JP2010250677A - Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device - Google Patents
Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device Download PDFInfo
- Publication number
- JP2010250677A JP2010250677A JP2009101001A JP2009101001A JP2010250677A JP 2010250677 A JP2010250677 A JP 2010250677A JP 2009101001 A JP2009101001 A JP 2009101001A JP 2009101001 A JP2009101001 A JP 2009101001A JP 2010250677 A JP2010250677 A JP 2010250677A
- Authority
- JP
- Japan
- Prior art keywords
- evaluation
- security
- determination data
- recognition
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 49
- 238000011156 evaluation Methods 0.000 claims abstract description 595
- 238000012545 processing Methods 0.000 claims abstract description 101
- 238000013500 data storage Methods 0.000 claims abstract description 25
- 230000008520 organization Effects 0.000 claims description 54
- 238000004364 calculation method Methods 0.000 claims description 50
- 230000006872 improvement Effects 0.000 claims description 48
- 230000008569 process Effects 0.000 claims description 39
- 238000012854 evaluation process Methods 0.000 claims description 10
- 230000008595 infiltration Effects 0.000 abstract 1
- 238000001764 infiltration Methods 0.000 abstract 1
- 238000013461 design Methods 0.000 description 79
- 238000007726 management method Methods 0.000 description 58
- 238000010219 correlation analysis Methods 0.000 description 33
- 238000004458 analytical method Methods 0.000 description 29
- 238000010586 diagram Methods 0.000 description 19
- 238000012938 design process Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 6
- 230000035515 penetration Effects 0.000 description 5
- 238000012804 iterative process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000011157 data evaluation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000009474 immediate action Effects 0.000 description 1
- 238000010845 search algorithm Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、組織のセキュリティ施策の運用状況を評価するセキュリティ評価装置及びセキュリティ評価方法及びセキュリティ評価プログラムに関する。 The present invention relates to a security evaluation device, a security evaluation method, and a security evaluation program for evaluating the operational status of security measures of an organization.
組織における情報セキュリティの運用管理を支援する従来技術として、組織の現在のセキュリティポリシーと組織のセキュリティ運用実態との差異を分析し、組織内のセキュリティ運用ルールの調整を行うことによって組織のセキュリティポリシーの改善を行うという方式がある(特許文献1)。また、他の従来技術として、ネットワークに接続された情報機器に関するセキュリティ監査を、ログ情報等を定期的に収集することによって自動的に行い、改善すべきセキュリティ施策を洗い出す、という技術方式がある(特許文献2)。 As a conventional technology that supports the operation management of information security in an organization, the difference between the current security policy of the organization and the actual security operation status of the organization is analyzed, and the security policy of the organization is adjusted by adjusting the security operation rules in the organization. There is a method of improving (Patent Document 1). As another conventional technique, there is a technical method in which a security audit on an information device connected to a network is automatically performed by periodically collecting log information and the like and a security measure to be improved is identified ( Patent Document 2).
従来技術では、情報セキュリティの運用管理を行う場合、ヒアリングやアンケートによって、さらには、ネットワーク接続機器からPC設定状況等のデータを取得することによって、エンドユーザが組織内で指示された施策を実施しているかどうかを確認していた。しかし、このような方式では、以下のような課題がある。 In the conventional technology, when managing information security operations, end users are implemented measures that are instructed within the organization by interviews and questionnaires, and by acquiring data such as PC settings from network-connected devices. I was checking whether or not. However, such a method has the following problems.
第一に、実施状況を収集しているだけでは、事故が発生しないとわからない潜在リスクを検出することができない、という課題がある。例えば、近年、オフィスの外部へ持出したPCの盗難等による情報漏えい事件の発生が多数報告されている。このような事故に対して、通常業態として、PCを持出すエンドユーザは、PC持出しの実施状況を確認することができるが、業務上、PCを持出す必要がなかったために、PC持出を行ったことがないエンドユーザについては、実施したことがないために、実施状況を確認することはできない。このようなエンドユーザがPC持出し時の施策について認識していなかった場合、PC持出しを行った際に情報漏えい事故が起こるリスクが高い。このリスクは、事故が発生して初めて認識されることになる。 First, there is a problem that it is impossible to detect potential risks that cannot be understood unless an accident occurs only by collecting the implementation status. For example, in recent years, many cases of information leakage incidents due to theft of PCs taken outside the office have been reported. As a normal business condition, end users who take out PCs can check the implementation status of taking out PCs, but they do not have to take out PCs for business purposes. For end users who have never been there, the implementation status cannot be confirmed because it has never been done. When such an end user is not aware of the measures for taking out the PC, there is a high risk of an information leakage accident when taking out the PC. This risk is only recognized when an accident occurs.
第二に、ITシステム上でセキュリティ施策の実施状況を取得していても、セキュリティ事故が発生した場合の根本原因はわからない、という課題がある。例えば、あるエンドユーザが、指示されたセキュリティ上の施策を実施していないことが確認された場合、業務の都合上、一時的に敢えてそのセキュリティ施策実施していなかったのか、それとも指示されたセキュリティ施策事項である、という点を認識していなかったために実施していなかったのかは、判別できない。前者の場合は、その原因となる業務が終了したタイミングで該当セキュリティ施策を実施するようにエンドユーザに徹底すればよいが、後者の場合は、エンドユーザに対して該当セキュリティ施策に関する再教育が必要になる。もし、後者のようなエンドユーザが組織内に多数いた場合は、セキュリティ施策の指示方法の見直しが必要になる場合もある。このように、あるセキュリティ施策が実施されていなかった場合、その原因によって異なる対処をしなければならない。 Second, there is a problem that even if the implementation status of security measures is acquired on the IT system, the root cause when a security accident occurs is not known. For example, if it is confirmed that a certain end user has not implemented the specified security measures, whether the security measures have been temporarily implemented for the convenience of work or the specified security It is not possible to determine whether it was not implemented because it did not recognize that it was a policy item. In the former case, the end user should be thoroughly instructed to implement the relevant security measures at the timing when the work that causes them ends. In the latter case, the end users need to be retrained about the relevant security measures. become. If there are many end users such as the latter in the organization, it may be necessary to review the security policy instruction method. Thus, when a certain security measure has not been implemented, different measures must be taken depending on the cause.
この発明は上記のような課題を解決するためになされたもので、エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施しているかどうかを確認することによってエンドユーザへのセキュリティ施策の浸透度を適切に測るとともに、確認した結果に基づいて適切な対処を提示することができるシステムを提供する。 The present invention has been made to solve the above-described problems, and by confirming whether the end user correctly identifies (recognizes), understands and implements the security measure, the security measure for the end user is confirmed. Provided is a system capable of appropriately measuring the degree of penetration and presenting an appropriate countermeasure based on the confirmed result.
本発明におけるセキュリティ評価装置は、
組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、
前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部と、
前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出部と、
前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価部と
を備えたことを特徴とする。
The security evaluation device in the present invention is:
In a security evaluation device that evaluates the operational status of security measures in an organization,
A security determination data storage unit that stores recognition determination data for determining a recognition status of the security measure in the organization and an execution determination data for determining an implementation status of the security measure in the organization in a storage device;
The degree to which the user recognizes the security measure based on the input recognition determination data and the execution determination data by inputting the recognition determination data and the execution determination data from the security determination data storage unit And a calculation unit that calculates a value of the degree of recognition indicating the degree of implementation and the degree of implementation indicating the degree of implementation of the security measure by the user,
Based on the recognition level value and the implementation level value calculated by the calculation unit, the operation status of the security measure is evaluated by a processing device using an operation status evaluation criterion stored in advance in a storage device. And an operation status evaluation unit that stores the operation status evaluation result in a storage device.
本発明におけるセキュリティ評価装置は、組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、セキュリティ判定データ記憶部が、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶し、算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出し、運用状況評価部が、前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶するので、エンドユーザがセキュリティ施策を正しく認知(識別、理解)して実施しているかどうかを確認することができ、エンドユーザへのセキュリティ施策の浸透度をより適切に評価可能なセキュリティ管理装置を提供することができる。 The security evaluation device according to the present invention is a security evaluation device that evaluates the operational status of a security measure in an organization, wherein the security judgment data storage unit recognizes the recognition status of the security measure in the organization, Implementation determination data for determining the implementation status of the security measure in the organization is stored in a storage device, the calculation unit inputs the recognition determination data and the implementation determination data from the security determination data storage unit, Based on the input recognition determination data and the execution determination data, the degree of recognition indicating the degree of recognition of the security measure by the user and the degree of implementation of the security measure by the user are indicated. The implementation level value is calculated by the processing device, and the operation status evaluation unit Based on the recognition level value and the implementation level value calculated by the calculation unit, the operation status of the security measure is evaluated by a processing device using an operation status evaluation criterion stored in advance in a storage device. As the operation status evaluation result is stored in the storage device, it is possible to check whether the end user is correctly recognizing (identifying and understanding) the security measure and confirming the penetration of the security measure to the end user. It is possible to provide a security management device that can be more appropriately evaluated.
以下に、本発明の実施の形態について、図を用いて説明する。 Embodiments of the present invention will be described below with reference to the drawings.
実施の形態1.
本実施の形態では、会社、事務所、役所等の組織(以下、ユーザともいう)内におけるセキュリティ施策の運用状況について評価し、評価結果(評価レベル)を出力し、さらには出力した評価結果からリスク改善策等をユーザに提示することができるセキュリティ管理装置100について説明する。セキュリティ管理装置100はセキュリティ評価装置の一例である。すなわち、実施の形態1におけるセキュリティ管理装置100は、組織内のセキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100である。
In this embodiment, the operational status of security measures within an organization (hereinafter also referred to as a user) such as a company, office, or government office is evaluated, and an evaluation result (evaluation level) is output. The security management apparatus 100 that can present a risk improvement measure and the like to the user will be described. The security management device 100 is an example of a security evaluation device. That is, the security management apparatus 100 according to the first embodiment is a security management apparatus 100 for the purpose of confirming whether or not the security measure in the organization is being implemented by the end user.
組織(ユーザ)内におけるセキュリティ施策とは、組織内でのセキュリティを高めるための個々の施策を意味する。例えば、「セキュリティプログラムによる定期チェックの実行施策」や、「PCの社外持ち出し禁止施策」や、「秘匿ファイルへのアクセス権取得義務施策」や、「セキュリティソフトの実行施策」等、様々なセキュリティ施策がある。また、以下において、ユーザとは、セキュリティ施策を実践する会社等の組織あるいは組織内の個々のユーザを意味し、セキュリティ管理装置100を実際に利用するのはユーザ内の管理者400(セキュリティ管理者)である。以下では、ユーザの一員である管理者400を「ユーザ」と呼ぶ場合もあるものとする。また、ユーザ(組織)で実際にセキュリティ施策を実施する個々の者を、エンドユーザと呼ぶ場合もある。 The security measure in the organization (user) means an individual measure for enhancing the security in the organization. For example, various security measures, such as “Periodic Check Execution Measures by Security Program”, “Prohibition to Take Outside PCs”, “Obligation to Obtain Access Rights to Secret Files”, and “Security Software Execution Measures” There is. In the following, a user means an organization such as a company that implements security measures or individual users in the organization, and the security management apparatus 100 is actually used by an administrator 400 (security administrator) within the user. ). Hereinafter, the administrator 400 who is a member of the user may be referred to as a “user”. In addition, an individual who actually implements security measures by a user (organization) may be called an end user.
図1は、実施の形態1に係る情報セキュリティ管理装置100の機能ブロック図である。図1を用いて、セキュリティ管理装置100の各機能ブロックの機能について説明する。 FIG. 1 is a functional block diagram of an information security management apparatus 100 according to the first embodiment. The function of each functional block of the security management device 100 will be described with reference to FIG.
本実施の形態のセキュリティ管理装置100は、組織内のセキュリティ施策の運用状況を評価するための評価尺度として、認知度、理解度、実施度を用いる。認知度は、ユーザ(組織)内において、エンドユーザがどれだけセキュリティ施策を認知しているかの度合いを示す値である。理解度は、ユーザ内において、エンドユーザがどれだけセキュリティ施策を理解しているかの度合いを示す値である。実施度は、ユーザ内において、エンドユーザがどれだけセキュリティ施策を実施しているかの度合いを示す値である。すなわち、認知度、理解度、実施度の値は、百分率で表すことができる。セキュリティ管理装置100において、認知度、理解度、実施度を判定するとは、例えば、認知度、理解度、実施度の値をそれぞれ百分率で表すことを意味する。 The security management apparatus 100 according to the present embodiment uses the degree of recognition, the degree of understanding, and the degree of implementation as an evaluation scale for evaluating the operational status of security measures in the organization. The degree of recognition is a value indicating how much the end user recognizes the security measure in the user (organization). The degree of understanding is a value indicating how much the end user understands the security measure in the user. The implementation level is a value indicating the degree of security measures implemented by the end user within the user. That is, the values of recognition level, understanding level, and implementation level can be expressed as percentages. In the security management device 100, determining the degree of recognition, the degree of understanding, and the degree of implementation means, for example, that the values of the degree of recognition, the degree of understanding, and the degree of implementation are expressed as percentages.
セキュリティ管理装置100は、設計部110、評価情報記憶部120、評価部130、評価判定データ取得部140、セキュリティ判定データ記憶部141、根源リスク特定部150、リスク対策提示部160を備えている。
The security management apparatus 100 includes a
設計部110及び評価情報記憶部120は、セキュリティ管理装置100を利用して組織内のセキュリティ施策の運用状況を評価したい管理者400(ユーザ)が、組織内の複数のセキュリティ施策毎に、該当するセキュリティ施策を評価するために必要な評価情報等を、入力装置を用いて設定するための機能(インタフェース等)を提供する。また、設計部110及び評価情報記憶部120は、管理者400から入力装置を介して入力したデータや、ユーザ(組織)内の情報システムのデータベース等から取得したデータをもとに、セキュリティ施策を評価するために必要な評価情報を記憶装置に記憶する。
The
設計部110は、評価判定データ情報設計部111、評価式設計部112、リスク改善策設計部113、質問生成部114を備えている。また、評価情報記憶部120は、評価判定データ情報記憶部121、評価式情報記憶部122、リスク改善策情報記憶部123を備えている。
The
評価判定データ情報設計部111は、組織内におけるエンドユーザへのセキュリティ施策の浸透度を評価尺度(認知度と理解度と実施度)毎に評価するために、評価尺度(認知度と理解度と実施度)毎に評価判定データ情報を設定し、設定した評価判定データ情報を評価判定データ情報記憶部121に記憶する。評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度(認知度と理解度と実施度)毎に評価判定データ情報を設定する。評価判定データ情報とは、該当するセキュリティ施策の評価尺度(認知度と理解度と実施度)を判定するために、取得すべき評価判定データを示すものである。例えば、セキュリティ施策A「セキュリティプログラムAの定期的の実行」についての認知度を判定するための評価判定データ情報とは、「セキュリティプログラムAの実行手順が書かれた指定URLへのアクセスの有無」や「指定URLアクセス時間」等である。
The evaluation judgment data
組織内でのセキュリティ施策の浸透度を評価尺度(認知度と理解度と実施度)毎に判定するために、組織内ではエンドユーザへのアンケートやヒアリングを行う。質問生成部114は、このエンドユーザへのアンケートやヒアリングの際の質問を生成する。質問生成部114は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度毎に質問を生成する。また、質問生成部114は、生成した評価尺度毎の質問に対するエンドユーザの回答データの集計サンプル情報を生成する。質問生成部114は、回答データの集計情報を、評価尺度毎の評価判定データ情報として評価判定データ情報設計部111に出力する。評価判定データ情報設計部111は、集計した回答データの集計サンプル情報を評価尺度毎の評価判定データ情報として設定してもよい。
In order to determine the degree of penetration of security measures within the organization for each evaluation scale (recognition, comprehension and implementation), the organization conducts questionnaires and interviews with end users. The
また、評価判定データ情報設計部111は、特定した評価判定データ情報を評価するための基準であるデータ別評価基準を設定する。評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価判定データ情報に対応するデータ別評価基準を設定する。あるいは、例えば、評価判定データ情報「指定URLへのアクセス時間」に対するデータ別評価基準として、「アクセス時間が5分以上でOK」といった評価の満足条件を設定する。ここで、評価判定データ情報は、評価尺度(認知度と理解度と実施度)毎に複数特定されていてもよい。評価判定データ情報設計部111は、評価尺度(認知度と理解度と実施度)毎に複数特定された(1つでも構わない)評価判定データ情報に対して、対応するデータ別評価基準を設定して評価判定データ情報記憶部121に記憶する。ここで、1つの評価判定データ情報に対応するデータ別評価基準は、複数であってもよい。評価判定データ情報記憶部121の詳細説明については、後述する。
Further, the evaluation determination data
リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価判定データ情報に対応するリスク改善策を設定する。リスク改善策設計部113は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度(認知度と理解度と実施度)毎に設定された評価判定データ情報に対して、対応するリスク改善策を設定する。対応するリスク改善策とは、該当する評価判定データ情報がデータ別評価基準を満足していない場合(例えば、評価判定データ情報「指定URLへのアクセスの有無」のデータが5分未満であった場合)の、ユーザがとるべきリスクの改善策である。リスク改善策設計部113は、評価判定データ情報に対して、対応するリスク改善策を設定してリスク改善策情報記憶部123に記憶する。
The risk improvement
評価式設計部112は、セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルを設定するとともに、設定した複数の評価レベルの各評価レベルに対して、対応する理解度の値と認知度の値と実施度の値との組み合わせを設定し、運用状況評価基準(以下、評価式ともいう)として記憶装置である評価式情報記憶部122に記憶する。評価式設計部112は、評価基準設定部の一例である。
The evaluation
評価式設計部112は、評価レベルを決定するための評価式(運用状況評価基準)を設定して評価式情報記憶部122に記憶する。評価式設計部112は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価式を設定する。評価式とは、例えば、セキュリティAについては「全ての評価尺度において90%以上を満たしていれば評価レベル1(リスク対応は不要)」、「実施度が90%を満たしていれば評価レベル2(即座対応は不要)」等の条件のことである。
The evaluation
以上の説明が、設計部110が評価情報記憶部120を設定する処理を行う機能ブロックの説明である。次に、セキュリティ管理装置100が、管理者400等からのセキュリティ施策評価要求を入力して、該当セキュリティ施策の評価処理を行う機能ブロックについて説明する。
The above description is a functional block for the
評価部130は、算出部131、運用状況評価部132を備える。算出部131は、施策認知度分析部133、施策理解度分析部134、施策実施度分析部135を備える。運用状況評価部132は、評価ゾーン算出部136、評価結果記憶部137を備える。
The
評価部130は、管理者400から入力装置を介してセキュリティ施策評価要求(評価対象のセキュリティ施策及びユーザID(組織ID)を含む)を入力して、該当ユーザについての該当セキュリティ施策に関する評価処理を実行する。
The
評価部130は、エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施していることを尺度として評価するための評価判定データ情報のリストを、評価情報記憶部120の評価判定データ情報記憶部121から取得する。評価部130は、取得した評価判定データ情報のリストに基づいて、評価判定データ取得部140に評価判定データ取得要求を出力する。
The
評価判定データ取得部140は、評価部130から入力した評価判定データ取得要求にしたがって、組織内の情報システムのデータベース(記憶装置)等に記憶されている情報や、エンドユーザからの入力(回答データ)の情報等から、必要な評価判定データを取得して記憶装置に記憶する。すなわち、評価判定データ取得部140は、ユーザにおけるセキュリティ施策の認知状況を判定するための認知判定データと、ユーザにおけるセキュリティ施策の理解状況を判定するための理解判定データと、ユーザにおけるセキュリティ施策の実施状況を判定するための実施判定データとを評価判定データとして記憶装置であるセキュリティ判定データ記憶部141に記憶する。
In accordance with the evaluation determination data acquisition request input from the
算出部131は、評価尺度(認知度、理解度、実施度)についての値、すなわち、認知度の値、理解度の値、実施度の値を算出する。すなわち、施策認知度分析部133は、セキュリティ判定データ記憶部141から認知判定データを入力して、入力した前記認知判定データに基づいて、該当ユーザが該当セキュリティ施策を認知している度合いを示す認知度の値を処理装置により算出する。施策理解度分析部134は、セキュリティ判定データ記憶部141から理解判定データを入力して、入力した前記理解判定データに基づいて、該当ユーザが該当セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出する。施策実施度分析部135は、セキュリティ判定データ記憶部141から実施判定データを入力して、入力した前記実施判定データに基づいて、該当ユーザが該当セキュリティ施策を実施している度合いを示す実施度の値を処理装置により算出する。
The
運用状況評価部132は、算出部131により算出された認知度の値と理解度の値と実施度の値とに基づいて、セキュリティ施策の運用状況を、予め記憶装置を用いて評価式情報記憶部122に記憶された評価式(運用状況評価基準)を用いて処理装置により評価して運用状況評価結果として記憶装置である評価結果記憶部137に記憶する。
The operation
評価ゾーン算出部136は、評価式情報記憶部122に記憶されている評価式(運用状況評価基準)に設定されている複数の評価レベルの中から、算出部131により算出された認知度の値と理解度の値と実施度の値との組み合わせが対応する評価レベルを処理装置により取得する。評価ゾーン算出部136は、取得した評価レベルを含む情報を運用状況評価結果として記憶装置である評価結果記憶部137に記憶する。
The evaluation
評価ゾーン算出部136は、評価対象のユーザIDと、評価対象のセキュリティ施策と、評価対象について算出した評価尺度の値(認知度の値と理解度の値と実施度の値)と、評価尺度の値から取得した評価レベルとを対応付けて、運用状況評価結果として評価対象毎に評価結果記憶部137に記憶する。また、評価ゾーン算出部136は、さらに、評価対象の各評価尺度(認知度、理解度、実施度)に対応する評価判定データと、その評価判定データのデータ別評価基準による判定結果とを対応させた情報も、運用状況評価結果として評価結果記憶部137に記憶する。ここで、評価対象とは、ユーザID(組織ID)毎かつセキュリティ施策ID毎を想定している。しかし、評価対象として、エンドユーザ毎かつセキュリティ施策ID毎でもよく、エンドユーザ毎かつセキュリティ施策ID毎に運用状況評価結果を評価結果記憶部137に記憶してもよい。
The evaluation
評価部130は、評価結果記憶部137に記憶された運用状況評価結果を表示装置等に表示して管理者400に提示する。例えば、評価部130は、評価対象のユーザIDと評価対象のセキュリティ施策とに対応付けて、評価対象について算出した評価尺度の値(認知度の値と理解度の値と実施度の値)、評価尺度の値から取得した評価レベル、各評価尺度(認知度、理解度、実施度)に対応する評価判定データ、評価判定データのデータ別評価基準による判定結果等を併せて表示装置に表示してもよい。
The
以上のように、セキュリティ管理装置100は、管理者400等からのセキュリティ施策評価要求を入力して、該当ユーザにおける該当セキュリティ施策の評価処理を行う。次に、セキュリティ管理装置100が、管理者400等からのリスク問合せ要求を入力装置を介して入力し、該当ユーザにおける該当セキュリティ施策のリスク改善策を提示する処理の機能ブロックについて説明する。 As described above, the security management apparatus 100 inputs a security measure evaluation request from the administrator 400 or the like, and performs an evaluation process of the corresponding security measure for the corresponding user. Next, a functional block of processing in which the security management device 100 inputs a risk inquiry request from the administrator 400 or the like via the input device and presents a risk improvement measure of the corresponding security measure for the corresponding user will be described.
根源リスク特定部150は、管理者400から入力装置を介してリスク問合せ要求(対象セキュリティ施策、ユーザID(組織ID)を含む)を入力する。根源リスク特定部150は、評価結果記憶部137に記憶された運用状況評価結果から、該当ユーザの該当セキュリティ施策の各評価尺度(認知度、理解度、実施度)に対応する評価判定データと判定結果(OK/NG)(データ別評価基準に達していたかどうか)を抽出する。NGである評価判定データがあれば、その評価判定データに対応するリスク情報とそのリスク改善策を取得し、リスク対策提示部160に通知する。OKである評価判定データの場合は、特に通知する必要もないが、OKである評価判定データを表示装置に表示して、今後もセキュリティの維持に努めるように注意を喚起してもよい。
The root
根源リスク特定部150は、全評価尺度について評価判定データの判定結果の達成状況を確認した後、対応するリスク情報が抽出されなければ、追加対策が不要と判断してリスク対策提示部160に通知しないとしてもよい。最終的にリスク対策提示部160では、根源リスク特定部150より通知された結果を表示装置に出力(表示)する。
After confirming the achievement status of the evaluation determination data for all evaluation measures, the root
以上のように、セキュリティ管理装置100によるセキュリティ管理システムは、大きく次のような手順に分けられる。(1)エンドユーザへのセキュリティ施策浸透度を評価するための評価情報(評価判定データ情報、評価式)を作成し(評価情報設計フェーズ)、(2)評価のために必要な実施データを取得して分析・評価し(運用状況評価フェーズ)、(3)問題があれば必要な対策を提示する(リスク問合せフェーズ)。 As described above, the security management system by the security management apparatus 100 is roughly divided into the following procedures. (1) Create evaluation information (evaluation judgment data information, evaluation formula) for evaluating the penetration of security measures to end users (evaluation information design phase), and (2) obtain implementation data required for evaluation Analyze and evaluate (operation status evaluation phase), and (3) present any necessary countermeasures if there is a problem (risk inquiry phase).
図2は、以下の実施の形態に係るセキュリティ管理装置100の外観の一例を示す図である。図2において、セキュリティ管理装置100は、システムユニット910、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disk・ Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907、タッチパネル908などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。システムユニット910は、コンピュータであり、ファクシミリ機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク942(LAN)、ゲートウェイ941を介してインターネット940に接続されている。
FIG. 2 is a diagram illustrating an example of an appearance of the security management device 100 according to the following embodiment. In FIG. 2, the security management apparatus 100 includes a system unit 910, a
図3は、実施の形態に係るセキュリティ管理装置100のハードウェア資源の一例を示す図である。図3において、セキュリティ管理装置100は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、タッチパネル908、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
FIG. 3 is a diagram illustrating an example of hardware resources of the security management device 100 according to the embodiment. In FIG. 3, the security management apparatus 100 includes a CPU 911 (also referred to as a central processing unit, a central processing unit, a processing unit, an arithmetic unit, a microprocessor, a microcomputer, or a processor) that executes a program. The
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
The
通信ボード915、キーボード902、スキャナ装置907、FDD904、表示装置901(表示画面801)、タッチパネル908などは、入力部、入力装置の一例である。また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
The
通信ボード915は、ファクシミリ機932、電話器931、LAN942等に接続されている。通信ボード915は、LAN942に限らず、インターネット940、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。インターネット940或いはISDN等のWANに接続されている場合、ゲートウェイ941は不用となる。
The
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
The
上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」、「〜手段」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」、「〜データベース」、「〜データ」の各項目として記憶されている。「〜ファイル」、「〜データベース」、「〜データ」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
The
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
In addition, the arrows in the flowcharts described in the following description of the embodiments mainly indicate input / output of data and signals. The data and signal values are the
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
In addition, what is described as “to part” in the description of the embodiment described below may be “to circuit”, “to device”, “to device”, “means”, and “to step”. ”,“ ˜procedure ”, or“ ˜processing ”. That is, what is described as “˜unit” may be realized by firmware stored in the
図4は、実施の形態1に係る設計部による評価情報設計処理及び評価情報記憶処理のフロー図である。図4を用いて、設計部110による評価情報設計処理及び評価情報記憶処理の流れについて説明する。
FIG. 4 is a flowchart of the evaluation information design process and the evaluation information storage process by the design unit according to the first embodiment. The flow of the evaluation information design process and the evaluation information storage process by the
S201において、設計部110は、管理者400から入力装置を介して評価対象のセキュリティ施策を識別する情報(例えば、セキュリティ施策ID)を入力する。
In S201, the
S202は、設計部110が評価対象のセキュリティ施策(S201にて入力されたセキュリティ施策IDの示すセキュリティ施策Aとする)の各評価尺度(認知度、理解度、実施度)について以降の処理を行う繰り返し処理である。
In S202, the
以下のS203からS206の説明では、セキュリティ施策Aについての「認知度」を評価するための評価判定データ情報の設計処理、リスク改善策の設計処理について説明する。設計部110では、理解度、実施度についても同様の処理を行うので、ここでは説明を省略する。
In the following description of S203 to S206, a design process for evaluation determination data information and a process for designing a risk improvement measure for evaluating the “recognition level” of the security measure A will be described. Since the
S203では、評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400)からの入力に基づいて、認知度を判定するために取得すべき評価判定データ情報を処理装置により特定する。評価判定データ情報とは、評価対象のセキュリティ施策の認知度を判定するために取得すべき評価判定データを示すものである。例えば、「セキュリティ施策A:セキュリティプログラムAの定期的の実行」についての認知度を判定するための評価判定データ情報とは、セキュリティプログラムAをダウンロード等するための「指定URLへのアクセスの有無」や「指定URLへのアクセス時間」等である。
In S203, the evaluation determination data
S204では、評価判定データ情報設計部111は、特定した評価判定データ情報を評価するための基準であるデータ別評価基準を設定する。評価判定データ情報設計部111は、例えば、入力装置を介した管理者400からの入力に基づいて、評価判定データ情報に対応するデータ別評価基準を処理装置により設定する。評価判定データ情報に対応するデータ別評価基準とは、例えば、評価判定データ情報「指定URLへのアクセス時間」に対して「指定URLへのアクセス時間が10分以上」等の2値判断が用いられる。あるいは、指定URLへのアクセス時間によるセキュリティレベル分け(例「10分以上ならセキュリティレベル3」)等を規定するとしてもよい。評価判定データ情報設計部111は、認知度に対して複数の評価判定データ情報を設定しても構わない。評価判定データ情報設計部111は、上述したように処理装置を用いて評価判定データ情報に対して対応するデータ別評価基準を設定して、評価判定データ情報記憶部121に記憶する。
In S204, the evaluation determination data
図5は、実施の形態1における評価判定データ情報設計部111により記憶装置に記憶される評価判定データ情報記憶部121の一例を示す図である。評価判定データ情報記憶部121では、評価尺度「認知度」に対して、評価判定データ情報として「指定URLアクセス有無」、「指定URLアクセス時間」、「指定ファイルアクセスの有無」、「指定ファイルアクセス時間」が設定されている。また、評価判定データ情報「指定URLアクセス有無」のデータ別評価基準(満足条件)として、「1回が5分以上」との条件が設定されている。ここで、図5に示すように、評価判定データ情報記憶部121の構成は、評価尺度(認知度)に対して評価項目(URLアクセス、ファイルアクセス)を設定し、各評価項目に対して評価判定データ情報を設定する構成となっているが、評価項目はなくてもよい。また、図5では、評価判定データ情報記憶部121の構成に、各評価判定データ情報(評価判定データ情報のデータ)がデータ別評価基準(満足条件)を満足しない場合のリスクに関するリスク情報も加えられている。
FIG. 5 is a diagram illustrating an example of the evaluation determination data
設計部110は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「評価情報設計フェーズ」を選択することにより、設計部110が処理装置により記憶装置から読み出されて、処理装置により起動される。設計部110は、起動されると表示装置901に評価情報設計入力画面(図示せず)を表示する。設計部110(評価判定データ情報設計部111)は、表示装置901の評価情報設計入力画面を介して、管理者400からの入力情報(評価判定データ、データ別評価基準、リスク情報等)を入力し、評価判定データ情報記憶部121に記憶する。
For example, the
セキュリティ管理装置100では、取得可能な評価判定データ情報の一覧及びデータ別評価基準の一覧及びリスク情報の一覧を予め記憶装置に記憶してあるとしてもよい。設計部110(評価判定データ情報設計部111)は、予め記憶装置に記憶されているこれらの一覧を用いて、評価情報設計入力画面において、プルダウンメニュー等により管理者400に選択させるというインタフェースを用いてもよい。 In the security management device 100, a list of obtainable evaluation determination data information, a list of evaluation criteria for each data, and a list of risk information may be stored in the storage device in advance. The design unit 110 (evaluation determination data information design unit 111) uses an interface that allows the administrator 400 to select a list by using a pull-down menu or the like on the evaluation information design input screen using these lists stored in advance in the storage device. May be.
あるいは、セキュリティ管理装置100では、図5の評価判定データ情報記憶部121に示すような構成のデータベース(評価判定データ情報DB)が、予めシステム設計時等に生成され記憶装置に記憶されているものとしてもよい。評価判定データ情報設計部111は、データの特定にあたって、予め記憶装置に記憶された評価判定データ情報DBを利用してもよい。また、管理者400等により、評価判定データ情報DBを更新することができるとしてもよい。
Alternatively, in the security management device 100, a database (evaluation determination data information DB) configured as shown in the evaluation determination data
S205において、リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価判定データに対応するリスク改善策を設定する。あるいは、リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価項目に対応するリスク改善策を設定する。リスク改善策設計部113は、例えば、表示装置901に表示された評価情報設計入力画面のインタフェースを用いて管理者400から入力された情報と評価判定データ情報記憶部121に記憶されている情報とに基づいて、認知度の評価判定データ情報(評価項目)に対応するリスク情報とリスク改善策とを設定して、リスク改善策情報記憶部123に記憶する。
In S205, the risk improvement
図6は、実施の形態1におけるリスク改善策設計部113により記憶されるリスク改善策情報記憶部123の一例を示す図である。図6に示すように、リスク改善策情報記憶部123では、例えば、認知度を判定するための評価判定データ情報「指定URLアクセスの有無」に対応するリスク情報「施策(規定)が見つけにくい」に対して、その改善策として、リスク改善策「規程をWEBに掲示」、「WEB上の検索アルゴリズムの改善」、「規程の階層構造の見直し」が設定されている。リスク改善策は、評価尺度毎に設定されていてもよいし、評価項目毎に設定されていてもよいし、評価判定データ毎に設定されていてもよい。
FIG. 6 is a diagram illustrating an example of the risk improvement measure
S206において、設計部110は、処理装置を用いて、全評価尺度(認知度、理解度、実施度)について、評価判定データ情報、データ別評価基準、リスク改善策が、評価判定データ情報記憶部121、リスク改善策情報記憶部123に記憶されたか否かを判定する。設計部110は、全評価尺度(認知度、理解度、実施度)について、評価判定データ情報記憶部121及びリスク改善策情報記憶部123への格納処理が完了したと判定すると(S206でYES)、処理をS207に進める。設計部110は、全評価尺度(認知度、理解度、実施度)について格納処理が完了していないと判定すると(S206でNO)、処理をS202に戻す。
In S <b> 206, the
S207では、評価式設計部112は、セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルを設定するとともに、設定した複数の評価レベルの各評価レベルに対応させて「理解度の値と認知度の値と実施度の値との組み合わせ」をそれぞれ設定し、評価式情報記憶部122に記憶する。評価式設計部112は、評価レベルを決定するための評価式(運用状況評価基準の一例)を設定して評価式情報記憶部122に記憶する。評価式設計部112は、例えば、表示装置901に表示された評価情報設計入力画面インタフェースを介して入力された管理者400からの入力情報に基づいて、評価式を設定して評価式情報記憶部122に記憶する。
In S207, the evaluation
図7は、実施の形態1における評価式設計部112により記憶される評価式情報記憶部122の一例を示す図である。図7に示すように、評価式とは、セキュリティ施策Aについて、「認知度の値90%以上、理解度の値90%以上、実施度の値90%以上」の場合は評価レベル「1:(リスク対応不要)」、「認知度の値90%以上、理解度の値90%〜50%、実施度の値90%以上」の場合は評価レベル「2:(即座リスク対応不要)」、「認知度の値90%〜50%、理解度の値50%〜30%、実施度の値90%以上」の場合は評価レベル「3:(リスク対応再教育要)」等の条件式である。
FIG. 7 is a diagram illustrating an example of the evaluation formula
以上で、実施の形態1に係る設計部110による評価情報設計処理及び評価情報記憶処理の説明を終わる。
This is the end of the description of the evaluation information design process and the evaluation information storage process by the
図8は、実施の形態1に係る評価判定データ取得処理及び運用状況評価処理を示すフロー図である。図8を用いて、評価判定データ取得部140による評価判定データ取得処理と、評価部130による運用状況評価処理について説明する。
FIG. 8 is a flowchart showing evaluation determination data acquisition processing and operation status evaluation processing according to the first embodiment. The evaluation determination data acquisition process performed by the evaluation determination
評価部130は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「運用状況評価フェーズ」を選択することにより評価部130が処理装置により記憶装置から読み出されて、処理装置により起動される。評価部130は、起動されると表示装置901に評価対象入力画面(図示せず)を、処理装置により表示する。
The
S301において、評価部130(算出部131)は、表示装置901に表示された評価対象入力画面を介して、管理者400からのセキュリティ施策評価要求を入力する。評価部130(算出部131)は、処理装置により、入力したセキュリティ施策評価要求に含まれるユーザIDとセキュリティ施策IDとを抽出して記憶装置に記憶する。
In S <b> 301, the evaluation unit 130 (calculation unit 131) inputs a security measure evaluation request from the administrator 400 via the evaluation target input screen displayed on the
S302において、算出部131は、処理装置により、入力したセキュリティ施策ID(ここでは、セキュリティ施策Aが指定されたものとする)をもとに、評価式情報記憶部122を検索して、セキュリティ施策Aに対応する評価式情報(図7の情報)を抽出する。
In S302, the
S303は、算出部131が評価対象のセキュリティ施策Aの各評価尺度(認知度、理解度、実施度)について、認知度/理解度/実施度に関して以降の処理を行う繰り返し処理である。
S303 is an iterative process in which the
以下のS304からS306の説明では、施策認知度分析部133が評価対象のセキュリティ施策Aについての「認知度の値」を算出するための評価判定データを取得する評価判定データ取得処理と、施策認知度分析部133が取得した評価判定データ(認知判定データ)を用いて「認知度の値」を算出する施策認知度算出処理について説明する。算出部131(施策認知度分析部133、施策理解度分析部134、施策実施度分析部135)では、理解度、実施度についても認知度の処理と同様の処理を行うので、理解度、実施度については説明を省略する。
In the following description of S304 to S306, the measure recognition data acquisition process in which the measure recognition
S304では、施策認知度分析部133は、処理装置により、入力したユーザIDとセキュリティ施策IDとをもとに評価判定データ情報記憶部121を検索して、認知度の判定のために取得すべき評価判定データ情報を抽出する。施策認知度分析部133は、処理装置により、抽出した評価判定データ情報に対応する評価判定データを取得するための評価判定データ取得要求を評価判定データ取得部140に出力する。
In S304, the measure recognition
S305では、評価判定データ取得部140は、処理装置により、評価判定データ取得要求により指定された評価判定データ情報に対応する評価判定データを取得する。評価判定データ取得部140は、例えば、ユーザ(組織)内情報システムにおいて蓄積されているログ情報から評価判定データを取得する。あるいは、評価判定データ取得部140は、処理装置により、ユーザ(組織)内のエンドユーザの回答(上述した質問生成部114により生成された質問に対する回答)を蓄積した回答データを集計して、評価判定データとして取得する。評価判定データ取得部140は、取得した評価判定データをセキュリティ判定データ記憶部141に認知判定データとして記憶する。
In S305, the evaluation determination
S306では、施策認知度分析部133は、処理装置により、セキュリティ判定データ記憶部141に記憶された認知判定データを読み込んで、読み込んだ認知判定データに基づいて認知度の値を算出する。施策認知度分析部133は、例えば、評価判定データ情報が「指定URLアクセス時間」であり、データ別評価判定基準「総アクセス時間が30分以上」の場合、「すべてのエンドユーザがデータ別評価判定基準を満たすアクセス時間」に対する「取得した認知判定データ(認知度を評価するための評価判定データ)から得られる実状況のアクセス時間」の度合いを処理装置により算出する。施策認知度分析部133は、すべての評価判定データ情報について上記のように度合いを算出してその平均値を認知度の値として算出する。
In S306, the measure recognition
S307では、算出部131は、処理装置により、評価尺度(認知度、理解度、実施度)すべてについて、セキュリティ施策Aについての認知度の値、理解度の値、実施度の値が算出されたか否かを判定する。算出部131が、評価尺度(認知度、理解度、実施度)すべてについて算出されたと判断した場合(S307でYES)、処理はS308に進む。算出部131が、評価尺度(認知度、理解度、実施度)すべてについて算出されていないと判断した場合(S307でNO)、処理はS303に戻る。
In S307, the
S308では、運用状況評価部132(評価ゾーン算出部136)が、処理装置により、算出部131により算出された「認知度の値と理解度の値と実施度の値との組み合わせ」と、S302において取得したセキュリティ施策Aの評価式情報とを比較して、比較した結果に基づいて、評価対象のセキュリティ施策Aの評価レベルを決定する。運用状況評価部132(評価ゾーン算出部136)は、処理装置により、決定された評価レベルを運用状況評価結果として評価結果記憶部137に記憶する。また、運用状況評価部132(評価ゾーン算出部136)は、ユーザIDにおけるセキュリティ施策Aの運用状況評価結果として、評価レベルとともに、各評価尺度の値(認知度の値、理解度の値、実施度の値)と、各評価尺度(認知度、理解度、実施度)について取得した評価判定データとそのデータ別評価基準の判定結果とを評価結果記憶部137に記憶する。
In S308, the operation status evaluation unit 132 (evaluation zone calculation unit 136) causes the processing device to calculate the “combination of recognition value, understanding value, and implementation value” calculated by the
以上で、実施の形態1に係る評価判定データ取得処理及び運用状況評価処理の説明を終わる。 This is the end of the description of the evaluation determination data acquisition process and the operation status evaluation process according to the first embodiment.
図9は、実施の形態1に係るリスク問合せ処理を示すフロー図である。図9を用いて、リスク問合せ処理について説明する。 FIG. 9 is a flowchart showing risk inquiry processing according to the first embodiment. The risk inquiry process will be described with reference to FIG.
根源リスク特定部150は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「リスク問合せフェーズ」を選択することにより根源リスク特定部150が処理装置により記憶装置から読み出されて、処理装置により起動される。根源リスク特定部150は、起動されると、表示装置901にリスク問合せ入力画面(図示せず)を表示する。
The root
S401において、根源リスク特定部150は、処理装置により、表示装置901に表示されたリスク問合せ入力画面を介して、管理者400からのリスク問合せ要求を入力する。根源リスク特定部150は、処理装置により、入力したリスク問合せ要求に含まれるユーザIDとセキュリティ施策IDとを抽出する。
In S401, the root
S402は、根源リスク特定部150が、対象のユーザIDにおけるセキュリティ施策Aについて、S403からS406の処理を各評価尺度(認知度、理解度、実施度)すべてについて行う繰り返し処理である。以下の説明では、根源リスク特定部150が、対象ユーザIDの対象セキュリティ施策IDをもとに、評価結果記憶部137を参照して、認知度に対応する評価判定データすべてについてそれぞれデータ別評価基準を満足したか否かをチェックする処理について説明する。ここでは、理解度、実施度についても同様の処理を行うため、その説明は省略する。
S402 is an iterative process in which the source
S403では、根源リスク特定部150は、処理装置により、入力した対象ユーザIDと対象セキュリティ施策IDをもとに、評価結果記憶部137を参照して、認知度に対応する評価判定データのすべてについて、それぞれデータ別評価基準を満足したか否か(判定結果がOKかNGか)をチェックする。
In S403, the source
根源リスク特定部150は、認知度のすべての評価判定データについてチェックを行い、すべての評価判定データがデータ別評価基準を満足している場合(S403でYES)は、S404aへ処理をうつす。
The root
S404aでは、根源リスク特定部150は、処理装置により、認知度のすべての評価判定データがデータ別評価基準に達している旨をリスク対策提示部に通知するための通知情報を記憶装置に記憶する。
In S404a, the root
S404では、根源リスク特定部150は、処理装置により、全評価尺度(認知度、理解度、実施度)について処理を行ったか否かを判定する。根源リスク特定部150は、全評価尺度について処理を行ったと判断した場合には(S404でYES)、処理をS404bに進める。S404bでは、根源リスク特定部150は、記憶装置に記憶されている通知情報により、全評価尺度について評価基準の達成状況(すなわち、認知度、理解度、実施度ついての全評価判定データのデータ別評価基準の判定結果状況)を確認する。根源リスク特定部150は、通知情報を確認した結果、全評価尺度についてすべての評価判定データがデータ別評価基準に達している場合には、対応するリスクが抽出されなかったことを意味するので、追加対策が不要との旨の通知を通知情報に記憶する。
In S <b> 404, the root
S404にて、根源リスク特定部150は、全評価尺度について処理を行っていないと判断した場合には(S404でNO)、処理をS402に戻す。
If the source
S403で、根源リスク特定部150が、認知度のすべての評価判定データが基準を満足しているわけではない場合(S403でNO)は、S405へ処理を進める。
In S403, if all the evaluation determination data of the degree of recognition do not satisfy the standard (NO in S403), the root
S405では、根源リスク特定部150は、処理装置により、データ別評価基準を満足していない評価判定データを取得するとともに、取得した評価判定データに対応するリスク改善策をリスク改善策情報記憶部123を参照して取得し、認知度に対応するリスク改善策情報として記憶装置に記憶する。S405では、根源リスク特定部150は、処理装置により、記憶装置に記憶されている認知度に対応するリスク改善策情報をリスク対策提示部160に通知するために、通知情報に認知度に対応するリスク改善策情報を記憶する。
In S <b> 405, the source
S406では、根源リスク特定部150は、処理装置により、全評価尺度(認知度、理解度、実施度)について処理を行ったか否かを判定する。根源リスク特定部150は、全評価尺度について処理を行ったと判断した場合には(S406でYES)、処理をS407に進める。根源リスク特定部150は、全評価尺度について処理を行っていないと判断した場合には(S406でNO)、処理をS402に戻す。
In S <b> 406, the root
S407では、リスク対策提示部160は、処理装置を用いて、根源リスク特定部150が記憶装置に記憶した通知情報にしたがって、各評価尺度に対応するリスク改善策情報を表示装置901に表示する。また、リスク対策提示部160は、「追加対策が不要」との通知を通知情報により入力した場合には、その旨を表示装置901に表示する。
In S407, the risk
本実施の形態では、以下のような特徴と有するセキュリティ管理装置100について説明した。 In the present embodiment, the security management apparatus 100 having the following features has been described.
実施の形態1におけるセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、
エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施していることを尺度として(すなわち、評価尺度(認知度、理解度、実施度)により)評価する評価部130と、
評価目的(評価尺度)別の収集可能な情報(評価判定データ情報)のリストから、評価部130で評価するための式を設計する評価式設計部112と、
評価尺度(認知度、理解度、実施度)に従って評価した結果が不適切と判断された場合の改善策を設計する改善対策案設計部(リスク改善策設計部113)と、
評価判定データ取得部140によって取得した評価判定データを評価した結果から、根源となるリスクを特定する根源リスク特定部150と、
根源となるリスクに対する対策を提示するリスク対策提示部160と
を備えることを特徴とする。
The security management device 100 according to the first embodiment is a security management device 100 for the purpose of confirming whether an information security measure in an organization is implemented by an end user,
An
An evaluation
An improvement plan design unit (risk improvement plan design unit 113) for designing an improvement plan when the result evaluated according to the evaluation scale (recognition level, understanding level, implementation level) is determined to be inappropriate;
From a result of evaluating the evaluation determination data acquired by the evaluation determination
And a risk
実施の形態1におけるセキュリティ管理装置100は、
評価部130が、エンドユーザがセキュリティ施策を正しく識別していることを分析する施策認知度分析部133と、エンドユーザがセキュリティ施策の内容を正しく理解していることを分析する施策理解度分析部134と、エンドユーザがセキュリティ施策を正しく実施していることを分析する施策実施度分析部135とを備え、
実施の形態1におけるセキュリティ管理装置100は、さらに、
施策認知度分析部133、施策理解度分析部134、施策実施度分析部135の3つの分析部が出力する分析結果(例えば、認知度の値、理解度の値、実施度の値)から、エンドユーザが属する評価ゾーン(評価レベル)を特定する評価ゾーン算出部136を備えることを特徴とする。
The security management device 100 in the first embodiment
The
The security management device 100 in the first embodiment further includes:
From the analysis results (for example, the value of recognition, the value of understanding, and the value of implementation) output by the three analysis units of the measure recognition
以上のように、実施の形態1におけるセキュリティ管理装置100によれば、ある情報セキュリティ施策に対して、エンドユーザがそれを実施しているかどうかを確認する際に、認知度、理解度、実施度の三つの評価尺度により判断するようにしているので、エンドユーザが当該セキュリティ施策を実施していない場合に、その根源となる原因を特定することができる。 As described above, according to the security management apparatus 100 in the first embodiment, when an end user confirms whether or not an information security measure is implemented, the degree of recognition, understanding, and implementation Therefore, when the end user does not implement the security measure, the cause that is the source can be specified.
実施の形態2.
実施の形態1のセキュリティ管理装置100では、ユーザのセキュリティ施策に対して評価式を用いて評価レベルを決定し、運用状況評価結果として出力していた。本実施の形態のセキュリティ管理装置100では、運用状況評価結果を出力(表示)方式として、三次元グラフを用いて運用状況評価結果を表示装置901に表示する場合について説明する。
In the security management apparatus 100 according to the first embodiment, an evaluation level is determined using an evaluation formula for a user's security measure and output as an operation status evaluation result. In the security management apparatus 100 according to the present embodiment, a case will be described in which an operation status evaluation result is displayed on the
図10は、実施の形態2におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。図10は、図1に対応する図であり、図1と同様の機能を有する機能ブロックについては同一の符号を付しその説明を省略する。図10において、図1と異なる点は、評価結果3次元表示部138を備える点である。
FIG. 10 is a diagram illustrating a functional block configuration diagram of the security management device 100 according to the second embodiment. FIG. 10 is a diagram corresponding to FIG. 1, and functional blocks having the same functions as those in FIG. 10 is different from FIG. 1 in that an evaluation result three-
評価結果3次元表示部138は、評価結果記憶部137に記憶された運用状況評価結果を、認知度、理解度、実施度を軸とした3次元空間上に表示して、表示装置901に評価結果3次元グラフとして表示する。評価結果3次元表示部138は、評価結果表示部の一例である。
The evaluation result three-
図11は、実施の形態2に係る評価結果3次元表示部138の評価結果3次元グラフ表示処理の流れを示すフロー図である。図11を用いて、評価結果3次元グラフ表示処理の流れについて説明する。
FIG. 11 is a flowchart showing the flow of the evaluation result three-dimensional graph display process of the evaluation result three-
評価結果3次元表示部138は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「評価結果3次元表示」ボタン等を選択することにより評価結果3次元表示部138が処理装置により記憶装置から読み出されて、処理装置により起動される。評価結果3次元表示部138は、起動されると、例えば、表示装置901に評価結果3次元グラフ要求画面を表示する。
The evaluation result three-
S901において、評価結果3次元表示部138は、処理装置により、表示装置901に表示された評価結果3次元グラフ要求画面を介して、管理者400からの評価結果3次元グラフ表示要求を入力する。
In S901, the evaluation result three-
S901において、評価結果3次元表示部138は、処理装置により、入力した評価結果3次元グラフ表示要求に含まれるセキュリティ施策IDを抽出する。ここで、対象セキュリティ施策としてセキュリティ施策Aが特定されたとする。また、評価結果3次元表示部138は、全ユーザについてのセキュリティ施策Aの運用状況評価結果を表示するものとする。すなわち、評価結果3次元表示部138は、S902からS904の処理を、全ユーザについて繰り返す。
In step S901, the evaluation result three-
S902において、評価結果3次元表示部138は、まず、対象ユーザを特定する。評価結果3次元表示部138は、例えば、セキュリティ管理装置100が予め備える登録ユーザ一覧等のデータにより、特定された対象セキュリティ施策に対応する対象ユーザを決定することができる。
In S902, the evaluation result three-
S903において、評価結果3次元表示部138は、特定した対象ユーザの対象ユーザIDと抽出したセキュリティ施策IDをもとに、評価結果記憶部137を検索して、対象ユーザIDについてのセキュリティ施策Aの認知度の値と理解度の値と実施度の値とを抽出する。評価結果3次元表示部138は、処理装置により、認知度、理解度、実施度を軸とした3次元空間を生成して、生成した3次元空間上に抽出した対象ユーザIDにおけるセキュリティ施策Aの認知度の値と理解度の値と実施度の値とをプロットし、評価結果3次元グラフデータを生成する。
In S903, the evaluation result three-
S904では、評価結果3次元表示部138は、処理装置により、全ユーザについて3次元空間へのプロットが完了したか否かを判定する。評価結果3次元表示部138は、全ユーザについて3次元空間へのプロットが完了したと判定した場合(S904でYES)、処理をS905に進める。評価結果3次元表示部138は、全ユーザについて3次元空間へのプロットが完了していないと判定した場合(S904でNO)、処理をS902に戻す。
In S904, the evaluation result three-
S905では、評価結果3次元表示部138は、処理装置により、生成した評価結果3次元グラフデータをもとに、評価結果3次元グラフを表示装置901に表示する。
In S905, the evaluation result three-
図12は、実施の形態2において表示装置に表示される評価結果3次元グラフの一例を示す図である。図12では、X軸に認知度、Y軸に理解度、Z軸に実施度を示している。また、3次元空間を複数の略直方体のブロック1〜27で区分けしているが、これらは実施の形態1の評価レベルと対応するとすることができる。 FIG. 12 is a diagram illustrating an example of a three-dimensional evaluation result graph displayed on the display device in the second embodiment. In FIG. 12, the recognition level is shown on the X axis, the understanding level is shown on the Y axis, and the implementation level is shown on the Z axis. Further, although the three-dimensional space is divided into a plurality of substantially rectangular parallelepiped blocks 1 to 27, these can correspond to the evaluation levels of the first embodiment.
また、3次元空間上の1つのプロットは1つのユーザを示し、プロットの形・色の違いによりセキュリティ施策の種類を示している。 In addition, one plot on the three-dimensional space indicates one user, and indicates the type of security measure by the difference in the shape and color of the plot.
例えば、ブロック1に多くのユーザがプロットされているプロットa1は、セキュリティ施策Aを示すとする。ブロック1は、認知度、理解度、実施度ともに値が低いブロックであるので、セキュリティ施策Aについては「リスク高:実施されていない、あるいは、実施したことがないのでどのような施策があるのか認識していない」という評価を下すことができる。ブロック19に多くのユーザがプロットされているプロットa2は、セキュリティ施策Bを示すとする。ブロック19は、実施度は高いが、認知度と理解度とは値が低いブロックであるので、セキュリティ施策Bについては「リスク中:実施度はOKだが、施策をきちんと識別(認知)・理解していないので、セキュリティ施策変更に対応できないリスクが高い」という評価を下すことができる。
For example, it is assumed that the plot a1 in which many users are plotted in the
実施の形態2に係るセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、各ユーザの運用状況評価結果を評価結果3次元グラフで表示する処理を行う評価結果3次元表示部138を備えたことを特徴とする。
The security management apparatus 100 according to the second embodiment is a security management apparatus 100 for the purpose of confirming whether or not an information security measure in the organization is being implemented by an end user. Is provided with an evaluation result three-
以上のように、本実施の形態に係るセキュリティ管理装置100によれば、ある情報セキュリティ施策に対する各ユーザの評価結果を3次元グラフ上に表示することにより、ユーザの評価結果の分布状況がわかりやすく表示される。また、各ユーザの評価結果が平均化されることないので、全体的に対策を採る必要があるのか、それとも特定のユーザだけに追加対策を施せばよいのかが判断しやすくなり、より適切な対策をとることが可能となる。 As described above, according to the security management apparatus 100 according to the present embodiment, by displaying the evaluation results of each user for a certain information security measure on a three-dimensional graph, it is easy to understand the distribution status of the user evaluation results. Is displayed. In addition, since the evaluation results of each user are not averaged, it becomes easier to determine whether it is necessary to take overall measures or whether additional measures should be taken only for specific users. It becomes possible to take.
実施の形態3.
上述した実施の形態1及び実施の形態2のセキュリティ管理装置100では、運用状況評価結果を表示装置等に表示し、ユーザが適切なリスク対策を採用することができるようにすることを目的としたものである。本実施の形態では、セキュリティ管理装置100が、運用状況評価結果に基づいて、取得する評価式を改善する実施の形態について説明する。
The security management device 100 according to the first embodiment and the second embodiment described above is intended to display an operation status evaluation result on a display device or the like so that the user can adopt an appropriate risk countermeasure. Is. In the present embodiment, an embodiment will be described in which the security management device 100 improves the evaluation formula to be acquired based on the operation status evaluation result.
図13は、実施の形態3におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。図13は、図1に対応する図であり、図1と同様の機能を有する機能ブロックについては同一の符号を付しその説明を省略する。図13において、図1と異なる点は、相関分析部139を備える点である。
FIG. 13 is a functional block configuration diagram of the security management apparatus 100 according to the third embodiment. FIG. 13 is a diagram corresponding to FIG. 1, and functional blocks having the same functions as those in FIG. 1 are denoted by the same reference numerals and description thereof is omitted. 13 is different from FIG. 1 in that a
相関分析部139は、各評価尺度の評価結果の相関関係を分析し、その分析結果を評価式情報にフィードバックする機能を備えている。相関分析部139は、評価結果記憶部137に記憶された認知度の値と理解度の値と実施度の値とに基づいて、認知度の値と理解度の値との要否を処理装置により決定して要否情報として記憶装置(評価式情報記憶部122)に記憶する。相関分析部139は、要否情報設定部の一例である。
The
図14は、実施の形態3に係る相関分析部の相関分析処理の流れを示すフロー図である。図14を用いて、相関分析部139の相関分析処理の流れについて説明する。
FIG. 14 is a flowchart showing the flow of correlation analysis processing of the correlation analyzer according to the third embodiment. The flow of the correlation analysis process of the
相関分析部139は、例えば、評価部130の運用状況評価処理が終了した後に起動される。あるいは、ユーザ(管理者400)による評価式情報変更要求により起動されるとしてもよい。
The
S1201において、相関分析部139は、処理装置により、評価対象のセキュリティ施策IDを特定する。相関分析部139は、ユーザから入力された評価式情報変更要求から評価対象のセキュリティ施策IDを抽出する。あるいは、相関分析部139は、評価部130による運用状況評価処理の対象となったセキュリティ施策IDを記憶装置より取得して、評価対象のセキュリティ施策IDとして特定してもよい。ここでは、評価対象のセキュリティ施策IDは、セキュリティ施策Aを示すものとする。
In S1201, the
S1202において、相関分析部139は、処理装置により、セキュリティ施策Aについての認知度の値、理解度の値、実施度の値を、評価結果記憶部137から取得する。
In S <b> 1202, the
S1203において、相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であるか否かを判定する。相関分析部139は、例えば、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して十分であるか否かを判定する。相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であると判定した場合(S1203でYES)、処理はS1204に進む。相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分でないと判定した場合(S1203でNO)、処理はS1205に進む。
In step S1203, the
ここで、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であるということは、セキュリティ施策Aは組織内において成熟したことを意味する。このため、相関分析部139は、処理装置により、セキュリティ施策Aについては認知度や理解度のデータを取得不要であるという記憶装置に記憶されている認知度理解度不要フラグ(要否情報の一例)をONにする。認知度理解度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されているものとする。
Here, that the evaluation result of the evaluation scale (recognition value, understanding value, implementation value) is sufficient means that the security measure A has matured in the organization. Therefore, the
S1205において、相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であるか否かを判定する。相関分析部139は、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であるか否かを判定する。相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であると判定した場合(S1205でYES)、処理はS1206に進む。相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」ではないと判定した場合(S1205でNO)、処理はS1207に進む。
In step S <b> 1205, the
S1206において、相関分析部139は、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であれば、今後は実施度と認知度のデータ取得を行い、理解度のデータを取得不要であるということを意味する理解度不要フラグ(要否情報の一例)をONにする。理解度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されている。
In S1206, the
S1205でNOの場合(すなわち、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」ではない場合)は、実施度と認知度の尺度が十分かどうかについて確認する。S1207において、相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であるか否かを判定する。相関分析部139は、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であるか否かを判定する。相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であると判定した場合(S1207でYES)、処理はS1208に進む。相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」ではないと判定した場合(S1207でNO)、処理は終了する。
In the case of NO in S1205 (that is, when the value of understanding and the value of implementation are sufficient and the value of recognition is not sufficient), whether or not the scale of implementation and recognition is sufficient Check. In S <b> 1207, the
S1208において、相関分析部139は、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であれば、今後は実施度と理解度のデータ取得を行い、認知度のデータを取得不要であるということを意味する認知度不要フラグ(要否情報の一例)をONにする。認知度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されている。
In S1208, the
相関分析部139は、S1207の結果も不十分ということであれば、全尺度についてのデータ取得は必要であることを意味するのであるから、処理を終了する。
If the result of S1207 is also insufficient, the
以上のように、相関分析部139は、セキュリティ施策Aについての評価尺度の評価結果に基づいて、セキュリティ施策Aに対応する評価式情報記憶部122に設定されているフラグ(認知度理解度不要フラグ、理解度不要フラグ、認知度不要フラグ)(要否情報の一例)をONにする。
As described above, based on the evaluation result of the evaluation scale for security measure A,
評価式設計部112(評価基準設定部の一例)は、評価式設計処理を行う場合に、評価式情報記憶部122に設定されているフラグ情報(要否情報)(認知度理解度不要フラグ、理解度不要フラグ、認知度不要フラグ)をもとにして再設計(再設定)する。例えば、評価式設計部112は、評価式設計処理を行う際に、認知度理解度不要フラグがONであった場合には、実施度の値のみに基づいて評価レベルを決定する評価式を生成する。あるいは、評価式設計部112は、評価式設計処理を行う際に、理解度不要フラグがONであった場合には、認知度の値と実施度の値とのみに基づいて評価レベルを決定する評価式を生成する。評価式設計部112は、評価式設計処理を行う際に、認知度不要フラグがONであった場合には、理解度の値と実施度の値とのみに基づいて評価レベルを決定する評価式を生成する。
The evaluation formula design unit 112 (an example of an evaluation criteria setting unit), when performing the evaluation formula design process, flag information (necessity information) set in the evaluation formula information storage unit 122 (recognition degree understanding unnecessary flag, Redesign (reset) based on understanding unnecessary flag and recognition unnecessary flag). For example, when performing the evaluation expression design process, the evaluation
実施の形態3におけるセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、各評価尺度の評価結果の相関関係を分析し、その分析結果を評価式情報にフィードバックする相関分析部139を備えることを特徴とする。
The security management apparatus 100 according to the third embodiment is a security management apparatus 100 for the purpose of confirming whether or not an information security measure in an organization is implemented by an end user, and correlates evaluation results of each evaluation scale. A
以上のように、本実施の形態のセキュリティ管理装置100によれば、運用条件評価結果からあるセキュリティ施策の成熟度を判断し、この成熟度によって評価式を変更(再設計)することにより、不要なデータ取得を削減できるため、過剰になりがちなセキュリティ運用管理負荷を軽減することが可能になる。 As described above, according to the security management apparatus 100 of the present embodiment, it is not necessary to determine the maturity level of a certain security measure from the operational condition evaluation result and change (redesign) the evaluation formula according to this maturity level. Therefore, it is possible to reduce the security operation management load that tends to be excessive.
以上、実施の形態1〜3について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。 As mentioned above, although Embodiment 1-3 was demonstrated, you may implement combining 2 or more embodiment among these. Alternatively, one of these embodiments may be partially implemented. Or you may implement combining two or more embodiment among these partially.
また、実施の形態1〜3の説明において説明した機能ブロックは、全ての機能ブロックをひとつの機能ブロックで実現しても構わない。あるいは、これらの機能ブロックを、どのような組み合わせで構成しても構わない。 In addition, the functional blocks described in the description of the first to third embodiments may be realized by a single functional block for all functional blocks. Alternatively, these functional blocks may be configured in any combination.
100 セキュリティ管理装置、110 設計部、111 評価判定データ情報設計部、112 評価式設計部、113 リスク改善策設計部、120 評価情報記憶部、121 評価判定データ情報記憶部、122 評価式情報記憶部、123 リスク改善策情報記憶部、130 評価部、131 算出部、132 運用状況評価部、133 施策認知度分析部、134 施策理解度分析部、135 施策実施度分析部、136 評価ゾーン算出部、137 評価結果記憶部、138 評価結果3次元表示部、139 相関分析部、140 評価判定データ取得部、141 セキュリティ判定データ記憶部、150 根源リスク特定部、160 リスク対策提示部、400 管理者、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ装置、907 スキャナ装置、908 タッチパネル、910 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 ファクシミリ機、940 インターネット、941 ゲートウェイ、942 LAN。
DESCRIPTION OF SYMBOLS 100 Security management apparatus, 110 Design part, 111 Evaluation judgment data information design part, 112 Evaluation formula design part, 113 Risk improvement measure design part, 120 Evaluation information storage part, 121 Evaluation judgment data information storage part, 122 Evaluation formula information storage part , 123 Risk improvement measure information storage unit, 130 evaluation unit, 131 calculation unit, 132 operation status evaluation unit, 133 measure recognition level analysis unit, 134 measure understanding level analysis unit, 135 measure implementation level analysis unit, 136 evaluation zone calculation unit, 137 Evaluation result storage unit, 138 Evaluation result three-dimensional display unit, 139 Correlation analysis unit, 140 Evaluation determination data acquisition unit, 141 Security determination data storage unit, 150 Root risk identification unit, 160 Risk countermeasure presentation unit, 400 Administrator, 901 Display device, 902 keyboard, 903 mouse, 904
Claims (10)
前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部と、
前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出部と、
前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価部と
を備えたことを特徴とするセキュリティ評価装置。 In a security evaluation device that evaluates the operational status of security measures in an organization,
A security determination data storage unit that stores recognition determination data for determining a recognition status of the security measure in the organization and an execution determination data for determining an implementation status of the security measure in the organization in a storage device;
The degree to which the user recognizes the security measure based on the input recognition determination data and the execution determination data by inputting the recognition determination data and the execution determination data from the security determination data storage unit And a calculation unit that calculates a value of the degree of recognition indicating the degree of implementation and the degree of implementation indicating the degree of implementation of the security measure by the user,
Based on the recognition level value and the implementation level value calculated by the calculation unit, the operation status of the security measure is evaluated by a processing device using an operation status evaluation criterion stored in advance in a storage device. A security evaluation device comprising an operation status evaluation unit that stores the operation status evaluation result in a storage device.
前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、
前記算出部は、さらに、
前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、
前記運用状況評価部は、
前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項1に記載のセキュリティ評価装置。 The security judgment data storage unit further includes:
Storing understanding determination data for determining an understanding status of the security measure in the organization in a storage device;
The calculation unit further includes:
The understanding determination data is input from the security determination data storage unit, and based on the input understanding determination data, the processor calculates an understanding level value indicating the degree of understanding of the security measure by the organization. ,
The operation status evaluation unit
Based on the understanding level value, the recognition level value, and the implementation level value calculated by the calculation unit, the operating status of the security measure is evaluated by a processing device using the operating status evaluation criteria. The security evaluation device according to claim 1, wherein the operation status evaluation result is stored in a storage device.
前記セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルと、前記複数の評価レベルの各評価レベルに対応させて各々設定された、理解度の値と認知度の値と実施度の値との組み合わせと、を前記運用状況評価基準として記憶装置に記憶する評価基準設定部を備え、
前記運用状況評価部は、
前記評価基準設定部により設定された前記運用状況評価基準に含まれる複数の評価レベルの中から、前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値との組み合わせが対応する評価レベルを処理装置により取得して、取得した前記評価レベルを前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項2に記載のセキュリティ評価装置。 The security evaluation device further includes:
A plurality of evaluation levels representing the rating of evaluation of the operational status of the security measure, and a value of understanding, a value of recognition, and a value of implementation set corresponding to each of the plurality of evaluation levels And an evaluation criterion setting unit that stores the combination as a storage device as the operation status evaluation criterion,
The operation status evaluation unit
Among a plurality of evaluation levels included in the operational status evaluation standard set by the evaluation standard setting unit, the understanding level value, the recognition level value, and the implementation level value calculated by the calculation unit, The security evaluation apparatus according to claim 2, wherein an evaluation level corresponding to the combination is acquired by a processing apparatus, and the acquired evaluation level is stored in a storage device as the operation status evaluation result.
前記複数の評価レベルの各評価レベルに対応させて、セキュリティ改善策を各々設定して前記運用状況評価基準とし、
前記運用状況評価部は、さらに、
取得した前記評価レベルとともに、当該評価レベルに対応するセキュリティ改善策を取得して、取得した前記評価レベルと前記セキュリティ改善策とを前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項3に記載のセキュリティ評価装置。 The evaluation criterion setting unit further includes:
Corresponding to each of the plurality of evaluation levels, each security improvement measure is set as the operational status evaluation standard,
The operational status evaluation unit further includes:
A security improvement measure corresponding to the evaluation level is acquired together with the acquired evaluation level, and the acquired evaluation level and the security improvement measure are stored in the storage device as the operation status evaluation result. Item 4. The security evaluation device according to Item 3.
認知度を示すX座標と理解度を示すY座標と実施度を示すZ座標とからなる3次元座標により表される3次元空間を表示装置に表示する評価結果表示部であって、前記3次元空間の中で、前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに対応する3次元座標の示す位置を、特定の表示により表示する評価結果表示部を備える
ことを特徴とする請求項2〜4のいずれかに記載のセキュリティ評価装置。 The security evaluation device further includes:
An evaluation result display unit that displays on a display device a three-dimensional space represented by a three-dimensional coordinate composed of an X coordinate indicating recognition, a Y coordinate indicating understanding, and a Z coordinate indicating implementation, wherein the three-dimensional Evaluation result display for displaying the position indicated by the three-dimensional coordinates corresponding to the value of the degree of understanding, the value of the degree of recognition and the value of the degree of implementation calculated by the calculation unit in a space The security evaluation apparatus according to claim 2, further comprising a unit.
前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、理解度の値と認知度の値との要否を示す要否情報を記憶装置に記憶する要否情報設定部を備え、
前記評価基準設定部は、
前記要否情報設定部により設定された前記要否情報に基づいて、前記運用状況評価基準を再設定する
ことを特徴とする請求項3に記載のセキュリティ評価装置。 The security evaluation device further includes:
Based on the understanding level value, the recognition level value, and the implementation level value calculated by the calculation unit, storage device stores necessity information indicating whether the understanding level value and the recognition level value are necessary. The necessity information setting part to be stored in
The evaluation criteria setting unit
The security evaluation apparatus according to claim 3, wherein the operation status evaluation criterion is reset based on the necessity information set by the necessity information setting unit.
算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出ステップと、
運用状況評価部が、前記算出ステップにより算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価ステップと
を備えたことを特徴とするセキュリティ評価装置のセキュリティ評価方法。 A security evaluation device that evaluates the operational status of a security measure in an organization, for determining the recognition status of the security measure in the organization, and for determining the implementation status of the security measure in the organization In a security evaluation method of a security evaluation device including a security determination data storage unit that stores execution determination data in a storage device,
The calculation unit inputs the recognition determination data and the execution determination data from the security determination data storage unit, and the user recognizes the security measure based on the input recognition determination data and the execution determination data. A calculation step of calculating, by a processing device, a value of the degree of recognition indicating the degree of being performed and a value of the degree of execution indicating the degree of the user performing the security measure;
The operation status evaluation unit uses the operation status evaluation criteria stored in advance in the storage device for the operation status of the security measure based on the value of the recognition level and the value of the implementation level calculated in the calculation step. A security evaluation method for a security evaluation device, comprising: an operation status evaluation step that evaluates by a processing device and stores the operation status evaluation result in a storage device.
前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、
前記算出ステップは、さらに、
前記算出部が、前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、
前記運用状況評価ステップは、
前記運用状況評価部が、前記算出ステップにより算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項7に記載のセキュリティ評価装置のセキュリティ評価方法。 The security judgment data storage unit further includes:
Storing understanding determination data for determining an understanding status of the security measure in the organization in a storage device;
The calculating step further includes:
The calculation unit inputs the understanding determination data from the security determination data storage unit, and based on the input understanding determination data, an understanding level value indicating a degree of understanding of the security measure by the organization. Calculated by the processor,
The operation status evaluation step includes:
The operational status evaluation unit determines the operational status of the security measure based on the understanding level value, the recognition level value, and the implementation level value calculated in the calculating step, and the operational status evaluation standard. The security evaluation method for a security evaluation apparatus according to claim 7, wherein the security evaluation apparatus is used for evaluation by a processing apparatus and the operation status evaluation result is stored in a storage device.
算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出処理と、
運用状況評価部が、前記算出処理により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価処理と
をコンピュータであるセキュリティ評価装置に実行させることを特徴とするセキュリティ評価装置のセキュリティ評価プログラム。 A security evaluation device that is a computer that evaluates the operational status of security measures in an organization, and that determines recognition status data for determining the recognition status of the security measures in the organization, and determines the implementation status of the security measures in the organization In a security evaluation program for a security evaluation device, which is a computer provided with a security determination data storage unit that stores execution determination data for storage in a storage device,
The calculation unit inputs the recognition determination data and the execution determination data from the security determination data storage unit, and the user recognizes the security measure based on the input recognition determination data and the execution determination data. A calculation process for calculating, by a processing device, a value of the degree of recognition indicating the degree of performing and a value of the degree of implementation indicating the degree of the user performing the security measure;
The operational status evaluation unit uses the operational status evaluation criteria stored in the storage device in advance for the operational status of the security measure based on the recognition value and the implementation value calculated by the calculation process. A security evaluation program for a security evaluation device, which causes a security evaluation device, which is a computer, to execute an operation status evaluation process that is evaluated by a processing device and stored in a storage device as an operation status evaluation result.
前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、
前記算出処理は、さらに、
前記算出部が、前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、
前記運用状況評価処理は、
前記運用状況評価部が、前記算出ステップにより算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶する
ことを特徴とする請求項9に記載のセキュリティ評価装置のセキュリティ評価プログラム。 The security judgment data storage unit further includes:
Storing understanding determination data for determining an understanding status of the security measure in the organization in a storage device;
The calculation process further includes:
The calculation unit inputs the understanding determination data from the security determination data storage unit, and based on the input understanding determination data, an understanding level value indicating a degree of understanding of the security measure by the organization. Calculated by the processor,
The operational status evaluation process is:
The operational status evaluation unit determines the operational status of the security measure based on the understanding level value, the recognition level value, and the implementation level value calculated in the calculating step, and the operational status evaluation standard. 10. The security evaluation program for a security evaluation apparatus according to claim 9, wherein the security evaluation program is used for evaluation by a processing apparatus and stored in the storage device as the operation status evaluation result.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009101001A JP2010250677A (en) | 2009-04-17 | 2009-04-17 | Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009101001A JP2010250677A (en) | 2009-04-17 | 2009-04-17 | Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010250677A true JP2010250677A (en) | 2010-11-04 |
Family
ID=43312912
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009101001A Pending JP2010250677A (en) | 2009-04-17 | 2009-04-17 | Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010250677A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020240641A1 (en) * | 2019-05-27 | 2020-12-03 | 日本電信電話株式会社 | Instruction output device, instruction output method, and program |
JP7015889B1 (en) | 2020-09-30 | 2022-02-14 | ビジョナル・インキュベーション株式会社 | Risk assessment support system |
CN116383856A (en) * | 2023-05-24 | 2023-07-04 | 豪符密码检测技术(成都)有限责任公司 | Safety and effectiveness detection method for data safety protection measures |
-
2009
- 2009-04-17 JP JP2009101001A patent/JP2010250677A/en active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020240641A1 (en) * | 2019-05-27 | 2020-12-03 | 日本電信電話株式会社 | Instruction output device, instruction output method, and program |
JP7015889B1 (en) | 2020-09-30 | 2022-02-14 | ビジョナル・インキュベーション株式会社 | Risk assessment support system |
JP2022057956A (en) * | 2020-09-30 | 2022-04-11 | ビジョナル・インキュベーション株式会社 | Risk evaluation support system |
CN116383856A (en) * | 2023-05-24 | 2023-07-04 | 豪符密码检测技术(成都)有限责任公司 | Safety and effectiveness detection method for data safety protection measures |
CN116383856B (en) * | 2023-05-24 | 2023-08-29 | 豪符密码检测技术(成都)有限责任公司 | Safety and effectiveness detection method for data safety protection measures |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20180191781A1 (en) | Data insights platform for a security and compliance environment | |
CN103620581A (en) | User interface and workflow for performing machine learning | |
JP5366864B2 (en) | Security countermeasure standard creation support system and program, and security countermeasure standard creation support method | |
WO2015025551A1 (en) | Correlation display system, correlation display method, and correlation display program | |
EP4083823A2 (en) | Method and apparatus for determining risk level of instance on cloud server and electronic device | |
US8819442B1 (en) | Assessing risk associated with a computer technology | |
JP7255636B2 (en) | Terminal management device, terminal management method, and program | |
WO2021040871A1 (en) | Quantifiying privacy impact | |
US10990985B2 (en) | Remote supervision of client device activity | |
JP2010250677A (en) | Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device | |
US10877946B1 (en) | Efficient incident response through tree-based visualizations of hierarchical clustering | |
JP2011203880A (en) | Device and method for deciding already read | |
US20160092806A1 (en) | Workflow control device and non-transitory computer-readable storage medium having stored therein workflow control program for controlling workflow regarding operation on electronic apparatus | |
WO2012053041A1 (en) | Security monitoring device, security monitoring method and security monitoring program based on security policy | |
JP2006201926A (en) | Similar document retrieval system, similar document retrieval method and program | |
CN108268192B (en) | List operation method and device | |
JP4066033B1 (en) | Client terminal monitoring system | |
JP2009211128A (en) | Simulation device, simulation method, and program | |
US10810551B2 (en) | Project management support system, project management support method, and non-transitory computer readable medium storing a project management support program | |
US20220253529A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
JP2014219896A (en) | Evaluation program and evaluation device | |
Ohta | On the conditions under which audit risk increases with information | |
JP4138859B1 (en) | Client terminal monitoring system | |
KR20240055600A (en) | A system for tagging security information and a method thereof | |
WO2023164458A1 (en) | Document open detection and remediation |