅威事象から並べて優先度を順位付けしてもよいし、他の方法を用いてもよい。なお、対策優先度判定部５４は上記ステップ５２１で脅威事象が抽出されていない場合は、本対策優先度判定処理を実行しない。

　ステップ５５１では、脅威リスク評価作成部５５は、上記ステップ５４１で優先度付けされて脅威及びリスク値を脅威リスク値情報６１８から取得し、出力装置２に表示する。例えば、優先度の高い順番に出力装置２に表示してもよい。また、ＣＳＶ形式のファイルとして出力してもよい。なお、脅威リスク評価作成部５４は上記ステップ５２１で脅威事象が抽出されていない場合は、本脅威リスク評価結果出力処理を実行しない。

　以上のステップにより、本脅威リスク評価支援装置は、対策優先度の高い脅威リスクを分析者に提示できる。

　図２０は、上記ステップ５１２において、リスク判定手法の一例としてＣＶＳＳを選択した場合のモデル定義処理の概要処理フローを示す。

　ステップ５１２１では、モデル定義支援部５１はサブシステム追加削除画面を表示する。

　ステップ５１２２では、モデル定義支援部５１は上記ステップ５１２１において、サブシステムの追加或いは削除が選択された場合は、ステップ５１２３に進み、サブシステムの追加或いは削除が選択されなかった場合は、ステップ５１２４に進む。

　ステップ５１２３では、モデル定義支援部５１は上記ステップ５１２２で選択或いは追加されたサブシステムをもとに、サブシステム区分情報６１１のＳ－ＩＤ６１１１とサブシステム名６１１２を追加、及び有効判定６１１３を有効化させる。

　ステップ５１２４では、モデル定義支援部５１はサブシステムに対するパラメータ情報登録画面を出力装置２に表示する。

　ステップ５１２５では、モデル定義支援部５１は上記ステップ５１２４で入力装置２を用いてパラメータ情報を登録するサブシステムが選択された場合は、ステップ５１２５に進み、入力装置１を介して入力される情報をサブシステム詳細情報６２１３、外部接続機器情報６２１４、関与者詳細情報６２１５、内部機器接続情報６２１６、保護資産情報６２１７に格納する。一方、モデル定義支援部５１は上記ステップ５１２４で入力装置２を用いてパラメータ情報を登録するサブシステムが選択されていない場合、ステップ５１２５のまま処理を待つ。

　ステップ５１２６では、モデル定義支援部５１はすべてのサブシステムのパラメータ情報登録処理が完了している場合、本処理を終了し、パラメータ情報登録処理が済んでいないサブシステムがある場合、ステップ５１２５に進む。

　以上のステップにより、モデル定義支援部５１は、評価対象のモデルを定義することができる。

　図２１は、上記ステップ５１２５において、サブシステムに対するパラメータ情報登録の概要処理フローを示す。

　ステップ５１２５１では、モデル定義支援部５１は入力装置１を用いて入力されたサブシステムに対する外部接続機器数をサブシステム詳細情報６２１３の外部接続数６２１３２として登録する。

　ステップ５１２５２では、モデル定義支援部５１は上記ステップ５１２５１で入力された外部接続機器数に応じて、入力装置１を用いて外部接続機器の詳細な情報として、外部接続機器名６２１４３、経路区分６２１４４、認証回数６２１４５、関与者種別数６２１４５に登録する。ここで、経路区分６２１４４は、経路区分情報６２１１をもとに選択項目を出力装置１に表示し、入力装置１を用いて選択させてもよい。

　ステップ５１２５３では、モデル定義支援部５１は上記ステップ５１２５２で入力された関与者種別数に応じて、入力装置１を用いて外部接続機器における関与者の詳細な情報として、関与者区分６２１５２、攻撃タイミング６２１５３を登録する。関与者区分６２１５２は、関与者区分情報６１４をもとに選択項目を出力装置２に表示し、入力装置１を用いて選択させてもよい。攻撃タイミング６２１５３は、関与者・ライフサイクル・動機対応情報６１５をもとに、関与者種別６１５１に対応するライフサイクル種別６１５２に該当するライフサイクルを選択項目として出力装置２に表示し、入力装置１を用いて選択させてもよい。

　ステップ５１２５４では、モデル定義支援部５１は入力装置１を用いて、サブシステムが通信を行う内部接続機器の数をサブシステム詳細情報６２１３の内部接続数６２１３３に登録する。

　ステップ５１２５５では、モデル定義支援部５１は上記ステップ５１２５４で入力された内部接続機器数に応じて、入力装置１を用いて内部接続機器の詳細な情報として、内部接続機器６２１６３、認証回数６２１６４を登録する。ここで、内部接続機器６２１６３は、サブシステム区分情報６１１をもとに選択項目を出力装置２に表示し、入力装置１を用いて選択させてもよい。

　ステップ５１２５６では、モデル定義支援部５１は入力装置１を用いて、サブシステムにおける保護資産の数をサブシステム詳細情報６２１３の保護資産数６２１３４に登録する。

　ステップ５１２５７では、モデル定義支援部５１は上記ステップ５１２５６で入力された保護資産数に応じて、入力装置１を用いて保護資産の詳細な情報として、保護資産名６２１７３、資産種別６２１７４、機密性への影響度６２１７５、保護期間６２１７６、データフロー６２１７７を登録する。資産種別６２１７４は資産種別・脅威対応情報６１６の資産種別６１６１をもとに選択項目を出力装置２に表示し、入力装置１を用いて選択させてもよい。機密性への影響度６２１７５は、機密性への影響度情報６２１２をもとに選択項目を出力装置２に表示し、入力装置１を用いて選択させてもよい。保護期間６２１７６は、ライフサイクル区分情報６１２をもとに選択項目を出力装置２に表示し、入力装置１を用いて選択させてもよい。データフロー６２１７７は、サブシステム区分情報６１１をもとに選択項目を出力装置２に表示し、入力装置１を用いて選択させてもよい。

　ステップ５１２５８では、モデル定義支援部５１は入力装置１を用いて、サブシステムに定められているＡＳＩＬの値をＡＳＩＬ値６２１３５に登録する。ここで、ＡＳＩＬ値６２１３５は、ＡＳＩＬ区分情報６１３をもとに選択項目を出力装置２に表示し、入力装置１を用いて選択させてもよい。

　ステップ５１２５９では、モデル定義支援部５１は上記ステップ５１２５１からす轍鮒５１２５８までの処理においてパラメータの登録が完了したサブシステムを示す活性化画面を表示する。

　以上のステップにより、上記ステップ５１２５において選択したサブシステムに対するパラメータ情報を登録できる。

　図２２は、上記ステップ５２１において、評価対象における脅威事象抽出の概要処理フローを示す。

　ステップ５２１０１では、脅威抽出部５２はサブシステム区分情報６１１からサブシステム名６１２２を取得する。

　ステップ５２１０２では、脅威抽出部５２は上記ステップ５２１０１でサブシステム区分情報６１１のサブシステム名が存在する場合、ステップ５２１０３に進み、サブシステム区分情報６１１のサブシステム名が存在しない場合、本処理を終了する。

　ステップ５２１０３では、脅威抽出部５２は評価対象における攻撃対象として、サブシステム区分情報６１１の選択されていないサブシステム名６１２２を取得する。例えば、脅威抽出部５２はサブシステム名６１２２の総数を取得するとともに、カウンタを用いてサブシステム名６１２２が選択される度にカウンタの値をアップさせ、上記サブシステム名６１２２の総数及び上記カウンタ値をメモリで保持し、順番にサブシステム名６１２２を取得することで、選択されていないサブシステム６１２２を取得してもよい。

　ステップ５２１０４では、脅威抽出部５２は上記ステップ５２１０３で取得したサブシステムに対応する外部接続機器として、サブシステム区分情報６１１のＳ－ＩＤ６１１１をもとに、外部接続機器情報６２１４のＳ－ＩＤ６２１４１に対応する選択されていない外部接続機器名６２１４３を取得する。例えば、脅威抽出部５２は上記ステップ５２１０３で取得したサブシステムに対応する外部接続機器名６２１４３の総数を取得するとともに、カウンタを用いて外部接続機器名６２１４３が選択される度にカウンタの値をアップさせ、上記外部接続機器名６２１４３の総数及び上記カウンタ値をメモリで保持し、順番に外部接続機器名６２１４３を取得することで、選択されていない外部接続機器名６２１４３を取得してもよい。

　ステップ５２１０５では、脅威抽出部５２は上記ステップ５２１０４で取得した外部接続機器に関連する関与者として、外部接続機器情報６２１４のＥ－ＩＤ６２１４１をもとに、関与者詳細情報６２１５のＥ－ＩＤ６２１５１に対応する選択されていない関与者区分６２１５２を参照し、関与者区分情報６１４から関与者名６１４２を取得する。例えば、脅威抽出部５２は上記ステップ５２１０４で取得した外部接続機器に対応する関与者名６１４２の総数を取得するとともに、カウンタを用いて関与者名６１４２が選択される度にカウンタの値をアップさせ、上記関与者名６１４２の総数及び上記カウンタ値をメモリで保持し、順番に関与者名６１４２を取得することで、選択されていない関与者名６１４２を取得してもよい。

　ステップ５２１０６では、脅威抽出部５２は上記ステップ５２１０５で取得した関与者の攻撃タイミングとして、関与者詳細情報６２１５の関与者区分６２１５２をもとに、選択されていない攻撃タイミング６２１５３を参照し、ライフサイクル区分情報６１２のライフサイクル名６１２２を取得する。例えば、脅威抽出部５２は上記ステップ５２１０５で取得した関与者に対応する攻撃タイミング６２１５３の総数を取得するとともに、カウンタを用いて攻撃タイミング６２１５３が選択される度にカウンタの値をアップさせ、上記攻撃タイミング６２１５３の総数及び上記カウンタ値をメモリで保持し、順番に攻撃タイミング６２１５３を取得することで、選択されていない攻撃タイミング６２１５３を取得してもよい。

　ステップ５２１０７では、脅威抽出部５２は上記５２１０５で取得した関与者の動機として、関与者詳細情報６２１５の関与者区分６２１５２をもとに、関与者・ライフサイクル・動機対応情報６１５の関与者種別６１５１を参照し、選択されていない動機６１５３を取得する。例えば、脅威抽出部５２は上記ステップ５２１０５で取得した関与者に対応する動機６１５３の総数を取得するとともに、カウンタを用いて動機６１５３が選択される度にカウンタの値をアップさせ、上記動機６１５３の総数及び上記カウンタ値をメモリで保持し、順番に動機６１５３を取得することで、選択されていない動機６１５３を取得してもよい。

　ステップ５２１０８では、脅威抽出部５２は上記ステップ５２１０３で取得したサブシステムに対応する保護資産として、サブシステム区分情報６１１のＳ－ＩＤ６１１１をもとに、保護資産情報６２１７のＳ－ＩＤ６２１７１に対応する選択されていない保護資産名６２１７３を取得する。例えば、脅威抽出部５２は上記ステップ５２１０３で取得したサブシステムに対応する保護資産名６２１７３の総数を取得するとともに、カウンタを用いて保護資産名６２１７３が選択される度にカウンタの値をアップさせ、上記保護資産名６２１７３の総数及び上記カウンタ値をメモリで保持し、順番に保護資産名６２１７３を取得することで、選択されていない保護資産名６２１７３を取得してもよい。

　ステップ５２１０９では、脅威抽出部５２は上記ステップ５２１０８で取得した保護資産に対応する脅威として、保護資産名６２１７３の資産種別６２１７４をもとに、資産種別・脅威対応情報６１６の資産種別６１６１に対応する選択されていない脅威６１６２を取得する。例えば、脅威抽出部５２は上記ステップ５２１０８で取得した保護資産に対応する脅威６１６２の総数を取得するとともに、カウンタを用いて脅威６１６２が選択される度にカウンタの値をアップさせ、上記脅威６１６２の総数及び上記カウンタ値をメモリで保持し、順番に脅威６１６２を取得することで、選択されていない脅威６１６２を取得してもよい。

　テップ５２１１０では、脅威抽出部５２は上記ステップ５２１０９で取得した脅威に対応する影響内容として、脅威一覧情報６１７の脅威６１７１に対応する影響内容６１７３を取得する。例えば、脅威抽出部５２は上記ステップ５２１０９で取得した脅威に対応する影響内容６１７３の総数を取得するとともに、カウンタを用いて影響内容６１７３が選択される度にカウンタの値をアップさせ、上記影響内容６１７３の総数及び上記カウンタ値をメモリで保持し、順番に影響内容６１７３を取得することで、選択されていない影響内容６１７３を取得してもよい。

　ステップ５２１１１では、脅威抽出部５２は上記ステップ５２１０６で取得した攻撃タイミングが上記ステップ５２１１０で取得した影響内容に対応するライフサイクル６１７４に存在する場合、ステップ５２１１２に進み、上記ステップ５２１０６で取得した攻撃タイミングが上記ステップ５２１１０で取得した影響内容に対応するライフサイクル６１７４に存在しない場合、ステップ５２１１３に進む。

　ステップ５２１１２では、脅威抽出部５２は上記ステップ５２１０３からステップ５２１１０で取得した、攻撃対象、外部接続機器、関与者、攻撃タイミング、動機、保護資産、脅威、影響内容を、脅威事象６１８２に登録する。例えば、「攻撃対象」に対して、「関与者」が、「攻撃タイミング」時に、「動機」で、「外部接続機器」経由で、「保護資産」を「脅威」することにより、「脅威内容」。という文章を作成し、脅威事象６１８２に登録してもよい。また、脅威抽出部５２は攻撃対象を識別するＳ－ＩＤ、外部接続機器を識別するＥ－ＩＤ、保護資産を識別するＰ－ＩＤを、Ｓ－ＩＤ６１８４、Ｅ－ＩＤ６１８５、Ｐ－ＩＤ６１８６に登録する。

　ステップ５２１１３では、脅威抽出部５２は上記ステップ５２１１０でメモリに保持している影響内容６１７３の総数とカウンタの値を比較する。脅威抽出部５２は、影響内容６１７３の総数とカウンタの値が等しい場合、カウンタの値を消去し、ステップ５２１１４に進み、影響内容６１７３の総数とカウンタの値が等しくない場合、上記ステップ５２１１０に進む。

　ステップ５２１１４では、脅威抽出部５２は上記ステップ５２１０９でメモリに保持している脅威６１６２の総数とカウンタ値を比較する。脅威抽出部５２は、脅威６１６２の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ５２１１５に進み、脅威６１６２の総数とカウンタ値が等しくない場合、上記ステップ５２１０９に進む。

　ステップ５２１１５では、脅威抽出部５２は上記ステップ５２１０８でメモリに保持している保護資産名６２１７３の総数とカウンタ値を比較する。脅威抽出部５２は、保護資産名６２１７３の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ５２１１６に進み、保護資産名６２１７３の総数とカウンタ値が等しくない場合、上記ステップ５２１０８に進む。

　ステップ５２１１６では、脅威抽出部５２は上記ステップ５２１０７でメモリに保持している動機６１５３の総数とカウンタ値を比較する。脅威抽出部５２は、動機６１５３の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ５２１１７に進み、動機６１５３の総数とカウンタ値が等しくない場合、上記ステップ５２１０７に進む。

　ステップ５２１１７では、脅威抽出部５２は上記ステップ５２１０６でメモリに保持している攻撃タイミング６２１５３の総数とカウンタ値を比較する。脅威抽出部５２は、攻撃タイミング６２１５３の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ５２１１８に進み、攻撃タイミング６２１５３の総数とカウンタ値が等しくない場合、上記ステップ５２１０６に進む。

　ステップ５２１１８では、脅威抽出部５２は上記ステップ５２１０５でメモリに保持している関与者名６１４２の総数とカウンタ値を比較する。脅威抽出部５２は、関与者名６１４２の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ５２１１９に進み、関与者名６１４２の総数とカウンタ値が等しくない場合、上記ステップ５２１０５に進む。

　ステップ５２１１９では、脅威抽出部５２は上記ステップ５２１０４でメモリに保持している外部接続機器名６２１４３の総数とカウンタ値を比較する。脅威抽出部５２は、外部接続機器名６２１４３の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ５２１２０に進み、外部接続機器名６２１４３の総数とカウンタ値が等しくない場合、上記ステップ５２１０４に進む。

　ステップ５２１２０では、脅威抽出部５２は上記ステップ５２１０３でメモリに保持しているサブシステム名６１２２の総数とカウンタ値を比較する。脅威抽出部５２は、サブシステム名６１２２の総数とカウンタ値が等しい場合、カウンタの値を消去し、本処理を終了し、サブシステム名６１２２の総数とカウンタ値が等しくない場合、上記ステップ５２１０３に進む。

　以上のステップにより、上記ステップ５２１において、評価対象における脅威事象を抽出できる。

　図２３は、上記ステップ５３１において、抽出した脅威事象のリスク値算出の概要処理フローを示す。

　ステップ５３１０では、脅威リスク値計算部５３は上記ステップ５２１で抽出した脅威事象６１８２の中から、リスク値が算出されていない脅威事象のＳ－ＩＤ６１８４、Ｅ－ＩＤ６１８５、Ｐ－ＩＤ６１８６、脅威種別６１８７を取得する。

　ステップ５３１１では、脅威リスク値計算部５３は上記ステップ５３１０で脅威事象６１８２に脅威事象のＳ－ＩＤ６１８４、Ｅ－ＩＤ６１８５、Ｐ－ＩＤ６１８６、脅威種別６１８７が格納されている場合、ステップ５３１２に進み、脅威事象６１８２に脅威事象のＳ－ＩＤ６１８４、Ｅ－ＩＤ６１８５、Ｐ－ＩＤ６１８６、脅威種別６１８７が格納されていない場合、本処理を終了する。

　ステップ５３１２では、脅威リスク値計算部５３は上記ステップ５３１０で取得したＥ－ＩＤ６１８５に対応する経路区分６２１４４を取得し、ＣＶＳＳ判定情報６３２のパラメータ６３２１のＡＶにおける区分６３２２を参照し、その判定値６３２３を取得する。　

　ステップ５３１３では、脅威リスク値計算部５３は上記ステップ５３１０で取得したＳ－ＩＤ６１８４における外部接続数６２１３２と、評価対象における外部接続機器数の総数とを比較して攻撃条件の複雑さを算出する。例えば、外部接続機器の総数を「ｎ」、「Y₁ = n／3」、「Y₂ = 2Y₁」とし、外部接続数６２１３２がY₁より小さい場合は「高」、外部接続数６２１３２がY₁以上Y₂より小さい場合は「中」、外部接続数６２１３２がY₂以上の場合は「低」とし、ＣＶＳＳ判定情報６３２のパラメータ６３２１のＡＣにおける区
分６３２２を参照し、その判定値６３２３を取得する。

　ステップ５３１４では、脅威リスク値計算部５３は上記ステップ５３１２で取得したＥ－ＩＤ６１８５に対応する認証回数６２１４５と、上記ステップ５３１０で取得したＳ－ＩＤ６１８４に対応する内部接続機器６２１６３の中から最小値となる認証回数６２１６４との合計値を「ｍ」とし、ｍが０の場合は「不要」、ｍが１の場合は「単一」、ｍが２以上の場合は「複数」とし、ＣＶＳＳ判定情報６３２のパラメータ６３２１のＡｕにおける区分６３２２を参照し、その判定値６３２３を取得する。

　ステップ５３１５では、脅威リスク値計算部５３は上記ステップ５３１０で取得した脅威種別６１８７に応じて、「Ｃ：機密性への影響度」、「Ｉ：完全性への影響度」、「Ａ：可用性への影響度」の算出方法を変更し、その判定値６３２３を取得する。

　ステップ５３１６では、脅威リスク値計算部５３は上記ステップ５３１２からステップ５３１５で取得した判定値６３２３をＣＶＳＳの基本値算出計算式に代入し、その計算結果をリスク値６１８３として登録する。

　ステップ５３１７では、脅威リスク値計算部５３は上記ステップ５３１０からステップ５３１６で、すべての脅威事象６１８２におけるリスク値６１８３を算出している場合、本処理を終了し、上記ステップ５３１０からステップ５３１６で、すべての脅威事象６１８２におけるリスク値６１８３を算出していない場合、ステップ５３１０に進む。

　以上のステップにより、上記ステップ５３１において、抽出した脅威事象のリスク値を算出できる。

　図２４は、上記ステップ５３１５において、脅威種別６１８７に応じて、「Ｃ：機密性への影響度」、「Ｉ：完全性への影響度」、「Ａ：可用性への影響度」を算出する概要処理フローを示す。

　ステップ５３１５０１では、脅威リスク値計算部５３は上記ステップ５３１０で取得した脅威種別６１８７が「参照」の場合、ステップ５３１５０２に進み、脅威種別６１８７が「改ざん」、或いは「削除」、或いは「実行」の場合、ステップ５３１５０５に進み、脅威種別６１８７が「通信妨害」の場合、ステップ５３１５０９に進む。

　ステップ５３１５０２では、脅威リスク値計算部５３は完全性への影響度、及び可用性への影響度を「０」とする。

　ステップ５３１５０３では、脅威リスク値計算部５３は上記ステップ５３１０で取得したＰ－ＩＤ６１８６の機密性への影響度６２１７５を取得する。

　ステップ５３１５０４では、脅威リスク値計算部５３は上記ステップ５３１５０４で取得した機密性への影響度６２１７５をもとに、ＣＶＳＳ判定情報６３２のパラメータ６３２１のＣにおける区分６３２２を参照し、その判定値６３２３を取得する。

　ステップ５３１５０５では、脅威リスク値算出部５３は機密性への影響度を「０」とする。

　ステップ５３１５０６では、脅威リスク値計算部５３は上記ステップ５３１０で取得したＰ－ＩＤ６１８６のデータフロー６２１７７として格納されているＳ－ＩＤ６２１３１を取得する。

　ステップ５３１５０７では、脅威リスク値計算部５３は上記ステップ５３１５０７で取得したＳ－ＩＤ６２１３１の中から、最も高いＡＳＩＬ値６２１３５を取得する。

　ステップ５３１５０８では、脅威リスク値計算部５３は上記ステップ５３１５０７で取得した最も高いＡＳＩＬ値６２１３５をもとに、ＣＶＳＳ判定情報６３２のパラメータ６３２１のＩとＡにおける区分６３２２をそれぞれ参照し、その判定値６３２３をそれぞれ取得する。

　ステップ５３１５０９では、脅威リスク値計算部５３は機密性への影響度、及び完全性への影響度を「０」とする。

　ステップ５３１５１０では、脅威リスク値計算部５３は上記ステップ５３１０で取得したＳ－ＩＤ６１８４をもとに、対応するＡＳＩＬ値６２１３５を取得する。

　ステップ５３１５１１では、脅威リスク値計算部５３は上記ステップ５３１５１０で取得したＡＳＩＬ値６２１３５をもとに、ＣＶＳＳ判定情報６３２のパラメータ６３２１のＡにおける区分６３２２を参照し、その判定値６３２３を取得する。

　以上のステップにより、上記ステップ５３１５において、脅威種別６１８７に応じて、「Ｃ：機密性への影響度」、「Ｉ：完全性への影響度」、「Ａ：可用性への影響度」を算出できる。

　図２５に、上記ステップ５１１で表示されるリスク評価手法選択画面、図２６に、上記ステップ５１２１で表示されるサブシステム変更画面、図２７に、上記ステップ５１２４で表示されるサブシステムのパラメータ情報登録画面の一例を示す。

　図２５では、モデル定義支援部５１は、利用するリスク評価手法を選択させる（ステップ５１１）。例えば、リスク値算出手法一覧情報６３１の手法名６３１１をもとに、リスク評価手法５１００２をプルダウン形式で選択させてもよい。選択完了後、次へボタン５１００１を押下することで図２６の画面に遷移する。

　図２６では、モデル定義支援部５１は、評価対象となるサブシステムを選択または追加させる（ステップ５１２１）。例えば、サブシステム区分情報６１１のサブシステム名６１１２をもとに、サブシステムの選択項目５１００４をラジオボックス形式で選択させてもよい。モデル定義支援部５１は、欄追加ボタン５１００５が押下された場合、入力装置１を用いてサブシステムを入力させるとともに、サブシステム区分情報６１１に登録する。戻るボタン５１００３を押下する場合、図２５の画面を表示し、次へボタン５１００６を押下する場合、図２７の画面を表示する。

　図２７では、モデル定義支援部５１は、上記ステップ５１２１で選択或いは追加されたサブシステムを非活性化状態で出力装置２に表示し、詳細なパラメータ情報を入力するサブシステムを選択させる（ステップ５１２４）。例えば、サブシステムとして情報系サブシステムオブジェクト５１００７を押下させ、図２８の画面をポップアップ形式で表示してもよい。なお、戻るボタン５１００６を押下する場合、図２６の画面に戻る。

　図２８に、上記ステップ５１２５１で表示される外部接続機器数登録画面、図２９に、上記ステップ５１２５２で表示される外部接続機器詳細情報登録画面、図３０に、上記ステップ５１６３で表示される関与者詳細情報登録画面の一例を示す。

　図２８では、モデル定義支援部５１は外部接続機器数を登録させる（ステップ５１２５１）。例えば、外部接続機器数５１００９のように選択ボタンを用いて加算或いは減算させてもよいし、入力装置１を用いて直接入力してもよい。なお、戻るボタン５１００８を押下する場合は、ポップアップ画面を閉じて図２７の画面に戻り、次へボタン５１０１０を押下する場合は、図２９の画面を表示する。

　図２９では、モデル定義支援部５１は外部接続機器の詳細な情報を入力させる（ステップ５１２５２）。例えば、名称５１０１２は入力装置１を用いて直接入力させてもよく、経路区分５１０１３は経路区分情報６２１１の経路６２１１２をもとにプルダウン形式で選択させてもよく、認証回数５１０１４と関与者種別数５１０１５は選択ボタンを用いて加算或いは減算させてもよい。

　次へボタン５１０１７を押下するとき、入力対象となる外部接続機器５１０１６がすべて入力済みの場合は、図３０の画面を表示し、入力対象となる外部接続機器５１０１６がすべて入力済みでない場合は、入力していない外部接続機器５１０１６にカーソルを合わせて、上記と同様に入力項目５１０１２から入力項目５１０１５を入力させる画面を表示する。

　戻るボタン５１０１１を押下するとき、入力対象となる外部接続機器５１０１６が一つも入力済みでない場合、或いは入力対象となる外部接続機器５１０１６が一つだけの場合は、図２８の画面を表示し、入力対象となる外部接続機器５１０１６が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている外部接続機器５１０１６から、一つ前の外部接続機器５１０１６にカーソルを合わせて、上記と同様に入力項目５１０１９、及び入力項目５１０２０を入力させる画面を表示する。

　図３０では、モデル定義支援部５１は関与者の詳細な情報を入力させる（ステップ５１２５３）。例えば、関与者名５１０１９は外部接続機器に対応する関与者区分６２１５２をもとに関与者名６１４２をプルダウン形式で選択させてもよく、攻撃タイミング５１０２０は当該関与者区分６２１５２の攻撃タイミング６２１５３を選択項目としてラジオボタン形式で選択させてもよい。次へボタン５１０２２を押下するとき、入力対象となる関与者５１０２１がすべて入力済みの場合は、図３１の画面を表示し、入力対象となる関与者５１０２１がすべて入力済みでない場合は、入力していない関与者５１０２１にカーソルを合わせて、上記と同様に入力項目５１０１９、及び入力項目５１０２０を入力させる画面を表示し、戻るボタン５１０１８を押下するとき、入力対象となる関与者５１０２１が一つも入力済みでない場合、或いは入力対象となる関与者５１０２１が一つだけの場合は、図２９の画面を表示し、入力対象となる関与者５１０２１が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている関与者５１０２１から、一つ前の関与者５１０２１にカーソルを合わせて、上記と同様に入力項目５１０１９、及び入力項目５１０２０を入力させる画面を表示する。

　図３１に、上記ステップ５１２５４で表示される内部接続機器数登録画面、図３２に、上記ステップ５１２５５で表示される内部接続機器詳細情報登録画面の一例を示す。

　図３１では、モデル定義支援部５１は内部接続機器数を入力させる（ステップ５１２５４）。例えば、内部接続機器数５１０２４は選択ボタンを用いて加算或いは減算させてもよい。戻るボタン５１０２３を押下する場合は、図３０の画面に戻り、次へボタン５１０２５を押下する場合は、図３２の画面を表示する。

　図３２では、モデル定義支援部５１は内部接続機器の詳細な情報を入力させる（ステップ５１２５５）。例えば、名称５１０２７はサブシステム区分情報６１１のサブシステム名６１１２をもとにプルダウン形式で選択させてもよく、認証回数５１０２８は選択ボタンを用いて加算或いは減算させてもよい。次へボタン５１０３０を押下するとき、入力対象となる内部接続機器５１０２９がすべて入力済みの場合は、図３３の画面を表示し、入力対象となる内部接続機器５１０２９がすべて入力済みでない場合は、入力していない内部接続機器５１０２９にカーソルを合わせて、上記と同様に入力項目５１０２７、及び入力項目５１０２８を入力させる画面を表示し、戻るボタン５１０２６を押下するとき、入力対象となる内部接続機器５１０２９が一つも入力済みでない場合、或いは入力対象となる内部接続機器５１０２９が一つだけの場合は、図３１の画面を表示し、入力対象となる内部接続機器５１０２９が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている内部接続機器５１０２９から、一つ前の内部接続機器５１０２９にカーソルを合わせて、上記と同様に入力項目５１０１９、及び入力項目５１０２０を入力させる画面を表示する。
　図３３に、上記ステップ５１２５６で表示される保護資産数登録画面、図３４に、上記ステップ５１２５７で表示される保護資産詳細情報登録画面、図３５に、上記ステップ５１６８で表示されるＡＳＩＬ情報登録画面の一例を示す。

　図３３では、モデル定義支援部５１は保護資産数を登録させる（ステップ５１２５６）。例えば、保護資産数５１０３２は選択ボタンを用いて加算或いは減算させてもよい。戻るボタン５１０３１を押下する場合は、図３２の画面に戻り、次へボタン５１０３３を押下する場合は、図３４の画面を表示する。

　図３４では、モデル定義支援部５１は保護資産の詳細な情報を入力させる（ステップ５１２５７）。例えば、資産名５１０３５は入力装置１を用いて直接入力させてもよく、資産種別５１０３６は資産種別・脅威対応情報６１６の資産種別６１６１をもとにプルダウン形式で選択させてもよく、影響度（機密性）５１０３７は機密性への影響度情報６２１２の影響度６２１２２をもとにプルダウン形式で選択させてもよく、攻撃タイミング５１０３８はライフサイクル区分情報６１２のライフサイクル名６１２２をもとにチェックボックス形式で選択させてもよく、データフロー５１０３９はサブシステム区分情報６１１のサブシステム名６１１２をもとにプルダウン形式で選択させてもよい。欄追加ボタン５１０４０を押下すると、データフロー５１０３９の入力項目を追加する。次へボタン５１０４２を押下するとき、入力対象となる保護資産５１０４１がすべて入力済みの場合は、図３５の画面を表示し、入力対象となる保護資産５１０４１がすべて入力済みでない場合は、入力していない保護資産５１０４１にカーソルを合わせて、上記と同様に入力項目５１０３５から入力項目５１０４０を入力させる画面を表示し、戻るボタン５１０３４を押下するとき、入力対象となる保護資産５１０４１が一つも入力済みでない場合、或いは入力対象となる保護資産５１０４１が一つだけの場合は、図３３の画面を表示し、入力対象となる保護資産５１０４１が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている保護資産５１０４１から、一つ前の保護資産５１０４１にカーソルを合わせて、上記と同様に入力項目５１０３５から入力項目５１０４０を入力させる画面を表示する。

　図３５では、モデル定義支援部５１はＡＳＩＬ値を入力させる（ステップ５１２５８）。例えば、ＡＳＩＬ区分情報６１３のＡＳＩＬ値６１３２をもとにプルダウン形式で選択させてもよい。戻るボタン５１０４３を押下する場合は、図３４の画面に戻り、完了ボタン５１０４５を押下する場合は、ポップアップとして表示されている同画面を閉じる。　

　図３６に、上記ステップ５１２５９で表示される登録済みサブシステムの活性化画面、図３７に、上記ステップ５２１で表示される脅威リスク評価実行画面の一例を示す。なお、図３６及び図３７は、上記ステップ５１２５から上記ステップ５１２６をもとに図２７の表示内容が更新されたものである。

　図３６では、モデル定義支援部５１は上記ステップ５１２５で選択したサブシステムオブジェクト５１０４８に対して、上記ステップ５１２５１からステップ５１２５８で入力したパラメータをもとに経路線５１０４６や外部接続機器オブジェクト５１０４７を追加するとともに、当該サブシステムオブジェクト５１０４８を活性化して表示する（ステップ５１２５９）。

　図３７では、脅威抽出部５２は脅威リスク評価として、脅威事象の抽出及び脅威リスク値の算出を実行する画面を表示する（ステップ５２１）。ここで、リスク評価ボタン５１０４９を押下すると、上記ステップ５２１から上記ステップ５４１までの処理を実行する。

　図３８に、上記ステップ５５１で表示される脅威リスク評価結果画面の一例を示す。

　図３８では、脅威抽出部５２は上記ステップ５１１からステップ５４１までの処理における脅威リスク評価の結果として、脅威事象、リスク値、優先度を画面に表示する（ステップ５５１）。例えば、脅威リスク評価結果５１０５１として、上記ステップ５４１で優先度付けされた、脅威リスク値情報６１８の脅威及びリスク値を表形式で表示してもよい。このとき、表示項目５１０５０では、評価対象全体、及びサブシステム区分情報６１１のサブシステム名６１１２をもとにプルダウン形式で表示方法を選択させ、評価対象全体の脅威リスク評価結果を表示してもよいし、各サブシステムにおける脅威リスク評価結果を表示してもよい。

　以上により、本脅威リスク評価支援装置は、分析者のセキュリティに関する知識や経験に依存せずに、評価対象における脅威の抽出、及び当該脅威のリスク値を自動的に算出し、分析者に各脅威のリスク値を提示できる。

　なお、本実施例では車載ネットワークを対象に説明しているが、本脅威リスク評価支援装置はこれに限定するものではなく、制御系システムや情報系システムを対象にした脅威リスク評価にも適用可能である。

　１　　　　　入力装置
　２　　　　　出力装置
　３　　　　　入出力制御部
　４　　　　　ＣＰＵ
　５　　　　　メモリ
　６　　　　　ディスク
　７　　　　　バス

Claims

　評価対象となるシステムに対するセキュリティ上の脅威を評価する評価装置であって、　前記システムにおける複数の設計項目に関する設計情報が入力される入力部と、
　セキュリティ上の脅威に関する複数の評価項目と前記入力部より入力された前記複数の設計項目に関する情報とを対応付けて格納する格納部と、
　前記複数の設計項目に関する情報に基づいて、前記システムにおけるセキュリティ上の脅威を抽出し、前記複数の設計項目に関する情報に対応付けられた前記評価項目に基づいて、前記抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、前記抽出された前記システムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる制御部と、
　を有することを特徴とする評価装置。
　請求項１に記載の評価装置であって、
　前記制御部は、前記表示部にセキュリティ上の脅威を評価する複数種類の評価手法に関する情報を表示させ、前記入力部に入力される前記評価手法の種類に応じて前記表示部に表示させる前記設計項目に関する情報を決定する、ことを特徴とする評価装置。
　請求項１に記載の評価装置であって、
　セキュリティ上の脅威を評価する手法として、ＣＶＳＳ（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｓｃｏｒｉｎｇ　Ｓｙｓｔｅｍ）を用いることを特徴とする評価装置。
　請求項１に記載の評価装置であって、
　前記入力部に入力される前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、
　前記サブシステムに関する情報は、前記サブシステムの外部接続機器情報、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、であることを特徴とする評価装置。
　請求項４に記載の評価装置であって、
　前記格納部は、前記関与者種別情報とセキュリティ上の脅威を発生させる動機に関する動機情報とが対応付けられた第一の対応情報と、前記保護資産情報と脅威の種別に関する脅威種別情報とが対応付けられた第二の対応情報と、前記脅威種別情報と脅威の影響範囲を示す脅威影響範囲情報と脅威の内容を示す脅威内容情報とが対応付けられた第三の対応情報と、を格納し、
　前記制御部は、前記第一の対応情報と前記第二の対応情報と前記第三の対応情報と入力部より入力された前記設計情報とに基づいて、前記サブシステムにおける脅威を抽出する、ことを特徴とする評価装置。
　請求項１に記載の評価装置であって、
　前記入力部に入力される前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、前記サブシステムに関する情報は、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、であり、
　前記制御部は、前記入力部より入力される前記外部接続機器数情報と前記経路種別情報と前記認証回数情報とに基づいて、前記サブシステムにおける脅威リスク値を算出する、ことを特徴とする評価装置。
　評価対象となるシステムに対するセキュリティ上の脅威を評価する装置における評価方法であって、
　前記装置は、
　前記システムにおける複数の設計項目に関する設計情報を受け付け、
　セキュリティ上の脅威に関する複数の評価項目と前記受け付けた前記複数の設計項目に関する情報とを対応付け、
　前記複数の設計項目に関する情報に基づいて、前記システムにおけるセキュリティ上の脅威を抽出し、
　前記複数の設計項目に関する情報に対応付けられた前記評価項目に基づいて、前記抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、　前記抽出された前記システムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる、ことを有することを特徴とする評価方法。
　請求項７に記載の評価方法であって、
　前記装置は、
　前記表示部にセキュリティ上の脅威を評価する複数種類の評価手法に関する情報を表示させ、
　前記評価手法を示す評価手法情報を受け付け、
　受け付けた前記評価手法情報が示す前記評価手法の種類に応じて前記表示部に表示させる前記設計項目に関する情報を決定する、ことを特徴とする評価方法。
　請求項７に記載の評価方法であって、
　セキュリティ上の脅威を評価する手法として、ＣＶＳＳ（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｓｃｏｒｉｎｇ　Ｓｙｓｔｅｍ）を用いることを特徴とする評価方法。
　請求項７に記載の評価方法であって、
　前記装置が受け付ける前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、
　前記サブシステムに関する情報は、前記サブシステムの外部接続機器情報、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、であることを特徴とする評価方法。
　請求項１０に記載の評価方法であって、
　前記装置は、
　前記関与者種別情報とセキュリティ上の脅威を発生させる動機に関する動機情報とが対応付けられた第一の対応情報と、前記保護資産情報と脅威の種別に関する脅威種別情報とが対応付けられた第二の対応情報と、前記脅威種別情報と脅威の影響範囲を示す脅威影響範囲情報と脅威の内容を示す脅威内容情報とが対応付けられた第三の対応情報と、を格納し、
　前記第一の対応情報と前記第二の対応情報と前記第三の対応情報と入力部より入力された前記設計情報とに基づいて、前記サブシステムにおける脅威を抽出する、ことを特徴とする評価方法。
　請求項７に記載の評価方法であって、
　前記装置受け付ける前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、
　前記サブシステムに関する情報は、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、であり、
　前記装置は、
　前記受け付けた前記外部接続機器数情報と前記経路種別情報と前記認証回数情報とに基づいて、前記サブシステムにおける脅威リスク値を算出する、ことを特徴とする評価方法。