JP5145907B2 - Security operation management system, method, and program - Google Patents

Security operation management system, method, and program Download PDF

Info

Publication number
JP5145907B2
JP5145907B2 JP2007313083A JP2007313083A JP5145907B2 JP 5145907 B2 JP5145907 B2 JP 5145907B2 JP 2007313083 A JP2007313083 A JP 2007313083A JP 2007313083 A JP2007313083 A JP 2007313083A JP 5145907 B2 JP5145907 B2 JP 5145907B2
Authority
JP
Japan
Prior art keywords
service
measures
information
threat
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007313083A
Other languages
Japanese (ja)
Other versions
JP2009140041A (en
Inventor
啓 榊
一男 矢野尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007313083A priority Critical patent/JP5145907B2/en
Publication of JP2009140041A publication Critical patent/JP2009140041A/en
Application granted granted Critical
Publication of JP5145907B2 publication Critical patent/JP5145907B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、情報システムのセキュリティ施策を管理するセキュリティ運用管理システム、方法、及び、プログラムに関し、特に、管理対象である情報システムの構成情報とは独立して作成した脅威対策知識と、個々の情報システムの構成情報とに基づいて、情報システムのリスクを分析することを可能にしたセキュリティ運用管理システム、方法、及び、プログラムに関する。   The present invention relates to a security operation management system, method, and program for managing security measures of an information system, and in particular, threat countermeasure knowledge created independently from configuration information of an information system to be managed, and individual information The present invention relates to a security operation management system, method, and program capable of analyzing information system risk based on system configuration information.

企業活動はもちろん、一般消費者の活動においても、多くの活動が情報システム技術に対して高度に依存するようになってきている。特に重要な情報の伝達や保存には、情報システムを活用することが多く、情報システムでは、重要な情報を守るために必要な施策が施されている。情報を守るための施策は、一般に、セキュリティ施策又はセキュリティ対策と呼ばれ、セキュリティゲートなどの物理的な施策から、ネットワーク上の施策、サーバ、クライアント上の施策、及びコンテンツそのものに対する施策など、さまざまな階層での施策が提案されている。しかし、守りたい情報の特質や想定される脅威の特質にあわせて最適な組み合わせを決定し、施策を実施することは一般に困難である。   Many activities are becoming highly dependent on information system technology, not only in corporate activities but also in general consumer activities. In particular, an information system is often used for transmission and storage of important information, and the information system takes necessary measures to protect important information. Measures to protect information are generally called security measures or security measures, and range from physical measures such as security gates to measures on the network, servers, clients, and content itself. Hierarchical measures have been proposed. However, it is generally difficult to determine the optimal combination according to the characteristics of the information to be protected and the characteristics of the assumed threat and implement the measures.

また、情報システムの状態は、ユーザの動作や新たな脅威の出現などで日々変化する。そのため、各種のセキュリティ施策を実施したとしても、現在のシステムが十分に安全な状態にあるか否かを検証することは困難である。更には、セキュリティ施策が十分でないと判断できたとしても、その状態に合わせて最適なセキュリティ施策を実施することは困難である。セキュリティ対策システムは、例えば、特許文献1〜4、及び、非特許文献1に記載されている。   In addition, the state of the information system changes day by day due to user actions and emergence of new threats. Therefore, even if various security measures are implemented, it is difficult to verify whether or not the current system is sufficiently safe. Furthermore, even if it can be determined that the security measure is not sufficient, it is difficult to implement the optimal security measure in accordance with the state. Security countermeasure systems are described in, for example, Patent Documents 1 to 4 and Non-Patent Document 1.

特許文献1〜3に記載の技術では、情報システムのセキュリティ状態を、脅威によるリスク値などで評価し、リスク値を低減するための施策を決定する方式を採用する。上記方式では、例えば図15に示すように、予め脅威とセキュリティ施策とを対応付けた情報として故障の木解析(FTA)D2を用いる。それぞれのセキュリティ施策には、セキュリティ施策が脅威を低減させる程度、及び、その施策を実施するために必要なコストが定義されている。分析部301は、分析対象の情報システム302でセキュリティ施策が満たすべきポリシー(D1)に基づいて、脅威を一定レベル以下にするコスト最小な対策の組合せ(D3)を探索する。分析対象の情報システム302で既に施されているセキュリティ対策と、出力として得られたセキュリティ対策とを比較し、不足なセキュリティ対策を追加実行する。これにより、分析対象情報システム302の状態に合わせた最適な対策を実施することができる。   In the techniques described in Patent Documents 1 to 3, a method is adopted in which the security state of the information system is evaluated by a risk value due to a threat and a measure for reducing the risk value is determined. In the above method, for example, as shown in FIG. 15, failure tree analysis (FTA) D2 is used as information in which threats and security measures are associated with each other in advance. Each security measure defines the extent to which the security measure reduces threats and the cost required to implement the measure. Based on the policy (D1) that the security measure should satisfy in the information system 302 to be analyzed, the analysis unit 301 searches for the combination (D3) with the minimum cost that makes the threat less than a certain level. The security measures already taken in the information system 302 to be analyzed are compared with the security measures obtained as an output, and the insufficient security measures are additionally executed. As a result, it is possible to implement an optimum measure in accordance with the state of the analysis target information system 302.

ところで、上記技術では、リスク分析を実施する資源ごとに脅威対策知識を作成することが前提になっており、その資源を利用するためにユーザが利用するネットワーク構成や対策の実施位置などが暗黙の知識として脅威対策知識に反映されている。このため、脅威対策知識を作成するためには、分析対象の情報システムのトポロジー構造を熟知する必要があり、非常に高度な技術が必要となる。さらに、脅威対策知識を作成するためにはシステム構成情報が必要なため、リスク分析を実施する情報システムにあわせて、そのつど脅威対策知識を作成する必要があり、脅威対策知識を構築するために多大な工数が必要になる。   By the way, in the above technology, it is assumed that threat countermeasure knowledge is created for each resource for which risk analysis is performed, and the network configuration used by the user to use the resource and the location of the countermeasure are implicit. It is reflected in threat countermeasure knowledge as knowledge. For this reason, in order to create threat countermeasure knowledge, it is necessary to be familiar with the topology structure of the information system to be analyzed, and a very advanced technique is required. Furthermore, since the system configuration information is required to create threat countermeasure knowledge, it is necessary to create threat countermeasure knowledge for each information system that performs risk analysis. A lot of man-hours are required.

また、セキュリティ施策は他のサービスを阻害することが多いものの、上記方法では必要なサービスに合わせて対策を決定することが困難である。そこで、特許文献4に記載の技術では、必要なサービスを選択し、そのサービスにあわせたセキュリティ施策を実施する。この方式では、事前にサービスとそのサービスを実施するときに必要なセキュリティ施策とを対応付けて記憶しておき、サービスが実施されるときに、そのサービスに関連付けられたセキュリティ施策を同時に実施する。図16は、サービスとセキュリティ対策とを関連づけた表を示しており、音楽配信サービスやメール配信サービスに関連づけられたセキュリティ対策を例示している。   In addition, although security measures often obstruct other services, it is difficult to determine measures according to the required services with the above method. Therefore, in the technique described in Patent Document 4, a necessary service is selected and a security measure according to the service is implemented. In this method, a service and a security measure necessary for executing the service are stored in advance in association with each other, and when the service is executed, the security measure associated with the service is simultaneously executed. FIG. 16 shows a table in which services and security measures are associated with each other, and illustrates security measures associated with a music distribution service and a mail distribution service.

しかし、上記特許文献の方式では、サービスとセキュリティ施策との関係が固定されており、従って、情報システムの構成に合わせて、予め脅威分析をした上でサービスとセキュリティ施策とを関係付ける必要がある。この場合、個々の情報システムの構成情報に合わせた詳細な脅威分析をすることなく、セキュリティ施策を実施することはできない。   However, in the method of the above patent document, the relationship between the service and the security measure is fixed, and therefore it is necessary to relate the service and the security measure after performing a threat analysis in advance according to the configuration of the information system. . In this case, the security measure cannot be implemented without performing detailed threat analysis according to the configuration information of each information system.

非特許文献1は、機器やソフトウエアなどを含む資源とその利便性に影響を与えるセキュリティ施策とを関連づけ、セキュリティ施策の組み合わせによってどの程度利便性が低下するかを評価する方法を記載している。この方式では、例えば図17に示すように、脅威(リスク)と脅威に対抗するセキュリティ施策とを表現した脅威セキュリティ施策FTA(D4)と、サービスとそのサービスで必要なセキュリティ施策とを表現したサービスセキュリティ施策FTA(D5)とを予め作成し、分析対象情報システム402の情報収集部で、セキュリティ施策を種々に組み合せ、そのコストを分析部401で分析して、対策コスト(D6)を表示する。この方式では、図18に示すように、脅威セキュリティ施策FTA(脅威対策知識)D4は、リスクに対応するセキュリティ施策をツリーで辿り、各セキュリティ施策の実施・未実施により、リスクの発生確率がどの程度に変化するかを定義している。   Non-Patent Document 1 describes a method of associating resources including devices, software, and the like with security measures that affect the convenience, and evaluating how much convenience is reduced by a combination of security measures. . In this method, for example, as shown in FIG. 17, a threat security measure FTA (D4) expressing a threat (risk) and a security measure against the threat, and a service expressing a service and a security measure necessary for the service. The security measure FTA (D5) is created in advance, the information collection unit of the analysis target information system 402 combines various security measures, the cost is analyzed by the analysis unit 401, and the measure cost (D6) is displayed. In this method, as shown in FIG. 18, the threat security measure FTA (Threat Countermeasure Knowledge) D4 traces the security measure corresponding to the risk in a tree, and the risk occurrence probability is determined by the implementation / non-implementation of each security measure. Defines how much it changes.

サービスセキュリティ対策FTA(サービス対策知識)では、図19に示すように、各資源又はサービスと、セキュリティ対策実施に起因する資源の利便性への影響を表現し、対策実施によって利便性にどの程度の影響を与えるかを定義する。これにより、セキュリティ対策を実施すると、脅威への影響度(リスク低減)だけでなく、そのセキュリティ対策によって不便を強いられるサービスとその度合いも計算することができる。   In Service Security Measures FTA (Service Measures Knowledge), as shown in FIG. 19, the impact on the convenience of each resource or service and resources resulting from the implementation of security measures is expressed. Define what to do. As a result, when security measures are implemented, not only the degree of impact on threats (risk reduction) but also the services that are inconvenienced by the security measures and the degree thereof can be calculated.

しかし、非特許文献1には、複数の評価値を用いて、どのように対策を決定するかは開示されておらず、また、上記複数のFTAを用いて複数の値を最適化することは、前記特許文献1〜4に記載の技術では実現できない。そのため、上記特許文献1〜4及び非特許文献1に記載の技術を単純に組み合わせただけでは、複数の評価値を最適化するように対策の組合せを決定することはできない。   However, Non-Patent Document 1 does not disclose how to determine a countermeasure using a plurality of evaluation values, and it is not possible to optimize a plurality of values using the plurality of FTAs. The techniques described in Patent Documents 1 to 4 cannot be realized. For this reason, simply combining the techniques described in Patent Documents 1 to 4 and Non-Patent Document 1 cannot determine a combination of countermeasures so as to optimize a plurality of evaluation values.

非特許文献1では、各サービスについて特定のサーバやアプリケーションを指定し、そのサーバやアプリケーションを守るための対策を列挙することで、サービスの利便性を算出している。しかし、ユーザや管理者が必要なサービスを指定するときには、どのような機器が利用できるかではなく、その機器を用いるサービスが利用できるかどうかが重要である。例えば、場合によっては機器が変更になったとしても、その機器を用いて実施したい処理(例えばファイル共有など)ができれば十分目的を達成できるので、その変更自体は問題ではないことが多い。そのためには、機器そのものだけではなく、サービスの種別を制約として指定可能な対策立案が必要である。
特開2003−150748号公報 特開2005−301551号公報 特開2006−331383号公報 特開2006−338554号公報 2007年3月、「利便性とセキュリティの動的移行によるユーザ要求の自動交渉方式の検討」、社団法人情報処理学会 研究報告、加藤弘一他、pp219-224 In Non-Patent Document 1, service convenience is calculated by designating a specific server or application for each service and enumerating measures for protecting the server or application. However, when a user or administrator designates a required service, it is important not only what device can be used, but whether a service using the device can be used. For example, even if a device is changed in some cases, if the processing desired to be performed using the device (for example, file sharing) can be sufficiently achieved, the change itself is often not a problem. To that end, it is necessary to plan measures that can specify not only the device itself but also the type of service as a constraint.
JP 2003-150748 A JP-A-2005-301551 JP 2006-331383 A JP 2006-338554 A March 2007, "Examination of automatic negotiation method of user request by dynamic transition of convenience and security", Information Processing Society of Japan, Koichi Kato et al., Pp219-224

上記公知のセキュリティ運用管理手法では、セキュリティ対策の効果は、対策の実施場所とリスク評価対象の位置関係とに依存するため、リスク分析に用いる脅威対策知識中には、対策の実施場所を含むトポロジー情報を含む必要がある。従って、脅威対策知識は、リスク評価対象の情報システム毎に、関連する脅威と対策から作る必要がある。このため、脅威対策知識は、分析対象システム毎にそれ合わせて構築しなくてはならず、脅威対策知識を構築する際の負担が増大するという問題がある。   In the above known security operation management method, the effect of security measures depends on the location of the countermeasures and the location of the risk assessment target. Therefore, the threat countermeasure knowledge used for risk analysis includes the topology including the place of countermeasures. Information needs to be included. Therefore, it is necessary to create threat countermeasure knowledge from related threats and countermeasures for each information system subject to risk evaluation. For this reason, the threat countermeasure knowledge must be constructed in accordance with each analysis target system, and there is a problem that the burden of constructing the threat countermeasure knowledge increases.

本発明は、例えば脅威対策知識などの知識を用いたセキュリティ運用管理において、システム構成が異なる情報システムであっても、複数の情報システムに共通に適応可能な知識を用いることによって、そのような知識を構築する管理者の負担を軽減可能なセキュリティ運用管理システム、方法、及び、プログラムを提供することを目的とする。   For example, in the security operation management using knowledge such as threat countermeasure knowledge, the present invention uses such knowledge that can be commonly applied to a plurality of information systems even if the information systems have different system configurations. It is an object of the present invention to provide a security operation management system, method, and program that can reduce the burden on the administrator who constructs the system.

本発明は、第1の態様において、
利用機器特定手段が、
i)複数の情報システムに共通する、情報に対する脅威と、ii)該脅威における攻撃者であるユーザ及び攻撃対象者であるユーザと、iii)該脅威において利用されるサービスと、iv)該脅威に対抗して情報を守るための複数の対策と、v)該対策によって期待される効果の程度と、vi)複数の対策同士が、該複数の対策のうち、実施されている対策に関連付けられた効果の程度の和が、該複数の対策によって期待される効果の程度として取得される関係、又は、該複数の対策のうち、実施されている対策に関連付けられた効果の程度のうちの最大値が、該複数の対策によって期待される効果の程度として取得される関係により接続されていることを表す接続関係情報と、を関連付けて含む共通脅威対策知識が予め格納されている共通脅威対策知識格納手段から、管理対象である情報システムリスクの分析対象の脅威を選定し、選定した脅威による管理対象である情報システムのリスク値を求めるために、該脅威に関連付けられている攻撃者であるユーザ、攻撃対象者であるユーザ、及びサービスを取得し、
i)前記管理対象である情報システムを構成する機器、該機器のネットワーク上における接続関係、及び該機器を利用するユーザを表すトポロジー情報と、ii)管理対象である情報システムに含まれる機器、該機器に搭載されている対策、及び、該機器が提供するサービスの情報を含むアプリケーション情報と、を含む管理対象のシステム構成情報が予め格納されているシステム構成情報格納手段から前記トポロジー情報を読み出し、読み出した前記トポロジー情報に含まれている機器とその機器を使用するユーザの情報と、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザとあわせることにより、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザに対応する管理対象である情報システムのユーザを前記トポロジー情報から特定し、さらに、前記トポロジー情報から、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器を特定し、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられたサービスを特定し、前記アプリケーション情報から、特定したサービスを、前記管理対象である情報システム上で提供する機器を特定する、利用機器特定ステップと、
必要対策特定手段が、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられた対策を特定し、前記アプリケーション情報から、前記利用機器特定ステップにおいて特定された、攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器及びサービスを提供する機器に搭載されている対策を特定し、前記リスク分析対象の脅威に関連付けられた対策のうち、前記利用機器特定ステップで特定された前記管理対象である情報システム上の機器に実際に搭載されている対策を特定する必要対策特定ステップと、
リスク値計算式生成手段が、
前記必要対策特定ステップにおいて特定された管理対象である情報システム上の機器に搭載されている個々の対策による効果の程度を前記共通脅威対策知識に含まれている効果の程度から特定し、前記必要対策特定ステップにおいて特定された対策を前記共通脅威対策知識に含まれている前記接続関係情報に適用して前記必要対策特定ステップにおいて取得された対策によって期待される効果の程度の和又は効果の程度のうちの最大値を求めることにより、前記必要対策特定ステップにおいて特定された対策全体によって期待される効果の程度を表し、前記必要対策特定ステップにおいて特定された対策の実施状況の関数であるリスク値計算式を生成するリスク値計算式生成ステップと、
対策実施情報収集手段が、
前記必要対策特定ステップにおいて特定された対策の実施状況を前記管理対象から収集する対策実施情報収集ステップと、
リスク値計算手段が、
前記対策実施情報収集ステップにおいて収集された実施状況、前記リスク値計算式生成ステップにおいて生成されたリスク値計算式にあてはめることによりリスク値を計算するリスク値計算ステップと、
を備えることを特徴とするセキュリティ運用管理方法を提供する。 In the first aspect, the present invention provides the following:
Use device identification means
i) a threat to information common to a plurality of information systems, ii) a user who is an attacker and a user who is an attack target, iii) a service used in the threat, and iv) a threat to the threat Multiple countermeasures for protecting information against each other, v) degree of effect expected by the countermeasures, and vi) multiple countermeasures are associated with the implemented countermeasures among the plurality of countermeasures. A relationship in which the sum of the degree of effects is acquired as the degree of effect expected by the plurality of countermeasures, or the maximum value of the degrees of effects associated with the implemented countermeasure among the plurality of countermeasures However, the common threat countermeasure knowledge is stored in advance and includes connection relation information indicating that the connection is established by the relation acquired as the degree of effect expected by the plurality of countermeasures. From Threat knowledge storage means, selects a threat analyte information system risk to be managed, in order to determine the risk value of the information system is managed by the selected threat, attackers associated with the threat Users, users who are attack targets, and services,
i) devices constituting the information system to be managed, connection relations of the devices on the network, and topology information representing users who use the devices; ii) devices included in the information system to be managed; Read the topology information from the system configuration information storage means in which the system configuration information to be managed including the countermeasures mounted on the device and the application information including the information of the service provided by the device is stored in advance, by combining the equipment contained in the topology information read and user information using the device, the user is a user and attack who is the attacker associated with the threat of the risk analysis target, A user who is an attacker and a user who is an attack target associated with the threat of the risk analysis target Identifies the user corresponding to be managed information system from the topology information, further, from the topology information, the a user and attack who is the attacker associated with threat risk analysis target user utilizes Identify the equipment,
A use device that identifies a service associated with the threat of the risk analysis target from the common threat countermeasure knowledge, and identifies a device that provides the identified service on the information system that is the management target from the application information Specific steps,
Necessary measures identification means,
From the common threat countermeasure knowledge, a countermeasure associated with the threat of the risk analysis target is identified, and from the application information, the user who is the attacker and the user who is the attack target are identified in the using device identifying step. On the information system that is the management target identified in the utilization device identification step among the measures associated with the threat of the risk analysis target, by identifying the measures mounted on the device to be used and the device providing the service Necessary measures identification step to identify the measures actually installed in the equipment of
The risk value calculation formula generation means
The degree of effect of each countermeasure mounted on the device on the information system that is the management target identified in the necessary countermeasure identification step is identified from the degree of the effect included in the common threat countermeasure knowledge, and the necessary Applying the measures identified in the measure identification step to the connection relation information included in the common threat countermeasure knowledge, the sum of the effects expected by the measures acquired in the necessary measure identification step or the effect by obtaining the maximum value of the degree represents the degree of expected effects by the overall measures identified in the necessary measures specifying step, a function of the implementation of measures specified in the necessary measures specifying step risk A risk value calculation formula generation step for generating a value calculation formula,
Measure implementation information collection means
A countermeasure implementation information collection step for collecting the implementation status of the countermeasure identified in the necessary countermeasure identification step from the management target;
Risk value calculation means
A risk value calculation step of calculating a risk value by applying the implementation status collected in the countermeasure implementation information collection step to the risk value calculation formula generated in the risk value calculation formula generation step;
A security operation management method characterized by comprising:

本発明は、第2の態様において、
i)複数の情報システムに共通する、情報に対する脅威と、ii)該脅威における攻撃者であるユーザ及び攻撃対象者であるユーザと、iii)該脅威において利用されるサービスと、iv)該脅威に対抗して情報を守るための複数の対策と、v)該対策によって期待される効果の程度と、vi)複数の対策同士が、該複数の対策のうち、実施されている対策に関連付けられた効果の程度の和が、該複数の対策によって期待される効果の程度として取得される関係、又は、該複数の対策のうち、実施されている対策に関連付けられた効果の程度のうちの最大値が、該複数の対策によって期待される効果の程度として取得される関係により接続されていることを表す接続関係情報と、を関連付けて含む共通脅威対策知識が予め格納されている共通脅威対策知識格納手段から、管理対象である情報システムリスクの分析対象の脅威を選定し、選定した脅威による管理対象である情報システムのリスク値を求めるために、該脅威に関連付けられている攻撃者であるユーザ、攻撃対象者であるユーザ、及びサービスを取得し、
i)前記管理対象である情報システムを構成する機器、該機器のネットワーク上における接続関係、及び該機器を利用するユーザを表すトポロジー情報と、ii)管理対象である情報システムに含まれる機器、該機器に搭載されている対策、及び、該機器が提供するサービスの情報を含むアプリケーション情報と、を含む管理対象のシステム構成情報が予め格納されているシステム構成情報格納手段から前記トポロジー情報を読み出し、読み出した前記トポロジー情報に含まれている機器とその機器を使用するユーザの情報と、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザとあわせることにより、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザに対応する管理対象である情報システムのユーザを前記トポロジー情報から特定し、さらに、前記トポロジー情報から、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器を特定し、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられたサービスを特定し、前記アプリケーション情報から、特定したサービスを、前記管理対象である情報システム上で提供する機器を特定する、利用機器特定手段と、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられた対策を特定し、前記アプリケーション情報から、前記利用機器特定手段により特定された、攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器及びサービスを提供する機器に搭載されている対策を特定し、前記リスク分析対象の脅威に関連付けられた対策のうち、前記利用機器特定ステップで特定された前記管理対象である情報システム上の機器に実際に搭載されている対策を特定する必要対策特定手段と、
前記必要対策特定手段により特定された管理対象である情報システム上の機器に搭載されている個々の対策による効果の程度を前記共通脅威対策知識に含まれている効果の程度から特定し、前記必要対策特定手段により特定された対策を前記共通脅威対策知識に含まれている前記接続関係情報に適用して前記必要対策特定手段により取得された対策によって期待される効果の程度の和又は効果の程度のうちの最大値を求めることにより、前記必要対策特定手段により特定された対策全体によって期待される効果の程度を表し、前記必要対策特定手段により特定された対策の実施状況の関数であるリスク値計算式を生成するリスク値計算式生成手段と、
前記必要対策特定手段により特定された対策の実施状況を前記管理対象から収集する対策実施情報収集手段と、
前記対策実施情報収集手段により収集された実施状況、前記リスク値計算式生成手段により生成されたリスク値計算式にあてはめることによりリスク値を計算するリスク値計算手段と、を備えることを特徴とするセキュリティ運用管理システムを提供する。 In the second aspect, the present invention provides the following:
i) a threat to information common to a plurality of information systems, ii) a user who is an attacker and a user who is an attack target, iii) a service used in the threat, and iv) a threat to the threat Multiple countermeasures for protecting information against each other, v) degree of effect expected by the countermeasures, and vi) multiple countermeasures are associated with the implemented countermeasures among the plurality of countermeasures. A relationship in which the sum of the degree of effects is acquired as the degree of effect expected by the plurality of countermeasures, or the maximum value of the degrees of effects associated with the implemented countermeasure among the plurality of countermeasures However, the common threat countermeasure knowledge is stored in advance and includes connection relation information indicating that the connection is established by the relation acquired as the degree of effect expected by the plurality of countermeasures. From Threat knowledge storage means, selects a threat analyte information system risk to be managed, in order to determine the risk value of the information system is managed by the selected threat, attackers associated with the threat Users, users who are attack targets, and services,
i) devices constituting the information system to be managed, connection relations of the devices on the network, and topology information representing users who use the devices; ii) devices included in the information system to be managed; Read the topology information from the system configuration information storage means in which the system configuration information to be managed including the countermeasures mounted on the device and the application information including the information of the service provided by the device is stored in advance, by combining the equipment contained in the topology information read and user information using the device, the user is a user and attack who is the attacker associated with the threat of the risk analysis target, A user who is an attacker and a user who is an attack target associated with the threat of the risk analysis target Identifies the user corresponding to be managed information system from the topology information, further, from the topology information, the a user and attack who is the attacker associated with threat risk analysis target user utilizes Identify the equipment,
A use device that identifies a service associated with the threat of the risk analysis target from the common threat countermeasure knowledge, and identifies a device that provides the identified service on the information system that is the management target from the application information Specific means,
From the common threat countermeasure knowledge, a countermeasure associated with the threat of the risk analysis target is identified, and from the application information, the user who is the attacker and the user who is the attack target are identified by the using device identifying means. On the information system that is the management target identified in the utilization device identification step among the measures associated with the threat of the risk analysis target, by identifying the measures mounted on the device to be used and the device providing the service Necessary measures identifying means to identify the measures actually installed in the equipment,
The degree of effect of each countermeasure mounted on the device on the information system that is the management target identified by the necessary countermeasure identification means is identified from the degree of the effect included in the common threat countermeasure knowledge, and the necessary is applied to the connection relationship information included measures specified in the common threat knowledge by measures specific means have been measures is the degree of the effect of the sum or effect expected by the acquisition by the necessary measures specifying means by obtaining the maximum value of the degree represents the degree of expected effects by the overall measures identified by the necessary measures specifying means, is a function of the implementation of measures that have been identified by the necessary measures specifying means risks A risk value calculation formula generating means for generating a value calculation formula;
Countermeasure implementation information collecting means for collecting the implementation status of the countermeasure identified by the necessary countermeasure identifying means from the management target;
And characterized in that it comprises, a risk value calculation means for calculating the risk value by fitting the implementation collected by the countermeasure execution information collection means, the risk value calculation formula that is generated by the risk value calculation formula generating means A security operation management system is provided.

本発明は、第3の態様において、情報システムのセキュリティを運用管理するコンピュータのためのプログラムであって、前記コンピュータを、
i)複数の情報システムに共通する、情報に対する脅威と、ii)該脅威における攻撃者であるユーザ及び攻撃対象者であるユーザと、iii)該脅威において利用されるサービスと、iv)該脅威に対抗して情報を守るための複数の対策と、v)該対策によって期待される効果の程度と、vi)複数の対策同士が、該複数の対策のうち、実施されている対策に関連付けられた効果の程度の和が、該複数の対策によって期待される効果の程度として取得される関係、又は、該複数の対策のうち、実施されている対策に関連付けられた効果の程度のうちの最大値が、該複数の対策によって期待される効果の程度として取得される関係により接続されていることを表す接続関係情報と、を関連付けて含む共通脅威対策知識が予め格納されている共通脅威対策知識格納手段から、管理対象である情報システムリスクの分析対象の脅威を選定し、選定した脅威による管理対象である情報システムのリスク値を求めるために、該脅威に関連付けられている攻撃者であるユーザ、攻撃対象者であるユーザ、及びサービスを取得し、
i)前記管理対象である情報システムを構成する機器、該機器のネットワーク上における接続関係、及び該機器を利用するユーザを表すトポロジー情報と、ii)管理対象である情報システムに含まれる機器、該機器に搭載されている対策、及び、該機器が提供するサービスの情報を含むアプリケーション情報と、を含む管理対象のシステム構成情報が予め格納されているシステム構成情報格納手段から前記トポロジー情報を読み出し、読み出した前記トポロジー情報に含まれている機器とその機器を使用するユーザの情報と、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザとあわせることにより、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザに対応する管理対象である情報システムのユーザを前記トポロジー情報から特定し、さらに、前記トポロジー情報から、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器を特定し、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられたサービスを特定し、前記アプリケーション情報から、特定したサービスを、前記管理対象である情報システム上で提供する機器を特定する、利用機器特定手段、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられた対策を特定し、前記アプリケーション情報から、前記利用機器特定手段により特定された、攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器及びサービスを提供する機器に搭載されている対策を特定し、前記リスク分析対象の脅威に関連付けられた対策のうち、前記利用機器特定ステップで特定された前記管理対象である情報システム上の機器に実際に搭載されている対策を特定する必要対策特定手段、
前記必要対策特定手段により特定された管理対象である情報システム上の機器に搭載されている個々の対策による効果の程度を前記共通脅威対策知識に含まれている効果の程度から特定し、前記必要対策特定手段により特定された対策を前記共通脅威対策知識に含まれている前記接続関係情報に適用して前記必要対策特定手段により取得された対策によって期待される効果の程度の和又は効果の程度のうちの最大値を求めることにより、前記必要対策特定手段により特定された対策全体によって期待される効果の程度を表し、前記必要対策特定手段により特定された対策の実施状況の関数であるリスク値計算式を生成するリスク値計算式生成手段、
前記必要対策特定手段により特定された対策の実施状況を前記管理対象から収集する対策実施情報収集手段、
前記対策実施情報収集ステップにおいて収集された実施状況、前記リスク値計算式生成手段により生成されたリスク値計算式にあてはめることによりリスク値を計算するリスク値計算手段、
として機能させるためのプログラムを提供する。 In a third aspect, the present invention provides a program for a computer that operates and manages security of an information system, the computer comprising:
i) a threat to information common to a plurality of information systems, ii) a user who is an attacker and a user who is an attack target, iii) a service used in the threat, and iv) a threat to the threat Multiple countermeasures for protecting information against each other, v) degree of effect expected by the countermeasures, and vi) multiple countermeasures are associated with the implemented countermeasures among the plurality of countermeasures. A relationship in which the sum of the degree of effects is acquired as the degree of effect expected by the plurality of countermeasures, or the maximum value of the degrees of effects associated with the implemented countermeasure among the plurality of countermeasures However, the common threat countermeasure knowledge is stored in advance and includes connection relation information indicating that the connection is established by the relation acquired as the degree of effect expected by the plurality of countermeasures. From Threat knowledge storage means, selects a threat analyte information system risk to be managed, in order to determine the risk value of the information system is managed by the selected threat, attackers associated with the threat Users, users who are attack targets, and services,
i) devices constituting the information system to be managed, connection relations of the devices on the network, and topology information representing users who use the devices; ii) devices included in the information system to be managed; Read the topology information from the system configuration information storage means in which the system configuration information to be managed including the countermeasures mounted on the device and the application information including the information of the service provided by the device is stored in advance, by combining the equipment contained in the topology information read and user information using the device, the user is a user and attack who is the attacker associated with the threat of the risk analysis target, A user who is an attacker and a user who is an attack target associated with the threat of the risk analysis target Identifies the user corresponding to be managed information system from the topology information, further, from the topology information, the a user and attack who is the attacker associated with threat risk analysis target user utilizes Identify the equipment,
A use device that identifies a service associated with the threat of the risk analysis target from the common threat countermeasure knowledge, and identifies a device that provides the identified service on the information system that is the management target from the application information Specific means,
From the common Threat knowledge, the identified measures associated with the threat of risk analysis target, from the application information, the is more particularly to the use device specifying means, a user and attack who is the attacker user The information system which identifies the measures mounted on the device used by the device and the device which provides the service, and is the management target identified in the utilized device identification step among the measures associated with the threat of the risk analysis target Necessary measures identification means to identify measures actually mounted on the above equipment,
The degree of effect of each countermeasure mounted on the device on the information system that is the management target identified by the necessary countermeasure identification means is identified from the degree of the effect included in the common threat countermeasure knowledge, and the necessary is applied to the connection relationship information included measures specified in the common threat knowledge by measures specific means have been measures is the degree of the effect of the sum or effect expected by the acquisition by the necessary measures specifying means by obtaining the maximum value of the degree represents the degree of expected effects by the overall measures identified by the necessary measures specifying means, is a function of the implementation of measures that have been identified by the necessary measures specifying means risks Risk value calculation formula generating means for generating a value calculation formula,
Measure implementation information collection means for collecting the implementation status of the measures identified by the necessary measure identification means from the management target;
Risk value calculation means for calculating a risk value by applying the implementation status collected in the countermeasure implementation information collection step to the risk value calculation formula generated by the risk value calculation formula generation means;
Provide a program to function as

本発明のセキュリティ運用管理システム、方法、及び、プログラムでは、複数の情報システムに共通に適応可能な脅威対策知識、又は、共通サービス対策知識を用いることによって、リスク分析対象となる個々の情報システムの構成情報に合わせて脅威対策知識、又は、共通サービス対策知識を構築する必要性を省いたので、情報システムの管理者の負担を軽減する効果がある。   In the security operation management system, method, and program of the present invention, by using threat countermeasure knowledge or common service countermeasure knowledge that can be commonly applied to a plurality of information systems, individual information systems that are subject to risk analysis are used. Since the necessity of constructing threat countermeasure knowledge or common service countermeasure knowledge in accordance with the configuration information is eliminated, there is an effect of reducing the burden on the information system administrator.

以下本発明の実施形態について図面を参照して詳細に説明する。図1のブロック図を参照すると、本発明の第1の実施形態に係るセキュリティ運用管理システムは、共通脅威対策知識格納手段100と、システム構成情報収集手段101と、リスク値計算システム構成情報反映手段102と、対策実施情報収集手段103と、リスク分析手段104と、リスク提示手段105と、システム構成情報格納手段106とを備える。各手段は、1つ以上のコンピュータに搭載されるプログラムによって実現される。これら手段は、それぞれ次のように動作する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Referring to the block diagram of FIG. 1, the security operation management system according to the first embodiment of the present invention includes a common threat countermeasure knowledge storage unit 100, a system configuration information collection unit 101, and a risk value calculation system configuration information reflection unit. 102, countermeasure implementation information collection means 103, risk analysis means 104, risk presentation means 105, and system configuration information storage means 106. Each means is realized by a program installed in one or more computers. Each of these means operates as follows.

共通脅威対策知識格納手段100は、磁気ディスク、光ディスクなどの記録媒体であって、システム構成が異なるシステムであっても有効な共通脅威対策知識が格納されている。共通脅威対策知識は、脅威の種類とそれに対応する対策、及び、対策が実施されたときの効果の程度が、FTAとして示されている。共通脅威対策知識の具体例を図2に示す。共通脅威対策知識は、ある特定の脅威(リスク)、例えば“情報が漏洩する”をトップ事象として作成され、その情報の漏洩を引き起こすユーザ(e1,e2)、情報の漏洩で利益を得るユーザ(u1〜u3)、及び、関係するユーザが利用する物理的な資源及びサービス(s1〜s3)毎に、その資源やサービスで発生する基本事象である攻撃手段(w1〜w4)が示されている。更に、得られた基本事象である各攻撃手段(w1〜w4)に対して採用できる対策の種類(k1〜k12)、及び、その対策機能を採用した場合の効果の程度が示されている。対策の種類は、以下では対策機能とも呼ばれ、具体的な対策ではなく、その対策が果たす機能を示すものである。図2の共通脅威対策知識は、例えば、トップ事象の脅威の種類からFTAで辿られた基本事象である個々の脅威(攻撃手段)について、そのリスク値を計算するために用いられる。   The common threat countermeasure knowledge storage means 100 is a recording medium such as a magnetic disk or an optical disk, and stores common threat countermeasure knowledge that is effective even for systems having different system configurations. In the common threat countermeasure knowledge, the types of threats, countermeasures corresponding to the threats, and the degree of effect when the countermeasures are implemented are indicated as FTA. A specific example of common threat countermeasure knowledge is shown in FIG. The common threat countermeasure knowledge is created with a specific threat (risk), for example, “information leaks” as a top event, causing users to leak information (e1, e2), and users who benefit from information leaks ( For each physical resource and service (s1 to s3) used by the related users u1 to u3), attack means (w1 to w4) that are basic events that occur in the resource or service are shown. . Furthermore, the types of countermeasures (k1 to k12) that can be adopted for each of the attack means (w1 to w4), which are the basic events obtained, and the degree of effect when the countermeasure function is adopted are shown. The types of countermeasures are also referred to as countermeasure functions below, and indicate not the specific countermeasures but the functions that the countermeasures fulfill. The common threat countermeasure knowledge in FIG. 2 is used, for example, to calculate the risk value of each threat (attack means) that is a basic event traced by FTA from the type of threat of the top event.

図2において、“or”で互いに接続された対策機能は、それらの対策機能が重ね合わせられることを示しており、また、“max”で互いに接続された対策は実施数に関係なく、それらの対策の何れによっても最大の効果が得られることを示している。図2の脅威対策知識は、特定の情報システムに向けたものではなく、何れの情報システムであっても、ある特定のリスクについて、何れの情報システムにおいても当てはまる基本リスク、その対策、及び、対策による効果が示されている。   In FIG. 2, the countermeasure functions connected to each other by “or” indicate that the countermeasure functions are superimposed, and the countermeasure functions connected to each other by “max” are those regardless of the number of implementations. It shows that the maximum effect can be obtained by any of the measures. The threat countermeasure knowledge shown in FIG. 2 is not intended for a specific information system. For any information system, a basic risk that applies to any information system, its countermeasure, and countermeasures. The effect of is shown.

システム構成情報収集手段101は、セキュリティ運用管理対象のシステム構成情報を収集し、これをシステム構成情報格納手段106に格納する。システム構成情報は、ネットワーク構成情報と、アプリケーション情報とからなる。ネットワーク構成情報の具体例を図3に、アプリケーション情報の具体例を図4に示す。ネットワーク構成情報は、情報システム内に設備されたサーバ、クライアント、ネットワーク機器、及び、それらに搭載されるソフトウェアを含む資源情報と、各資源のネットワーク上における接続関係の情報とを含む。アプリケーション情報は、各機器(p1〜p9)と、その機器上で実施している対策(c1〜c22,c25〜c29)と、その対策の種類(k1〜k6、k10,k12)と、その機器で利用されるサービス(s2,s3)及び関連する機器とを対応させた情報を含む。   The system configuration information collecting unit 101 collects system configuration information subject to security operation management and stores it in the system configuration information storage unit 106. The system configuration information includes network configuration information and application information. A specific example of network configuration information is shown in FIG. 3, and a specific example of application information is shown in FIG. The network configuration information includes resource information including servers, clients, network devices and software installed in the information system, and information on connection relations of the resources on the network. Application information includes each device (p1 to p9), countermeasures (c1 to c22, c25 to c29) implemented on the device, types of countermeasures (k1 to k6, k10, k12), and the devices Information associated with the services (s2, s3) and related devices used in the system.

リスク値計算システム構成情報反映手段102は、システム構成に依存しない共通脅威対策知識からリスク値を計算するために、セキュリティ運用管理を実施する対象となる情報システムのシステム構成情報を共通脅威対策知識に反映し、リスク値計算式を生成する。リスク値計算式を生成するために、対象となる情報システムのシステム構成情報と共通脅威対策知識とから、分析対象のリスクにおける攻撃者と利用するサービスとを特定し、攻撃者がサービスを利用する時の通信経路を、システム構成情報のネットワーク情報に基づいて決定する。決定した通信経路上の機器に搭載されている対策のうち、分析対象の脅威に関連付けられている対策機能に一致するものを取り出す。このようにして、取り出された対策が、リスク値の分析に必要な対策となる。   The risk value calculation system configuration information reflecting means 102 uses the system configuration information of an information system to be subjected to security operation management as common threat countermeasure knowledge in order to calculate the risk value from the common threat countermeasure knowledge independent of the system configuration. Reflect and generate risk value calculation formula. In order to generate the risk value formula, the attacker uses the service at the risk of the analysis target and identifies the service to be used from the system configuration information and common threat countermeasure knowledge of the target information system, and the attacker uses the service The communication path at the time is determined based on the network information of the system configuration information. Among measures mounted on the devices on the determined communication path, those that match the countermeasure function associated with the threat to be analyzed are extracted. Thus, the taken-out countermeasure becomes a countermeasure necessary for the analysis of the risk value.

対策実施情報収集手段103は、リスク値計算システム構成情報反映手段102が特定した対策(c1,c2...)について、実際に対策が実施されているかどうかをセキュリティ運用管理対象システムから収集する。リスク分析手段104は、対策実施情報収集手段103が収集した対策の実施の有無を、共通脅威対策知識に当てはめてリスク値を計算する。ここで、リスク分析手段104は、脅威対策知識格納手段100に格納された脅威対策知識を用いてリスク値を分析する。リスク提示手段105は、リスク分析手段104が分析した結果を表示する表示装置又は印字手段として構成される。   The countermeasure implementation information collection unit 103 collects from the security operation management target system whether the countermeasures (c1, c2...) Identified by the risk value calculation system configuration information reflection unit 102 are actually implemented. The risk analysis unit 104 calculates a risk value by applying the presence / absence of implementation of the countermeasure collected by the countermeasure implementation information collecting unit 103 to the common threat countermeasure knowledge. Here, the risk analysis unit 104 analyzes the risk value using the threat countermeasure knowledge stored in the threat countermeasure knowledge storage unit 100. The risk presentation unit 105 is configured as a display device or a printing unit that displays the result analyzed by the risk analysis unit 104.

次に、図5を参照し、図1の実施形態に係るセキュリティ運用管理システムにおける処理について詳細に説明する。まず、システム構成情報収集手段101が、管理対象となる情報システムのシステム構成情報を収集する(ステップA1)。次に、リスク値計算システム構成情報反映手段102が、リスク値を計算する分析対象の脅威(リスク)、例えば“情報の漏洩”のFTAにシステム構成情報をあてはめ、リスク分析に必要な対策を決定する(ステップA2)。   Next, processing in the security operation management system according to the embodiment of FIG. 1 will be described in detail with reference to FIG. First, the system configuration information collecting unit 101 collects system configuration information of an information system to be managed (step A1). Next, the risk value calculation system configuration information reflection means 102 assigns the system configuration information to the analysis target threat (risk) for which the risk value is calculated, for example, the FTA of “information leakage”, and determines the measures necessary for risk analysis. (Step A2).

次いで、対策実施情報収集手段103が、セキュリティ運用管理対象システムから、ステップA2で取り出した対策の実施の有無を収集する(ステップA3)。さらに、リスク分析手段104が、対策実施情報収集手段103が収集した対策の実施状況を共通脅威対策知識にあてはめ、リスク値を計算する(ステップA4)。これらステップを分析対象となる脅威がなくなるまで繰り返す(ステップA5)。最後に、リスク提示手段105が、計算したリスク値を表示する(ステップA6)。   Next, the countermeasure implementation information collecting unit 103 collects the presence / absence of implementation of the countermeasure extracted in step A2 from the security operation management target system (step A3). Further, the risk analysis unit 104 applies the countermeasure implementation status collected by the countermeasure implementation information collection unit 103 to the common threat countermeasure knowledge, and calculates a risk value (step A4). These steps are repeated until there is no threat to be analyzed (step A5). Finally, the risk presentation unit 105 displays the calculated risk value (step A6).

本実施形態では、予めシステム構成とは独立に用意された共通脅威対策知識を用い、分析対象の情報システムのシステム構成情報にあわせて、分析対象となる対策を決定し、情報システムで実施されている対策の有無に従ってリスクを分析するという処理を行う。このため、個々の情報システムに合わせた個別の脅威対策知識を構築する必要がないので、脅威対策知識の作成に必要な工数を減らすことができる。   In this embodiment, common threat countermeasure knowledge prepared independently of the system configuration is used in advance, the countermeasure to be analyzed is determined according to the system configuration information of the information system to be analyzed, and is implemented in the information system. The risk analysis is performed according to the presence or absence of measures. For this reason, since it is not necessary to construct individual threat countermeasure knowledge according to individual information systems, it is possible to reduce the man-hours necessary for creating threat countermeasure knowledge.

次に、本発明の第2の実施形態について図面を参照して説明する。図6を参照すると、本発明の第2の実施形態に係るセキュリティ運用管理システムは、第1の実施形態の構成において、リスク分析手段104に代えて、対策立案手段203を備え、さらに、共通サービス対策知識格納手段200と、サービス制約ポリシー入力手段202と、対策実行手段204と、サービス対策システム構成情報反映手段201とを備える。   Next, a second embodiment of the present invention will be described with reference to the drawings. Referring to FIG. 6, the security operation management system according to the second exemplary embodiment of the present invention includes a countermeasure planning unit 203 instead of the risk analysis unit 104 in the configuration of the first exemplary embodiment, and further includes a common service. A countermeasure knowledge storage unit 200, a service constraint policy input unit 202, a countermeasure execution unit 204, and a service countermeasure system configuration information reflection unit 201 are provided.

共通サービス対策知識格納手段200には、システム構成が変わっても適用可能なサービスの内容と、そのサービスを妨害する脅威に対抗する対策とが関連付けられて格納されている。共通サービス対策知識の具体例を図10に示す。共通サービス対策知識は、サービスと、そのサービスを阻害する対策及びその程度とを関連づけて示している。   The common service countermeasure knowledge storage means 200 stores the contents of a service that can be applied even if the system configuration is changed and a countermeasure against a threat that interferes with the service in association with each other. A specific example of common service countermeasure knowledge is shown in FIG. The common service countermeasure knowledge indicates the service in association with the countermeasure and the degree of inhibiting the service.

サービス対策システム構成情報反映手段201は、共通サービス対策知識に、セキュリティ運用管理対象のシステム構成情報を反映し、セキュリティ運用管理対象システムの構成情報にあわせたサービス制約式を作成する。サービス制約ポリシー入力手段202は、セキュリティ運用管理システムの対策立案を実施するときに、管理者により決定されたサービス制約ポリシーを入力する。サービス制約ポリシーの具体例を図11に示す。サービス制約ポリシーは、指定されたサービスの種別について、そのサービスを利用するユーザ、及び、情報システムにおける具体的なサービス内容を特定し、且つ、そのサービスが必須であるか否かを、情報システムの運用ポリシーとして指定する。   The service countermeasure system configuration information reflection unit 201 reflects the system configuration information of the security operation management target in the common service countermeasure knowledge, and creates a service constraint expression that matches the configuration information of the security operation management target system. The service constraint policy input unit 202 inputs the service constraint policy determined by the administrator when implementing countermeasure planning for the security operation management system. A specific example of the service restriction policy is shown in FIG. The service restriction policy specifies the user who uses the service and the specific service contents in the information system for the specified service type, and whether the service is essential or not. Specify as an operation policy.

サービス対策システム構成情報反映手段201は、サービス制約ポリシー入力手段202で入力されたサービスについて、そのサービスの種別とサービスを利用するユーザとから、サービスを利用するために必要な機器を、システム構成情報格納手段106に格納されたシステム構成情報を参照して決定する。さらに、サービス制約ポリシーとして入力されたサービス種別を利用するために必要なサービス(サービス機能)を阻害する対策機能と、共通サービス対策知識格納手段200に格納された共通サービス対策知識とから、ポリシーで指定されたサービス種別が利用するサービスを阻害する対策を決定し、サービスの利用の可否を表す制約式を作成する。   The service countermeasure system configuration information reflection unit 201 converts the service input by the service constraint policy input unit 202 from the service type and the user who uses the service to the device necessary for using the service, as system configuration information. The determination is made with reference to the system configuration information stored in the storage means 106. Further, the policy is determined from the countermeasure function that obstructs the service (service function) necessary for using the service type input as the service constraint policy and the common service countermeasure knowledge stored in the common service countermeasure knowledge storage means 200. A measure that inhibits the service used by the specified service type is determined, and a constraint expression indicating whether the service can be used is created.

対策立案手段203では、リスク値計算システム構成情報反映手段102が作成したリスク値の計算式と、サービス対策システム構成情報反映手段201が作成したサービスの利用の可否を表す制約式とを用いて、脅威の発現を抑えつつ、サービス制約ポリシー入力手段202を用いて入力されたポリシーを満たす対策を立案する。対策実行手段204では、対策立案手段203で立案された対策を実行する。対策実施情報収集手段103は、例えば、各機器にそのような対策機能が付加されているか否か、或いは、対策機能が付加されていてもその機能が有効に発揮されているか否かを判断し、システム構成情報にその情報を付け加える。   The countermeasure planning unit 203 uses the risk value calculation formula created by the risk value calculation system configuration information reflecting unit 102 and the constraint formula representing the availability of the service created by the service countermeasure system configuration information reflecting unit 201. Measures that satisfy the policy input using the service constraint policy input unit 202 while suppressing the occurrence of a threat are devised. The countermeasure execution means 204 executes the countermeasure planned by the countermeasure planning means 203. The countermeasure implementation information collecting unit 103 determines, for example, whether or not such a countermeasure function is added to each device, or whether or not the function is effectively exhibited even if the countermeasure function is added. The information is added to the system configuration information.

次に、第2の実施形態のセキュリティ運用管理システムの処理を、図6及び図7を参照して詳細に説明する。本実施形態では、まず、第1の実施形態と同様に、セキュリティ運用管理対象システムのシステム構成情報を収集し、対策実施状況を含んだシステム構成情報を作成する(ステップB1)。さらに、共通脅威対策知識に、システム構成情報をあてはめて、リスク値の計算に必要な対策を決定する(ステップB2)。このとき、システム構成情報から抜き出した対策を、共通脅威対策知識にあてはめて、リスク値を計算するために必要な計算式を作成する。次に、サービス制約ポリシー入力手段202を用いて、サービス制約ポリシーを入力し、サービスの優先順位を入力する(ステップB3)。サービス制約ポリシーでは、図11に示すような、特定のサービス種別に関わる社内又は社外の1人以上のユーザと、そのサービスを実現するサービス機能及びその必要性とを入力する。さらに、共通サービス対策知識のうち、サービス制約ポリシー入力手段202で指定されたサービス種別のユーザ及びサービス機能をシステム構成情報にあてはめ、サービスを妨害する対策機能を決定し、サービス制約ポリシーに基づく制約式を作成する(ステップB4)。   Next, processing of the security operation management system of the second exemplary embodiment will be described in detail with reference to FIGS. In the present embodiment, first, similarly to the first embodiment, system configuration information of the security operation management target system is collected, and system configuration information including a countermeasure implementation status is created (step B1). Further, system configuration information is applied to the common threat countermeasure knowledge to determine a countermeasure necessary for calculating the risk value (step B2). At this time, the countermeasure extracted from the system configuration information is applied to the common threat countermeasure knowledge, and a calculation formula necessary for calculating the risk value is created. Next, using the service constraint policy input unit 202, a service constraint policy is input, and the priority order of services is input (step B3). In the service restriction policy, as shown in FIG. 11, one or more users inside or outside the company related to a specific service type, a service function for realizing the service, and the necessity thereof are input. Further, among the common service countermeasure knowledge, a user and a service function of the service type specified by the service constraint policy input unit 202 are applied to the system configuration information, a countermeasure function that interferes with the service is determined, and a constraint expression based on the service constraint policy Is created (step B4).

次いで、脅威に関わるサービスの制約式に基づいて制約プログラミングを用いて、対策立案を実施する(ステップB5)。このとき、リスク値が最小となるように対策立案を実施してもよく、或いは、リスク値の目標値を予め与え、その値を満たすように制約プログラミングを用いて対策立案しても良い。次いで、対策実行手段204を用いて立案した対策を実行する(ステップB6)。このとき、自動実行できない場合には、対策を管理者に提示するだけでもよい。   Next, countermeasure planning is performed using constraint programming based on the constraint equation of the service related to the threat (step B5). At this time, countermeasure planning may be performed so that the risk value is minimized, or a countermeasure value may be formulated using constraint programming so as to satisfy the target value of the risk value in advance. Next, the countermeasure designed by the countermeasure execution means 204 is executed (step B6). At this time, if automatic execution is not possible, the countermeasure may be presented to the administrator.

本実施形態では、サービス制約ポリシーと、共通サービス対策知識と、システム構成情報とから、サービス制約を指定する制約式を作成し、管理者が指定したサービス制約を満たすように対策立案する。このため、管理者は、システム構成を詳しく知ることなく簡単にサービス制約を指定することが可能になる。また、共通サービス対策知識は、システム構成に依存せず、異なるシステム構成情報を持つ情報システムであっても、共通サービス対策知識を作り変えることなく対策立案ができ、対策の作成に必要な管理者の工数を大幅に減らすことが可能である。   In this embodiment, a constraint expression for designating a service constraint is created from the service constraint policy, common service countermeasure knowledge, and system configuration information, and a countermeasure is planned so as to satisfy the service constraint specified by the administrator. For this reason, the administrator can easily specify service constraints without knowing the system configuration in detail. The common service countermeasure knowledge does not depend on the system configuration, and even an information system with different system configuration information can plan countermeasures without changing the common service countermeasure knowledge. It is possible to significantly reduce the number of man-hours.

次に、本発明の第3の実施形態について、図面を参照して詳細に説明する。図8は、本実施形態の構成を示すブロック図である。本実施形態では、第2の実施形態の構成に加えて、脅威対策制約ポリシー入力手段205と、脅威対策システム構成情報反映手段206とを備える。脅威対策制約ポリシーとは、管理者が特定の脅威について、対策機能を予め指定しておきたいときに、脅威の種類とその脅威に対応する対策機能とを入力する。脅威対策制約ポリシーの具体例を図12に示す。脅威対策制約ポリシーは、脅威の種類と、脅威を発現させるユーザを含む脅威の詳細と、必要な対策レベルとを含み、脅威への対応方法を予め指定するものである。   Next, a third embodiment of the present invention will be described in detail with reference to the drawings. FIG. 8 is a block diagram showing the configuration of the present embodiment. In this embodiment, in addition to the configuration of the second embodiment, a threat countermeasure constraint policy input unit 205 and a threat countermeasure system configuration information reflection unit 206 are provided. The threat countermeasure restriction policy is to input a threat type and a countermeasure function corresponding to the threat when the administrator wants to specify a countermeasure function for a specific threat in advance. A specific example of the threat countermeasure restriction policy is shown in FIG. The threat countermeasure restriction policy includes a threat type, details of a threat including a user who causes the threat, and a necessary countermeasure level, and designates a countermeasure method for the threat in advance.

脅威対策システム構成情報反映手段206は、脅威対策制約ポリシー入力手段205にて入力された脅威を共通脅威対策知識にあてはめ、入力されたポリシーに関係する対策機能を取り出す。次いで、システム構成情報から、入力されたポリシーに関連する機器についての脅威対策制約ポリシーを満たす制約式を作成するために必要な対策を、対策機能に基づいて取り出す。さらに、取り出した対策を、共通脅威対策知識にあてはめ、脅威対策制約ポリシーを満たす制約式を作成する。   The threat countermeasure system configuration information reflecting unit 206 applies the threat input by the threat countermeasure constraint policy input unit 205 to the common threat countermeasure knowledge, and extracts a countermeasure function related to the input policy. Next, measures necessary for creating a constraint expression that satisfies the threat countermeasure constraint policy for the device related to the input policy are extracted from the system configuration information based on the countermeasure function. Furthermore, the taken countermeasures are applied to the common threat countermeasure knowledge, and a constraint equation that satisfies the threat countermeasure constraint policy is created.

次に、第3の実施形態のセキュリティ運用管理システムの処理について図8及び図9を参照して説明する。本実施形態のセキュリティ運用管理システムの処理におけるステップC1からステップC4までは、それぞれ、第2の実施形態のステップB1からステップB4までと同様である。ステップC4に後続し、脅威対策ポリシーとして入力されたポリシーと、共通脅威対策知識とから、入力されたポリシーに関連する対策機能を抜き出す。次いで、抜き出した対策機能と入力されたポリシーとを用いて、システム構成情報からポリシーに関連する対策機能を取り出す。取り出した対策機能を共通脅威対策知識にあてはめ、入力されたポリシーを満たす制約式を作成する(ステップC5)。   Next, processing of the security operation management system of the third exemplary embodiment will be described with reference to FIGS. Steps C1 to C4 in the processing of the security operation management system of this embodiment are the same as steps B1 to B4 of the second embodiment, respectively. Subsequent to step C4, the countermeasure function related to the input policy is extracted from the policy input as the threat countermeasure policy and the common threat countermeasure knowledge. Next, using the extracted countermeasure function and the input policy, the countermeasure function related to the policy is extracted from the system configuration information. The taken countermeasure function is applied to the common threat countermeasure knowledge, and a constraint expression that satisfies the input policy is created (step C5).

次いで、対策立案手段203が、リスク値の計算式と、各ポリシーから生成された制約とに基づいて制約プログラミングを用いて対策を立案する(ステップC6)。立案した対策を、対策実行手段204を用いて実施する(ステップC7)。   Next, the countermeasure planning unit 203 plans a countermeasure using constraint programming based on the risk value calculation formula and the constraint generated from each policy (step C6). The planned countermeasure is implemented using the countermeasure execution means 204 (step C7).

上記第3の実施形態では、脅威への対応指針を表す脅威対策ポリシーに基づいて、システム構成情報と、システム構成に依存しないのでシステム構成が異なっても適用可能な共通脅威対策ポリシーとを用いて、そのポリシーを満たすことができる制約式を作成する。このため、管理者によって明示された脅威への対応指針を明示した対策立案の実行が可能になる。また、脅威への対応指針を与えるときに、共通脅威対策知識を変更する必要がなく、システム構成が変わっても同じ脅威対策知識を利用することができるため、脅威と対策との関連知識を作成する工数を削減することができる。   In the third embodiment, based on a threat countermeasure policy that represents a threat response guideline, the system configuration information and the common threat countermeasure policy that can be applied even if the system configuration is different because it does not depend on the system configuration. Create constraint expressions that can satisfy the policy. For this reason, it is possible to execute a countermeasure plan that clearly specifies a countermeasure guideline for the threat specified by the administrator. Also, when providing threat response guidelines, it is not necessary to change the common threat countermeasure knowledge, and the same threat countermeasure knowledge can be used even if the system configuration changes, so knowledge related to threats and countermeasures is created The man-hour to do can be reduced.

以下、具体的な実施例を示す。この実施例では、図3で示したネットワーク構成と、図4で示すアプリケーション情報とを有する対象情報システムに、セキュリティ運用管理方法を適用した例で説明する。   Specific examples will be described below. In this embodiment, an example in which the security operation management method is applied to the target information system having the network configuration shown in FIG. 3 and the application information shown in FIG. 4 will be described.

図2は、“情報の漏洩”に関する脅威とその対策との関係をツリー構造で示す共通脅威対策知識の一例を示している。共通脅威対策知識では、各脅威は、内部犯、外部犯を含み脅威を発現させる行為の実行者e1,e2と、脅威の発現によって利益を得る攻撃者u1,u2,u3と、攻撃が利用する機器及びサービス(以下、双方を併せてサービスと呼ぶことがある)s1,s2,s3とを含む関連要素毎に、攻撃手段(脅威)w1,w2,w3,w4が示される。さらに、それぞれの攻撃手段に対して、所望の効果を発揮する対策の種類が関連付けられている。このように、対策は、対策の機能ごとにまとめることによって、情報システムのシステム構成から独立しており、対策機能とその対策機能が効果を発揮する脅威とが関係付けられている。   FIG. 2 shows an example of common threat countermeasure knowledge showing the relationship between threats related to “information leakage” and countermeasures in a tree structure. In the common threat countermeasure knowledge, each threat is used by the attack, e.g., performers e1 and e2 of the act of expressing the threat including internal crimes and external crimes, and the attackers u1, u2 and u3 who are profitable by the expression of the threat. Attack means (threats) w1, w2, w3, and w4 are shown for each related element including devices and services (hereinafter, both may be referred to as services collectively) s1, s2, and s3. Furthermore, a countermeasure type that exhibits a desired effect is associated with each attack means. Thus, measures are independent of the system configuration of the information system by summarizing each measure function, and the measure function and the threat to which the measure function is effective are associated with each other.

図3のネットワーク構成情報には、ネットワーク上にあるネットワーク機器、サーバ、クライアントなどの資源である情報システム機器の情報と、情報システム機器の相互間の接続状態とが含まれる。図4のアプリケーション情報には、各機器に搭載されている対策と、その対策の種類(対策機能)及び各機器が提供するサービスと、サービスを利用するクライアントの有無及びそのクライアントが利用するサービスを提供する機器とが含まれている。このようなシステム構成情報は、セキュリティ運用管理ツールを用いて自動作成が可能である。また、管理者が自ら入力しても良い。   The network configuration information in FIG. 3 includes information on information system devices that are resources such as network devices, servers, and clients on the network, and the connection state between the information system devices. The application information in FIG. 4 includes the countermeasures installed in each device, the type of countermeasure (measure function), the service provided by each device, the presence / absence of a client using the service, and the service used by the client. And equipment to be provided. Such system configuration information can be automatically created using a security operation management tool. Further, the administrator may input it himself.

システム構成情報のうちネットワーク構成は、ネットワーク管理ツール、例えば、WebSAN NetvisorProなどを用いて収集することができる。また、アプリケーション情報については、ソフトウエア資産管理ツール、例えば、WebSAM Asset Suiteなどを用いることで収集することができる。機器p9のように、一般的な資産管理ツールの管理外にあるものは、一般的なクライアントを想定して予め作成しておく。   Of the system configuration information, the network configuration can be collected using a network management tool such as WebSAN NetvisorPro. The application information can be collected by using a software asset management tool such as WebSAM Asset Suite. A device that is not managed by a general asset management tool, such as the device p9, is created in advance assuming a general client.

次に、図2の共通脅威対策知識において、社内のユーザによるメールを利用した社外への情報漏えいのリスクを分析する手順を説明する。同図に示した例では、社内のユーザによるメールを利用した社外への情報漏えいリスクは、ツリー構造e1,u2,s2,w2、及び、それに関連付けられた対策機能k1,k2,k3,k4,k6に対応することを示している。本実施例では、リスク分析を実施するために各対策機能k1,k2、k3、k4、k6に対応する、セキュリティ運用管理対象システムに含まれる実際の対策を特定し、その実施の有無を調査する。   Next, in the common threat countermeasure knowledge shown in FIG. 2, a procedure for analyzing the risk of information leakage outside the company using mail by an in-house user will be described. In the example shown in the figure, the risk of information leakage to outside the company using emails by users in the company is represented by the tree structures e1, u2, s2, w2, and countermeasure functions k1, k2, k3, k4 associated therewith. It corresponds to k6. In this embodiment, in order to perform risk analysis, the actual countermeasures included in the security operation management target system corresponding to each countermeasure function k1, k2, k3, k4, k6 are specified, and the presence or absence of the implementation is investigated. .

そのためには、まずシステム構成情報のうちネットワーク構成情報と、共通脅威対策知識内のe1,u2,s2,w2とを用いて、分析に必要な機器を特定する。ここでは、社内のユーザの行動による社外の非ユーザに対するリスクであるので、図3のネットワーク構成情報を参照して、社内のユーザが利用する機器であるp8及びp7と、社外の非ユーザが利用する機器p9とを特定する。さらに、図4のアプリケーション情報を参照し、p7,p8,p9の機器を利用するユーザがメールサービス(s2)を用いて通信するために必要な機器を特定する。   For that purpose, first, the device necessary for the analysis is specified by using the network configuration information in the system configuration information and e1, u2, s2, and w2 in the common threat countermeasure knowledge. Here, since it is a risk for non-users outside the company due to the actions of the users in the company, referring to the network configuration information in FIG. 3, p8 and p7 that are devices used by the users in the company and non-users outside the company use The device p9 to be identified is specified. Furthermore, with reference to the application information of FIG. 4, the user who uses the devices of p7, p8, and p9 specifies the device necessary for communication using the mail service (s2).

p8とp9との間で、メールサービス(s2)を利用する場合には、アプリケーション情報よりメールサービス(s2)に関連付けられたメールクライアントがあり、このメールクライアントが機器p6と関連付けられていることが判る。このことから、p8とp9の間の通信経路は、p8,p6,p9であることが判る。更に、ネットワーク構成情報を参照して、p8,p6,p9の間には、それぞれp1,p4及び、p5,p2があることを認める。つまり、p8とp9の通信には、p8,p1,p4,p6,p5,p2,p9の機器が利用されることが特定できる。   When the mail service (s2) is used between p8 and p9, there is a mail client associated with the mail service (s2) from the application information, and this mail client is associated with the device p6. I understand. From this, it can be seen that the communication path between p8 and p9 is p8, p6, and p9. Further, referring to the network configuration information, it is recognized that there are p1, p4 and p5, p2 between p8, p6 and p9, respectively. That is, it can be specified that the devices p8, p1, p4, p6, p5, p2, and p9 are used for the communication between p8 and p9.

次に、図4のアプリケーション情報と、共通脅威対策知識上のリスク分析に関連付けられた対策機能k1,k2,k3,k4,k6とに基づいて、リスク分析に必要な対策を特定する。つまり、リスク分析を実施する脅威に関連付けられた対策機能と同じ機能を持つ対策を、機器p8,p1,p4,p6,p5,p2,p9に搭載されている対策の中から抜き出す。ここでは、図4から、c1,c5,c9,c13,c19,c27,c21,c25,c14,c18,c3,c7,c11,c29,c2,c6,c10,c15が得られる。これによって、社内のユーザによるメールを利用した社外への情報漏えいリスクを分析するために必要な対策を決定できる。   Next, based on the application information in FIG. 4 and the countermeasure functions k1, k2, k3, k4, and k6 associated with the risk analysis on the common threat countermeasure knowledge, countermeasures necessary for risk analysis are specified. That is, a countermeasure having the same function as the countermeasure function associated with the threat for performing risk analysis is extracted from the countermeasures mounted on the devices p8, p1, p4, p6, p5, p2, and p9. Here, c1, c5, c9, c13, c19, c27, c21, c25, c14, c18, c3, c7, c11, c29, c2, c6, c10, c15 are obtained from FIG. As a result, it is possible to determine the measures necessary for analyzing the risk of information leakage outside the company using emails by users in the company.

次に、これらの対策の実施の有無を、対策実施情報収集手段103より収集する。このとき収集した対策の実施状況の例を図13に示す。このような実施状況のときに、共通脅威対策知識の対策間のor,maxの接続関係を参照すると、リスク値は次のように計算できる。つまり、共通脅威対策知識上の脅威の種類や、対策の目的などでグループ化されている接続関係は、orで接続されているとして計算すると、次のようになる。   Next, whether or not these countermeasures are implemented is collected from the countermeasure implementation information collecting means 103. An example of the implementation status of the countermeasures collected at this time is shown in FIG. In such an implementation situation, the risk value can be calculated as follows by referring to the or or max connection relationship between the measures of the common threat countermeasure knowledge. That is, the connection relations grouped according to the types of threats in the common threat countermeasure knowledge, the purpose of countermeasures, and the like are calculated as if they are connected by "or" as follows.

Figure 0005145907
式(1)で、x1,x2,x3,x5,x6,x7,x9,x10,x11,x13,x14,x15,x18,x21,x27,x29は、各対策c1,c2,c3,c5,c6,c7,c9,c10,c11,c13,c14,c15,c18,c21,c27,c29の実施の有無を示す変数である。x=0は対策の未実施を、x=1は対策の実施をそれぞれ表す。この式に、対策実施情報収集手段103により収集した、図13の実施状況のデータを代入すると、
Figure 0005145907
Figure 0005145907
 In equation (1), x1, x2, x3, x5, x6, x7, x9, x10, x11, x13, x14, x15, x18, x21, x27, x29 are the countermeasures c1, c2, c3, c5, c6. , c7, c9, c10, c11, c13, c14, c15, c18, c21, c27, c29. x = 0 indicates that countermeasures have not been implemented, and x = 1 indicates that countermeasures have been implemented. By substituting the implementation status data of FIG. 13 collected by the countermeasure implementation information collection means 103 into this equation,
Figure 0005145907

ここで、max演算子は、最大値を選択する演算子であり、or演算子は、計算式の一般性を失われない範囲で、次式で線形近似した。

Figure 0005145907
Here, the max operator is an operator that selects the maximum value, and the or operator was linearly approximated by the following formula within a range that does not lose the generality of the calculation formula.
Figure 0005145907

他の脅威についても同様にリスク値を計算し、脅威とリスク値を図14に示すようにそれぞれ表示する。同図では、図2の“情報漏洩”のリスクの全体が数値“1”で示され、ツリーの各枝部分に対応して計算されたリスク値が各欄に示されている。   Similarly, risk values are calculated for other threats, and the threats and risk values are respectively displayed as shown in FIG. In FIG. 2, the entire risk of “information leakage” in FIG. 2 is indicated by a numerical value “1”, and risk values calculated corresponding to each branch portion of the tree are indicated in each column.

本実施例では、まず、使用可能な対策の対策機能に基づいて共通脅威対策知識を作成する。次いで、システム構成情報を利用して、リスク値の計算に必要な対策機能を特定し、システム構成情報を反映したリスク計算式を作成する。更に、特定した対策機能の実施の有無を収集し、リスク値を計算しそれを提示する。これにより、リスク値の計算に際して、システム構成情報を知ることなく共通脅威対策知識が作成でき、この脅威対策知識は、複数の情報システムに共通に用いることが出来るため、脅威対策知識作成の手間を軽減することができる。   In this embodiment, first, common threat countermeasure knowledge is created based on countermeasure functions of usable countermeasures. Next, using the system configuration information, a countermeasure function necessary for calculating the risk value is specified, and a risk calculation formula reflecting the system configuration information is created. Furthermore, the presence / absence of implementation of the specified countermeasure function is collected, and the risk value is calculated and presented. This makes it possible to create common threat countermeasure knowledge without knowing system configuration information when calculating risk values, and this threat countermeasure knowledge can be used in common for multiple information systems. Can be reduced.

次に、脅威に対する対策立案を実施する処理について説明する。対策立案では、リスクの最小化と共に、コストや利便性のバランスをとることが好ましい。コストは各対策に割り当てられたコストを単純に加算すれば良いが、利便性は、単純には計算できない。そこで、利便性を評価するために、脅威と対策機能との関係を表した脅威対策知識と同様に、サービスと対策機能との関係を表したサービス対策知識を作成する。図10で示したサービス対策知識を用いる例で説明する。   Next, a process for implementing countermeasure planning for a threat will be described. In planning measures, it is preferable to balance the cost and convenience while minimizing risk. The cost may be simply added to the cost assigned to each countermeasure, but the convenience cannot be simply calculated. Therefore, in order to evaluate the convenience, service countermeasure knowledge representing the relationship between the service and the countermeasure function is created in the same manner as the threat countermeasure knowledge representing the relationship between the threat and the countermeasure function. An example using the service countermeasure knowledge shown in FIG. 10 will be described.

サービス対策知識では、サービス(s1,s2,s3)ごとに、そのサービスの実現を阻害する可能性がある対策機能が関連付けられている。図2で脅威に対する対策機能の効果を付加したのと同様に、図10の各対策機能には、対策を阻害する割合を付加する。対策を阻害する割合は、1から0の間であり、1の場合は、そのサービスが完全に利用できないことを表し、0に近いほど利便性を低下させないことを表している。対策立案の立案方針を示すサービス制約ポリシーは図11に示されている。図11では、社内での共有サーバを用いたファイル共有を必須として対策を立案するという対策指針が入力されている。以下、本サービス制約ポリシーのときの対策立案の処理を説明する。   In the service countermeasure knowledge, for each service (s1, s2, s3), a countermeasure function that may impede the realization of the service is associated. In the same way as the effect of the countermeasure function against the threat is added in FIG. 2, a ratio of inhibiting the countermeasure is added to each countermeasure function in FIG. The rate at which the countermeasure is inhibited is between 1 and 0. In the case of 1, the service cannot be used completely, and the closer to 0, the lower the convenience. FIG. 11 shows a service constraint policy indicating a plan policy for countermeasure planning. In FIG. 11, a countermeasure guideline has been input in which a countermeasure is drafted by making file sharing using a shared server in-house essential. In the following, a countermeasure planning process for the service restriction policy will be described.

まず、前述の実施例と同様に、リスク値を計算するための計算式を作成する。次に、対策立案ポリシーで示されたポリシーを満たすように、制約式を作成する。対策立案ポリシーを満たす制約式は、次のように作成する。はじめに、サービス制約ポリシーから通信の両端にあたるユーザ(もしくは非ユーザ)を取り出す。本ポリシーの場合は、社内のユーザと社内のユーザである。取り出したユーザをシステム構成情報にあてはめると、p8クライアント上のユーザ及びp7クライアント上のユーザとなる。さらに、対策制約ポリシーから利用するサービスを取り出す。この場合は、ファイル共有サービス(s3)である。サービスもユーザと同様に、サービスを提供する機器をシステム構成情報のアプリケーション情報から取り出す。この場合は、p7とp8となる。   First, similarly to the above-described embodiment, a calculation formula for calculating the risk value is created. Next, a constraint equation is created so as to satisfy the policy indicated by the countermeasure planning policy. The constraint equation that satisfies the countermeasure planning policy is created as follows. First, users (or non-users) corresponding to both ends of communication are extracted from the service restriction policy. In the case of this policy, there are in-house users and in-house users. When the extracted users are applied to the system configuration information, they become users on the p8 client and users on the p7 client. Furthermore, the service to be used is extracted from the countermeasure restriction policy. In this case, the file sharing service (s3). Similarly to the user, the service extracts a device that provides the service from the application information of the system configuration information. In this case, p7 and p8.

上記構成により、サービス制約ポリシーを満たすために必要なユーザと機器の組合せは、p7,p8上のユーザとp7上のサービス、p7,p8上のユーザとp8上のサービスの二通りとなる。このそれぞれについて、対策立案時の制約式を作成すればよい。ここでは、前者の場合の制約式の作成の仕方を説明する。まず、ネットワーク構成情報にp7,p8をあてはめ、サービス利用時に使用するネットワーク上の機器を特定する。p7,p8を両端とすると、p3,p4,p1がその途中経路となることが判る。次に、これらの機器上の対策であって、サービス制約ポリシーで指定されたサービスに関連する対策だけを抜き出す。サービス対策知識によると、サービス制約ポリシーで指定されたサービスである共有サーバ経由(s3)を阻害する対策機能は、k4,k5,k10の3種類である。   With the above configuration, there are two combinations of users and devices necessary to satisfy the service restriction policy: users on p7 and p8 and services on p7, users on p7 and p8, and services on p8. For each of these, a constraint equation at the time of planning measures may be created. Here, how to create the constraint expression in the former case will be described. First, p7 and p8 are assigned to the network configuration information, and a device on the network to be used when using the service is specified. If p7 and p8 are both ends, it can be seen that p3, p4, and p1 are routes along the way. Next, only measures related to the service specified by the service restriction policy are extracted from these devices. According to service countermeasure knowledge, there are three types of countermeasure functions k4, k5, and k10 that inhibit the shared server (s3) that is the service specified in the service restriction policy.

次に、この対策機能に当てはまる対策を、サービスに関連する機器であるp7,p3,p4,p1,p8からアプリケーション情報を用いて抜き出す。アプリケーション情報によると、機器p7,p3,p4,p1,p8上にある対策機能k4,k5,k10にあてはまる対策は、c17,c20,c26,c16,c18,c14,c13,c19,c25である。これらの対策の実施の有無をx17,x20,x26,x16,x18,x14,x13,x19,x25とすると、当該ポリシーを満たすかどうかを判断する制約式は、これらの対策とサービス対策知識を利用して、

Figure 0005145907
となる。このサービスが「必須」であるから、このサービスを阻害する対策を実施してはいけないので、
Figure 0005145907
 となる。 Next, measures applicable to the countermeasure function are extracted from the devices p7, p3, p4, p1, and p8 related to the service using application information. According to the application information, countermeasures applicable to the countermeasure functions k4, k5, k10 on the devices p7, p3, p4, p1, p8 are c17, c20, c26, c16, c18, c14, c13, c19, c25. If the presence / absence of implementation of these countermeasures is x17, x20, x26, x16, x18, x14, x13, x19, x25, the constraint expression that determines whether or not the policy is satisfied uses these countermeasures and service countermeasure knowledge. do it,
Figure 0005145907
 It becomes. Since this service is “required”, you should not take any action to prevent this service.
Figure 0005145907
 It becomes.

次に、従来技術と同様に、対策立案時に脅威を最小とする対策を決定する際に、脅威を最小とする制約式に加え前述の制約式を追加する。このように、システム構成に依存しない共通のサービス対策知識を作成することで、指定されたサービスを阻害することのない対策を立案することができ、システム構成に依存したサービス対策知識を事前に準備する際の工数を削減することができる。   Next, as in the prior art, when the countermeasure that minimizes the threat is determined when the countermeasure is formulated, the above-described constraint expression is added in addition to the constraint expression that minimizes the threat. In this way, by creating common service countermeasure knowledge that does not depend on the system configuration, it is possible to plan measures that do not hinder the specified service, and prepare service countermeasure knowledge that depends on the system configuration in advance. The number of man-hours when doing this can be reduced.

次に、図12に示す脅威対策制約ポリシーを用いて、実施すべき対策を指定できる第3の実施形態のセキュリティ運用管理システムについての実施例を説明する。図中の対策実施ポリシーは、PC紛失による情報漏えいは、その抑止策を実施する旨を指定している。この場合には、図2の脅威対策知識によると、w1と関連付けられた防止策の対策機能のいずれかが実施されればよい。そこで、リスク値を計算する手順と同様に、対策機能k6,k9,k10,k11に含まれる対策を脅威の対象となっている経路上の機器から決定する。脅威の対象となっている経路上の機器は、リスク値の計算に用いたものと同様であるから、p8,p1,p4,p6,p5,p2,p9となり、これらの機器上の対策で、対策機能がk6,k9,k10,k11であるものを、アプリケーション情報から抜き出すと、c25のみが対象となる。そこで、x25=1となる制約を加え、対策立案を実施する。このような対策立案を実施することで、管理者が対策の方法を指定した対策立案が可能となる。   Next, an example of the security operation management system according to the third embodiment in which a countermeasure to be implemented can be designated using the threat countermeasure restriction policy shown in FIG. 12 will be described. The countermeasure implementation policy in the figure specifies that information leakage due to PC loss should be implemented. In this case, according to the threat countermeasure knowledge of FIG. 2, any of the countermeasure functions of the preventive measures associated with w1 may be performed. Therefore, similarly to the procedure for calculating the risk value, the countermeasures included in the countermeasure functions k6, k9, k10, and k11 are determined from the devices on the path that is the threat target. Since the devices on the path that is the target of the threat are the same as those used for the calculation of the risk value, they are p8, p1, p4, p6, p5, p2, p9. If the countermeasure functions are k6, k9, k10, and k11 are extracted from the application information, only c25 is targeted. Therefore, a countermeasure is formulated by adding a constraint that x25 = 1. By implementing such countermeasure planning, it is possible to plan countermeasures in which the administrator specifies the countermeasure method.

上記実施形態に係るセキュリティ運用システムにより得られる第1の効果は、システム構成情報を別に管理し、システム構成情報が変化しても利用可能な共通脅威対策知識や共通サービス対策知識を用いることで、分析対象システムにあわせて脅威対策知識や共通サービス対策知識を構築する必要がなくなるため、リスク分析者の負担を軽減することができることである。   The first effect obtained by the security operation system according to the above embodiment is to manage system configuration information separately and use common threat countermeasure knowledge and common service countermeasure knowledge that can be used even if the system configuration information changes. Since it is not necessary to build threat countermeasure knowledge and common service countermeasure knowledge in accordance with the analysis target system, the burden on the risk analyst can be reduced.

第2の効果は、システム構成情報を別に管理することで、分析対象システムのトポロジーに依存しないサービスモデルが生成でき、工数が削減できることである。   The second effect is that by separately managing the system configuration information, a service model independent of the topology of the analysis target system can be generated, and man-hours can be reduced.

第3の効果は、システム構成情報を別に管理することで、対策立案のポリシーとして主体、対象、アクションからなるサービスポリシーを入力とすることができ、管理者が求めるサービスの直感にあったポリシーを作成することができることである。   The third effect is that by separately managing system configuration information, it is possible to input a service policy consisting of subject, object, and action as a policy for planning countermeasures. Is that it can be created.

なお、上記実施形態では、脅威対策知識のトップ事象の脅威として“情報の漏洩”を挙げたが、脅威としては、他に、情報の喪失、システムの処理不能、負担増大などが挙げられる。また、中間事象や基本事象も想定される脅威の内容や、システムの目的や機能などによって適宜選択可能である。   In the above-described embodiment, “information leakage” is cited as the threat of the top event of threat countermeasure knowledge, but other threats include loss of information, inability to process the system, and increased burden. Further, intermediate events and basic events can be selected as appropriate according to the threat content, system purpose and function.

以上、本発明をその好適な実施態様に基づいて説明したが、本発明のセキュリティ管理システム、方法、及び、プログラムは、上記実施態様の構成にのみ限定されるものではなく、上記実施態様の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。   As mentioned above, although this invention was demonstrated based on the suitable embodiment, the security management system of this invention, a method, and a program are not limited only to the structure of the said embodiment, The structure of the said embodiment To which various modifications and changes are made within the scope of the present invention.

本発明の第1の実施形態に係るセキュリティ運用管理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the security operation management system which concerns on the 1st Embodiment of this invention. 図1のセキュリティ運用管理システムで使用される共通脅威対策知識の具体例を示す線図である。It is a diagram which shows the specific example of common threat countermeasure knowledge used with the security operation management system of FIG. 管理対象の情報システムのシステム構成情報のうち、ネットワーク構成情報の具体例を示すブロック図である。It is a block diagram which shows the specific example of network configuration information among the system configuration information of the information system of management object. 管理対象の情報システムのシステム構成情報のうち、アプリケーション情報の具体例を示す図である。It is a figure which shows the specific example of application information among the system configuration information of the information system of management object. 図1のセキュリティ運用管理システムの処理を示すフローチャートである。It is a flowchart which shows the process of the security operation management system of FIG. 本発明の第2の実施形態のセキュリティ運用管理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the security operation management system of the 2nd Embodiment of this invention. 図6のセキュリティ運用管理システムの処理を示すフローチャートである。It is a flowchart which shows the process of the security operation management system of FIG. 本発明の第3の実施形態のセキュリティ運用管理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the security operation management system of the 3rd Embodiment of this invention. 図8のセキュリティ運用管理システムの処理を示すフローチャートである。It is a flowchart which shows the process of the security operation management system of FIG. 共通サービス対策知識の具体例を示す図である。It is a figure which shows the specific example of common service countermeasure knowledge. サービス制約ポリシーの具体例を示す図である。It is a figure which shows the specific example of a service restriction policy. 脅威対策制約ポリシーの具体例を示す図である。It is a figure which shows the specific example of a threat countermeasure restriction policy. (a)及び(b)はそれぞれ、対策の実施状況及び対策の効果の具体例を示す図である。(A) And (b) is a figure which shows the specific example of the implementation condition of a countermeasure, and the effect of a countermeasure, respectively. リスク値表示手段の具体例を示す図である。It is a figure which shows the specific example of a risk value display means. 従来技術の構成を表すブロック図である。It is a block diagram showing the structure of a prior art. 従来技術のサービス対策知識の具体例を示す図である。It is a figure which shows the specific example of the service countermeasure knowledge of a prior art. 従来技術の構成を表すブロック図とその出力の具体例を示す図である。It is a block diagram showing the structure of a prior art, and a figure which shows the specific example of the output. 従来技術の脅威対策知識の具体例を示す図である。It is a figure which shows the specific example of the threat countermeasure knowledge of a prior art. 従来技術のサービス対策知識の具体例を示す図である。It is a figure which shows the specific example of the service countermeasure knowledge of a prior art.

符号の説明Explanation of symbols

100:共通脅威対策知識格納手段
101:システム構成情報収集手段
102:リスク値計算システム構成情報反映手段
103:対策実施情報収集手段
104:リスク分析手段
105:リスク提示手段
106:システム構成情報格納手段
200:共通サービス対策知識格納手段
201:サービス対策システム構成情報反映手段
202:サービス制約ポリシー入力手段
203:対策立案手段
204:対策実行手段
205:脅威対策制約ポリシー入力手段
206:脅威対策システム構成情報反映手段 100: Common threat countermeasure knowledge storage means 101: System configuration information collection means 102: Risk value calculation system configuration information reflection means 103: Countermeasure implementation information collection means 104: Risk analysis means 105: Risk presentation means 106: System configuration information storage means 200 : Common service countermeasure knowledge storage means 201: Service countermeasure system configuration information reflecting means 202: Service constraint policy input means 203: Countermeasure planning means 204: Countermeasure execution means 205: Threat countermeasure constraint policy input means 206: Threat countermeasure system configuration information reflecting means

Claims (7)

利用機器特定手段が、
i)複数の情報システムに共通する、情報に対する脅威と、ii)該脅威における攻撃者であるユーザ及び攻撃対象者であるユーザと、iii)該脅威において利用されるサービスと、iv)該脅威に対抗して情報を守るための複数の対策と、v)該対策によって期待される効果の程度と、vi)複数の対策同士が、該複数の対策のうち、実施されている対策に関連付けられた効果の程度の和が、該複数の対策によって期待される効果の程度として取得される関係、又は、該複数の対策のうち、実施されている対策に関連付けられた効果の程度のうちの最大値が、該複数の対策によって期待される効果の程度として取得される関係により接続されていることを表す接続関係情報と、を関連付けて含む共通脅威対策知識が予め格納されている共通脅威対策知識格納手段から、管理対象である情報システムリスクの分析対象の脅威を選定し、選定した脅威による管理対象である情報システムのリスク値を求めるために、該脅威に関連付けられている攻撃者であるユーザ、攻撃対象者であるユーザ、及びサービスを取得し、
i)前記管理対象である情報システムを構成する機器、該機器のネットワーク上における接続関係、及び該機器を利用するユーザを表すトポロジー情報と、ii)管理対象である情報システムに含まれる機器、該機器に搭載されている対策、及び、該機器が提供するサービスの情報を含むアプリケーション情報と、を含む管理対象のシステム構成情報が予め格納されているシステム構成情報格納手段から前記トポロジー情報を読み出し、読み出した前記トポロジー情報に含まれている機器とその機器を使用するユーザの情報と、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザとあわせることにより、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザに対応する管理対象である情報システムのユーザを前記トポロジー情報から特定し、さらに、前記トポロジー情報から、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器を特定し、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられたサービスを特定し、前記アプリケーション情報から、特定したサービスを、前記管理対象である情報システム上で提供する機器を特定する、利用機器特定ステップと、
必要対策特定手段が、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられた対策を特定し、前記アプリケーション情報から、前記利用機器特定ステップにおいて特定された、攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器及びサービスを提供する機器に搭載されている対策を特定し、前記リスク分析対象の脅威に関連付けられた対策のうち、前記利用機器特定ステップで特定された前記管理対象である情報システム上の機器に実際に搭載されている対策を特定する必要対策特定ステップと、
リスク値計算式生成手段が、
前記必要対策特定ステップにおいて特定された管理対象である情報システム上の機器に搭載されている個々の対策による効果の程度を前記共通脅威対策知識に含まれている効果の程度から特定し、前記必要対策特定ステップにおいて特定された対策を前記共通脅威対策知識に含まれている前記接続関係情報に適用して前記必要対策特定ステップにおいて取得された対策によって期待される効果の程度の和又は効果の程度のうちの最大値を求めることにより、前記必要対策特定ステップにおいて特定された対策全体によって期待される効果の程度を表し、前記必要対策特定ステップにおいて特定された対策の実施状況の関数であるリスク値計算式を生成するリスク値計算式生成ステップと、
対策実施情報収集手段が、
前記必要対策特定ステップにおいて特定された対策の実施状況を前記管理対象から収集する対策実施情報収集ステップと、
リスク値計算手段が、
前記対策実施情報収集ステップにおいて収集された実施状況、前記リスク値計算式生成ステップにおいて生成されたリスク値計算式にあてはめることによりリスク値を計算するリスク値計算ステップと、
を備えることを特徴とするセキュリティ運用管理方法。 Use device identification means
i) a threat to information common to a plurality of information systems, ii) a user who is an attacker and a user who is an attack target, iii) a service used in the threat, and iv) a threat to the threat Multiple countermeasures for protecting information against each other, v) degree of effect expected by the countermeasures, and vi) multiple countermeasures are associated with the implemented countermeasures among the plurality of countermeasures. A relationship in which the sum of the degree of effects is acquired as the degree of effect expected by the plurality of countermeasures, or the maximum value of the degrees of effects associated with the implemented countermeasure among the plurality of countermeasures However, the common threat countermeasure knowledge is stored in advance and includes connection relation information indicating that the connection is established by the relation acquired as the degree of effect expected by the plurality of countermeasures. From Threat knowledge storage means, selects a threat analyte information system risk to be managed, in order to determine the risk value of the information system is managed by the selected threat, attackers associated with the threat Users, users who are attack targets, and services,
i) devices constituting the information system to be managed, connection relations of the devices on the network, and topology information representing users who use the devices; ii) devices included in the information system to be managed; Read the topology information from the system configuration information storage means in which the system configuration information to be managed including the countermeasures mounted on the device and the application information including the information of the service provided by the device is stored in advance, by combining the equipment contained in the topology information read and user information using the device, the user is a user and attack who is the attacker associated with the threat of the risk analysis target, A user who is an attacker and a user who is an attack target associated with the threat of the risk analysis target Identifies the user corresponding to be managed information system from the topology information, further, from the topology information, the a user and attack who is the attacker associated with threat risk analysis target user utilizes Identify the equipment,
A use device that identifies a service associated with the threat of the risk analysis target from the common threat countermeasure knowledge, and identifies a device that provides the identified service on the information system that is the management target from the application information Specific steps,
Necessary measures identification means,
From the common threat countermeasure knowledge, a countermeasure associated with the threat of the risk analysis target is identified, and from the application information, the user who is the attacker and the user who is the attack target are identified in the using device identifying step. On the information system that is the management target identified in the utilization device identification step among the measures associated with the threat of the risk analysis target, by identifying the measures mounted on the device to be used and the device providing the service Necessary measures identification step to identify the measures actually installed in the equipment of
The risk value calculation formula generation means
The degree of effect of each countermeasure mounted on the device on the information system that is the management target identified in the necessary countermeasure identification step is identified from the degree of the effect included in the common threat countermeasure knowledge, and the necessary Applying the measures identified in the measure identification step to the connection relation information included in the common threat countermeasure knowledge, the sum of the effects expected by the measures acquired in the necessary measure identification step or the effect by obtaining the maximum value of the degree represents the degree of expected effects by the overall measures identified in the necessary measures specifying step, a function of the implementation of measures specified in the necessary measures specifying step risk A risk value calculation formula generation step for generating a value calculation formula,
Measure implementation information collection means
A countermeasure implementation information collection step for collecting the implementation status of the countermeasure identified in the necessary countermeasure identification step from the management target;
Risk value calculation means
A risk value calculation step of calculating a risk value by applying the implementation status collected in the countermeasure implementation information collection step to the risk value calculation formula generated in the risk value calculation formula generation step;
A security operation management method comprising: サービス制約ポリシー入力手段が、
前記管理対象に含まれる少なくとも1つのサービスと、該サービスを利用するユーザと、該サービスの必要性の程度を表すサービスレベルと、を指定したサービス制約ポリシーを入力するサービス制約ポリシー入力ステップと、
制約機器特定手段が、
前記サービス制約ポリシー入力ステップにおいて入力されたサービス制約ポリシーにおいて指定されたユーザ、前記トポロジー情報に含まれている機器とその機器を使用するユーザの情報にあてはめることにより、前記サービス制約ポリシーにおいて指定されたユーザに対応する前記管理対象の情報システム上のユーザを特定し、さらに、前記トポロジー情報から、特定したユーザが使用する機器を特定することにより、前記サービス制約ポリシーにおいて指定されたユーザが利用する機器を特定し、
前記サービス制約ポリシー入力ステップにおいて入力されたサービス制約ポリシーにおいて指定されたサービス、前記アプリケーション情報に含まれている機器とその機器が提供するサービスの情報にあてはめることにより、前記サービス制約ポリシーにおいて指定されたサービスに対応する前記管理対象の情報システム上の機器が提供するサービスを特定し、さらに、前記アプリケーション情報から、特定したサービスを提供する機器を特定することにより、前記サービス制約ポリシーにおいて指定されたサービスを提供する前記管理対象の情報システム上の機器を特定し、
特定された、前記サービス制約ポリシーにおいて指定されたユーザが利用する機器前記サービス制約ポリシーにおいて指定されたサービスを提供する機器に対応する前記管理対象である情報システム上の機器との間の通信経路上に位置する機器を前記トポロジー情報を参照して特定することにより、前記サービス制約ポリシーにおいて指定されたユーザが前記サービス制約ポリシーにおいて指定されたサービスを利用する際の通信経路の両端及び該通信経路の途中に位置する制約機器を特定する、制約機器特定ステップと、
サービス制約対策特定手段が、
i)複数の情報システムに共通するサービスと、ii)そのサービスを阻害する対策と、iii)その対策がそのサービスを阻害する程度と、iv)該サービスに関連付けられた複数の対策が、実施されている対策に関連付けられたサービスを阻害する程度のうちの最大値が、該複数の対策が該サービスを阻害する程度として取得される関係により接続されていることを表すサービス対策接続関係情報と、を関連付けて含み、共通サービス対策知識格納手段に予め格納されている共通サービス対策知識から、前記サービス制約ポリシーにおいて指定されたサービスに関連付けられた対策を特定し、前記アプリケーション情報から、前記制約機器特定ステップにおいて特定された制約機器に搭載されている対策を特定し、前記サービス制約ポリシーにおいて指定されたサービスと関連付けられた対策のうち、前記制約機器に搭載されている対策を特定するサービス制約対策特定ステップと、
制約式作成手段が、
前記サービス制約対策特定ステップにおいて特定された個々の対策が前記サービス制約ポリシーにおいて指定されたサービスを阻害する程度を前記共通サービス対策知識に含まれている阻害する程度から特定し、前記サービス制約対策特定ステップにおいて特定された対策を前記共通サービス対策知識に含まれている前記サービス対策接続関係情報にあてはめることにより、前記サービス制約対策特定ステップにおいて特定された対策が、前記サービス制約ポリシーにおいて指定されたサービスを阻害する程度を表し、前記サービス制約対策特定ステップにおいて特定された対策の実施状況の関数であり、前記サービス制約ポリシーにおいて指定されたサービスレベルが高い程、値が小さくなる制約式を作成する制約式作成ステップと、
対策立案手段が、
作成された前記制約式から前記サービス制約ポリシーを満たしているか否かを判別し、前記サービス制約ポリシーを満たし、かつ前記リスク計算式の値が所定のリスク値を満たすように、前記必要対策特定ステップにおいて特定された対策と、前記サービス制約対策特定ステップにおいて特定された対策との実施状況を決定し、出力する対策立案ステップと、をさらに備える、請求項1に記載のセキュリティ運用管理方法。 Service constraint policy input means
A service constraint policy input step of inputting a service constraint policy specifying at least one service included in the management target, a user who uses the service, and a service level representing the degree of necessity of the service;
Restricted device identification means
By specifying the user specified in the service constraint policy input in the service constraint policy input step to the information included in the topology information and the information of the user who uses the device, the user is specified in the service constraint policy. The user specified in the service restriction policy is used by specifying the user on the management target information system corresponding to the user and further specifying the device used by the specified user from the topology information. Identify the equipment,
By specifying the service specified in the service constraint policy input in the service constraint policy input step to the information included in the application information and the service provided by the device , the service constraint policy is specified. Specified in the service restriction policy by specifying a service provided by a device on the managed information system corresponding to the specified service, and further specifying a device providing the specified service from the application information. Identifying a device on the managed information system providing the service;
Identified, the communication path between the devices on the managed is the object information system corresponding to the device to provide a specified service in the device and the service restriction policy used by a user specified in the service restriction policies By specifying the device located above with reference to the topology information, both ends of the communication path and the communication path when the user specified in the service restriction policy uses the service specified in the service restriction policy A restricted device identification step for identifying a restricted device located in the middle of
Service constraint countermeasure identification means
and services that are common to i) a plurality of information systems, ii) a measure for inhibiting the service, iii) the measures the degree to inhibit the service, iv) a plurality of measures associated with the service, implemented Service measure connection relation information indicating that the maximum value of the degree of inhibition of the service associated with the countermeasure being taken is connected by the relationship acquired as the degree of inhibition of the plurality of countermeasures. , hints association, from the common service measures knowledge is previously stored in the common service measures knowledge storage means, to identify the measures associated with the service specified in the service restriction policy, from the application information, the constraint device Measures installed in the restricted device identified in the identifying step are identified, and the service constraint policy Of associated with the specified service measures in chromatography, and the service restriction measures specifying step of specifying the measures mounted on the constraint device,
The constraint formula creation means
Identifying the degree to which the individual measures identified in the service constraint countermeasure identification step inhibit the service specified in the service constraint policy from the degree of inhibition included in the common service countermeasure knowledge, and identifying the service constraint countermeasure the Rukoto fitting has been measures specified in step to the service countermeasure connection relationship information included in the common service measures knowledge, measures identified in the service restriction measures specific steps have been specified in the service restriction policies represents the degree to inhibit service, creates the service restriction measures Ri function der the implementation of measures specified in the specifying step, the higher the specified service level in the service restriction policy, the value becomes smaller constraint Creating a constraint expression,
Countermeasure planning means
It is determined whether or not the service constraint policy is satisfied from the created constraint equation , and the necessary countermeasure specifying step is performed so that the service constraint policy is satisfied and the value of the risk calculation equation satisfies a predetermined risk value. The security operation management method according to claim 1, further comprising: a measure planning step that determines and outputs an implementation status of the measure specified in step 1 and the measure specified in the service constraint measure specifying step. 前記共通脅威対策知識は、対策の種類を対策と対応付けて含み、
脅威対策制約ポリシー入力手段が、
前記リスク分析対象の脅威に対して実施する対策の種類を指定した脅威対策制約ポリシーを入力する脅威対策制約ポリシー入力ステップと、
脅威制約対策特定手段が、
前記共通脅威対策知識から、前記リスク分析対象の脅威と関連付けられた対策を特定し、前記アプリケーション情報から特定した対策のうち、前記利用機器特定ステップにおいて特定された機器に搭載されている対策を特定し、前記リスク分析対象の脅威と関連付けられた対策のうち、前記脅威対策制約ポリシーにおいて指定された対策であって、前記利用機器特定ステップにおいて特定された機器に搭載されている対策を特定する脅威制約対策特定ステップと、をさらに備え、
前記対策立案ステップにおいて、前記対策立案手段は、
前記生成された制約式からサービス制約ポリシーを満たしているか否かを判別し、サービス制約ポリシーを満たし、かつ前記リスク計算式の値が所定のリスク値を満たし、かつ前記脅威制約対策特定ステップにおいて特定された対策が実施されるように、前記必要対策特定ステップにおいて特定された対策と、前記サービス制約対策特定ステップにおいて特定された対策と、の実施状況を決定し、出力する、
請求項2に記載のセキュリティ運用管理方法。 The common threat countermeasure knowledge includes a countermeasure type in association with a countermeasure,
Threat countermeasure restriction policy input means
A threat countermeasure constraint policy input step for inputting a threat countermeasure constraint policy that specifies a type of countermeasure to be performed on the threat of the risk analysis target;
Threat constraint countermeasure identification means
From the common threat countermeasure knowledge, a countermeasure associated with the threat to be analyzed is identified, and from the application information, the countermeasure mounted on the device identified in the using device identification step is identified. identified, among the measures associated with the threat of the risk analysis target, wherein a measures specified in threat enforcement policies, specific measures mounted to the device identified in the use device specifying step Further comprising a threat constraint countermeasure identifying step for
In the countermeasure planning step, the countermeasure planning means includes:
It is determined whether the service constraint policy is satisfied from the generated constraint equation, the service constraint policy is satisfied , the value of the risk calculation equation satisfies a predetermined risk value, and specified in the threat constraint countermeasure specifying step Determining and outputting the implementation status of the measures identified in the necessary measure identification step and the measures identified in the service constraint measure identification step, so that the implemented measures are implemented;
The security operation management method according to claim 2. i)複数の情報システムに共通する、情報に対する脅威と、ii)該脅威における攻撃者であるユーザ及び攻撃対象者であるユーザと、iii)該脅威において利用されるサービスと、iv)該脅威に対抗して情報を守るための複数の対策と、v)該対策によって期待される効果の程度と、vi)複数の対策同士が、該複数の対策のうち、実施されている対策に関連付けられた効果の程度の和が、該複数の対策によって期待される効果の程度として取得される関係、又は、該複数の対策のうち、実施されている対策に関連付けられた効果の程度のうちの最大値が、該複数の対策によって期待される効果の程度として取得される関係により接続されていることを表す接続関係情報と、を関連付けて含む共通脅威対策知識が予め格納されている共通脅威対策知識格納手段から、管理対象である情報システムリスクの分析対象の脅威を選定し、選定した脅威による管理対象である情報システムのリスク値を求めるために、該脅威に関連付けられている攻撃者であるユーザ、攻撃対象者であるユーザ、及びサービスを取得し、
i)前記管理対象である情報システムを構成する機器、該機器のネットワーク上における接続関係、及び該機器を利用するユーザを表すトポロジー情報と、ii)管理対象である情報システムに含まれる機器、該機器に搭載されている対策、及び、該機器が提供するサービスの情報を含むアプリケーション情報と、を含む管理対象のシステム構成情報が予め格納されているシステム構成情報格納手段から前記トポロジー情報を読み出し、読み出した前記トポロジー情報に含まれている機器とその機器を使用するユーザの情報と、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザとあわせることにより、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザに対応する管理対象である情報システムのユーザを前記トポロジー情報から特定し、さらに、前記トポロジー情報から、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器を特定し、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられたサービスを特定し、前記アプリケーション情報から、特定したサービスを、前記管理対象である情報システム上で提供する機器を特定する、利用機器特定手段と、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられた対策を特定し、前記アプリケーション情報から、前記利用機器特定手段により特定された、攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器及びサービスを提供する機器に搭載されている対策を特定し、前記リスク分析対象の脅威に関連付けられた対策のうち、前記利用機器特定ステップで特定された前記管理対象である情報システム上の機器に実際に搭載されている対策を特定する必要対策特定手段と、
前記必要対策特定手段により特定された管理対象である情報システム上の機器に搭載されている個々の対策による効果の程度を前記共通脅威対策知識に含まれている効果の程度から特定し、前記必要対策特定手段により特定された対策を前記共通脅威対策知識に含まれている前記接続関係情報に適用して前記必要対策特定手段により取得された対策によって期待される効果の程度の和又は効果の程度のうちの最大値を求めることにより、前記必要対策特定手段により特定された対策全体によって期待される効果の程度を表し、前記必要対策特定手段により特定された対策の実施状況の関数であるリスク値計算式を生成するリスク値計算式生成手段と、
前記必要対策特定手段により特定された対策の実施状況を前記管理対象から収集する対策実施情報収集手段と、
前記対策実施情報収集手段により収集された実施状況、前記リスク値計算式生成手段により生成されたリスク値計算式にあてはめることによりリスク値を計算するリスク値計算手段と、
を備えることを特徴とするセキュリティ運用管理システム。 i) a threat to information common to a plurality of information systems, ii) a user who is an attacker and a user who is an attack target, iii) a service used in the threat, and iv) a threat to the threat Multiple countermeasures for protecting information against each other, v) degree of effect expected by the countermeasures, and vi) multiple countermeasures are associated with the implemented countermeasures among the plurality of countermeasures. A relationship in which the sum of the degree of effects is acquired as the degree of effect expected by the plurality of countermeasures, or the maximum value of the degrees of effects associated with the implemented countermeasure among the plurality of countermeasures However, the common threat countermeasure knowledge is stored in advance and includes connection relation information indicating that the connection is established by the relation acquired as the degree of effect expected by the plurality of countermeasures. From Threat knowledge storage means, selects a threat analyte information system risk to be managed, in order to determine the risk value of the information system is managed by the selected threat, attackers associated with the threat Users, users who are attack targets, and services,
i) devices constituting the information system to be managed, connection relations of the devices on the network, and topology information representing users who use the devices; ii) devices included in the information system to be managed; Read the topology information from the system configuration information storage means in which the system configuration information to be managed including the countermeasures mounted on the device and the application information including the information of the service provided by the device is stored in advance, by combining the equipment contained in the topology information read and user information using the device, the user is a user and attack who is the attacker associated with the threat of the risk analysis target, A user who is an attacker and a user who is an attack target associated with the threat of the risk analysis target Identifies the user corresponding to be managed information system from the topology information, further, from the topology information, the a user and attack who is the attacker associated with threat risk analysis target user utilizes Identify the equipment,
A use device that identifies a service associated with the threat of the risk analysis target from the common threat countermeasure knowledge, and identifies a device that provides the identified service on the information system that is the management target from the application information Specific means,
From the common threat countermeasure knowledge, a countermeasure associated with the threat of the risk analysis target is identified, and from the application information, the user who is the attacker and the user who is the attack target are identified by the using device identifying means. On the information system that is the management target identified in the utilization device identification step among the measures associated with the threat of the risk analysis target, by identifying the measures mounted on the device to be used and the device providing the service Necessary measures identifying means to identify the measures actually installed in the equipment,
The degree of effect of each countermeasure mounted on the device on the information system that is the management target identified by the necessary countermeasure identification means is identified from the degree of the effect included in the common threat countermeasure knowledge, and the necessary is applied to the connection relationship information included measures specified in the common threat knowledge by measures specific means have been measures is the degree of the effect of the sum or effect expected by the acquisition by the necessary measures specifying means by obtaining the maximum value of the degree represents the degree of expected effects by the overall measures identified by the necessary measures specifying means, is a function of the implementation of measures that have been identified by the necessary measures specifying means risks A risk value calculation formula generating means for generating a value calculation formula;
Countermeasure implementation information collecting means for collecting the implementation status of the countermeasure identified by the necessary countermeasure identifying means from the management target;
Risk value calculation means for calculating the risk value by fitting the implementation collected, the risk value calculation formula that is generated by the risk value calculation formula generating means by said countermeasure execution information collection means,
A security operation management system comprising: 前記管理対象に含まれる少なくとも1つのサービスと、該サービスを利用するユーザと、該サービスの必要性の程度を表すサービスレベルと、を指定したサービス制約ポリシーを入力するサービス制約ポリシー入力手段と、
前記サービス制約ポリシー入力手段により入力されたサービス制約ポリシーにおいて指定されたユーザ、前記トポロジー情報に含まれている機器とその機器を使用するユーザの情報にあてはめることにより、前記サービス制約ポリシーにおいて指定されたユーザに対応する前記管理対象の情報システム上のユーザを特定し、さらに、前記トポロジー情報から、特定したユーザが使用する機器を特定することにより、前記サービス制約ポリシーにおいて指定されたユーザが利用する機器を特定し、
前記サービス制約ポリシー入力手段により入力されたサービス制約ポリシーにおいて指定されたサービス、前記アプリケーション情報に含まれている機器とその機器が提供するサービスの情報にあてはめることにより、前記サービス制約ポリシーにおいて指定されたサービスに対応する前記管理対象の情報システム上の機器が提供するサービスを特定し、さらに、前記アプリケーション情報から、特定したサービスを提供する機器を特定することにより、前記サービス制約ポリシーにおいて指定されたサービスを提供する前記管理対象の情報システム上の機器を特定し、
特定された、前記サービス制約ポリシーにおいて指定されたユーザが利用する機器前記サービス制約ポリシーにおいて指定されたサービスを提供する機器に対応する前記管理対象である情報システム上の機器との間の通信経路上に位置する機器を前記トポロジー情報を参照して特定することにより、前記サービス制約ポリシーにおいて指定されたユーザが前記サービス制約ポリシーにおいて指定されたサービスを利用する際の通信経路の両端及び該通信経路の途中に位置する制約機器を特定する、制約機器特定手段と、
i)複数の情報システムに共通するサービスと、ii)そのサービスを阻害する対策と、iii)その対策がそのサービスを阻害する程度と、iv)該サービスに関連付けられた複数の対策が、実施されている対策に関連付けられたサービスを阻害する程度のうちの最大値が、該複数の対策が該サービスを阻害する程度として取得される関係により接続されていることを表すサービス対策接続関係情報と、を関連付けて含み、共通サービス対策知識格納手段に予め格納されている共通サービス対策知識から、前記サービス制約ポリシーにおいて指定されたサービスに関連付けられた対策を特定し、前記アプリケーション情報から、前記制約機器特定手段により特定された制約機器に搭載されている対策を特定し、前記サービス制約ポリシーにおいて指定されたサービスと関連付けられた対策のうち、前記制約機器に搭載されている対策を特定するサービス制約対策特定手段と、
前記サービス制約対策特定手段により特定された個々の対策が前記サービス制約ポリシーにおいて指定されたサービスを阻害する程度を前記共通サービス対策知識に含まれている阻害する程度から特定し、前記サービス制約対策特定手段により特定された対策を前記共通サービス対策知識に含まれている前記サービス対策接続関係情報にあてはめることにより、前記サービス制約対策特定手段により特定された対策が、前記サービス制約ポリシーにおいて指定されたサービスを阻害する程度を表し、前記サービス制約対策特定手段により特定された対策の実施状況の関数であり、前記サービス制約ポリシーにおいて指定されたサービスレベルが高い程、値が小さくなる制約式を作成する制約式作成手段と、
作成された前記制約式から前記サービス制約ポリシーを満たしているか否かを判別し、前記サービス制約ポリシーを満たし、かつ前記リスク計算式の値が所定のリスク値を満たすように、前記必要対策特定手段により特定された対策と、前記サービス制約対策特定手段により特定された対策との実施状況を決定し、出力する対策立案手段と、をさらに備えることを特徴とする請求項4に記載のセキュリティ運用管理システム。 Service constraint policy input means for inputting a service constraint policy that specifies at least one service included in the management target, a user who uses the service, and a service level indicating the degree of necessity of the service;
The user specified in the input service enforcement policies by the service restriction policy input unit, by fitting the user's information using equipment and the equipment contained in the topology information, specified in the service restriction policies The user specified in the service restriction policy is used by specifying the user on the management target information system corresponding to the user and further specifying the device used by the specified user from the topology information. Identify the equipment,
The services specified in the input service enforcement policies by the service restriction policy input unit, by fitting the device information of the service to which the device is provided which is included in the application information, specified in the service restriction policies Specified in the service restriction policy by specifying a service provided by a device on the managed information system corresponding to the specified service, and further specifying a device providing the specified service from the application information. Identifying a device on the managed information system providing the service;
Identified, the communication path between the devices on the managed is the object information system corresponding to the device to provide a specified service in the device and the service restriction policy used by a user specified in the service restriction policies By specifying the device located above with reference to the topology information, both ends of the communication path and the communication path when the user specified in the service restriction policy uses the service specified in the service restriction policy A restricted device identification means for identifying a restricted device located in the middle of
and services that are common to i) a plurality of information systems, ii) a measure for inhibiting the service, iii) the measures the degree to inhibit the service, iv) a plurality of measures associated with the service, implemented Service measure connection relation information indicating that the maximum value of the degree of inhibition of the service associated with the countermeasure being taken is connected by the relationship acquired as the degree of inhibition of the plurality of countermeasures. , hints association, from the common service measures knowledge is previously stored in the common service measures knowledge storage means, to identify the measures associated with the service specified in the service restriction policy, from the application information, the constraint device Measures installed in the restricted device specified by the specifying means are specified, and the service restriction policy Of the measures associated with the specified service had, and the service restriction measures specifying means for specifying the measures mounted on the constraint device,
Specifying the degree to which the individual measures specified by the service restriction measure specifying means inhibit the service specified in the service restriction policy from the degree included in the common service measure knowledge, and specifying the service constraint measure the Rukoto fitting has been measures specified by means to the service countermeasure connection relationship information included in the common service measures knowledge, measures specified by the service restriction measures specific means, designated in the service restriction policies represents the degree to inhibit service, creates the service restriction measures Ri function der the implementation of measures specified by the specifying means, the higher the specified service level in the service restriction policy, the value becomes smaller constraint A constraint expression creating means to
It is determined whether or not the service constraint policy is satisfied from the created constraint equation , and the necessary measure specifying means is satisfied so as to satisfy the service constraint policy and the value of the risk calculation formula satisfies a predetermined risk value. 5. The security operation management according to claim 4, further comprising: a measure planning unit that determines and outputs an implementation status of the measure specified by the service restriction measure and the measure specified by the service constraint measure specifying unit. system. 情報システムのセキュリティを運用管理するコンピュータのためのプログラムであって、前記コンピュータを、
i)複数の情報システムに共通する、情報に対する脅威と、ii)該脅威における攻撃者であるユーザ及び攻撃対象者であるユーザと、iii)該脅威において利用されるサービスと、iv)該脅威に対抗して情報を守るための複数の対策と、v)該対策によって期待される効果の程度と、vi)複数の対策同士が、該複数の対策のうち、実施されている対策に関連付けられた効果の程度の和が、該複数の対策によって期待される効果の程度として取得される関係、又は、該複数の対策のうち、実施されている対策に関連付けられた効果の程度のうちの最大値が、該複数の対策によって期待される効果の程度として取得される関係により接続されていることを表す接続関係情報と、を関連付けて含む共通脅威対策知識が予め格納されている共通脅威対策知識格納手段から、管理対象である情報システムリスクの分析対象の脅威を選定し、選定した脅威による管理対象である情報システムのリスク値を求めるために、該脅威に関連付けられている攻撃者であるユーザ、攻撃対象者であるユーザ、及びサービスを取得し、
i)前記管理対象である情報システムを構成する機器、該機器のネットワーク上における接続関係、及び該機器を利用するユーザを表すトポロジー情報と、ii)管理対象である情報システムに含まれる機器、該機器に搭載されている対策、及び、該機器が提供するサービスの情報を含むアプリケーション情報と、を含む管理対象のシステム構成情報が予め格納されているシステム構成情報格納手段から前記トポロジー情報を読み出し、読み出した前記トポロジー情報に含まれている機器とその機器を使用するユーザの情報と、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザとあわせることにより、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザに対応する管理対象である情報システムのユーザを前記トポロジー情報から特定し、さらに、前記トポロジー情報から、前記リスク分析対象の脅威に関連付けられた攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器を特定し、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられたサービスを特定し、前記アプリケーション情報から、特定したサービスを、前記管理対象である情報システム上で提供する機器を特定する、利用機器特定手段、
前記共通脅威対策知識から、前記リスク分析対象の脅威に関連付けられた対策を特定し、前記アプリケーション情報から、前記利用機器特定手段により特定された、攻撃者であるユーザ及び攻撃対象者であるユーザが利用する機器及びサービスを提供する機器に搭載されている対策を特定し、前記リスク分析対象の脅威に関連付けられた対策のうち、前記利用機器特定ステップで特定された前記管理対象である情報システム上の機器に実際に搭載されている対策を特定する必要対策特定手段、
前記必要対策特定手段により特定された管理対象である情報システム上の機器に搭載されている個々の対策による効果の程度を前記共通脅威対策知識に含まれている効果の程度から特定し、前記必要対策特定手段により特定された対策を前記共通脅威対策知識に含まれている前記接続関係情報に適用して前記必要対策特定手段により取得された対策によって期待される効果の程度の和又は効果の程度のうちの最大値を求めることにより、前記必要対策特定手段により特定された対策全体によって期待される効果の程度を表し、前記必要対策特定手段により特定された対策の実施状況の関数であるリスク値計算式を生成するリスク値計算式生成手段、
前記必要対策特定手段により特定された対策の実施状況を前記管理対象から収集する対策実施情報収集手段、
前記対策実施情報収集ステップにおいて収集された実施状況、前記リスク値計算式生成手段により生成されたリスク値計算式にあてはめることによりリスク値を計算するリスク値計算手段、
として機能させるためのプログラム。 A program for a computer that manages and manages security of an information system, the computer comprising:
i) a threat to information common to a plurality of information systems, ii) a user who is an attacker and a user who is an attack target, iii) a service used in the threat, and iv) a threat to the threat Multiple countermeasures for protecting information against each other, v) degree of effect expected by the countermeasures, and vi) multiple countermeasures are associated with the implemented countermeasures among the plurality of countermeasures. A relationship in which the sum of the degree of effects is acquired as the degree of effect expected by the plurality of countermeasures, or the maximum value of the degrees of effects associated with the implemented countermeasure among the plurality of countermeasures However, the common threat countermeasure knowledge is stored in advance and includes connection relation information indicating that the connection is established by the relation acquired as the degree of effect expected by the plurality of countermeasures. From Threat knowledge storage means, selects a threat analyte information system risk to be managed, in order to determine the risk value of the information system is managed by the selected threat, attackers associated with the threat Users, users who are attack targets, and services,
i) devices constituting the information system to be managed, connection relations of the devices on the network, and topology information representing users who use the devices; ii) devices included in the information system to be managed; Read the topology information from the system configuration information storage means in which the system configuration information to be managed including the countermeasures mounted on the device and the application information including the information of the service provided by the device is stored in advance, by combining the equipment contained in the topology information read and user information using the device, the user is a user and attack who is the attacker associated with the threat of the risk analysis target, A user who is an attacker and a user who is an attack target associated with the threat of the risk analysis target Identifies the user corresponding to be managed information system from the topology information, further, from the topology information, the a user and attack who is the attacker associated with threat risk analysis target user utilizes Identify the equipment,
A use device that identifies a service associated with the threat of the risk analysis target from the common threat countermeasure knowledge, and identifies a device that provides the identified service on the information system that is the management target from the application information Specific means,
From the common Threat knowledge, the identified measures associated with the threat of risk analysis target, from the application information, the is more particularly to the use device specifying means, a user and attack who is the attacker user The information system which identifies the measures mounted on the device used by the device and the device which provides the service, and is the management target identified in the utilized device identification step among the measures associated with the threat of the risk analysis target Necessary measures identification means to identify measures actually mounted on the above equipment,
The degree of effect of each countermeasure mounted on the device on the information system that is the management target identified by the necessary countermeasure identification means is identified from the degree of the effect included in the common threat countermeasure knowledge, and the necessary is applied to the connection relationship information included measures specified in the common threat knowledge by measures specific means have been measures is the degree of the effect of the sum or effect expected by the acquisition by the necessary measures specifying means by obtaining the maximum value of the degree represents the degree of expected effects by the overall measures identified by the necessary measures specifying means, is a function of the implementation of measures that have been identified by the necessary measures specifying means risks Risk value calculation formula generating means for generating a value calculation formula,
Measure implementation information collection means for collecting the implementation status of the measures identified by the necessary measure identification means from the management target;
Risk value calculation means for calculating a risk value by applying the implementation status collected in the countermeasure implementation information collection step to the risk value calculation formula generated by the risk value calculation formula generation means;
Program to function as. 前記コンピュータを、
前記管理対象に含まれる少なくとも1つのサービスと、該サービスを利用するユーザと、該サービスの必要性の程度を表すサービスレベルと、を指定したサービス制約ポリシーを入力するサービス制約ポリシー入力手段、
前記サービス制約ポリシー入力手段により入力されたサービス制約ポリシーにおいて指定されたユーザ、前記トポロジー情報に含まれている機器とその機器を使用するユーザの情報にあてはめることにより、前記サービス制約ポリシーにおいて指定されたユーザに対応する前記管理対象の情報システム上のユーザを特定し、さらに、前記トポロジー情報から、特定したユーザが使用する機器を特定することにより、前記サービス制約ポリシーにおいて指定されたユーザが利用する機器を特定し、
前記サービス制約ポリシー入力手段により入力されたサービス制約ポリシーにおいて指定されたサービス、前記アプリケーション情報に含まれている機器とその機器が提供するサービスの情報にあてはめることにより、前記サービス制約ポリシーにおいて指定されたサービスに対応する前記管理対象の情報システム上の機器が提供するサービスを特定し、さらに、前記アプリケーション情報から、特定したサービスを提供する機器を特定することにより、前記サービス制約ポリシーにおいて指定されたサービスを提供する前記管理対象の情報システム上の機器を特定し、
特定された、前記サービス制約ポリシーにおいて指定されたユーザが利用する機器前記サービス制約ポリシーにおいて指定されたサービスを提供する機器に対応する前記管理対象である情報システム上の機器との間の通信経路上に位置する機器を前記トポロジー情報を参照して特定することにより、前記サービス制約ポリシーにおいて指定されたユーザが前記サービス制約ポリシーにおいて指定されたサービスを利用する際の通信経路の両端及び該通信経路の途中に位置する制約機器を特定する、制約機器特定手段、
i)複数の情報システムに共通するサービスと、ii)そのサービスを阻害する対策と、iii)その対策がそのサービスを阻害する程度と、iv)該サービスに関連付けられた複数の対策が、実施されている対策に関連付けられたサービスを阻害する程度のうちの最大値が、該複数の対策が該サービスを阻害する程度として取得される関係により接続されていることを表すサービス対策接続関係情報と、を関連付けて含み、共通サービス対策知識格納手段に予め格納されている共通サービス対策知識から、前記サービス制約ポリシーにおいて指定されたサービスに関連付けられた対策を特定し、前記アプリケーション情報から、前記制約機器特定手段により特定された制約機器に搭載されている対策を特定し、前記サービス制約ポリシーにおいて指定されたサービスと関連付けられた対策のうち、前記制約機器に搭載されている対策を特定するサービス制約対策特定手段、
前記サービス制約対策特定手段により特定された個々の対策が前記サービス制約ポリシーにおいて指定されたサービスを阻害する程度を前記共通サービス対策知識に含まれている阻害する程度から特定し、前記サービス制約対策特定手段により特定された対策を前記共通サービス対策知識に含まれている前記サービス対策接続関係情報にあてはめることにより、前記サービス制約対策特定手段により特定された対策が、前記サービス制約ポリシーにおいて指定されたサービスを阻害する程度を表し、前記サービス制約対策特定手段により特定された対策の実施状況の関数であり、前記サービス制約ポリシーにおいて指定されたサービスレベルが高い程、値が小さくなる制約式を作成する制約式作成手段、
作成された前記制約式から前記サービス制約ポリシーを満たしているか否かを判別し、前記サービス制約ポリシーを満たし、かつ前記リスク計算式の値が所定のリスク値を満たすように、前記必要対策特定手段により特定された対策と、前記サービス制約対策特定手段により特定された対策との実施状況を決定し、出力する対策立案手段、
としてさらに機能させるための請求項6に記載のプログラム。 The computer,
A service constraint policy input means for inputting a service constraint policy that specifies at least one service included in the management target, a user who uses the service, and a service level indicating the degree of necessity of the service;
The user specified in the input service enforcement policies by the service restriction policy input unit, by fitting the user's information using equipment and the equipment contained in the topology information, specified in the service restriction policies The user specified in the service restriction policy is used by specifying the user on the management target information system corresponding to the user and further specifying the device used by the specified user from the topology information. Identify the equipment,
The services specified in the input service enforcement policies by the service restriction policy input unit, by fitting the device information of the service to which the device is provided which is included in the application information, specified in the service restriction policies Specified in the service restriction policy by specifying a service provided by a device on the managed information system corresponding to the specified service, and further specifying a device providing the specified service from the application information. Identifying a device on the managed information system providing the service;
Identified, the communication path between the devices on the managed is the object information system corresponding to the device to provide a specified service in the device and the service restriction policy used by a user specified in the service restriction policies By specifying the device located above with reference to the topology information, both ends of the communication path and the communication path when the user specified in the service restriction policy uses the service specified in the service restriction policy Restricted device identification means for identifying the restricted device located in the middle of
and services that are common to i) a plurality of information systems, ii) a measure for inhibiting the service, iii) the measures the degree to inhibit the service, iv) a plurality of measures associated with the service, implemented Service measure connection relation information indicating that the maximum value of the degree of inhibition of the service associated with the countermeasure being taken is connected by the relationship acquired as the degree of inhibition of the plurality of countermeasures. , hints association, from the common service measures knowledge is previously stored in the common service measures knowledge storage means, to identify the measures associated with the service specified in the service restriction policy, from the application information, the constraint device Measures installed in the restricted device specified by the specifying means are specified, and the service restriction policy There among associated with the specified service measures, the service restriction measures specifying means for specifying the measures mounted on the constraint device,
Specifying the degree to which the individual measures specified by the service restriction measure specifying means inhibit the service specified in the service restriction policy from the degree included in the common service measure knowledge, and specifying the service constraint measure the Rukoto fitting has been measures specified by means to the service countermeasure connection relationship information included in the common service measures knowledge, measures specified by the service restriction measures specific means, designated in the service restriction policies represents the degree to inhibit service, creates the service restriction measures Ri function der the implementation of measures specified by the specifying means, the higher the specified service level in the service restriction policy, the value becomes smaller constraint Constraint expression creation means to
It is determined whether or not the service constraint policy is satisfied from the created constraint equation , and the necessary measure specifying means is satisfied so as to satisfy the service constraint policy and the value of the risk calculation formula satisfies a predetermined risk value. Measures planning means for determining and outputting the implementation status of the measures specified by the measures specified by the service restriction measures specifying means,
The program according to claim 6 for further functioning as:
JP2007313083A 2007-12-04 2007-12-04 Security operation management system, method, and program Active JP5145907B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007313083A JP5145907B2 (en) 2007-12-04 2007-12-04 Security operation management system, method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007313083A JP5145907B2 (en) 2007-12-04 2007-12-04 Security operation management system, method, and program

Publications (2)

Publication Number Publication Date
JP2009140041A JP2009140041A (en) 2009-06-25
JP5145907B2 true JP5145907B2 (en) 2013-02-20

Family

ID=40870617

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007313083A Active JP5145907B2 (en) 2007-12-04 2007-12-04 Security operation management system, method, and program

Country Status (1)

Country Link
JP (1) JP5145907B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11381602B2 (en) 2019-02-22 2022-07-05 Hitachi, Ltd. Security design planning support device

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5413010B2 (en) * 2009-07-17 2014-02-12 日本電気株式会社 Analysis apparatus, analysis method, and program
JP5407637B2 (en) * 2009-07-28 2014-02-05 日本電気株式会社 Countermeasure candidate generation system, countermeasure candidate generation method and program
US9071614B2 (en) * 2009-11-19 2015-06-30 Hitachi, Ltd. Computer system, management system and recording medium
EP2385676B1 (en) * 2010-05-07 2019-06-26 Alcatel Lucent Method for adapting security policies of an information system infrastructure
JP5117555B2 (en) * 2010-08-12 2013-01-16 株式会社東芝 Threat analysis support device and threat analysis support program
JP6597452B2 (en) 2016-03-30 2019-10-30 日本電気株式会社 Information processing apparatus, information processing method, and program
JP7026018B2 (en) 2018-07-27 2022-02-25 株式会社日立製作所 Risk analysis support device, risk analysis support method, and risk analysis support program
JP7180500B2 (en) * 2019-03-29 2022-11-30 オムロン株式会社 Control system and setting method
JP7226819B2 (en) * 2020-07-28 2023-02-21 日本電気株式会社 Information processing device, information processing method, program
WO2022244179A1 (en) * 2021-05-20 2022-11-24 日本電気株式会社 Policy generation device, policy generation method, and non-transitory computer-readable medium having program stored thereon

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11381602B2 (en) 2019-02-22 2022-07-05 Hitachi, Ltd. Security design planning support device

Also Published As

Publication number Publication date
JP2009140041A (en) 2009-06-25

Similar Documents

Publication Publication Date Title
JP5145907B2 (en) Security operation management system, method, and program
JP5304243B2 (en) Security risk management system, apparatus, method, and program
JP5166196B2 (en) Composite application using security annotation
US9727733B2 (en) Risk-based model for security policy management
Tjoa et al. A formal approach enabling risk-aware business process modeling and simulation
EP1995681A1 (en) Authenticity assurance system for spreadsheet data
JP5125069B2 (en) Security risk management system, security risk management method, and security risk management program
JP5719431B2 (en) Method for protecting data for context recognition, data processing system thereof, and computer program
Spanakis et al. Cyber-attacks and threats for healthcare–a multi-layer thread analysis
US20090313079A1 (en) Managing access rights using projects
US20090326899A1 (en) System and method for simulating network attacks
JP5366864B2 (en) Security countermeasure standard creation support system and program, and security countermeasure standard creation support method
Al-Ruithe et al. Key dimensions for cloud data governance
Goluch et al. Integration of an ontological information security concept in risk aware business process management
US8800029B2 (en) Gathering, storing and using reputation information
Jakoubi et al. Rope: A methodology for enabling the risk-aware modelling and simulation of business processes
do Amaral et al. Integrating Zero Trust in the cyber supply chain security
CN113612766B (en) Data management device, method, computer equipment and storage medium
US8931048B2 (en) Data system forensics system and method
CN112579929A (en) Visual block chain browser page construction method and device
JP7099533B2 (en) Impact range estimation device, impact range estimation method, and program
Johnstone Threat modelling with STRIDE and UML
JP5269722B2 (en) Security design support apparatus and program
Erdogan et al. A method for developing algorithms for assessing cyber-risk cost
Khan et al. Automatic verification of health regulatory compliance in cloud computing

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20100225

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120501

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120522

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120822

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120829

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121030

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121112

R150 Certificate of patent or registration of utility model

Ref document number: 5145907

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151207

Year of fee payment: 3