JP2010250677A - セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム - Google Patents
セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム Download PDFInfo
- Publication number
- JP2010250677A JP2010250677A JP2009101001A JP2009101001A JP2010250677A JP 2010250677 A JP2010250677 A JP 2010250677A JP 2009101001 A JP2009101001 A JP 2009101001A JP 2009101001 A JP2009101001 A JP 2009101001A JP 2010250677 A JP2010250677 A JP 2010250677A
- Authority
- JP
- Japan
- Prior art keywords
- evaluation
- security
- determination data
- recognition
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 49
- 238000011156 evaluation Methods 0.000 claims abstract description 595
- 238000012545 processing Methods 0.000 claims abstract description 101
- 238000013500 data storage Methods 0.000 claims abstract description 25
- 230000008520 organization Effects 0.000 claims description 54
- 238000004364 calculation method Methods 0.000 claims description 50
- 230000006872 improvement Effects 0.000 claims description 48
- 230000008569 process Effects 0.000 claims description 39
- 238000012854 evaluation process Methods 0.000 claims description 10
- 230000008595 infiltration Effects 0.000 abstract 1
- 238000001764 infiltration Methods 0.000 abstract 1
- 238000013461 design Methods 0.000 description 79
- 238000007726 management method Methods 0.000 description 58
- 238000010219 correlation analysis Methods 0.000 description 33
- 238000004458 analytical method Methods 0.000 description 29
- 238000010586 diagram Methods 0.000 description 19
- 238000012938 design process Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 6
- 230000035515 penetration Effects 0.000 description 5
- 238000012804 iterative process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000011157 data evaluation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000009474 immediate action Effects 0.000 description 1
- 238000010845 search algorithm Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】ユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施しているかどうかを確認することによってユーザのセキュリティ施策の浸透度を適切に評価する。
【解決手段】セキュリティ判定データ記憶部141が、認知度、理解度、実施度を評価するための評価判定データを記憶装置に記憶し、算出部131が、評価判定データを入力して、ユーザがセキュリティ施策を認知している度合いを示す認知度の値と、ユーザがセキュリティ施策を理解している度合いを示す理解度の値と、ユーザがセキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出し、運用状況評価部132が、算出部131により算出された認知度の値と理解度の値と実施度の値とに基づいて、セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して、運用状況評価結果として評価結果記憶部137に記憶する。
【選択図】図1
【解決手段】セキュリティ判定データ記憶部141が、認知度、理解度、実施度を評価するための評価判定データを記憶装置に記憶し、算出部131が、評価判定データを入力して、ユーザがセキュリティ施策を認知している度合いを示す認知度の値と、ユーザがセキュリティ施策を理解している度合いを示す理解度の値と、ユーザがセキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出し、運用状況評価部132が、算出部131により算出された認知度の値と理解度の値と実施度の値とに基づいて、セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して、運用状況評価結果として評価結果記憶部137に記憶する。
【選択図】図1
Description
本発明は、組織のセキュリティ施策の運用状況を評価するセキュリティ評価装置及びセキュリティ評価方法及びセキュリティ評価プログラムに関する。
組織における情報セキュリティの運用管理を支援する従来技術として、組織の現在のセキュリティポリシーと組織のセキュリティ運用実態との差異を分析し、組織内のセキュリティ運用ルールの調整を行うことによって組織のセキュリティポリシーの改善を行うという方式がある(特許文献1)。また、他の従来技術として、ネットワークに接続された情報機器に関するセキュリティ監査を、ログ情報等を定期的に収集することによって自動的に行い、改善すべきセキュリティ施策を洗い出す、という技術方式がある(特許文献2)。
従来技術では、情報セキュリティの運用管理を行う場合、ヒアリングやアンケートによって、さらには、ネットワーク接続機器からPC設定状況等のデータを取得することによって、エンドユーザが組織内で指示された施策を実施しているかどうかを確認していた。しかし、このような方式では、以下のような課題がある。
第一に、実施状況を収集しているだけでは、事故が発生しないとわからない潜在リスクを検出することができない、という課題がある。例えば、近年、オフィスの外部へ持出したPCの盗難等による情報漏えい事件の発生が多数報告されている。このような事故に対して、通常業態として、PCを持出すエンドユーザは、PC持出しの実施状況を確認することができるが、業務上、PCを持出す必要がなかったために、PC持出を行ったことがないエンドユーザについては、実施したことがないために、実施状況を確認することはできない。このようなエンドユーザがPC持出し時の施策について認識していなかった場合、PC持出しを行った際に情報漏えい事故が起こるリスクが高い。このリスクは、事故が発生して初めて認識されることになる。
第二に、ITシステム上でセキュリティ施策の実施状況を取得していても、セキュリティ事故が発生した場合の根本原因はわからない、という課題がある。例えば、あるエンドユーザが、指示されたセキュリティ上の施策を実施していないことが確認された場合、業務の都合上、一時的に敢えてそのセキュリティ施策実施していなかったのか、それとも指示されたセキュリティ施策事項である、という点を認識していなかったために実施していなかったのかは、判別できない。前者の場合は、その原因となる業務が終了したタイミングで該当セキュリティ施策を実施するようにエンドユーザに徹底すればよいが、後者の場合は、エンドユーザに対して該当セキュリティ施策に関する再教育が必要になる。もし、後者のようなエンドユーザが組織内に多数いた場合は、セキュリティ施策の指示方法の見直しが必要になる場合もある。このように、あるセキュリティ施策が実施されていなかった場合、その原因によって異なる対処をしなければならない。
この発明は上記のような課題を解決するためになされたもので、エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施しているかどうかを確認することによってエンドユーザへのセキュリティ施策の浸透度を適切に測るとともに、確認した結果に基づいて適切な対処を提示することができるシステムを提供する。
本発明におけるセキュリティ評価装置は、
組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、
前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部と、
前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出部と、
前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価部と
を備えたことを特徴とする。
組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、
前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部と、
前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出部と、
前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価部と
を備えたことを特徴とする。
本発明におけるセキュリティ評価装置は、組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、セキュリティ判定データ記憶部が、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶し、算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出し、運用状況評価部が、前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶するので、エンドユーザがセキュリティ施策を正しく認知(識別、理解)して実施しているかどうかを確認することができ、エンドユーザへのセキュリティ施策の浸透度をより適切に評価可能なセキュリティ管理装置を提供することができる。
以下に、本発明の実施の形態について、図を用いて説明する。
実施の形態1.
本実施の形態では、会社、事務所、役所等の組織(以下、ユーザともいう)内におけるセキュリティ施策の運用状況について評価し、評価結果(評価レベル)を出力し、さらには出力した評価結果からリスク改善策等をユーザに提示することができるセキュリティ管理装置100について説明する。セキュリティ管理装置100はセキュリティ評価装置の一例である。すなわち、実施の形態1におけるセキュリティ管理装置100は、組織内のセキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100である。
本実施の形態では、会社、事務所、役所等の組織(以下、ユーザともいう)内におけるセキュリティ施策の運用状況について評価し、評価結果(評価レベル)を出力し、さらには出力した評価結果からリスク改善策等をユーザに提示することができるセキュリティ管理装置100について説明する。セキュリティ管理装置100はセキュリティ評価装置の一例である。すなわち、実施の形態1におけるセキュリティ管理装置100は、組織内のセキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100である。
組織(ユーザ)内におけるセキュリティ施策とは、組織内でのセキュリティを高めるための個々の施策を意味する。例えば、「セキュリティプログラムによる定期チェックの実行施策」や、「PCの社外持ち出し禁止施策」や、「秘匿ファイルへのアクセス権取得義務施策」や、「セキュリティソフトの実行施策」等、様々なセキュリティ施策がある。また、以下において、ユーザとは、セキュリティ施策を実践する会社等の組織あるいは組織内の個々のユーザを意味し、セキュリティ管理装置100を実際に利用するのはユーザ内の管理者400(セキュリティ管理者)である。以下では、ユーザの一員である管理者400を「ユーザ」と呼ぶ場合もあるものとする。また、ユーザ(組織)で実際にセキュリティ施策を実施する個々の者を、エンドユーザと呼ぶ場合もある。
図1は、実施の形態1に係る情報セキュリティ管理装置100の機能ブロック図である。図1を用いて、セキュリティ管理装置100の各機能ブロックの機能について説明する。
本実施の形態のセキュリティ管理装置100は、組織内のセキュリティ施策の運用状況を評価するための評価尺度として、認知度、理解度、実施度を用いる。認知度は、ユーザ(組織)内において、エンドユーザがどれだけセキュリティ施策を認知しているかの度合いを示す値である。理解度は、ユーザ内において、エンドユーザがどれだけセキュリティ施策を理解しているかの度合いを示す値である。実施度は、ユーザ内において、エンドユーザがどれだけセキュリティ施策を実施しているかの度合いを示す値である。すなわち、認知度、理解度、実施度の値は、百分率で表すことができる。セキュリティ管理装置100において、認知度、理解度、実施度を判定するとは、例えば、認知度、理解度、実施度の値をそれぞれ百分率で表すことを意味する。
セキュリティ管理装置100は、設計部110、評価情報記憶部120、評価部130、評価判定データ取得部140、セキュリティ判定データ記憶部141、根源リスク特定部150、リスク対策提示部160を備えている。
設計部110及び評価情報記憶部120は、セキュリティ管理装置100を利用して組織内のセキュリティ施策の運用状況を評価したい管理者400(ユーザ)が、組織内の複数のセキュリティ施策毎に、該当するセキュリティ施策を評価するために必要な評価情報等を、入力装置を用いて設定するための機能(インタフェース等)を提供する。また、設計部110及び評価情報記憶部120は、管理者400から入力装置を介して入力したデータや、ユーザ(組織)内の情報システムのデータベース等から取得したデータをもとに、セキュリティ施策を評価するために必要な評価情報を記憶装置に記憶する。
設計部110は、評価判定データ情報設計部111、評価式設計部112、リスク改善策設計部113、質問生成部114を備えている。また、評価情報記憶部120は、評価判定データ情報記憶部121、評価式情報記憶部122、リスク改善策情報記憶部123を備えている。
評価判定データ情報設計部111は、組織内におけるエンドユーザへのセキュリティ施策の浸透度を評価尺度(認知度と理解度と実施度)毎に評価するために、評価尺度(認知度と理解度と実施度)毎に評価判定データ情報を設定し、設定した評価判定データ情報を評価判定データ情報記憶部121に記憶する。評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度(認知度と理解度と実施度)毎に評価判定データ情報を設定する。評価判定データ情報とは、該当するセキュリティ施策の評価尺度(認知度と理解度と実施度)を判定するために、取得すべき評価判定データを示すものである。例えば、セキュリティ施策A「セキュリティプログラムAの定期的の実行」についての認知度を判定するための評価判定データ情報とは、「セキュリティプログラムAの実行手順が書かれた指定URLへのアクセスの有無」や「指定URLアクセス時間」等である。
組織内でのセキュリティ施策の浸透度を評価尺度(認知度と理解度と実施度)毎に判定するために、組織内ではエンドユーザへのアンケートやヒアリングを行う。質問生成部114は、このエンドユーザへのアンケートやヒアリングの際の質問を生成する。質問生成部114は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度毎に質問を生成する。また、質問生成部114は、生成した評価尺度毎の質問に対するエンドユーザの回答データの集計サンプル情報を生成する。質問生成部114は、回答データの集計情報を、評価尺度毎の評価判定データ情報として評価判定データ情報設計部111に出力する。評価判定データ情報設計部111は、集計した回答データの集計サンプル情報を評価尺度毎の評価判定データ情報として設定してもよい。
また、評価判定データ情報設計部111は、特定した評価判定データ情報を評価するための基準であるデータ別評価基準を設定する。評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価判定データ情報に対応するデータ別評価基準を設定する。あるいは、例えば、評価判定データ情報「指定URLへのアクセス時間」に対するデータ別評価基準として、「アクセス時間が5分以上でOK」といった評価の満足条件を設定する。ここで、評価判定データ情報は、評価尺度(認知度と理解度と実施度)毎に複数特定されていてもよい。評価判定データ情報設計部111は、評価尺度(認知度と理解度と実施度)毎に複数特定された(1つでも構わない)評価判定データ情報に対して、対応するデータ別評価基準を設定して評価判定データ情報記憶部121に記憶する。ここで、1つの評価判定データ情報に対応するデータ別評価基準は、複数であってもよい。評価判定データ情報記憶部121の詳細説明については、後述する。
リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価判定データ情報に対応するリスク改善策を設定する。リスク改善策設計部113は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度(認知度と理解度と実施度)毎に設定された評価判定データ情報に対して、対応するリスク改善策を設定する。対応するリスク改善策とは、該当する評価判定データ情報がデータ別評価基準を満足していない場合(例えば、評価判定データ情報「指定URLへのアクセスの有無」のデータが5分未満であった場合)の、ユーザがとるべきリスクの改善策である。リスク改善策設計部113は、評価判定データ情報に対して、対応するリスク改善策を設定してリスク改善策情報記憶部123に記憶する。
評価式設計部112は、セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルを設定するとともに、設定した複数の評価レベルの各評価レベルに対して、対応する理解度の値と認知度の値と実施度の値との組み合わせを設定し、運用状況評価基準(以下、評価式ともいう)として記憶装置である評価式情報記憶部122に記憶する。評価式設計部112は、評価基準設定部の一例である。
評価式設計部112は、評価レベルを決定するための評価式(運用状況評価基準)を設定して評価式情報記憶部122に記憶する。評価式設計部112は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価式を設定する。評価式とは、例えば、セキュリティAについては「全ての評価尺度において90%以上を満たしていれば評価レベル1(リスク対応は不要)」、「実施度が90%を満たしていれば評価レベル2(即座対応は不要)」等の条件のことである。
以上の説明が、設計部110が評価情報記憶部120を設定する処理を行う機能ブロックの説明である。次に、セキュリティ管理装置100が、管理者400等からのセキュリティ施策評価要求を入力して、該当セキュリティ施策の評価処理を行う機能ブロックについて説明する。
評価部130は、算出部131、運用状況評価部132を備える。算出部131は、施策認知度分析部133、施策理解度分析部134、施策実施度分析部135を備える。運用状況評価部132は、評価ゾーン算出部136、評価結果記憶部137を備える。
評価部130は、管理者400から入力装置を介してセキュリティ施策評価要求(評価対象のセキュリティ施策及びユーザID(組織ID)を含む)を入力して、該当ユーザについての該当セキュリティ施策に関する評価処理を実行する。
評価部130は、エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施していることを尺度として評価するための評価判定データ情報のリストを、評価情報記憶部120の評価判定データ情報記憶部121から取得する。評価部130は、取得した評価判定データ情報のリストに基づいて、評価判定データ取得部140に評価判定データ取得要求を出力する。
評価判定データ取得部140は、評価部130から入力した評価判定データ取得要求にしたがって、組織内の情報システムのデータベース(記憶装置)等に記憶されている情報や、エンドユーザからの入力(回答データ)の情報等から、必要な評価判定データを取得して記憶装置に記憶する。すなわち、評価判定データ取得部140は、ユーザにおけるセキュリティ施策の認知状況を判定するための認知判定データと、ユーザにおけるセキュリティ施策の理解状況を判定するための理解判定データと、ユーザにおけるセキュリティ施策の実施状況を判定するための実施判定データとを評価判定データとして記憶装置であるセキュリティ判定データ記憶部141に記憶する。
算出部131は、評価尺度(認知度、理解度、実施度)についての値、すなわち、認知度の値、理解度の値、実施度の値を算出する。すなわち、施策認知度分析部133は、セキュリティ判定データ記憶部141から認知判定データを入力して、入力した前記認知判定データに基づいて、該当ユーザが該当セキュリティ施策を認知している度合いを示す認知度の値を処理装置により算出する。施策理解度分析部134は、セキュリティ判定データ記憶部141から理解判定データを入力して、入力した前記理解判定データに基づいて、該当ユーザが該当セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出する。施策実施度分析部135は、セキュリティ判定データ記憶部141から実施判定データを入力して、入力した前記実施判定データに基づいて、該当ユーザが該当セキュリティ施策を実施している度合いを示す実施度の値を処理装置により算出する。
運用状況評価部132は、算出部131により算出された認知度の値と理解度の値と実施度の値とに基づいて、セキュリティ施策の運用状況を、予め記憶装置を用いて評価式情報記憶部122に記憶された評価式(運用状況評価基準)を用いて処理装置により評価して運用状況評価結果として記憶装置である評価結果記憶部137に記憶する。
評価ゾーン算出部136は、評価式情報記憶部122に記憶されている評価式(運用状況評価基準)に設定されている複数の評価レベルの中から、算出部131により算出された認知度の値と理解度の値と実施度の値との組み合わせが対応する評価レベルを処理装置により取得する。評価ゾーン算出部136は、取得した評価レベルを含む情報を運用状況評価結果として記憶装置である評価結果記憶部137に記憶する。
評価ゾーン算出部136は、評価対象のユーザIDと、評価対象のセキュリティ施策と、評価対象について算出した評価尺度の値(認知度の値と理解度の値と実施度の値)と、評価尺度の値から取得した評価レベルとを対応付けて、運用状況評価結果として評価対象毎に評価結果記憶部137に記憶する。また、評価ゾーン算出部136は、さらに、評価対象の各評価尺度(認知度、理解度、実施度)に対応する評価判定データと、その評価判定データのデータ別評価基準による判定結果とを対応させた情報も、運用状況評価結果として評価結果記憶部137に記憶する。ここで、評価対象とは、ユーザID(組織ID)毎かつセキュリティ施策ID毎を想定している。しかし、評価対象として、エンドユーザ毎かつセキュリティ施策ID毎でもよく、エンドユーザ毎かつセキュリティ施策ID毎に運用状況評価結果を評価結果記憶部137に記憶してもよい。
評価部130は、評価結果記憶部137に記憶された運用状況評価結果を表示装置等に表示して管理者400に提示する。例えば、評価部130は、評価対象のユーザIDと評価対象のセキュリティ施策とに対応付けて、評価対象について算出した評価尺度の値(認知度の値と理解度の値と実施度の値)、評価尺度の値から取得した評価レベル、各評価尺度(認知度、理解度、実施度)に対応する評価判定データ、評価判定データのデータ別評価基準による判定結果等を併せて表示装置に表示してもよい。
以上のように、セキュリティ管理装置100は、管理者400等からのセキュリティ施策評価要求を入力して、該当ユーザにおける該当セキュリティ施策の評価処理を行う。次に、セキュリティ管理装置100が、管理者400等からのリスク問合せ要求を入力装置を介して入力し、該当ユーザにおける該当セキュリティ施策のリスク改善策を提示する処理の機能ブロックについて説明する。
根源リスク特定部150は、管理者400から入力装置を介してリスク問合せ要求(対象セキュリティ施策、ユーザID(組織ID)を含む)を入力する。根源リスク特定部150は、評価結果記憶部137に記憶された運用状況評価結果から、該当ユーザの該当セキュリティ施策の各評価尺度(認知度、理解度、実施度)に対応する評価判定データと判定結果(OK/NG)(データ別評価基準に達していたかどうか)を抽出する。NGである評価判定データがあれば、その評価判定データに対応するリスク情報とそのリスク改善策を取得し、リスク対策提示部160に通知する。OKである評価判定データの場合は、特に通知する必要もないが、OKである評価判定データを表示装置に表示して、今後もセキュリティの維持に努めるように注意を喚起してもよい。
根源リスク特定部150は、全評価尺度について評価判定データの判定結果の達成状況を確認した後、対応するリスク情報が抽出されなければ、追加対策が不要と判断してリスク対策提示部160に通知しないとしてもよい。最終的にリスク対策提示部160では、根源リスク特定部150より通知された結果を表示装置に出力(表示)する。
以上のように、セキュリティ管理装置100によるセキュリティ管理システムは、大きく次のような手順に分けられる。(1)エンドユーザへのセキュリティ施策浸透度を評価するための評価情報(評価判定データ情報、評価式)を作成し(評価情報設計フェーズ)、(2)評価のために必要な実施データを取得して分析・評価し(運用状況評価フェーズ)、(3)問題があれば必要な対策を提示する(リスク問合せフェーズ)。
図2は、以下の実施の形態に係るセキュリティ管理装置100の外観の一例を示す図である。図2において、セキュリティ管理装置100は、システムユニット910、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disk・ Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907、タッチパネル908などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。システムユニット910は、コンピュータであり、ファクシミリ機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク942(LAN)、ゲートウェイ941を介してインターネット940に接続されている。
図3は、実施の形態に係るセキュリティ管理装置100のハードウェア資源の一例を示す図である。図3において、セキュリティ管理装置100は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、タッチパネル908、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904、表示装置901(表示画面801)、タッチパネル908などは、入力部、入力装置の一例である。また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
通信ボード915は、ファクシミリ機932、電話器931、LAN942等に接続されている。通信ボード915は、LAN942に限らず、インターネット940、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。インターネット940或いはISDN等のWANに接続されている場合、ゲートウェイ941は不用となる。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」、「〜手段」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」、「〜データベース」、「〜データ」の各項目として記憶されている。「〜ファイル」、「〜データベース」、「〜データ」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
図4は、実施の形態1に係る設計部による評価情報設計処理及び評価情報記憶処理のフロー図である。図4を用いて、設計部110による評価情報設計処理及び評価情報記憶処理の流れについて説明する。
S201において、設計部110は、管理者400から入力装置を介して評価対象のセキュリティ施策を識別する情報(例えば、セキュリティ施策ID)を入力する。
S202は、設計部110が評価対象のセキュリティ施策(S201にて入力されたセキュリティ施策IDの示すセキュリティ施策Aとする)の各評価尺度(認知度、理解度、実施度)について以降の処理を行う繰り返し処理である。
以下のS203からS206の説明では、セキュリティ施策Aについての「認知度」を評価するための評価判定データ情報の設計処理、リスク改善策の設計処理について説明する。設計部110では、理解度、実施度についても同様の処理を行うので、ここでは説明を省略する。
S203では、評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400)からの入力に基づいて、認知度を判定するために取得すべき評価判定データ情報を処理装置により特定する。評価判定データ情報とは、評価対象のセキュリティ施策の認知度を判定するために取得すべき評価判定データを示すものである。例えば、「セキュリティ施策A:セキュリティプログラムAの定期的の実行」についての認知度を判定するための評価判定データ情報とは、セキュリティプログラムAをダウンロード等するための「指定URLへのアクセスの有無」や「指定URLへのアクセス時間」等である。
S204では、評価判定データ情報設計部111は、特定した評価判定データ情報を評価するための基準であるデータ別評価基準を設定する。評価判定データ情報設計部111は、例えば、入力装置を介した管理者400からの入力に基づいて、評価判定データ情報に対応するデータ別評価基準を処理装置により設定する。評価判定データ情報に対応するデータ別評価基準とは、例えば、評価判定データ情報「指定URLへのアクセス時間」に対して「指定URLへのアクセス時間が10分以上」等の2値判断が用いられる。あるいは、指定URLへのアクセス時間によるセキュリティレベル分け(例「10分以上ならセキュリティレベル3」)等を規定するとしてもよい。評価判定データ情報設計部111は、認知度に対して複数の評価判定データ情報を設定しても構わない。評価判定データ情報設計部111は、上述したように処理装置を用いて評価判定データ情報に対して対応するデータ別評価基準を設定して、評価判定データ情報記憶部121に記憶する。
図5は、実施の形態1における評価判定データ情報設計部111により記憶装置に記憶される評価判定データ情報記憶部121の一例を示す図である。評価判定データ情報記憶部121では、評価尺度「認知度」に対して、評価判定データ情報として「指定URLアクセス有無」、「指定URLアクセス時間」、「指定ファイルアクセスの有無」、「指定ファイルアクセス時間」が設定されている。また、評価判定データ情報「指定URLアクセス有無」のデータ別評価基準(満足条件)として、「1回が5分以上」との条件が設定されている。ここで、図5に示すように、評価判定データ情報記憶部121の構成は、評価尺度(認知度)に対して評価項目(URLアクセス、ファイルアクセス)を設定し、各評価項目に対して評価判定データ情報を設定する構成となっているが、評価項目はなくてもよい。また、図5では、評価判定データ情報記憶部121の構成に、各評価判定データ情報(評価判定データ情報のデータ)がデータ別評価基準(満足条件)を満足しない場合のリスクに関するリスク情報も加えられている。
設計部110は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「評価情報設計フェーズ」を選択することにより、設計部110が処理装置により記憶装置から読み出されて、処理装置により起動される。設計部110は、起動されると表示装置901に評価情報設計入力画面(図示せず)を表示する。設計部110(評価判定データ情報設計部111)は、表示装置901の評価情報設計入力画面を介して、管理者400からの入力情報(評価判定データ、データ別評価基準、リスク情報等)を入力し、評価判定データ情報記憶部121に記憶する。
セキュリティ管理装置100では、取得可能な評価判定データ情報の一覧及びデータ別評価基準の一覧及びリスク情報の一覧を予め記憶装置に記憶してあるとしてもよい。設計部110(評価判定データ情報設計部111)は、予め記憶装置に記憶されているこれらの一覧を用いて、評価情報設計入力画面において、プルダウンメニュー等により管理者400に選択させるというインタフェースを用いてもよい。
あるいは、セキュリティ管理装置100では、図5の評価判定データ情報記憶部121に示すような構成のデータベース(評価判定データ情報DB)が、予めシステム設計時等に生成され記憶装置に記憶されているものとしてもよい。評価判定データ情報設計部111は、データの特定にあたって、予め記憶装置に記憶された評価判定データ情報DBを利用してもよい。また、管理者400等により、評価判定データ情報DBを更新することができるとしてもよい。
S205において、リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価判定データに対応するリスク改善策を設定する。あるいは、リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価項目に対応するリスク改善策を設定する。リスク改善策設計部113は、例えば、表示装置901に表示された評価情報設計入力画面のインタフェースを用いて管理者400から入力された情報と評価判定データ情報記憶部121に記憶されている情報とに基づいて、認知度の評価判定データ情報(評価項目)に対応するリスク情報とリスク改善策とを設定して、リスク改善策情報記憶部123に記憶する。
図6は、実施の形態1におけるリスク改善策設計部113により記憶されるリスク改善策情報記憶部123の一例を示す図である。図6に示すように、リスク改善策情報記憶部123では、例えば、認知度を判定するための評価判定データ情報「指定URLアクセスの有無」に対応するリスク情報「施策(規定)が見つけにくい」に対して、その改善策として、リスク改善策「規程をWEBに掲示」、「WEB上の検索アルゴリズムの改善」、「規程の階層構造の見直し」が設定されている。リスク改善策は、評価尺度毎に設定されていてもよいし、評価項目毎に設定されていてもよいし、評価判定データ毎に設定されていてもよい。
S206において、設計部110は、処理装置を用いて、全評価尺度(認知度、理解度、実施度)について、評価判定データ情報、データ別評価基準、リスク改善策が、評価判定データ情報記憶部121、リスク改善策情報記憶部123に記憶されたか否かを判定する。設計部110は、全評価尺度(認知度、理解度、実施度)について、評価判定データ情報記憶部121及びリスク改善策情報記憶部123への格納処理が完了したと判定すると(S206でYES)、処理をS207に進める。設計部110は、全評価尺度(認知度、理解度、実施度)について格納処理が完了していないと判定すると(S206でNO)、処理をS202に戻す。
S207では、評価式設計部112は、セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルを設定するとともに、設定した複数の評価レベルの各評価レベルに対応させて「理解度の値と認知度の値と実施度の値との組み合わせ」をそれぞれ設定し、評価式情報記憶部122に記憶する。評価式設計部112は、評価レベルを決定するための評価式(運用状況評価基準の一例)を設定して評価式情報記憶部122に記憶する。評価式設計部112は、例えば、表示装置901に表示された評価情報設計入力画面インタフェースを介して入力された管理者400からの入力情報に基づいて、評価式を設定して評価式情報記憶部122に記憶する。
図7は、実施の形態1における評価式設計部112により記憶される評価式情報記憶部122の一例を示す図である。図7に示すように、評価式とは、セキュリティ施策Aについて、「認知度の値90%以上、理解度の値90%以上、実施度の値90%以上」の場合は評価レベル「1:(リスク対応不要)」、「認知度の値90%以上、理解度の値90%〜50%、実施度の値90%以上」の場合は評価レベル「2:(即座リスク対応不要)」、「認知度の値90%〜50%、理解度の値50%〜30%、実施度の値90%以上」の場合は評価レベル「3:(リスク対応再教育要)」等の条件式である。
以上で、実施の形態1に係る設計部110による評価情報設計処理及び評価情報記憶処理の説明を終わる。
図8は、実施の形態1に係る評価判定データ取得処理及び運用状況評価処理を示すフロー図である。図8を用いて、評価判定データ取得部140による評価判定データ取得処理と、評価部130による運用状況評価処理について説明する。
評価部130は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「運用状況評価フェーズ」を選択することにより評価部130が処理装置により記憶装置から読み出されて、処理装置により起動される。評価部130は、起動されると表示装置901に評価対象入力画面(図示せず)を、処理装置により表示する。
S301において、評価部130(算出部131)は、表示装置901に表示された評価対象入力画面を介して、管理者400からのセキュリティ施策評価要求を入力する。評価部130(算出部131)は、処理装置により、入力したセキュリティ施策評価要求に含まれるユーザIDとセキュリティ施策IDとを抽出して記憶装置に記憶する。
S302において、算出部131は、処理装置により、入力したセキュリティ施策ID(ここでは、セキュリティ施策Aが指定されたものとする)をもとに、評価式情報記憶部122を検索して、セキュリティ施策Aに対応する評価式情報(図7の情報)を抽出する。
S303は、算出部131が評価対象のセキュリティ施策Aの各評価尺度(認知度、理解度、実施度)について、認知度/理解度/実施度に関して以降の処理を行う繰り返し処理である。
以下のS304からS306の説明では、施策認知度分析部133が評価対象のセキュリティ施策Aについての「認知度の値」を算出するための評価判定データを取得する評価判定データ取得処理と、施策認知度分析部133が取得した評価判定データ(認知判定データ)を用いて「認知度の値」を算出する施策認知度算出処理について説明する。算出部131(施策認知度分析部133、施策理解度分析部134、施策実施度分析部135)では、理解度、実施度についても認知度の処理と同様の処理を行うので、理解度、実施度については説明を省略する。
S304では、施策認知度分析部133は、処理装置により、入力したユーザIDとセキュリティ施策IDとをもとに評価判定データ情報記憶部121を検索して、認知度の判定のために取得すべき評価判定データ情報を抽出する。施策認知度分析部133は、処理装置により、抽出した評価判定データ情報に対応する評価判定データを取得するための評価判定データ取得要求を評価判定データ取得部140に出力する。
S305では、評価判定データ取得部140は、処理装置により、評価判定データ取得要求により指定された評価判定データ情報に対応する評価判定データを取得する。評価判定データ取得部140は、例えば、ユーザ(組織)内情報システムにおいて蓄積されているログ情報から評価判定データを取得する。あるいは、評価判定データ取得部140は、処理装置により、ユーザ(組織)内のエンドユーザの回答(上述した質問生成部114により生成された質問に対する回答)を蓄積した回答データを集計して、評価判定データとして取得する。評価判定データ取得部140は、取得した評価判定データをセキュリティ判定データ記憶部141に認知判定データとして記憶する。
S306では、施策認知度分析部133は、処理装置により、セキュリティ判定データ記憶部141に記憶された認知判定データを読み込んで、読み込んだ認知判定データに基づいて認知度の値を算出する。施策認知度分析部133は、例えば、評価判定データ情報が「指定URLアクセス時間」であり、データ別評価判定基準「総アクセス時間が30分以上」の場合、「すべてのエンドユーザがデータ別評価判定基準を満たすアクセス時間」に対する「取得した認知判定データ(認知度を評価するための評価判定データ)から得られる実状況のアクセス時間」の度合いを処理装置により算出する。施策認知度分析部133は、すべての評価判定データ情報について上記のように度合いを算出してその平均値を認知度の値として算出する。
S307では、算出部131は、処理装置により、評価尺度(認知度、理解度、実施度)すべてについて、セキュリティ施策Aについての認知度の値、理解度の値、実施度の値が算出されたか否かを判定する。算出部131が、評価尺度(認知度、理解度、実施度)すべてについて算出されたと判断した場合(S307でYES)、処理はS308に進む。算出部131が、評価尺度(認知度、理解度、実施度)すべてについて算出されていないと判断した場合(S307でNO)、処理はS303に戻る。
S308では、運用状況評価部132(評価ゾーン算出部136)が、処理装置により、算出部131により算出された「認知度の値と理解度の値と実施度の値との組み合わせ」と、S302において取得したセキュリティ施策Aの評価式情報とを比較して、比較した結果に基づいて、評価対象のセキュリティ施策Aの評価レベルを決定する。運用状況評価部132(評価ゾーン算出部136)は、処理装置により、決定された評価レベルを運用状況評価結果として評価結果記憶部137に記憶する。また、運用状況評価部132(評価ゾーン算出部136)は、ユーザIDにおけるセキュリティ施策Aの運用状況評価結果として、評価レベルとともに、各評価尺度の値(認知度の値、理解度の値、実施度の値)と、各評価尺度(認知度、理解度、実施度)について取得した評価判定データとそのデータ別評価基準の判定結果とを評価結果記憶部137に記憶する。
以上で、実施の形態1に係る評価判定データ取得処理及び運用状況評価処理の説明を終わる。
図9は、実施の形態1に係るリスク問合せ処理を示すフロー図である。図9を用いて、リスク問合せ処理について説明する。
根源リスク特定部150は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「リスク問合せフェーズ」を選択することにより根源リスク特定部150が処理装置により記憶装置から読み出されて、処理装置により起動される。根源リスク特定部150は、起動されると、表示装置901にリスク問合せ入力画面(図示せず)を表示する。
S401において、根源リスク特定部150は、処理装置により、表示装置901に表示されたリスク問合せ入力画面を介して、管理者400からのリスク問合せ要求を入力する。根源リスク特定部150は、処理装置により、入力したリスク問合せ要求に含まれるユーザIDとセキュリティ施策IDとを抽出する。
S402は、根源リスク特定部150が、対象のユーザIDにおけるセキュリティ施策Aについて、S403からS406の処理を各評価尺度(認知度、理解度、実施度)すべてについて行う繰り返し処理である。以下の説明では、根源リスク特定部150が、対象ユーザIDの対象セキュリティ施策IDをもとに、評価結果記憶部137を参照して、認知度に対応する評価判定データすべてについてそれぞれデータ別評価基準を満足したか否かをチェックする処理について説明する。ここでは、理解度、実施度についても同様の処理を行うため、その説明は省略する。
S403では、根源リスク特定部150は、処理装置により、入力した対象ユーザIDと対象セキュリティ施策IDをもとに、評価結果記憶部137を参照して、認知度に対応する評価判定データのすべてについて、それぞれデータ別評価基準を満足したか否か(判定結果がOKかNGか)をチェックする。
根源リスク特定部150は、認知度のすべての評価判定データについてチェックを行い、すべての評価判定データがデータ別評価基準を満足している場合(S403でYES)は、S404aへ処理をうつす。
S404aでは、根源リスク特定部150は、処理装置により、認知度のすべての評価判定データがデータ別評価基準に達している旨をリスク対策提示部に通知するための通知情報を記憶装置に記憶する。
S404では、根源リスク特定部150は、処理装置により、全評価尺度(認知度、理解度、実施度)について処理を行ったか否かを判定する。根源リスク特定部150は、全評価尺度について処理を行ったと判断した場合には(S404でYES)、処理をS404bに進める。S404bでは、根源リスク特定部150は、記憶装置に記憶されている通知情報により、全評価尺度について評価基準の達成状況(すなわち、認知度、理解度、実施度ついての全評価判定データのデータ別評価基準の判定結果状況)を確認する。根源リスク特定部150は、通知情報を確認した結果、全評価尺度についてすべての評価判定データがデータ別評価基準に達している場合には、対応するリスクが抽出されなかったことを意味するので、追加対策が不要との旨の通知を通知情報に記憶する。
S404にて、根源リスク特定部150は、全評価尺度について処理を行っていないと判断した場合には(S404でNO)、処理をS402に戻す。
S403で、根源リスク特定部150が、認知度のすべての評価判定データが基準を満足しているわけではない場合(S403でNO)は、S405へ処理を進める。
S405では、根源リスク特定部150は、処理装置により、データ別評価基準を満足していない評価判定データを取得するとともに、取得した評価判定データに対応するリスク改善策をリスク改善策情報記憶部123を参照して取得し、認知度に対応するリスク改善策情報として記憶装置に記憶する。S405では、根源リスク特定部150は、処理装置により、記憶装置に記憶されている認知度に対応するリスク改善策情報をリスク対策提示部160に通知するために、通知情報に認知度に対応するリスク改善策情報を記憶する。
S406では、根源リスク特定部150は、処理装置により、全評価尺度(認知度、理解度、実施度)について処理を行ったか否かを判定する。根源リスク特定部150は、全評価尺度について処理を行ったと判断した場合には(S406でYES)、処理をS407に進める。根源リスク特定部150は、全評価尺度について処理を行っていないと判断した場合には(S406でNO)、処理をS402に戻す。
S407では、リスク対策提示部160は、処理装置を用いて、根源リスク特定部150が記憶装置に記憶した通知情報にしたがって、各評価尺度に対応するリスク改善策情報を表示装置901に表示する。また、リスク対策提示部160は、「追加対策が不要」との通知を通知情報により入力した場合には、その旨を表示装置901に表示する。
本実施の形態では、以下のような特徴と有するセキュリティ管理装置100について説明した。
実施の形態1におけるセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、
エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施していることを尺度として(すなわち、評価尺度(認知度、理解度、実施度)により)評価する評価部130と、
評価目的(評価尺度)別の収集可能な情報(評価判定データ情報)のリストから、評価部130で評価するための式を設計する評価式設計部112と、
評価尺度(認知度、理解度、実施度)に従って評価した結果が不適切と判断された場合の改善策を設計する改善対策案設計部(リスク改善策設計部113)と、
評価判定データ取得部140によって取得した評価判定データを評価した結果から、根源となるリスクを特定する根源リスク特定部150と、
根源となるリスクに対する対策を提示するリスク対策提示部160と
を備えることを特徴とする。
エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施していることを尺度として(すなわち、評価尺度(認知度、理解度、実施度)により)評価する評価部130と、
評価目的(評価尺度)別の収集可能な情報(評価判定データ情報)のリストから、評価部130で評価するための式を設計する評価式設計部112と、
評価尺度(認知度、理解度、実施度)に従って評価した結果が不適切と判断された場合の改善策を設計する改善対策案設計部(リスク改善策設計部113)と、
評価判定データ取得部140によって取得した評価判定データを評価した結果から、根源となるリスクを特定する根源リスク特定部150と、
根源となるリスクに対する対策を提示するリスク対策提示部160と
を備えることを特徴とする。
実施の形態1におけるセキュリティ管理装置100は、
評価部130が、エンドユーザがセキュリティ施策を正しく識別していることを分析する施策認知度分析部133と、エンドユーザがセキュリティ施策の内容を正しく理解していることを分析する施策理解度分析部134と、エンドユーザがセキュリティ施策を正しく実施していることを分析する施策実施度分析部135とを備え、
実施の形態1におけるセキュリティ管理装置100は、さらに、
施策認知度分析部133、施策理解度分析部134、施策実施度分析部135の3つの分析部が出力する分析結果(例えば、認知度の値、理解度の値、実施度の値)から、エンドユーザが属する評価ゾーン(評価レベル)を特定する評価ゾーン算出部136を備えることを特徴とする。
評価部130が、エンドユーザがセキュリティ施策を正しく識別していることを分析する施策認知度分析部133と、エンドユーザがセキュリティ施策の内容を正しく理解していることを分析する施策理解度分析部134と、エンドユーザがセキュリティ施策を正しく実施していることを分析する施策実施度分析部135とを備え、
実施の形態1におけるセキュリティ管理装置100は、さらに、
施策認知度分析部133、施策理解度分析部134、施策実施度分析部135の3つの分析部が出力する分析結果(例えば、認知度の値、理解度の値、実施度の値)から、エンドユーザが属する評価ゾーン(評価レベル)を特定する評価ゾーン算出部136を備えることを特徴とする。
以上のように、実施の形態1におけるセキュリティ管理装置100によれば、ある情報セキュリティ施策に対して、エンドユーザがそれを実施しているかどうかを確認する際に、認知度、理解度、実施度の三つの評価尺度により判断するようにしているので、エンドユーザが当該セキュリティ施策を実施していない場合に、その根源となる原因を特定することができる。
実施の形態2.
実施の形態1のセキュリティ管理装置100では、ユーザのセキュリティ施策に対して評価式を用いて評価レベルを決定し、運用状況評価結果として出力していた。本実施の形態のセキュリティ管理装置100では、運用状況評価結果を出力(表示)方式として、三次元グラフを用いて運用状況評価結果を表示装置901に表示する場合について説明する。
実施の形態1のセキュリティ管理装置100では、ユーザのセキュリティ施策に対して評価式を用いて評価レベルを決定し、運用状況評価結果として出力していた。本実施の形態のセキュリティ管理装置100では、運用状況評価結果を出力(表示)方式として、三次元グラフを用いて運用状況評価結果を表示装置901に表示する場合について説明する。
図10は、実施の形態2におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。図10は、図1に対応する図であり、図1と同様の機能を有する機能ブロックについては同一の符号を付しその説明を省略する。図10において、図1と異なる点は、評価結果3次元表示部138を備える点である。
評価結果3次元表示部138は、評価結果記憶部137に記憶された運用状況評価結果を、認知度、理解度、実施度を軸とした3次元空間上に表示して、表示装置901に評価結果3次元グラフとして表示する。評価結果3次元表示部138は、評価結果表示部の一例である。
図11は、実施の形態2に係る評価結果3次元表示部138の評価結果3次元グラフ表示処理の流れを示すフロー図である。図11を用いて、評価結果3次元グラフ表示処理の流れについて説明する。
評価結果3次元表示部138は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「評価結果3次元表示」ボタン等を選択することにより評価結果3次元表示部138が処理装置により記憶装置から読み出されて、処理装置により起動される。評価結果3次元表示部138は、起動されると、例えば、表示装置901に評価結果3次元グラフ要求画面を表示する。
S901において、評価結果3次元表示部138は、処理装置により、表示装置901に表示された評価結果3次元グラフ要求画面を介して、管理者400からの評価結果3次元グラフ表示要求を入力する。
S901において、評価結果3次元表示部138は、処理装置により、入力した評価結果3次元グラフ表示要求に含まれるセキュリティ施策IDを抽出する。ここで、対象セキュリティ施策としてセキュリティ施策Aが特定されたとする。また、評価結果3次元表示部138は、全ユーザについてのセキュリティ施策Aの運用状況評価結果を表示するものとする。すなわち、評価結果3次元表示部138は、S902からS904の処理を、全ユーザについて繰り返す。
S902において、評価結果3次元表示部138は、まず、対象ユーザを特定する。評価結果3次元表示部138は、例えば、セキュリティ管理装置100が予め備える登録ユーザ一覧等のデータにより、特定された対象セキュリティ施策に対応する対象ユーザを決定することができる。
S903において、評価結果3次元表示部138は、特定した対象ユーザの対象ユーザIDと抽出したセキュリティ施策IDをもとに、評価結果記憶部137を検索して、対象ユーザIDについてのセキュリティ施策Aの認知度の値と理解度の値と実施度の値とを抽出する。評価結果3次元表示部138は、処理装置により、認知度、理解度、実施度を軸とした3次元空間を生成して、生成した3次元空間上に抽出した対象ユーザIDにおけるセキュリティ施策Aの認知度の値と理解度の値と実施度の値とをプロットし、評価結果3次元グラフデータを生成する。
S904では、評価結果3次元表示部138は、処理装置により、全ユーザについて3次元空間へのプロットが完了したか否かを判定する。評価結果3次元表示部138は、全ユーザについて3次元空間へのプロットが完了したと判定した場合(S904でYES)、処理をS905に進める。評価結果3次元表示部138は、全ユーザについて3次元空間へのプロットが完了していないと判定した場合(S904でNO)、処理をS902に戻す。
S905では、評価結果3次元表示部138は、処理装置により、生成した評価結果3次元グラフデータをもとに、評価結果3次元グラフを表示装置901に表示する。
図12は、実施の形態2において表示装置に表示される評価結果3次元グラフの一例を示す図である。図12では、X軸に認知度、Y軸に理解度、Z軸に実施度を示している。また、3次元空間を複数の略直方体のブロック1〜27で区分けしているが、これらは実施の形態1の評価レベルと対応するとすることができる。
また、3次元空間上の1つのプロットは1つのユーザを示し、プロットの形・色の違いによりセキュリティ施策の種類を示している。
例えば、ブロック1に多くのユーザがプロットされているプロットa1は、セキュリティ施策Aを示すとする。ブロック1は、認知度、理解度、実施度ともに値が低いブロックであるので、セキュリティ施策Aについては「リスク高:実施されていない、あるいは、実施したことがないのでどのような施策があるのか認識していない」という評価を下すことができる。ブロック19に多くのユーザがプロットされているプロットa2は、セキュリティ施策Bを示すとする。ブロック19は、実施度は高いが、認知度と理解度とは値が低いブロックであるので、セキュリティ施策Bについては「リスク中:実施度はOKだが、施策をきちんと識別(認知)・理解していないので、セキュリティ施策変更に対応できないリスクが高い」という評価を下すことができる。
実施の形態2に係るセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、各ユーザの運用状況評価結果を評価結果3次元グラフで表示する処理を行う評価結果3次元表示部138を備えたことを特徴とする。
以上のように、本実施の形態に係るセキュリティ管理装置100によれば、ある情報セキュリティ施策に対する各ユーザの評価結果を3次元グラフ上に表示することにより、ユーザの評価結果の分布状況がわかりやすく表示される。また、各ユーザの評価結果が平均化されることないので、全体的に対策を採る必要があるのか、それとも特定のユーザだけに追加対策を施せばよいのかが判断しやすくなり、より適切な対策をとることが可能となる。
実施の形態3.
上述した実施の形態1及び実施の形態2のセキュリティ管理装置100では、運用状況評価結果を表示装置等に表示し、ユーザが適切なリスク対策を採用することができるようにすることを目的としたものである。本実施の形態では、セキュリティ管理装置100が、運用状況評価結果に基づいて、取得する評価式を改善する実施の形態について説明する。
上述した実施の形態1及び実施の形態2のセキュリティ管理装置100では、運用状況評価結果を表示装置等に表示し、ユーザが適切なリスク対策を採用することができるようにすることを目的としたものである。本実施の形態では、セキュリティ管理装置100が、運用状況評価結果に基づいて、取得する評価式を改善する実施の形態について説明する。
図13は、実施の形態3におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。図13は、図1に対応する図であり、図1と同様の機能を有する機能ブロックについては同一の符号を付しその説明を省略する。図13において、図1と異なる点は、相関分析部139を備える点である。
相関分析部139は、各評価尺度の評価結果の相関関係を分析し、その分析結果を評価式情報にフィードバックする機能を備えている。相関分析部139は、評価結果記憶部137に記憶された認知度の値と理解度の値と実施度の値とに基づいて、認知度の値と理解度の値との要否を処理装置により決定して要否情報として記憶装置(評価式情報記憶部122)に記憶する。相関分析部139は、要否情報設定部の一例である。
図14は、実施の形態3に係る相関分析部の相関分析処理の流れを示すフロー図である。図14を用いて、相関分析部139の相関分析処理の流れについて説明する。
相関分析部139は、例えば、評価部130の運用状況評価処理が終了した後に起動される。あるいは、ユーザ(管理者400)による評価式情報変更要求により起動されるとしてもよい。
S1201において、相関分析部139は、処理装置により、評価対象のセキュリティ施策IDを特定する。相関分析部139は、ユーザから入力された評価式情報変更要求から評価対象のセキュリティ施策IDを抽出する。あるいは、相関分析部139は、評価部130による運用状況評価処理の対象となったセキュリティ施策IDを記憶装置より取得して、評価対象のセキュリティ施策IDとして特定してもよい。ここでは、評価対象のセキュリティ施策IDは、セキュリティ施策Aを示すものとする。
S1202において、相関分析部139は、処理装置により、セキュリティ施策Aについての認知度の値、理解度の値、実施度の値を、評価結果記憶部137から取得する。
S1203において、相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であるか否かを判定する。相関分析部139は、例えば、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して十分であるか否かを判定する。相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であると判定した場合(S1203でYES)、処理はS1204に進む。相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分でないと判定した場合(S1203でNO)、処理はS1205に進む。
ここで、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であるということは、セキュリティ施策Aは組織内において成熟したことを意味する。このため、相関分析部139は、処理装置により、セキュリティ施策Aについては認知度や理解度のデータを取得不要であるという記憶装置に記憶されている認知度理解度不要フラグ(要否情報の一例)をONにする。認知度理解度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されているものとする。
S1205において、相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であるか否かを判定する。相関分析部139は、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であるか否かを判定する。相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であると判定した場合(S1205でYES)、処理はS1206に進む。相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」ではないと判定した場合(S1205でNO)、処理はS1207に進む。
S1206において、相関分析部139は、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であれば、今後は実施度と認知度のデータ取得を行い、理解度のデータを取得不要であるということを意味する理解度不要フラグ(要否情報の一例)をONにする。理解度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されている。
S1205でNOの場合(すなわち、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」ではない場合)は、実施度と認知度の尺度が十分かどうかについて確認する。S1207において、相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であるか否かを判定する。相関分析部139は、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であるか否かを判定する。相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であると判定した場合(S1207でYES)、処理はS1208に進む。相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」ではないと判定した場合(S1207でNO)、処理は終了する。
S1208において、相関分析部139は、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であれば、今後は実施度と理解度のデータ取得を行い、認知度のデータを取得不要であるということを意味する認知度不要フラグ(要否情報の一例)をONにする。認知度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されている。
相関分析部139は、S1207の結果も不十分ということであれば、全尺度についてのデータ取得は必要であることを意味するのであるから、処理を終了する。
以上のように、相関分析部139は、セキュリティ施策Aについての評価尺度の評価結果に基づいて、セキュリティ施策Aに対応する評価式情報記憶部122に設定されているフラグ(認知度理解度不要フラグ、理解度不要フラグ、認知度不要フラグ)(要否情報の一例)をONにする。
評価式設計部112(評価基準設定部の一例)は、評価式設計処理を行う場合に、評価式情報記憶部122に設定されているフラグ情報(要否情報)(認知度理解度不要フラグ、理解度不要フラグ、認知度不要フラグ)をもとにして再設計(再設定)する。例えば、評価式設計部112は、評価式設計処理を行う際に、認知度理解度不要フラグがONであった場合には、実施度の値のみに基づいて評価レベルを決定する評価式を生成する。あるいは、評価式設計部112は、評価式設計処理を行う際に、理解度不要フラグがONであった場合には、認知度の値と実施度の値とのみに基づいて評価レベルを決定する評価式を生成する。評価式設計部112は、評価式設計処理を行う際に、認知度不要フラグがONであった場合には、理解度の値と実施度の値とのみに基づいて評価レベルを決定する評価式を生成する。
実施の形態3におけるセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、各評価尺度の評価結果の相関関係を分析し、その分析結果を評価式情報にフィードバックする相関分析部139を備えることを特徴とする。
以上のように、本実施の形態のセキュリティ管理装置100によれば、運用条件評価結果からあるセキュリティ施策の成熟度を判断し、この成熟度によって評価式を変更(再設計)することにより、不要なデータ取得を削減できるため、過剰になりがちなセキュリティ運用管理負荷を軽減することが可能になる。
以上、実施の形態1〜3について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。
また、実施の形態1〜3の説明において説明した機能ブロックは、全ての機能ブロックをひとつの機能ブロックで実現しても構わない。あるいは、これらの機能ブロックを、どのような組み合わせで構成しても構わない。
100 セキュリティ管理装置、110 設計部、111 評価判定データ情報設計部、112 評価式設計部、113 リスク改善策設計部、120 評価情報記憶部、121 評価判定データ情報記憶部、122 評価式情報記憶部、123 リスク改善策情報記憶部、130 評価部、131 算出部、132 運用状況評価部、133 施策認知度分析部、134 施策理解度分析部、135 施策実施度分析部、136 評価ゾーン算出部、137 評価結果記憶部、138 評価結果3次元表示部、139 相関分析部、140 評価判定データ取得部、141 セキュリティ判定データ記憶部、150 根源リスク特定部、160 リスク対策提示部、400 管理者、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ装置、907 スキャナ装置、908 タッチパネル、910 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 ファクシミリ機、940 インターネット、941 ゲートウェイ、942 LAN。
Claims (10)
- 組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、
前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部と、
前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出部と、
前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価部と
を備えたことを特徴とするセキュリティ評価装置。 - 前記セキュリティ判定データ記憶部は、さらに、
前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、
前記算出部は、さらに、
前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、
前記運用状況評価部は、
前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項1に記載のセキュリティ評価装置。 - 前記セキュリティ評価装置は、さらに、
前記セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルと、前記複数の評価レベルの各評価レベルに対応させて各々設定された、理解度の値と認知度の値と実施度の値との組み合わせと、を前記運用状況評価基準として記憶装置に記憶する評価基準設定部を備え、
前記運用状況評価部は、
前記評価基準設定部により設定された前記運用状況評価基準に含まれる複数の評価レベルの中から、前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値との組み合わせが対応する評価レベルを処理装置により取得して、取得した前記評価レベルを前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項2に記載のセキュリティ評価装置。 - 前記評価基準設定部は、さらに、
前記複数の評価レベルの各評価レベルに対応させて、セキュリティ改善策を各々設定して前記運用状況評価基準とし、
前記運用状況評価部は、さらに、
取得した前記評価レベルとともに、当該評価レベルに対応するセキュリティ改善策を取得して、取得した前記評価レベルと前記セキュリティ改善策とを前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項3に記載のセキュリティ評価装置。 - 前記セキュリティ評価装置は、さらに、
認知度を示すX座標と理解度を示すY座標と実施度を示すZ座標とからなる3次元座標により表される3次元空間を表示装置に表示する評価結果表示部であって、前記3次元空間の中で、前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに対応する3次元座標の示す位置を、特定の表示により表示する評価結果表示部を備える
ことを特徴とする請求項2〜4のいずれかに記載のセキュリティ評価装置。 - 前記セキュリティ評価装置は、さらに、
前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、理解度の値と認知度の値との要否を示す要否情報を記憶装置に記憶する要否情報設定部を備え、
前記評価基準設定部は、
前記要否情報設定部により設定された前記要否情報に基づいて、前記運用状況評価基準を再設定する
ことを特徴とする請求項3に記載のセキュリティ評価装置。 - 組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置であって、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部を備えるセキュリティ評価装置のセキュリティ評価方法において、
算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出ステップと、
運用状況評価部が、前記算出ステップにより算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価ステップと
を備えたことを特徴とするセキュリティ評価装置のセキュリティ評価方法。 - 前記セキュリティ判定データ記憶部は、さらに、
前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、
前記算出ステップは、さらに、
前記算出部が、前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、
前記運用状況評価ステップは、
前記運用状況評価部が、前記算出ステップにより算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項7に記載のセキュリティ評価装置のセキュリティ評価方法。 - 組織におけるセキュリティ施策の運用状況を評価するコンピュータであるセキュリティ評価装置であって、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部を備えるコンピュータであるセキュリティ評価装置のセキュリティ評価プログラムにおいて、
算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出処理と、
運用状況評価部が、前記算出処理により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価処理と
をコンピュータであるセキュリティ評価装置に実行させることを特徴とするセキュリティ評価装置のセキュリティ評価プログラム。 - 前記セキュリティ判定データ記憶部は、さらに、
前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、
前記算出処理は、さらに、
前記算出部が、前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、
前記運用状況評価処理は、
前記運用状況評価部が、前記算出ステップにより算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項9に記載のセキュリティ評価装置のセキュリティ評価プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009101001A JP2010250677A (ja) | 2009-04-17 | 2009-04-17 | セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009101001A JP2010250677A (ja) | 2009-04-17 | 2009-04-17 | セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010250677A true JP2010250677A (ja) | 2010-11-04 |
Family
ID=43312912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009101001A Pending JP2010250677A (ja) | 2009-04-17 | 2009-04-17 | セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010250677A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020240641A1 (ja) * | 2019-05-27 | 2020-12-03 | 日本電信電話株式会社 | 指示出力装置、指示出力方法及びプログラム |
| JP7015889B1 (ja) | 2020-09-30 | 2022-02-14 | ビジョナル・インキュベーション株式会社 | リスク評価支援システム |
| CN116383856A (zh) * | 2023-05-24 | 2023-07-04 | 豪符密码检测技术(成都)有限责任公司 | 一种数据安全保护措施的安全性和有效性检测方法 |
-
2009
- 2009-04-17 JP JP2009101001A patent/JP2010250677A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020240641A1 (ja) * | 2019-05-27 | 2020-12-03 | 日本電信電話株式会社 | 指示出力装置、指示出力方法及びプログラム |
| JP7015889B1 (ja) | 2020-09-30 | 2022-02-14 | ビジョナル・インキュベーション株式会社 | リスク評価支援システム |
| JP2022057956A (ja) * | 2020-09-30 | 2022-04-11 | ビジョナル・インキュベーション株式会社 | リスク評価支援システム |
| CN116383856A (zh) * | 2023-05-24 | 2023-07-04 | 豪符密码检测技术(成都)有限责任公司 | 一种数据安全保护措施的安全性和有效性检测方法 |
| CN116383856B (zh) * | 2023-05-24 | 2023-08-29 | 豪符密码检测技术(成都)有限责任公司 | 一种数据安全保护措施的安全性和有效性检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20180191781A1 (en) | Data insights platform for a security and compliance environment | |
| JP5366864B2 (ja) | セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 | |
| WO2015025551A1 (ja) | 相関関係表示システム、相関関係表示方法、及び相関関係表示プログラム | |
| US8819442B1 (en) | Assessing risk associated with a computer technology | |
| EP3997657A1 (en) | Quantifiying privacy impact | |
| JP7255636B2 (ja) | 端末管理装置、端末管理方法、およびプログラム | |
| JP2010250677A (ja) | セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム | |
| AU2016223229B2 (en) | Remote supervision of client device activity | |
| JP2006201926A (ja) | 類似文書検索システム、類似文書検索方法、およびプログラム | |
| US10817821B2 (en) | Workflow control device and non-transitory computer-readable storage medium having stored therein workflow control program for controlling workflow regarding operation on electronic apparatus | |
| US10877946B1 (en) | Efficient incident response through tree-based visualizations of hierarchical clustering | |
| WO2012053041A1 (ja) | セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム | |
| CN108268192B (zh) | 列表操作方法和装置 | |
| JP2010237836A (ja) | セキュリティ監査時期導出装置及びセキュリティ監査時期導出プログラム及び記録媒体 | |
| JP4066033B1 (ja) | クライアント端末監視システム | |
| US20130086085A1 (en) | Computer product, analysis support method, analysis support apparatus, and system | |
| Giachetti et al. | Do I see what you see? Institutional quality, action observability, and multimarket contact in the global mobile phone industry | |
| JP5117555B2 (ja) | 脅威分析支援装置及び脅威分析支援プログラム | |
| JP2014219896A (ja) | 評価プログラムおよび評価装置 | |
| JP7409978B2 (ja) | リスク評価システムおよびリスク評価方法 | |
| Ohta | On the conditions under which audit risk increases with information | |
| JP4138859B1 (ja) | クライアント端末監視システム | |
| JP2009211128A (ja) | シミュレーション装置及びシミュレーション方法及びプログラム | |
| JP2006260341A (ja) | 対話行動評価装置および方法 | |
| KR20240055600A (ko) | 보안정보 태깅 시스템 및 태깅 방법 |