JP2005293267A - 情報セキュリティマネジメント支援システム及びプログラム - Google Patents
情報セキュリティマネジメント支援システム及びプログラム Download PDFInfo
- Publication number
- JP2005293267A JP2005293267A JP2004107790A JP2004107790A JP2005293267A JP 2005293267 A JP2005293267 A JP 2005293267A JP 2004107790 A JP2004107790 A JP 2004107790A JP 2004107790 A JP2004107790 A JP 2004107790A JP 2005293267 A JP2005293267 A JP 2005293267A
- Authority
- JP
- Japan
- Prior art keywords
- information
- confidentiality
- integrity
- availability
- asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006378 damage Effects 0.000 claims abstract description 123
- 238000011156 evaluation Methods 0.000 claims abstract description 44
- 238000009795 derivation Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 21
- 230000006872 improvement Effects 0.000 abstract description 3
- 230000001737 promoting effect Effects 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 35
- 238000012545 processing Methods 0.000 description 13
- 238000000034 method Methods 0.000 description 11
- 238000004886 process control Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 9
- 238000013461 design Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 6
- 238000013500 data storage Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 238000012502 risk assessment Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000001038 ionspray mass spectrometry Methods 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】 有効的に情報セキュリティマネジメントが行えるよう支援する情報セキュリティマネジメント支援システム及びプログラムを提供する。
【解決手段】 情報セキュリティマネジメント支援システムは、サーバ1と、データベース2と、通信ネットワーク3と、通信ネットワーク3を介して接続された端末4(41〜4n)と、を備えている。サーバ1は、情報管理者が端末4を操作して入力された情報と、データベース2に記憶されている情報とに基づいて、年間の被害想定額を算出し、受容限度額以上であった場合には、機密性に関するリスクに関する対策改善を促す評価結果を表示させる。
【選択図】 図1
【解決手段】 情報セキュリティマネジメント支援システムは、サーバ1と、データベース2と、通信ネットワーク3と、通信ネットワーク3を介して接続された端末4(41〜4n)と、を備えている。サーバ1は、情報管理者が端末4を操作して入力された情報と、データベース2に記憶されている情報とに基づいて、年間の被害想定額を算出し、受容限度額以上であった場合には、機密性に関するリスクに関する対策改善を促す評価結果を表示させる。
【選択図】 図1
Description
本発明は、情報セキュリティマネジメント支援システム及びプログラムに関する。
情報技術の革新によりネットワークに依存したビジネスプロセスが増大している。しかし、企業における情報のセキュリティー対策が遅れており、例えば、外部から企業の社内ネットワークに侵入したり、企業のホームページの改竄等が行われたり、また、従業員の社内機密情報の持ち出したりという問題が発生している。
このため、企業には、企業活動に重要な「情報資産」の漏洩、改竄、不正利用等の防止、「個人情報」の保護の徹底、新たな技術、利用方法、脅威への継続的対応が求められ、情報セキュリティマネジメントシステムの構築が求められ、例えば、ユーザ評価を反映してソフトウエアを的確に格付けする技術が提案されている(例えば、特許文献1)。
特開2002−117171号公報
ところで、情報セキュリティマネジメントシステムの構築には、一般的に、次の6つのステップを踏む。
Step1:情報セキュリティポリシーを策定する
Step2:ISMSの適用範囲を決定する
Step3:リスク評価を行う
Step4:管理するリスクを決定する
Step5:管理目的と管理策を選択する
Step6:適用宣言書を作成する
Step1:情報セキュリティポリシーを策定する
Step2:ISMSの適用範囲を決定する
Step3:リスク評価を行う
Step4:管理するリスクを決定する
Step5:管理目的と管理策を選択する
Step6:適用宣言書を作成する
しかし、企業には膨大な数の情報資産があることから、上記Step3のリスクの評価及びStep4の管理するリスクの決定作業に多大な労力及び時間がかるという問題がある。
本発明は、上記問題に鑑みてなされたものであり、有効的に情報セキュリティマネジメントが行えるよう支援する情報セキュリティマネジメント支援システム及びプログラムを提供することを目的とする。
また、本発明は、情報管理者に情報セキュリティマネジメントの改善を促すことができる情報セキュリティマネジメント支援システム及びプログラムを提供することを目的とする。
また、本発明は、情報管理者に情報セキュリティマネジメントの改善を促すことができる情報セキュリティマネジメント支援システム及びプログラムを提供することを目的とする。
上記目的を達成するため、この発明の第1の観点にかかる情報セキュリティマネジメント支援システムは、
情報資産の保管形態を示す保管形態情報を取得する保管形態情報取得手段と、
情報資産の保管場所を示す保管場所情報を取得する保管場所情報取得手段と、
情報資産の機密性、完全性、可用性についての資産評価を数値で示す資産評価情報を取得する資産評価情報取得手段と、
所定期間における情報資産の機密性、完全性、可用性についての事故発生頻度を数値で示す事故頻度情報を取得する事故頻度情報取得手段と、
情報資産の保管形態ごとに情報資産の機密性、完全性、可用性についての脅威度を示す数値を対応付けた脅威度テーブルを、予め記憶する脅威度テーブル記憶手段と、
情報資産の保管場所ごとに情報資産の機密性、完全性、可用性についての脆弱性を示す数値を対応付けた脆弱性テーブルを、予め記憶する脆弱性テーブル記憶手段と、
情報資産の資産評価を示す数値ごとに情報資産の機密性、完全性、可用性についての被害想定額を示す数値を対応付けた被害想定額テーブルを、予め記憶する被害想定額テーブル記憶手段と、
前記保管形態情報取得手段によって取得した保管形態情報に基づいて前記脅威度テーブルを参照し、情報資産の機密性、完全性、可用性についての脅威度を数値で示す脅威度情報を生成する脅威度情報生成手段と、
前記保管場所情報取得手段によって取得した保管場所情報に基づいて前記脆弱性テーブルを参照し、情報資産の機密性、完全性、可用性についての脆弱性を数値で示す脆弱性情報を生成する脆弱性情報生成手段と、
前記資産評価情報取得手段によって取得した資産評価情報に基づいて前記被害想定額テーブルを参照し、情報資産の機密性、完全性、可用性についての被害想定額を特定する被害想定額特定手段と、
前記脅威度情報生成手段によって生成された脅威度情報、前記脆弱性情報生成手段によって生成された脆弱性情報、前記被害想定額特定手段によって特定された被害想定額、及び前記事故頻度情報取得手段によって取得した事故頻度情報に基づき、所定期間における情報資産の機密性、完全性、可用性についての被害想定総額を導出する被害総額導出手段と、
前記被害総額導出手段によって導出された被害想定総額を示す情報を出力する情報出力手段とを備える、
ことを特徴とする。
情報資産の保管形態を示す保管形態情報を取得する保管形態情報取得手段と、
情報資産の保管場所を示す保管場所情報を取得する保管場所情報取得手段と、
情報資産の機密性、完全性、可用性についての資産評価を数値で示す資産評価情報を取得する資産評価情報取得手段と、
所定期間における情報資産の機密性、完全性、可用性についての事故発生頻度を数値で示す事故頻度情報を取得する事故頻度情報取得手段と、
情報資産の保管形態ごとに情報資産の機密性、完全性、可用性についての脅威度を示す数値を対応付けた脅威度テーブルを、予め記憶する脅威度テーブル記憶手段と、
情報資産の保管場所ごとに情報資産の機密性、完全性、可用性についての脆弱性を示す数値を対応付けた脆弱性テーブルを、予め記憶する脆弱性テーブル記憶手段と、
情報資産の資産評価を示す数値ごとに情報資産の機密性、完全性、可用性についての被害想定額を示す数値を対応付けた被害想定額テーブルを、予め記憶する被害想定額テーブル記憶手段と、
前記保管形態情報取得手段によって取得した保管形態情報に基づいて前記脅威度テーブルを参照し、情報資産の機密性、完全性、可用性についての脅威度を数値で示す脅威度情報を生成する脅威度情報生成手段と、
前記保管場所情報取得手段によって取得した保管場所情報に基づいて前記脆弱性テーブルを参照し、情報資産の機密性、完全性、可用性についての脆弱性を数値で示す脆弱性情報を生成する脆弱性情報生成手段と、
前記資産評価情報取得手段によって取得した資産評価情報に基づいて前記被害想定額テーブルを参照し、情報資産の機密性、完全性、可用性についての被害想定額を特定する被害想定額特定手段と、
前記脅威度情報生成手段によって生成された脅威度情報、前記脆弱性情報生成手段によって生成された脆弱性情報、前記被害想定額特定手段によって特定された被害想定額、及び前記事故頻度情報取得手段によって取得した事故頻度情報に基づき、所定期間における情報資産の機密性、完全性、可用性についての被害想定総額を導出する被害総額導出手段と、
前記被害総額導出手段によって導出された被害想定総額を示す情報を出力する情報出力手段とを備える、
ことを特徴とする。
情報資産の機密性、完全性、可用性ごとに被害想定総額の受容限度額を示す数値を対応付けた受容限度テーブルを、予め記憶する受容限度テーブル記憶手段と、
前記被害総額導出手段によって導出された被害想定総額のうちに、前記受容限度テーブルに記憶されている受容限度額を超えたものがあるか否かを判別する限度額判別手段とを備え、
前記情報出力手段は、前記限度額判別手段によって受容限度額を超えた被害想定総額があると判別すると、当該受容限度額を超えた被害想定総額に対応した警告を示す情報を出力する警告出力手段を含んでもよい。
前記被害総額導出手段によって導出された被害想定総額のうちに、前記受容限度テーブルに記憶されている受容限度額を超えたものがあるか否かを判別する限度額判別手段とを備え、
前記情報出力手段は、前記限度額判別手段によって受容限度額を超えた被害想定総額があると判別すると、当該受容限度額を超えた被害想定総額に対応した警告を示す情報を出力する警告出力手段を含んでもよい。
この発明の第2の観点にかかる情報セキュリティマネジメント支援システムは、
情報資産の保管形態を示す保管形態情報を取得する保管形態情報取得ステップと、
情報資産の保管場所を示す保管場所情報を取得する保管場所情報取得ステップと、
情報資産の機密性、完全性、可用性についての資産評価を数値で示す資産評価情報を取得する資産評価情報取得ステップと、
所定期間における情報資産の機密性、完全性、可用性についての事故発生頻度を数値で示す事故頻度情報を取得する事故頻度情報取得ステップと、
前記保管形態情報取得ステップにて取得した保管形態情報に基づき、情報資産の保管形態ごとに情報資産の機密性、完全性、可用性についての脅威度を示す数値を対応付けた脅威度テーブルを参照することにより、情報資産の機密性、完全性、可用性についての脅威度を数値で示す脅威度情報を生成する脅威度情報生成ステップと、
前記保管場所情報取得ステップにて取得した保管場所情報に基づき、情報資産の保管場所ごとに情報資産の機密性、完全性、可用性についての脆弱性を示す数値を対応付けた脆弱性テーブルを参照することにより、情報資産の機密性、完全性、可用性についての脆弱性を数値で示す脆弱性情報を生成する脆弱性情報生成ステップと、
前記資産評価情報取得ステップにて取得した資産評価情報に基づき、情報資産の資産評価を示す数値ごとに情報の機密性、完全性、可用性についての被害想定額を示す数値を対応付けた被害想定額テーブルを参照することにより、情報資産の機密性、完全性、可用性についての被害想定額を特定する被害想定額特定ステップと、
前記脅威度情報生成ステップにて生成した脅威度情報、前記脆弱性情報生成ステップにて生成した脆弱性情報、前記被害想定額特定ステップにて特定した被害想定額、及び前記事故頻度情報取得ステップにて取得した事故頻度情報に基づき、所定期間における情報資産の機密性、完全性、可用性についての被害想定総額を導出する被害総額導出ステップと、
前記被害総額導出ステップにて導出した被害想定総額を示す情報を出力する情報出力ステップとを備える、
ことを特徴とする。
情報資産の保管形態を示す保管形態情報を取得する保管形態情報取得ステップと、
情報資産の保管場所を示す保管場所情報を取得する保管場所情報取得ステップと、
情報資産の機密性、完全性、可用性についての資産評価を数値で示す資産評価情報を取得する資産評価情報取得ステップと、
所定期間における情報資産の機密性、完全性、可用性についての事故発生頻度を数値で示す事故頻度情報を取得する事故頻度情報取得ステップと、
前記保管形態情報取得ステップにて取得した保管形態情報に基づき、情報資産の保管形態ごとに情報資産の機密性、完全性、可用性についての脅威度を示す数値を対応付けた脅威度テーブルを参照することにより、情報資産の機密性、完全性、可用性についての脅威度を数値で示す脅威度情報を生成する脅威度情報生成ステップと、
前記保管場所情報取得ステップにて取得した保管場所情報に基づき、情報資産の保管場所ごとに情報資産の機密性、完全性、可用性についての脆弱性を示す数値を対応付けた脆弱性テーブルを参照することにより、情報資産の機密性、完全性、可用性についての脆弱性を数値で示す脆弱性情報を生成する脆弱性情報生成ステップと、
前記資産評価情報取得ステップにて取得した資産評価情報に基づき、情報資産の資産評価を示す数値ごとに情報の機密性、完全性、可用性についての被害想定額を示す数値を対応付けた被害想定額テーブルを参照することにより、情報資産の機密性、完全性、可用性についての被害想定額を特定する被害想定額特定ステップと、
前記脅威度情報生成ステップにて生成した脅威度情報、前記脆弱性情報生成ステップにて生成した脆弱性情報、前記被害想定額特定ステップにて特定した被害想定額、及び前記事故頻度情報取得ステップにて取得した事故頻度情報に基づき、所定期間における情報資産の機密性、完全性、可用性についての被害想定総額を導出する被害総額導出ステップと、
前記被害総額導出ステップにて導出した被害想定総額を示す情報を出力する情報出力ステップとを備える、
ことを特徴とする。
前記被害総額導出ステップにて導出した被害想定総額に基づき、情報資産の機密性、完全性、可用性ごとに被害想定総額の受容限度額を示す数値を対応付けた受容限度テーブルを参照することにより、受容限度額を超えた被害想定総額があるか否かを判別する限度額判別ステップを備え、
前記情報出力ステップは、前記限度額判別ステップにて受容限度額を超えた被害想定総額があると判別したときに、当該受容限度額を超えた被害想定総額に対応した警告を示す情報を出力する警告出力ステップを含んでもよい。
前記情報出力ステップは、前記限度額判別ステップにて受容限度額を超えた被害想定総額があると判別したときに、当該受容限度額を超えた被害想定総額に対応した警告を示す情報を出力する警告出力ステップを含んでもよい。
この発明の第3の観点にかかる情報セキュリティマネジメント支援システムとして機能させるためのプログラムは、
コンピュータを、
情報資産の保管形態を示す保管形態情報を取得する保管形態情報取得手段と、
情報資産の保管場所を示す保管場所情報を取得する保管場所情報取得手段と、
情報資産の機密性、完全性、可用性についての資産評価を数値で示す資産評価情報を取得する資産評価情報取得手段と、
所定期間における情報資産の機密性、完全性、可用性についての事故発生頻度を数値で示す事故頻度情報を取得する事故頻度情報取得手段と、
情報資産の保管形態ごとに情報資産の機密性、完全性、可用性についての脅威度を示す数値を対応付けた脅威度テーブルを、予め記憶する脅威度テーブル記憶手段と、
情報資産の保管場所ごとに情報資産の機密性、完全性、可用性についての脆弱性を示す数値を対応付けた脆弱性テーブルを、予め記憶する脆弱性テーブル記憶手段と、
情報資産の資産評価を示す数値ごとに情報資産の機密性、完全性、可用性についての被害想定額を示す数値を対応付けた被害想定額テーブルを、予め記憶する被害想定額テーブル記憶手段と、
前記保管形態情報取得手段によって取得した保管形態情報に基づいて前記脅威度テーブルを参照し、情報資産の機密性、完全性、可用性についての脅威度を数値で示す脅威度情報を生成する脅威度情報生成手段と、
前記保管場所情報取得手段によって取得した保管場所情報に基づいて前記脆弱性テーブルを参照し、情報資産の機密性、完全性、可用性についての脆弱性を数値で示す脆弱性情報を生成する脆弱性情報生成手段と、
前記資産評価情報取得手段によって取得した資産評価情報に基づいて前記被害想定額テーブルを参照し、情報資産の機密性、完全性、可用性についての被害想定額を特定する被害想定額特定手段と、
前記脅威度情報生成手段によって生成された脅威度情報、前記脆弱性情報生成手段によって生成された脆弱性情報、前記被害想定額特定手段によって特定された被害想定額、及び前記事故頻度情報取得手段によって取得した事故頻度情報に基づき、所定期間における情報資産の機密性、完全性、可用性についての被害想定総額を導出する被害総額導出手段と、
前記被害総額導出手段によって導出された被害想定総額を示す情報を出力する情報出力手段とを備える。
コンピュータを、
情報資産の保管形態を示す保管形態情報を取得する保管形態情報取得手段と、
情報資産の保管場所を示す保管場所情報を取得する保管場所情報取得手段と、
情報資産の機密性、完全性、可用性についての資産評価を数値で示す資産評価情報を取得する資産評価情報取得手段と、
所定期間における情報資産の機密性、完全性、可用性についての事故発生頻度を数値で示す事故頻度情報を取得する事故頻度情報取得手段と、
情報資産の保管形態ごとに情報資産の機密性、完全性、可用性についての脅威度を示す数値を対応付けた脅威度テーブルを、予め記憶する脅威度テーブル記憶手段と、
情報資産の保管場所ごとに情報資産の機密性、完全性、可用性についての脆弱性を示す数値を対応付けた脆弱性テーブルを、予め記憶する脆弱性テーブル記憶手段と、
情報資産の資産評価を示す数値ごとに情報資産の機密性、完全性、可用性についての被害想定額を示す数値を対応付けた被害想定額テーブルを、予め記憶する被害想定額テーブル記憶手段と、
前記保管形態情報取得手段によって取得した保管形態情報に基づいて前記脅威度テーブルを参照し、情報資産の機密性、完全性、可用性についての脅威度を数値で示す脅威度情報を生成する脅威度情報生成手段と、
前記保管場所情報取得手段によって取得した保管場所情報に基づいて前記脆弱性テーブルを参照し、情報資産の機密性、完全性、可用性についての脆弱性を数値で示す脆弱性情報を生成する脆弱性情報生成手段と、
前記資産評価情報取得手段によって取得した資産評価情報に基づいて前記被害想定額テーブルを参照し、情報資産の機密性、完全性、可用性についての被害想定額を特定する被害想定額特定手段と、
前記脅威度情報生成手段によって生成された脅威度情報、前記脆弱性情報生成手段によって生成された脆弱性情報、前記被害想定額特定手段によって特定された被害想定額、及び前記事故頻度情報取得手段によって取得した事故頻度情報に基づき、所定期間における情報資産の機密性、完全性、可用性についての被害想定総額を導出する被害総額導出手段と、
前記被害総額導出手段によって導出された被害想定総額を示す情報を出力する情報出力手段とを備える。
コンピュータを、
情報資産の機密性、完全性、可用性ごとに被害想定総額の受容限度額を示す数値を対応付けた受容限度テーブルを、予め記憶する受容限度テーブル記憶手段と、
前記被害総額導出手段によって導出された被害想定総額のうちに、前記受容限度テーブルに記憶されている受容限度額を超えたものがあるか否かを判別する限度額判別手段とを備え、
前記情報出力手段は、前記限度額判別手段によって受容限度額を超えた被害想定総額があると判別すると、当該受容限度額を超えた被害想定総額に対応した警告を示す情報を出力する警告出力手段を含む
情報セキュリティマネジメント支援システムとして機能させてもよい。
情報資産の機密性、完全性、可用性ごとに被害想定総額の受容限度額を示す数値を対応付けた受容限度テーブルを、予め記憶する受容限度テーブル記憶手段と、
前記被害総額導出手段によって導出された被害想定総額のうちに、前記受容限度テーブルに記憶されている受容限度額を超えたものがあるか否かを判別する限度額判別手段とを備え、
前記情報出力手段は、前記限度額判別手段によって受容限度額を超えた被害想定総額があると判別すると、当該受容限度額を超えた被害想定総額に対応した警告を示す情報を出力する警告出力手段を含む
情報セキュリティマネジメント支援システムとして機能させてもよい。
本発明によれば、情報管理者に情報セキュリティマネジメントの改善を促すことができる。また、有効的に情報セキュリティマネジメントが行えるよう支援することができる。
以下、本発明の情報セキュリティマネジメント支援システムについて図面を参照して説明する。図1は、情報セキュリティマネジメント支援システムの構成を示す図である。
図1に示すように、情報セキュリティマネジメント支援システムは、サーバ1と、データベース2と、通信ネットワーク3と、通信ネットワーク3を介して接続された端末4(41〜4n)と、を備えている。
サーバ1は、情報セキュリティマネジメント支援システムに関する各種の処理をするためのものである。図2にサーバ1の構成図を示す。図2に示すように、サーバ1は、通信制御部11と、処理制御部12と、データ記憶部13と、を備えている。
通信制御部11は、例えば、ルータなどの所定の通信装置から構成され、サーバ1と通信ネットワーク3とを接続する。通信制御部11は、通信ネットワーク3を介して、端末4との間で、各種データ(情報)の送受信を行う。
処理制御部12は、通信制御部11を介して通信を行い、また、各種の情報を処理する。処理制御部12は、例えば、CPU(Central Processing Unit)を備え、データ記憶部13から読み出した動作プログラムを実行する等により各種の処理を実行する。さらに、処理制御部12は画像データを作成する。
データ記憶部13は、半導体メモリ、磁気ディスク記録装置などから構成され、各種の情報やプログラムを記録する。
データベース2は、情報セキュリティマネジメント支援システムに関する各種の情報を記憶するデータベース(DB)である。図3にデータベース2の構成を示す。図3に示すように、データベース2は、ユーザ情報DB21と、脅威度DB22と、脆弱度DB23と、被害想定額DB24と、受容限度額DB25と、画像情報DB26と、を備えている。
ユーザ情報DB21は、情報セキュリティマネジメント支援システムを利用する企業の情報管理者に関する情報を記憶するデータベースである。ユーザ情報DB21には、例えば、図4に示すように、情報管理者のID、所属部門、氏名、パスワード等が記憶されている。ここで、情報管理者のIDは、情報管理者の識別情報である。パスワードは、情報管理者が情報セキュリティマネジメント支援システムにログインするためのパスワードである。
脅威度DB22は、情報の保管形態が本来持っている情報セキュリティに関するリスク(事故の起こりやすさ)を数値化して保持しているデータベースである。ここで、リスクは、少なくとも情報資産の機密性(アクセスを認可されたものだけが情報にアクセスできることを確実にすること)、完全性(情報及び処理方法が,正確であること及び完全であることを保護すること)、可用性(認可された利用者が,必要なときに,情報及び関連する資産にアクセスできることを確実にすること)の3つの観点から評価される。例えば、図5に示すように、形態が複製された紙であった場合を考えると、盗み見等のリスクが考えられることから機密性のリスクは高くなる。一方、原本がある複製であることを考えると情報の改竄や破壊等によるリスクは低いため、完全性、可用性のリスクは低くなる。
脆弱度DB23は、情報資産が設置されている、または、管理されている場所についての情報セキュリティに関するリスクを数値化して保持しているデータベースである。ここでリスクは、保管形態に基づく脅威度テーブルと同様に、機密性、完全性、可用性の3つの観点から評価される。例えば、図6に示すように、人の出入りが激しい事業所Aの鍵無し保管棚であった場合、情報が持ち出されることが考えられるため機密性についてのリスクは高くなる。
被害想定額DB24は、図7に示すように、情報資産について機密性、完全性、可用性に関わる事故が発生した場合の、当該事故により発生する被害額を、情報資産の資産価値ポイントごとに、機密性、完全性、可用性について数値化して保持しているデータベースである。ここで情報資産とは、コンピュータ及び電子媒体に保管されたデータ、情報、印刷された情報、帳票類、ネットワーク及び通信上の情報、コンピュータ関連機器・設備等を含む。例えば、アプリケーションサーバ、各種OS、各種企画書、会議資料、データファイル、各種マニュアル、機能設計書等である。
本発明では、上記情報資産を、物理的資産、ソフトウェア資産、定型業務情報、非定型業務情報に分類し、管理する。物理的資産とは、上記情報資産の内、アプリケーションサーバ、無線LAN装置等物理的に存在している情報資産をいう。ソフトウェア資産とは、各種OS、CADソフト等業務に使用するソフトウェアをいう。定型業務情報とは、業務遂行上に必要不可欠な情報、例えば新製品設計情報、回路設計変更情報、人事異動発表前情報等をいう。非定型業務情報とは、業務遂行上不可欠ではないが役に立つ情報資産、例えば、従業者が個人的に管理している特殊な顧客リスト等をいう。
受容限度額DB25は、図8に示すように、機密性、完全性、可用性について受容限度額を数値化して保持しているデータベースである。
画像情報DB26は、後述する各処理で表示される様々な画像を構成する情報を記憶するデータベースであり、これらの画像を生成するための様々な素材の画像、各種フォームなどを記憶する。
通信ネットワーク3は、例えば、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)等から構成されている。
端末4(41〜4n)は、情報セキュリティマネジメント支援システムを利用する企業の情報管理者が使用する端末であり、通信機能を有するコンピュータ、携帯端末などから構成されている。情報管理者は、端末4を用いて、情報資産を、物理的資産、ソフトウェア資産、定型業務情報、非定型業務情報に分類し入力する。
次に、以上のように構成された情報セキュリティマネジメント支援システムを用いて、情報セキュリティマネジメントを支援する支援処理について説明する。以下、支援処理を図9のフローチャートを参照して説明する。なお、企業の情報管理者が本システムを利用するには、本システムに事前に登録して、例えば、サーバ1(処理制御部12)により付与されたID及びパスワードを入力することにより本システムにログインすることができる。
情報管理者が端末4を操作して本システムにログインすると、処理制御部12は、画像情報DB26から、図10に示す情報セキュリティマネジメント画面の情報(HTML形式の情報)を読み出して端末4に送信し、端末4に情報セキュリティマネジメント画面を表示する(ステップS1)。図10に示すように、情報セキュリティマネジメント画面には、新規作成と閲覧とに区分され、それぞれ「物理的資産」、「ソフトウェア資産」、「定型業務情報」、「非定型業務情報」の欄が設けられている。
情報管理者は、まず、新規作成欄の資産分類の選択物理的資産、ソフトウェア資産、定型業務情報、非定型業務情報のいずれか1つを選択する。処理制御部12は、いずれかが選択されたか否かを判別し(ステップS2)、選択された場合には(ステップS2;Yes)、選択された情報入力画面を画像情報DB26から情報入力画面の情報(HTML形式の情報)を読み出して端末4に送信し、端末4に表示する(ステップS3)。例えば、情報管理者が端末4を操作して「定型業務情報」をクリックすると、処理制御部12は、画像情報DB26から図11に示す定型業務情報入力画面の情報(HTML形式の情報)を読み出して端末4に送信し、端末4に定型業務情報入力画面を表示する。図11に示すように、定型業務情報入力画面における入力項目は、組織、サイト、大項目、中項目、情報資産名、情報資産内容等である
次に、情報管理者は、端末4を操作して所定の情報を入力する。組織には、入力する情報資産を有している組織名を入力する。例えば、法務部、総務部等である。サイトには、入力する情報資産が存在している場所を入力する。例えば、A事業所(東京)、B事業所(神奈川)等である。大項目には、その情報資産が用いられる業務プロセス/機能名を入力する。例えば、社内顧客対応、社外顧客対応、開発業務等である。中項目には、大項目をさらに細分化した業務プロセス/機能名を入力する。例えば、大項目・開発業務について、開発管理業務、顧客要望対応業務、外注管理業務、新サービス企画案等である。情報資産名には、入力する情報資産名を入力する。例えば、新製品設計情報と入力する。情報資産内容には、入力する情報資産内容を入力する。例えば、設計図と入力する。保管形態には、入力する情報資産の保管形態を入力する。例えば、紙と入力する。保管場所には、具体的な資産の保管場所を入力する。例えば、A事業所鍵無し保管棚と入力する。資産評価ポイントには、被害想定額DB24を参照し、その情報資産について、機密性、完全性、可用性に関する事故が起きた場合の被害額に基づいてそれぞれ入力する。年間事故発生頻度には、その情報資産について、機密性、完全性、可用性に関する事故の頻度をそれぞれ入力する。例えば、機密性について入力時の前年、前々年に事故が発生していた事実があれば、1/1(年一回)と入力する。事故の事実がない場合であっても、推定で入力する。情報管理者は、所定の情報の入力が終了すると端末4を操作して、リスク評価を選択する。
本実施の形態では、図11に示すように、組織に開発G、サイトにA事業所、大項目に開発業務、中項目に開発管理業務、情報資産名に新製品設計情報、情報資産内容に設計図、保管形態に紙(複製)、保管場所にA事業所鍵なし保管棚、資産評価ポイントには、機密性:3、完全性:1、可用性:1、事故発生頻度には、機密性:1/1、完全性:1/10、可用性:1/10と入力する。
処理制御部12は、リスク評価が選択されているか否かを判別し(ステップS4)、必要な情報が入力されていると判別すると(ステップS4;Yes)、入力された保管形態及び設置場所に基づき、脅威度DB22及び脆弱度DB23により、入力された情報資産に関する機密性、完全性、可用性それぞれについての脅威度及び脆弱度を特定する(ステップS5)。本実施の形態では、保管形態に入力された情報が(紙(複製))なので、図5の脅威度DB22に示すように、処理制御部12は、保管形態に関する機密性、完全性、可用性についての脅威度を5:1:1と特定する。また、保管場所に入力された情報(A事業所鍵なし保管棚)なので、図6の脆弱度DB23に示すように、処理制御部12は、保管場所に関する機密性、完全性、可用性にについての脆弱性を4:3:2と特定する。
次に、処理制御部12は、資産評価ポイントに基づき、被害想定額DB24により、機密性、完全性、可用性それぞれに関する被害想定額を特定する(ステップS6)。本実施の形態では、機密性、完全性、可用性それぞれに関する被害想定額を機密性:1000、完全性:100、可用性:100と特定する。
続いて、処理制御部12は、特定した機密性、完全性、可用性それぞれについての脅威度及び脆弱度、及び、被害想定額及び入力された被害発生頻度に基づいて、年間の被害想定額を算出する(ステップS7)。
本実施の形態では、特定した脅威度、脆弱度、被害想定額及び事故発生頻度に基づき年間被害想定額を算出すると、以下のようになる。
機密性に関する年間の被害想定額=1000(被害想定額)×5/5(脅威度)×4/5(脆弱度)×1(事故発生頻度)=800
完全性に関する年間の被害想定額=100(被害想定額)×1/5(脅威度)×3/5(脆弱度)×1/10(事故発生頻度)=1.2
機密性に関する年間の被害想定額=1000(被害想定額)×5/5(脅威度)×4/5(脆弱度)×1(事故発生頻度)=800
完全性に関する年間の被害想定額=100(被害想定額)×1/5(脅威度)×3/5(脆弱度)×1/10(事故発生頻度)=1.2
次に、処理制御部12は、乗算結果である年間の被害想定額が、受容限度額DB25に記憶されたあらかじめ定めていた受容限度額以上であるか否かを判別し(ステップS8)、受容限度額以上であると判別した場合(ステップS8;Yes)には、その旨を示す情報を端末4に送信し、端末4に表示させ(ステップS9)、この処理を終了する。例えば、処理制御部12は、図12に示すような受容限度額以上であったリスク観点(機密性に関するリスク)に関する対策改善を促す評価結果画面を作成し、この画面に関する情報を端末4の表示部に表示させる。
以上説明したように、本実施の形態によれば、年間の被害想定額を算出し、受容限度額以上であった場合には、機密性に関するリスクに関する対策改善を促す評価結果を表示させるので、情報管理者に情報セキュリティマネジメントの改善を促すことができる。また、有効的に情報セキュリティマネジメントが行えるよう支援することができる。
なお、本発明は、上記の実施の形態に限られず、種々の変形、応用が可能である。以下、本発明に適用可能な他の実施の形態について説明する。
上記実施の形態では、入力画面に必要な情報を入力させる場合を例に本発明を説明したが、例えば、あらかじめ各入力項目に対する回答を複数用意しておきプルダウンメニューにより、入力項目に選択させてもよい。
本発明の実施形態にかかるサーバ1は、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、汎用コンピュータに、上述の処理を実行するためのプログラムを格納した記録媒体(フレキシブルディスク、CD−ROMなど)から当該プログラムをインストールすることにより、上述の処理を実行するサーバ1を構成することができる。
そして、これらのプログラムを供給するための手段は任意である。上述のように所定の記録媒体を介して供給できる他、例えば、通信回線、通信ネットワーク、通信システムなどを介して供給してもよい。この場合、例えば、通信ネットワークの掲示板(BBS)に当該プログラムを掲示し、これをネットワークを介して搬送波に重畳して提供してもよい。そして、このように提供されたプログラムを起動し、OSの制御下で、他のアプリケーションプログラムと同様に実行することにより、上述の処理を実行することができる。
1 サーバ
2 データベース
3 通信ネットワーク
4 端末
11 通信制御部
12 処理制御部
13 データ記憶部
21 ユーザ情報DB
22 脅威度DB
23 脆弱度DB
24 被害想定額DB
25 受容限度額DB
26 画像情報DB
2 データベース
3 通信ネットワーク
4 端末
11 通信制御部
12 処理制御部
13 データ記憶部
21 ユーザ情報DB
22 脅威度DB
23 脆弱度DB
24 被害想定額DB
25 受容限度額DB
26 画像情報DB
Claims (6)
- 情報資産の保管形態を示す保管形態情報を取得する保管形態情報取得手段と、
情報資産の保管場所を示す保管場所情報を取得する保管場所情報取得手段と、
情報資産の機密性、完全性、可用性についての資産評価を数値で示す資産評価情報を取得する資産評価情報取得手段と、
所定期間における情報資産の機密性、完全性、可用性についての事故発生頻度を数値で示す事故頻度情報を取得する事故頻度情報取得手段と、
情報資産の保管形態ごとに情報資産の機密性、完全性、可用性についての脅威度を示す数値を対応付けた脅威度テーブルを、予め記憶する脅威度テーブル記憶手段と、
情報資産の保管場所ごとに情報資産の機密性、完全性、可用性についての脆弱性を示す数値を対応付けた脆弱性テーブルを、予め記憶する脆弱性テーブル記憶手段と、
情報資産の資産評価を示す数値ごとに情報資産の機密性、完全性、可用性についての被害想定額を示す数値を対応付けた被害想定額テーブルを、予め記憶する被害想定額テーブル記憶手段と、
前記保管形態情報取得手段によって取得した保管形態情報に基づいて前記脅威度テーブルを参照し、情報資産の機密性、完全性、可用性についての脅威度を数値で示す脅威度情報を生成する脅威度情報生成手段と、
前記保管場所情報取得手段によって取得した保管場所情報に基づいて前記脆弱性テーブルを参照し、情報資産の機密性、完全性、可用性についての脆弱性を数値で示す脆弱性情報を生成する脆弱性情報生成手段と、
前記資産評価情報取得手段によって取得した資産評価情報に基づいて前記被害想定額テーブルを参照し、情報資産の機密性、完全性、可用性についての被害想定額を特定する被害想定額特定手段と、
前記脅威度情報生成手段によって生成された脅威度情報、前記脆弱性情報生成手段によって生成された脆弱性情報、前記被害想定額特定手段によって特定された被害想定額、及び前記事故頻度情報取得手段によって取得した事故頻度情報に基づき、所定期間における情報資産の機密性、完全性、可用性についての被害想定総額を導出する被害総額導出手段と、
前記被害総額導出手段によって導出された被害想定総額を示す情報を出力する情報出力手段とを備える、
ことを特徴とする情報セキュリティマネジメント支援システム。 - 情報資産の機密性、完全性、可用性ごとに被害想定総額の受容限度額を示す数値を対応付けた受容限度テーブルを、予め記憶する受容限度テーブル記憶手段と、
前記被害総額導出手段によって導出された被害想定総額のうちに、前記受容限度テーブルに記憶されている受容限度額を超えたものがあるか否かを判別する限度額判別手段とを備え、
前記情報出力手段は、前記限度額判別手段によって受容限度額を超えた被害想定総額があると判別すると、当該受容限度額を超えた被害想定総額に対応した警告を示す情報を出力する警告出力手段を含む、
ことを特徴とする請求項1に記載の情報セキュリティマネジメント支援システム。 - 情報資産の保管形態を示す保管形態情報を取得する保管形態情報取得ステップと、
情報資産の保管場所を示す保管場所情報を取得する保管場所情報取得ステップと、
情報資産の機密性、完全性、可用性についての資産評価を数値で示す資産評価情報を取得する資産評価情報取得ステップと、
所定期間における情報資産の機密性、完全性、可用性についての事故発生頻度を数値で示す事故頻度情報を取得する事故頻度情報取得ステップと、
前記保管形態情報取得ステップにて取得した保管形態情報に基づき、情報資産の保管形態ごとに情報資産の機密性、完全性、可用性についての脅威度を示す数値を対応付けた脅威度テーブルを参照することにより、情報資産の機密性、完全性、可用性についての脅威度を数値で示す脅威度情報を生成する脅威度情報生成ステップと、
前記保管場所情報取得ステップにて取得した保管場所情報に基づき、情報資産の保管場所ごとに情報資産の機密性、完全性、可用性についての脆弱性を示す数値を対応付けた脆弱性テーブルを参照することにより、情報資産の機密性、完全性、可用性についての脆弱性を数値で示す脆弱性情報を生成する脆弱性情報生成ステップと、
前記資産評価情報取得ステップにて取得した資産評価情報に基づき、情報資産の資産評価を示す数値ごとに情報の機密性、完全性、可用性についての被害想定額を示す数値を対応付けた被害想定額テーブルを参照することにより、情報資産の機密性、完全性、可用性についての被害想定額を特定する被害想定額特定ステップと、
前記脅威度情報生成ステップにて生成した脅威度情報、前記脆弱性情報生成ステップにて生成した脆弱性情報、前記被害想定額特定ステップにて特定した被害想定額、及び前記事故頻度情報取得ステップにて取得した事故頻度情報に基づき、所定期間における情報資産の機密性、完全性、可用性についての被害想定総額を導出する被害総額導出ステップと、
前記被害総額導出ステップにて導出した被害想定総額を示す情報を出力する情報出力ステップとを備える、
ことを特徴とする情報セキュリティマネジメント支援システム。 - 前記被害総額導出ステップにて導出した被害想定総額に基づき、情報資産の機密性、完全性、可用性ごとに被害想定総額の受容限度額を示す数値を対応付けた受容限度テーブルを参照することにより、受容限度額を超えた被害想定総額があるか否かを判別する限度額判別ステップを備え、
前記情報出力ステップは、前記限度額判別ステップにて受容限度額を超えた被害想定総額があると判別したときに、当該受容限度額を超えた被害想定総額に対応した警告を示す情報を出力する警告出力ステップを含む、
ことを特徴とする請求項3に記載の情報セキュリティマネジメント支援システム。 - コンピュータを、
情報資産の保管形態を示す保管形態情報を取得する保管形態情報取得手段と、
情報資産の保管場所を示す保管場所情報を取得する保管場所情報取得手段と、
情報資産の機密性、完全性、可用性についての資産評価を数値で示す資産評価情報を取得する資産評価情報取得手段と、
所定期間における情報資産の機密性、完全性、可用性についての事故発生頻度を数値で示す事故頻度情報を取得する事故頻度情報取得手段と、
情報資産の保管形態ごとに情報資産の機密性、完全性、可用性についての脅威度を示す数値を対応付けた脅威度テーブルを、予め記憶する脅威度テーブル記憶手段と、
情報資産の保管場所ごとに情報資産の機密性、完全性、可用性についての脆弱性を示す数値を対応付けた脆弱性テーブルを、予め記憶する脆弱性テーブル記憶手段と、
情報資産の資産評価を示す数値ごとに情報資産の機密性、完全性、可用性についての被害想定額を示す数値を対応付けた被害想定額テーブルを、予め記憶する被害想定額テーブル記憶手段と、
前記保管形態情報取得手段によって取得した保管形態情報に基づいて前記脅威度テーブルを参照し、情報資産の機密性、完全性、可用性についての脅威度を数値で示す脅威度情報を生成する脅威度情報生成手段と、
前記保管場所情報取得手段によって取得した保管場所情報に基づいて前記脆弱性テーブルを参照し、情報資産の機密性、完全性、可用性についての脆弱性を数値で示す脆弱性情報を生成する脆弱性情報生成手段と、
前記資産評価情報取得手段によって取得した資産評価情報に基づいて前記被害想定額テーブルを参照し、情報資産の機密性、完全性、可用性についての被害想定額を特定する被害想定額特定手段と、
前記脅威度情報生成手段によって生成された脅威度情報、前記脆弱性情報生成手段によって生成された脆弱性情報、前記被害想定額特定手段によって特定された被害想定額、及び前記事故頻度情報取得手段によって取得した事故頻度情報に基づき、所定期間における情報資産の機密性、完全性、可用性についての被害想定総額を導出する被害総額導出手段と、
前記被害総額導出手段によって導出された被害想定総額を示す情報を出力する情報出力手段とを備える
情報セキュリティマネジメント支援システムとして機能させるためのプログラム。 - コンピュータを、
情報資産の機密性、完全性、可用性ごとに被害想定総額の受容限度額を示す数値を対応付けた受容限度テーブルを、予め記憶する受容限度テーブル記憶手段と、
前記被害総額導出手段によって導出された被害想定総額のうちに、前記受容限度テーブルに記憶されている受容限度額を超えたものがあるか否かを判別する限度額判別手段とを備え、
前記情報出力手段は、前記限度額判別手段によって受容限度額を超えた被害想定総額があると判別すると、当該受容限度額を超えた被害想定総額に対応した警告を示す情報を出力する警告出力手段を含む
情報セキュリティマネジメント支援システムとして機能させるための請求項5に記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004107790A JP2005293267A (ja) | 2004-03-31 | 2004-03-31 | 情報セキュリティマネジメント支援システム及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004107790A JP2005293267A (ja) | 2004-03-31 | 2004-03-31 | 情報セキュリティマネジメント支援システム及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005293267A true JP2005293267A (ja) | 2005-10-20 |
Family
ID=35326124
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004107790A Pending JP2005293267A (ja) | 2004-03-31 | 2004-03-31 | 情報セキュリティマネジメント支援システム及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005293267A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006331383A (ja) * | 2005-04-25 | 2006-12-07 | Hitachi Ltd | システムセキュリティ設計・評価支援ツール、システムセキュリティ設計・評価支援方法、およびシステムセキュリティ設計・評価支援プログラム |
| JP2009146260A (ja) * | 2007-12-17 | 2009-07-02 | Konica Minolta Holdings Inc | セキュリティ評価方法、情報処理装置 |
| JP2012133584A (ja) * | 2010-12-21 | 2012-07-12 | Canon It Solutions Inc | 情報処理装置、情報資産管理システム、情報資産管理方法、及びプログラム |
| JP2015191390A (ja) * | 2014-03-28 | 2015-11-02 | 株式会社日立製作所 | セキュリティ対処支援システム |
| KR101623843B1 (ko) | 2014-07-04 | 2016-05-24 | (주)비트러스트 | 정보자산의 위험평가시스템 및 그 방법 |
-
2004
- 2004-03-31 JP JP2004107790A patent/JP2005293267A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006331383A (ja) * | 2005-04-25 | 2006-12-07 | Hitachi Ltd | システムセキュリティ設計・評価支援ツール、システムセキュリティ設計・評価支援方法、およびシステムセキュリティ設計・評価支援プログラム |
| JP4663484B2 (ja) * | 2005-04-25 | 2011-04-06 | 株式会社日立製作所 | システムセキュリティ設計・評価支援ツール、システムセキュリティ設計支援ツール、システムセキュリティ設計・評価支援プログラム、およびシステムセキュリティ設計支援プログラム |
| JP2009146260A (ja) * | 2007-12-17 | 2009-07-02 | Konica Minolta Holdings Inc | セキュリティ評価方法、情報処理装置 |
| JP2012133584A (ja) * | 2010-12-21 | 2012-07-12 | Canon It Solutions Inc | 情報処理装置、情報資産管理システム、情報資産管理方法、及びプログラム |
| JP2015191390A (ja) * | 2014-03-28 | 2015-11-02 | 株式会社日立製作所 | セキュリティ対処支援システム |
| KR101623843B1 (ko) | 2014-07-04 | 2016-05-24 | (주)비트러스트 | 정보자산의 위험평가시스템 및 그 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Layton | Information Security: Design, implementation, measurement, and compliance | |
| Silic et al. | Information security: Critical review and future directions for research | |
| Swanson et al. | Generally accepted principles and practices for securing information technology systems | |
| US8121892B2 (en) | Method, system, and computer program product for assessing information security | |
| CA2583401C (en) | Systems and methods for monitoring business processes of enterprise applications | |
| Feledi et al. | Toward web-based information security knowledge sharing | |
| Powers et al. | Privacy promises, access control, and privacy management. Enforcing privacy throughout an enterprise by extending access control | |
| JP5707250B2 (ja) | データベースアクセス管理システム、方法、及びプログラム | |
| JP4585925B2 (ja) | セキュリティ設計支援方法及び支援装置 | |
| Da Veiga | Cultivating and assessing information security culture | |
| Baars et al. | Foundations of information security based on ISO27001 and ISO27002 | |
| Kahn et al. | Information nation: seven keys to information management compliance | |
| JP5341695B2 (ja) | 情報処理システム、情報処理方法、およびプログラム | |
| JP2005293267A (ja) | 情報セキュリティマネジメント支援システム及びプログラム | |
| JP2009129312A (ja) | 渉外営業支援システム及びその方法 | |
| JP2011161733A (ja) | 記入用紙を利用したデータ処理システム及びデータ処理方法 | |
| Turle | Data security: Past, present and future | |
| Lee et al. | The application of mistake-proofing to organisational security management | |
| JP3909613B2 (ja) | デザインレビュー処理システムおよびデザインレビュー処理プログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| Dionysiou | An investigation on compliance with ISO 27001 in Cypriot private and public organisations | |
| JP2006053711A (ja) | 情報管理方法、情報処理システム、及びプログラム | |
| Janczewski | Managing security functions using security standards | |
| Kwok et al. | A security officer's workbench | |
| Gritzalis et al. | Security policy development for healthcare information systems | |
| JP4370536B2 (ja) | 管理システムおよび管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060522 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081212 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081224 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090203 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090303 |