Provided are a threat risk scoring assistance device and method whereby it is possible, without depending on the skill of an analyst, to compute a threat risk value. A model definition assistance unit carries out an input assistance according to a selected risk scoring technique and stores, obtained from a design specification, a number of externally connected devices, path information, a number of authentications among subsystems, a protected asset confidentiality impact, and an ASIL which is set in the subsystems, in subsystem detail information, externally connected device information, internally connected device information, and protected asset information, of a risk scoring dependent information storage unit. A threat extraction unit and a threat risk value calculation unit carry out a threat extraction and a threat risk value computation using the selected risk scoring technique, on the basis of information stored in a risk scoring independent information storage unit and the risk scoring dependent information storage unit which this threat risk scoring assistance device retains in advance.

L'invention concerne un dispositif et un procédé d'aide à l'évaluation des risques de menace moyennant quoi il est possible, sans dépendre de la compétence d'un analyste, de calculer une valeur de risques de menace. Une unité d'aide à la définition d'un modèle effectue une aide d'entrée en fonction d'une technique d'évaluation des risques sélectionnée et stocke, obtenus à partir d'une spécification de conception, un nombre de dispositifs externes connectés, des informations de chemin, un nombre d'authentifications parmi des sous-systèmes, un impact sur la confidentialité d'actifs protégés, et un ASIL qui est situé dans les sous-systèmes, dans des informations de détails de sous-systèmes, des informations de dispositifs externes connectés, des informations de dispositifs internes connectés, et des informations d'actifs protégés, d'une unité de stockage d'informations dépendantes de l'évaluation des risques. Une unité d'extraction de menace et une unité de calcul de valeur de risques de menace effectuent une extraction de menace et un calcul de valeur de risques de menace en utilisant la technique d'évaluation des risques sélectionnée, sur la base des informations stockées dans une unité de stockage d'informations indépendantes de l'évaluation des risques et dans l'unité de stockage d'informations dépendantes de l'évaluation des risques que ce dispositif d'aide à l'évaluation des risques de menace conserve à l'avance.

　分析者の熟練度に依存せずに、脅威リスク値を算出できる脅威リスク評価支援装置及び方法を提供する。　モデル定義支援部は、選択されたリスク評価手法に応じた入力支援を行うとともに、設計書から得られる外部接続機器数、経路情報、サブシステム間の認証回数、保護資産の機密性影響度、サブシステムに設定されたＡＳＩＬをリスク評価依存情報記憶部のサブシステム詳細情報、外部接続機器情報、内部接続機器情報、保護資産情報に格納する。脅威抽出部と脅威リスク値計算部は、本脅威リスク評価支援装置が予め保持するリスク評価非依存情報記憶部と前記リスク評価依存情報記憶部に格納された情報をもとに、選択されたリスク評価手法を用いて脅威抽出及び脅威リスク値の算出を行う。