WO2019163266A1

WO2019163266A1 - セキュリティ評価サーバおよびセキュリティ評価方法

Info

Publication number: WO2019163266A1
Application number: PCT/JP2018/045824
Authority: WO
Inventors: イーウェンチェン; 甲斐　賢; 英里子安藤; 博史峯; 飯室　聡; 川口　貴正
Original assignee: 株式会社日立製作所
Priority date: 2018-02-21
Filing date: 2018-12-13
Publication date: 2019-08-29
Also published as: CN111587433B; EP3757836A4; EP3757836A1; CN111587433A; JP2019144881A; US20210026970A1; JP6901979B2

Abstract

評価対象システムの複数のシステム階層に関する情報を生成する階層生成部と、前記階層生成部により生成された複数のシステム階層に関する情報を用いて、各システム階層に含まれるセキュリティ機能要件による防御有効性の評価値を算出し、セキュリティ機能要件の組合せによる防御有効性の評価値を算出する評価部と、前記評価部により算出された評価値と、目標値とに基づいて、前記評価対象システムにおけるセキュリティ機能要件の過不足を検証する検証部と、を備える。

Description

セキュリティ評価サーバおよびセキュリティ評価方法

　本発明は、セキュリティ評価サーバおよびセキュリティ評価方法に関するものである。

　機能安全を達成するにはＩＳＯ６１５０８やＩＳＯ２６２６２などの機能安全評価があり、サイバーセキュリティを達成するにはＩＥＣ６２４４３やＩＳＯ１５４０８などのセキュリティ評価が知られている。

　機能安全の点からは、ハード部品の故障発生率や、ハード部品の寿命があるため、時間経過により、ハード部品を製造した時点と比べて、機能安全のレベルが低下する。また、サイバーセキュリティの点からは、次々と新規のウイルスが発生することや、同一暗証番号を継続して使用し続けることによる危険性を考えると、時間経過により、情報システムを新規に構築した時点と比べて、セキュリティレベルが低下する。

　ハード部品と情報システムの時間経過に対して、特許文献１には、情報システムの構築時に設定された複数のセキュリティ機能の時間経過に対するセキュリティレベルＳＬの変化傾向を的確に把握するために、一定周期で可用性の喪失経過時間を計時し、各セキュリティ機能のセキュリティレベルＳＬを算出する。このセキュリティレベルＳＬを全部のセキュリティ機能に亘って換算して情報システム全体のセキュリティＳＬＧを算出し、算出された各時刻におけるシステムセキュリティレベルＳＬＧをグラフ表示出力する、という技術が開示されている。

特開２００８－１７６６３４号公報

　特許文献１に開示された技術を用いれば、ハード部品と情報システムの時間経過に対して、セキュリティレベルを評価することは可能になる。しかしながら、階層化された情報システムがハード部品を制御するシステムでは、情報システムの各階層へのサイバー攻撃がハード部品の機能安全に影響するものの、特許文献１にはこのような影響に関するセキュリティレベルを評価する技術までは開示されていなかった。

　本発明の目的は、サイバーセキュリティによる機能安全を評価することである。

　本発明に係る代表的なセキュリティ評価サーバは、評価対象システムの複数のシステム階層に関する情報を生成する階層生成部と、前記階層生成部により生成された複数のシステム階層に関する情報を用いて、各システム階層に含まれるセキュリティ機能要件による防御有効性の評価値を算出し、セキュリティ機能要件の組合せによる防御有効性の評価値を算出する評価部と、前記評価部により算出された評価値と、目標値とに基づいて、前記評価対象システムにおけるセキュリティ機能要件の過不足を検証する検証部と、を備えたことを特徴とする。

　本発明によれば、サイバーセキュリティによる機能安全を評価することが可能になる。

セキュア機能安全評価装置のブロック構成の例を示す図である。セキュア機能安全評価装置のハードウェア構成の例を示す図である。システム稼働環境仕様書情報テーブルの例を示す図である。各個システムによる階層情報テーブルの例を示す図である。システム構成仕様書情報テーブルの例を示す図である。評価演算データテーブルの例を示す図である。セキュア機能安全評価装置のシーケンスの例を示す図である。入力処理部のフローチャートの例を示す図である。階層化のフローチャートの例を示す図である。評価演算部のフローチャートの例を示す図である。要件過不足検証部のフローチャートの例を示す図である。実行項目と稼働環境仕様書の入力画面の例を示す図である。目標とする防御有効性の入力画面の例を示す図である。システム稼働環境仕様書情報と各階層定義の表示画面の例を示す図である。階層化したシステム構成の入力画面の例を示す図である。セキュリティ機能要件構成の入力画面の例を示す図である。システムと各セキュリティ機能要件の定量評価結果の表示画面の例を示す図である。過不足要件推奨結果の表示画面の例を示す図である。システムにおける攻撃と機能安全の例を示す図である。

　以下、本発明の実施形態について図面を用いて詳細に説明する。

　－－－システム構成－－－
　実施例１のセキュア機能安全評価装置１のブロック構成の例を、図１を用いて説明する。セキュア機能安全評価装置１は、拡張性があるコネクティッド組込みシステムにおけるサイバーセキュリティによる機能安全を定量評価するためのシステムである。

　セキュア機能安全評価装置１は、入力部２、出力部３、入力処理部４、評価演算部５、要件過不足検証部６、結果処理部７、必要要件ＤＢ８、評価演算ＤＢ９、検証演算ＤＢ１０、および結果ＤＢ１１から構成されている。

　入力部２は、評価対象システム仕様と目標とする防御有効性の情報の入力を、ユーザから受け付ける。出力部３は、評価対象システムの評価結果を、ユーザに出力する。入力処理部４は、入力部２において入力された評価対象システム仕様から、定量評価するために使用される情報を抽出する。

　評価演算部５は、評価対象システム仕様から抽出された情報を使用して防御有効性を定量化する。要件過不足検証部６は、定量化された防御有効性が、目標とする防御有効性を満たすかを評価し、目標とする防御有効性を満たすセキュリティ機能要件を検証する。結果処理部7は、防御有効性の評価結果と過不足検証結果を出力するための処理を行う。

　必要要件ＤＢ８は、評価対象システムの階層情報、ユーザが入力部２を通じて入力した評価対象システムの稼働環境仕様に対応できる階層化情報、およびサイバーセキュリティ定量評価を実行する際に使用されるセキュリティ機能要件の情報が格納されるデータベースである。評価演算ＤＢ９は、防御有効性の定量化の演算手順が格納されるデータベースである。

　検証演算ＤＢ１０は、目標とする防御有効性を満たすかを評価するための要件情報、および目標とする防御有効性を満たすための要件情報が格納されるデータベースである。結果ＤＢ１１は、評価対象システムの防御有効性の定量評価結果と、目標とする防御有効性を満たすセキュリティ機能要件が格納されるデータベースである。

　－－－ハードウェア構成の例－－－
　実施例１のセキュア機能安全評価装置１のハードウェア構成の例を、図２を用いて説明する。図２で例示するセキュア機能安全評価装置１は、ＣＰＵ１０１、メモリ１０２、記憶装置１０３、通信装置１０４、電源装置１０５、入力装置１０６、および出力装置１０７を備え、これらはバス１０８で接続されている。

　ＣＰＵ１０１は、中央処理装置（演算装置）であり、記憶装置１０３あるいはメモリ１０２上に保存されたプログラムを実行することにより、入力処理部４、評価演算部５、要件過不足検証部６、および結果処理部７をセキュア機能安全評価装置１で実現する。

　メモリ１０２は、ＣＰＵ１０１が動作するときにプログラムとデータがロードされる主記憶装置であり、揮発性記憶素子で構成される。記憶装置１０３は、ＣＰＵ１０１の入力データ、出力データ、およびプログラムを保存するための補助記憶装置であり、不揮発記憶素子で構成される。この記憶装置１０３には、必要要件ＤＢ８、評価演算ＤＢ９、検証演算ＤＢ１０、結果ＤＢ１１が格納される。

　通信装置１０４は、外部のネットワークノードとネットワークを介して通信を行う。電源装置１０５は、電源コンセントと接続され、セキュア機能安全評価装置１内の各装置に電源を供給する。

　入力装置１０６は、ユーザが情報を入力するためのインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、あるいは音声入力などである。出力装置１０７は、ユーザにフィードバックと演算結果などを提供するためのインタフェースであり、例えば、画面表示装置、音声出力装置、あるいは印字装置などである。

　なお、図２に示すセキュア機能安全評価装置１は、以上の構成であるのでセキュリティ評価サーバと呼ばれてもよく、１台のハードウェア上で構成されるものであるが、大規模なサービスに対応するために負荷を分散処理する場合、あるいは可用性向上のために冗長構成をとる場合は、２台以上のハードウェア上で構築されたプラットフォーム上で構成されるものであってもよい。

　また、入力処理部４、評価演算部５、要件過不足検証部６、および結果処理部７を実現するためのプログラムあるいはテーブルなどの情報は、記憶装置１０３、あるいは図示を省略したストレージサブシステム、不揮発半導体メモリ、ＨＤＤ（Hard Disk Drive）、あるいはＳＳＤ（Solid State Drive）などの記憶デバイス、または、ＩＣカード、ＳＤカード、ＤＶＤなどの計算機読み取り可能な非一時的データ記憶媒体に格納されてもよい。

　－－－データの例－－－
　実施例１のセキュア機能安全評価装置１で使用されるデータの例を、図３Ａ～３Ｃおよび図４を用いてそれぞれ説明する。図３Ａ～３Ｃは、必要要件ＤＢ８に格納されるデータの例を示す図である。必要要件ＤＢ８は、システム稼働環境仕様書情報テーブル３００、各個システムによる階層情報テーブル３１０、およびシステム構成仕様書情報テーブル３２０からなる。

　システム稼働環境仕様書情報テーブル３００は、ユーザ１０９が入力部２を通じて指定した評価対象システムの稼働環境仕様書に関するデータである。システム稼働環境仕様書情報テーブル３００は、仕様書項目３０１とシステム稼働環境情報３０２をペアとし、当該ペアを複数持つテーブルである。

　一例として仕様書項目３０１は、システムタイプ、オペレーティングシステムタイプ、ライフサイクル年数、および利用状況を含み、これらの仕様書項目３０１とペアになるシステム稼働環境情報３０２は、仕様書項目３０１に対応するシステム稼働環境の情報を含む。仕様書項目３０１は、入力処理部４で処理内容の規定された項目であることが好ましい。

　各個システムによる階層情報テーブル３１０は、ユーザ１０９が入力部２を通じて指定した評価対象システムの稼働環境仕様書に対応し、対応する稼働環境仕様書の評価システムの階層構成を規定するためのデータであって、予め設定された各個システムを構成する階層を示すデータである。

　各個システムによる階層情報テーブル３１０は、組込みシステムタイプ３１１と階層構成３１２をペアとし、当該ペアを複数保持し、さらに階層構成３１２は複数の階層それぞれの情報を持つテーブルである。組込みシステムタイプ３１１は、評価対象システムとなり得る「自動車」、「ロボット」などの組込みシステムのカテゴリを含む。

　また、階層構成３１２は、組込みシステムタイプ３１１に該当する階層構成として、どの階層を含むか否かを「○」と「×」の情報で含む。一例として、図３Ｂに示した組込みシステムタイプ３１１にある「自動車」は、「○」である物理制御層、情報－制御層、情報層およびクラウドから構成されていることを示す。なお、「ロボット」はクラウドが「×」であるので、物理制御層、情報制御装置、および情報層から構成されていることを示す。

　システム構成仕様書情報テーブル３２０は、ユーザ１０９が入力部２を通じて入力した詳細なシステム構成仕様のデータである。システム構成仕様書情報テーブル３２０は、システム仕様３２１とセキュリティ機能要件３２２の独立した２つのテーブルからなり、それぞれが複数の項目を持つテーブルである。

　システム仕様３２１は、図３Ｃに示すようなネットワーク機能仕様およびコンピュータ機能仕様などのシステム構成情報の項目を含み、これらの項目は入力処理部４で処理内容の規定された項目である。

　セキュリティ機能要件３２２は、評価対象システムで運用されている各セキュリティ機能要件と、その通信場所、およびその通信方法などの各セキュリティ機能要件に関する詳細情報からなる。また、セキュリティ機能要件３２２は、各セキュリティ機能要件が評価対象システムのどの階層で運用されているかの運用階層情報３２３を含んでもよい。

　システム稼働環境仕様書情報テーブル３００、各個システムによる階層情報テーブル３１０、およびシステム構成仕様書情報テーブル３２０の３つのテーブルは、ユーザ１０９からの入力に基づいて互いに関連している。

　セキュア機能安全評価装置１は、システム稼働環境仕様書情報テーブル３００から評価対象システムのタイプを入力処理部４が判定し、評価対象システムのタイプの判定結果と各個システムによる階層情報テーブル３１０の内容に応じて、入力処理部４は評価対象システムに対応する階層情報をユーザ１０９に表示する。

　そして、ユーザ１０９が評価対象システムに対応できる階層情報を入力すると、システム構成仕様書情報テーブル３２０の運用階層情報３２３を含むセキュリティ機能要件３２２が設定される。

　図４は、評価演算ＤＢ９に格納されるデータの例を示す図である。評価演算ＤＢ９は、防御有効性の定量化の演算手順以外に、評価演算データテーブル４００を含む。図４に示すように、評価演算データテーブル４００は、セキュリティ機能要件の情報が格納される評価科目４０１と、各セキュリティ機能要件に対して階層ごとの評価結果の情報を格納する定量評価４０２から構成される。

　評価科目４０１のセキュリティ機能要件の情報は、システム構成仕様書情報テーブル３２０のセキュリティ機能要件の列が保持している情報が取得されて設定される。なお、評価科目４０１の「セキュリティ機能要件１」などは、説明のための表現であり、セキュリティ機能要件を表す別の表現であってもよい。

　定量評価４０２は、各セキュリティ機能要件の各階層における評価結果の情報が格納される列４０３、列４０４、および列４０５と、評価対象システムを対象とする評価結果の情報が格納される列４０６とを有する。

　図４に示した定量評価４０２の情報は、実施例１に係る例として、制御－情報層の攻撃成功期間の情報を列４０３、情報層の攻撃成功期間の情報を列４０４、クラウド層の攻撃成功期間の情報を列４０５に分けられて格納されている。

　列４０３、列４０４、および列４０５は、各個システムによる階層情報テーブル３１０の組み込みシステムタイプ３１１で該当する評価対象システムのタイプの階層構成３１２から情報が取得されて設定される。そのため、階層の種類、階層数は図４に示した例に限るものではない。

　なお、定量評価４０２に格納される定量評価の指標すなわち攻撃成功期間などは、１つではなく複数であってもよい。またその指標は、攻撃成功期間と攻撃成功達成率に限定するものではなく、その他の指標であってもよい。例えば、過去の実績に基づく攻撃可能性などであってもよい。

　評価科目４０１のセキュリティ機能要件と定量評価４０２の各列の各階層とによって定まるテーブルの各欄には、評価演算部５の図８に示すフローチャートの処理により算出された情報が格納される。

　－－－処理フロー－－－
　実施例１におけるセキュア機能安全評価装置１のシーケンスの例を、図５を用いて説明する。図５に示した入力処理部４、評価演算部５、要件過不足検証部６、および結果処理部７のそれぞれは、図１などを用いて説明したとおりである。

　ステップＳ２０１で、入力処理部４は、入力装置１０６を通じて、ユーザ１０９からシステム稼働環境仕様書情報テーブル３００の情報を含める稼働環境仕様書が入力される。セキュア機能安全評価装置１がユーザ１０９に表示する入力画面の例は、図１０を用いて後述する。

　ステップＳ２０２で、入力処理部４は、入力装置１０６を通じて、ユーザ１０９から評価対象システムが満たすべき目標とする防御有効性が入力される。セキュア機能安全評価装置１がユーザ１０９に表示する入力画面の例は、図１１を用いてで後述する。

　ステップＳ２０３で、入力処理部４は、ステップＳ２０１において受信した稼働環境仕様書のデータをもとに、必要要件ＤＢ８に格納された各個システムによる階層情報テーブル３１０の階層構成３１２を対応させ、対応した各階層定義をユーザ１０９に提示して、評価対象システムの階層処理をユーザ１０９に問い合せる。

　稼働環境仕様書のデータをもとに、対応する各階層定義を各個システムによる階層情報テーブル３１０から取得するための入力処理部４の処理は、図６のステップＳ５０３でも後述する。セキュア機能安全評価装置１がユーザ１０９に表示する出力画面の例は、図１２を用いて後述する。

　ステップＳ２０４で、入力処理部４は、ユーザ１０９から階層化した構成情報を受信し、システム構成仕様書情報テーブル３２０に情報を設定する。このために、ユーザ１０９は、ステップＳ２０３で表示された各個システムによる階層情報テーブル３１０に基づく情報により、評価対象システムの構成を階層化し、階層化した構成情報を入力処理部４に入力する。

　ユーザ１０９に表示した各階層定義をもとに、対応する階層化した構成情報をユーザ１０９から取得するための入力処理部４の処理は、図６のステップＳ５０４でも後述する。セキュア機能安全評価装置１がユーザ１０９に表示する入力画面の例は、図１３Ａ、１３Ｂを用いて後述する。

　ステップＳ２０５で、入力処理部４は、ユーザ１０９により入力された階層化した構成情報から、必要要件ＤＢ８を用いて、定量評価をするための要件すなわち階層化したセキュリティ機能要件を抽出し、抽出した階層化したセキュリティ機能要件を評価演算部５に送信する。

　ステップＳ２０６で、評価演算部５は、入力処理部４から階層化したセキュリティ機能要件を受信し、評価演算ＤＢ９に格納された演算手順を用いて、階層化したセキュリティ機能要件の防御有効性を定量評価し、システム評価結果をユーザ１０９に表示する。また、システム評価結果は評価演算ＤＢ９の評価演算データテーブル４００に格納される。定量評価の計算の例は、図８のステップＳ６０４～Ｓ６１０でも後述する。

　ステップＳ２０７で、入力処理部４は、ステップＳ２０２においてユーザ１０９が入力した目標とする防御有効性を、要件過不足検証部６に送信する。そして、ステップＳ２０８は、階層化したセキュリティ機能要件が目標とする防御有効性を満たすか否かを検証する、あるいは目標とする防御有効性を満たす階層化したセキュリティ機能要件の組合せを検証するループである。

　階層化したセキュリティ機能要件は、１つの階層内に複数のセキュリティ機能要件を有する場合もあるし、複数の階層それぞれにセキュリティ機能要件を有する場合もある。このため、セキュリティ機能要件の組合せを検証することにより、目標とする防御有効性を満たす必要最小限のセキュリティ機能要件の組合せを抽出することも可能になる。

　ステップＳ２０８のループは、ステップＳ２０９とステップＳ２１０を含み、検証可能なセキュリティ機能要件の組合せが検証されるまで、あるいは予め設定された条件が満たされるまで繰り返される。なお、ステップＳ２０８のループの基となる要件過不足検証部６の処理の例は、図９のステップＳ７０２とステップＳ７０７でも後述する。

　ステップＳ２０９で、要件過不足検証部６は、検証可能なセキュリティ機能要件の組合せの中から１つの組合せを評価演算部５に送信する。そして、ステップＳ２０８のループによる次のステップＳ２０９で、要件過不足検証部６は、検証可能なセキュリティ機能要件の組合せの中から別の１つの組合せを評価演算部５に送信する。組合せの送信の処理の例は、図９のステップＳ７０３でも後述する。

　ステップＳ２１０で、評価演算部５は、要件過不足検証部６から受信したセキュリティ機能要件の組合せの防御有効性を定量評価し、評価結果を要件過不足検証部６に送信する。要件過不足検証部６は、評価演算部５から受信した評価結果を用いて検証する。

　ステップＳ２１１で、要件過不足検証部６は、入力処理部４から受信した目標とする防御有効性と、評価演算部５から受信した評価結果を比較して、要件の過不足を判定することにより検証し、要件検証結果などを結果処理部７に送信する。なお、検証の処理の例は、図９のステップＳ７０５～Ｓ７０６でも後述する。

　ステップＳ２１２で、結果処理部７は、要件過不足検証部６から受信した要件検証結果などに基づき、セキュリティ機能要件検証結果と過不足要件推奨結果をユーザ１０９に表示する。出力画面の例は、図１４と図１５を用いて後述する。

　セキュア機能安全評価装置１の入力処理部４が行う処理のフローチャートの例を、図６を用いて説明する。ステップＳ５０１で、入力処理部４は、ユーザ１０９から入力された情報に基づいて稼働環境仕様書を受信する。ステップＳ５０１は図５のステップＳ２０１に相当する。

　図１０は、ユーザ１０９へ表示する実行項目と稼働環境仕様書の入力画面９００の例を示す図である。この入力画面９００は、ステップＳ５０１において表示されるＧＵＩ（Graphical User Interface）であり、図１０に示すように、実行項目選択欄８００と、ユーザ１０９に稼働環境仕様書のファイルをアップロードさせるための稼働環境仕様書欄８０１を含む。

　実行項目選択欄８００は、ユーザ１０９によりセキュア機能安全評価装置１の実行項目が選択される欄であり、チェックの付けられた項目が選択される。ただし、「評価対象システムの現状セキュリティ定量評価」は必須であるので、ユーザ１０９の選択に関わらず、常にチェックが付けられてもよい。

　実行項目選択欄８００の「要件過不足検証」にチェックが付けられると、図５に示したステップＳ２０８、Ｓ２１１、Ｓ２１２が実行され、「要件過不足検証」にチェックが付けられないと、ステップＳ２０８、Ｓ２１１、Ｓ２１２は実行されなくてもよい。

　また、「評価対象システムの現状セキュリティ定量評価」は必須であるので、「要件過不足検証」にチェックが付けられると、「評価対象システムの現状セキュリティ定量評価」と「要件過不足検証」の両方の実行が選択される。

　ユーザ１０９により、稼働環境仕様書欄８０１の空欄に稼働環境仕様書のファイル名が設定され、「参照」のボタンがクリックされると、入力処理部４は、設定されたファイル名を持つ稼働環境仕様書のファイル（データ）を入力処理部４へアップロードする。

　ここで、稼働環境仕様書のファイル（データ）は、システム稼働環境仕様書情報テーブル３００の情報を含み、入力処理部４が評価対象システムのタイプを取得できるような情報を含むファイルであることが好ましい。

　ただし、図１０に示した入力画面９００は一例であり、セキュア機能安全評価装置１が稼働環境の情報を取得できれば、入力画面の表示内容と入力される情報の種類は限定されるものではない。例えば、稼働環境仕様書のファイルを取得する代わりに、取得すべき情報の項目それぞれをユーザ１０９に表示して、ユーザ１０９がそれぞれの項目を手動で入力する入力画面であってもよい。

　ステップＳ５０２で、入力処理部４は、ユーザ１０９が入力した目標とする防御有効性を受信する。ステップＳ５０２は図５のステップＳ２０２に相当する。ステップＳ５０１は、実行項目選択欄８００の「要件過不足検証」がチェックされた場合に実行され、「要件過不足検証」がチェックされなかった場合は実行されず、スキップされてもよい。

　図１１は、ユーザ１０９へ表示する目標とする防御有効性の入力画面９０１の例を示す図である。この入力画面９０１は、ステップＳ５０２において表示されるＧＵＩであり、図１１に示すように、目標とする防御有効性欄８０２、ボタン８０３、およびボタン８０４を含む。

　目標とする防御有効性は、許容安全範囲、許容発生頻度、および許容回復時間などセキュリティ機能要件に対する定量指標である。具体的に、目標とする防御有効性欄８０２において、上記許容安全範囲の一例はサイバー攻撃成功期間であり、上記許容発生頻度の一例はサイバー攻撃成功達成率であり、上記許容回復時間の一例は安全状態復帰許容時間である。

　ボタン８０３は機能安全検証を実行するためのボタンであり、ボタン８０３がクリックされると、セキュア機能安全評価装置１は入力された評価対象システムの機能安全要件が機能安全要求を満たすかの検証機能を行う。ボタン８０４がクリックされると、セキュリティ機能要件評価へ進み、ステップＳ５０３へ進む。

　ただし、目標とする防御有効性の情報が取得できれば、入力画面の表示内容と入力される情報の種類は限定されるものではない。また、ボタンの種類も限定するものではなく、各ボタンがクリックされた場合の動作も限定するものではない。

　ステップＳ５０２において、ユーザ１０９が入力する目標とする防御有効性の情報は、図１１に示した目標とする防御有効性欄８０２の項目に限定するものではない。例えば、Safety Concept Notation Study Group（http://www.scn-sg.com/main/）の発行する文献Safety Concept Description Language (Version 1.3)に記載の項目が含まれてもよい。

　上記文献によると、ユーザ１０９は機能安全要求を導出すために、初期段階で分析対象のハザート分析、目標とする安全目標・安全状態・時間的制約と、意図した機能にAutomotive Safety Integrity Level (ASIL)を並列で入力する。

　ステップＳ５０２において、ユーザ１０９が入力する目標とする防御有効性は、上記文献の項目に限定するものではなく、機能安全の故障発生頻度などの定量項目が含まれてもよい。

　ステップＳ５０２において、セキュア機能安全評価装置１では、ユーザ１０９が入力する目標とする防御有効性は、上記文献に記載された項目あるいはそれらの項目以外の項目に基づいて、機能安全とセキュリティの両方の機能要求を兼ねる項目を含めばよい。

　この一例として、目標とする防御有効性欄８０２における許容安全範囲という項目は、１つの項目で、上記文献と同じように許容機能故障発生範囲に加えて、セキュリティ上の許容サイバー攻撃成功期間も兼ねる項目となっている。

　ステップＳ５０３で、入力処理部４は、受信した稼働環境仕様書から、必要要件ＤＢ８の各個システムによる階層情報テーブル３１０に基づいて、階層定義を抽出し、抽出した階層定義をユーザ１０９に表示することにより、評価対象システムの階層処理をユーザ１０９に問い合せる。ステップＳ５０３は図５のステップＳ２０３に相当する。

　図１２は、ステップＳ５０３において、階層定義をユーザ１０９に表示する際のシステム稼働環境仕様書情報と各階層定義の表示画面９０２の例である。図１２に示すように、表示画面９０２は、システム稼働環境仕様書情報テーブル３００の情報を表示するためのシステム稼働環境仕様書情報欄８０５、階層定義を表示するための各階層定義欄８０６、ボタン８０７、およびボタン８０８を含む。

　ボタン８０７がクリックされるとステップＳ５０１に戻り、ボタン８０８がクリックされるとステップＳ５０４へ進むことにより階層処理へ進む。ただし、表示画面は、システム稼働環境仕様書情報欄８０５と各階層定義欄８０６に限定するものではなく、各階層定義欄８０６を表示するだけであってもよい。

　ステップＳ５０４で、入力処理部４は、ユーザ１０９からシステム構成情報を階層化するための情報が入力され、入力された情報をシステム構成仕様書情報テーブル３２０に設定する。ステップＳ５０４は図５のステップＳ２０４に相当し、ステップＳ５０４に関しては図７あるいは図１３Ａを用いてさらに後述する。

　ステップＳ５０５で、入力処理部４は、階層化が完了したかを判定する。判定の条件に関しては図１３Ａを用いてさらに後述する。入力処理部４は、階層化が完了したと判定するとステップＳ５０６へ進み、階層化が完了していないと判定するとステップＳ５１０へ進む。

　ステップＳ５０６で、入力処理部４は、ユーザ１０９からセキュリティ機能要件構成情報が入力され、入力されたセキュリティ機能要件構成情報を必要要件ＤＢ８のシステム構成仕様書情報テーブル３２０に格納する。ステップＳ５０６も図５のステップＳ２０４に相当し、図１３Ｂを用いてさらに後述する。

　ステップＳ５０７で、入力処理部４は、検証項目の入力が完了したかを判定する。判定の条件に関しては図１３Ｂを用いてさらに後述する。入力処理部４は、検証項目の入力が完了したと判定するとステップＳ５０８に進み、検証項目の入力が完了していないと判定するとステップＳ５１０へ進む。

　ステップＳ５０８で、入力処理部４は、階層化したセキュリティ機能要件構成情報を評価演算部５へ送信する。ステップＳ５０８は図５のステップＳ２０５に相当する。ステップＳ５０９で、入力処理部４は、ステップＳ５０２で入力された目標とする防御有効性を要件過不足検証部６へ送信する。

　ステップＳ５０９は図５のステップＳ２０７に相当する。ステップＳ５１０で、入力処理部４は、ユーザ１０９へ情報の不足の警告を表示し、ステップＳ５０１に戻る。なお、入力処理部４は、以上で説明したように階層に関する情報を生成するため、階層生成部と呼ばれてもよい。

　図１３Ａは、階層化したシステム構成をユーザ１０９へ表示し、ユーザ１０９から各階層の情報が入力される入力画面９０３の例を示す図である。入力画面９０３は、評価対象システムの階層化した構成の表示であるが、図１３Ａの例では、評価対象システムを「システム内」と「システム外」に分けた表示であり、「システム内」と「システム外」のそれぞれに含まれる各階層の表示である。

　ここで、「システム内」は組込みシステムであり、「システム外」は組込みシステムへのコネクティドの世界であってもよい。ただし、「システム内」と「システム外」はこれらに限定するものではない。

　「システム内」、「システム外」、「物理制御層」、「情報－制御層」、「情報層」、「クラウド」、および各階層内の構成を表示するための情報は、各個システムによる階層情報テーブル３１０とシステム構成仕様書情報テーブル３２０から取得された情報が含まれてもよいし、ユーザ１０９から入力画面９０３において入力された情報が含まれてもよい。

　ユーザ１０９から入力画面９０３において入力される場合の処理について、図７を用いてさらに後述する。なお、システム構成仕様書情報テーブル３２０から情報が取得されるだけでなく、入力画面９０３で入力された情報がシステム構成仕様書情報テーブル３２０に設定されてもよい。

　入力画面９０３の各階層の表示がクリックされると、クリックされた階層のセキュリティ機能要件に関する情報を入力するための入力画面へ表示が移行する。例えば、表示８２０がクリックされると、情報－制御層に関するセキュリティ機能要件に関する情報を入力するための図１３Ｂに示した入力画面９０４へ表示が移行する。

　入力画面９０３に表示された階層がクリックされない場合、メッセージ８２３が表示されてもよい。また、入力画面９０３において、ボタン８２１がクリックされると図６に示したステップＳ５０５で階層化が完了していないと判定され、ボタン８２２がクリックされるとステップＳ５０５で階層化が完了したと判定される。

　図１３Ｂは、入力画面９０３でクリックされた階層のセキュリティ機能要件に関する情報が入力される入力画面９０４の例を示す図である。例えば、入力画面９０３の「情報－制御層」の表示８２０がクリックされると、入力画面９０４が表示されて、情報－制御層のセキュリティ機能要件とそのシステム仕様情報が入力可能となり、ユーザ１０９により「ＩＤＳ」と「パケット暗号化」などのセキュリティ機能要件が入力される。

　そして、各セキュリティ機能要件の「ソフトウェアベンダ」、「現バージョン」、および「数」に関する情報が入力されてもよいが、入力画面９０４の表示項目と入力項目を、これらに限定するものではない。入力画面９０４で入力された情報は、システム構成仕様書情報テーブル３２０に設定される。

　また、入力画面９０４において、ボタン８２４がクリックされると図６に示したステップＳ５０７で検証項目の入力が完了していないと判定され、ボタン８２５がクリックされるとステップＳ５０７で検証項目の入力が完了したと判定される。ステップＳ５０４とステップＳ５０５が１つのステップにまとめられて、入力画面９０３へ戻るボタンが入力画面９０４に設けられてもよい。

　図６に示したステップＳ５０４の処理のフローチャートの例を、図７を用いて説明する。ステップＳ５２１で、入力処理部４は、ユーザ１０９から階層化に関する情報を入力する。ここで入力される情報は、図１３Ａを用いて説明した情報であってもよいし、以下で説明する判定の対象となる情報であってもよい。

　ステップＳ５２２で、入力処理部４は、ステップＳ５２１で入力された情報が、図１２で表示した各階層定義に基づき、物理制御層から１番近い階層の定義情報に相当するかを判定する。例えば、通信処理がシステム内で実行されるか否かの判定であってもよい。

　入力処理部４は、通信処理がシステム内で実行されると判定するとステップＳ５２３へ進み、通信処理がシステム内で実行されないと判定するとステップＳ５２４へ進む。ステップＳ５２３で、入力処理部４は、物理制御層から１番近い階層に、ステップＳ５２１で入力された情報を分類する。

　ステップＳ５２４で、入力処理部４は、ステップＳ５２１で入力された情報が、図１２で表示した各階層定義に基づき、物理制御層から２番目に近い階層の定義情報に相当するかを判定する。例えば、インタフェースとしてシステム内外のつながりであるか否かの判定であってもよい。

　入力処理部４は、インタフェースとしてシステム内外のつながりであると判定するとステップＳ５２５へ進み、インタフェースとしてシステム内外のつながりでないと判定するとステップＳ５２６へ進む。ステップＳ５２５で、入力処理部４は、物理制御層から２番目に近い階層に、ステップＳ５２１で入力された情報を分類する。

　ステップＳ５２６で、入力処理部４は、ステップＳ５２１で入力された情報が、図１２で表示した各階層定義に基づき、物理制御層から１番遠い階層の定義情報に相当するかを判定する。例えば、ＩｏＴセキュリティ対策であるか否かの判定であってもよい。

　入力処理部４は、ＩｏＴセキュリティ対策であると判定するとステップＳ５２７へ進み、ＩｏＴセキュリティ対策でないと判定すると処理を終了する。ステップＳ５２７で、入力処理部４は、物理制御層から１番目遠い階層に、ステップＳ５２１で入力された情報を分類する。

　なお、評価対象システムの構成を複数の階層に分けるために、ステップＳ５２１～Ｓ５２７は複数回繰り返されてもよい。また、ステップＳ５２２、Ｓ５２４、Ｓ５２６の判定の代わりに、図１３Ａに示した入力画面９０３のＧＵＩにより、どの階層であるかの入力をユーザ１０９から受け付けてもよい。

　図１６に示すように、拡張性がある組込みシステム８７０は、インターネットなどコネクションを利用して、コネクティッド世界８７１とのつながりが増えつつある。実施例１におけるサイバーセキュリティによる機能安全を定量化する評価対象システムは、組込みシステム８７０とコネクティッド世界８７１の両方の中の１つ以上の階層から構成されるシステムである。

　図１６に示した評価対象システムにおけるサイバー攻撃は、例えば、情報－制御層８５９へのサイバー攻撃８５０、情報層８６３へのサイバー攻撃８５１、あるいはクラウド８６５へのサイバー攻撃８５２があり、クラウド８６５から物理制御層８５３の方向へサイバー攻撃が伝搬するため、物理制御層８５３を脅かす可能性が増えつつある。

　そして、物理制御層８５３の異常動作は人的被害を引き起こす可能性もあるため、サイバー攻撃による人的被害の危険性が高まり、機能安全の面からもサイバー攻撃は脅威となってきている。

　実施例１のセキュア機能安全評価装置１は、サイバーセキュリティによる機能安全をどれだけ守れているかをユーザに提示する。このために、図１６を参照しつつ、セキュア機能安全評価装置１の評価演算部５が、防御有効性を定量評価する処理のフローチャートの例を、図８を用いて説明する。

　以下の説明の前提として、評価対象システムが物理制御層を除くＮ層で構成され、物理制御層と１番遠い層が第Ｎ層となる。すなわち、変数ｎが定数Ｎに近づくにつれて、物理制御層から遠い階層となる。また、以下のパラメータを定義する。
Ｎ：評価対象システムの物理制御層を除く階層数
ｎ：評価対象になる階層
ｉ：評価対象になる階層にある評価対象になるセキュリティ機能要件
ｘ：第ｎ層から物理制御層までの階層
Ｐｎｉｘ：第ｎ層にある第i番目のセキュリティ機能要件が、第ｘ層からの攻撃に対する防御有効性
Ｐｎi：第ｎ層にある第i番目のセキュリティ機能要件が、評価対象システムへの攻撃に対する防御有効性
Ｐｎ：評価対象になる第ｎ層の防御有効性
Ｄｎ：評価対象になる第ｎ層から物理制御層までの全体防御有効性
ｒ、ｐ：防御有効性の削減率　０＜ｒ、ｐ＜１

　ステップＳ６０１で、評価演算部５は、入力処理部４からセキュリティ機能要件を受信するかを判定する。評価演算部５は、入力処理部４からのセキュリティ機能要件の受信であると判定するとステップＳ６０２へ進み、入力処理部４からのセキュリティ機能要件の受信ではないと判定すると、すなわち要件過不足検証部６からのセキュリティ機能要件の組合せの受信であると判定するとステップＳ６０３へ進む。

　ステップＳ６０２で、評価演算部５は、入力処理部４から階層化したセキュリティ機能要件を受信する。ステップＳ６０２は図５に示したステップＳ２０５に相当する。ステップＳ６０３で、評価演算部５は、要件過不足検証部６から評価対象のセキュリティ機能要件の組合せを受信する。ステップＳ６０３は図５に示したステップＳ２０９に相当する。

　ステップＳ６０４で、物理制御層と１番近い第１層から各階層（第ｎ層）を評価対象として順次に抽出する。図１６の例で、評価演算部５は、ステップＳ６０４からステップＳ６０８までのループの最初の実行において、物理制御層８５３と１番近い情報－制御層８５９を評価対象の階層とする。

　ステップＳ６０５で、評価演算部５は、抽出した第ｎ層にある第i番目のセキュリティ機能要件が、第ｘ層からの攻撃に対する防御有効性Ｐｎｉｘを定量評価する。図１６で評価演算部５は、例えば、情報－制御層８５９の中の第１番目のセキュリティ機能要件であるエッジ８６０が、情報－制御層８５９に対する防御有効性を定量評価する。

　ここで、変数ｉの値と変数ｘの値がそれぞれ振られてもよい。変数ｉの値で特定されるセキュリティ機能要件は、ステップＳ６０２あるいはステップＳ６０３で受信された１または複数の（組合された）セキュリティ要件であってもよい。

　ステップＳ６０６で、評価演算部５は、抽出した第ｎ層にある第i番目のセキュリティ機能要件が、評価対象システムへの攻撃に対する防御有効性Ｐｎiを定量評価する。図１６で評価演算部５は、例えば、情報－制御層８５９の中の第１番目のセキュリティ機能要件であるエッジ８６０が、評価対象システムへの攻撃に対する防御有効性を定量評価する。ここで、変数ｉの値は振られてもよい。

　ステップＳ６０７で、評価演算部５は、評価対象の階層を第ｎ＋１層に移し、ｎ＋１を新たなｎに設定する。図１６で評価演算部５は、例えば、評価対象を情報－制御層８５９から情報層８６３に移す。

　ステップＳ６０８で、評価演算部５は、評価対象が物理制御層と１番遠い階層まで至っていないか、すなわちｎ＜Ｎであるかを判定し、評価対象が物理制御層と１番遠い階層まで至っていると判定するとステップＳ６０９へ進み、評価対象が物理制御層と１番遠い階層まで至っていないと判定するとステップＳ６０４に戻る。

　これにより、評価演算部５は、図１６で、例えば、情報－制御層８５９からクラウド８６５までを評価対象とし、クラウド８６５を評価対象とした後は、ステップＳ６０９へ進む。

　ステップＳ６０９で、評価演算部５は、防御有効性Ｐｎと全体防御有効性Ｄｎを算出する。評価対象になる第ｎ層の防御有効性Ｐｎは、Ｐｎ＝ＭＡＸ（Ｐｎｉｘ）ただしｎ＝ｘで算出され、評価対象になる第ｎ層から物理制御層までの全体防御有効性Ｄｎは、Ｄｎ＝Ｐｎ＋ｒ＊Ｐ（ｎ－１）＋ｐ＊Ｐ（ｎ－２）＋・・・≒ΣＰｎで算出される。

　評価演算部５は、図１６で、例えば、情報－制御層８５９のエッジ８６０の防御有効性、テレメトリ通信８６１の防御有効性、およびＢＰＣＳネットワーク８６２（BPCS: Basic Process Control System）の防御有効性の３つの防御有効性の中で、１番大きい防御有効性を、情報－制御層８５９の防御有効性Ｐｎにする。

　また、評価演算部５は、図１６で、情報層８６３の防御有効性と情報－制御層８５９の防御有効性の加算結果を、情報層８６３から物理制御層８５３までの全体防御有効性Ｄｎにする。

　ステップＳ６１０で、評価演算部５は、ステップＳ６０４からステップＳ６０９までで得られた各セキュリティ機能要件の定量評価結果を評価演算ＤＢ９の評価演算データテーブル４００に保存する。

　ステップＳ６１１で、評価演算部５は、ステップＳ６０１と同じく、入力処理部４から受信したセキュリティ機能要件の処理であったかを判定する。評価演算部５は、入力処理部４から受信したセキュリティ機能要件の処理であったと判定するとステップＳ６１２へ進み、入力処理部４から受信したセキュリティ機能要件の処理でなかったと判定すると、すなわち要件過不足検証部６から受信したセキュリティ機能要件の組合せの処理であったと判定するとステップＳ６１３へ進む。

　ステップＳ６１２で、評価演算部５は、ステップＳ６１０で保存した定量評価結果をユーザ１０９へ表示して処理を終了する。ユーザ１０９へ表示する情報は、ステップＳ６１０で保存された定量評価結果の一部であってもよい。ステップＳ６１２は図５のステップＳ２０６に相当する。

　ステップＳ６１３で、評価演算部５は、入力画面９００の実行項目選択欄８００で「要件過不足検証」にチェックが付けられていたかを判定する。評価演算部５は、「要件過不足検証」にチェックが付けられていたと判定するとステップＳ６１４へ進み、「要件過不足検証」にチェックが付けられていなかったと判定すると処理を終了する。

　ステップＳ６１４で、評価演算部５は、ステップＳ６１０で保存した定量評価結果を要件過不足検証部６へ送信して処理を終了する。ステップＳ６１４は図５のステップＳ２１０に相当する。

　なお、防御有効性の定量評価の処理は、セキュア機能安全評価装置１に接続された外部装置で実行されてもよく、評価演算部５は、セキュリティ機能要件などの情報を外部装置へ送信し、外部装置から定量評価の結果を受信してもよい。また、定量評価される項目は、目標とする防御有効性の項目と同じであることが好ましい。このため、評価演算部５は目標とする防御有効性を入力処理部４から受信してもよい。

　以上の処理手順により、ステップＳ６０２、およびステップＳ６０４からステップＳ６１２が、図５のステップＳ２０５からステップＳ２０６に相当し、ステップＳ６０３からステップＳ６１１、およびステップＳ６１４が、図５のステップＳ２０９からステップＳ２１０に相当する。

　セキュア機能安全評価装置１の要件過不足検証部６が、目標とする防御有効性に対する要件過不足を検証する処理のフローチャートの例を、図９を用いて説明する。図９を用いて説明する処理は、入力画面９００の実行項目選択欄８００で「要件過不足検証」が選択された場合に実行される。このため、「要件過不足検証」が選択されたかが、ステップＳ７０１より前で判定されてもよい。

　ステップＳ７０１で、要件過不足検証部６は、目標とする防御有効性を入力処理部４から受信する。ステップＳ７０１は図５のステップＳ２０７に相当する。

　ステップＳ７０２で、要件過不足検証部６は、評価対象となるセキュリティ機能要件の組合せを１つずつ生成し、ステップＳ７０２からステップＳ７０７までを繰り返す。ここで、評価対象のセキュリティ機能要件は、システム構成仕様書情報テーブル３２０のセキュリティ機能要件３２２に情報が格納されたセキュリティ機能要件であってもよい。

　また、セキュリティ機能要件の組合せは、セキュリティ機能要件３２２に情報が格納されたセキュリティ機能要件の個数をＳとすると、２個１組からＳ個１組までのそれぞれを、Ｓ個のセキュリティ機能要件からによって、生成されてもよい。セキュリティ機能要件の組合せは、セキュリティ機能要件の順列を用いて生成してもよいし、組合せを用いて生成してもよい。

　ステップＳ７０３で、要件過不足検証部６は、ステップＳ７０２で生成されたセキュリティ機能要件の組合せを評価演算部５へ送信する。ステップＳ７０３は図５のステップＳ２０９に相当し、評価演算部５はステップＳ６０３でセキュリティ機能要件の組合せを受信する。

　ステップＳ７０４で、要件過不足検証部６は、評価演算部５から定量評価結果を受信する。ステップＳ７０４は図５のステップＳ２１０に相当し、要件過不足検証部６が受信する定量評価結果は評価演算部５がステップＳ６１４で送信した定量評価結果である。

　ステップＳ７０５で、要件過不足検証部６は、ステップＳ７０１で受信した目標とする防御有効性と、ステップＳ７０４で受信した定量評価結果との大小を比較する。ステップＳ７０６で、要件過不足検証部６は、ステップＳ７０５の比較結果により、目標とする防御有効性が定量評価結果以上の場合は十分と判定し、目標とする防御有効性が定量評価結果未満の場合は不足と判定して、判定結果を保存する。

　なお、ステップＳ７０６で、要件過不足検証部６は、十分であると判定された定量評価結果の基となった１以上の階層および１以上のセキュリティ機能要件の１以上の定量評価結果の中から最大値を特定してもよい。

　ステップＳ７０７で、要件過不足検証部６は、ステップＳ７０２で生成される組合せの中で生成されていない組合せが残っている場合、ステップＳ７０２に戻り、生成されていない組合せが残っていない場合、ステップＳ７０２からステップＳ７０７までの繰り返しを終了してステップＳ７０８へ進む。

　なお、繰り返しを終了する条件が予め設定されていた場合、例えば、十分という判定結果の上限個数が予め設定されていた場合、要件過不足検証部６は、生成されていない組合せが残っているか否かに関わらず、予め設定されていた条件にしたがって、ステップＳ７０２からステップＳ７０７までの繰り返しを終了してステップＳ７０８へ進んでもよい。

　ステップＳ７０８で、要件過不足検証部６は、ステップＳ７０６で保存した判定結果を検証結果として結果処理部７へ送信し、十分と判定された目標を満たすセキュリティ機能要件の組合せの情報を結果処理部７へ送信する。ステップＳ７０８は図５のステップＳ２１１に相当し、定量評価結果も結果処理部７へ送信されてもよい。

　なお、要件過不足検証部６は、セキュリティ機能要件の組合せと判定結果を結果ＤＢ１１に保存してもよい。以上の処理により得られたセキュリティ機能要件の組合せと判定結果（検証結果）に関する表示として、過不足要件推奨結果の表示画面９０６については、図１５を用いて後述する。

　図１４は、評価対象システムと各セキュリティ機能要件の定量評価結果の表示の例を示す図である。表示画面９０５は、システム全体評価結果欄８１１と各セキュリティ機能要件詳細評価結果欄８１２から構成され、ステップＳ７０８で送信された情報を基にしたステップＳ２１２の表示であってもよい。

　また、表示画面９０５は、評価演算ＤＢ９に格納されている評価演算データテーブル４００から取得された情報を基にして表示されてもよい。システム全体評価結果欄８１１は、図１１に示した入力画面９０１の目標とする防御有効性欄８０２の情報を含んでもよい。

　また、各セキュリティ機能要件詳細評価結果欄８１２のセキュリティ要件は、「セキュリティ機能要件１」と「セキュリティ機能要件２」だけでなく、「セキュリティ機能要件１」と「セキュリティ機能要件２」の組合せなどのステップＳ７０２で生成されたセキュリティ機能要件の組合せを含んでもよい。

　表示画面９０５は、図１４に示した例に限定するものではなく、定量評価結果の値だけの表示であってもよいし、評価演算データテーブル４００の情報のテーブル形式での表示であってもよい。さらに、表示画面９０５は、検証結果が不足であることによるユーザへのアラート情報を含んでもよい。

　図１５は、過不足要件推奨結果の表示の例を示す図である。表示画面９０６は、ステップＳ７０８で送信された情報を基にしたステップＳ２１２の表示であってもよい。

　表示画面９０６において、例えば、「セキュリティ機能要件１」、「セキュリティ機能要件２」、および「セキュリティ機能要件４」の組合せに対して、この組合せのそれぞれに「○」が表示され、「組合せ」に組合せの識別子となる「（１）」が表示され、この組合せがステップＳ７０６で十分と判定されたことを示すために、「システム評価」の「十分」の列に表示されてもよい。

　そして、この組合せは十分であるので、推奨される組合せとして表示されてもよい。過不足要件推奨結果として表示される情報は、図１５に示した表示画面９０６に限定するものではなく、十分と不足の検証結果の基となった数値すなわちステップＳ７０５で比較された数値の値が表示されてもよい。

　さらに、不足の組合せに対して、目標とする防御有効性に収めるための変更候補が算出できるのであれば、表示画面９０６は、その変更候補の情報を含んでもよく、変更候補が採用された場合の定量評価結果が表示されてもよい。

　図１５に示すように、表示画面９０６はボタン８１５を含んでもよく、ボタン８１５がクリックされると、ステップＳ２０２すなわちステップＳ５０２の目標とする防御有効性の入力から処理をやり直してもよい。

　以上で説明したように、実施例１によれば、サイバーセキュリティによる機能安全を評価することが可能になる。具体的には、サイバーセキュリティの目標値と機能安全の目標値の両方を兼ねる項目の目標値に対して、防御有効性を評価できる。また、機能安全に関わる物理制御層へ影響を与えるシステムの階層を設定できる。

　そして、設定された階層ごとにセキュリティ機能要件の防御有効性を評価できるため、評価を単純化でき、特定の階層から機能安全に関わる物理制御層までのセキュリティ機能要件の防御有効性の評価も単純化できる。

　また、目標値に対し、評価されたセキュリティ機能要件だけで十分かも判定できる。このため、余分なセキュリティ機能要件があるかの情報も提供可能となる。

　実施例１では、サイバーセキュリティによる機能安全システムの評価を自社内で行う場合に好適な例を説明した。実施例２では、他社が開発した機能安全システムを自社のネットワークに接続するときに、他社が開発した機能安全システムが、サイバー攻撃に対して目標とする防御有効性を満たすかを評価する場合に好適な例を説明する。

　実施例２では、必要要件ＤＢ８、評価演算ＤＢ９、検証演算ＤＢ１０、および結果ＤＢ１１の４つのデータベースが、セキュア機能安全評価装置１のメモリ１０２に格納されていても、これらの４つのデータベースは、通信装置１０４を通じてクラウドに格納のようにふるまってもよい。

　また、図１に示したセキュア機能安全評価装置１の各部は独立したコンピュータであって、各部は自社のネットワークで接続されたクラウドのコンピュータのようにふるまってもよい。

　実施例２におけるシーケンスの例を、図５を用いて説明する。なお、以下で説明するシーケンス以外の説明は実施例１での説明と同じであるので省略する。入力部２は、ステップＳ２０１で他社が開発した機能安全システムから稼働環境仕様書を受信し、ステップＳ２０２で目標とする防御有効性を受信して、受信した情報を自社のネットワークを通じて入力処理部４に送信する。

　入力処理部４は、自社のネットワークと出力部３を通じて、ステップＳ２０３での階層処理の問合せを他社のシステムへ送信し、他社のシステムで表示させる。入力部２は、ステップＳ２０４で他社が開発した機能安全システムから階層化した構成情報を受信し、受信した情報を自社のネットワークを通じて入力処理部４に送信する。

　ステップＳ２０４以降のステップＳ２０５、ステップＳ２０７からステップＳ２１１までは、クラウドで処理を実行するものの、実施例１で説明したセキュア機能安全評価装置１の処理と同じである。

　また、評価演算部５と結果処理部７のそれぞれは、ステップＳ２０６とステップＳ２１２のそれぞれで、自社のネットワークと出力部３を通じて、それぞれの処理結果を他社のシステムへ送信し、他社のシステムで表示させる。

　実施例２で、ステップＳ５０３の処理に必要な必要要件ＤＢ８に格納されている各個システムによる階層情報テーブル３１０は、クラウドに格納されているため、階層構成の変化に応じてクラウドのデータへ直接にフィードバックすることにより、データを効率よく更新することが可能になる。

　以上で説明したように、実施例２によれば、機能安全システムとセキュア機能安全評価装置１の両方が自社で開発された場合のみならず、他社で開発した機能安全システムに対してもセキュア機能安全評価装置１により、機能安全とセキュリティを評価することが可能になる。

　実施例１では、各階層、すなわち物理制御層、情報－制御層、情報層、およびクラウドが独立である例を説明した。すなわち、ユーザ１０９から受信する階層化した構成情報は、十分に階層化されている例であり、入力処理部４はステップＳ５０５で十分な階層化が完了するという前提での例であった。

　実施例３では、各階層は相互に影響する可能性があり、ユーザ１０９から受信する階層化した構成情報が、十分に階層化されていない情報である場合の例を説明する。実施例３における入力処理部４には階層検証処理部が追加される。階層検証処理部は、図６に示したステップＳ５０４とステップＳ５０５の間に追加され、階層が十分に階層化されたかどうかを検証する。

　階層検証処理部は、階層化した構成情報をさらに分類できるかどうか、または階層化した構成情報をさらに多くの階層にできるかどうかを判定する。そして、階層検証処理部は、各階層の相互の従属関係の分析と、各階層の独立性の分析を行い、これらの分析結果にしたがって、階層化した構成情報を変更し、階層数を増やす。

　図１６に示した例は４階層であったが、さらに巨大なシステムを評価対象とすると、各階層で相互に干渉する可能性が高くなってしまう。例えば、情報－制御層８５９が、物理制御層８５３の一部に干渉してしまう可能性もあり、情報－制御層８５９と物理制御層８５３のそれぞれを独立した階層として分けられない可能性がある。

　この状況で、階層検証処理部は、情報－制御層８５９と物理制御層８５３の従属関係を分析し、図１６に示した情報－制御層８５９は１階層だけであるが、情報－制御層８５９を複数の階層に分けて、物理制御層８５３とは独立な情報－制御層８５９に分ける。

　以上で説明したように、実施例３によれば、拡張性がある巨大なシステムに対して、階層を十分に分けることが可能になるので、階層ごとの定量評価においても他の階層との干渉を排除でき、定量評価の精度を向上させられる。

１　セキュア機能安全評価装置
２　入力部
３　出力部
４　入力処理部
５　評価演算部
６　要件過不足検証部
７　結果処理部
８　必要要件ＤＢ
９　評価演算ＤＢ
１０　検証演算ＤＢ
１１　結果ＤＢ

Claims

　評価対象システムの複数のシステム階層に関する情報を生成する階層生成部と、
　前記階層生成部により生成された複数のシステム階層に関する情報を用いて、各システム階層に含まれるセキュリティ機能要件による防御有効性の第一の評価値を算出し、セキュリティ機能要件の組合せによる防御有効性の第二の評価値を算出する評価部と、
　前記評価部により算出された第一と第二の評価値と、目標値とに基づいて、前記評価対象システムにおけるセキュリティ機能要件の過不足を検証する検証部と、
　を備えたことを特徴とするセキュリティ評価サーバ。
　請求項１に記載のセキュリティ評価サーバにおいて、
　前記階層生成部は、機能安全に関わる第１のシステム階層と、前記第１のシステム階層とデータの授受を行う第２のシステム階層と、以下順に、第ｎ（ｎ≧２）のシステム階層とデータの授受を行う第ｎ＋１のシステム階層と、から成る複数のシステム階層に関する情報を生成する、
　ことを特徴とするセキュリティ評価サーバ。
　請求項２に記載のセキュリティ評価サーバにおいて、
　前記評価部は、第２のシステム階層から第ｎのシステム階層へと順に、各システム階層に含まれるセキュリティ機能要件による各システム階層の防御有効性の第一の評価値を算出し、算出した各システム階層の防御有効性の第一の評価値に基づき、第ｎのシステム階層の全体防御有効性の第一の評価値を算出する、
　ことを特徴とするセキュリティ評価サーバ。
　請求項３に記載のセキュリティ評価サーバにおいて、
　前記検証部は、前記評価部により算出された第二の評価値が、目標値以上である場合に、セキュリティ機能要件が十分であると判定する、
　ことを特徴とするセキュリティ評価サーバ。
　請求項３に記載のセキュリティ評価サーバにおいて、
　前記検証部は、前記評価部により算出された第二の評価値が、目標値未満である場合に、セキュリティ機能要件が不足であると判定する、
　ことを特徴とするセキュリティ評価サーバ。
　請求項４に記載のセキュリティ評価サーバにおいて、
　前記検証部は、前記セキュリティ機能要件が十分であると判定された場合、十分であると判定された第二の評価値の算出の基となった第一の評価値の最大値を特定する、
　ことを特徴とするセキュリティ評価サーバ。
　請求項２に記載のセキュリティ評価サーバにおいて、
　前記階層生成部は、機能安全要件の目標値とセキュリティ機能要件の目標値を兼ねる項目の目標値の入力を受け付け、
　前記評価部は、入力が受け付けられた目標値の項目に対応する項目で、各システム階層の防御有効性の第一の評価値を算出する、
　ことを特徴とするセキュリティ評価サーバ。
　請求項３に記載のセキュリティ評価サーバにおいて、
　前記第１のシステム階層は物理制御層である、
　ことを特徴とするセキュリティ評価サーバ。
　請求項１に記載のセキュリティ評価サーバにおいて、
　前記階層生成部は、
　システム仕様書を受け付け、受け付けたシステム仕様書に含まれるシステムタイプに基づいて、複数のシステム階層に関する情報を生成する、
　ことを特徴とするセキュリティ評価サーバ。
　請求項１に記載のセキュリティ評価サーバにおいて、
　前記階層生成部は、
　階層を特定する操作を受け付け、受け付けた操作にしたがって、複数のシステム階層に関する情報を生成する、
　ことを特徴とするセキュリティ評価サーバ。
　サーバにより実行されるセキュリティ評価方法において、
　前記サーバは、ＣＰＵと、プログラムが格納された記憶装置と、を備え、
　前記記憶装置に格納されたプログラムを実行する前記ＣＰＵは、
　評価対象システムの複数のシステム階層に関する情報を生成し、
　生成された複数のシステム階層に関する情報を用いて、各システム階層に含まれるセキュリティ機能要件による防御有効性の第一の評価値を算出し、セキュリティ機能要件の組合せによる防御有効性の第二の評価値を算出し、
　算出された第一と第二の評価値と、目標値とに基づいて、前記評価対象システムにおけるセキュリティ機能要件の過不足を検証する、
　ことを特徴とするセキュリティ評価方法。
　請求項１１に記載のセキュリティ評価方法において、
　前記ＣＰＵは、機能安全に関わる第１のシステム階層と、前記第１のシステム階層とデータの授受を行う第２のシステム階層と、以下順に、第ｎ（ｎ≧２）のシステム階層とデータの授受を行う第ｎ＋１のシステム階層と、から成る複数のシステム階層に関する情報を生成する、
　ことを特徴とするセキュリティ評価方法。
　請求項１２に記載のセキュリティ評価方法において、
　前記ＣＰＵは、第２のシステム階層から第ｎのシステム階層へと順に、各システム階層に含まれるセキュリティ機能要件による各システム階層の防御有効性の第一の評価値を算出し、算出した各システム階層の防御有効性の第一の評価値に基づき、第ｎのシステム階層の全体防御有効性の第一の評価値を算出する、
　ことを特徴とするセキュリティ評価方法。
　請求項１２に記載のセキュリティ評価方法において、
　前記ＣＰＵは、
　機能安全要件の目標値とセキュリティ機能要件の目標値を兼ねる項目の目標値の入力を受け付け、
　入力が受け付けられた目標値の項目に対応する項目で、各システム階層の防御有効性の第一の評価値を算出する、
　ことを特徴とするセキュリティ評価方法。