図面 (/)

技術 セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム

出願人 三菱電機株式会社
発明者 中野初美
出願日 2009年4月17日 (10年5ヶ月経過) 出願番号 2009-101001
公開日 2010年11月4日 (8年10ヶ月経過) 公開番号 2010-250677
状態 未査定
技術分野 特定用途計算機
主要キーワード 実施データ Y座標 技術方式 リスク対策 評価判定基準 対策案 評価フェーズ 潜在リスク
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2010年11月4日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (15)

課題

ユーザがセキュリティ施策を正しく識別認知)し、理解し、実施しているかどうかを確認することによってユーザのセキュリティ施策の浸透度を適切に評価する。

解決手段

セキュリティ判定データ記憶部141が、認知度理解度実施度を評価するための評価判定データ記憶装置に記憶し、算出部131が、評価判定データを入力して、ユーザがセキュリティ施策を認知している度合いを示す認知度の値と、ユーザがセキュリティ施策を理解している度合いを示す理解度の値と、ユーザがセキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出し、運用状況評価部132が、算出部131により算出された認知度の値と理解度の値と実施度の値とに基づいて、セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して、運用状況評価結果として評価結果記憶部137に記憶する。

概要

背景

組織における情報セキュリティ運用管理支援する従来技術として、組織の現在のセキュリティポリシーと組織のセキュリティ運用実態との差異分析し、組織内のセキュリティ運用ルールの調整を行うことによって組織のセキュリティポリシーの改善を行うという方式がある(特許文献1)。また、他の従来技術として、ネットワークに接続された情報機器に関するセキュリティ監査を、ログ情報等を定期的に収集することによって自動的に行い、改善すべきセキュリティ施策を洗い出す、という技術方式がある(特許文献2)。

概要

ユーザがセキュリティ施策を正しく識別認知)し、理解し、実施しているかどうかを確認することによってユーザのセキュリティ施策の浸透度を適切に評価する。セキュリティ判定データ記憶部141が、認知度理解度実施度を評価するための評価判定データ記憶装置に記憶し、算出部131が、評価判定データを入力して、ユーザがセキュリティ施策を認知している度合いを示す認知度の値と、ユーザがセキュリティ施策を理解している度合いを示す理解度の値と、ユーザがセキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出し、運用状況評価部132が、算出部131により算出された認知度の値と理解度の値と実施度の値とに基づいて、セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して、運用状況評価結果として評価結果記憶部137に記憶する。

目的

この発明は上記のような課題を解決するためになされたもので、エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施しているかどうかを確認することによってエンドユーザへのセキュリティ施策の浸透度を適切に測るとともに、確認した結果に基づいて適切な対処提示することができるシステムを提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

組織におけるセキュリティ施策運用状況を評価するセキュリティ評価装置において、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部と、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出部と、前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価部とを備えたことを特徴とするセキュリティ評価装置。

請求項2

前記セキュリティ判定データ記憶部は、さらに、前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、前記算出部は、さらに、前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、前記運用状況評価部は、前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶することを特徴とする請求項1に記載のセキュリティ評価装置。

請求項3

前記セキュリティ評価装置は、さらに、前記セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルと、前記複数の評価レベルの各評価レベルに対応させて各々設定された、理解度の値と認知度の値と実施度の値との組み合わせと、を前記運用状況評価基準として記憶装置に記憶する評価基準設定部を備え、前記運用状況評価部は、前記評価基準設定部により設定された前記運用状況評価基準に含まれる複数の評価レベルの中から、前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値との組み合わせが対応する評価レベルを処理装置により取得して、取得した前記評価レベルを前記運用状況評価結果として記憶装置に記憶することを特徴とする請求項2に記載のセキュリティ評価装置。

請求項4

前記評価基準設定部は、さらに、前記複数の評価レベルの各評価レベルに対応させて、セキュリティ改善策を各々設定して前記運用状況評価基準とし、前記運用状況評価部は、さらに、取得した前記評価レベルとともに、当該評価レベルに対応するセキュリティ改善策を取得して、取得した前記評価レベルと前記セキュリティ改善策とを前記運用状況評価結果として記憶装置に記憶することを特徴とする請求項3に記載のセキュリティ評価装置。

請求項5

前記セキュリティ評価装置は、さらに、認知度を示すX座標と理解度を示すY座標と実施度を示すZ座標とからなる3次元座標により表される3次元空間を表示装置に表示する評価結果表示部であって、前記3次元空間の中で、前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに対応する3次元座標の示す位置を、特定の表示により表示する評価結果表示部を備えることを特徴とする請求項2〜4のいずれかに記載のセキュリティ評価装置。

請求項6

前記セキュリティ評価装置は、さらに、前記算出部により算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、理解度の値と認知度の値との要否を示す要否情報を記憶装置に記憶する要否情報設定部を備え、前記評価基準設定部は、前記要否情報設定部により設定された前記要否情報に基づいて、前記運用状況評価基準を再設定することを特徴とする請求項3に記載のセキュリティ評価装置。

請求項7

組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置であって、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部を備えるセキュリティ評価装置のセキュリティ評価方法において、算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出ステップと、運用状況評価部が、前記算出ステップにより算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価ステップとを備えたことを特徴とするセキュリティ評価装置のセキュリティ評価方法。

請求項8

前記セキュリティ判定データ記憶部は、さらに、前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、前記算出ステップは、さらに、前記算出部が、前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、前記運用状況評価ステップは、前記運用状況評価部が、前記算出ステップにより算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶することを特徴とする請求項7に記載のセキュリティ評価装置のセキュリティ評価方法。

請求項9

組織におけるセキュリティ施策の運用状況を評価するコンピュータであるセキュリティ評価装置であって、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部を備えるコンピュータであるセキュリティ評価装置のセキュリティ評価プログラムにおいて、算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出処理と、運用状況評価部が、前記算出処理により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価処理とをコンピュータであるセキュリティ評価装置に実行させることを特徴とするセキュリティ評価装置のセキュリティ評価プログラム。

請求項10

前記セキュリティ判定データ記憶部は、さらに、前記組織における前記セキュリティ施策の理解状況を判定するための理解判定データを記憶装置に記憶し、前記算出処理は、さらに、前記算出部が、前記セキュリティ判定データ記憶部から前記理解判定データを入力して、入力した前記理解判定データに基づいて、前記組織が前記セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出し、前記運用状況評価処理は、前記運用状況評価部が、前記算出ステップにより算出された前記理解度の値と前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、前記運用状況評価基準を用いて処理装置により評価して前記運用状況評価結果として記憶装置に記憶することを特徴とする請求項9に記載のセキュリティ評価装置のセキュリティ評価プログラム。

技術分野

0001

本発明は、組織セキュリティ施策運用状況を評価するセキュリティ評価装置及びセキュリティ評価方法及びセキュリティ評価プログラムに関する。

背景技術

0002

組織における情報セキュリティ運用管理支援する従来技術として、組織の現在のセキュリティポリシーと組織のセキュリティ運用実態との差異分析し、組織内のセキュリティ運用ルールの調整を行うことによって組織のセキュリティポリシーの改善を行うという方式がある(特許文献1)。また、他の従来技術として、ネットワークに接続された情報機器に関するセキュリティ監査を、ログ情報等を定期的に収集することによって自動的に行い、改善すべきセキュリティ施策を洗い出す、という技術方式がある(特許文献2)。

先行技術

0003

特開2002−056176号公報
特開2004−185455号公報

発明が解決しようとする課題

0004

従来技術では、情報セキュリティの運用管理を行う場合、ヒアリングアンケートによって、さらには、ネットワーク接続機器からPC設定状況等のデータを取得することによって、エンドユーザが組織内で指示された施策を実施しているかどうかを確認していた。しかし、このような方式では、以下のような課題がある。

0005

第一に、実施状況を収集しているだけでは、事故が発生しないとわからない潜在リスクを検出することができない、という課題がある。例えば、近年、オフィスの外部へ持出したPCの盗難等による情報漏えい事件の発生が多数報告されている。このような事故に対して、通常業態として、PCを持出すエンドユーザは、PC持出しの実施状況を確認することができるが、業務上、PCを持出す必要がなかったために、PC持出を行ったことがないエンドユーザについては、実施したことがないために、実施状況を確認することはできない。このようなエンドユーザがPC持出し時の施策について認識していなかった場合、PC持出しを行った際に情報漏えい事故が起こるリスクが高い。このリスクは、事故が発生して初めて認識されることになる。

0006

第二に、ITシステム上でセキュリティ施策の実施状況を取得していても、セキュリティ事故が発生した場合の根本原因はわからない、という課題がある。例えば、あるエンドユーザが、指示されたセキュリティ上の施策を実施していないことが確認された場合、業務の都合上、一時的に敢えてそのセキュリティ施策実施していなかったのか、それとも指示されたセキュリティ施策事項である、という点を認識していなかったために実施していなかったのかは、判別できない。前者の場合は、その原因となる業務が終了したタイミングで該当セキュリティ施策を実施するようにエンドユーザに徹底すればよいが、後者の場合は、エンドユーザに対して該当セキュリティ施策に関する再教育が必要になる。もし、後者のようなエンドユーザが組織内に多数いた場合は、セキュリティ施策の指示方法の見直しが必要になる場合もある。このように、あるセキュリティ施策が実施されていなかった場合、その原因によって異なる対処をしなければならない。

0007

この発明は上記のような課題を解決するためになされたもので、エンドユーザがセキュリティ施策を正しく識別認知)し、理解し、実施しているかどうかを確認することによってエンドユーザへのセキュリティ施策の浸透度を適切に測るとともに、確認した結果に基づいて適切な対処を提示することができるシステムを提供する。

課題を解決するための手段

0008

本発明におけるセキュリティ評価装置は、
組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、
前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶するセキュリティ判定データ記憶部と、
前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出する算出部と、
前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶する運用状況評価部と
を備えたことを特徴とする。

発明の効果

0009

本発明におけるセキュリティ評価装置は、組織におけるセキュリティ施策の運用状況を評価するセキュリティ評価装置において、セキュリティ判定データ記憶部が、前記組織における前記セキュリティ施策の認知状況を判定するための認知判定データと、前記組織における前記セキュリティ施策の実施状況を判定するための実施判定データとを記憶装置に記憶し、算出部が、前記セキュリティ判定データ記憶部から前記認知判定データと前記実施判定データとを入力して、入力した前記認知判定データと前記実施判定データとに基づいて、前記ユーザが前記セキュリティ施策を認知している度合いを示す認知度の値と、前記ユーザが前記セキュリティ施策を実施している度合いを示す実施度の値とを処理装置により算出し、運用状況評価部が、前記算出部により算出された前記認知度の値と前記実施度の値とに基づいて、前記セキュリティ施策の運用状況を、予め記憶装置に記憶された運用状況評価基準を用いて処理装置により評価して運用状況評価結果として記憶装置に記憶するので、エンドユーザがセキュリティ施策を正しく認知(識別、理解)して実施しているかどうかを確認することができ、エンドユーザへのセキュリティ施策の浸透度をより適切に評価可能なセキュリティ管理装置を提供することができる。

図面の簡単な説明

0010

実施の形態1に係る情報セキュリティ管理装置100の機能ブロック図である。
実施の形態に係るセキュリティ管理装置100の外観の一例を示す図である。
実施の形態に係るセキュリティ管理装置100のハードウェア資源の一例を示す図である。
実施の形態1に係る設計部110による評価情報設計処理及び評価情報記憶処理フロー図である。
実施の形態1における評価判定データ情報設計部111が記憶する評価判定データ情報記憶部121の一例を示す図である。
実施の形態1におけるリスク改善策設計部113が記憶するリスク改善策情報記憶部123の一例を示す図である。
実施の形態1における評価式設計部112が記憶する評価式情報記憶部122の一例を示す図である。
実施の形態1に係る評価判定データ取得処理及び運用状況評価処理を示すフロー図である。
実施の形態1に係るリスク問合せ処理を示すフロー図である。
実施の形態2におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。
実施の形態2に係る評価結果3次元表示部138の評価結果3次元グラフ表示処理の流れを示すフロー図である。
実施の形態2において表示装置に表示される評価結果3次元グラフの一例を示す図である。
実施の形態3におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。
実施の形態3に係る相関分析部139の相関分析処理の流れを示すフロー図である。

実施例

0011

以下に、本発明の実施の形態について、図を用いて説明する。

0012

実施の形態1.
本実施の形態では、会社、事務所役所等の組織(以下、ユーザともいう)内におけるセキュリティ施策の運用状況について評価し、評価結果(評価レベル)を出力し、さらには出力した評価結果からリスク改善策等をユーザに提示することができるセキュリティ管理装置100について説明する。セキュリティ管理装置100はセキュリティ評価装置の一例である。すなわち、実施の形態1におけるセキュリティ管理装置100は、組織内のセキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100である。

0013

組織(ユーザ)内におけるセキュリティ施策とは、組織内でのセキュリティを高めるための個々の施策を意味する。例えば、「セキュリティプログラムによる定期チェックの実行施策」や、「PCの社外持ち出し禁止施策」や、「秘匿ファイルへのアクセス権取得義務施策」や、「セキュリティソフトの実行施策」等、様々なセキュリティ施策がある。また、以下において、ユーザとは、セキュリティ施策を実践する会社等の組織あるいは組織内の個々のユーザを意味し、セキュリティ管理装置100を実際に利用するのはユーザ内の管理者400(セキュリティ管理者)である。以下では、ユーザの一員である管理者400を「ユーザ」と呼ぶ場合もあるものとする。また、ユーザ(組織)で実際にセキュリティ施策を実施する個々の者を、エンドユーザと呼ぶ場合もある。

0014

図1は、実施の形態1に係る情報セキュリティ管理装置100の機能ブロック図である。図1を用いて、セキュリティ管理装置100の各機能ブロックの機能について説明する。

0015

本実施の形態のセキュリティ管理装置100は、組織内のセキュリティ施策の運用状況を評価するための評価尺度として、認知度、理解度、実施度を用いる。認知度は、ユーザ(組織)内において、エンドユーザがどれだけセキュリティ施策を認知しているかの度合いを示す値である。理解度は、ユーザ内において、エンドユーザがどれだけセキュリティ施策を理解しているかの度合いを示す値である。実施度は、ユーザ内において、エンドユーザがどれだけセキュリティ施策を実施しているかの度合いを示す値である。すなわち、認知度、理解度、実施度の値は、百分率で表すことができる。セキュリティ管理装置100において、認知度、理解度、実施度を判定するとは、例えば、認知度、理解度、実施度の値をそれぞれ百分率で表すことを意味する。

0016

セキュリティ管理装置100は、設計部110、評価情報記憶部120、評価部130、評価判定データ取得部140、セキュリティ判定データ記憶部141、根源リスク特定部150、リスク対策提示部160を備えている。

0017

設計部110及び評価情報記憶部120は、セキュリティ管理装置100を利用して組織内のセキュリティ施策の運用状況を評価したい管理者400(ユーザ)が、組織内の複数のセキュリティ施策毎に、該当するセキュリティ施策を評価するために必要な評価情報等を、入力装置を用いて設定するための機能(インタフェース等)を提供する。また、設計部110及び評価情報記憶部120は、管理者400から入力装置を介して入力したデータや、ユーザ(組織)内の情報システムのデータベース等から取得したデータをもとに、セキュリティ施策を評価するために必要な評価情報を記憶装置に記憶する。

0018

設計部110は、評価判定データ情報設計部111、評価式設計部112、リスク改善策設計部113、質問生成部114を備えている。また、評価情報記憶部120は、評価判定データ情報記憶部121、評価式情報記憶部122、リスク改善策情報記憶部123を備えている。

0019

評価判定データ情報設計部111は、組織内におけるエンドユーザへのセキュリティ施策の浸透度を評価尺度(認知度と理解度と実施度)毎に評価するために、評価尺度(認知度と理解度と実施度)毎に評価判定データ情報を設定し、設定した評価判定データ情報を評価判定データ情報記憶部121に記憶する。評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度(認知度と理解度と実施度)毎に評価判定データ情報を設定する。評価判定データ情報とは、該当するセキュリティ施策の評価尺度(認知度と理解度と実施度)を判定するために、取得すべき評価判定データを示すものである。例えば、セキュリティ施策A「セキュリティプログラムAの定期的の実行」についての認知度を判定するための評価判定データ情報とは、「セキュリティプログラムAの実行手順が書かれた指定URLへのアクセスの有無」や「指定URLアクセス時間」等である。

0020

組織内でのセキュリティ施策の浸透度を評価尺度(認知度と理解度と実施度)毎に判定するために、組織内ではエンドユーザへのアンケートやヒアリングを行う。質問生成部114は、このエンドユーザへのアンケートやヒアリングの際の質問を生成する。質問生成部114は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度毎に質問を生成する。また、質問生成部114は、生成した評価尺度毎の質問に対するエンドユーザの回答データ集計サンプル情報を生成する。質問生成部114は、回答データの集計情報を、評価尺度毎の評価判定データ情報として評価判定データ情報設計部111に出力する。評価判定データ情報設計部111は、集計した回答データの集計サンプル情報を評価尺度毎の評価判定データ情報として設定してもよい。

0021

また、評価判定データ情報設計部111は、特定した評価判定データ情報を評価するための基準であるデータ別評価基準を設定する。評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価判定データ情報に対応するデータ別評価基準を設定する。あるいは、例えば、評価判定データ情報「指定URLへのアクセス時間」に対するデータ別評価基準として、「アクセス時間が5分以上でOK」といった評価の満足条件を設定する。ここで、評価判定データ情報は、評価尺度(認知度と理解度と実施度)毎に複数特定されていてもよい。評価判定データ情報設計部111は、評価尺度(認知度と理解度と実施度)毎に複数特定された(1つでも構わない)評価判定データ情報に対して、対応するデータ別評価基準を設定して評価判定データ情報記憶部121に記憶する。ここで、1つの評価判定データ情報に対応するデータ別評価基準は、複数であってもよい。評価判定データ情報記憶部121の詳細説明については、後述する。

0022

リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価判定データ情報に対応するリスク改善策を設定する。リスク改善策設計部113は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価尺度(認知度と理解度と実施度)毎に設定された評価判定データ情報に対して、対応するリスク改善策を設定する。対応するリスク改善策とは、該当する評価判定データ情報がデータ別評価基準を満足していない場合(例えば、評価判定データ情報「指定URLへのアクセスの有無」のデータが5分未満であった場合)の、ユーザがとるべきリスクの改善策である。リスク改善策設計部113は、評価判定データ情報に対して、対応するリスク改善策を設定してリスク改善策情報記憶部123に記憶する。

0023

評価式設計部112は、セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルを設定するとともに、設定した複数の評価レベルの各評価レベルに対して、対応する理解度の値と認知度の値と実施度の値との組み合わせを設定し、運用状況評価基準(以下、評価式ともいう)として記憶装置である評価式情報記憶部122に記憶する。評価式設計部112は、評価基準設定部の一例である。

0024

評価式設計部112は、評価レベルを決定するための評価式(運用状況評価基準)を設定して評価式情報記憶部122に記憶する。評価式設計部112は、例えば、入力装置を介したユーザ(管理者400等)からの入力に基づいて、評価式を設定する。評価式とは、例えば、セキュリティAについては「全ての評価尺度において90%以上を満たしていれば評価レベル1(リスク対応は不要)」、「実施度が90%を満たしていれば評価レベル2(即座対応は不要)」等の条件のことである。

0025

以上の説明が、設計部110が評価情報記憶部120を設定する処理を行う機能ブロックの説明である。次に、セキュリティ管理装置100が、管理者400等からのセキュリティ施策評価要求を入力して、該当セキュリティ施策の評価処理を行う機能ブロックについて説明する。

0026

評価部130は、算出部131、運用状況評価部132を備える。算出部131は、施策認知度分析部133、施策理解度分析部134、施策実施度分析部135を備える。運用状況評価部132は、評価ゾーン算出部136、評価結果記憶部137を備える。

0027

評価部130は、管理者400から入力装置を介してセキュリティ施策評価要求(評価対象のセキュリティ施策及びユーザID(組織ID)を含む)を入力して、該当ユーザについての該当セキュリティ施策に関する評価処理を実行する。

0028

評価部130は、エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施していることを尺度として評価するための評価判定データ情報のリストを、評価情報記憶部120の評価判定データ情報記憶部121から取得する。評価部130は、取得した評価判定データ情報のリストに基づいて、評価判定データ取得部140に評価判定データ取得要求を出力する。

0029

評価判定データ取得部140は、評価部130から入力した評価判定データ取得要求にしたがって、組織内の情報システムのデータベース(記憶装置)等に記憶されている情報や、エンドユーザからの入力(回答データ)の情報等から、必要な評価判定データを取得して記憶装置に記憶する。すなわち、評価判定データ取得部140は、ユーザにおけるセキュリティ施策の認知状況を判定するための認知判定データと、ユーザにおけるセキュリティ施策の理解状況を判定するための理解判定データと、ユーザにおけるセキュリティ施策の実施状況を判定するための実施判定データとを評価判定データとして記憶装置であるセキュリティ判定データ記憶部141に記憶する。

0030

算出部131は、評価尺度(認知度、理解度、実施度)についての値、すなわち、認知度の値、理解度の値、実施度の値を算出する。すなわち、施策認知度分析部133は、セキュリティ判定データ記憶部141から認知判定データを入力して、入力した前記認知判定データに基づいて、該当ユーザが該当セキュリティ施策を認知している度合いを示す認知度の値を処理装置により算出する。施策理解度分析部134は、セキュリティ判定データ記憶部141から理解判定データを入力して、入力した前記理解判定データに基づいて、該当ユーザが該当セキュリティ施策を理解している度合いを示す理解度の値を処理装置により算出する。施策実施度分析部135は、セキュリティ判定データ記憶部141から実施判定データを入力して、入力した前記実施判定データに基づいて、該当ユーザが該当セキュリティ施策を実施している度合いを示す実施度の値を処理装置により算出する。

0031

運用状況評価部132は、算出部131により算出された認知度の値と理解度の値と実施度の値とに基づいて、セキュリティ施策の運用状況を、予め記憶装置を用いて評価式情報記憶部122に記憶された評価式(運用状況評価基準)を用いて処理装置により評価して運用状況評価結果として記憶装置である評価結果記憶部137に記憶する。

0032

評価ゾーン算出部136は、評価式情報記憶部122に記憶されている評価式(運用状況評価基準)に設定されている複数の評価レベルの中から、算出部131により算出された認知度の値と理解度の値と実施度の値との組み合わせが対応する評価レベルを処理装置により取得する。評価ゾーン算出部136は、取得した評価レベルを含む情報を運用状況評価結果として記憶装置である評価結果記憶部137に記憶する。

0033

評価ゾーン算出部136は、評価対象のユーザIDと、評価対象のセキュリティ施策と、評価対象について算出した評価尺度の値(認知度の値と理解度の値と実施度の値)と、評価尺度の値から取得した評価レベルとを対応付けて、運用状況評価結果として評価対象毎に評価結果記憶部137に記憶する。また、評価ゾーン算出部136は、さらに、評価対象の各評価尺度(認知度、理解度、実施度)に対応する評価判定データと、その評価判定データのデータ別評価基準による判定結果とを対応させた情報も、運用状況評価結果として評価結果記憶部137に記憶する。ここで、評価対象とは、ユーザID(組織ID)毎かつセキュリティ施策ID毎を想定している。しかし、評価対象として、エンドユーザ毎かつセキュリティ施策ID毎でもよく、エンドユーザ毎かつセキュリティ施策ID毎に運用状況評価結果を評価結果記憶部137に記憶してもよい。

0034

評価部130は、評価結果記憶部137に記憶された運用状況評価結果を表示装置等に表示して管理者400に提示する。例えば、評価部130は、評価対象のユーザIDと評価対象のセキュリティ施策とに対応付けて、評価対象について算出した評価尺度の値(認知度の値と理解度の値と実施度の値)、評価尺度の値から取得した評価レベル、各評価尺度(認知度、理解度、実施度)に対応する評価判定データ、評価判定データのデータ別評価基準による判定結果等を併せて表示装置に表示してもよい。

0035

以上のように、セキュリティ管理装置100は、管理者400等からのセキュリティ施策評価要求を入力して、該当ユーザにおける該当セキュリティ施策の評価処理を行う。次に、セキュリティ管理装置100が、管理者400等からのリスク問合せ要求を入力装置を介して入力し、該当ユーザにおける該当セキュリティ施策のリスク改善策を提示する処理の機能ブロックについて説明する。

0036

根源リスク特定部150は、管理者400から入力装置を介してリスク問合せ要求(対象セキュリティ施策、ユーザID(組織ID)を含む)を入力する。根源リスク特定部150は、評価結果記憶部137に記憶された運用状況評価結果から、該当ユーザの該当セキュリティ施策の各評価尺度(認知度、理解度、実施度)に対応する評価判定データと判定結果(OK/NG)(データ別評価基準に達していたかどうか)を抽出する。NGである評価判定データがあれば、その評価判定データに対応するリスク情報とそのリスク改善策を取得し、リスク対策提示部160に通知する。OKである評価判定データの場合は、特に通知する必要もないが、OKである評価判定データを表示装置に表示して、今後もセキュリティの維持に努めるように注意喚起してもよい。

0037

根源リスク特定部150は、全評価尺度について評価判定データの判定結果の達成状況を確認した後、対応するリスク情報が抽出されなければ、追加対策が不要と判断してリスク対策提示部160に通知しないとしてもよい。最終的にリスク対策提示部160では、根源リスク特定部150より通知された結果を表示装置に出力(表示)する。

0038

以上のように、セキュリティ管理装置100によるセキュリティ管理システムは、大きく次のような手順に分けられる。(1)エンドユーザへのセキュリティ施策浸透度を評価するための評価情報(評価判定データ情報、評価式)を作成し(評価情報設計フェーズ)、(2)評価のために必要な実施データを取得して分析・評価し(運用状況評価フェーズ)、(3)問題があれば必要な対策を提示する(リスク問合フェーズ)。

0039

図2は、以下の実施の形態に係るセキュリティ管理装置100の外観の一例を示す図である。図2において、セキュリティ管理装置100は、システムユニット910、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disk・ Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907、タッチパネル908などのハードウェア資源を備え、これらはケーブル信号線で接続されている。システムユニット910は、コンピュータであり、ファクシミリ機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク942(LAN)、ゲートウェイ941を介してインターネット940に接続されている。

0040

図3は、実施の形態に係るセキュリティ管理装置100のハードウェア資源の一例を示す図である。図3において、セキュリティ管理装置100は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置マイクロプロセッサマイクロコンピュータプロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、タッチパネル908、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置メモリカード読み書き装置などの記憶装置でもよい。

0041

RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。

0042

通信ボード915、キーボード902、スキャナ装置907、FDD904、表示装置901(表示画面801)、タッチパネル908などは、入力部、入力装置の一例である。また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。

0043

通信ボード915は、ファクシミリ機932、電話器931、LAN942等に接続されている。通信ボード915は、LAN942に限らず、インターネット940、ISDN等のWANワイドエリアネットワーク)などに接続されていても構わない。インターネット940或いはISDN等のWANに接続されている場合、ゲートウェイ941は不用となる。

0044

磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。

0045

上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」、「〜手段」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明する情報やデータや信号値変数値パラメータが、「〜ファイル」、「〜データベース」、「〜データ」の各項目として記憶されている。「〜ファイル」、「〜データベース」、「〜データ」は、ディスクメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。

0046

また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスクミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。

0047

また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子デバイス基板配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。

0048

図4は、実施の形態1に係る設計部による評価情報設計処理及び評価情報記憶処理のフロー図である。図4を用いて、設計部110による評価情報設計処理及び評価情報記憶処理の流れについて説明する。

0049

S201において、設計部110は、管理者400から入力装置を介して評価対象のセキュリティ施策を識別する情報(例えば、セキュリティ施策ID)を入力する。

0050

S202は、設計部110が評価対象のセキュリティ施策(S201にて入力されたセキュリティ施策IDの示すセキュリティ施策Aとする)の各評価尺度(認知度、理解度、実施度)について以降の処理を行う繰り返し処理である。

0051

以下のS203からS206の説明では、セキュリティ施策Aについての「認知度」を評価するための評価判定データ情報の設計処理、リスク改善策の設計処理について説明する。設計部110では、理解度、実施度についても同様の処理を行うので、ここでは説明を省略する。

0052

S203では、評価判定データ情報設計部111は、例えば、入力装置を介したユーザ(管理者400)からの入力に基づいて、認知度を判定するために取得すべき評価判定データ情報を処理装置により特定する。評価判定データ情報とは、評価対象のセキュリティ施策の認知度を判定するために取得すべき評価判定データを示すものである。例えば、「セキュリティ施策A:セキュリティプログラムAの定期的の実行」についての認知度を判定するための評価判定データ情報とは、セキュリティプログラムAをダウンロード等するための「指定URLへのアクセスの有無」や「指定URLへのアクセス時間」等である。

0053

S204では、評価判定データ情報設計部111は、特定した評価判定データ情報を評価するための基準であるデータ別評価基準を設定する。評価判定データ情報設計部111は、例えば、入力装置を介した管理者400からの入力に基づいて、評価判定データ情報に対応するデータ別評価基準を処理装置により設定する。評価判定データ情報に対応するデータ別評価基準とは、例えば、評価判定データ情報「指定URLへのアクセス時間」に対して「指定URLへのアクセス時間が10分以上」等の2値判断が用いられる。あるいは、指定URLへのアクセス時間によるセキュリティレベル分け(例「10分以上ならセキュリティレベル3」)等を規定するとしてもよい。評価判定データ情報設計部111は、認知度に対して複数の評価判定データ情報を設定しても構わない。評価判定データ情報設計部111は、上述したように処理装置を用いて評価判定データ情報に対して対応するデータ別評価基準を設定して、評価判定データ情報記憶部121に記憶する。

0054

図5は、実施の形態1における評価判定データ情報設計部111により記憶装置に記憶される評価判定データ情報記憶部121の一例を示す図である。評価判定データ情報記憶部121では、評価尺度「認知度」に対して、評価判定データ情報として「指定URLアクセス有無」、「指定URLアクセス時間」、「指定ファイルアクセスの有無」、「指定ファイルアクセス時間」が設定されている。また、評価判定データ情報「指定URLアクセス有無」のデータ別評価基準(満足条件)として、「1回が5分以上」との条件が設定されている。ここで、図5に示すように、評価判定データ情報記憶部121の構成は、評価尺度(認知度)に対して評価項目(URLアクセス、ファイルアクセス)を設定し、各評価項目に対して評価判定データ情報を設定する構成となっているが、評価項目はなくてもよい。また、図5では、評価判定データ情報記憶部121の構成に、各評価判定データ情報(評価判定データ情報のデータ)がデータ別評価基準(満足条件)を満足しない場合のリスクに関するリスク情報も加えられている。

0055

設計部110は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「評価情報設計フェーズ」を選択することにより、設計部110が処理装置により記憶装置から読み出されて、処理装置により起動される。設計部110は、起動されると表示装置901に評価情報設計入力画面(図示せず)を表示する。設計部110(評価判定データ情報設計部111)は、表示装置901の評価情報設計入力画面を介して、管理者400からの入力情報(評価判定データ、データ別評価基準、リスク情報等)を入力し、評価判定データ情報記憶部121に記憶する。

0056

セキュリティ管理装置100では、取得可能な評価判定データ情報の一覧及びデータ別評価基準の一覧及びリスク情報の一覧を予め記憶装置に記憶してあるとしてもよい。設計部110(評価判定データ情報設計部111)は、予め記憶装置に記憶されているこれらの一覧を用いて、評価情報設計入力画面において、プルダウンメニュー等により管理者400に選択させるというインタフェースを用いてもよい。

0057

あるいは、セキュリティ管理装置100では、図5の評価判定データ情報記憶部121に示すような構成のデータベース(評価判定データ情報DB)が、予めシステム設計時等に生成され記憶装置に記憶されているものとしてもよい。評価判定データ情報設計部111は、データの特定にあたって、予め記憶装置に記憶された評価判定データ情報DBを利用してもよい。また、管理者400等により、評価判定データ情報DBを更新することができるとしてもよい。

0058

S205において、リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価判定データに対応するリスク改善策を設定する。あるいは、リスク改善策設計部113は、評価尺度(認知度と理解度と実施度)毎の評価項目に対応するリスク改善策を設定する。リスク改善策設計部113は、例えば、表示装置901に表示された評価情報設計入力画面のインタフェースを用いて管理者400から入力された情報と評価判定データ情報記憶部121に記憶されている情報とに基づいて、認知度の評価判定データ情報(評価項目)に対応するリスク情報とリスク改善策とを設定して、リスク改善策情報記憶部123に記憶する。

0059

図6は、実施の形態1におけるリスク改善策設計部113により記憶されるリスク改善策情報記憶部123の一例を示す図である。図6に示すように、リスク改善策情報記憶部123では、例えば、認知度を判定するための評価判定データ情報「指定URLアクセスの有無」に対応するリスク情報「施策(規定)が見つけにくい」に対して、その改善策として、リスク改善策「規程をWEBに掲示」、「WEB上の検索アルゴリズムの改善」、「規程の階層構造の見直し」が設定されている。リスク改善策は、評価尺度毎に設定されていてもよいし、評価項目毎に設定されていてもよいし、評価判定データ毎に設定されていてもよい。

0060

S206において、設計部110は、処理装置を用いて、全評価尺度(認知度、理解度、実施度)について、評価判定データ情報、データ別評価基準、リスク改善策が、評価判定データ情報記憶部121、リスク改善策情報記憶部123に記憶されたか否かを判定する。設計部110は、全評価尺度(認知度、理解度、実施度)について、評価判定データ情報記憶部121及びリスク改善策情報記憶部123への格納処理が完了したと判定すると(S206でYES)、処理をS207に進める。設計部110は、全評価尺度(認知度、理解度、実施度)について格納処理が完了していないと判定すると(S206でNO)、処理をS202に戻す。

0061

S207では、評価式設計部112は、セキュリティ施策の運用状況の評価の格付けを表す複数の評価レベルを設定するとともに、設定した複数の評価レベルの各評価レベルに対応させて「理解度の値と認知度の値と実施度の値との組み合わせ」をそれぞれ設定し、評価式情報記憶部122に記憶する。評価式設計部112は、評価レベルを決定するための評価式(運用状況評価基準の一例)を設定して評価式情報記憶部122に記憶する。評価式設計部112は、例えば、表示装置901に表示された評価情報設計入力画面インタフェースを介して入力された管理者400からの入力情報に基づいて、評価式を設定して評価式情報記憶部122に記憶する。

0062

図7は、実施の形態1における評価式設計部112により記憶される評価式情報記憶部122の一例を示す図である。図7に示すように、評価式とは、セキュリティ施策Aについて、「認知度の値90%以上、理解度の値90%以上、実施度の値90%以上」の場合は評価レベル「1:(リスク対応不要)」、「認知度の値90%以上、理解度の値90%〜50%、実施度の値90%以上」の場合は評価レベル「2:(即座リスク対応不要)」、「認知度の値90%〜50%、理解度の値50%〜30%、実施度の値90%以上」の場合は評価レベル「3:(リスク対応再教育要)」等の条件式である。

0063

以上で、実施の形態1に係る設計部110による評価情報設計処理及び評価情報記憶処理の説明を終わる。

0064

図8は、実施の形態1に係る評価判定データ取得処理及び運用状況評価処理を示すフロー図である。図8を用いて、評価判定データ取得部140による評価判定データ取得処理と、評価部130による運用状況評価処理について説明する。

0065

評価部130は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「運用状況評価フェーズ」を選択することにより評価部130が処理装置により記憶装置から読み出されて、処理装置により起動される。評価部130は、起動されると表示装置901に評価対象入力画面(図示せず)を、処理装置により表示する。

0066

S301において、評価部130(算出部131)は、表示装置901に表示された評価対象入力画面を介して、管理者400からのセキュリティ施策評価要求を入力する。評価部130(算出部131)は、処理装置により、入力したセキュリティ施策評価要求に含まれるユーザIDとセキュリティ施策IDとを抽出して記憶装置に記憶する。

0067

S302において、算出部131は、処理装置により、入力したセキュリティ施策ID(ここでは、セキュリティ施策Aが指定されたものとする)をもとに、評価式情報記憶部122を検索して、セキュリティ施策Aに対応する評価式情報(図7の情報)を抽出する。

0068

S303は、算出部131が評価対象のセキュリティ施策Aの各評価尺度(認知度、理解度、実施度)について、認知度/理解度/実施度に関して以降の処理を行う繰り返し処理である。

0069

以下のS304からS306の説明では、施策認知度分析部133が評価対象のセキュリティ施策Aについての「認知度の値」を算出するための評価判定データを取得する評価判定データ取得処理と、施策認知度分析部133が取得した評価判定データ(認知判定データ)を用いて「認知度の値」を算出する施策認知度算出処理について説明する。算出部131(施策認知度分析部133、施策理解度分析部134、施策実施度分析部135)では、理解度、実施度についても認知度の処理と同様の処理を行うので、理解度、実施度については説明を省略する。

0070

S304では、施策認知度分析部133は、処理装置により、入力したユーザIDとセキュリティ施策IDとをもとに評価判定データ情報記憶部121を検索して、認知度の判定のために取得すべき評価判定データ情報を抽出する。施策認知度分析部133は、処理装置により、抽出した評価判定データ情報に対応する評価判定データを取得するための評価判定データ取得要求を評価判定データ取得部140に出力する。

0071

S305では、評価判定データ取得部140は、処理装置により、評価判定データ取得要求により指定された評価判定データ情報に対応する評価判定データを取得する。評価判定データ取得部140は、例えば、ユーザ(組織)内情報システムにおいて蓄積されているログ情報から評価判定データを取得する。あるいは、評価判定データ取得部140は、処理装置により、ユーザ(組織)内のエンドユーザの回答(上述した質問生成部114により生成された質問に対する回答)を蓄積した回答データを集計して、評価判定データとして取得する。評価判定データ取得部140は、取得した評価判定データをセキュリティ判定データ記憶部141に認知判定データとして記憶する。

0072

S306では、施策認知度分析部133は、処理装置により、セキュリティ判定データ記憶部141に記憶された認知判定データを読み込んで、読み込んだ認知判定データに基づいて認知度の値を算出する。施策認知度分析部133は、例えば、評価判定データ情報が「指定URLアクセス時間」であり、データ別評価判定基準「総アクセス時間が30分以上」の場合、「すべてのエンドユーザがデータ別評価判定基準を満たすアクセス時間」に対する「取得した認知判定データ(認知度を評価するための評価判定データ)から得られる実状況のアクセス時間」の度合いを処理装置により算出する。施策認知度分析部133は、すべての評価判定データ情報について上記のように度合いを算出してその平均値を認知度の値として算出する。

0073

S307では、算出部131は、処理装置により、評価尺度(認知度、理解度、実施度)すべてについて、セキュリティ施策Aについての認知度の値、理解度の値、実施度の値が算出されたか否かを判定する。算出部131が、評価尺度(認知度、理解度、実施度)すべてについて算出されたと判断した場合(S307でYES)、処理はS308に進む。算出部131が、評価尺度(認知度、理解度、実施度)すべてについて算出されていないと判断した場合(S307でNO)、処理はS303に戻る。

0074

S308では、運用状況評価部132(評価ゾーン算出部136)が、処理装置により、算出部131により算出された「認知度の値と理解度の値と実施度の値との組み合わせ」と、S302において取得したセキュリティ施策Aの評価式情報とを比較して、比較した結果に基づいて、評価対象のセキュリティ施策Aの評価レベルを決定する。運用状況評価部132(評価ゾーン算出部136)は、処理装置により、決定された評価レベルを運用状況評価結果として評価結果記憶部137に記憶する。また、運用状況評価部132(評価ゾーン算出部136)は、ユーザIDにおけるセキュリティ施策Aの運用状況評価結果として、評価レベルとともに、各評価尺度の値(認知度の値、理解度の値、実施度の値)と、各評価尺度(認知度、理解度、実施度)について取得した評価判定データとそのデータ別評価基準の判定結果とを評価結果記憶部137に記憶する。

0075

以上で、実施の形態1に係る評価判定データ取得処理及び運用状況評価処理の説明を終わる。

0076

図9は、実施の形態1に係るリスク問合せ処理を示すフロー図である。図9を用いて、リスク問合せ処理について説明する。

0077

根源リスク特定部150は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「リスク問合せフェーズ」を選択することにより根源リスク特定部150が処理装置により記憶装置から読み出されて、処理装置により起動される。根源リスク特定部150は、起動されると、表示装置901にリスク問合せ入力画面(図示せず)を表示する。

0078

S401において、根源リスク特定部150は、処理装置により、表示装置901に表示されたリスク問合せ入力画面を介して、管理者400からのリスク問合せ要求を入力する。根源リスク特定部150は、処理装置により、入力したリスク問合せ要求に含まれるユーザIDとセキュリティ施策IDとを抽出する。

0079

S402は、根源リスク特定部150が、対象のユーザIDにおけるセキュリティ施策Aについて、S403からS406の処理を各評価尺度(認知度、理解度、実施度)すべてについて行う繰り返し処理である。以下の説明では、根源リスク特定部150が、対象ユーザIDの対象セキュリティ施策IDをもとに、評価結果記憶部137を参照して、認知度に対応する評価判定データすべてについてそれぞれデータ別評価基準を満足したか否かをチェックする処理について説明する。ここでは、理解度、実施度についても同様の処理を行うため、その説明は省略する。

0080

S403では、根源リスク特定部150は、処理装置により、入力した対象ユーザIDと対象セキュリティ施策IDをもとに、評価結果記憶部137を参照して、認知度に対応する評価判定データのすべてについて、それぞれデータ別評価基準を満足したか否か(判定結果がOKかNGか)をチェックする。

0081

根源リスク特定部150は、認知度のすべての評価判定データについてチェックを行い、すべての評価判定データがデータ別評価基準を満足している場合(S403でYES)は、S404aへ処理をうつす。

0082

S404aでは、根源リスク特定部150は、処理装置により、認知度のすべての評価判定データがデータ別評価基準に達している旨をリスク対策提示部に通知するための通知情報を記憶装置に記憶する。

0083

S404では、根源リスク特定部150は、処理装置により、全評価尺度(認知度、理解度、実施度)について処理を行ったか否かを判定する。根源リスク特定部150は、全評価尺度について処理を行ったと判断した場合には(S404でYES)、処理をS404bに進める。S404bでは、根源リスク特定部150は、記憶装置に記憶されている通知情報により、全評価尺度について評価基準の達成状況(すなわち、認知度、理解度、実施度ついての全評価判定データのデータ別評価基準の判定結果状況)を確認する。根源リスク特定部150は、通知情報を確認した結果、全評価尺度についてすべての評価判定データがデータ別評価基準に達している場合には、対応するリスクが抽出されなかったことを意味するので、追加対策が不要との旨の通知を通知情報に記憶する。

0084

S404にて、根源リスク特定部150は、全評価尺度について処理を行っていないと判断した場合には(S404でNO)、処理をS402に戻す。

0085

S403で、根源リスク特定部150が、認知度のすべての評価判定データが基準を満足しているわけではない場合(S403でNO)は、S405へ処理を進める。

0086

S405では、根源リスク特定部150は、処理装置により、データ別評価基準を満足していない評価判定データを取得するとともに、取得した評価判定データに対応するリスク改善策をリスク改善策情報記憶部123を参照して取得し、認知度に対応するリスク改善策情報として記憶装置に記憶する。S405では、根源リスク特定部150は、処理装置により、記憶装置に記憶されている認知度に対応するリスク改善策情報をリスク対策提示部160に通知するために、通知情報に認知度に対応するリスク改善策情報を記憶する。

0087

S406では、根源リスク特定部150は、処理装置により、全評価尺度(認知度、理解度、実施度)について処理を行ったか否かを判定する。根源リスク特定部150は、全評価尺度について処理を行ったと判断した場合には(S406でYES)、処理をS407に進める。根源リスク特定部150は、全評価尺度について処理を行っていないと判断した場合には(S406でNO)、処理をS402に戻す。

0088

S407では、リスク対策提示部160は、処理装置を用いて、根源リスク特定部150が記憶装置に記憶した通知情報にしたがって、各評価尺度に対応するリスク改善策情報を表示装置901に表示する。また、リスク対策提示部160は、「追加対策が不要」との通知を通知情報により入力した場合には、その旨を表示装置901に表示する。

0089

本実施の形態では、以下のような特徴と有するセキュリティ管理装置100について説明した。

0090

実施の形態1におけるセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、
エンドユーザがセキュリティ施策を正しく識別(認知)し、理解し、実施していることを尺度として(すなわち、評価尺度(認知度、理解度、実施度)により)評価する評価部130と、
評価目的(評価尺度)別の収集可能な情報(評価判定データ情報)のリストから、評価部130で評価するための式を設計する評価式設計部112と、
評価尺度(認知度、理解度、実施度)に従って評価した結果が不適切と判断された場合の改善策を設計する改善対策案設計部(リスク改善策設計部113)と、
評価判定データ取得部140によって取得した評価判定データを評価した結果から、根源となるリスクを特定する根源リスク特定部150と、
根源となるリスクに対する対策を提示するリスク対策提示部160と
を備えることを特徴とする。

0091

実施の形態1におけるセキュリティ管理装置100は、
評価部130が、エンドユーザがセキュリティ施策を正しく識別していることを分析する施策認知度分析部133と、エンドユーザがセキュリティ施策の内容を正しく理解していることを分析する施策理解度分析部134と、エンドユーザがセキュリティ施策を正しく実施していることを分析する施策実施度分析部135とを備え、
実施の形態1におけるセキュリティ管理装置100は、さらに、
施策認知度分析部133、施策理解度分析部134、施策実施度分析部135の3つの分析部が出力する分析結果(例えば、認知度の値、理解度の値、実施度の値)から、エンドユーザが属する評価ゾーン(評価レベル)を特定する評価ゾーン算出部136を備えることを特徴とする。

0092

以上のように、実施の形態1におけるセキュリティ管理装置100によれば、ある情報セキュリティ施策に対して、エンドユーザがそれを実施しているかどうかを確認する際に、認知度、理解度、実施度の三つの評価尺度により判断するようにしているので、エンドユーザが当該セキュリティ施策を実施していない場合に、その根源となる原因を特定することができる。

0093

実施の形態2.
実施の形態1のセキュリティ管理装置100では、ユーザのセキュリティ施策に対して評価式を用いて評価レベルを決定し、運用状況評価結果として出力していた。本実施の形態のセキュリティ管理装置100では、運用状況評価結果を出力(表示)方式として、三次元グラフを用いて運用状況評価結果を表示装置901に表示する場合について説明する。

0094

図10は、実施の形態2におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。図10は、図1に対応する図であり、図1と同様の機能を有する機能ブロックについては同一の符号を付しその説明を省略する。図10において、図1と異なる点は、評価結果3次元表示部138を備える点である。

0095

評価結果3次元表示部138は、評価結果記憶部137に記憶された運用状況評価結果を、認知度、理解度、実施度を軸とした3次元空間上に表示して、表示装置901に評価結果3次元グラフとして表示する。評価結果3次元表示部138は、評価結果表示部の一例である。

0096

図11は、実施の形態2に係る評価結果3次元表示部138の評価結果3次元グラフ表示処理の流れを示すフロー図である。図11を用いて、評価結果3次元グラフ表示処理の流れについて説明する。

0097

評価結果3次元表示部138は、例えば、以下のようにして起動される。セキュリティ管理装置100が起動されると、セキュリティ管理システムの初期画面が表示装置901に表示され、管理者400が初期画面において「評価結果3次元表示」ボタン等を選択することにより評価結果3次元表示部138が処理装置により記憶装置から読み出されて、処理装置により起動される。評価結果3次元表示部138は、起動されると、例えば、表示装置901に評価結果3次元グラフ要求画面を表示する。

0098

S901において、評価結果3次元表示部138は、処理装置により、表示装置901に表示された評価結果3次元グラフ要求画面を介して、管理者400からの評価結果3次元グラフ表示要求を入力する。

0099

S901において、評価結果3次元表示部138は、処理装置により、入力した評価結果3次元グラフ表示要求に含まれるセキュリティ施策IDを抽出する。ここで、対象セキュリティ施策としてセキュリティ施策Aが特定されたとする。また、評価結果3次元表示部138は、全ユーザについてのセキュリティ施策Aの運用状況評価結果を表示するものとする。すなわち、評価結果3次元表示部138は、S902からS904の処理を、全ユーザについて繰り返す。

0100

S902において、評価結果3次元表示部138は、まず、対象ユーザを特定する。評価結果3次元表示部138は、例えば、セキュリティ管理装置100が予め備える登録ユーザ一覧等のデータにより、特定された対象セキュリティ施策に対応する対象ユーザを決定することができる。

0101

S903において、評価結果3次元表示部138は、特定した対象ユーザの対象ユーザIDと抽出したセキュリティ施策IDをもとに、評価結果記憶部137を検索して、対象ユーザIDについてのセキュリティ施策Aの認知度の値と理解度の値と実施度の値とを抽出する。評価結果3次元表示部138は、処理装置により、認知度、理解度、実施度を軸とした3次元空間を生成して、生成した3次元空間上に抽出した対象ユーザIDにおけるセキュリティ施策Aの認知度の値と理解度の値と実施度の値とをプロットし、評価結果3次元グラフデータを生成する。

0102

S904では、評価結果3次元表示部138は、処理装置により、全ユーザについて3次元空間へのプロットが完了したか否かを判定する。評価結果3次元表示部138は、全ユーザについて3次元空間へのプロットが完了したと判定した場合(S904でYES)、処理をS905に進める。評価結果3次元表示部138は、全ユーザについて3次元空間へのプロットが完了していないと判定した場合(S904でNO)、処理をS902に戻す。

0103

S905では、評価結果3次元表示部138は、処理装置により、生成した評価結果3次元グラフデータをもとに、評価結果3次元グラフを表示装置901に表示する。

0104

図12は、実施の形態2において表示装置に表示される評価結果3次元グラフの一例を示す図である。図12では、X軸に認知度、Y軸に理解度、Z軸に実施度を示している。また、3次元空間を複数の略直方体ブロック1〜27で区分けしているが、これらは実施の形態1の評価レベルと対応するとすることができる。

0105

また、3次元空間上の1つのプロットは1つのユーザを示し、プロットの形・色の違いによりセキュリティ施策の種類を示している。

0106

例えば、ブロック1に多くのユーザがプロットされているプロットa1は、セキュリティ施策Aを示すとする。ブロック1は、認知度、理解度、実施度ともに値が低いブロックであるので、セキュリティ施策Aについては「リスク高:実施されていない、あるいは、実施したことがないのでどのような施策があるのか認識していない」という評価を下すことができる。ブロック19に多くのユーザがプロットされているプロットa2は、セキュリティ施策Bを示すとする。ブロック19は、実施度は高いが、認知度と理解度とは値が低いブロックであるので、セキュリティ施策Bについては「リスク中:実施度はOKだが、施策をきちんと識別(認知)・理解していないので、セキュリティ施策変更に対応できないリスクが高い」という評価を下すことができる。

0107

実施の形態2に係るセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、各ユーザの運用状況評価結果を評価結果3次元グラフで表示する処理を行う評価結果3次元表示部138を備えたことを特徴とする。

0108

以上のように、本実施の形態に係るセキュリティ管理装置100によれば、ある情報セキュリティ施策に対する各ユーザの評価結果を3次元グラフ上に表示することにより、ユーザの評価結果の分布状況がわかりやすく表示される。また、各ユーザの評価結果が平均化されることないので、全体的に対策を採る必要があるのか、それとも特定のユーザだけに追加対策を施せばよいのかが判断しやすくなり、より適切な対策をとることが可能となる。

0109

実施の形態3.
上述した実施の形態1及び実施の形態2のセキュリティ管理装置100では、運用状況評価結果を表示装置等に表示し、ユーザが適切なリスク対策を採用することができるようにすることを目的としたものである。本実施の形態では、セキュリティ管理装置100が、運用状況評価結果に基づいて、取得する評価式を改善する実施の形態について説明する。

0110

図13は、実施の形態3におけるセキュリティ管理装置100の機能ブロック構成図を示す図である。図13は、図1に対応する図であり、図1と同様の機能を有する機能ブロックについては同一の符号を付しその説明を省略する。図13において、図1と異なる点は、相関分析部139を備える点である。

0111

相関分析部139は、各評価尺度の評価結果の相関関係を分析し、その分析結果を評価式情報にフィードバックする機能を備えている。相関分析部139は、評価結果記憶部137に記憶された認知度の値と理解度の値と実施度の値とに基づいて、認知度の値と理解度の値との要否を処理装置により決定して要否情報として記憶装置(評価式情報記憶部122)に記憶する。相関分析部139は、要否情報設定部の一例である。

0112

図14は、実施の形態3に係る相関分析部の相関分析処理の流れを示すフロー図である。図14を用いて、相関分析部139の相関分析処理の流れについて説明する。

0113

相関分析部139は、例えば、評価部130の運用状況評価処理が終了した後に起動される。あるいは、ユーザ(管理者400)による評価式情報変更要求により起動されるとしてもよい。

0114

S1201において、相関分析部139は、処理装置により、評価対象のセキュリティ施策IDを特定する。相関分析部139は、ユーザから入力された評価式情報変更要求から評価対象のセキュリティ施策IDを抽出する。あるいは、相関分析部139は、評価部130による運用状況評価処理の対象となったセキュリティ施策IDを記憶装置より取得して、評価対象のセキュリティ施策IDとして特定してもよい。ここでは、評価対象のセキュリティ施策IDは、セキュリティ施策Aを示すものとする。

0115

S1202において、相関分析部139は、処理装置により、セキュリティ施策Aについての認知度の値、理解度の値、実施度の値を、評価結果記憶部137から取得する。

0116

S1203において、相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であるか否かを判定する。相関分析部139は、例えば、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して十分であるか否かを判定する。相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であると判定した場合(S1203でYES)、処理はS1204に進む。相関分析部139は、処理装置により、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分でないと判定した場合(S1203でNO)、処理はS1205に進む。

0117

ここで、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)が十分であるということは、セキュリティ施策Aは組織内において成熟したことを意味する。このため、相関分析部139は、処理装置により、セキュリティ施策Aについては認知度や理解度のデータを取得不要であるという記憶装置に記憶されている認知度理解度不要フラグ(要否情報の一例)をONにする。認知度理解度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されているものとする。

0118

S1205において、相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であるか否かを判定する。相関分析部139は、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であるか否かを判定する。相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であると判定した場合(S1205でYES)、処理はS1206に進む。相関分析部139は、処理装置により、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」ではないと判定した場合(S1205でNO)、処理はS1207に進む。

0119

S1206において、相関分析部139は、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」であれば、今後は実施度と認知度のデータ取得を行い、理解度のデータを取得不要であるということを意味する理解度不要フラグ(要否情報の一例)をONにする。理解度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されている。

0120

S1205でNOの場合(すなわち、「理解度の値と実施度の値とが十分であり、認知度の値が不十分」ではない場合)は、実施度と認知度の尺度が十分かどうかについて確認する。S1207において、相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であるか否かを判定する。相関分析部139は、記憶装置に予め記憶されている評価尺度の閾値と、評価尺度の評価結果(認知度の値、理解度の値、実施度の値)とを処理装置により比較して、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であるか否かを判定する。相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であると判定した場合(S1207でYES)、処理はS1208に進む。相関分析部139は、処理装置により、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」ではないと判定した場合(S1207でNO)、処理は終了する。

0121

S1208において、相関分析部139は、「認知度の値と実施度の値とが十分であり、理解度の値が不十分」であれば、今後は実施度と理解度のデータ取得を行い、認知度のデータを取得不要であるということを意味する認知度不要フラグ(要否情報の一例)をONにする。認知度不要フラグは、セキュリティ施策Aに対応する評価式情報記憶部122に設定されている。

0122

相関分析部139は、S1207の結果も不十分ということであれば、全尺度についてのデータ取得は必要であることを意味するのであるから、処理を終了する。

0123

以上のように、相関分析部139は、セキュリティ施策Aについての評価尺度の評価結果に基づいて、セキュリティ施策Aに対応する評価式情報記憶部122に設定されているフラグ(認知度理解度不要フラグ、理解度不要フラグ、認知度不要フラグ)(要否情報の一例)をONにする。

0124

評価式設計部112(評価基準設定部の一例)は、評価式設計処理を行う場合に、評価式情報記憶部122に設定されているフラグ情報(要否情報)(認知度理解度不要フラグ、理解度不要フラグ、認知度不要フラグ)をもとにして再設計(再設定)する。例えば、評価式設計部112は、評価式設計処理を行う際に、認知度理解度不要フラグがONであった場合には、実施度の値のみに基づいて評価レベルを決定する評価式を生成する。あるいは、評価式設計部112は、評価式設計処理を行う際に、理解度不要フラグがONであった場合には、認知度の値と実施度の値とのみに基づいて評価レベルを決定する評価式を生成する。評価式設計部112は、評価式設計処理を行う際に、認知度不要フラグがONであった場合には、理解度の値と実施度の値とのみに基づいて評価レベルを決定する評価式を生成する。

0125

実施の形態3におけるセキュリティ管理装置100は、組織内の情報セキュリティ施策がエンドユーザによって実施されているかどうかを確認することを目的としたセキュリティ管理装置100であって、各評価尺度の評価結果の相関関係を分析し、その分析結果を評価式情報にフィードバックする相関分析部139を備えることを特徴とする。

0126

以上のように、本実施の形態のセキュリティ管理装置100によれば、運用条件評価結果からあるセキュリティ施策の成熟度を判断し、この成熟度によって評価式を変更(再設計)することにより、不要なデータ取得を削減できるため、過剰になりがちなセキュリティ運用管理負荷を軽減することが可能になる。

0127

以上、実施の形態1〜3について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。

0128

また、実施の形態1〜3の説明において説明した機能ブロックは、全ての機能ブロックをひとつの機能ブロックで実現しても構わない。あるいは、これらの機能ブロックを、どのような組み合わせで構成しても構わない。

0129

100セキュリティ管理装置、110 設計部、111評価判定データ情報設計部、112評価式設計部、113リスク改善策設計部、120評価情報記憶部、121 評価判定データ情報記憶部、122 評価式情報記憶部、123 リスク改善策情報記憶部、130 評価部、131 算出部、132運用状況評価部、133施策認知度分析部、134 施策理解度分析部、135 施策実施度分析部、136 評価ゾーン算出部、137 評価結果記憶部、138 評価結果3次元表示部、139相関分析部、140評価判定データ取得部、141セキュリティ判定データ記憶部、150 根源リスク特定部、160リスク対策提示部、400 管理者、901表示装置、902キーボード、903マウス、904FDD、905 CDD、906プリンタ装置、907スキャナ装置、908タッチパネル、910システムユニット、911 CPU、912バス、913 ROM、914 RAM、915通信ボード、920磁気ディスク装置、921 OS、922ウィンドウシステム、923プログラム群、924ファイル群、931電話器、932ファクシミリ機、940インターネット、941ゲートウェイ、942 LAN。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ