Traitement en cours

Veuillez attendre...

Paramétrages

Paramétrages

Aller à Demande

1. WO2015025694 - DISPOSITIF ET PROCÉDÉ D'ÉVALUATION POUR ÉVALUER UNE MENACE DE SÉCURITÉ

Document

明 細 書

発明の名称 セキュリティ上の脅威を評価する評価装置及びその方法

技術分野

0001  

背景技術

0002   0003   0004  

先行技術文献

特許文献

0005  

発明の概要

発明が解決しようとする課題

0006   0007  

課題を解決するための手段

0008   0009   0010   0011  

発明の効果

0012  

図面の簡単な説明

0013  

発明を実施するための形態

0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087   0088   0089   0090   0091   0092   0093   0094   0095   0096   0097   0098   0099   0100   0101   0102   0103   0104   0105   0106   0107   0108   0109   0110   0111   0112   0113   0114   0115   0116   0117   0118   0119   0120   0121   0122   0123   0124   0125   0126   0127   0128   0129   0130   0131   0132   0133   0134   0135   0136   0137   0138   0139  

符号の説明

0140  

請求の範囲

1   2   3   4   5   6   7   8   9   10   11   12  

図面

1   2   3   4   5   6   7   8   9   10   11   12   13   14   15   16   17   18   19   20   21   22   23   24   25   26   27   28   29   30   31   32   33   34   35   36   37   38  

明 細 書

発明の名称 : セキュリティ上の脅威を評価する評価装置及びその方法

技術分野

[0001]
 本発明は、車載ネットワークシステムの設計者が、評価対象モデルの定義時に、ツールの入力指示に従ってリスク評価に必要となるデータを、設計書のような客観的に入力可能な情報をもとに定義することにより、分析者の熟練度に依存せずに自動的に脅威のリスク値を算出する装置及び方法に関する。

背景技術

[0002]
 情報システムの分野と同様に、自動車の車載ネットワーク、及び車載ネットワークに接続される電子制御装置の設計において、適切なセキュリティ機能が正しく実装されていることを確認できることが求められている。
[0003]
 例えば、情報システムの分野では、セキュリティ製品(ハード/ソフトウェア)およびシステムの開発や製造、運用などに関する国際標準であるISO/IEC15408が、セキュリティ実装の保証レベルを向上させるために活用されている。ISO/IEC15408では、セキュリティ上の脅威に対する分析である脅威分析に基づいたセキュリティ要求仕様を策定し、定められたフォーマットでセキュリティ要求仕様書(ST:Security Target)を作成することが求められる。STでは、システム或いは装置に想定されるセキュリティ上の脅威であるセキュリティ脅威を抽出し、当該脅威に対して技術的あるいは運用的な対策が行われていることを示す必要がある。このような脅威分析では、過不足なくセキュリティ機能を実装することが重要である。このため、抽出されたセキュリティ上の脅威に対してリスク評価を行い、リスクの高い脅威に対して対策を行うことが求められる。
[0004]
 例えば、脅威のリスクを評価する装置として、特開2009-230278号公報には、予め、ツール開発者が脅威に対して被害の大きさ(機密性、完全性、可用性)を数値化する。そして、脅威リスク評価時に、分析者が脅威の発生確率を数値化し、ツールが抽出した脅威における、「被害の大きさ」と「発生確率」の積を、その脅威の脅威リスク値として算出する技術が開示されている。

先行技術文献

特許文献

[0005]
特許文献1 : 特開2009-230278号公報

発明の概要

発明が解決しようとする課題

[0006]
 特許文献1に記載されている技術は、実際に運用しているシステム或いは装置のように、発生確率が事前に分かっている場合において、各脅威に対するリスクを求めることができる。しかし、設計時においては、システム或いは装置における脅威の発生確率は分からない。このため、システム或いは装置における脅威の発生確率を数値化するためには、セキュリティに関する知識や経験が必要であり、リスク分析者に高い熟練度が要求されてしまう。
[0007]
 本発明は、以上の問題に鑑みなされたものであり、分析者がリスクの高い脅威を分析者の熟練度に依存せずに判定できることを目的とする。

課題を解決するための手段

[0008]
 上記目的を達成するために、本発明の一つの観点から、評価対象となるシステムに対するセキュリティ上の脅威を評価する評価装置が提供される。当該評価装置は、システムにおける複数の設計項目に関する設計情報が入力される入力部と、セキュリティ上の脅威に関する複数の評価項目と入力部より入力された複数の設計項目に関する情報とを対応付けて格納する格納部と、複数の設計項目に関する情報に基づいて、システムにおけるセキュリティ上の脅威を抽出し、複数の設計項目に関する情報に対応付けられた評価項目に基づいて、抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、抽出されたシステムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる制御部と、を有する。
[0009]
 より好ましくは、入力部に入力されるシステムにおける複数の設計項目に関する情報は、システムにおける評価対象とするサブシステムに関する情報であり、サブシステムに関する情報は、サブシステムの外部接続機器情報、サブシステムの外部接続機器の数を示す外部接続機器数情報、サブシステムと外部接続機器との間の経路種別情報、サブシステムと外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、である。 
[0010]
 本発明の別の観点によれば、評価対象となるシステムに対するセキュリティ上の脅威を評価する装置における評価方法が提供される。当該評価方法における装置は、システムにおける複数の設計項目に関する設計情報を受け付け、セキュリティ上の脅威に関する複数の評価項目と受け付けた複数の設計項目に関する情報とを対応付け、複数の設計項目に関する情報に基づいて、システムにおけるセキュリティ上の脅威を抽出し、複数の設計項目に関する情報に対応付けられた評価項目に基づいて、抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、抽出されたシステムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる。
[0011]
 より好ましくは、装置が受け付けるシステムにおける複数の設計項目に関する情報は、システムにおける評価対象とするサブシステムに関する情報であり、サブシステムに関する情報は、サブシステムの外部接続機器情報、サブシステムの外部接続機器の数を示す外部接続機器数情報、サブシステムと外部接続機器との間の経路種別情報、サブシステムと外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、である。

発明の効果

[0012]
 本発明によれば、設計書から得られる情報を入力に用いて脅威の抽出、及び、当該脅威のリスク値の算出を行うことができ、分析者に各脅威のリスク値を提示することが可能になる。これにより、分析者のセキュリティに関する知識や経験に依存せずに、脅威リスクを評価できる。

図面の簡単な説明

[0013]
[図1] 脅威リスク評価支援装置の構成を示す図
[図2] リスク評価非依存情報におけるサブシステム区分情報のテーブル構成を示す図
[図3] リスク評価非依存情報におけるライフサイクル区分情報のテーブル構成を示す図
[図4] リスク評価非依存情報におけるASIL区分情報のテーブル構成を示す図
[図5] リスク評価非依存情報における関与者区分情報のテーブル構成を示す図
[図6] リスク評価非依存情報における関与者・ライフサイクル・動機対応情報のテーブル構成を示す図
[図7] リスク評価非依存情報における資産種別・脅威対応情報のテーブル構成を示す図
[図8] リスク評価非依存情報における脅威一覧情報のテーブル構成を示す図
[図9] リスク評価非依存情報における脅威リスク値情報のテーブル構成を示す図
[図10] リスク評価依存情報における経路区分情報のテーブル構成を示す図
[図11] リスク評価依存情報における機密性への影響度情報のテーブル構成を示す図
[図12] リスク評価依存情報におけるサブシステム詳細情報のテーブル構成を示す図
[図13] リスク評価依存情報における外部接続機器情報のテーブル構成を示す図
[図14] リスク評価依存情報における関与者詳細情報のテーブル構成を示す図
[図15] リスク評価依存情報における内部接続機器情報のテーブル構成を示す図
[図16] リスク評価依存情報における保護資産情報のテーブル構成を示す図
[図17] リスク値算出手法一覧情報のテーブル構成を示す図
[図18] リスク評価判定情報におけるCVSS判定情報のテーブル構成を示す図
[図19] 脅威リスク評価における全体処理シーケンスを示す図
[図20] モデル定義時における処理シーケンスを示す図
[図21] サブシステムの詳細情報登録時における処理シーケンスを示す図
[図22] 脅威事象抽出時における処理シーケンスを示す図
[図23] リスク値算出時における処理シーケンスを示す図
[図24] CIA算出じにおける処理シーケンスを示す図
[図25] モデル定義時におけるリスク評価手法の選択の画面例を示す図
[図26] サブシステムの選択追加の画面例を示す図
[図27] 編集するサブシステムの選択の画面例を示す図
[図28] モデル定義時における外部接続機器数の入力の画面例を示す図
[図29] モデル定義時における外部接続機器の詳細情報入力の画面例を示す図
[図30] モデル定義時における関与者の詳細情報入力の画面例を示す図
[図31] モデル定義時における内部接続機器数の入力の画面例を示す図
[図32] モデル定義時における内部接続機器の詳細情報入力の画面例を示す図
[図33] モデル定義じにおける保護資産数の入力の画面例を示す図
[図34] モデル定義じにおける保護資産の詳細情報の入力の画面例を示す図
[図35] モデル定義時におけるサブシステムのASIL情報の入力の画面例を示す図
[図36] モデル定義時における定義済みサブシステム表示の画面例を示す図
[図37] モデル定義時におけるリスク評価実行可能状態の表示の画面例を示す図
[図38] 脅威リスク評価結果の画面例を示す図

発明を実施するための形態

[0014]
 以下、図面を用いて本発明の実施の形態を詳細に説明する。
[0015]
 本実施形態では、本脅威リスク評価支援装置により、設計書或いは周知の情報をもとに共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)を用いたリスク値算出に必要となるデータを入力させ、予め保持するデータと、CVSSを用いたリスク値算出に必要なデータとを関連付けて管理することにより、評価対象における脅威の抽出、及び当該脅威のリスク値を自動的に算出可能な脅威リスク評価支援装置及び方法の例を用いる。ただし、本発明の技術的思想は、この例に限定されるものではない。
[0016]
 図1は本発明の実施形態における脅威リスク評価支援装置99の構成を示す。脅威リスク評価支援装置99は、脅威リスク評価支援装置99が入力装置1及び出力装置2と入出力制御部3を介して接続され、入出力制御部3、CPU4、メモリ5、ディスク6がバス7を介して互いに接続されている。入力装置1は、例えばキーボードやマウスやスキャナなどであり、脅威リスク評価支援装置の利用者からの入力を受け付ける。出力装置2は、例えばディスプレイであり、脅威リスク評価支援装置による、途中経過および評価結果を出力する。
[0017]
 入出力制御部3は、脅威リスク評価支援装置における入出力を制御する。CPU4は、装置内の各ハードウェアを制御しプログラムを実行する。メモリ5では、評価対象のモデル定義を支援するモデル定義支援部51、評価対象における脅威を抽出する脅威抽出部52、抽出した脅威におけるリスク値を算出する脅威リスク値算出部53、脅威リスク値をもとに優先度を決定する対策優先度判定部54、出力装置に出力する脅威リスク評価結果を作成する脅威リスク評価作成部55、前記入力装置1から入力される要求に応じて出力する脅威リスク評価結果の一覧を並べ替える脅威リスク一覧並べ替え部56が、プログラムとして動作することを想定する。
[0018]
 ディスク6は、例えばハードディスクドライブなどの不揮発性記憶装置であり、リスク評価手法に依存しないリスク評価非依存情報記憶部61、リスク評価手法に依存するリスク評価依存情報記憶部62、リスク評価手法における判定情報としてリスク評価判定情報記憶部63を備える。
[0019]
 リスク評価非依存情報記憶部61では、車載システムにおけるサブシステムの区分を示すサブシステム区分情報611、自動車のライフサイクルの区分を示すライフサイクル区分情報612、自動車の装置やシステムにおける機能安全の基準であるASIL(Automotive Safety Integrity Level)の区分を示すASIL区分情報613、自動車における関与者の区分を示す関与者区分情報614、関与者と、ライフサイクルと、動機とを関連付けた関与者・ライフサイクル・動機対応情報615、資産の種類と対応する脅威を関連付けた資産種別・脅威対応情報616、脅威事象を導くために、脅威の種類と、脅威内容と、影響範囲と、起こりえるライフサイクルを関連付けた脅威一覧情報617、脅威と当該脅威のリスク値を保持する脅威リスク値情報618を保持する。
[0020]
 前記リスク評価依存情報記憶部62では、リスク値算出手法の要件に合わせた入力用テーブルを保持する。例えば、CVSSを用いる場合では、攻撃対象に対する攻撃経路の区分を示す経路区分情報6211、評価対象における機密性への影響度を示す機密性への影響度情報6212、評価対象におけるサブシステムの詳細情報を示すサブシステム詳細情報6213、評価対象と繋がる外部接続機器を示す外部接続機器情報6214、外部接続機器を利用する関与者を示す関与者詳細情報6215、攻撃対象と通信する内部接続機器を示す内部接続機器情報6216、攻撃対象における保護資産を示す保護資産情報6217を保持する。
[0021]
 前記リスク評価判定情報記憶部63では、リスク値算出手法の一覧としてリスク値算出手法一覧情報631、リスク評価手法を用いたリスク値算出に用いる判定情報として例えばCVSS判定情報631を保持する。
[0022]
 図2に、リスク評価非依存情報記憶部61に保持されているサブシステム区分情報611、図3にライフサイクル区分情報612、図4にASIL区分情報623のテーブル構成の一例を示す。
[0023]
 モデル定義支援部51は、評価対象におけるサブシステムを選択する際、サブシステム区分情報611を参照して選択項目としてサブシステム名6112を出力装置2に表示するとともに、入力装置1を用いて追加されたサブシステムをサブシステム区分情報611に追加する。S-ID6111は、サブシステムを識別するための固有値である。サブシステム名6112は、サブシステムの名称である。有効判定6113は、S-ID6111のサブシステムがモデルに含まれるかどうかを示す。例えば、S-ID6111のサブシステムがモデルに含まれる場合は、「○」とし、S-ID6111のサブシステムがモデルに含まれない場合は、「×」としてもよい。車載システムとサブシステムとしては、GW(GateWay)、情報系サブシステム、エンジン駆動系サブシステム、ボディ系サブシステム、シャーシ系サブシステムなどがある。
[0024]
 モデル定義支援部51は、保護資産情報6217における保護期間62176の選択の際、ライフサイクル区分情報612を保護期間の選択項目として参照する。L-ID6121は、ライフサイクルを識別するための固有値である。ライフサイクル名6122は、自動車におけるライフサイクルの名称である。
[0025]
 モデル定義支援部51は、サブシステムにおけるASIL値を入力する際、ASIL区分情報613を参照して選択項目として出力装置2に表示する。ASIL-ID6131は、ASILの区分を識別するための固有値である。ASIL値6132は、自動車におけるASIL値の区分である。
[0026]
 図5に、リスク評価非依存情報記憶部61に保持されている、関与者区分情報614、図6に関与者・ライフサイクル・動機対応情報615のテーブル構成の一例を示す。
[0027]
 モデル定義支援部51は、関与者詳細情報6215における関与者区分を選択する際、関与者区分情報615を参照して選択項目として出力装置2に表示するとともに、入力装置1を用いて選択された関与者を関与者区分62152に登録する。W-ID6141は、関与者を識別するための固有値である。
[0028]
 モデル定義支援部51は、関与者詳細情報を入力する際、関与者とそれに対応する攻撃タイミングの選択項目としてライフサイクル種別6152を参照して出力装置2に表示し、脅威抽出部52は、脅威を抽出する際、関与者に対応する動機を動機6153から抽出する。関与者種別6151は、関与者を識別する固有値であり、関与者区分情報614におけるW-ID6141を参照することで、関与者名を特定できる。ライフサイクル種別6152は、関与者種別6151が示す関与者に関連するライフサイクルである。動機6153は、関与者種別6151が示す関与者が関連する動機である。
[0029]
 図7に、リスク評価非依存情報記憶部61に保持されている資産種別・脅威対応情報616、図8に脅威一覧情報617、図9に脅威リスク値情報618のテーブル構成の一例を示す。
[0030]
 脅威抽出部52は、資産種別・脅威対応情報616を参照し、保護資産の種別に応じて、対応する脅威を抽出する。資産種別6161は、保護資産の資産種別である。脅威6162は、資産種別6161に対して発生しうる脅威である。なお、本テーブルは一例であり、資産種別や脅威の項目についてはこの限りではない。
[0031]
 脅威抽出部52は、資産種別・脅威対応情報616における脅威6162を選択し、その脅威に対応する影響範囲、影響内容を抽出する。脅威6171は、脅威の一覧である。影響範囲6172は、脅威6171の影響が自信のみか、通信先にも影響するかを示すものである。影響内容6173は、脅威6171が発生した場合の影響内容である。ライフサイクル6174は、脅威6171が発生するタイミングである。
[0032]
 対策優先度判定部54は、脅威リスク値情報618を参照して対策優先度の高い脅威を抽出する。T-ID6181は、脅威事象を識別するための固有値である。脅威事象6182は、脅威抽出部52が抽出した脅威事象である。リスク値6183は、脅威事象6182に対する脅威リスク値である。S-ID6184は、脅威事象6182において攻撃対象となるサブシステムのS-IDであり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。E-ID6185は、脅威事象6182において攻撃元である外部接続機器のE-IDであり、外部接続機器情報6214を参照することで外部接続機器名を特定できる。P-ID6186は、脅威事象6182において守るべき保護資産のP-IDであり、保護資産情報6217を参照することで保護資産名を特定できる。脅威種別6187は、脅威事象6182における脅威の脅威種別である。
[0033]
 図10に、リスク評価依存情報記憶部62に保持されている経路区分情報6211、図11に機密性への影響度情報6212、図12にサブシステム詳細情報6213、図13に外部接続機器情報6214のテーブル構成の一例を示す。
[0034]
 モデル定義支援部51は、外部接続機器の経路区分を登録させる際、経路区分情報6211を参照して選択項目として出力装置2に表示する。R-ID62111は、経路区分を識別するための固有値である。経路62112は、経路として、ローカル、隣接、ネットワークを示すものである。例えば、自動車の車載ネットワークに直接接する場合をローカルとし、近距離通信を用いて接続する場合を隣接とし、インターネットや携帯通信網のように遠距離からの通信を用いて接続する場合をネットワークとして区別する。なお、経路の区別については一例であり、これに限定するものではない。
[0035]
 モデル定義支援部51は、保護資産情報の機密性への影響度を登録させる際、機密性への影響度情報6212を参照して選択項目として出力装置2に表示する。C-ID62121は、機密性への影響度を識別するための固有値である。影響度62122は、保護資産が与える機密性への影響度の区分である。例えば、資産価値に応じて、対象外、部分的、全面的と分類してもよい。
[0036]
 モデル定義支援部51は、評価対象となる自動車のサブシステムに関する詳細情報をサブシステム詳細情報6213に格納する。また、脅威リスク値計算部53は、リスク値算出時において、サブシステム詳細情報6213に格納された外部接続数62132、ASIL値62135を利用する。なお、外部接続数62132、ASIL値62135を利用したリスク値算出方法については後述する。S-ID62131は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。外部接続数62132は、S-ID62131が示すサブシステムに対して接続可能な外部接続機器の数である。内部接続数62133は、S-ID62131が示すサブシステムと通信が発生する内部接続機器の数である。保護資産数62134は、S-ID62131が示すサブシステムにおける保護資産の数である。ASIL値62135は、S-ID62131が示すサブシステムに定められたASIL値を示すものであり、ASIL区分情報613をもとに選択されたASIL-IDを保持する。
[0037]
 デル定義支援部51は、サブシステム詳細情報6213に登録された外部接続数62132に応じて、外部接続機器情報6214を登録する。また、脅威リスク値計算部53は、リスク値算出時において、外部接続機器情報6214に格納された経路区分62144、認証回数62145を利用する。なお、経路区分62144、認証回数62145を利用したリスク値算出方法については後述する。S-ID62141は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。E-ID62142は、S-ID62141に対する外部接続機器を識別する固有値である。外部接続機器名62143は、E-ID62142に対応する外部接続機器の名称である。経路区分62144は、E-ID62142に対応する外部接続機器の経路区分を示すものであり、経路区分情報6211をもとに選択されたR-ID62111を保持する。認証回数62145は、E-ID62142の外部接続機器が、対応するS-ID62141と通信する際に発生する認証回数である。関与者数62145は、E-ID62142の外部接続機器を用いて、対応するS-ID62141のサブシステムと通信を行う関与者種別の数である。
[0038]
 図14に、リスク評価依存情報記憶部62に保持されている関与者詳細情報6215、図15に内部接続機器情報6216、図16に保護資産情報6217のテーブル構成の一例を示す。
[0039]
 モデル定義支援部51は、外部接続機器情報6214に登録された関与者数に応じて、関与者詳細情報6215を登録する。また、脅威抽出部52は、脅威を抽出する際、エントリポイントとなる外部接続機器と、それに対応する関与者及び攻撃タイミングを関与者詳細情報6215から抽出する。E-ID62151は、外部接続機器を識別するための固有値であり、外部接続機器情報6214を参照することで、外部接続機器名を特定できる。関与者区分62152は、E-ID62151に対応する外部接続機器を利用する関与者であり、関与者区分情報614を参照することで関与者名を特定できる。攻撃タイミング62153は、関与者区分62152に対応する関与者がE-ID62151をエントリポイントとして攻撃するタイミングを示すものであり、ライフサイクル区分情報612を参照することで、ライフサイクル名を特定できる。
[0040]
 モデル定義支援部51は、サブシステム詳細情報6213に登録された内部接続数62133に応じて、内部接続機器情報6216を登録する。また、脅威リスク値計算部53は、リスク値算出時において、内部接続機器情報6216に格納された認証回数62164を利用する。なお、認証回数62164を利用したリスク値算出方法については後述する。S-ID62161は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。I-ID62162は、内部接続機器を識別するための固有値である。内部接続機器62163は、S-ID62161に該当するサブシステムが通信を行うサブシステムであり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。認証回数62164は、S-ID62161に該当するサブシステムが、内部接続機器62163と通信を行う際に要求される認証回数である。
[0041]
 モデル定義支援部51は、サブシステム詳細情報6213に登録された保護資産数62134に応じて、保護資産情報6217を登録する。脅威抽出部52は、脅威を抽出する際、保護資産情報6217に格納された保護資産名62173、資産種別62174、保護機関62176を利用する。また、脅威リスク値計算部53は、リスク値算出時において、保護資産情報6217に格納された機密性への影響度62175、データフロー62177を利用する。なお、保護資産名62173、資産種別62174、保護機関62176を利用する脅威抽出方法、及び機密性への影響度62175、データフロー62177を利用したリスク値算出方法については後述する。S-ID62171は、サブシステムを識別するための固有値であり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。P-ID62172は、保護資産を識別するための固有値である。保護資産名62173は、S-ID62171における保護資産である。資産種別62174は、P-ID62172に対応する保護資産名62173の資産種別である。機密性への影響度62175は、P-ID62172に対応する保護資産名62173の機密性への影響度であり、機密性への影響度情報6212をもとに選択されたC-IDを保持する。保護期間62176は、P-ID62172に対応する保護資産名62173の保護期間であり、ライフサイクル区分情報612を参照することで、ライフサイクル名を特定できる。データフロー62177は、P-ID62172に対応する保護資産名62173のサブシステム間におけるデータフローを示すものであり、サブシステム区分情報611を参照することで、サブシステム名を特定できる。
[0042]
 図17に、リスク評価判定情報記憶部63に保持されているリスク値算出手法一覧情報631、図18にCVSS判定情報632のテーブル構成の一例を示す。
[0043]
 モデル定義支援部51は、リスク値算出手法一覧情報631を参照し、判定手法を選択項目として出力装置2に表示するとともに、入力装置1を用いた入力をもとにモデル定義における入力項目を変更する。手法名6311は、リスク値を算出する手法の名称である。参照情報6312は、手法名6311に応じて参照すべき具体的な判定情報である。
[0044]
 脅威リスク値計算部53は、CVSS判定情報632を参照して脅威のリスク値を算出する。パラメータ6321は、CVSSの基本値を求めるために必要となる6つの項目である。区分6322は、パラメータ6321ごとに参照すべきレンジを示すものである。判定値6323は、パラメータ6321における区分6322に設けられている値を示すものである。
[0045]
 図19は、モデルの定義から、脅威事象の抽出、脅威リスク値の算出、対策優先度の判定、脅威リスク値一覧の出力までの本実施例における全体の概要処理フローを示す。
[0046]
 ステップ511では、モデル定義支援部51は、出力装置2にリスク評価手法選択画面を表示し、入力装置1を用いてリスク評価手法が選択された場合は、ステップ512に進み、リスク評価手法が選択されていない場合は、ステップ511のまま処理を待つ。
[0047]
 ステップ512では、モデル定義支援部51は、上記ステップ511で選択されたリスク値算出手法一覧情報631の手法名6311に応じた入力項目を表示し、リスク評価非依存情報記憶部61とリスク評価依存情報記憶部62で予め保持されている情報をもとに、入力装置1を介して入力された情報をサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納することで、評価対象のモデルを定義する。
[0048]
 ステップ521では、脅威抽出部52はリスク評価非依存情報記憶部61とリスク評価依存情報記憶部62で予め保持されている情報と、上記ステップ512でサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納された情報をもとに脅威を抽出し、脅威リスク値情報618における脅威事象6182に登録する。
[0049]
 ステップ531では、脅威リスク値計算部53は、脅威事象6182から上記ステップ521で抽出した各脅威を取得し、上記ステップ512でサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納された情報をもとに各脅威のリスク値を算出し、リスク値6183に登録する。
[0050]
 ステップ541では、対策優先度判定部54はリスク値6183をもとに優先度を算出し、脅威リスク値情報618に登録する。例えば、脅威リスク値情報618をリスク値の高い脅威事象から並べて優先度を順位付けしてもよいし、他の方法を用いてもよい。なお、対策優先度判定部54は上記ステップ521で脅威事象が抽出されていない場合は、本対策優先度判定処理を実行しない。
[0051]
 ステップ551では、脅威リスク評価作成部55は、上記ステップ541で優先度付けされて脅威及びリスク値を脅威リスク値情報618から取得し、出力装置2に表示する。例えば、優先度の高い順番に出力装置2に表示してもよい。また、CSV形式のファイルとして出力してもよい。なお、脅威リスク評価作成部54は上記ステップ521で脅威事象が抽出されていない場合は、本脅威リスク評価結果出力処理を実行しない。
[0052]
 以上のステップにより、本脅威リスク評価支援装置は、対策優先度の高い脅威リスクを分析者に提示できる。
[0053]
 図20は、上記ステップ512において、リスク判定手法の一例としてCVSSを選択した場合のモデル定義処理の概要処理フローを示す。
[0054]
 ステップ5121では、モデル定義支援部51はサブシステム追加削除画面を表示する。
[0055]
 ステップ5122では、モデル定義支援部51は上記ステップ5121において、サブシステムの追加或いは削除が選択された場合は、ステップ5123に進み、サブシステムの追加或いは削除が選択されなかった場合は、ステップ5124に進む。
[0056]
 ステップ5123では、モデル定義支援部51は上記ステップ5122で選択或いは追加されたサブシステムをもとに、サブシステム区分情報611のS-ID6111とサブシステム名6112を追加、及び有効判定6113を有効化させる。
[0057]
 ステップ5124では、モデル定義支援部51はサブシステムに対するパラメータ情報登録画面を出力装置2に表示する。
[0058]
 ステップ5125では、モデル定義支援部51は上記ステップ5124で入力装置2を用いてパラメータ情報を登録するサブシステムが選択された場合は、ステップ5125に進み、入力装置1を介して入力される情報をサブシステム詳細情報6213、外部接続機器情報6214、関与者詳細情報6215、内部機器接続情報6216、保護資産情報6217に格納する。一方、モデル定義支援部51は上記ステップ5124で入力装置2を用いてパラメータ情報を登録するサブシステムが選択されていない場合、ステップ5125のまま処理を待つ。
[0059]
 ステップ5126では、モデル定義支援部51はすべてのサブシステムのパラメータ情報登録処理が完了している場合、本処理を終了し、パラメータ情報登録処理が済んでいないサブシステムがある場合、ステップ5125に進む。
[0060]
 以上のステップにより、モデル定義支援部51は、評価対象のモデルを定義することができる。
[0061]
 図21は、上記ステップ5125において、サブシステムに対するパラメータ情報登録の概要処理フローを示す。
[0062]
 ステップ51251では、モデル定義支援部51は入力装置1を用いて入力されたサブシステムに対する外部接続機器数をサブシステム詳細情報6213の外部接続数62132として登録する。
[0063]
 ステップ51252では、モデル定義支援部51は上記ステップ51251で入力された外部接続機器数に応じて、入力装置1を用いて外部接続機器の詳細な情報として、外部接続機器名62143、経路区分62144、認証回数62145、関与者種別数62145に登録する。ここで、経路区分62144は、経路区分情報6211をもとに選択項目を出力装置1に表示し、入力装置1を用いて選択させてもよい。
[0064]
 ステップ51253では、モデル定義支援部51は上記ステップ51252で入力された関与者種別数に応じて、入力装置1を用いて外部接続機器における関与者の詳細な情報として、関与者区分62152、攻撃タイミング62153を登録する。関与者区分62152は、関与者区分情報614をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。攻撃タイミング62153は、関与者・ライフサイクル・動機対応情報615をもとに、関与者種別6151に対応するライフサイクル種別6152に該当するライフサイクルを選択項目として出力装置2に表示し、入力装置1を用いて選択させてもよい。
[0065]
 ステップ51254では、モデル定義支援部51は入力装置1を用いて、サブシステムが通信を行う内部接続機器の数をサブシステム詳細情報6213の内部接続数62133に登録する。
[0066]
 ステップ51255では、モデル定義支援部51は上記ステップ51254で入力された内部接続機器数に応じて、入力装置1を用いて内部接続機器の詳細な情報として、内部接続機器62163、認証回数62164を登録する。ここで、内部接続機器62163は、サブシステム区分情報611をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。
[0067]
 ステップ51256では、モデル定義支援部51は入力装置1を用いて、サブシステムにおける保護資産の数をサブシステム詳細情報6213の保護資産数62134に登録する。
[0068]
 ステップ51257では、モデル定義支援部51は上記ステップ51256で入力された保護資産数に応じて、入力装置1を用いて保護資産の詳細な情報として、保護資産名62173、資産種別62174、機密性への影響度62175、保護期間62176、データフロー62177を登録する。資産種別62174は資産種別・脅威対応情報616の資産種別6161をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。機密性への影響度62175は、機密性への影響度情報6212をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。保護期間62176は、ライフサイクル区分情報612をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。データフロー62177は、サブシステム区分情報611をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。
[0069]
 ステップ51258では、モデル定義支援部51は入力装置1を用いて、サブシステムに定められているASILの値をASIL値62135に登録する。ここで、ASIL値62135は、ASIL区分情報613をもとに選択項目を出力装置2に表示し、入力装置1を用いて選択させてもよい。
[0070]
 ステップ51259では、モデル定義支援部51は上記ステップ51251からす轍鮒51258までの処理においてパラメータの登録が完了したサブシステムを示す活性化画面を表示する。
[0071]
 以上のステップにより、上記ステップ5125において選択したサブシステムに対するパラメータ情報を登録できる。
[0072]
 図22は、上記ステップ521において、評価対象における脅威事象抽出の概要処理フローを示す。
[0073]
 ステップ52101では、脅威抽出部52はサブシステム区分情報611からサブシステム名6122を取得する。
[0074]
 ステップ52102では、脅威抽出部52は上記ステップ52101でサブシステム区分情報611のサブシステム名が存在する場合、ステップ52103に進み、サブシステム区分情報611のサブシステム名が存在しない場合、本処理を終了する。
[0075]
 ステップ52103では、脅威抽出部52は評価対象における攻撃対象として、サブシステム区分情報611の選択されていないサブシステム名6122を取得する。例えば、脅威抽出部52はサブシステム名6122の総数を取得するとともに、カウンタを用いてサブシステム名6122が選択される度にカウンタの値をアップさせ、上記サブシステム名6122の総数及び上記カウンタ値をメモリで保持し、順番にサブシステム名6122を取得することで、選択されていないサブシステム6122を取得してもよい。
[0076]
 ステップ52104では、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する外部接続機器として、サブシステム区分情報611のS-ID6111をもとに、外部接続機器情報6214のS-ID62141に対応する選択されていない外部接続機器名62143を取得する。例えば、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する外部接続機器名62143の総数を取得するとともに、カウンタを用いて外部接続機器名62143が選択される度にカウンタの値をアップさせ、上記外部接続機器名62143の総数及び上記カウンタ値をメモリで保持し、順番に外部接続機器名62143を取得することで、選択されていない外部接続機器名62143を取得してもよい。
[0077]
 ステップ52105では、脅威抽出部52は上記ステップ52104で取得した外部接続機器に関連する関与者として、外部接続機器情報6214のE-ID62141をもとに、関与者詳細情報6215のE-ID62151に対応する選択されていない関与者区分62152を参照し、関与者区分情報614から関与者名6142を取得する。例えば、脅威抽出部52は上記ステップ52104で取得した外部接続機器に対応する関与者名6142の総数を取得するとともに、カウンタを用いて関与者名6142が選択される度にカウンタの値をアップさせ、上記関与者名6142の総数及び上記カウンタ値をメモリで保持し、順番に関与者名6142を取得することで、選択されていない関与者名6142を取得してもよい。
[0078]
 ステップ52106では、脅威抽出部52は上記ステップ52105で取得した関与者の攻撃タイミングとして、関与者詳細情報6215の関与者区分62152をもとに、選択されていない攻撃タイミング62153を参照し、ライフサイクル区分情報612のライフサイクル名6122を取得する。例えば、脅威抽出部52は上記ステップ52105で取得した関与者に対応する攻撃タイミング62153の総数を取得するとともに、カウンタを用いて攻撃タイミング62153が選択される度にカウンタの値をアップさせ、上記攻撃タイミング62153の総数及び上記カウンタ値をメモリで保持し、順番に攻撃タイミング62153を取得することで、選択されていない攻撃タイミング62153を取得してもよい。
[0079]
 ステップ52107では、脅威抽出部52は上記52105で取得した関与者の動機として、関与者詳細情報6215の関与者区分62152をもとに、関与者・ライフサイクル・動機対応情報615の関与者種別6151を参照し、選択されていない動機6153を取得する。例えば、脅威抽出部52は上記ステップ52105で取得した関与者に対応する動機6153の総数を取得するとともに、カウンタを用いて動機6153が選択される度にカウンタの値をアップさせ、上記動機6153の総数及び上記カウンタ値をメモリで保持し、順番に動機6153を取得することで、選択されていない動機6153を取得してもよい。
[0080]
 ステップ52108では、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する保護資産として、サブシステム区分情報611のS-ID6111をもとに、保護資産情報6217のS-ID62171に対応する選択されていない保護資産名62173を取得する。例えば、脅威抽出部52は上記ステップ52103で取得したサブシステムに対応する保護資産名62173の総数を取得するとともに、カウンタを用いて保護資産名62173が選択される度にカウンタの値をアップさせ、上記保護資産名62173の総数及び上記カウンタ値をメモリで保持し、順番に保護資産名62173を取得することで、選択されていない保護資産名62173を取得してもよい。
[0081]
 ステップ52109では、脅威抽出部52は上記ステップ52108で取得した保護資産に対応する脅威として、保護資産名62173の資産種別62174をもとに、資産種別・脅威対応情報616の資産種別6161に対応する選択されていない脅威6162を取得する。例えば、脅威抽出部52は上記ステップ52108で取得した保護資産に対応する脅威6162の総数を取得するとともに、カウンタを用いて脅威6162が選択される度にカウンタの値をアップさせ、上記脅威6162の総数及び上記カウンタ値をメモリで保持し、順番に脅威6162を取得することで、選択されていない脅威6162を取得してもよい。
[0082]
 テップ52110では、脅威抽出部52は上記ステップ52109で取得した脅威に対応する影響内容として、脅威一覧情報617の脅威6171に対応する影響内容6173を取得する。例えば、脅威抽出部52は上記ステップ52109で取得した脅威に対応する影響内容6173の総数を取得するとともに、カウンタを用いて影響内容6173が選択される度にカウンタの値をアップさせ、上記影響内容6173の総数及び上記カウンタ値をメモリで保持し、順番に影響内容6173を取得することで、選択されていない影響内容6173を取得してもよい。
[0083]
 ステップ52111では、脅威抽出部52は上記ステップ52106で取得した攻撃タイミングが上記ステップ52110で取得した影響内容に対応するライフサイクル6174に存在する場合、ステップ52112に進み、上記ステップ52106で取得した攻撃タイミングが上記ステップ52110で取得した影響内容に対応するライフサイクル6174に存在しない場合、ステップ52113に進む。
[0084]
 ステップ52112では、脅威抽出部52は上記ステップ52103からステップ52110で取得した、攻撃対象、外部接続機器、関与者、攻撃タイミング、動機、保護資産、脅威、影響内容を、脅威事象6182に登録する。例えば、「攻撃対象」に対して、「関与者」が、「攻撃タイミング」時に、「動機」で、「外部接続機器」経由で、「保護資産」を「脅威」することにより、「脅威内容」。という文章を作成し、脅威事象6182に登録してもよい。また、脅威抽出部52は攻撃対象を識別するS-ID、外部接続機器を識別するE-ID、保護資産を識別するP-IDを、S-ID6184、E-ID6185、P-ID6186に登録する。
[0085]
 ステップ52113では、脅威抽出部52は上記ステップ52110でメモリに保持している影響内容6173の総数とカウンタの値を比較する。脅威抽出部52は、影響内容6173の総数とカウンタの値が等しい場合、カウンタの値を消去し、ステップ52114に進み、影響内容6173の総数とカウンタの値が等しくない場合、上記ステップ52110に進む。
[0086]
 ステップ52114では、脅威抽出部52は上記ステップ52109でメモリに保持している脅威6162の総数とカウンタ値を比較する。脅威抽出部52は、脅威6162の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52115に進み、脅威6162の総数とカウンタ値が等しくない場合、上記ステップ52109に進む。
[0087]
 ステップ52115では、脅威抽出部52は上記ステップ52108でメモリに保持している保護資産名62173の総数とカウンタ値を比較する。脅威抽出部52は、保護資産名62173の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52116に進み、保護資産名62173の総数とカウンタ値が等しくない場合、上記ステップ52108に進む。
[0088]
 ステップ52116では、脅威抽出部52は上記ステップ52107でメモリに保持している動機6153の総数とカウンタ値を比較する。脅威抽出部52は、動機6153の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52117に進み、動機6153の総数とカウンタ値が等しくない場合、上記ステップ52107に進む。
[0089]
 ステップ52117では、脅威抽出部52は上記ステップ52106でメモリに保持している攻撃タイミング62153の総数とカウンタ値を比較する。脅威抽出部52は、攻撃タイミング62153の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52118に進み、攻撃タイミング62153の総数とカウンタ値が等しくない場合、上記ステップ52106に進む。
[0090]
 ステップ52118では、脅威抽出部52は上記ステップ52105でメモリに保持している関与者名6142の総数とカウンタ値を比較する。脅威抽出部52は、関与者名6142の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52119に進み、関与者名6142の総数とカウンタ値が等しくない場合、上記ステップ52105に進む。
[0091]
 ステップ52119では、脅威抽出部52は上記ステップ52104でメモリに保持している外部接続機器名62143の総数とカウンタ値を比較する。脅威抽出部52は、外部接続機器名62143の総数とカウンタ値が等しい場合、カウンタの値を消去し、ステップ52120に進み、外部接続機器名62143の総数とカウンタ値が等しくない場合、上記ステップ52104に進む。
[0092]
 ステップ52120では、脅威抽出部52は上記ステップ52103でメモリに保持しているサブシステム名6122の総数とカウンタ値を比較する。脅威抽出部52は、サブシステム名6122の総数とカウンタ値が等しい場合、カウンタの値を消去し、本処理を終了し、サブシステム名6122の総数とカウンタ値が等しくない場合、上記ステップ52103に進む。
[0093]
 以上のステップにより、上記ステップ521において、評価対象における脅威事象を抽出できる。
[0094]
 図23は、上記ステップ531において、抽出した脅威事象のリスク値算出の概要処理フローを示す。
[0095]
 ステップ5310では、脅威リスク値計算部53は上記ステップ521で抽出した脅威事象6182の中から、リスク値が算出されていない脅威事象のS-ID6184、E-ID6185、P-ID6186、脅威種別6187を取得する。
[0096]
 ステップ5311では、脅威リスク値計算部53は上記ステップ5310で脅威事象6182に脅威事象のS-ID6184、E-ID6185、P-ID6186、脅威種別6187が格納されている場合、ステップ5312に進み、脅威事象6182に脅威事象のS-ID6184、E-ID6185、P-ID6186、脅威種別6187が格納されていない場合、本処理を終了する。
[0097]
 ステップ5312では、脅威リスク値計算部53は上記ステップ5310で取得したE-ID6185に対応する経路区分62144を取得し、CVSS判定情報632のパラメータ6321のAVにおける区分6322を参照し、その判定値6323を取得する。 
[0098]
 ステップ5313では、脅威リスク値計算部53は上記ステップ5310で取得したS-ID6184における外部接続数62132と、評価対象における外部接続機器数の総数とを比較して攻撃条件の複雑さを算出する。例えば、外部接続機器の総数を「n」、「Y 1 = n/3」、「Y 2 = 2Y 1」とし、外部接続数62132がY 1より小さい場合は「高」、外部接続数62132がY 1以上Y 2より小さい場合は「中」、外部接続数62132がY 2以上の場合は「低」とし、CVSS判定情報632のパラメータ6321のACにおける区
分6322を参照し、その判定値6323を取得する。
[0099]
 ステップ5314では、脅威リスク値計算部53は上記ステップ5312で取得したE-ID6185に対応する認証回数62145と、上記ステップ5310で取得したS-ID6184に対応する内部接続機器62163の中から最小値となる認証回数62164との合計値を「m」とし、mが0の場合は「不要」、mが1の場合は「単一」、mが2以上の場合は「複数」とし、CVSS判定情報632のパラメータ6321のAuにおける区分6322を参照し、その判定値6323を取得する。
[0100]
 ステップ5315では、脅威リスク値計算部53は上記ステップ5310で取得した脅威種別6187に応じて、「C:機密性への影響度」、「I:完全性への影響度」、「A:可用性への影響度」の算出方法を変更し、その判定値6323を取得する。
[0101]
 ステップ5316では、脅威リスク値計算部53は上記ステップ5312からステップ5315で取得した判定値6323をCVSSの基本値算出計算式に代入し、その計算結果をリスク値6183として登録する。
[0102]
 ステップ5317では、脅威リスク値計算部53は上記ステップ5310からステップ5316で、すべての脅威事象6182におけるリスク値6183を算出している場合、本処理を終了し、上記ステップ5310からステップ5316で、すべての脅威事象6182におけるリスク値6183を算出していない場合、ステップ5310に進む。
[0103]
 以上のステップにより、上記ステップ531において、抽出した脅威事象のリスク値を算出できる。
[0104]
 図24は、上記ステップ5315において、脅威種別6187に応じて、「C:機密性への影響度」、「I:完全性への影響度」、「A:可用性への影響度」を算出する概要処理フローを示す。
[0105]
 ステップ531501では、脅威リスク値計算部53は上記ステップ5310で取得した脅威種別6187が「参照」の場合、ステップ531502に進み、脅威種別6187が「改ざん」、或いは「削除」、或いは「実行」の場合、ステップ531505に進み、脅威種別6187が「通信妨害」の場合、ステップ531509に進む。
[0106]
 ステップ531502では、脅威リスク値計算部53は完全性への影響度、及び可用性への影響度を「0」とする。
[0107]
 ステップ531503では、脅威リスク値計算部53は上記ステップ5310で取得したP-ID6186の機密性への影響度62175を取得する。
[0108]
 ステップ531504では、脅威リスク値計算部53は上記ステップ531504で取得した機密性への影響度62175をもとに、CVSS判定情報632のパラメータ6321のCにおける区分6322を参照し、その判定値6323を取得する。
[0109]
 ステップ531505では、脅威リスク値算出部53は機密性への影響度を「0」とする。
[0110]
 ステップ531506では、脅威リスク値計算部53は上記ステップ5310で取得したP-ID6186のデータフロー62177として格納されているS-ID62131を取得する。
[0111]
 ステップ531507では、脅威リスク値計算部53は上記ステップ531507で取得したS-ID62131の中から、最も高いASIL値62135を取得する。
[0112]
 ステップ531508では、脅威リスク値計算部53は上記ステップ531507で取得した最も高いASIL値62135をもとに、CVSS判定情報632のパラメータ6321のIとAにおける区分6322をそれぞれ参照し、その判定値6323をそれぞれ取得する。
[0113]
 ステップ531509では、脅威リスク値計算部53は機密性への影響度、及び完全性への影響度を「0」とする。
[0114]
 ステップ531510では、脅威リスク値計算部53は上記ステップ5310で取得したS-ID6184をもとに、対応するASIL値62135を取得する。
[0115]
 ステップ531511では、脅威リスク値計算部53は上記ステップ531510で取得したASIL値62135をもとに、CVSS判定情報632のパラメータ6321のAにおける区分6322を参照し、その判定値6323を取得する。
[0116]
 以上のステップにより、上記ステップ5315において、脅威種別6187に応じて、「C:機密性への影響度」、「I:完全性への影響度」、「A:可用性への影響度」を算出できる。
[0117]
 図25に、上記ステップ511で表示されるリスク評価手法選択画面、図26に、上記ステップ5121で表示されるサブシステム変更画面、図27に、上記ステップ5124で表示されるサブシステムのパラメータ情報登録画面の一例を示す。
[0118]
 図25では、モデル定義支援部51は、利用するリスク評価手法を選択させる(ステップ511)。例えば、リスク値算出手法一覧情報631の手法名6311をもとに、リスク評価手法51002をプルダウン形式で選択させてもよい。選択完了後、次へボタン51001を押下することで図26の画面に遷移する。
[0119]
 図26では、モデル定義支援部51は、評価対象となるサブシステムを選択または追加させる(ステップ5121)。例えば、サブシステム区分情報611のサブシステム名6112をもとに、サブシステムの選択項目51004をラジオボックス形式で選択させてもよい。モデル定義支援部51は、欄追加ボタン51005が押下された場合、入力装置1を用いてサブシステムを入力させるとともに、サブシステム区分情報611に登録する。戻るボタン51003を押下する場合、図25の画面を表示し、次へボタン51006を押下する場合、図27の画面を表示する。
[0120]
 図27では、モデル定義支援部51は、上記ステップ5121で選択或いは追加されたサブシステムを非活性化状態で出力装置2に表示し、詳細なパラメータ情報を入力するサブシステムを選択させる(ステップ5124)。例えば、サブシステムとして情報系サブシステムオブジェクト51007を押下させ、図28の画面をポップアップ形式で表示してもよい。なお、戻るボタン51006を押下する場合、図26の画面に戻る。
[0121]
 図28に、上記ステップ51251で表示される外部接続機器数登録画面、図29に、上記ステップ51252で表示される外部接続機器詳細情報登録画面、図30に、上記ステップ5163で表示される関与者詳細情報登録画面の一例を示す。
[0122]
 図28では、モデル定義支援部51は外部接続機器数を登録させる(ステップ51251)。例えば、外部接続機器数51009のように選択ボタンを用いて加算或いは減算させてもよいし、入力装置1を用いて直接入力してもよい。なお、戻るボタン51008を押下する場合は、ポップアップ画面を閉じて図27の画面に戻り、次へボタン51010を押下する場合は、図29の画面を表示する。
[0123]
 図29では、モデル定義支援部51は外部接続機器の詳細な情報を入力させる(ステップ51252)。例えば、名称51012は入力装置1を用いて直接入力させてもよく、経路区分51013は経路区分情報6211の経路62112をもとにプルダウン形式で選択させてもよく、認証回数51014と関与者種別数51015は選択ボタンを用いて加算或いは減算させてもよい。
[0124]
 次へボタン51017を押下するとき、入力対象となる外部接続機器51016がすべて入力済みの場合は、図30の画面を表示し、入力対象となる外部接続機器51016がすべて入力済みでない場合は、入力していない外部接続機器51016にカーソルを合わせて、上記と同様に入力項目51012から入力項目51015を入力させる画面を表示する。
[0125]
 戻るボタン51011を押下するとき、入力対象となる外部接続機器51016が一つも入力済みでない場合、或いは入力対象となる外部接続機器51016が一つだけの場合は、図28の画面を表示し、入力対象となる外部接続機器51016が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている外部接続機器51016から、一つ前の外部接続機器51016にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示する。
[0126]
 図30では、モデル定義支援部51は関与者の詳細な情報を入力させる(ステップ51253)。例えば、関与者名51019は外部接続機器に対応する関与者区分62152をもとに関与者名6142をプルダウン形式で選択させてもよく、攻撃タイミング51020は当該関与者区分62152の攻撃タイミング62153を選択項目としてラジオボタン形式で選択させてもよい。次へボタン51022を押下するとき、入力対象となる関与者51021がすべて入力済みの場合は、図31の画面を表示し、入力対象となる関与者51021がすべて入力済みでない場合は、入力していない関与者51021にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示し、戻るボタン51018を押下するとき、入力対象となる関与者51021が一つも入力済みでない場合、或いは入力対象となる関与者51021が一つだけの場合は、図29の画面を表示し、入力対象となる関与者51021が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている関与者51021から、一つ前の関与者51021にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示する。
[0127]
 図31に、上記ステップ51254で表示される内部接続機器数登録画面、図32に、上記ステップ51255で表示される内部接続機器詳細情報登録画面の一例を示す。
[0128]
 図31では、モデル定義支援部51は内部接続機器数を入力させる(ステップ51254)。例えば、内部接続機器数51024は選択ボタンを用いて加算或いは減算させてもよい。戻るボタン51023を押下する場合は、図30の画面に戻り、次へボタン51025を押下する場合は、図32の画面を表示する。
[0129]
 図32では、モデル定義支援部51は内部接続機器の詳細な情報を入力させる(ステップ51255)。例えば、名称51027はサブシステム区分情報611のサブシステム名6112をもとにプルダウン形式で選択させてもよく、認証回数51028は選択ボタンを用いて加算或いは減算させてもよい。次へボタン51030を押下するとき、入力対象となる内部接続機器51029がすべて入力済みの場合は、図33の画面を表示し、入力対象となる内部接続機器51029がすべて入力済みでない場合は、入力していない内部接続機器51029にカーソルを合わせて、上記と同様に入力項目51027、及び入力項目51028を入力させる画面を表示し、戻るボタン51026を押下するとき、入力対象となる内部接続機器51029が一つも入力済みでない場合、或いは入力対象となる内部接続機器51029が一つだけの場合は、図31の画面を表示し、入力対象となる内部接続機器51029が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている内部接続機器51029から、一つ前の内部接続機器51029にカーソルを合わせて、上記と同様に入力項目51019、及び入力項目51020を入力させる画面を表示する。
 図33に、上記ステップ51256で表示される保護資産数登録画面、図34に、上記ステップ51257で表示される保護資産詳細情報登録画面、図35に、上記ステップ5168で表示されるASIL情報登録画面の一例を示す。
[0130]
 図33では、モデル定義支援部51は保護資産数を登録させる(ステップ51256)。例えば、保護資産数51032は選択ボタンを用いて加算或いは減算させてもよい。戻るボタン51031を押下する場合は、図32の画面に戻り、次へボタン51033を押下する場合は、図34の画面を表示する。
[0131]
 図34では、モデル定義支援部51は保護資産の詳細な情報を入力させる(ステップ51257)。例えば、資産名51035は入力装置1を用いて直接入力させてもよく、資産種別51036は資産種別・脅威対応情報616の資産種別6161をもとにプルダウン形式で選択させてもよく、影響度(機密性)51037は機密性への影響度情報6212の影響度62122をもとにプルダウン形式で選択させてもよく、攻撃タイミング51038はライフサイクル区分情報612のライフサイクル名6122をもとにチェックボックス形式で選択させてもよく、データフロー51039はサブシステム区分情報611のサブシステム名6112をもとにプルダウン形式で選択させてもよい。欄追加ボタン51040を押下すると、データフロー51039の入力項目を追加する。次へボタン51042を押下するとき、入力対象となる保護資産51041がすべて入力済みの場合は、図35の画面を表示し、入力対象となる保護資産51041がすべて入力済みでない場合は、入力していない保護資産51041にカーソルを合わせて、上記と同様に入力項目51035から入力項目51040を入力させる画面を表示し、戻るボタン51034を押下するとき、入力対象となる保護資産51041が一つも入力済みでない場合、或いは入力対象となる保護資産51041が一つだけの場合は、図33の画面を表示し、入力対象となる保護資産51041が複数あり、且つ一つでも入力済みの場合、現在カーソルを合わせている保護資産51041から、一つ前の保護資産51041にカーソルを合わせて、上記と同様に入力項目51035から入力項目51040を入力させる画面を表示する。
[0132]
 図35では、モデル定義支援部51はASIL値を入力させる(ステップ51258)。例えば、ASIL区分情報613のASIL値6132をもとにプルダウン形式で選択させてもよい。戻るボタン51043を押下する場合は、図34の画面に戻り、完了ボタン51045を押下する場合は、ポップアップとして表示されている同画面を閉じる。 
[0133]
 図36に、上記ステップ51259で表示される登録済みサブシステムの活性化画面、図37に、上記ステップ521で表示される脅威リスク評価実行画面の一例を示す。なお、図36及び図37は、上記ステップ5125から上記ステップ5126をもとに図27の表示内容が更新されたものである。
[0134]
 図36では、モデル定義支援部51は上記ステップ5125で選択したサブシステムオブジェクト51048に対して、上記ステップ51251からステップ51258で入力したパラメータをもとに経路線51046や外部接続機器オブジェクト51047を追加するとともに、当該サブシステムオブジェクト51048を活性化して表示する(ステップ51259)。
[0135]
 図37では、脅威抽出部52は脅威リスク評価として、脅威事象の抽出及び脅威リスク値の算出を実行する画面を表示する(ステップ521)。ここで、リスク評価ボタン51049を押下すると、上記ステップ521から上記ステップ541までの処理を実行する。
[0136]
 図38に、上記ステップ551で表示される脅威リスク評価結果画面の一例を示す。
[0137]
 図38では、脅威抽出部52は上記ステップ511からステップ541までの処理における脅威リスク評価の結果として、脅威事象、リスク値、優先度を画面に表示する(ステップ551)。例えば、脅威リスク評価結果51051として、上記ステップ541で優先度付けされた、脅威リスク値情報618の脅威及びリスク値を表形式で表示してもよい。このとき、表示項目51050では、評価対象全体、及びサブシステム区分情報611のサブシステム名6112をもとにプルダウン形式で表示方法を選択させ、評価対象全体の脅威リスク評価結果を表示してもよいし、各サブシステムにおける脅威リスク評価結果を表示してもよい。
[0138]
 以上により、本脅威リスク評価支援装置は、分析者のセキュリティに関する知識や経験に依存せずに、評価対象における脅威の抽出、及び当該脅威のリスク値を自動的に算出し、分析者に各脅威のリスク値を提示できる。
[0139]
 なお、本実施例では車載ネットワークを対象に説明しているが、本脅威リスク評価支援装置はこれに限定するものではなく、制御系システムや情報系システムを対象にした脅威リスク評価にも適用可能である。

符号の説明

[0140]
 1     入力装置
 2     出力装置
 3     入出力制御部
 4     CPU
 5     メモリ
 6     ディスク
 7     バス

請求の範囲

[請求項1]
 評価対象となるシステムに対するセキュリティ上の脅威を評価する評価装置であって、 前記システムにおける複数の設計項目に関する設計情報が入力される入力部と、
 セキュリティ上の脅威に関する複数の評価項目と前記入力部より入力された前記複数の設計項目に関する情報とを対応付けて格納する格納部と、
 前記複数の設計項目に関する情報に基づいて、前記システムにおけるセキュリティ上の脅威を抽出し、前記複数の設計項目に関する情報に対応付けられた前記評価項目に基づいて、前記抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、前記抽出された前記システムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる制御部と、
 を有することを特徴とする評価装置。
[請求項2]
 請求項1に記載の評価装置であって、
 前記制御部は、前記表示部にセキュリティ上の脅威を評価する複数種類の評価手法に関する情報を表示させ、前記入力部に入力される前記評価手法の種類に応じて前記表示部に表示させる前記設計項目に関する情報を決定する、ことを特徴とする評価装置。
[請求項3]
 請求項1に記載の評価装置であって、
 セキュリティ上の脅威を評価する手法として、CVSS(Common Vulnerability Scoring System)を用いることを特徴とする評価装置。
[請求項4]
 請求項1に記載の評価装置であって、
 前記入力部に入力される前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、
 前記サブシステムに関する情報は、前記サブシステムの外部接続機器情報、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、であることを特徴とする評価装置。
[請求項5]
 請求項4に記載の評価装置であって、
 前記格納部は、前記関与者種別情報とセキュリティ上の脅威を発生させる動機に関する動機情報とが対応付けられた第一の対応情報と、前記保護資産情報と脅威の種別に関する脅威種別情報とが対応付けられた第二の対応情報と、前記脅威種別情報と脅威の影響範囲を示す脅威影響範囲情報と脅威の内容を示す脅威内容情報とが対応付けられた第三の対応情報と、を格納し、
 前記制御部は、前記第一の対応情報と前記第二の対応情報と前記第三の対応情報と入力部より入力された前記設計情報とに基づいて、前記サブシステムにおける脅威を抽出する、ことを特徴とする評価装置。
[請求項6]
 請求項1に記載の評価装置であって、
 前記入力部に入力される前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、前記サブシステムに関する情報は、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、であり、
 前記制御部は、前記入力部より入力される前記外部接続機器数情報と前記経路種別情報と前記認証回数情報とに基づいて、前記サブシステムにおける脅威リスク値を算出する、ことを特徴とする評価装置。
[請求項7]
 評価対象となるシステムに対するセキュリティ上の脅威を評価する装置における評価方法であって、
 前記装置は、
 前記システムにおける複数の設計項目に関する設計情報を受け付け、
 セキュリティ上の脅威に関する複数の評価項目と前記受け付けた前記複数の設計項目に関する情報とを対応付け、
 前記複数の設計項目に関する情報に基づいて、前記システムにおけるセキュリティ上の脅威を抽出し、
 前記複数の設計項目に関する情報に対応付けられた前記評価項目に基づいて、前記抽出した脅威に対するセキュリティ上の脅威の大きさを示す値である脅威リスク値を算出し、 前記抽出された前記システムにおける脅威と、該脅威に対する脅威リスク値とを表示部に表示させる、ことを有することを特徴とする評価方法。
[請求項8]
 請求項7に記載の評価方法であって、
 前記装置は、
 前記表示部にセキュリティ上の脅威を評価する複数種類の評価手法に関する情報を表示させ、
 前記評価手法を示す評価手法情報を受け付け、
 受け付けた前記評価手法情報が示す前記評価手法の種類に応じて前記表示部に表示させる前記設計項目に関する情報を決定する、ことを特徴とする評価方法。
[請求項9]
 請求項7に記載の評価方法であって、
 セキュリティ上の脅威を評価する手法として、CVSS(Common Vulnerability Scoring System)を用いることを特徴とする評価方法。
[請求項10]
 請求項7に記載の評価方法であって、
 前記装置が受け付ける前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、
 前記サブシステムに関する情報は、前記サブシステムの外部接続機器情報、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、セキュリティ上の脅威を発生させる可能性のある関与者種別情報、及び、保護資産に関する保護資産情報、であることを特徴とする評価方法。
[請求項11]
 請求項10に記載の評価方法であって、
 前記装置は、
 前記関与者種別情報とセキュリティ上の脅威を発生させる動機に関する動機情報とが対応付けられた第一の対応情報と、前記保護資産情報と脅威の種別に関する脅威種別情報とが対応付けられた第二の対応情報と、前記脅威種別情報と脅威の影響範囲を示す脅威影響範囲情報と脅威の内容を示す脅威内容情報とが対応付けられた第三の対応情報と、を格納し、
 前記第一の対応情報と前記第二の対応情報と前記第三の対応情報と入力部より入力された前記設計情報とに基づいて、前記サブシステムにおける脅威を抽出する、ことを特徴とする評価方法。
[請求項12]
 請求項7に記載の評価方法であって、
 前記装置受け付ける前記システムにおける複数の設計項目に関する情報は、前記システムにおける評価対象とするサブシステムに関する情報であり、
 前記サブシステムに関する情報は、前記サブシステムの外部接続機器の数を示す外部接続機器数情報、前記サブシステムと前記外部接続機器との間の経路種別情報、前記サブシステムと前記外部接続機器との間で通信する際に発生する認証回数情報、であり、
 前記装置は、
 前記受け付けた前記外部接続機器数情報と前記経路種別情報と前記認証回数情報とに基づいて、前記サブシステムにおける脅威リスク値を算出する、ことを特徴とする評価方法。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9]

[ 図 10]

[ 図 11]

[ 図 12]

[ 図 13]

[ 図 14]

[ 図 15]

[ 図 16]

[ 図 17]

[ 図 18]

[ 図 19]

[ 図 20]

[ 図 21]

[ 図 22]

[ 図 23]

[ 図 24]

[ 図 25]

[ 図 26]

[ 図 27]

[ 図 28]

[ 図 29]

[ 図 30]

[ 図 31]

[ 図 32]

[ 図 33]

[ 図 34]

[ 図 35]

[ 図 36]

[ 図 37]

[ 図 38]