JP7026475B2 - Security evaluation system and security evaluation method - Google Patents
Security evaluation system and security evaluation method Download PDFInfo
- Publication number
- JP7026475B2 JP7026475B2 JP2017196023A JP2017196023A JP7026475B2 JP 7026475 B2 JP7026475 B2 JP 7026475B2 JP 2017196023 A JP2017196023 A JP 2017196023A JP 2017196023 A JP2017196023 A JP 2017196023A JP 7026475 B2 JP7026475 B2 JP 7026475B2
- Authority
- JP
- Japan
- Prior art keywords
- input
- evaluation
- security
- answer
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011156 evaluation Methods 0.000 title claims description 185
- 230000004044 response Effects 0.000 claims description 35
- 238000012937 correction Methods 0.000 claims description 22
- 238000000034 method Methods 0.000 claims description 21
- 230000008520 organization Effects 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 12
- 238000004088 simulation Methods 0.000 claims description 8
- 238000012986 modification Methods 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000012790 confirmation Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 4
- 238000012550 audit Methods 0.000 description 4
- 238000003745 diagnosis Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、セキュリティ対策について評価する技術に関し、特に、セキュリティ対策状況の相対評価をするシステムおよびセキュリティ評価方法に適用して有効な技術に関するものである。 The present invention relates to a technique for evaluating security measures, and more particularly to a technique applicable to a system for performing a relative evaluation of a security measure status and a security evaluation method.
近年、IT技術の急速な発展に伴いその重要性が高まる一方、障害や情報漏洩等が発生した場合の影響度も大きくなっており、企業において適切な情報セキュリティ対策を講じることは重要な課題となっている。 In recent years, while the importance of IT technology has increased with the rapid development, the degree of impact in the event of a failure or information leakage has also increased, and it is an important issue for companies to take appropriate information security measures. It has become.
このような、状況下において、例えば、特許文献1には、セキュリティアセスメント項目の設問に対する回答を入力し、診断対象システムのセキュリティ診断を実行した結果(診断結果ログ)と回答とを関連付けてセキュリティ分析を行うことが記載されている。
Under such circumstances, for example, in
上記のように、セキュリティアセスメント項目の設問の回答と、診断対象システムのセキュリティ診断を実行した結果とを関連付けてセキュリティ分析することで、正確なセキュリティの分析を行うことができる。 As described above, accurate security analysis can be performed by associating the answers to the questions in the security assessment items with the results of performing the security diagnosis of the system to be diagnosed.
しかしながら、特許文献1に記載の技術のように、予め設定されているセキュリティアセスメント項目に適合させることだけに注力すると、セキュリティ対策に対して過剰投資となる場合も生じ得る。例えば、同一業種の他の企業のセキュリティ対策状況と比べた指標等の相対的な評価が得られれば、自社のセキュリティ対策が十分であるかどうか判断することができる。
However, if the focus is only on conforming to the preset security assessment items as in the technique described in
このような、相対的な評価を得る方法として、複数企業からセキュリティ対策状況についての回答を取得し、これらの回答について統計処理することが考えられる。しかしながら、一部の回答が適切でない場合(例えば、適切でないユーザから回答を得た場合)、適切でない回答も含めて相対評価してしまうことになり、正確な評価が得られない可能性がある。 As a method of obtaining such a relative evaluation, it is conceivable to obtain answers about the security measures status from a plurality of companies and statistically process these answers. However, if some of the answers are not appropriate (for example, if the answer is obtained from an inappropriate user), the relative evaluation will be made including the inappropriate answer, and an accurate evaluation may not be obtained. ..
そこで本発明の目的は、適切な回答を用いてセキュリティ対策の相対評価を提供することにある。 Therefore, an object of the present invention is to provide a relative evaluation of security measures using appropriate answers.
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。 The above and other objects and novel features of the invention will become apparent from the description and accompanying drawings herein.
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。 A brief description of the representative inventions disclosed in the present application is as follows.
本発明の代表的な実施の形態によるセキュリティ評価システムは、セキュリティ対策に関する相対評価をするセキュリティ評価システムであって、各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付ける入力受付部と、入力受付部による情報入力の適正を判断する判断部と、判断部により適正と判断された情報入力における複数の団体の回答を統計処理して、各団体におけるセキュリティ対策に関する相対評価をする評価部と、評価部による相対評価を出力する出力部と、を備える。 The security evaluation system according to a typical embodiment of the present invention is a security evaluation system that performs relative evaluation regarding security measures, and has an input reception unit that accepts information input including answers to questions regarding security measures of each organization, and input. A judgment unit that judges the appropriateness of information input by the reception department, and an evaluation department that statistically processes the responses of multiple groups in the information input judged to be appropriate by the judgment department and makes a relative evaluation of security measures in each group. It includes an output unit that outputs a relative evaluation by the evaluation unit.
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。 Among the inventions disclosed in the present application, the effects obtained by representative ones are briefly described as follows.
すなわち、本発明の代表的な実施の形態によれば、適切な回答を用いてセキュリティ対策の相対評価を提供することが可能となる。 That is, according to a typical embodiment of the present invention, it is possible to provide a relative evaluation of security measures using appropriate answers.
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。一方で、ある図において符号を付して説明した部位について、他の図の説明の際に再度の図示はしないが同一の符号を付して言及する場合がある。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In addition, in all the drawings for explaining the embodiment, the same parts are in principle the same reference numerals, and the repeated description thereof will be omitted. On the other hand, the parts described with reference numerals in one figure may be referred to with the same reference numerals in the description of other figures, although they are not shown again.
本発明の一実施の形態であるセキュリティ評価システムは、各団体(例えば、企業、学校、役所等)のセキュリティ対策の回答を取得して、この回答を統計処理して、各団体のセキュリティ対策に関する相対評価(例えば、偏差値、他ユーザの実施状況に基づいたスコア)を提供するシステムである。 The security evaluation system according to the embodiment of the present invention obtains the answers of the security measures of each organization (for example, a company, a school, a government office, etc.), statistically processes the answers, and relates to the security measures of each organization. It is a system that provides a relative evaluation (for example, a deviation value, a score based on the implementation status of another user).
セキュリティ評価システムが、セキュリティ対策に関する相対評価を提供するので、各ユーザ(例えば、企業の情報セキュリティ担当者)は、他の企業と比較してセキュリティ対策が十分であるか否かを判断することができる。 Since the security evaluation system provides a relative evaluation of security measures, each user (for example, a company's information security officer) can determine whether the security measures are sufficient compared to other companies. can.
<システム構成(概要)>
図1は、本発明の一実施の形態であるセキュリティ評価システムの構成例について概要を示した図である。セキュリティ評価システム1は、例えば、セキュリティ評価サーバ10と、インターネット等のネットワーク30を介してセキュリティ評価サーバ10(セキュリティ評価装置)に接続可能な、企業の情報セキュリティ担当者であるユーザ4が保持するパーソナルコンピュータ等の端末40とを有する。
<System configuration (overview)>
FIG. 1 is a diagram showing an outline of a configuration example of a security evaluation system according to an embodiment of the present invention. The
セキュリティ評価サーバ10は、例えば、サーバ機器やクラウドコンピューティングサービス上に構築された仮想サーバ等からなるサーバシステムであり、ユーザ4が所属する団体(例えば、会社、学校)のセキュリティ対策状況の情報を収集して記録・蓄積して、ユーザ毎のセキュリティ対策の相対評価を提供する。
The
セキュリティ評価サーバ10は、図2に示すような評価画面を提供し、相対評価の情報を提供する。図2は、評価画面の例について概要を示した図である。図2に示す評価画面は、ある団体(図2の例では、株式会社A社)のセキュリティ対策状況の相対評価を示す画面である。この評価画面では、相対評価として、他社の実施状況を考慮して算出されたセキュリティ対策状況のスコア(815点)と、偏差値(64.5)とが出力されている。このように、相対評価を提供することにより、ユーザ4は、他の企業と比較して十分なセキュリティ対策を行っているか否かを判断することができる。
The
端末40は、ユーザ4による入力操作に応じて、セキュリティ評価サーバ10に対して、上記評価を得るためのサービス要求をする。また、端末40は、上記サービス要求に応じて、セキュリティ評価サーバ10から設問を取得し、当該設問の回答をセキュリティ評価サーバ10へ送信する。また、端末40は、上記回答に基づいた相対評価を取得したり、上記回答の更新をしたりする。
The
<画面遷移>
ここで、セキュリティ評価サーバ10が、端末40からの要求に応じて提供する画面遷移を説明する。まず、セキュリティ評価サーバ10は、各ユーザの端末40からサービス要求を受け付けると、サービス受付画面を端末40へ送信する。ここで、図3を用いて、サービス受付画面を説明する。図3は、出力部14により提供されるサービス受付画面例について概要を示した図である。図3に示すように、サービス受付画面は、メールアドレスを入力する領域であるメールアドレス入力領域300、確認メール送信ボタン301、ログイン要求ボタン302を含む。ユーザ4の操作により、メールアドレス入力領域300が入力され、確認メール送信ボタン301が押下入力されると、端末40は、当該メールアドレスをセキュリティ評価サーバ10へ送信する。
<Screen transition>
Here, the screen transition provided by the
セキュリティ評価サーバ10は、これに応じて、当該メールアドレス宛てに、団体属性登録先のURLを含むメールを送信する。端末40が当該URLにアクセスすると、セキュリティ評価サーバ10は、団体属性入力画面を端末40へ送信する。
In response to this, the
ここで、図4を用いて、団体属性入力画面を説明する。図4は、団体属性入力画面例について概要を示した図である。図4に示すように、団体属性入力画面は、企業名、企業代表者名等の団体属性を入力する領域と、入力登録へ進む「入力確認画面へ」ボタンを有する。 Here, the group attribute input screen will be described with reference to FIG. FIG. 4 is a diagram showing an outline of an example of a group attribute input screen. As shown in FIG. 4, the group attribute input screen has an area for inputting group attributes such as a company name and a company representative name, and a "go to input confirmation screen" button for input registration.
端末40は、ユーザ4の操作により、団体属性を入力する領域に団体属性が入力され、「入力確認画面へ」ボタンが押下入力され、図示しない入力確認画面で入力確認した旨の指示が入力されると、団体属性を示す情報をセキュリティ評価サーバ10へ送信する。
In the
セキュリティ評価サーバ10は、団体属性を示す情報を取得した後に、上記メールアドレス宛てに、対策回答画面へのURLを含むメールを送信する。端末40が当該URLにアクセスすると、セキュリティ評価サーバ10は、対策回答画面を端末40へ送信する。
After acquiring the information indicating the group attribute, the
ここで、図5を用いて、対策回答画面を説明する。図5は、対策回答画面の例について概要を示した図である。図5に示すように、対策回答画面は、設問と、当該設問の回答の入力部分と、保存要求を示す「現在の内容を保存」ボタンとを含む。図5に示すように、設問の例として、「自社のビジネス特性を把握したうえで、情報セキュリティリスクを特定」等がある。また、当該設問の回答(「いいえ」、「はい」等)を選択する部分がある。なお、回答の選択肢は、予め任意に設定することができ、例えば、後述する図7に示すとおり、「実施/一部実施/未実施/該当なし」、「未実施/定義した/文書化した/実施した/見直しした/該当なし」等のように設定することができる。また、図5に示す対策回答画面は、カテゴリ毎に設問を含む。図5の例では、「戦略」のカテゴリを示す設問を示している。 Here, the countermeasure answer screen will be described with reference to FIG. FIG. 5 is a diagram showing an outline of an example of a countermeasure response screen. As shown in FIG. 5, the countermeasure answer screen includes a question, an input portion of the answer to the question, and a "save current content" button indicating a save request. As shown in FIG. 5, as an example of a question, there is "identify an information security risk after understanding the business characteristics of the company". In addition, there is a part to select the answer to the question (“No”, “Yes”, etc.). The answer options can be arbitrarily set in advance. For example, as shown in FIG. 7, which will be described later, "implemented / partially implemented / not implemented / not applicable" and "not implemented / defined / documented". It can be set as "/ implemented / reviewed / not applicable". Further, the countermeasure answer screen shown in FIG. 5 includes questions for each category. In the example of FIG. 5, a question indicating the category of "strategy" is shown.
端末40は、ユーザ4による入力操作により、対策回答画面において回答が入力され、「現在の内容を保存」ボタンが選択されると、各設問の回答をセキュリティ評価サーバ10へ送信する。
The terminal 40 inputs an answer on the countermeasure answer screen by an input operation by the
セキュリティ評価サーバ10は、当該回答を受け付けると、当該回答に基づいた相対評価結果を含む評価画面(図2)を端末40へ送信する。
Upon receiving the answer, the
また、図3に示したサービス受付画面において、ログイン要求ボタン302が押下されると、図示しないログイン画面を端末40へ送信し、当該ログイン画面でログイン情報が入力されると、端末40は、当該ログイン情報をセキュリティ評価サーバ10へ送信する。セキュリティ評価サーバ10は、これに応じて修正用画面を端末40へ送信する。
Further, on the service reception screen shown in FIG. 3, when the
ここで、図6を用いて、修正用画面と修正結果画面について説明する。図6は、セキュリティ評価サーバ10により提供される修正用画面310と、セキュリティ評価サーバ10により提供される修正結果画面320との例について概要を示した図である。
Here, the correction screen and the correction result screen will be described with reference to FIG. FIG. 6 is a diagram showing an outline of an example of a
修正用画面310は、カテゴリごとのスコア(戦略カテゴリ 184点/250点等)、設問、現状の回答、チェックボックス311、シミュレーション要求ボタン312を含む。現状の回答が、「未実施」である設問に対応するチェックボックス311にチェックを入力した状態で、シミュレーション要求ボタン312が押下されると、端末40は、チェックした設問を示す情報(例えば、設問の識別情報)等を含む更新箇所を送信すると共に、セキュリティ評価サーバ10へ更新要求をする。
The
セキュリティ評価サーバ10は、当該更新要求に応じて、修正結果画面320(修正結果画面320A~320C)を端末40へ提供する。修正結果画面320は、現在のスコアと、修正内容を反映した場合のスコア(実施後のスコア)を含む。
The
<セキュリティ評価サーバの機能説明>
図1に戻り、セキュリティ評価サーバ10の機能説明をする。セキュリティ評価サーバ10は、図示しないCPU(Central Processing Unit)により、メモリ上に展開されたOS(Operating System)やDBMS(DataBase Management System)、Webサーバプログラム等のミドルウェアや、この上で稼働するソフトウェアを実行することにより、後述する各部の機能を実現する。本実施の形態では、図示するように、例えば、ソフトウェアとして実装された入力受付部11、判断部12、評価部13、および出力部14等の各部を有する。また、図示しないHDD(Hard Disk Drive)等の記憶装置に記録された企業関係DB15、正解DB16(正解情報記憶部)、顧客DB17、設問DB18、配点DB19、回答DB20、および評価結果DB21等の各データストアを有する。
<Function explanation of security evaluation server>
Returning to FIG. 1, the function of the
入力受付部11は、各ユーザ4のセキュリティ対策に関する設問の回答を含む情報入力を受け付ける部分である。入力受付部11は、各ユーザ4の端末40からサービス要求を受け付ける。入力受付部11は、当該サービス要求を受け付けると、出力部14にサービス要求を通知する。
The input receiving unit 11 is a part that receives information input including answers to questions regarding security measures of each
また、入力受付部11は、端末40からメールアドレスの入力を受け付ける。入力受付部11は、当該メールアドレスを記憶して、出力部14に対してメールアドレスを送出し、当該メールアドレス宛てに団体属性登録先のURLを含むメールの送信要求をする。入力受付部11は、端末40から上記メールに含まれるURLへのアクセス要求を受け付けると、出力部14へ団体属性入力画面の出力要求を送出する。
Further, the input receiving unit 11 accepts the input of the e-mail address from the terminal 40. The input reception unit 11 stores the e-mail address, sends the e-mail address to the
また、入力受付部11は、端末40から団体属性を示す情報を受け付ける。入力受付部11は、この団体属性を示す情報およびメールアドレスを判断部12へ送出し、属性チェック要求をする。入力受付部11は、属性チェック要求に応じて、判断部12から属性が適切である旨の回答を受け付けた場合、出力部14に対して、記憶していたメールアドレス宛てに対策回答画面のURLを含むメールの送信要求をする。
Further, the input receiving unit 11 receives information indicating the group attribute from the terminal 40. The input reception unit 11 sends information indicating this group attribute and an e-mail address to the
入力受付部11は、端末40が当該メールに含まれるURLへアクセスした旨を受け付けると、出力部14に対して、対策回答画面の送信要求をする。
When the input receiving unit 11 receives that the terminal 40 has accessed the URL included in the mail, the input receiving unit 11 requests the
なお、出力部14は、設問DB18を参照して、対策回答画面を生成して、当該対策回答画面を送信する。ここで、図7を用いて設問DB18が記憶している情報を説明する。図7は、設問DB18が記憶しているデータのデータ構造の概要を示す図である。図7に示すように、設問の識別番号(#)、設問、回答選択肢の各項目を有する。設問の識別番号は、各設問を識別するための番号である。設問は、設問の内容である。回答選択肢は、対応する設問の選択肢である。選択肢の例として、「実施(はい)/一部実施/未実施(いいえ)/(n/a)」、「定義した/文書化した/実施した/見直しした/該当なし」がある。なお、選択肢が定義した、文書化した等である設問をA群の設問という。また、選択肢が、実施、一部実施、未実施等である設問をB群の設問という。また、設問DB18は、各設問のカテゴリ(大カテゴリ、中カテゴリ)、各設問の難易度、各設問の関連性を示す情報を含む。
The
入力受付部11は、端末40から送信された回答を受け付けて、当該回答を判断部12へ送出する。また、入力受付部11は、対策回答画面を端末40へ送信した時刻および回答を受け付けた時刻も判断部12へ送出する。
The input receiving unit 11 receives the answer transmitted from the terminal 40 and sends the answer to the
入力受付部11は、既に回答を受付済みの団体からログインを受け付けた場合、出力部14に対して、ログインに用いられたユーザIDを送出すると共に、回答を修正するための画面である修正用画面の送信要求をする。
When the input reception unit 11 receives a login from an organization that has already received an answer, the input reception unit 11 sends the user ID used for login to the
入力受付部11は、端末40から更新箇所と共に更新要求(更新入力)を受け付けると、判断部12へ当該更新箇所と、当該端末40に対応するユーザIDと、更新要求である旨を送出する。
When the input receiving unit 11 receives an update request (update input) from the terminal 40 together with the update location, it sends out the update location, the user ID corresponding to the terminal 40, and the fact that the update request is made to the
判断部12は、入力受付部11による情報入力の適正を判断する部分である。判断部12は、入力受付部11により受け付けられた団体属性を示す情報と、予め記憶している正解属性情報とを比較した結果に基づいて、入力受付部11により入力された内容の適正を判断する。
The
具体的に、判断部12は、入力受付部11により、メールアドレスを含む団体属性を取得すると、正解DB16を参照する。ここで、図8を用いて団体属性のチェックについて説明する。図8は、属性チェック方法について概要を説明する図である。まず、図8(a)を用いて、正解DB16が記憶している情報を説明する。図8(a)は、正解DB16が記憶しているデータのデータ構造の概要を示す図である。図8(a)に示すように、「企業」、「勤め人」、「メールドメイン」の各項目を有する。
Specifically, when the
「企業」は、企業名である。「勤め人」は、企業に勤める社員の名前である。「メールドメイン」は、企業のメールアドレスのドメイン部分である。判断部12は、入力受付部11により取得した属性のうち、登録企業名と同一の正解DB16の企業名に対応するメールドメインが、入力受付部11により取得したメールアドレスのドメイン部分と一致するか否かを判断する。判断部12は、当該判断の結果、一致する場合において、同一企業で最初に登録要求した担当者であれば、適正な属性入力であると判断する。
"Company" is a company name. "Worker" is the name of an employee who works for a company. "Email domain" is the domain part of a company's email address. In the
一方、判断部12は、入力受付部11から取得したメールアドレスのドメイン部分と、正解データDB12のメールドメインとが一致していないと判断した場合、適正な属性入力でないと判断する。また、判断部12は、入力受付部11から取得したメールアドレスのドメイン部分と、正解データDB12のメールドメインとが一致したとしても、既に同一企業に所属する別の担当者から登録要求がなされている場合、適正な属性入力でないと判断する。
On the other hand, if the
判断部12による判断例について図8(b)を用いて説明する。図8(b)は、正解データを用いて属性入力が適切か否かを判断した結果の例である。この例では、登録順と、分析パターン(判断結果)と、登録企業名と、担当者のメールアドレスと、確認の要否とを有する。なお、確認の要否とは、エラーメッセージを出力する要否を示す。
An example of determination by the
登録順1番目のケースは、B社と登録されたにも関わらず、メールアドレスのドメインがA社のものであるので、「なりすまし?」という判断結果となっている。この場合、判断部12は、属性入力が適正でないと判断する。登録順2番目のケースは、登録企業名がA社であり、メールアドレスのドメインがA社のものであり、且つ、A社で最初に登録しているので、適正な属性入力という判断結果となっている。
In the first case in the order of registration, even though the company was registered as company B, the domain of the e-mail address belongs to company A, so the judgment result is "impersonation?". In this case, the
登録順3番目のケースは、登録企業名がA社であり、メールアドレスのドメインがA社のものであるが、A社で2人目になるため、「同一社名ドメイン2人目」という判断結果になっている。この場合、判断部12は、属性入力が適正でないと判断する。これは、一の団体から複数の回答を許容して、そのような回答を用いて相対評価してしまうと、適切な相対評価が得られないためである。
In the third case in the order of registration, the registered company name is company A and the domain of the e-mail address is that of company A, but since company A is the second person, the judgment result is "the second person in the same company name domain". It has become. In this case, the
判断部12は、適正な属性が入力されていると判断した場合、入力受付部11へ適正である旨の回答をする。また、判断部12は、適正な属性が入力されていると判断した場合、入力された属性を顧客DB17へ登録する。なお、判断部12は、属性の識別情報(ユーザID等ログインに必要な情報)を生成し、上記属性と対応付けて顧客DB17へ登録する。また、判断部12は、企業間の関係性を定義したデータベースである企業関係DB15を参照し、上記属性の企業名に対応する企業グループ情報(当該企業が属する企業グループを示す情報)、業種情報(当該企業の業種を示す情報)を取得する。判断部12は、これらの情報も上記属性と対応付けて顧客DB17へ登録する。
When the
また、判断部12は、適正な属性が入力されていないと判断した場合、入力受付部11へ適正でない旨の回答をする。入力受付部11は、これに応じて、出力部14に端末40へ属性エラーメッセージを出力する。なお、ユーザが使用する端末40へ属性エラーメッセージを出力するかわりに、適正でないと判断されたユーザの情報を、図示しない本セキュリティ評価システムの管理者ユーザあるいは、オペレータが使用する端末等へ送信するようにしてもよく、例えば、オペレータから電話やメール等の手段によって個別に対象ユーザへ連絡するようにしてもよい。また、端末40へ属性エラーメッセージを出力する処理と、適正でないと判断されたユーザの情報を管理者ユーザあるいはオペレータが使用する端末等へ送信する処理を同時に行うようにしてもよい。
Further, when the
また、判断部12は、入力受付部11により受け付けられた回答の内容に基づいて、入力受付部11による入力の適正を判断する。判断部12は、入力受付部11から入力日時と、回答取得日時と、回答の内容とを取得すると、回答に基づいた判断(回答チェック)をする。
Further, the
ここで、図9に、判断部12が、回答の内容に基づいて判断するロジックの例を示す。図9に記載のように、判断部12は、5つの観点で回答の内容に基づいて入力の適正を判断する。判断部12は、1番目の観点である「全ての回答を右端/左端を選択」について判断する。具体的に、判断部12は、回答全体を参照し、回答画面の回答部分の右端の選択肢または左端の選択肢のみ選択されていると判断した場合、入力が適正でないと判断する。
Here, FIG. 9 shows an example of a logic in which the
また、判断部12は、2番目の観点である「回答をジグザグに選択」について判断する。具体的に、判断部12は、回答全体を参照し、回答が上の設問から下の設問に向けて一つずつずれるように回答しているか否かを判断する。判断部12は、この判断に基づき、回答をジグザグに選択していると判断した場合、入力が適正でないと判断する。このように、判断部12は、1番目および2番目の観点に基づき、所定のパターンに属するか否かに基づいて入力が適正か否か判断する。
Further, the
また、判断部12は、3番目の観点である「回答にかける時間が極端に短い」について判断する。具体的に、判断部12は、入力受付部11から入力日時と、回答取得日時とに基づいて回答時間を算出する。判断部12は、当該回答時間が、予め定めている閾値より短い場合、回答にかける時間が極端に短いと判断する。このように、判断部12は、入力速度に基づいて、入力が適正か否か判断する。
Further, the
また、判断部12は、4番目の観点である「似た設問で回答が異なる」について判断する。具体的に、判断部12は、設問DB18で定義されている互いに関連する設問の回答が一致しない場合、入力が適切でないと判断する。
Further, the
また、判断部12は、5番目の観点である「簡易な対策は未実施なのに、高度な対策は実施していると選択」について判断する。具体的に、判断部12は、設問DB18で定義されている各設問の難易度を参照し、未実施と選択されている設問より難易度が高い設問が実施と選択されている場合、入力が適切でないと判断する。このように、判断部12は、4番目および5番目の観点に基づき、回答に矛盾があるか否かに基づいて入力が適正か否か判断する。
In addition, the
判断部12は、1~5番目の観点の何れかについて、入力が適正でないと判断した場合、回答が適正でない旨の情報を付加して回答を回答DB20に登録する。また、判断部12は、適正な入力されていないと判断した場合、入力受付部11へ入力が適正でない旨の回答をする。入力受付部11は、これに応じて、出力部14に端末40へ回答エラーメッセージを出力する。
When the
また、判断部12は、1~5番目の観点の何れについても、入力が適正でないと判断していない場合、入力が適正であると判断し、入力が適正でない旨の情報を付加することなく、回答を回答DB20に登録し、評価部13にユーザIDと、回答を送出する。
Further, if the
なお、判断部12は、回答を回答DB20に登録する場合、ユーザIDおよび当該ユーザが属する企業を示す情報を対応付けて回答を登録する。
When registering the answer in the
また、判断部12は、入力受付部11によって受け付けられた更新入力(更新要求)の頻度に基づいて入力の適正を判断する。判断部12は、ユーザIDと、更新箇所と、更新である旨(更新要求)を取得する。
Further, the
判断部12は、更新である旨を取得する度に、ユーザIDと、更新要求時刻とを対応付けた情報を記憶している。判断部12は、当該情報を参照して、直近の所定期間内において、更新頻度(例えば、1日に更新100回)が高い場合、入力が適正ではないと判断する。
The
また、判断部12は、回答DB20を参照して、当該ユーザIDに対応する回答を取得して、当該回答に更新箇所を適用した場合における、図9の1、2、4、5の観点について判断して、入力の適正を判断してもよい。判断部12は、入力が適正でないと判断した場合、回答DB20におけるデータに対して、当該ユーザIDに対応する回答に入力が適正でない旨の情報を付加する。また、判断部12は、適正な入力されていないと判断した場合、入力受付部11へ入力が適正でない旨の回答をする。入力受付部11は、これに応じて、出力部14に端末40へ回答エラーメッセージを出力する。一方、判断部12は、上記更新頻度が高くない場合(すなわち入力が適正であると判断した場合)、ユーザIDと、更新箇所とを評価部13へ送出する。
Further, the
評価部13は、判断部12により適正と判断された情報入力の回答を統計処理して、各企業のセキュリティ対策に関する相対評価をする部分である。評価部13は、判断部12からユーザIDと、回答とを取得すると、当該回答に基づいて相対評価を開始する。
The
評価部13は、相対評価として、他社の実施値を加味した当該回答のスコアを算出する。評価部13は、回答の設問ごとに設定されている配点と、大カテゴリごとに設定されている調整係数と、各設問の回答内容に対応する値とを乗算した値が、各設問のスコアである。調整係数および配点は、配点DB19に予め記憶されている。
As a relative evaluation, the
図10を用いて、各設問のスコアを算出する方法について説明する。図10は、各設問のスコアを算出する方法について概要を示した図である。前提として1000点満点とする。大カテゴリごとで配点を分ける。例えば、大カテゴリが、「戦略」、「人・組織」、「技術」、「有事」の4つの場合、各大カテゴリのスコアは、1000/4=250点となる。続いて、調整係数について説明する。調整係数は、各大カテゴリのスコアを各大カテゴリに属するエレメンツ(設問)の数で除算した値になる。ある大カテゴリの設問が10ある場合、調整係数は、250/10=25となる。 A method of calculating the score of each question will be described with reference to FIG. FIG. 10 is a diagram showing an outline of a method of calculating the score of each question. As a premise, the maximum score is 1000 points. Divide the points for each major category. For example, if there are four major categories, "strategy," "person / organization," "technology," and "emergency," the score for each major category is 1000/4 = 250 points. Next, the adjustment coefficient will be described. The adjustment coefficient is the value obtained by dividing the score of each major category by the number of elements (questions) belonging to each major category. If there are 10 questions in a large category, the adjustment factor is 250/10 = 25.
また、各設問の回答内容に対応する値(各社結果)は、回答内容に基づいて定められている。具体的には、A群の設問の場合、「未実施」は、0点、「定義した」は、0.25点、「文書化した」は、0.5点、「実施した」は、0.75点、「見直しした」は、1点となる。B群の設問の場合、該当なしを示す「未実施」は、0点、「一部実施」は、0.5点、「実施済み」は1点となる。また、A群・B群どちらにおいても自組織に対策が当てはまらないことを示す「該当なし」は、1点となる。 In addition, the values corresponding to the answers to each question (results of each company) are determined based on the answers. Specifically, in the case of the questions in Group A, "not implemented" is 0 points, "defined" is 0.25 points, "documented" is 0.5 points, and "implemented" is. 0.75 points and "reviewed" are 1 point. In the case of the question of group B, "not implemented" indicating not applicable is 0 point, "partially implemented" is 0.5 point, and "completed" is 1 point. In addition, "Not applicable" indicating that the measures do not apply to the own organization in either Group A or Group B is 1 point.
続いて、配点について説明する。まず、図10に記載の「他社実施値」について説明する。「他社実施値」は、回答DB20に記憶されている回答のうち、入力が適正でない旨の情報が付加されていない回答(有効な回答)における、設問毎の各社結果の平均値である(Si_1等)。また、Siは、大カテゴリの下位カテゴリである中カテゴリに属する設問の他社実施値の合計である。このように、評価部13は、複数の企業の回答の内容を統計処理した結果(他社実施値)を用いて相対評価する。
Next, the points will be described. First, the “values implemented by other companies” shown in FIG. 10 will be described. "Other company's implementation value" is the average value of each company's result for each question in the answer (valid answer) to which the information that the input is not appropriate is added among the answers stored in the answer DB 20 (S). i_1 etc.). In addition, Si is the total of the values performed by other companies in the questions belonging to the middle category, which is a subcategory of the large category. In this way, the
「システム重み」は、セキュリティ評価する事業者が、設問毎に設定した値である(例えば、Ti_1)。また、Tiは、中カテゴリに属する設問のシステム重みの合計である。 The "system weight" is a value set for each question by the business operator who evaluates security (for example, Ti_1 ). Ti is the sum of the system weights of the questions belonging to the middle category.
「配点」は、上記他社実施値、システム重みに基づいた値である。具体的に、設問Ckの他社実施値がSi_kであり、設問Ckのシステム重みがTi_kである場合、設問Ckの配点は、{s(Si_k/Si)+t(Ti_k/Ti)}*100となる。なお、ここで、sおよびtは、係数であり、例えば、sが0.3、tが0.7である(sおよびtの値を合計すると1.0となる)。 The "point allocation" is a value based on the above-mentioned other company's implementation value and system weight. Specifically, when the other company's implementation value of question C k is S i_k and the system weight of question C k is Ti_k , the score of question C k is {s (S i_k / S i ) + t (T i_k ). / Ti) } * 100. Here, s and t are coefficients, for example, s is 0.3 and t is 0.7 (the sum of the values of s and t is 1.0).
なお、配点および調整係数は、予め配点DB19に記憶されており、配点DB19に記憶された配点および調整係数は、他社実施値の変化等に応じて自動的に更新されるようにしてもよく、本セキュリティ評価システムの管理者によって任意のタイミングで更新できるようにしてもよい。評価部13は、評価する度に、配点DB19から配点および調整係数を取得する。なお、評価部13は、一定時間毎(例えば、1週間毎)、回答DB20に記憶されている回答(適正でない旨の情報が付されていない回答)を参照して、配点を計算して、計算した結果を配点DB19へ記憶する。
The points and adjustment coefficients are stored in the
「点数」は、上記「配点」と同値である(例えば、設問Ckの点数は、Uk)。評価部13は、設問Ckのスコアとして、各社結果Xkと点数Ukと調整係数とを乗算する。また、評価部13は、大カテゴリ毎に、当該大カテゴリに属する設問のスコアを集計する。この集計結果が、大カテゴリのスコアとなる。
The “score” is the same as the above “score” (for example, the score of question C k is U k ). The
また、評価部13は、評価結果DB21を参照して、各ユーザの大カテゴリ毎のスコアを取得して、これらのスコアを用いて、大カテゴリ毎の偏差値を算出する。評価部13は、当該大カテゴリ毎のスコアと、偏差値とを出力部14へ送出する。また、評価部13は、ユーザIDと、大カテゴリ毎のスコアと、偏差値とを含む評価情報を評価結果DB21へ登録する。
Further, the
また、評価部13は、判断部12からユーザIDと共に更新箇所(更新対象の設問、更新後の回答)を取得した場合、当該ユーザIDに対応する回答を回答DB20から取得する。また、評価部13は、評価情報を評価結果DB21から取得する。また、評価部13は、配点DB19から配点、調整係数を取得する。評価部13は、更新箇所の設問について、当該更新後の回答と、配点と、調整係数とを用いて更新後のスコアを大カテゴリ毎に算出する。また、当該更新後のスコアに基づいて、大カテゴリ毎の偏差値を算出する。
Further, when the
評価部13は、大カテゴリ毎の更新前のスコアと、更新後のスコアと、更新前の偏差値と、更新後の偏差値とを出力部14へ送出する。また、評価部13は、当該更新箇所に基づいて、回答DB20を更新する。また、評価部13は、更新後のスコアおよび偏差値に基づいて、評価結果DB21を更新する。
The
出力部14は、端末40へ情報出力する部分である。出力部14は、入力受付部11からサービス要求を受け付けると、サービス受付画面を端末40へ出力する。
The
出力部14は、入力受付部11からメールアドレスを取得し、団体属性登録先のURLを含むメールの送信要求を受け付けると、上記メールアドレス宛てに当該メールを生成し、送信する。
When the
出力部14は、入力受付部11から団体属性入力画面の出力要求を受け付けると、当該団体属性入力画面を端末40へ出力する。
When the
出力部14は、入力受付部11からメールアドレスを取得し、対策回答画面のURLを含むメールの送信要求を受け付けると、上記メールアドレス宛てに当該メールを生成し、送信する。
When the
出力部14は、入力受付部11から対策回答画面の送信要求を受け付けると、対策回答画面を端末40へ送信する。
When the
出力部14は、入力受付部11から要求元のユーザIDを受信すると共に、修正用画面の送信要求を受け付けると、回答DB20を参照し、当該ユーザIDに対応する回答を取得する。また、出力部14は、評価結果DB21を参照して、ユーザIDに対応する評価情報を出力する。出力部14は、当該回答と評価を含めた更新画面を生成し、当該更新画面を端末40へ出力する。
When the
また、出力部14は、評価部13から大カテゴリ毎のスコアと、偏差値とを取得した場合、当該大カテゴリ毎のスコアと、偏差値とを含む評価画面を生成し、当該評価画面を端末40へ出力する。
Further, when the
また、出力部14は、評価部13から大カテゴリ毎の更新前のスコアと、更新後のスコアと、更新前の偏差値と、更新後の偏差値とを取得すると、これらの情報を含む修正結果画面320を生成し、当該修正結果画面320を端末40へ送出する。
Further, when the
<処理の流れ>
図11は、本実施の形態における、端末40から入力された情報の適正を判断し、相対評価を提供する処理の流れの例について概要を示した図である。
<Processing flow>
FIG. 11 is a diagram showing an outline of an example of a processing flow for determining the appropriateness of information input from the terminal 40 and providing a relative evaluation in the present embodiment.
まず、ユーザ4の入力操作により、端末40は、メールアドレスや企業名等の属性(団体属性)をセキュリティ評価サーバ10へ送信する(S01)。セキュリティ評価サーバ10では、入力された属性と、正解情報とを比較して、属性チェックをする(S02)。
First, by the input operation of the
セキュリティ評価サーバ10は、属性チェックの結果、入力が適正であれば、対策回答画面を端末40へ送信する(S03)。端末40は、当該対策回答画面に入力された回答をセキュリティ評価サーバ10へ送信する(S04)。セキュリティ評価サーバ10は、当該回答について、回答チェックする(S05)。セキュリティ評価サーバ10は、回答チェックの結果、入力が適切であれば、相対評価をして、評価結果画面を端末40へ送信する(S06)。端末40は、当該評価画面を表示して、一連の処理を終了する(S07)。
If the input is appropriate as a result of the attribute check, the
上述の実施形態では、判断部12が、回答内容に基づいて入力が適切か否かを判断する場合について述べたが、システム証跡監査ツールの結果をさらに取得し、当該システム証跡監査ツールの結果と、回答とを比較して、この比較した結果に基づいて、入力が適切か否かを判断するようにしてもよい。
In the above-described embodiment, the case where the
ここで、図12に、ユーザの自己申告とシステム証跡の結果との比較例を示す。設問「SOC等によるセキュリティログの監視」は、ユーザの自己申告(回答)、システム証跡(システム証跡監査ツールの結果)共に実施済みであるので、適切に回答されていると判断できる。設問「標的型メール訓練実施」は、ユーザの自己申告が未実施になっているにも関わらず、システム証跡が実施済みである。これは、回答ミス(回答漏れ)の可能性がある。設問「外部委託先管理・監査」は、ユーザの自己申告が見直ししたになっており、システム証跡が実施したになっている。これは、自己申告が誤っている可能性がある。 Here, FIG. 12 shows an example of comparison between the user's self-report and the result of the system trail. Since the question "monitoring of security logs by SOC, etc." has already been carried out for both the user's self-report (answer) and the system trail (result of the system trail audit tool), it can be judged that the answer is appropriate. For the question "Implementation of targeted email training", the system trail has already been implemented even though the user's self-report has not been implemented. This may be an answer error (missing answer). The question "Outsourced contractor management / audit" has been reviewed by the user's self-report, and has been carried out by the system trail. This may be an incorrect self-assessment.
上記のような、回答ミスや自己申告が誤っている回答が、予め設定されている閾値と比較して多い場合、判断部12は、入力が適正でないと判断してもよい。これにより、セキュリティ評価サーバ10が、信用性の乏しい回答を用いて相対評価してしまうことを回避することができる。
When the number of answers such as those with incorrect answers or incorrect self-reports is larger than the preset threshold value, the
また、上述の実施形態では、判断部12が、入力日時と、回答取得日時とに基づいた回答時間により、回答にかける時間が極端に短いか否かを判断する場合について述べたが、設問単位の回答時間を取得し、当該回答時間に基づき回答にかける時間が極端に短いか否かを判断するようにしてもよい。
Further, in the above-described embodiment, the case where the
また、評価画面において、各団体における設問またはカテゴリ毎のヒートマップを表示するようにしてもよい。 Further, on the evaluation screen, a question in each organization or a heat map for each category may be displayed.
また、企業グループ毎、業種毎に他社実施値を算出し、企業グループ毎、業種毎に当該他社実施値を有する配点を配点DB19で記憶しておいてもよい。この場合、評価部13は、この配点を用いることにより、企業グループ単位、業種単位で相対評価をすることができる。
Further, the implementation value of another company may be calculated for each corporate group and each industry, and the allocation points having the implementation value of the other company for each company group and each industry may be stored in the
以上説明したように、入力受付部11が、各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付け、判断部12が、情報入力の適正を判断して、評価部13が、判断部12によって適正と判断された回答を統計処理して相対評価を行う。これにより、不正回答または、不正なユーザからの入力内容を除去して相対評価することができる。すなわち、セキュリティ評価サーバ10は、適切な回答を用いてセキュリティ対策の相対評価を提供できる。
As described above, the input reception unit 11 receives the information input including the answers to the questions regarding the security measures of each organization, the
また、判断部12は、入力受付部11により受け付けられた団体に関する属性を示す情報(メールアドレス、企業名等)と、正解属性情報とを比較した結果に基づいて、入力の適正を判断する。これによれば、セキュリティ評価サーバ10は、なりすましの入力等、適切に属性が入力されていないユーザからの設問の回答を受け付けないようにすることができるので、そのような回答を除去して相対評価することができる。すなわち、セキュリティ評価サーバ10は、適切にセキュリティ対策の相対評価をすることができる。
Further, the
また、判断部12は、回答の内容に基づいて、入力の適正を判断するので、不正回答を用いて相対評価してしまうことを回避することができる。具体的に、判断部12は、回答内容が予め定められたパターン(左端のみの回答等)に属するか否かに基づいて、入力の適正を判断する。これにより、セキュリティ評価サーバ10は、不正回答の蓋然性が高い、単純パターンの回答を適切に特定でき、そのような回答を除去して相対評価することができる。
Further, since the
また、判断部12は、互いに関連する設問のそれぞれの回答に矛盾があるか否かに基づいて入力の適正を判断する。これにより、セキュリティ評価サーバ10は、不正回答の蓋然性が高い、回答に矛盾がある回答を特定することができ、そのような回答を除去して相対評価することができる。
Further, the
また、判断部12は、回答の入力速度に基づいて入力の適正を判断するので、雑に回答している回答(不正回答の蓋然性が高い回答)を特定することができる。
Further, since the
また、判断部12は、更新入力の頻度に基づいて、入力の適正を判断するので、ロジック解析を目的とするユーザや、適切に検証せずに入力しているユーザによる回答を特定することができる。この結果、セキュリティ評価サーバ10は、上記のような回答を除去して相対評価することができる。
Further, since the
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は上記の実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。例えば、上記の実施の形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、上記の実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 Although the invention made by the present inventor has been specifically described above based on the embodiment, the present invention is not limited to the above embodiment and can be variously modified without departing from the gist thereof. Needless to say. For example, the above-described embodiment has been described in detail in order to explain the present invention in an easy-to-understand manner, and is not necessarily limited to the one including all the described configurations. Further, it is possible to add / delete / replace a part of the configuration of the above embodiment with another configuration.
また、上記の各構成、機能、処理部、処理手段等は、それらの一部または全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記録装置、またはICカード、SDカード、DVD等の記録媒体に置くことができる。 Further, each of the above configurations, functions, processing units, processing means and the like may be realized by hardware by designing a part or all of them by, for example, an integrated circuit. Further, each of the above configurations, functions, and the like may be realized by software by the processor interpreting and executing a program that realizes each function. Information such as programs, tables, and files that realize each function can be placed in a memory, a hard disk, a recording device such as an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, or a DVD.
また、上記の各図において、制御線や情報線は説明上必要と考えられるものを示しており、必ずしも実装上の全ての制御線や情報線を示しているとは限らない。実際にはほとんど全ての構成が相互に接続されていると考えてもよい。 Further, in each of the above figures, the control lines and information lines are shown as necessary for explanation, and do not necessarily show all the control lines and information lines in mounting. In practice, it can be considered that almost all configurations are interconnected.
本発明は、情報処理システムにより各団体のセキュリティ対策に関する設問の回答を統計処理するセキュリティ評価システムおよびセキュリティ評価方法に利用可能である。 The present invention can be used as a security evaluation system and a security evaluation method for statistically processing the answers to questions regarding security measures of each organization by an information processing system.
1…セキュリティ評価システム、
10…セキュリティ評価サーバ、11…入力受付部、12…判断部、13…評価部、14…出力部、15…企業関係DB、16…正解DB、17…顧客DB、18…設問DB、19…配点DB、20…回答DB、21…評価結果DB、
30…ネットワーク、
40…端末。
1 ... Security evaluation system,
10 ... Security evaluation server, 11 ... Input reception unit, 12 ... Judgment unit, 13 ... Evaluation department, 14 ... Output unit, 15 ... Corporate relations DB, 16 ... Correct answer DB, 17 ... Customer DB, 18 ... Question DB, 19 ... Score DB, 20 ... Answer DB, 21 ... Evaluation result DB,
30 ... Network,
40 ... Terminal.
Claims (4)
各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付ける入力受付部と、
前記入力受付部による情報入力の適正を判断する判断部と、
前記判断部により適正と判断された情報入力における複数の団体の回答を統計処理して、各団体におけるセキュリティ対策に関する相対評価をする評価部と、
前記評価部による相対評価を出力する出力部と、
を備え、
前記団体に対し修正用画面を提供し、
前記修正用画面は、前記団体の相対評価と、前記設問と、現状の回答と、チェックボックスと、シミュレーション要求ボタンと、を含み、
前記団体が、前記修正用画面で、前記現状の回答が未実施である前記設問の前記チェックボックスにチェックを入力した状態で、前記シミュレーション要求ボタンが押された場合に、前記チェックが入力された設問の情報とともに更新要求を受け付け、
前記更新要求に応じて、前記団体に対し修正結果画面を提供し、
前記修正結果画面は、前記団体の現在の相対評価と、前記チェックが入力された設問について実施の対応をしたシミュレーションの結果を反映した場合の相対評価と、を含む、
セキュリティ評価システム。 It is a security evaluation system that makes relative evaluations regarding security measures.
An input reception unit that accepts information input including answers to questions about security measures of each organization,
A judgment unit that determines the appropriateness of information input by the input reception unit, and
An evaluation department that statistically processes the responses of multiple groups in the information input judged to be appropriate by the judgment unit and makes a relative evaluation regarding security measures in each group.
An output unit that outputs a relative evaluation by the evaluation unit and
Equipped with
Providing a correction screen to the group,
The correction screen includes a relative evaluation of the group, the question, the current answer, a check box, and a simulation request button.
The check was entered when the simulation request button was pressed while the group had entered a check in the check box of the question for which the current answer had not been implemented on the correction screen. Accepting the update request along with the question information,
In response to the update request, provide the correction result screen to the organization,
The correction result screen includes the current relative evaluation of the organization and the relative evaluation when the result of the simulation corresponding to the implementation of the question to which the check is input is reflected.
Security rating system.
各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付ける入力受付部と、
前記入力受付部による情報入力の適正を判断する判断部と、
前記判断部により適正と判断された情報入力における複数の団体の回答を統計処理して、各団体におけるセキュリティ対策に関する相対評価をする評価部と、
前記評価部による相対評価を出力する出力部と、
を備え、
前記入力受付部は、前記回答の更新入力を受け付け、
前記判断部は、前記更新入力の頻度に基づいて、前記入力受付部による入力の適正を判断する、セキュリティ評価システム。 It is a security evaluation system that makes relative evaluations regarding security measures.
An input reception unit that accepts information input including answers to questions about security measures of each organization,
A judgment unit that determines the appropriateness of information input by the input reception unit, and
An evaluation department that statistically processes the responses of multiple groups in the information input judged to be appropriate by the judgment unit and makes a relative evaluation regarding security measures in each group.
An output unit that outputs a relative evaluation by the evaluation unit and
Equipped with
The input reception unit receives the update input of the answer and receives the update input.
The determination unit is a security evaluation system that determines the appropriateness of input by the input reception unit based on the frequency of the update input.
各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付ける入力受付ステップと、
前記入力受付ステップで受け付けた情報入力の適正を判断する判断ステップと、
前記判断ステップで適正と判断された情報入力における複数の団体の回答を統計処理して、各団体におけるセキュリティ対策に関する相対評価をする評価ステップと、
前記評価ステップによる相対評価を出力する出力ステップと、
前記団体に対し、修正用画面として、前記団体の相対評価と、前記設問と、現状の回答と、チェックボックスと、シミュレーション要求ボタンと、を含む前記修正用画面を提供するステップと、
前記団体が、前記修正用画面で、前記現状の回答が未実施である前記設問の前記チェックボックスにチェックを入力した状態で、前記シミュレーション要求ボタンが押された場合に、前記チェックが入力された設問の情報とともに更新要求を受け付けるステップと、
前記更新要求に応じて、前記団体に対し、修正結果画面として、前記団体の現在の相対評価と、前記チェックが入力された設問について実施の対応をしたシミュレーションの結果を反映した場合の相対評価と、を含む前記修正結果画面を提供するステップと、
を有する、セキュリティ評価方法。 It is a security evaluation method executed by a security evaluation system that makes a relative evaluation of security measures.
An input reception step that accepts information input including answers to questions about security measures of each organization,
A judgment step for determining the appropriateness of the information input received in the input reception step, and
An evaluation step that statistically processes the responses of multiple groups in the information input judged to be appropriate in the above judgment step and makes a relative evaluation regarding security measures in each group.
An output step that outputs a relative evaluation by the evaluation step, and
A step of providing the group with the correction screen including the relative evaluation of the group, the question, the current answer, a check box, and a simulation request button as a correction screen.
The check was entered when the simulation request button was pressed while the group had entered a check in the check box of the question for which the current answer had not been implemented on the correction screen. Steps to accept update requests along with question information,
In response to the update request, the correction result screen reflects the current relative evaluation of the group and the result of the simulation in which the question for which the check is input is implemented. The steps that provide the modification result screen, including,
Has a security evaluation method.
各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付ける入力受付ステップと、An input reception step that accepts information input including answers to questions about security measures of each organization,
前記入力受付ステップによる情報入力の適正を判断する判断ステップと、A judgment step for determining the appropriateness of information input by the input reception step, and
前記判断ステップにより適正と判断された情報入力における複数の団体の回答を統計処理して、各団体におけるセキュリティ対策に関する相対評価をする評価ステップと、An evaluation step that statistically processes the responses of multiple groups in the information input judged to be appropriate by the above judgment step and makes a relative evaluation regarding security measures in each group.
前記評価ステップによる相対評価を出力する出力ステップと、An output step that outputs a relative evaluation by the evaluation step, and
を有し、Have,
前記入力受付ステップは、前記回答の更新入力を受け付け、The input acceptance step accepts the update input of the answer,
前記判断ステップは、前記更新入力の頻度に基づいて、前記入力受付ステップによる入力の適正を判断する、セキュリティ評価方法。The determination step is a security evaluation method for determining the appropriateness of input by the input acceptance step based on the frequency of the update input.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017196023A JP7026475B2 (en) | 2017-10-06 | 2017-10-06 | Security evaluation system and security evaluation method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017196023A JP7026475B2 (en) | 2017-10-06 | 2017-10-06 | Security evaluation system and security evaluation method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019070912A JP2019070912A (en) | 2019-05-09 |
| JP7026475B2 true JP7026475B2 (en) | 2022-02-28 |
Family
ID=66441177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017196023A Active JP7026475B2 (en) | 2017-10-06 | 2017-10-06 | Security evaluation system and security evaluation method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7026475B2 (en) |
Families Citing this family (53)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7255318B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255302B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255317B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255304B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255312B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255309B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255303B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255313B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255315B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255305B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255310B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255314B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255311B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255308B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255316B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7255306B2 (en) * | 2019-04-02 | 2023-04-11 | 株式会社三洋物産 | game machine |
| JP7272086B2 (en) * | 2019-04-24 | 2023-05-12 | 株式会社三洋物産 | game machine |
| JP7272087B2 (en) * | 2019-04-24 | 2023-05-12 | 株式会社三洋物産 | game machine |
| JP7272090B2 (en) * | 2019-04-24 | 2023-05-12 | 株式会社三洋物産 | game machine |
| JP7272088B2 (en) * | 2019-04-24 | 2023-05-12 | 株式会社三洋物産 | game machine |
| JP7272089B2 (en) * | 2019-04-24 | 2023-05-12 | 株式会社三洋物産 | game machine |
| JP7272092B2 (en) * | 2019-04-25 | 2023-05-12 | 株式会社三洋物産 | game machine |
| JP7272094B2 (en) * | 2019-04-25 | 2023-05-12 | 株式会社三洋物産 | game machine |
| JP7272093B2 (en) * | 2019-04-25 | 2023-05-12 | 株式会社三洋物産 | game machine |
| JP7272095B2 (en) * | 2019-04-25 | 2023-05-12 | 株式会社三洋物産 | game machine |
| JP7307320B2 (en) * | 2019-04-25 | 2023-07-12 | 株式会社三洋物産 | game machine |
| JP7275913B2 (en) * | 2019-06-27 | 2023-05-18 | 株式会社三洋物産 | game machine |
| JP7275908B2 (en) * | 2019-06-27 | 2023-05-18 | 株式会社三洋物産 | game machine |
| JP7275914B2 (en) * | 2019-06-27 | 2023-05-18 | 株式会社三洋物産 | game machine |
| JP7275916B2 (en) * | 2019-06-27 | 2023-05-18 | 株式会社三洋物産 | game machine |
| JP7275910B2 (en) * | 2019-06-27 | 2023-05-18 | 株式会社三洋物産 | game machine |
| JP7275911B2 (en) * | 2019-06-27 | 2023-05-18 | 株式会社三洋物産 | game machine |
| JP7275912B2 (en) * | 2019-06-27 | 2023-05-18 | 株式会社三洋物産 | game machine |
| JP7275909B2 (en) * | 2019-06-27 | 2023-05-18 | 株式会社三洋物産 | game machine |
| JP7275915B2 (en) * | 2019-06-27 | 2023-05-18 | 株式会社三洋物産 | game machine |
| JP7302376B2 (en) * | 2019-08-22 | 2023-07-04 | 株式会社三洋物産 | game machine |
| JP7307330B2 (en) * | 2019-08-22 | 2023-07-12 | 株式会社三洋物産 | game machine |
| JP7302377B2 (en) * | 2019-08-22 | 2023-07-04 | 株式会社三洋物産 | game machine |
| JP7302372B2 (en) * | 2019-08-22 | 2023-07-04 | 株式会社三洋物産 | game machine |
| JP7302374B2 (en) * | 2019-08-22 | 2023-07-04 | 株式会社三洋物産 | game machine |
| JP7302373B2 (en) * | 2019-08-22 | 2023-07-04 | 株式会社三洋物産 | game machine |
| JP7302378B2 (en) * | 2019-08-22 | 2023-07-04 | 株式会社三洋物産 | game machine |
| JP7302375B2 (en) * | 2019-08-22 | 2023-07-04 | 株式会社三洋物産 | game machine |
| JP7307331B2 (en) * | 2019-08-23 | 2023-07-12 | 株式会社三洋物産 | game machine |
| JP7302379B2 (en) * | 2019-08-23 | 2023-07-04 | 株式会社三洋物産 | game machine |
| JP7342585B2 (en) * | 2019-10-03 | 2023-09-12 | 株式会社三洋物産 | gaming machine |
| JP7342589B2 (en) * | 2019-10-03 | 2023-09-12 | 株式会社三洋物産 | gaming machine |
| JP7342587B2 (en) * | 2019-10-03 | 2023-09-12 | 株式会社三洋物産 | gaming machine |
| JP7342584B2 (en) * | 2019-10-03 | 2023-09-12 | 株式会社三洋物産 | gaming machine |
| JP7342586B2 (en) * | 2019-10-03 | 2023-09-12 | 株式会社三洋物産 | gaming machine |
| JP7342588B2 (en) * | 2019-10-03 | 2023-09-12 | 株式会社三洋物産 | gaming machine |
| JP6952090B2 (en) * | 2019-10-18 | 2021-10-20 | ソフトバンク株式会社 | Generator, program, and generation method |
| JP7071462B2 (en) * | 2020-09-25 | 2022-05-19 | 三菱電機インフォメーションネットワーク株式会社 | Evaluation point correction device and evaluation point correction program |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002007665A (en) | 2000-06-22 | 2002-01-11 | Ricoh Co Ltd | Questionnaire investigating method, questionnaire system and recording medium |
| JP2003150748A (en) | 2001-11-09 | 2003-05-23 | Asgent Inc | Risk evaluation method |
| US20050102534A1 (en) | 2003-11-12 | 2005-05-12 | Wong Joseph D. | System and method for auditing the security of an enterprise |
| JP4469910B1 (en) | 2008-12-24 | 2010-06-02 | 株式会社東芝 | Security measure function evaluation program |
| JP2010165099A (en) | 2009-01-14 | 2010-07-29 | Mitsubishi Electric Corp | Security management device, security management method, and program |
| JP2010266966A (en) | 2009-05-12 | 2010-11-25 | Soriton Syst:Kk | Method and apparatus for evaluating security countermeasure |
| JP2011192105A (en) | 2010-03-16 | 2011-09-29 | Mitsubishi Electric Information Systems Corp | System for support of creating security countermeasure standard, program, and security countermeasure standard creation support method |
-
2017
- 2017-10-06 JP JP2017196023A patent/JP7026475B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002007665A (en) | 2000-06-22 | 2002-01-11 | Ricoh Co Ltd | Questionnaire investigating method, questionnaire system and recording medium |
| JP2003150748A (en) | 2001-11-09 | 2003-05-23 | Asgent Inc | Risk evaluation method |
| US20050102534A1 (en) | 2003-11-12 | 2005-05-12 | Wong Joseph D. | System and method for auditing the security of an enterprise |
| JP4469910B1 (en) | 2008-12-24 | 2010-06-02 | 株式会社東芝 | Security measure function evaluation program |
| JP2010165099A (en) | 2009-01-14 | 2010-07-29 | Mitsubishi Electric Corp | Security management device, security management method, and program |
| JP2010266966A (en) | 2009-05-12 | 2010-11-25 | Soriton Syst:Kk | Method and apparatus for evaluating security countermeasure |
| JP2011192105A (en) | 2010-03-16 | 2011-09-29 | Mitsubishi Electric Information Systems Corp | System for support of creating security countermeasure standard, program, and security countermeasure standard creation support method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019070912A (en) | 2019-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7026475B2 (en) | Security evaluation system and security evaluation method | |
| US12003393B2 (en) | Parallel computational framework and application server for determining path connectivity | |
| US11546223B2 (en) | Systems and methods for conducting more reliable assessments with connectivity statistics | |
| US10705801B2 (en) | Data processing systems for identity validation of data subject access requests and related methods | |
| US11386210B2 (en) | Inquiry response mapping for determining a cybersecurity risk level of an entity | |
| US20220239574A1 (en) | Systems and methods for social graph data analytics to determine connectivity within a community | |
| US9922134B2 (en) | Assessing and scoring people, businesses, places, things, and brands | |
| US8255273B2 (en) | Evaluating online marketing efficiency | |
| US11711203B2 (en) | Systems and methods for gated offer eligibility verification | |
| CN114004456B (en) | Data tag calculation method, device, computer equipment and storage medium | |
| US20240223480A1 (en) | Systems and methods for social graph data analytics to determine connectivity within a community | |
| US11334905B2 (en) | Systems and methods for gated offer eligibility verification | |
| EP3806019A1 (en) | Systems and methods for gated offer eligibility verification | |
| US20210110450A1 (en) | Systems and methods for gated offer eligibility verification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200824 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210713 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210720 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210831 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220201 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220215 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7026475 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |