WO2019138542A1

WO2019138542A1 - 対策立案支援装置、対策立案支援方法及び対策立案支援プログラム

Info

Publication number: WO2019138542A1
Application number: PCT/JP2018/000667
Authority: WO
Inventors: 幸宏市川; 綱人中井
Original assignee: 三菱電機株式会社
Priority date: 2018-01-12
Filing date: 2018-01-12
Publication date: 2019-07-18
Also published as: JP6636226B2; JPWO2019138542A1; TW201931189A

Abstract

脅威分析部（２１）は、対象物の設計情報（４１）に基づき、対象物で発生し得る脅威を特定し、特定された脅威を防止するための対策を第１対策として特定する。規格導入部（２２）は、対象物に対して適用されるセキュリティに関する規格を示す規格情報（４２）と、設計情報（４１）とに基づき、規格情報（４２）が示す規格を満たすための対策を第２対策として特定する。結合部（２３）は、第１対策と第２対策とを結合してセキュア設計図（４３）を生成する。

Description

対策立案支援装置、対策立案支援方法及び対策立案支援プログラム

　この発明は、機器及びシステムといった対象物のセキュリティ対策の立案を支援する技術に関する。

　システムのセキュリティ対策を立案する場合には、セキュリティに関する規格の専門家とセキュリティの専門家とが、セキュリティに関する規格を満たしつつ、システムで発生し得る脅威を防止できる対策を検討する。しかし、この検討には、高い技術力が必要であり、工数もかかっていた。

　特許文献１には、システムのセキュリティ対策の立案を支援する技術が記載されている。特許文献１では、特別なフォーマットを用いてコンポーネントの数等を入力させ、システムで発生し得る脅威の分析を行うことにより、システムのセキュリティ対策の立案を支援している。

特開２０１７－１０７４０５号公報

　特許文献１に記載された技術は、セキュリティの専門家の作業を支援する技術である。そのため、特許文献１に記載された技術では、セキュリティに関する規格については何ら考慮されていない。仮に、特許文献１に記載された技術において、セキュリティに関する規格も考慮し、規格が要求する要件を満たしつつ、システムで発生し得る脅威を防止できる対策を特定しようとすると、煩雑な処理になる。
　この発明は、セキュリティに関する規格を満たしつつ、システムで発生し得る脅威を防止できる対策の立案を支援することを目的とする。

　この発明に係る対策立案支援装置は、
　対象物の設計情報に基づき、前記対象物で発生し得る脅威を特定し、特定された前記脅威を防止するための対策を第１対策として特定する脅威分析部と、
　前記対象物に対して適用されるセキュリティに関する規格を示す規格情報と、前記設計情報とに基づき、前記規格情報が示す前記規格を満たすための対策を第２対策として特定する規格導入部と、
　前記脅威分析部によって特定された前記第１対策と、前記規格導入部によって特定された前記第２対策とを結合して対策データを生成する結合部と
を備える。

　この発明では、設計情報に基づき脅威分析を行いセキュリティ対策を特定するとともに、セキュリティに関する規格に基づくセキュリティ対策を特定し、これらを組み合わせる。これにより、処理を煩雑にすることなく、セキュリティに関する規格を満たしつつ、システムで発生し得る脅威を防止できる対策の立案を支援することが可能である。

実施の形態１に係る対策立案支援装置１０の構成図。実施の形態１に係る設計情報４１の構成図。実施の形態１に係る対象物のユースケース図。実施の形態１に係る対象物の配置図。実施の形態１に係る表示器のクラス図。実施の形態１に係るセンサのクラス図。実施の形態１に係るｅｔｈｅｒと呼ばれる線のクラス図。実施の形態１に係る対象物のシーケンス図。実施の形態１に係るＤａｔａのクラス図。実施の形態１に係る対象物全体を定義したクラス図。実施の形態１に係る対策立案支援装置１０の全体的な処理のフローチャート。実施の形態１に係る脅威特定処理のフローチャート。実施の形態１に係る脅威データベース３１の説明図。実施の形態１に係る脅威特定結果４４の説明図。実施の形態１に係る対策特定処理のフローチャート。実施の形態１に係る対策データベース３２の説明図。実施の形態１に係る対策特定結果４５の説明図。実施の形態１に係る規格導入処理のフローチャート。実施の形態１に係る規格データベース３３の説明図。実施の形態１に係る規格導入結果４６の説明図。実施の形態１に係る結合処理のフローチャート。実施の形態１に係るセキュア設計図４３の説明図。実施の形態１に係るセキュア設計図４３の説明図。変形例１に係る対策立案支援装置１０の構成図。実施の形態２に係る対策立案支援装置１０の構成図。実施の形態２に係る対策候補データベース３４の生成処理のフローチャート。実施の形態２に係る対策候補データベース３４の説明図。実施の形態２に係る結合処理のフローチャート。実施の形態２に係るセキュア設計図４３の説明図。

　実施の形態１．
　＊＊＊構成の説明＊＊＊
　図１を参照して、実施の形態１に係る対策立案支援装置１０の構成を説明する。
　対策立案支援装置１０は、コンピュータである。対策立案支援装置１０は、設計情報４１と、規格情報４２とを入力として、セキュア設計図４３を生成する。
　対策立案支援装置１０は、プロセッサ１１と、メモリ１２と、ストレージ１３と、通信インタフェース１４とのハードウェアを備える。プロセッサ１１は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　プロセッサ１１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ１１は、具体例としては、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。

　メモリ１２は、データを一時的に記憶する記憶装置である。メモリ１２は、具体例としては、ＳＲＡＭ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。

　ストレージ１３は、データを保管する記憶装置である。ストレージ１３は、具体例としては、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。また、ストレージ１３は、ＳＤ（登録商標，Ｓｅｃｕｒｅ　Ｄｉｇｉｔａｌ）メモリカード、ＣＦ（ＣｏｍｐａｃｔＦｌａｓｈ，登録商標）、ＮＡＮＤフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ（登録商標）ディスク、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋ）といった可搬記録媒体であってもよい。

　通信インタフェース１４は、外部の装置と通信するためのインタフェースである。通信インタフェース１４は、具体例としては、Ｅｔｈｅｒｎｅｔ（登録商標）、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）、ＨＤＭＩ（登録商標，Ｈｉｇｈ－Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅ）のポートである。

　対策立案支援装置１０は、機能構成要素として、脅威分析部２１と、規格導入部２２と、結合部２３とを備える。脅威分析部２１は、脅威特定部２４と、対策特定部２５とを備える。対策立案支援装置１０の各機能構成要素の機能はソフトウェアにより実現される。
　ストレージ１３には、対策立案支援装置１０の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ１１によりメモリ１２に読み込まれ、プロセッサ１１によって実行される。これにより、対策立案支援装置１０の各機能構成要素の機能が実現される。

　ストレージ１３は、脅威データベース３１と、対策データベース３２と、規格データベース３３との機能を実現する。

　図１では、プロセッサ１１は、１つだけ示されていた。しかし、プロセッサ１１は、複数であってもよく、複数のプロセッサ１１が、各機能を実現するプログラムを連携して実行してもよい。

　設計情報４１は、機器及びシステムといった対象物の構成及び動作を示す情報である。ここでは、設計情報４１は、ＵＭＬ（Ｕｎｉｆｉｅｄ　Ｍｏｄｅｌｉｎｇ　Ｌａｎｇｕａｇｅ）及びＳｙｓＭＬ（Ｓｙｓｔｅｍｓ　Ｍｏｄｅｌｉｎｇ　Ｌａｎｇｕａｇｅ）といった標準化されたフォーマットに則った形式で記述された情報である。
　具体的には、設計情報４１は、（１）ハードウェア及びソフトウェアの構成情報が記載された配置図又はブロック図と、（２）（１）の図が示すコンポーネントが内部で有する機能及び情報が記載されたクラス図又はブロック図と、（３）（１）及び（２）の図が示すコンポーネント及び機能のやり取り及び手順が記載されたシーケンス図とである。

　図２に示すように、設計情報４１は、テンプレート化されている。図２では、設計情報４１は、コンポーネントクラス図５１と、情報クラス図５２とを含む。
　コンポーネントクラス図５１は、ハードウェア及びソフトウェアを示す。コンポーネントクラス図５１は、以下の（Ａ１）（Ａ２）の２つの情報を定義する。（Ａ１：境界情報）境界情報は、ネットワークにおける位置を示す。境界情報は、例えば、Ｗｅｂ等の外部接続と同等の位置にコンポーネントが設置されるのか、社内等の内部にコンポーネントが設置されるのかを示す。（Ａ２：コンポーネント識別情報）コンポーネント識別情報は、コンポーネントの種別を示す。コンポーネント識別情報は、例えば、コンポーネントが機器であるか、ソフトウェアであるか、接続線であるかを示す。
　データクラス図５２は、コンポーネントが管理又は通信するデータを示す。データクラス図５２は、データについて以下の（Ｂ１）～（Ｂ６）の６つの情報を定義する。（Ｂ１：重要度）重要度は、公開してもよいデータか、社外秘と秘といった公開してはいけないデータかといった分類である。（Ｂ２：場所識別子）場所識別子は、コンポーネント識別情報とリンクする情報であり、データが存在する構成要素を示す。（Ｂ３：タイプ）タイプは、一般データか、パスワードか、鍵かといったデータの分類を示す。（Ｂ４：オーナ）オーナは、データを有するコンポーネントの所有者を示す。（Ｂ５：送信元）送信元は、コンポーネント識別データが通信を示す場合に通信の送信元が設定される。（Ｂ６：送信先）送信先は、コンポーネント識別データが通信を示す場合に通信の送信先が設定される。

　規格情報４２は、対象物に適用される、規格の名称と、規格のレベルとを示す情報である。具体的には、規格情報４２は、ＩＥＣ６２４４３やＥＤＳＡ（Ｅｍｂｅｄｄｅｄ　Ｄｅｖｉｃｅ　Ｓｅｃｕｒｉｔｙ　Ａｓｓｕｒａｎｃｅ）認証といった規格名称と、規格名称が示す規格に関連付けされるセキュリティレベルを示す。

　セキュア設計図４３は、対象物に対して実施すべきセキュリティ対策を示す情報である。セキュア設計図４３は、対策とともに、対策に対応する脅威又は規格の要件を示してもよい。

　＊＊＊動作の説明＊＊＊
　図３から図２３を参照して、実施の形態１に係る対策立案支援装置１０の動作を説明する。
　実施の形態１に係る対策立案支援装置１０の動作は、実施の形態１に係る対策立案支援方法に相当する。また、実施の形態１に係る対策立案支援装置１０の動作は、実施の形態１に係る対策立案支援プログラムの処理に相当する。

　＜設計情報４１の例＞
　図３から図１０を参照して、以下の説明で用いる設計情報４１について説明する。
　図３に示すように、対象物は、アクターとして監視員が設定され、監視員がセンサの値を確認するユースケースを示す。ユースケース図は、対策立案支援装置１０の入力としては不要であるが、他の設計情報４１の理解を助けるために用いられる。

　図４に示すように、対象物のハードウェアコンポーネントは定義される。対象物は、ハードウェアコンポーネントとして、ｄｉｓｐｌａｙと定義された表示器と、ｓｅｎｓｏｒと定義されたセンサと、表示器とセンサとを接続するｅｔｈｅｒと呼ばれる線とを備える。ここで、ステレオタイプ＜＜＞＞で定義された情報は、定義又は名称でありｅｔｈｅｒｎｅｔなどの特殊な接続線を示す情報ではない。

　図５に示すように、表示器は定義される。表示器は、データと境界情報と識別子とを保管する領域を備える。表示器は、センサからデータを取得するための機能（ｇｅｔＤａｔａ）と、表示器に取得したデータを表示するための機能（ｒｕｎＤｉｓｐｌａｙ）とを備える。表示器は、ＨＭＩ（Ｈｕｍａｎ　Ｍａｃｈｉｎｅ　Ｉｎｔｅｒｆａｃｅ）のインタフェースと、Ｄｅｖｉｃｅのインタフェースとが実装されている。
　データは、取得されたセンサ値である。境界情報は、社内といった内部に設置される場合には０、外部に設置される場合には２、外部と内部とのどちらにも設置される場合には１が設定される。識別子は、種別を示し、機器の場合には１、通信機器の場合には２、携帯端末の場合には３が設定される。

　図６に示すように、センサは定義される。センサは、境界情報と識別子とを保管する領域を備える。センサは、データを別の機器へ送信する機能（ｐｕｔＶａｌｕｅ）を備える。センサは、Ｄｅｖｉｃｅのインタフェースが実装されている。
　境界情報は、社内といった内部に設置される場合には０、外部に設置される場合には２、外部と内部とのどちらにも設置される場合には１が設定される。識別子は、種別を示し、機器の場合には１、通信機器の場合には２、携帯端末の場合には３が設定される。

　図７に示すように、ｅｔｈｅｒと呼ばれる線は定義される。ｅｔｈｅｒと呼ばれる線は、境界情報と識別子とを保管する領域を備える。
　境界情報は、社内といった内部に設置される場合には０、外部に設置される場合には２、外部と内部とのどちらにも設置される場合には１が設定される。識別子は、種別を示し、通信路の場合には１０が設定される。

　図８に示すように、対象物は動作する。つまり、監視員は、ＣｏｎｔｒｏｌＤａｔａを入力して、表示器のｒｕｎＤｉｓｐｌａｙ機能を呼び出す。表示器は、ｒｕｎＤｉｓｐｌａｙ機能が呼び出されると、ｇｅｔＤａｔａ機能を実行する。すると、センサのｐｕｔＶａｌｕｅ機能が呼び出され、ｃｏｍｍＤａｔａが応答としてセンサから返される。表示器は、ｃｏｍｍＤａｔａをＤｉｓｐｌａｙＤａｔａとして表示する。表示されたＤｉｓｐｌａｙＤａｔａは、ＦｉｌｅＤａｔａとして監視員に取得される。

　図９に示すように、図８に示すシーケンス図で登場した各データは、重要度と場所識別子とタイプとオーナとの情報を保管する領域を備える。各データは、これらの情報を取得する機能と設定する機能とを備える。各データとは、図８に示すＣｏｎｔｒｏｌＤａｔａと、ｃｏｍｍＤａｔａと、ＤｉｓｐｌａｙＤａｔａと、ＦｉｌｅＤａｔａとである。
　重要度は公開の場合には０、社外秘の場合には１、秘の場合には２、極秘の場合には３が設定される。場所識別子は、他のクラス図の識別子とリンクしており、データが存在するコンポーネントを示す。また、場所識別子は、物理情報として１００といった表現を扱うこともできる。タイプは、一般データの場合には１、パスワードの場合には２、鍵の場合には３、証明書の場合には４が設定される。オーナは、データを保有しているコンポーネント名が設定される。

　図１０に示すように、対象物全体は定義される。図１０に示す情報が、設計情報４１の一例である。図１０に示す情報は、図３から図９に示す情報を用いて具体化されている。そのため、対象物の設計者は、図１０に示す情報を直接生成してもよい。

　なお、図３から図９で説明した値は、一例であり、適宜変更可能である。但し、境界情報に関しては、外部のようにリスク発生の可能性が高くなるほど、大きい値が設定されるものとする。

　＜対策立案支援装置１０の全体的な処理＞
　図１１を参照して、実施の形態１に係る対策立案支援装置１０の全体的な処理を説明する。
　（ステップＳ１：脅威特定処理）
　脅威特定部２４は、対象物の設計情報４１に基づき、対象物で発生し得る脅威を特定する。
　具体的には、脅威特定部２４は、場所識別子とタイプとの組合せに応じた脅威を示す脅威データベース３１を参照する。そして、脅威特定部２４は、対象物で用いられるデータについて設計情報４１が示す場所識別子と、データについて設計情報４１が示すタイプとの組合せに対応する脅威を特定する。脅威特定部２４は、特定された脅威をメモリ１２に書き込む。

　（ステップＳ２：対策特定処理）
　対策特定部２５は、ステップＳ１で特定された脅威を防止するための対策を第１対策として特定する。
　具体的には、対策特定部２５は、脅威と、場所識別子又はタイプとの組合せに応じた対策を示す対策データベースを参照する。そして、対策特定部２５は、データについて設計情報４１が示す場所識別子、又は、データについて設計情報４１が示すタイプと、データについてステップＳ１で特定された脅威との組合せに対応する対策を第１対策として特定する。対策特定部２５は、特定された第１対策をメモリ１２に書き込む。

　（ステップＳ３：規格導入処理）
　規格導入部２２は、対象物に対して適用されるセキュリティに関する規格を示す規格情報４２と、設計情報４１とに基づき、規格情報４２が示す規格を満たすための対策を第２対策として特定する。
　具体的には、規格導入部２２は、規格のレベルと、場所識別子との組合せに応じた対策を示す規格データベースを参照して、対象物に対して導入する規格のレベルと、対象物の構成物の場所識別子とに対応する対策を第２対策として特定する。

　（ステップＳ４：結合処理）
　結合部２３は、ステップＳ２で特定された第１対策と、ステップＳ３で特定された第２対策とを結合して対策データであるセキュア設計図４３を生成する。

　＜脅威特定処理＞
　図１２から図１４を参照して、実施の形態１に係る脅威特定処理を説明する。
　（ステップＳ１１：受付処理）
　脅威特定部２４は、設計情報４１の入力を受け付ける。

　（ステップＳ１２：対象判定処理）
　脅威特定部２４は、処理対象のクラスを特定する。処理対象のクラスは、対象物で用いられるデータ等のクラスである。属性に重要度を有するクラスを抽出することにより、処理対象のクラスを特定することができる。図３から図１０で説明した例では、処理対象のクラスは、ＣｏｎｔｒｏｌＤａｔａと、ｃｏｍｍＤａｔａと、ＤｉｓｐｌａｙＤａｔａと、ＦｉｌｅＤａｔａとのクラスである。

　ステップＳ１２で特定された各クラスを対象として、ステップＳ１３からステップＳ１５の処理が実行される。

　（ステップＳ１３：キーワード取得処理）
　脅威特定部２４は、設計情報４１から、対象とするクラスの場所識別子及びタイプをキーワードとして取得する。
　例えば、対象とするクラスが図１０に示すＦｉｌｅＤａｔａのクラスの場合には、場所識別子“１”及びタイプ“１”がキーワードとして取得される。

　（ステップＳ１４：脅威検索処理）
　脅威特定部２４は、ステップＳ１３で取得されたキーワードにより、脅威データベース３１を検索して、キーワードに対応する脅威を特定する。
　具体的には、図１３に示すように、脅威データベース３１は、ツリー型のデータベースであり、各ノードには、脅威名称と、脅威の特性と、識別子と、タイプと、脆弱性情報とが設定されている。ノードに設定された脅威情報は、ノードが葉に近いほど具体的な内容になっている。脅威データベース３１は、アタックツリー及びゴールモデルといった一般的なものであり、かつ、脅威の網羅度が高いものを採用することが望ましい。脅威特定部２４は、キーワードに含まれる場所識別子とノードの識別子が一致し、かつ、キーワードに含まれるタイプとノードのタイプが一致するノードを根から葉に向かって辿れるだけ辿る。脅威特定部２４は、到達したノードに設定された脅威名称及び脆弱性情報を取得する。
　例えば、対象とするクラスが図１０に示すＦｉｌｅＤａｔａのクラスの場合には、場所識別子“１”及びタイプ“１”がキーワードである。そのため、脅威名称として、装置内部のデータの改ざん・暴露・消去が取得され、脆弱性情報として、ＣＷＥ－３１２が取得される。

　（ステップＳ１５：脅威値計算処理）
　脅威特定部２４は、対象とするクラスの重要度と、対象とするクラスのオーナの境界情報とから、脅威値を計算する。具体的には、脅威特定部２４は、対象とするクラスの重要度に、対象とするクラスのオーナの境界情報を乗じて、脅威値を計算する。
　例えば、対象とするクラスが図１０に示すＦｉｌｅＤａｔａのクラスの場合には、ＦｉｌｅＤａｔａのクラスの重要度は２である。また、ＦｉｌｅＤａｔａのクラスのオーナは表示器１であり、表示器１の境界情報は１である。したがって、脅威値は２（＝２×１）である。

　（ステップＳ１６：結果出力処理）
　脅威特定部２４は、脅威特定処理を実行して得られた結果を脅威特定結果４４としてまとめ、対策特定部２５に出力する。
　図１４に示すように、脅威特定処理を実行した結果、ＣｏｎｔｒｏｌＤａｔａと、ｃｏｍｍＤａｔａと、ＤｉｓｐｌａｙＤａｔａと、ＦｉｌｅＤａｔａとのクラスについての脅威が特定される。なお、図１４では、ＤｉｓｐｌａｙＤａｔａについての脅威は省略されている。ここでは、ＦｉｌｅＤａｔａのクラスについては脅威１が特定され、ｃｏｍｍＤａｔａのクラスについては脅威２が特定され、ＣｏｎｔｒｏｌＤａｔａのクラスについては脅威３が特定されている。
　図１４では、各クラスについて特定された脅威における脅威名称及び脆弱性情報には、ステップＳ１４で取得された脅威名称及び脆弱性情報が設定されている。識別子とタイプとオーナとには、対象のクラスについての場所識別子とタイプとオーナとが設定されている。脅威値には、ステップＳ１５で計算された脅威値が設定されている。

　＜対策特定処理＞
　図１５から図１７を参照して、実施の形態１に係る対策特定処理を説明する。
　（ステップＳ２１：受付処理）
　対策特定部２５は、脅威特定結果４４の入力を受け付ける。

　（ステップＳ２２：脅威判定処理）
　対策特定部２５は、処理対象の脅威を特定する。処理対象の脅威は、脅威特定結果４４に含まれる全ての脅威である。図１４に示す脅威特定結果４４の場合には、処理対象の脅威は、脅威１と脅威２と脅威３とである。

　ステップＳ２２で特定された各脅威を対象として、ステップＳ２３及びステップＳ２４の処理が実行される。

　（ステップＳ２３：キーワード取得処理）
　対策特定部２５は、脅威特定結果４４から、対象とする脅威についての脅威名称と、識別子と、タイプと、脅威値とをキーワードとして取得する。
　例えば、対象とする脅威が図１４に示す脅威１の場合には、脅威名称“装置内部のデータの改ざん・暴露・消去”と、識別子“１”と、タイプ“１”と、脅威値“２”とが取得される。

　（ステップＳ２４：対策検索処理）
　対策特定部２５は、ステップＳ２３で取得されたキーワードにより、対策データベース３２を検索して、キーワードに対応する対策を特定する。
　具体的には、図１６に示すように、対策データベース３２は、脅威名称及び対象毎に、対策と、対策ＩＤとを有する表形式のデータベースである。対象には、識別子とタイプと脅威値とのいずれかが設定されている。なお、図１６では、対策データベース３２は、表形式のデータベースであるが、アタックディフェンスツリーといったツリー型のデータベースであってもよい。対策特定部２５は、キーワードに含まれる脅威名称と、識別子又はタイプ又は脅威値との組により、対策データベース３２を検索する。つまり、対策特定部２５は、キーワードに含まれる脅威名称と、対策データベース３２のレコードの脅威名称が一致し、かつ、キーワードに含まれる識別子又はタイプ又は脅威値と対策データベース３２のレコードの識別子又はタイプ又は脅威値とが一致するレコードを特定する。対策特定部２５は、特定されたレコードに設定された対策及び対策ＩＤを取得する。
　例えば、対象とする脅威が図１４の脅威２の場合には、脅威名称が通信路上の盗聴・改ざんであり、かつ、識別子が１０のレコードと、脅威名称が通信路上の盗聴・改ざんであり、かつ、タイプが１のレコードとが特定される。その結果、送信先でぺ根とレーション試験を実施するという対策、及び、対策ＩＤ“１５－４２”と、送信元でデータを暗号化する、送信先でデータを復号するという対策、及び、対策ＩＤ“１６－４６”とが取得される。なお、対象とする脅威が図１４の脅威１，３の場合には、対応する対策が特定されない。

　（ステップＳ２５：結果出力処理）
　対策特定部２５は、対策特定処理を実行して得られた結果を対策特定結果４５としてまとめ、結合部２３に出力する。
　図１７に示すように、対策特定処理を実行した結果、脅威２については対策が特定されている。一方、脅威１，３については対策が特定されていない。

　＜規格導入処理＞
　図１８から図２０を参照して、実施の形態１に係る規格導入処理を説明する。
　（ステップＳ３１：受付処理）
　規格導入部２２は、設計情報４１と規格情報４２との入力を受け付ける。
　ここでは、規格情報４２には、ＥＤＳＡ認証の機能的セキュリティ要件と、レベル１とが指定されているものとする。

　（ステップＳ３２：キーワード取得処理）
　規格導入部２２は、規格情報４２から規格及びレベルをキーワードとして取得する。ここでは、ＥＤＳＡ認証の機能的セキュリティ要件と、レベル１とがキーワードとして取得される。

　（ステップＳ３３：対策検索処理）
　規格導入部２２は、ステップＳ３２で取得されたキーワードにより、規格データベース３３を検索して、キーワードに対応する対策を特定する。
　具体的には、図１９に示すように、規格データベース３３は、規格毎に用意されており、対策名称及び対象毎に、要求と、レベルと、ＩＤと、対策ＩＤと、新規コンポーネントとを有する表形式のデータベースである。対策名称は、対策に付された名称である。対象は、対策が必要なコンポーネントを絞り込むために利用される情報であり、（ｉ）～（ｉｉｉ）の３段階の情報が格納される。ここでは、対象は３段階であるがこれに限定されるものではない。要求には、対策の内容が格納される。レベルは、要求される規格のレベルを示す。対策ＩＤは、対策データベース３２と同じ粒度で割り当てられ、同じ対策には同じ対策ＩＤが割り当てられる。新規コンポーネントは、対応するコンポーネントが対象物に存在しない場合には、新たにコンポーネントを追加する必要があることを示す。
　規格導入部２２は、キーワードに含まれる規格とレベルとで対象となるレコードを絞り込む。ここでは、規格導入部２２は、ＥＤＳＡ認証の機能的セキュリティ要件とレベル１とでレコードを絞り込む。すると、規格名称がデータ伝送における平文の不使用であるレコードが特定される。規格導入部２２は、特定されたレコードの情報を取得する。

　（ステップＳ３４：対象特定処理）
　規格導入部２２は、ステップＳ３３で特定されたレコードの対象となるコンポーネントを特定する。具体的には、規格導入部２２は、設計情報４１が示すコンポーネントから、レコードの対象に設定された内容に合致するコンポーネントを特定する。
　ここでは、規格導入部２２は、場所識別子が１０であるデータを特定する。すると、図１０に示すｃｏｍｍＤａｔａが特定される。さらに、規格導入部２２は、ｃｏｍｍＤａｔａの送信元であり、識別子が１又は２又は３であるコンポーネントと、ｃｏｍｍＤａｔａの送信先であり、識別子が１又は２又は３であるコンポーネントとを特定する。すると、図１０に示すセンサ１と表示器１とが特定される。

　（ステップＳ３５：結果出力処理）
　規格導入部２２は、規格導入処理を実行して得られた結果を規格導入結果４６としてまとめ、結合部２３に出力する。
　図２０に示すように、規格導入処理を実行した結果、センサ１に符号化（Ｅｎｃｏｄｅ）するという対策が特定され、表示器１に符号化（Ｄｅｃｏｄｅ）するという対策が特定される。

　＜結合処理＞
　図２１から図２３を参照して、実施の形態１に係る結合処理を説明する。
　（ステップＳ４１：受付処理）
　結合部２３は、対策特定処理で生成された対策特定結果４５と、規格導入処理で生成された規格導入結果４６との入力を受け付ける。

　（ステップＳ４２：対策結合処理）
　結合部２３は、ステップＳ４１で受け付けられた対策特定結果４５と規格導入結果４６とを結合してセキュア設計図４３を生成する。具体的には、図２２に示すように、図１７に示す対策特定結果４５と、図２０に示す規格導入結果４６とを単純に１つにまとめ、セキュア設計図４３を生成する。
　対策特定結果４５では、データと脅威と対策と機器とが関連付けられている。規格導入結果４６では、機器と規格要件とが関連付けられている。対策特定結果４５と規格導入結果４６とを結合することにより、機器を中心に、規格要件と、情報資産と、脅威と、対策とが関連付けられる。

　（ステップＳ４３：情報整理処理）
　結合部２３は、ステップＳ４２で生成された統合結果から、不要な情報を削除して、セキュア設計図４３を整理する。
　具体的には、結合部２３は、データと脅威と対策とのみが関連付けされており、対策を機器に適用することがない情報は、不要な情報として扱う。また、結合部２３は、データのみで関連付けられていない情報も、不要な情報として扱う。結合部２３は、図２２に示すセキュア設計図４３から、これらの不要な情報を削除して、図２３のように情報を整理する。
　図２３に示すように、表示器１は、規格要件として、符号化（Ｄｅｃｏｄｅ）することが要求されている。また、表示器１は、通信路上の盗聴・改ざんという脅威２が関連しており、この脅威２の対策としてデータを復号することが上げられている。センサ１は、規格要件として、符号化（Ｅｎｃｏｄｅ）することが要求されている。また、センサ１は、通信路上の盗聴・改ざんという脅威２が関連しており、この脅威２の対策として、データを暗号化すること、及び、ペネトレーション試験を実施することが上げられている。

　ここで、対策ＩＤは、ＸＸ－ＹＹという構成になっている。ＸＸは大分類を表し、ＹＹは小分類を表している。したがって、ＸＸが同じ対策は、同じ大分類の対策であることを意味する。つまり、ＸＸが同じ対策は、類似の対策であることを意味する。具体例としては、大分類は、アクセス制御と、構成管理と、物理環境による保護と、システム及び通信の保護と、システム及びサービスの調達要件といった内容である。また、小分類としては、大分類がシステム及び通信の保護である場合には、暗号鍵の確立及び管理と、セキュリティ機能の隔離といった内容である。
　例えば、図２３に示すように、表示器１について、規格要件で上げられている対策と、脅威２の対策とは、いずれも対策ＩＤの大分類が１６で共通していることが分かる。

　＊＊＊実施の形態１の効果＊＊＊
　以上のように、実施の形態１に係る対策立案支援装置１０は、設計情報に基づき脅威分析を行いセキュリティ対策を特定するとともに、セキュリティに関する規格に基づくセキュリティ対策を特定し、これらを組み合わせる。これにより、処理を煩雑にすることなく、セキュリティに関する規格を満たしつつ、システムで発生し得る脅威を防止できる対策の立案を支援することが可能である。
　つまり、セキュリティに関する規格では対応しづらい要件に対しては、脅威分析を行うことにより明確化し、脅威分析では対応しづらい明示の無い基準に対しては、セキュリティに関する規格に基づき明確化する。これにより、互いの欠点を補い、セキュリティとして明確な基準と多くの範囲に対応した対策を検討することが可能である。

　ここで、ステップＳ１３でキーワードとして取得された場所識別子とタイプとは、コンポーネントの種別と、データの分類とである。そのため、セキュリティの専門家でなくても容易に入力できる情報である。また、脅威値の計算に用いられる重要度と境界情報とは、データの公開レベルを示す情報と、コンポーネントの設置位置を示す情報とである。そのため、セキュリティの専門家でなくても容易に入力できる情報である。
　実施の形態１に係る対策立案支援装置１０では、場所識別子とタイプと重要度と境界情報とに基づき、脅威分析がされ、対策が特定される。そのため、セキュリティの専門家でなくても容易に対策を特定することが可能である。

　＊＊＊他の構成＊＊＊
　＜変形例１＞
　実施の形態１では、各機能構成要素がソフトウェアで実現された。しかし、変形例１として、各機能構成要素はハードウェアで実現されてもよい。この変形例１について、実施の形態１と異なる点を説明する。

　図２４を参照して、変形例１に係る対策立案支援装置１０の構成を説明する。
　各機能構成要素がハードウェアで実現される場合には、対策立案支援装置１０は、プロセッサ１１とメモリ１２とストレージ１３とに代えて、電子回路１５を備える。電子回路１５は、各機能構成要素と、メモリ１２と、ストレージ１３との機能とを実現する専用の回路である。

　電子回路１５としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ（Ｇａｔｅ　Ａｒｒａｙ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）が想定される。
　各機能構成要素を１つの電子回路１５で実現してもよいし、各機能構成要素を複数の電子回路１５に分散させて実現してもよい。

　＜変形例２＞
　変形例２として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。

　プロセッサ１１とメモリ１２とストレージ１３と電子回路１５とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。

　実施の形態２．
　実施の形態２は、対策を階層的に特定する点が実施の形態１と異なる。実施の形態２では、この異なる点を説明し、同一の点については説明を省略する。

　＊＊＊構成の説明＊＊＊
　図２５を参照して、実施の形態２に係る対策立案支援装置１０の構成を説明する。
　対策立案支援装置１０は、ストレージ１３が対策候補データベース３４を実現する点が、図１に示す対策立案支援装置１０と異なる。
　対策候補データベース３４は、対策データベース３２と規格データベース３３とが結合されて生成されたデータベースである。

　＊＊＊動作の説明＊＊＊
　図２６を参照して、実施の形態２に係る対策候補データベース３４の生成処理を説明する。
　規格データベース３３に記憶された各対策ＩＤを対象として、ステップＳ５１からステップＳ５３の処理が実行される。

　（ステップＳ５１：要素判定処理）
　結合部２３は、対象の対策ＩＤと同じ対策ＩＤを持つ対策データベース３２のレコードを特定する。
　結合部２３は、レコードが特定された場合には、処理をステップＳ５２に進める。一方、結合部２３は、レコードが特定されなかった場合には、処理をステップＳ５３に進める。

　（ステップＳ５２：第１書込処理）
　結合部２３は、対象の対策ＩＤを有する規格データベース３３のレコードの内容と、ステップＳ５１で特定された対策データベース３２のレコードの内容とを、対策候補データベース３４に書き込む。
　具体的には、結合部２３は、対策候補データベース３４の対策ＩＤの項目に、対象の対策ＩＤを書き込む。結合部２３は、対策候補データベース３４の要求＋対策の項目に、対象の対策ＩＤを有する規格データベース３３のレコードの要求の項目の内容と、特定された対策データベース３２のレコードの対策の項目の内容とを書き込む。結合部２３は、脅威特定部２４のＩＤの項目に、対象の対策ＩＤを有する規格データベース３３のレコードのＩＤの項目の内容を書き込む。

　（ステップＳ５３：第２書込処理）
　結合部２３は、対象の対策ＩＤを有する規格データベース３３のレコードの内容を、対策候補データベース３４に書き込む。
　具体的には、結合部２３は、対策候補データベース３４の対策ＩＤの項目に、対象の対策ＩＤを書き込む。結合部２３は、対策候補データベース３４の要求＋対策の項目に、対象の対策ＩＤを有する規格データベース３３のレコードの要求の項目の内容を書き込む。結合部２３は、脅威特定部２４のＩＤの項目に、対象の対策ＩＤを有する規格データベース３３のレコードのＩＤの項目の内容を書き込む。

　図２７を参照して、対策候補データベース３４の具体的な生成例を説明する。
　図１９に示す規格データベース３３における対策ＩＤ“１６－４６”と同じ対策ＩＤを持つレコードを図１６に示す対策データベース３２から検索すると、レコードが特定される。そのため、対策候補データベース３４には、対策ＩＤ“１６－４６”に関しては、規格データベース３３だけでなく、対策データベース３２における対策ＩＤ“１６－４６”の内容が書きこまれる。具体的には、対策候補データベース３４の要求＋対策の項目に、規格データベース３３における要求の内容と、対策データベース３２における対策の内容とが書き込まれる。
　また、図１９に示す規格データベース３３における対策ＩＤ“１６－４５”と同じ対策ＩＤを持つレコードを図１６に示す対策データベース３２から検索すると、レコードが特定されない。そのため、対策候補データベース３４には、対策ＩＤ“１６－４５”に関しては、規格データベース３３における対策ＩＤ“１６－４５”の内容が書きこまれる。

　図２８及び図２９を参照して、実施の形態２に係る結合処理を説明する。
　ステップＳ６１からステップＳ６３の処理は、図２１のステップＳ４１からステップＳ４３の処理と同じである。

　（ステップＳ６４：階層化処理）
　結合部２３は、対策候補データベース３４を参照して、ステップＳ６３で整理されたセキュア設計図４３の対策に対する、上位の対策と下位の対策とを特定する。結合部２３は、上位の対策と下位の対策との少なくともいずれかが特定された場合には、特定された対策をセキュア設計図４３に追記する。
　具体的には、結合部２３は、セキュア設計図４３に含まれる各対策を対象として、対象の対策についてのＩＤに基づき、対策候補データベース３４を検索して対象の対策の上位の対策と下位の対策とを特定する。ここで、ＩＤは、階層的な構造になっている。具体的には、ＩＤがＸ－Ｙとなっている対策は、ＩＤがＸの対策の下位の対策であり、ＩＤがＸ－Ｙ－Ｚとなっている対策の上位の対策であることを意味する。そこで、結合部２３は、対象の対策の対策ＩＤと対策の内容に基づき、対策候補データベース３４を検索して、対象の対策のＩＤを特定する。そして、結合部２３は、特定されたＩＤをキーワードとして、上位の対策と下位の対策とを特定する。そして、結合部２３は、特定された上位の対策を、対象の対策の上位に追記し、特定された下位の対策を、対象の対策の下位に追記する。

　図２９に示すように、図２３に示す対策２－１（１）と対策２－１（２）との上位の対策が特定される。図２３に示す対策２－１（１）は、対策ＩＤが１６－４６であり、対策の内容がデータを復号するであることから、ＩＤが２－１であると特定される。そのため、ＩＤが２の符号化（Ｄｅｃｏｄｅ）するという対策が上位の対策であることが特定される。同様に、図２３に示す対策２－１（２）は、対策ＩＤが１６－４６であり、対策の内容がデータを暗号化するであることから、ＩＤが１－１であることが特定される。そのため、ＩＤが１の符号化（Ｅｎｃｏｄｅ）するという対策が上位の対策であることが特定される。
　つまり、復号するという対策の上位には符号化（Ｄｅｃｏｄｅ）するという対策があり、暗号化するという対策の上位には符号化（Ｅｎｃｏｄｅ）するという対策があることが分かる。

　なお、結合部２３は、上位の対策が特定された場合には、さらに上位の対策を特定して、下位の対策が特定された場合には、さらに下位の対策を特定する。図２９では、対策２－１（１）と対策２－１（２）との上位の対策に対する上位の対策はないため、対策２－１（１）と対策２－１（２）との上位の対策だけが追記されている。

　＊＊＊実施の形態２の効果＊＊＊
　以上のように、実施の形態２に係る対策立案支援装置１０は、上位の対策及び下位の対策を特定して、階層的な対策を明確化する。これにより、例えば、上位の階層の対策から実装を検討し、徐々に下位の階層の対策の実装を検討するといった作業の進め方が可能になる。そのため、脅威に対する対策に優先度を付けて対応することが可能になる。

　１０　対策立案支援装置、１１　プロセッサ、１２　メモリ、１３　ストレージ、１４　通信インタフェース、１５　電子回路、２１　脅威分析部、２２　規格導入部、２３　結合部、２４　脅威特定部、２５　対策特定部、３１　脅威データベース、３２　対策データベース、３３　規格データベース、３４　対策候補データベース、４１　設計情報、４２　規格情報、４３　セキュア設計図、４４　脅威特定結果、４５　対策特定結果、４６　規格導入結果、５１　コンポーネントクラス図、５２　情報クラス図。

Claims

　対象物の設計情報に基づき、前記対象物で発生し得る脅威を特定し、特定された前記脅威を防止するための対策を第１対策として特定する脅威分析部と、
　前記対象物に対して適用されるセキュリティに関する規格を示す規格情報と、前記設計情報とに基づき、前記規格情報が示す前記規格を満たすための対策を第２対策として特定する規格導入部と、
　前記脅威分析部によって特定された前記第１対策と、前記規格導入部によって特定された前記第２対策とを結合して対策データを生成する結合部と
を備える対策立案支援装置。
　前記設計情報は、前記対象物で用いられるデータが存在する構成要素を示す場所識別子と、前記対象物で用いられるデータの分類を示すタイプとを示し、
　前記脅威分析部は、
　前記場所識別子と前記タイプとの組合せに応じた脅威を示す脅威データベースを参照して、前記対象物で用いられるデータについて前記設計情報が示す場所識別子と、前記データについて前記設計情報が示すタイプとの組合せに対応する脅威を特定する脅威特定部
を備える請求項１に記載の対策立案支援装置。
　前記脅威分析部は、
　脅威と、前記場所識別子又は前記タイプとの組合せに応じた対策を示す対策データベースを参照して、前記データについて前記脅威特定部によって特定された脅威と、前記データについて前記設計情報が示す場所識別子、又は、前記データについて前記設計情報が示すタイプとの組合せに対応する対策を前記第１対策として特定する対策特定部と
を備える請求項２に記載の対策立案支援装置。
　前記設計情報は、前記対象物で用いられるデータの重要度と、前記対象物の構成要素の設置位置である境界情報とを示し、
　前記脅威特定部は、前記データについて前記設計情報が示す重要度と、前記データの場所識別子が示す構成要素について前記設計情報が示す境界情報とから、前記データについて特定された脅威のレベルを示す脅威値を計算し、
　前記脅威データベースは、脅威と脅威値との組合せに対応する対策を示し、
　前記対策特定部は、前記データについて特定された脅威と、前記脅威について計算された脅威値との組合せに対応する対策を前記第１対策として特定する
請求項３に記載の対策立案支援装置。
　前記設計情報は、前記対象物で用いられるデータが存在する構成要素を示す場所識別子を示し、
　前記規格導入部は、規格のレベルと、前記場所識別子との組合せに応じた対策を示す規格データベースを参照して、前記対象物に対して導入する規格のレベルと、前記対象物の構成物の場所識別子とに対応する対策を前記第２対策として特定する
請求項１から４までのいずれか１項に記載の対策立案支援装置。
　前記結合部は、前記規格情報が示す規格において、前記第１対策の上位の対策と下位の対策との少なくともいずれかの対策が規定されている場合には、規定されている対策を特定する
請求項１から５までのいずれか１項に記載の対策立案支援装置。
　脅威分析部が、対象物の設計情報に基づき、前記対象物で発生し得る脅威を特定し、特定された前記脅威を防止するための対策を第１対策として特定し、
　規格導入部が、前記対象物に対して適用されるセキュリティに関する規格を示す規格情報と、前記設計情報とに基づき、前記規格情報が示す前記規格を満たすための対策を第２対策として特定し、
　結合部が、前記第１対策と前記第２対策とを結合して対策データを生成する対策立案支援方法。
　対象物の設計情報に基づき、前記対象物で発生し得る脅威を特定し、特定された前記脅威を防止するための対策を第１対策として特定する脅威分析処理と、
　前記対象物に対して適用されるセキュリティに関する規格を示す規格情報と、前記設計情報とに基づき、前記規格情報が示す前記規格を満たすための対策を第２対策として特定する規格導入処理と、
　前記脅威分析処理によって特定された前記第１対策と、前記規格導入処理によって特定された前記第２対策とを結合して対策データを生成する結合処理と
をコンピュータに実行させる対策立案支援プログラム。