JP2003196476A - セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム - Google Patents

セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム

Info

Publication number
JP2003196476A
JP2003196476A JP2001398244A JP2001398244A JP2003196476A JP 2003196476 A JP2003196476 A JP 2003196476A JP 2001398244 A JP2001398244 A JP 2001398244A JP 2001398244 A JP2001398244 A JP 2001398244A JP 2003196476 A JP2003196476 A JP 2003196476A
Authority
JP
Japan
Prior art keywords
threat
information
data
asset
know
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001398244A
Other languages
English (en)
Other versions
JP2003196476A5 (ja
JP3872689B2 (ja
Inventor
Tatsuya Fujiyama
達也 藤山
Yasuhiko Nagai
康彦 永井
Masayuki Morohashi
政幸 諸橋
Ritsuko Aiba
律子 相羽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001398244A priority Critical patent/JP3872689B2/ja
Publication of JP2003196476A publication Critical patent/JP2003196476A/ja
Publication of JP2003196476A5 publication Critical patent/JP2003196476A5/ja
Application granted granted Critical
Publication of JP3872689B2 publication Critical patent/JP3872689B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

(57)【要約】 【課題】 ノウハウを有しない者であっても、対象とな
る情報システムに適したセキュリティポリシーを作成で
きるような支援システムを提供する。 【解決手段】 ノウハウデータベース13には、情報シ
ステムを構成する情報資産、情報資産に対する脅威、脅
威に対する対策およびそれらの関連を含むセキュリティ
ポリシーの作成のノウハウが記憶されている。事例デー
タベース15には、セキュリティポリシーの作成事例が
記憶されている。セキュリティポリシー作成支援装置1
1は、ノウハウデータベース13および事例データベー
ス15を参照して、顧客企業等がセキュリティポリシー
の作成対象となるシステムの情報資産、脅威及び対策の
特定を支援する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、情報システムのセ
キュリティポリシーの作成を支援するシステムに関し、
特に、過去の事例データに基づいてセキュリティポリシ
ーの作成を支援するシステムに関する。
【0002】
【従来の技術】従来より、情報セキュリティポリシーの
策定手法・手順としては、ISO/IEC TR13335 (GMITS:Gui
delines for the management of IT Security)やISO/IE
C 17799 (BS7799)等の国際標準により規定され推奨され
る手法・手順がある。この手法・手順では、(1)適用対
象・範囲の決定、(2)情報資産の定義、(3)脅威の抽出、
(4)リスク評価、(5)ポリシー(対策)の策定、の各ステ
ップをこの順に正確に実施する。また、情報技術製品や
情報システムのセキュリティ機能の設計・評価に関する
国際標準としてISO/IEC 15408 (CC:Common Criteria)が
あり、前述のISO/IEC TR 13335やISO/IEC 17799等と同
様の手順でのセキュリティ設計を推奨している。この手
法・手順では、まず最初に対象となる情報システムの固
有性を定義し、その定義をもとにして対象システムに固
有の脅威を洗い出すことにより、対象システム固有の対
策を策定できる。つまり、この手法・手順は、対象とな
る情報システムに適したセキュリティポリシー、あるい
はセキュリティに関する対策を策定するために有効なも
のである。
【0003】また、簡易なポリシー策定方法としては、
セキュリティポリシーの作成事例を利用するものがあ
り、例えば、特開2001−101135号公報「セキ
ュリティ評価方法および装置、セキュリティ施策の作成
支援方法および装置」がある。この先行技術文献では、
各情報機器タイプのポリシー事例を事前にデータベース
に格納しておき、対象システム構成に応じて、各構成機
器のポリシー事例を組み合わせることにより、対象シス
テム全体のポリシーを策定するものである。
【0004】
【発明が解決しようとする課題】しかしながら、前述の
国際標準で推奨されているセキュリティポリシー策定手
法・手順の実施には、リスク分析等、高度な専門知識や
技術に加えて、脅威や対策事例の豊富な知識と、どの脅
威に対してどの対策が有効であるかといったセキュリテ
ィに関するノウハウが必要となる。このため、限られた
専門家が時間およびコストをかけなければ実施できない
という問題点がある。
【0005】一方、前述の先行技術文献の手法では、構
成機器からセキュリティポリシーを導出するノウハウを
データベース化しているが、インターネット接続システ
ム等のような各構成要素の固有性が小さい情報システム
を対象としており、適用範囲が限定されている。
【0006】そこで、本発明は、ノウハウを有しない者
であっても、対象となる情報システムに適したセキュリ
ティに関する対策の決定、あるいはセキュリティポリシ
ーを作成することができるように支援するシステムを提
供することを目的とする。
【0007】また、本発明は、セキュリティポリシーの
作成に対してノウハウを提供して、それに対する課金を
行うシステムを提供することを別の目的とする。
【0008】また、セキュリティポリシーの作成事例デ
ータを収集して、効率的にノウハウを蓄積することをさ
らに別の目的とする。
【0009】
【課題を解決するための手段】本発明の一つの形態に従
うセキュリティポリシーの作成支援システムによれば、
情報システムを構成する情報資産と、前記情報資産に関
連するキーワードとを対応付けて記憶する第1の記憶手
段と、前記情報資産が曝される脅威と、前記脅威に関連
するキーワードとを対応付けて記憶する第2の記憶手段
と、前記脅威に対する対策と、前記対策に関連するキー
ワードとを対応付けて記憶する第3の記憶手段と、セキ
ュリティポリシーの作成対象となる情報システムに関す
るキーワードの入力を受け付ける受付手段と、前記受付
手段が受け付けたキーワードに基づいて、情報資産と脅
威と対策とを抽出する抽出手段と、前記抽出手段による
抽出結果を表示する表示手段とを備える。
【0010】本発明の他の形態に従うセキュリティポリ
シーの作成支援システムによれば、情報システムを構成
する情報資産と、前記情報資産が曝される脅威との関連
を記憶する記憶手段と、セキュリティポリシーの作成対
象となる情報システムに含まれる情報資産を決定する資
産決定手段と、前記資産決定手段により決定された情報
資産に対する脅威の候補を抽出する抽出手段と、前記抽
出手段による抽出結果を表示する表示手段とを備える。
【0011】本発明の他の形態に従うセキュリティ対策
決定支援システムによれば、情報システムが曝される脅
威と、前記脅威に対する対策との関連を記憶する記憶手
段と、セキュリティに関する対策を決定する対象となる
情報システムが曝される脅威を決定する脅威決定手段
と、前記脅威決定手段により決定された脅威に対する対
策の候補を抽出する抽出手段と、前記抽出手段による抽
出結果を表示する表示手段とを備える。
【0012】
【発明の実施の形態】以下、本発明の実施形態につい
て、図面を用いて説明する。
【0013】図1は、本発明を適用した第一の実施形態
に係るセキュリティポリシー作成支援システムの全体構
成を示す図である。本システムは、セキュリティポリシ
ーの作成を支援するセキュリティポリシー作成支援装置
(以下、支援装置)11と、セキュリティポリシーの作
成時に使用するノウハウを管理するノウハウ管理装置1
2とを有する。ノウハウ管理装置12は、セキュリティ
ポリシーを作成する際に利用するノウハウを保持したノ
ウハウデータベース13と、複数のセキュリティポリシ
ー作成事例データからなる事例データベース15と、ノ
ウハウデータベース13の利用者の情報を管理する利用
者データベース16とを有する。
【0014】支援装置11の詳細な構成を図2に示す。
支援装置11は、汎用のパーソナルコンピュータ等で構
成することができる。例えば、支援装置11は、CPU
21と、入出力制御部22と、バス23と、外部記憶装
置24と、主記憶装置(メモリ)25と、端末入出力制
御部22に接続されたディスプレイ26およびキーボー
ド27と、他の装置との間のネットワーク回線を制御す
るネットワーク制御部28とを有する。
【0015】外部記憶装置24には、セキュリティポリ
シーの作成支援プログラム241と、通信処理プログラ
ム242とが記憶されている。CPU21が、作成支援
プログラム241と通信処理プログラム242とを読み
込んで、実行することにより以下の各処理部2501〜
258が実現する。つまり、CPU21上には、セキュ
リティポリシーを作成する対象システムのキーワード入
力処理部251と、対象システムのキーワードに基づい
て情報資産、脅威、対策等のポリシー作成に関わるデー
タ群(以降、事例データと呼ぶ)の雛型を作成する雛型
作成処理部252と、情報資産の定義を支援する情報資
産定義処理部253と、情報資産に対する脅威を洗い出
し、対策を取るべき脅威の決定を支援する脅威抽出・決
定処理部254と、リスク及び対策に要するコストを評
価するリスク・コスト管理処理部255と、脅威に対す
る対策の決定を支援する対策立案・決定処理部256
と、ネットワーク回線を介した通信を行うための通信処
理部258とを備える。
【0016】ノウハウ管理装置12の詳細な構成を図3
に示す。ノウハウ管理装置12は、汎用のパーソナルコ
ンピュータ等で構成することができる。例えば、ノウハ
ウ管理装置12は、CPU31と、入出力制御部32
と、バス33と、外部記憶装置34と、主記憶装置(メ
モリ)35と、端末入出力制御部32に接続されたディ
スプレイ36およびキーボード37と、他の装置との間
のネットワーク回線を制御するネットワーク制御部38
とを有する。
【0017】外部記憶装置34には、ノウハウデータベ
ース等を管理するデータベース管理プログラム341
と、ネットワーク回線を介して通信を行うための通信制
御処理プログラム342と、事例データベースを構成す
る事例データ343と、ノウハウデータベースを構成す
るノウハウデータ344と、利用者管理データベースを
構成する利用者データ345と、課金処理プログラム3
46と、優先度算出処理プログラム347とが記憶され
ている。CPU31が、データベース管理プログラム3
41、通信処理プログラム242、課金処理プログラム
346、及び優先度算出処理プログラム347を読み込
んで、実行することにより以下の各処理部351〜35
6が実現する。つまり、CPU31上には、通信処理部
351と、データベース検索処理部352と、データベ
ース更新処理部353と、ノウハウ利用者識別・認証処
理部354と、課金処理部355と、優先度算出処理部
356とを備える。
【0018】つぎに、ノウハウデータベース13が有す
るデータ項目を図4及び図5に示す。ノウハウデータベ
ース13は、要素データ131と、要素間リンクデータ
132と、実績データ133、134と、キーワードデ
ータ135とを有する。
【0019】要素データ131は、セキュリティポリシ
ーの作成に必要な要素を定義する。要素データには、対
象となるシステムが保有する情報資産(以下、単に資産
という)の種類に関する情報41と、対象となるシステ
ムが曝される脅威の種類に関する情報42と、脅威に対
する対策の種類に関する情報43と、脅威の種別を定義
する定義情報44と、対策の種別を定義する定義情報4
5とが含まれる。
【0020】資産の種類に関する情報41は、資産を識
別するための資産ID411と、資産の分類項目412
と、情報資産名413と、資産の存在場所414と、資
産の形態415とを含む。
【0021】脅威の種類に関する情報42は、脅威を識
別するための脅威ID421と、脅威の種別を識別する
ための脅威種別ID422と、攻撃者または脅威の要因
423と、攻撃方法424と、基準リスク425とを含
む。基準リスク425とは、脅威の度合い(その脅威が
起こったときの損失の度合い)を示すものであり、他の
脅威と比較するための指標である。例えば、基準リスク
425は、脅威が起こったときに予想される損失額と、
その脅威の起こる確率の積で求めることができる。基準
リスク425は、随時、更新することができる。
【0022】脅威に対する対策の種類に関する情報43
は、対策を識別するための対策ID431と、対策の種
別を識別するための対策種別ID432と、対策の内容
433と、基準コスト434と、基準削減効果435と
を含む。基準コスト434とは、その対策を実施するの
に要するコストである。基準削減効果435は、対策を
実施することにより期待できる基準リスク425の削減
効果であり、他の対策と比較するための指標である。基
準コスト434および基準削減効果435は、随時、更
新することができる。
【0023】脅威の種別を定義する定義情報44は、脅
威種別ID441と、脅威種別442とを対応付ける。
【0024】対策の種別を定義する定義情報45は、対
策種別ID451と、対策種別452とを対応付ける。
【0025】要素間リンクデータ132は、要素間の関
連を定義する。具体的には、要素間リンクデータ132
は、資産と、その資産に対して生じ得る脅威とを関連付
ける脅威−資産リンク47と、脅威と、その脅威に対す
る対策とを関連付ける対策−脅威間リンク48とを含
む。
【0026】脅威−資産リンク47は、脅威−資産リン
クID471と、脅威ID421と、資産ID411と
をそれぞれ対応付ける。
【0027】対策−脅威間リンク48は、対策−脅威間
リンクID481と、対策ID431と、脅威ID42
1とをそれぞれ対応付ける。
【0028】キーワードデータ135は、セキュリティ
ポリシーの適用対象システムの特徴を表すキーワードと
して使用できるものが登録されている。キーワードは、
例えば、業種(例えば金融、証券、官公庁等)、システ
ム種別(例えばインターネット接続システム、リモート
アクセスシステム、ATMシステム等)、部門種別(例え
ば全社、人事部門、開発部門等)等を含む。キーワード
データ135は、キーワードID561と、キーワード
562と、上位キーワード563とが対応付けられてい
る。キーワード同士が階層的な関係を有する場合、上位
キーワード563には、キーワード562の上位となる
キーワードのIDが登録される。
【0029】実績データ133、134は、要素データ
の実績データ133と要素間リンクデータの実績データ
134とがあり、要素データ131または要素間リンク
データ132が、セキュリティポリシーの作成に使用さ
れた回数の実績を示す。さらに、要素実績データ133
および要素間リンク実績データ134は、要素データま
たは要素間リンクデータとキーワードとを対応付ける。
【0030】要素データの実績データ133は、資産の
実績データ51と、脅威の実績データ52と、対策の実
績データ53とを含む。要素間リンクの実績データ13
4は、脅威−資産間リンクの実績データ54と、対策−
脅威間リンクの実績データ55とを含む。
【0031】資産実績データ51は、資産ID411
と、その資産が使用された使用総数512と、この資産
を登録した登録者のID516とを含む。さらに、資産
実績データ51は、資産ID411に対応付けられたキ
ーワード513と、そのキーワードの使用回数514と
の組み合わせを複数含む。使用総数512は、資産がセ
キュリティポリシーの作成時に使用された総数である。
キーワード別の使用回数514は、そのキーワードに基
づいて資産が使用された回数を示す。
【0032】脅威の実績データ52、対策の実績データ
53、脅威−資産間リンクの実績データ54、および対
策−脅威間リンクの実績データ55についても、同様の
構造を有する。
【0033】次に、事例データベース15が有するデー
タ項目を図6に示す。事例データベース15は、本シス
テムがセキュリティポリシーの作成を行った事例に関す
るデータを蓄積したデータベースである。事例データベ
ース15は、セキュリティポリシーの作成対象システム
の事例データ61と、要素データの事例データ62、6
3、64と、要素間リンクデータの事例データ65、6
6とを含む。
【0034】セキュリティポリシーの作成対象システム
の事例データ61は、対象となる事例の事例ID601
と、キーワード602と、作成者ID603とを含む。
キーワード602は、ここでは4つ登録することができ
る。作成者ID603は、事例を作成して登録した者の
IDである。
【0035】要素データの事例データは、資産の事例デ
ータ62と、脅威の事例データ63と、対策の事例デー
タ64とを有する。
【0036】資産の事例データ62は、資産事例ID6
21と、具体的資産名622と、資産ID411と、分
類項目412と、情報資産名413と、存在場所414
と、資産形態415とを有する。
【0037】脅威の事例データ63は、脅威事例ID6
31と、具体的脅威記述632と、設定リスク633
と、脅威ID421と、脅威種別422と、攻撃者/要
因423と、攻撃方法424とを有する。
【0038】対策の事例データ64は、対策事例ID6
41と具体的対策記述642と、設定コスト643と、
リスク削減効果644と、対策ID431と、対策種別
ID432と、対策内容433とを有する。
【0039】要素間リンクデータの事例データは、脅威
−資産間リンクの事例データ65と、対策−脅威間リン
クの事例データ66とを含む。
【0040】脅威−資産間リンクの事例データ65は、
脅威−資産事例リンクID651と、脅威事例ID63
1と、資産事例ID621と、脅威−資産間リンクID
471とを含む。
【0041】対策−脅威間リンクの事例データ66は、
対策−脅威事例リンクID661と、対策事例ID64
1と、脅威事例ID631と、対策−脅威リンクID4
81とを含む。
【0042】つぎに、利用者データベース16のデータ
項目を、図7に示す。利用者データベース16は、ユー
ザID711と、利用者を認証するためのパスワード7
12と、利用者の人名や会社名等のユーザ詳細情報71
3と、課金総額714と、ポリシー事例データの作成回
数715と、ポリシー事例データの提供回数716と、
各ポリシー事例データの利用回数の総和717とを含
む。
【0043】次に、新規にセキュリティポリシーを作成
するときの処理手順について、説明する。
【0044】図9は、標準的なセキュリティポリシー作
成手順を示すフローチャートである。セキュリティポリ
シーの作成は、支援装置11とノウハウ管理装置12と
がそれぞれ処理を実行し、セキュリティポリシーの適用
対象の決定911、保護すべき情報資産の定義912、
定義した情報資産に対する脅威の抽出913、脅威に対
するリスクの評価914、および対策の立案915の順
に行われる。
【0045】まず、ポリシー作成支援プログラム241
が表示するメニュー画面の例を図18に示す。ここで、
適用対象の決定ボタン1801が押下されると、後述す
るステップS922、S923の処理が実行される。情
報資産の定義ボタン1802が押下されると、後述する
ステップS924の処理が実行される。脅威抽出&リス
ク評価ボタン1803が押下されると、後述するステッ
プS925、S926が実行される。対策立案ボタン1
804が押下されると、後述するステップS927が実
行され、ユーザがセキュリティポリシーの作成が完了し
たと判断して、完了ボタン1806が押下されると、後
述するステップS928の処理が実行される。
【0046】(セキュリティポリシーの適用対象の決定
911)まず、ユーザが支援装置11へログインする。
ユーザのログインは、例えば、図22に示すような、利
用者を識別するためのユーザID2201と、パスワー
ドの入力領域2202を備えたログイン220画面を利
用してもよい。支援装置11は、受け付けたユーザID
とパスワードをノウハウ管理装置12へ通知する(S9
21)。
【0047】ノウハウ管理装置12のノウハウ利用者識
別・認証処理部354は、通知されたユーザIDとパス
ワードを利用者データベース16の登録内容と照らし合
わせることにより利用可否を決定する。登録ユーザの場
合はノウハウデータベース13のキーワードデータ13
5に登録されているキーワード一覧を送信する(S93
1)。
【0048】支援装置11の対象システムのキーワード
入力処理部251は、図10に示すセキュリティポリシ
ー適用対象のキーワード情報入力画面100を表示し、
ユーザからキーワード等の入力を受け付ける。キーワー
ドは、新規追加101を選択して入力するか、または受
信したキーワード一覧102から選択できる。入力完了
後にキーワードをノウハウ管理装置12に送信する(S
922)。
【0049】ノウハウ管理装置12のデータベース検索
・データ取得処理部352は、受信したキーワードに基
づいて、セキュリティポリシーの雛形を作成し、支援装
置11へ送信される(S932)。雛形作成の詳細な処
理手順は、図19に示す。
【0050】すなわち、データベース検索・データ取得
処理部352は、受信したキーワードのうちキーワード
データ135に登録されているものを抽出し、キーワー
ドリストを作成する(S1901)。さらに、データベ
ース検索・データ取得処理部352は、キーワードリス
トに含まれる各キーワードの上位キーワード563を抽
出する(S1902)。そして、133を検索して、キ
ーワードリストの各キーワードが関連する資産、脅威、
対策、および、脅威―資産リンク、対策―脅威リンクを
抽出する(S1903)。最後に、要素間リンクデータ
132を参照し、対応付けられている資産、脅威、対策
のみを残し、セキュリティポリシーの雛型をする(S1
904)。なお、ステップS1903の具体的な処理と
しては、関連するキーワードに対して少なくとも1回以
上使用されているものを抽出してもよいし、事前に設定
した使用回数(例えば10回)以上使用されているもの
を抽出してもよい。
【0051】支援装置11のポリシーデータ雛形作成処
理部252が、受信した情報資産、脅威、対策、脅威−
資産リンク、対策−脅威リンクを含む雛形データを事例
データベース15へ格納する。ただし、雛型データの場
合、事例ID(621、631、641、651、66
1)および具体的記述(622、632、642、65
2、662)は空欄とし、設定リスク633、設定コス
ト643にはそれぞれ基準リスク425、基準コスト4
34を設定する。この雛形データをベースにして以降の
処理を行う。
【0052】(資産の定義912)支援装置11の情報
資産定義処理部253は、図11に示す資産の定義画面
110に、初期状態として資産雛型一覧を表示させる。
ユーザは、この画面110を利用して、雛型をベースに
資産の追加/編集、削除を行う(S924)。
【0053】資産の定義画面110は、抽出された資産
の分類項目1101と、一般名称1102と、固有名称
1103と、資産の所在する場所および形態1104の
表示領域を有し、さらに、雛形に含まれる資産の追加及
び編集を行うための追加/編集ボタン1105と、削除
するための削除ボタン1106とを有する。追加/編集
ボタン1105が押されると、図12に示す追加/編集
画面120が表示される。追加/編集画面120では、
雛形には含まれていない新たな資産を追加することがで
きる。追加/編集画面120は、分類項目1201、資
産一般名称1202、資産固有名称1204、場所/形
態1205等の入力欄を有する。
【0054】支援装置11の情報資産定義処理部253
は、ノウハウ管理装置12に対して資産一覧を要求し、
ノウハウ管理装置12のデータベース検索・データ取得
処理部352は実績データを含む情報資産一覧を支援装
置11に送信する。情報資産定義処理部253は受信し
た資産一覧を、分類項目1201、資産一般名称120
2、および場所/形態1205の入力領域における選択
肢として表示する。ここで、一般名称1202は、その
資産名がこれまでに使用された回数に基づいて資産の選
択優先度1203を決定し、その優先度順に一覧表示す
る。優先度1203は、例えば、使用回数が多いほど優
先度を高くする。具体的には、(a)総使用回数の大きい
順に優先度を割り振る、(b)キーワードに関連するが雛
型として採用されなかった資産を使用回数順に優先付け
した後、キーワードに関連しない資産を総使用回数順に
優先付けする等の方法がある。
【0055】本システムは、上記のような画面を用い
て、ユーザによる資産定義を支援する。
【0056】(脅威の抽出913)ユーザが資産の定義
を終わると、本システムは、ユーザによる脅威の定義を
支援する。すなわち、支援装置11の脅威抽出・決定処
理部254は、図13に示す脅威抽出・リスク評価画面
130で、脅威雛型一覧をユーザに提示する。ここで示
された脅威の雛型をベースに、ユーザは脅威の追加、編
集、削除を行う(S925)。脅威抽出・リスク評価画
面130は、定義した資産ごとに脅威を抽出、決定する
ための画面であり、脅威種別1301と、セキュリティ
ポリシー作成のために採用した脅威リスト1302と、
使用回数に基づく優先度1303と、リスク1304
と、追加候補のリスト1305と、追加ボタン1306
と、削除ボタン1307と、新規追加ボタン1308
と、リスク評価ボタン1309とを有する。脅威抽出・
リスク評価画面130を開いたとき、採用脅威1302
に脅威の雛型が表示され、追加候補リスト1305にノ
ウハウデータベース13から取得した脅威の一覧が表示
される。ここで、追加候補リスト1305は、脅威の選
択優先度1303の順に表示される。優先度1303
は、その脅威がこれまでに使用された回数に基づいて算
出される。例えば、優先度1303は、使用回数が多い
ほど優先度を高くする。具体的には、(a)総使用回数の
大きい順に優先度を割り振る、(b)対象とする情報資産
が関わる脅威−資産リンクの総使用回数の大きい順に優
先度を割り振る、(c)まず(b)の方法で優先度を割り振
り、同じ使用回数のものについてはさらに(a)の方法で
順位をつける、(d)(c)の方法でもなお同じ順位となる場
合はさらにキーワードとの関連の有無やキーワードに使
用回数の大小で判断する等の方法がある。
【0057】(リスクの評価914)そして、採用した
脅威リスト1302には、ユーザが採用した脅威がリス
トアップされる。ここでリスク評価ボタン1309が押
されると、リスク・コスト管理処理部255がリスクを
評価する(S926)。リスク表示領域1304には、
リスク評価結果の値が表示される。なお、リスク評価手
法は公知の定量手法、定性手法等があり、いずれかの方
式に基づいて別途算出する。
【0058】(対策の立案915)最後に、図14に示
す対策決定・コスト設定画面140、図15に示す対策
立案・コスト設定画面150および図16に示す対策選
択画面160で、脅威に対する対策を洗い出し、設定し
た許容リスク、許容コストを満足するようにコスト効果
の高い対策を選択する(S927)。対策決定・コスト
設定画面140は、各資産別に対策をとるべき脅威一覧
1407と、資産別残存リスク1402と、対策にかか
る所要コスト1404と、許容リスクの入力領域140
1と、許容コストの入力領域1403と、対策候補作成
ボタン1405と、対策選択ボタン1406とを有す
る。
【0059】ユーザが脅威一覧1407から脅威を選択
後、対策候補作成ボタン1405を押下すると、対策立
案・コスト設定画面150が開き、脅威に対する対策の
洗い出しと各対策の所要コストの設定を行う。対策立案
・コスト設定画面150は、選択した脅威に対する対策
案を洗い出し、各対策のコストを設定するための画面で
あり、対策候補リスト1502、使用回数に基づく優先
度1503と、コスト1504と、追加候補リスト15
06、追加ボタン1507と、削除ボタン1508と、
新規追加ボタン1509とを有する。この画面150が
開いたときには、対策候補1502に対策の雛型が表示
され、追加候補リスト1506にノウハウデータベース
13から取得した対策の一覧が表示される。ここで、追
加候補リスト1506は、対策の優先度1503の順に
表示される。優先度1503は、その対策がこれまでに
使用された回数に基づいて算出される。具体的には、
(a)各対策の総使用回数の大きい順に優先度を割り振
る、(b)対象とする脅威が関わる対策−脅威リンクの総
使用回数の大きい順に優先度を割り振る、(c)まず(b)の
方法で優先度を割り振り同じ使用回数のものについては
さらに(a)の方法で順位をつける、(d)(c)の方法でもな
お同じ順位となる場合はさらにキーワードとの関連の有
無やキーワードに使用回数の大小で判断する、等の方法
がある。
【0060】次に、ユーザが対策選択ボタン1406を
押下すると、対策選択画面160が開き、各資産につい
て許容リスク、許容コストを満足する対策を選択する。
対策選択画面160は、残存リスク、所要コストが許容
範囲に収まり、脅威に対して抜け漏れなく対処する対策
を選択するための画面であり、脅威一覧リスト160
1、対策一覧リスト1602、対策の選択領域1603
と、未対策脅威の有無の表示領域1604と、残存リス
クと所要コスト表示領域1606とを有する。ユーザが
対策の選択領域1603にチェックを入れて選択するこ
とにより、残存リスクと所要コスト表示領域1606お
よび未対策脅威の有無の表示領域1604に、その時の
状況が表示される。
【0061】以上によりセキュリティポリシーの作成は
完了する。本方式のセキュリティポリシー作成支援方法
および装置ではさらに、支援装置11の通信処理部25
8が、ポリシー作成完了時に、事例データ全体あるいは
一部をノウハウ管理装置12に送信する(S928)。
【0062】一方、ノウハウ管理装置12のデータベー
ス自動更新処理部353は、受信した事例データの全
体、または一部に基づいてノウハウデータベース13を
更新する。
【0063】図21にデータベース自動更新処理部35
3が行う更新処理の手順を示す。図8は更新前後の事例
データベース15、およびノウハウデータベース13を
示す。データベース自動更新処理部353は、受信する
ポリシー事例データの形式に基づいて処理211と処理
212に分岐する。ポリシー事例データ全体(フォーマ
ット61、62、63、64、65、66)を受信した
場合、まず受信したデータをポリシー事例データ343
に保存する(S3111)。次に、受信した事例データ
が、ノウハウデータベースに登録されている既存データ
に基づいて作成されたもの(資産ID811に識別子あ
り)か、ノウハウデータベースに存在せず新規に作成さ
れたもの(資産ID812に“−”あり)かを識別する
(S21122)。次に、事例データが既存データに基
づいている場合、ノウハウデータベースの要素実績デー
タ133及び要素間リンク実績データ134の総使用回
数とキーワードが関連する場合の使用回数とを1増加さ
せる。新規作成データである場合、ノウハウデータベー
スに追加し、新しいIDを付与する(S2113)。例
えば、図8の場合、資産ID“024”の事例データに
ついては、更新前の資産使用実績記録部83の総使用回
数“156"とキーワード”K001“に関連する使用回
数”63“が、更新後にそれぞれ”157“”64“と
1ずつ増加する。また、資産ID”-“の新規作成の事
例データについては、資産定義部82に新規の資産82
1が追加され、資産ID”100“が付与される。最後
に、付与された新規IDを事例データベースに反映させる
(S2114)。
【0064】例えば、図8の場合、更新前に”-“であ
った資産ID812が更新後に”100“となる。ポリ
シー事例データ個別(フォーマット51、52、53、
54、55)に受信した場合、受信したポリシー事例デ
ータについて、ステップS2112、2113、211
4を実施する。
【0065】これにより、データベースの規模(データ
数)とデータ品質を示す指標(使用実績)の信頼性を効
率よく向上することができる。
【0066】次に、本システムにおけるノウハウ使用に
対する課金処理について説明する。
【0067】図17は、本システムを利用するノウハウ
提供企業171、およびノウハウ利用企業(セキュリテ
ィポリシー作成支援サービスを提供する企業あるいはセ
キュリティポリシーを必要とする顧客企業等)172と
の間におけるノウハウの流れと課金の仕組みを示す図で
ある。
【0068】ノウハウ提供企業171は、事例データ1
701を保持している。ノウハウ利用企業172は、ノ
ウハウ提供企業171が提供する既存事例データ170
1と新規に作成した新規事例データ1702とを合わせ
てセキュリティポリシーを作成する。そして、ノウハウ
利用企業172は、新規事例データ1702と既存事例
データ使用実績1703をノウハウ提供企業に提供す
る。これにより、ノウハウ提供企業171はノウハウデ
ータベースの規模(データ数)を拡大できるとともに、
事例データの有用度の尺度として利用可能な使用実績デ
ータを更新して使用頻度データの信頼性を高めることが
できる。
【0069】これらのノウハウの流れに対して、ノウハ
ウ提供企業171は、ノウハウ利用企業172に対して
ノウハウ使用料を請求する。ノウハウ利用企業172
は、提供を受けたノウハウの有用度に応じた代価を支払
う。一方、ノウハウ利用企業172が新規事例データを
提供したときは、ノウハウ提供企業171が、その有用
度に応じた対価を支払う。この仕組みにより、ノウハウ
利用企業172は、より多く、より品質の高い新規事例
データを提供することでノウハウ使用料を削減できる。
また、ノウハウ提供企業はより多く、より品質の高い事
例データを獲得することでノウハウデータベースの品質
を高め、より質の高いノウハウを提供できる。
【0070】この課金システムにおける課金計算式の一
例を、次に示す。
【0071】 ノウハウ使用料(K円)=既存事例データ情報料(K円/回)×事例データ作成 回数…(1) ノウハウ提供料(K円)=新規事項データ情報料(K円/回)×事例データ作成 回数…(2) 提供ノウハウ付加価値料(K円)=付加価値料(K円/回)×新規事例データ合 計使用回数…(3) 課金額(K円)=ノウハウ使用料−ノウハウ提供料−提供ノウハウ付加価値料 …(4)
【0072】ここで、既存事例データ情報料、新規事例
データ情報料および付加価値料は、予め設定しておく。
ポリシー事例作成回数およびポリシー事例提供回数は利
用者管理データベース16に記録される。また、ノウハ
ウデータベース13にノウハウデータを記録する場合、
それぞれのデータ登録者ID(516、526、536、
546、556)を記録し、各データ登録者ID毎のノウ
ハウデータ使用回数(512、522、532、54
2、552)の総和を新規事例データ合計使用回数とす
ることにより、課金額を計算できる。
【0073】これにより、作成結果のポリシー事例デー
タのノウハウデータベースへの提供回数、提供データ
数、および、提供データの利用頻度に基づいてノウハウ
使用に対する課金を減額することができる。その結果、
事例データの提供と、利用頻度が高い高品質なセキュリ
ティポリシーの作成を促進することができる。さらに、
ユーザ(課金支払い者)のセキュリティポリシー作成コ
ストを削減できると同時に、ノウハウデータベースの拡
充・高品質化を図ることができる。
【0074】次に、本発明の第二の実施形態について説
明する。第二の実施形態は、ポリシー作成支援装置11
がネットワーク上の配置したノウハウデータベースにア
クセスすることなく単独で動作する形態である。
【0075】図20は、セキュリティポリシー作成支援
システムの第二の実施形態の構成を示す図である。第二
の実施形態における支援装置11は、図2に示す構成に
加えて、FDD、CD-ROM、DVD等の外部記憶媒体を制御する
外部記憶媒体制御部201を備え、外部記憶装置24に
はノウハウデータベース管理機能付きのポリシー作成支
援プログラム202、ノウハウデータ344、利用者管
理データ345が格納される。なお、ポリシー作成支援
プログラム202、ノウハウデータ344、利用者管理
データ345は、ネットワーク経由または外部記憶媒体
203経由で別途読み込まれる。ただし、ノウハウデー
タ344、利用者管理データ345は、支援装置に接続
された外部記憶媒体203上に格納された状態でもよ
い。さらに、ディスク上のプログラムを実行することに
より、CPU上21には図に示す各処理部が実現され
る。
【0076】支援装置11が図20に示す構成の場合、
図9に示すポリシー作成支援装置―ノウハウ管理装置間
のネットワーク経由の処理全体を、内部バス23を介し
た支援装置11内部の処理として置き換えることができ
る。
【0077】また、作成結果のポリシー事例データをネ
ットワーク経由または外部記憶媒体203経由でノウハ
ウ管理装置12に送り込むことにより、第二の実施形態
においても、ノウハウ管理装置12に接続されるノウハ
ウデータベースを更新可能であり、それに伴う課金の仕
組み(図17)もまた実現可能である。
【0078】以上説明した実施形態によれば、資産、脅
威、対策の各要素間の対応関係情報を設けることによ
り、各要素間の対応関係を常に維持することが可能とな
る。これにより、抜け漏れのないセキュリティに関する
対策を策定できる。
【0079】さらに、資産、脅威、対策の各要素データ
の使用実績データを備えることにより、使用回数の多い
事例データを、多くのセキュリティポリシーの作成に利
用されるより重要なデータとして、優先的に利用するこ
とができる。加えて、各要素間リンクの使用実績データ
を設けることにより、使用頻度の高い対応関係を、より
結び付きの強い重要な関係であるとして優先的に利用す
ることができる。
【0080】また、対象システムの特徴を表すキーワー
ドを利用してポリシー事例データの雛型を作成すること
により、対象システムに適した雛型をベースにして効率
よくセキュリティポリシーを策定できる。
【0081】上述した本発明の実施形態は、本発明の説
明のための例示であり、本発明の範囲をそれらの実施形
態にのみ限定する趣旨ではない。当業者は、本発明の要
旨を逸脱することなしに、他の様々な態様で本発明を実
施することができる。
【0082】
【発明の効果】本発明によれば、ノウハウを有しない者
であっても、対象となる情報システムに適したセキュリ
ティに関する対策の決定、あるいはセキュリティポリシ
ーを作成することができる。
【図面の簡単な説明】
【図1】本発明を適用した第一の実施形態に係るセキュ
リティポリシー作成支援システムの全体構成を示す図で
ある。
【図2】支援装置11の詳細な構成を示す図である。
【図3】ノウハウ管理装置12の詳細な構成を示す図で
ある。
【図4】ノウハウデータベース13が有するデータ項目
を示す図である。
【図5】ノウハウデータベース13が有するデータ項目
を示す図である。
【図6】事例データベース15が有するデータ項目を示
す図である。
【図7】利用者データベース16が有するデータ項目を
示す図である。
【図8】事例データベース15およびノウハウデータベ
ース13の更新前後の様子を示す図である。
【図9】標準的なセキュリティポリシー作成手順を示す
フローチャートである。
【図10】セキュリティポリシー適用対象のキーワード
情報入力画面100を示す図である。
【図11】資産の定義画面110を示す図である。
【図12】追加/編集画面120を示す図である。
【図13】脅威抽出・リスク評価画面130を示す図で
ある。
【図14】対策決定・コスト設定画面140を示す図で
ある。
【図15】対策立案・コスト設定画面150を示す図で
ある。
【図16】対策選択画面160を示す図である。
【図17】本実施形態におけるノウハウの流れと課金の
仕組みを示す図である。
【図18】メニュー画面の例を示す図である。
【図19】雛形作成の詳細な処理手順を示すフローチャ
ートである。
【図20】本発明を適用した第二の実施形態に係るセキ
ュリティポリシー作成支援システムの全体構成を示す図
である。
【図21】データベース自動更新処理部353が行う更
新処理の手順を示すフローチャートである。
【図22】ログイン220画面を示す図である。
【符号の説明】
11…セキュリティポリシー作成支援装置、12…ノウ
ハウ提供装置、13…ノウハウデータベース、15…事
例データベース、16…利用者データベース、131…
要素データ、132…要素間リンクデータ、133…要
素実績データ、134…要素間リンク実績データ、13
5…キーワードデータ。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 諸橋 政幸 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 相羽 律子 神奈川県川崎市幸区鹿島田890番地 株式 会社日立製作所情報サービス事業部内 Fターム(参考) 5B085 AC04 AC14 AE00 BA06 BG07

Claims (11)

    【特許請求の範囲】
  1. 【請求項1】 情報システムを構成する情報資産と、前
    記情報資産に関連するキーワードとを対応付けて記憶す
    る第1の記憶手段と、 前記情報資産が曝される脅威と、前記脅威に関連するキ
    ーワードとを対応付けて記憶する第2の記憶手段と、 前記脅威に対する対策と、前記対策に関連するキーワー
    ドとを対応付けて記憶する第3の記憶手段と、 セキュリティポリシーの作成対象となる情報システムに
    関するキーワードの入力を受け付ける受付手段と、 前記受付手段が受け付けたキーワードに基づいて、情報
    資産と脅威と対策とを抽出する抽出手段と、 前記抽出手段による抽出結果を表示する表示手段とを備
    えるセキュリティポリシーの作成支援システム。
  2. 【請求項2】 情報システムを構成する情報資産と、前
    記情報資産が曝される脅威との関連を記憶する記憶手段
    と、 セキュリティポリシーの作成対象となる情報システムに
    含まれる情報資産を決定する資産決定手段と、 前記資産決定手段により決定された情報資産に対する脅
    威の候補を抽出する抽出手段と、 前記抽出手段による抽出結果を表示する表示手段とを備
    えるセキュリティポリシーの作成支援システム。
  3. 【請求項3】 前記情報資産が曝される脅威がセキュリ
    ティポリシーの作成に使用された回数を示す実績データ
    記憶手段をさらに備え、 前記抽出手段は、前記脅威の候補の使用回数データを抽
    出し、 前記表示手段は、前記抽出された使用回数データに基づ
    いて、前記脅威候補の表示順序を変えて表示する請求項
    2記載のセキュリティポリシー作成支援システム。
  4. 【請求項4】 情報システムが曝される脅威と、前記脅
    威に対する対策との関連を記憶する記憶手段と、 セキュリティに関する対策を決定する対象となる情報シ
    ステムが曝される脅威を決定する脅威決定手段と、 前記脅威決定手段により決定された脅威に対する対策の
    候補を抽出する抽出手段と、 前記抽出手段による抽出結果を表示する表示手段とを備
    えるセキュリティ対策決定支援システム。
  5. 【請求項5】 前記脅威に対する対策がセキュリティに
    関する対策の決定に使用された実績を示すデータを記憶
    する実績記憶手段をさらに備え、 前記抽出手段は、前記対策候補の使用実績データを抽出
    し、 前記表示手段は、前記抽出された使用実績データに基づ
    いて、前記対策候補の表示順序を変えて表示する請求項
    4記載のセキュリティ対策決定支援システム。
  6. 【請求項6】 前記脅威に対する対策を実施するのに要
    するコストデータを記憶するコスト記憶手段をさらに備
    え、 前記抽出手段は、前記対策候補のコストデータを抽出
    し、 前記表示手段は、前記抽出されたコストデータに基づい
    て、前記対策候補を実施するのに要するコストを表示す
    る請求項4記載のセキュリティ対策決定支援システム。
  7. 【請求項7】 前記脅威により前記情報システムに生じ
    るリスクの大きさを示すリスクデータ、および前記対策
    を実施することにより軽減されるリスクの大きさを示す
    リスク軽減データを記憶するリスク記憶手段をさらに備
    え、 前記抽出手段は、前記脅威決定手段により決定された脅
    威のリスクデータおよび前記対策候補のリスク軽減デー
    タを抽出し、 前記表示手段は、前記脅威決定手段により決定された脅
    威により前記情報システムに生じるリスクの大きさと、
    前記候補となっている対策を実施後の軽減されたリスク
    の大きさとを表示する請求項4記載のセキュリティ対策
    決定支援システム。
  8. 【請求項8】 コンピュータに実行されたとき、前記コ
    ンピュータ上に、 情報システムを構成する情報資産と、前記情報資産に関
    連するキーワードとを対応付けて記憶する第1の記憶手
    段と、 前記情報資産が曝される脅威と、前記脅威に関連するキ
    ーワードとを対応付けて記憶する第2の記憶手段と、 前記脅威に対する対策と、前記対策に関連するキーワー
    ドとを対応付けて記憶する第3の記憶手段と、 セキュリティポリシーの作成対象となる情報システムに
    関するキーワードの入力を受け付ける受付手段と、 前記受付手段が受け付けたキーワードに基づいて、情報
    資産と脅威と対策とを抽出する抽出手段と、 前記抽出手段による抽出結果を表示する表示手段とを構
    築させるためのコンピュータプログラム。
  9. 【請求項9】 コンピュータに実行されたとき、前記コ
    ンピュータ上に、 情報システムを構成する情報資産と、前記情報資産が曝
    される脅威との関連を記憶する記憶手段と、 セキュリティポリシーの作成対象となる情報システムに
    含まれる情報資産を決定する資産決定手段と、 前記資産決定手段により決定された情報資産に対する脅
    威の候補を抽出する抽出手段と、 前記抽出手段による抽出結果を表示する表示手段とを構
    築させるためのコンピュータプログラム。
  10. 【請求項10】 コンピュータに実行されたとき、前記
    コンピュータ上に、 情報システムが曝される脅威と、前記脅威に対する対策
    との関連を記憶する記憶手段と、 セキュリティに関する対策を決定する対象となる情報シ
    ステムが曝される脅威を決定する脅威決定手段と、 前記脅威決定手段により決定された脅威に対する対策の
    候補を抽出する抽出手段と、 前記抽出手段による抽出結果を表示する表示手段とを構
    築させるためのコンピュータプログラム。
  11. 【請求項11】 情報システムを構成する情報資産、前
    記情報資産が曝される脅威および前記脅威に対する対策
    について、情報システムのセキュリティポリシーの作成
    に使用した実績を示すノウハウデータを記憶した記憶手
    段と、 前記記憶手段に記憶されたノウハウデータを用いてセキ
    ュリティポリシーを作成する作成手段と、 前記作成手段が作成したセキュリティポリシーに基づい
    て、前記記憶手段にノウハウデータを追加する追加手段
    と、 前記作成手段がセキュリティポリシーの作成時に使用し
    たノウハウデータと、前記追加手段が追加したノウハウ
    データとに基づいて、課金する金額を決定する課金手段
    とを備えたセキュリティポリシー作成のためのノウハウ
    提供システム。
JP2001398244A 2001-12-27 2001-12-27 セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム Expired - Fee Related JP3872689B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001398244A JP3872689B2 (ja) 2001-12-27 2001-12-27 セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001398244A JP3872689B2 (ja) 2001-12-27 2001-12-27 セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム

Publications (3)

Publication Number Publication Date
JP2003196476A true JP2003196476A (ja) 2003-07-11
JP2003196476A5 JP2003196476A5 (ja) 2004-10-28
JP3872689B2 JP3872689B2 (ja) 2007-01-24

Family

ID=27603756

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001398244A Expired - Fee Related JP3872689B2 (ja) 2001-12-27 2001-12-27 セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム

Country Status (1)

Country Link
JP (1) JP3872689B2 (ja)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005258512A (ja) * 2004-03-09 2005-09-22 Hitachi Ltd 統合システムセキュリティ設計方法及びそのプログラム
JP2006185416A (ja) * 2004-09-30 2006-07-13 Rockwell Automation Technologies Inc 産業用オートメーションのためのスケーラブルで柔軟な情報セキュリティ
JP2006209649A (ja) * 2005-01-31 2006-08-10 Nec Corp 機密文書検索システム、機密文書検索方法、および機密文書検索プログラム
JP2006331383A (ja) * 2005-04-25 2006-12-07 Hitachi Ltd システムセキュリティ設計・評価支援ツール、システムセキュリティ設計・評価支援方法、およびシステムセキュリティ設計・評価支援プログラム
JP2008107982A (ja) * 2006-10-24 2008-05-08 Fujitsu Ltd 開発支援プログラム、開発支援方法および開発支援装置
JP2008287435A (ja) * 2007-05-16 2008-11-27 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム
JP2009110177A (ja) * 2007-10-29 2009-05-21 Ntt Data Corp 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム
JP4469910B1 (ja) * 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム
JP2010231600A (ja) * 2009-03-27 2010-10-14 Toshiba Corp 事務品質管理装置および事務品質管理処理プログラム
JP2011028613A (ja) * 2009-07-28 2011-02-10 Nec Corp 対策候補生成システム、対策候補生成方法およびプログラム
US8112786B2 (en) 2004-06-22 2012-02-07 International Business Machines Corporation Security policy generation
JP2012043013A (ja) * 2010-08-12 2012-03-01 Toshiba Corp 脅威分析支援装置及び脅威分析支援プログラム
JP2012511217A (ja) * 2008-12-12 2012-05-17 エヌイーシー ヨーロッパ リミテッド パーベイシブサービス環境におけるユーザのアクセス制御プリファレンスおよび/またはプライバシープリファレンスの生成をサポートする方法およびシステム
JPWO2016132730A1 (ja) * 2015-02-16 2017-11-30 日本電気株式会社 設計支援装置、設計支援システム、設計支援方法およびコンピュータプログラム
JP2019125267A (ja) * 2018-01-18 2019-07-25 富士通株式会社 サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法
JP2020135664A (ja) * 2019-02-22 2020-08-31 クラリオン株式会社 セキュリティ設計立案支援装置
WO2023233709A1 (ja) * 2022-05-30 2023-12-07 パナソニックIpマネジメント株式会社 脅威分析方法、脅威分析システム及びプログラム

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005258512A (ja) * 2004-03-09 2005-09-22 Hitachi Ltd 統合システムセキュリティ設計方法及びそのプログラム
JP4504706B2 (ja) * 2004-03-09 2010-07-14 株式会社日立製作所 統合システムセキュリティ設計方法及びそのプログラム
US8141131B2 (en) 2004-06-22 2012-03-20 International Business Machines Corporation Security policy generation
US8112786B2 (en) 2004-06-22 2012-02-07 International Business Machines Corporation Security policy generation
JP2006185416A (ja) * 2004-09-30 2006-07-13 Rockwell Automation Technologies Inc 産業用オートメーションのためのスケーラブルで柔軟な情報セキュリティ
US8607307B2 (en) 2004-09-30 2013-12-10 Rockwell Automation Technologies, Inc. Scalable and flexible information security for industrial automation
JP2006209649A (ja) * 2005-01-31 2006-08-10 Nec Corp 機密文書検索システム、機密文書検索方法、および機密文書検索プログラム
JP2006331383A (ja) * 2005-04-25 2006-12-07 Hitachi Ltd システムセキュリティ設計・評価支援ツール、システムセキュリティ設計・評価支援方法、およびシステムセキュリティ設計・評価支援プログラム
JP4663484B2 (ja) * 2005-04-25 2011-04-06 株式会社日立製作所 システムセキュリティ設計・評価支援ツール、システムセキュリティ設計支援ツール、システムセキュリティ設計・評価支援プログラム、およびシステムセキュリティ設計支援プログラム
JP2008107982A (ja) * 2006-10-24 2008-05-08 Fujitsu Ltd 開発支援プログラム、開発支援方法および開発支援装置
JP2008287435A (ja) * 2007-05-16 2008-11-27 Toshiba Corp セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム
JP2009110177A (ja) * 2007-10-29 2009-05-21 Ntt Data Corp 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム
JP2012511217A (ja) * 2008-12-12 2012-05-17 エヌイーシー ヨーロッパ リミテッド パーベイシブサービス環境におけるユーザのアクセス制御プリファレンスおよび/またはプライバシープリファレンスの生成をサポートする方法およびシステム
US8407801B2 (en) 2008-12-24 2013-03-26 Kabushiki Kaisha Toshiba Security countermeasure function evaluation program
JP2010152560A (ja) * 2008-12-24 2010-07-08 Toshiba Corp セキュリティ対策機能評価プログラム
WO2010074093A1 (ja) * 2008-12-24 2010-07-01 株式会社 東芝 セキュリティ対策機能評価プログラム
JP4469910B1 (ja) * 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム
JP2010231600A (ja) * 2009-03-27 2010-10-14 Toshiba Corp 事務品質管理装置および事務品質管理処理プログラム
JP2011028613A (ja) * 2009-07-28 2011-02-10 Nec Corp 対策候補生成システム、対策候補生成方法およびプログラム
JP2012043013A (ja) * 2010-08-12 2012-03-01 Toshiba Corp 脅威分析支援装置及び脅威分析支援プログラム
JPWO2016132730A1 (ja) * 2015-02-16 2017-11-30 日本電気株式会社 設計支援装置、設計支援システム、設計支援方法およびコンピュータプログラム
JP2019125267A (ja) * 2018-01-18 2019-07-25 富士通株式会社 サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法
JP2020135664A (ja) * 2019-02-22 2020-08-31 クラリオン株式会社 セキュリティ設計立案支援装置
JP7220095B2 (ja) 2019-02-22 2023-02-09 株式会社日立製作所 セキュリティ設計立案支援装置
WO2023233709A1 (ja) * 2022-05-30 2023-12-07 パナソニックIpマネジメント株式会社 脅威分析方法、脅威分析システム及びプログラム

Also Published As

Publication number Publication date
JP3872689B2 (ja) 2007-01-24

Similar Documents

Publication Publication Date Title
US11144670B2 (en) Data processing systems for identifying and modifying processes that are subject to data subject access requests
US20220159041A1 (en) Data processing and scanning systems for generating and populating a data inventory
US10997318B2 (en) Data processing systems for generating and populating a data inventory for processing data access requests
US10346638B2 (en) Data processing systems for identifying and modifying processes that are subject to data subject access requests
US10346637B2 (en) Data processing systems for the identification and deletion of personal data in computer systems
US10181051B2 (en) Data processing systems for generating and populating a data inventory for processing data access requests
US11941137B2 (en) Use of multi-faceted trust scores for decision making, action triggering, and data analysis and interpretation
JP2003196476A (ja) セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム
US20150032645A1 (en) Computer-implemented systems and methods of performing contract review
US10776514B2 (en) Data processing systems for the identification and deletion of personal data in computer systems
WO2019028405A1 (en) DATA PROCESSING SYSTEMS FOR THE IDENTIFICATION AND DELETION OF PERSONAL DATA IN COMPUTER SYSTEMS
US11222309B2 (en) Data processing systems for generating and populating a data inventory
US11809593B2 (en) Sensitive data compliance manager
US20060026057A1 (en) Collaborative organization analysis
JP2019016280A (ja) 情報処理装置及びプログラム
US20220035946A1 (en) Data processing systems for identifying and modifying processes that are subject to data subject access requests
CN113610504A (zh) 数据处理方法、装置、计算机设备及存储介质
JP7060369B2 (ja) 名寄せ支援装置、名寄せ支援方法及びプログラム
JP5250394B2 (ja) Edi統合処理システム、edi統合処理方法、およびedi統合処理プログラム
JP2003141313A (ja) ワークフローシステム、及びナレッジマネジメントシステム
KR20190109664A (ko) 빅 데이터 비식별화 처리 시스템 및 방법
JP2022167418A (ja) 情報処理装置
JP2008140087A (ja) 活動支援装置及びプログラム並びに活動支援システム
WO2019023534A1 (en) DATA PROCESSING SYSTEMS FOR GENERATING AND FEEDING A DATA INVENTORY FOR PROCESSING ACCESS REQUESTS TO DATA
WO2019036651A1 (en) DATA PROCESSING SYSTEMS AND METHODS FOR ENABLING PEUPLER AND MANAGING A CENTRALIZED DATABASE OF PERSONAL DATA

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060214

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060417

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060926

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061020

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091027

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101027

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111027

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees