処理中

しばらくお待ちください...

設定

設定

出願の表示

1. WO2010074093 - セキュリティ対策機能評価プログラム

Document

明 細 書

発明の名称 セキュリティ対策機能評価プログラム

技術分野

0001  

背景技術

0002   0003   0004   0005  

先行技術文献

特許文献

0006  

発明の概要

発明が解決しようとする課題

0007   0008   0009  

課題を解決するための手段

0010   0011  

発明の効果

0012  

図面の簡単な説明

0013  

発明を実施するための形態

0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087   0088   0089   0090   0091   0092   0093   0094   0095   0096   0097   0098   0099   0100   0101   0102   0103   0104   0105   0106   0107   0108   0109   0110   0111   0112   0113   0114   0115   0116   0117   0118   0119   0120   0121   0122   0123   0124   0125   0126   0127   0128   0129   0130   0131   0132   0133   0134   0135   0136   0137   0138   0139   0140   0141   0142   0143   0144   0145   0146   0147   0148   0149   0150   0151   0152   0153   0154   0155   0156   0157   0158   0159   0160   0161   0162   0163   0164   0165   0166   0167   0168   0169   0170   0171   0172   0173   0174   0175   0176   0177   0178   0179   0180   0181   0182   0183   0184   0185   0186   0187   0188   0189   0190   0191   0192   0193   0194   0195   0196   0197   0198   0199   0200   0201   0202   0203   0204   0205   0206   0207   0208   0209   0210   0211   0212   0213   0214   0215   0216   0217   0218   0219  

請求の範囲

1   2   3   4   5  

図面

1   2   3   4   5   6   7   8   9   10   11   12   13   14   15   16   17   18   19   20   21   22   23   24   25   26   27   28   29   30   31   32   33   34   35   36   37   38   39   40  

明 細 書

発明の名称 : セキュリティ対策機能評価プログラム

技術分野

[0001]
 本発明は、セキュリティ対策機能を評価するためのセキュリティ対策機能評価プログラムに係り、例えば、評価者の熟練度に依存せずに、セキュリティ対策機能を評価し得るセキュリティ対策機能評価プログラムに関する。

背景技術

[0002]
 情報処理機器には、様々な用途や種類、OS(Operating System)が存在し、保持する情報や機能が増加している。
[0003]
 このような情報処理機器に対しては、単純、単一のセキュリティ対策機能から、複数の幅広い脅威に対応するセキュリティ対策機能まで、様々なセキュリティ対策機能が開発されて実装可能となっている。これらのセキュリティ対策機能は、開発元や提供ベンダーによる機能自体や効果の表記に違いがあり、効果を客観的に評価して相互に比較することが難しい。
[0004]
 このため、セキュリティ対策機能は、脅威やセキュリティ問題の特徴を荒く捉えた項目に対し、対応可能か否かという観点で評価されている。この評価においては、同種のセキュリティ対策機能で夫々対応可能であれば、互いに同一の効果をもつとみなされている。
[0005]
 なお、この出願の発明に関連する先行技術文献情報としては次のものがある。 

先行技術文献

特許文献

[0006]
特許文献1 : 特開2005-25523号公報

発明の概要

発明が解決しようとする課題

[0007]
 しかしながら、以上のようなセキュリティ対策機能の評価手法は、前述した通り、セキュリティ対策機能の効果を客観的に評価して比較することが難しい状況にある。例えば、実装されたセキュリティ対策機能が、実際にユーザが想定した脅威を抑制する効果をもつか否か、また、他の同種のセキュリティ対策機能よりも高い効果をもつか否かを評価することが難しい。このため、実際の効果やそれらの比較は、評価者の熟練度に応じて客観的に評価される。
[0008]
 これは、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価するための手法や基準が存在していないからである。
[0009]
 本発明の目的は、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価し得るセキュリティ対策機能評価プログラムを提供することにある。

課題を解決するための手段

[0010]
 本発明の一つの局面は、記憶装置であるデータベース部を読出/書込可能であり、情報処理機器に実装されるセキュリティ対策機能を評価するためのセキュリティ対策機能評価装置に対し、前記セキュリティ対策機能評価装置に用いられ、コンピュータ読み取り可能な記憶媒体に記憶されたセキュリティ対策機能評価プログラムであって、情報処理機器の物理的本体、情報処理機器の機能、及び情報処理機器に保存されたデータ、を個別に示すセキュリティ保護対象資産情報と、前記各セキュリティ保護対象資産情報に個別に関連付けられたセキュリティ状態ID及び状態情報からなる複数のセキュリティ状態情報とを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第1プログラムコード、セキュリティ状態が安全な状態から危険な状態又は被害発生状態に遷移する原因である脅威の実施者及び実行条件の情報を含む脅威情報を含んだ文書データを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第2プログラムコード、任意の対策方針を実行する十分条件に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む十分条件評価パラメータと、任意のセキュリティ対策機能に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む対策機能評価パラメータとを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第3プログラムコード、脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報が入力される対策方針領域と、当該対策方針情報の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を前記十分条件評価パラメータに関連付けて列挙した選択領域及び前記選択領域で選択された選択肢に応じた点数が前記十分条件評価パラメータに基づいて記述される点数領域とを含む十分条件表雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第4プログラムコード、前記セキュリティ対策機能の製品を特定する対策名が入力される対策名領域と、当該対策名により特定される製品のセキュリティ対策機能の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を前記対策機能評価パラメータに関連付けて列挙した選択領域及び前記選択領域で選択された選択肢に応じた点数が前記対策機能評価パラメータに基づいて記述される点数領域とを含む対策雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第5プログラムコード、セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令の入力を受け付けると、この選択命令に基づいて、前記データベース部内のセキュリティ保護対象資産情報を選択する処理を前記セキュリティ対策機能評価装置に実行させるための第6プログラムコード、前記選択されたセキュリティ保護対象資産情報を表示する処理を前記セキュリティ対策機能評価装置に実行させるための第7プログラムコード、前記セキュリティ保護対象資産情報の表示中、セキュリティ状態IDの入力を受け付けると、このセキュリティ状態IDに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報を前記データベース部から抽出する処理を前記セキュリティ対策機能評価装置に実行させるための第8プログラムコード、抽出したセキュリティ状態情報のセキュリティ状態IDを表示する処理を前記セキュリティ対策機能評価装置に実行させるための第9プログラムコード、表示中のセキュリティ状態ID毎に、安全、危険又は被害発生のグループに関する指定の入力を受け付けると、この指定に基づいて、各セキュリティ状態IDを、安全、危険又は被害発生のいずれかのグループに分類する処理を前記セキュリティ対策機能評価装置に実行させるための第10プログラムコード、分類したグループに応じた形式の外枠情報を、表示中のセキュリティ状態IDに付加して表示する処理を前記セキュリティ対策機能評価装置に実行させるための第11プログラムコード、表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、前記安全のグループに応じた形式の外枠情報から前記危険又は被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に第1遷移パス情報を描画する処理を前記セキュリティ対策機能評価装置に実行させるための第12プログラムコード、表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、前記危険のグループに応じた外枠情報から前記被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に第2遷移パス情報を描画する処理を前記セキュリティ対策機能評価装置に実行させるための第13プログラムコード、表示中の第1又は第2遷移パス情報と、前記脅威情報との指定の入力を受け付けると、この指定に基づいて、当該第1又は第2遷移パス情報と当該脅威情報とを関連付ける処理を前記セキュリティ対策機能評価装置に実行させるための第14プログラムコード、前記脅威情報が関連付けられなかった第1又は第2遷移パス情報を削除することにより、互いに関連付けられた複数のセキュリティ状態情報、外枠情報、第1遷移パス情報、第2遷移パス情報及び脅威情報からなる脅威発生モデル情報を作成する処理を前記セキュリティ対策機能評価装置に実行させるための第15プログラムコード、前記脅威発生モデル情報に基づいて、遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報及び脅威情報を互いに関連付けた脅威分析途中データを作成して表示する処理を前記セキュリティ対策機能評価装置に実行させるための第16プログラムコード、前記脅威分析途中データの表示中に、当該脅威分析途中データ内の脅威情報における脅威の実施者及び実行条件の指定の入力を受け付けると、この指定に基づいて、当該脅威情報から脅威の実施者及び実行条件の情報を抽出する処理を前記セキュリティ対策機能評価装置に実行させるための第17プログラムコード、前記脅威分析途中データ内の遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報、及び前記抽出した脅威の実施者及び実行条件の情報を互いに関連付けた脅威分析結果データを作成する処理を前記セキュリティ対策機能評価装置に実行させるための第18プログラムコード、前記脅威分析結果データ内の脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報の入力を受け付けると、この対策方針情報を前記十分条件表雛形情報の対策方針領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第19プログラムコード、前記対策方針領域に書き込まれた対策方針情報の実行及び実行のための機能名に関し、前記選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する処理を前記セキュリティ対策機能評価装置に実行させるための第20プログラムコード、前記十分条件評価パラメータに基づいて、前記選択領域内で選択された選択肢に対応する点数を前記点数領域に記述する処理を前記セキュリティ対策機能評価装置に実行させるための第21プログラムコード、前記対策方針情報が入力された対策方針領域、前記選択肢が選択された選択領域、及び前記点数が記述された点数領域を含む十分条件表情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第22プログラムコード、前記対策名の入力を受け付けると、この対策名を前記対策雛形情報内の対策名領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第23プログラムコード、前記対策名領域に書き込まれた対策名の実行及び実行のための機能名に関し、前記対策雛形情報の選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する処理を前記セキュリティ対策機能評価装置に実行させるための第24プログラムコード、前記対策機能評価パラメータに基づいて、前記対策雛形情報の選択領域内で選択された選択肢に対応する点数を当該対策雛形情報の点数領域に記述する処理を前記セキュリティ対策機能評価装置に実行させるための第25プログラムコード、前記対策雛形情報に基づいて作成され、前記対策名が入力された対策名領域、前記選択肢が選択された選択領域、及び前記点数が記述された点数領域を含む対策情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第26プログラムコード、前記対策情報内及び前記十分条件表情報内の互いに同一の項目における点数領域に関し、当該対策情報の点数領域の点数から当該十分条件表情報の点数領域の点数を引いた差分を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第27プログラムコード、前記差分が0以上の値であれば評価結果を正の値の点数とし、差分が負の値であれば評価結果を0値の点数として、前記対策情報内及び前記十分条件表情報内の互いに同一の項目毎に、評価結果の点数を記入する評価結果点数記入処理を前記セキュリティ対策機能評価装置に実行させるための第28プログラムコード、前記各対策方針情報の機能毎に、評価結果の点数の平均値を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第29プログラムコード、前記対策方針情報毎に、全ての平均値を積算して評価点数を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第30プログラムコード、前記情報処理機器にセキュリティ対策機能を施す前の場合に関し、前記脅威分析結果データに基づいて、同一の遷移元のセキュリティ状態情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第31プログラムコード、前記情報処理機器にセキュリティ対策機能を施した後の場合に関し、前記対策前遷移確率の算出に用いた分子の値から前記評価点数を減算して当該分子の値を修正し、この修正した分子の値を前記分母の値で除算することにより、対策後遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第32プログラムコード、前記対策前遷移確率と前記対策後遷移確率とを表示する処理を前記セキュリティ対策機能評価装置に実行させるための第33プログラムコード、を備えたセキュリティ対策機能評価プログラムである。
[0011]
 本発明の一つの局面によれば、セキュリティ対策機能の詳細を示す対策情報の各項目が十分条件表情報の各項目を満たすか否かを評価し、各項目の評価結果から評価点数を算出し、評価点数に基づいて遷移確率を算出する構成により、未熟な評価者でも評価対象のセキュリティ対策機能を項目毎に詳細に評価できることから、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価することができる。

発明の効果

[0012]
 以上説明したように本発明によれば、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価できる。

図面の簡単な説明

[0013]
[図1] 図1は、本発明の一実施形態に係るセキュリティ対策機能評価装置及びその周辺構成を示す模式図である。
[図2] 図2は、同実施形態におけるセキュリティ保護対象資産情報及びセキュリティ状態情報の一例を示す模式図である。
[図3] 図3は、同実施形態における十分条件評価パラメータ及び対策機能評価パラメータを含む評価パラメータ表の一例を示す模式図である。
[図4] 図4は、同実施形態における十分条件表雛形情報の一例を示す模式図である。
[図5] 図5は、同実施形態における対策雛形情報の一例を示す模式図である。
[図6] 図6は、同実施形態における回復十分条件雛形情報の一例を示す模式図である。
[図7] 図7は、同実施形態における回復十分条件雛形情報の一例を示す模式図である。
[図8] 図8は、同実施形態における回復対策雛形情報の一例を示す模式図である。
[図9] 図9は、同実施形態における脅威発生モデル情報の作成処理を説明するためのフローチャートである。
[図10] 図10は、同実施形態におけるセキュリティ状態のグループを説明するための模式図である。
[図11] 図11は、同実施形態における脅威発生モデル情報の一例を示す模式図である。
[図12] 図12は、同実施形態における脅威発生モデル情報の一例を示す模式図である。
[図13] 図13は、同実施形態における脅威発生モデル情報の一例を示す模式図である。
[図14] 図14は、同実施形態における脅威分析結果データの一例を示す模式図である。
[図15] 図15は、同実施形態における脅威分析結果データの一例を示す模式図である。
[図16] 図16は、同実施形態における十分条件表情報の一例を示す模式図である。
[図17] 図17は、同実施形態における十分条件表情報の一例を示す模式図である。
[図18] 図18は、同実施形態における十分条件表情報の一例を示す模式図である。
[図19] 図19は、同実施形態におけるセキュリティ対策機能の評価処理を説明するためのフローチャートである。
[図20] 図20は、同実施形態における対策情報の一例を示す模式図である。
[図21] 図21は、同実施形態における評価結果の計算表の一例を示す模式図である。
[図22] 図22は、同実施形態における評価点数の計算表の一例を示す模式図である。
[図23] 図23は、同実施形態における遷移パラメータの一例を示す模式図である。
[図24] 図24は、同実施形態における対策前の遷移確率の計算表の一例を示す模式図である。
[図25] 図25は、同実施形態における対策後の遷移確率の計算表の一例を示す模式図である。
[図26] 図26は、同実施形態におけるシミュレーション処理を説明するためのフローチャートである。
[図27] 図27は、同実施形態における対策前のシミュレーション結果の一例を示す模式図である。
[図28] 図28は、同実施形態における対策後のシミュレーション結果の一例を示す模式図である。
[図29] 図29は、同実施形態におけるシミュレーション結果の視覚表現の一例を示す模式図である。
[図30] 図30は、同実施形態における回復モデル情報の作成処理を説明するためのフローチャートである。
[図31] 図31は、同実施形態における回復モデル情報の一例を示す模式図である。
[図32] 図32は、同実施形態における回復モデル情報の一例を示す模式図である。
[図33] 図33は、同実施形態における回復モデル情報の一例を示す模式図である。
[図34] 図34は、同実施形態における回復十分条件表情報の一例を示す模式図である。
[図35] 図35は、同実施形態における回復十分条件表情報の一例を示す模式図である。
[図36] 図36は、同実施形態における回復対策情報の一例を示す模式図である。
[図37] 図37は、同実施形態における評価結果の算出過程の一例を示す模式図である。
[図38] 図38は、同実施形態における評価点数の計算表の一例を示す模式図である。
[図39] 図39は、同実施形態における評価点数の一例を示す模式図である。
[図40] 図40は、同実施形態におけるシミュレーション結果の視覚表現の一例を示す模式図である。

発明を実施するための形態

[0014]
 以下、本発明の一実施形態について図面を用いて説明する。なお、以下のセキュリティ対策機能評価装置は、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、図1に示すように、予めネットワーク又は記憶媒体Mからセキュリティ対策機能評価装置10となるコンピュータにインストールされ、セキュリティ対策機能評価装置10の各機能を実現させるためのセキュリティ対策機能評価プログラムが用いられる。
[0015]
 図1は本発明の一実施形態に係るセキュリティ対策機能評価プログラムをインストールしたセキュリティ対策機能評価装置及びその周辺構成を示す模式図である。このセキュリティ対策機能評価装置10は、情報処理装置に実装されるセキュリティ対策機能を評価する機能を有しており、また、読出/書込可能な記憶装置としてのデータベース部20に接続されている。評価対象であるセキュリティ対策機能は、セキュリティ対策機能を実現する製品である。具体的には、ソフトウェア、ハードウェア、ソフトウェアとハードウェアを組み合わせた製品、ネットワークを利用する製品の他、任意の実装形態の製品が評価対象である。このため、「セキュリティ対策機能」の用語は「セキュリティ対策製品」と読み替えてもよい。
[0016]
 セキュリティ対策機能評価装置10は、入力部11、初期設定部12、記憶部13、脅威モデル作成部14、評価点数算出部15、遷移確率算出部16、シミュレーション実行部17、回復モデル作成部18及び表示部19を備えている。
[0017]
 ここで、入力部11は、評価者の操作により、各種のデータや命令などの情報をセキュリティ対策機能評価装置10内に入力するための入力デバイスである。
[0018]
 初期設定部12は、セキュリティ保護対象資産情報や各種の雛形情報などを含むセキュリティ対策機能評価プログラムのインストール時にセキュリティ保護対象資産情報や各種の雛形情報などをデータベース部20に書き込む機能をもっている。
[0019]
 具体的には初期設定部12は、後述するセキュリティ保護対象資産情報、複数のセキュリティ状態情報、文書データ、十分条件評価パラメータ、対策機能評価パラメータ、十分条件表雛形情報、対策雛形情報、回復十分条件表雛形情報及び回復対策雛形情報をデータベース部20に書き込む機能をもっている。
[0020]
 記憶部13は、各部11,12,14~19から読出/書込可能なメモリであり、例えば、入力部11が入力するデータ、各部12,14~18がデータベース部20との間で読出/書込処理する情報、各部14~18による処理中のデータ、計算途中又は計算結果のデータ、表示部19が表示する情報などが適宜、記憶される。
[0021]
 脅威モデル作成部14は、例えば、以下の各機能(f14-1)~(f14-12)をもっている。 
 (f14-1) 入力部11の操作により、セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令の入力を受け付けると、この選択命令に基づいて、データベース部20内のセキュリティ保護対象資産情報を選択する機能。
[0022]
 (f14-2) 選択されたセキュリティ保護対象資産情報を表示部19により表示する機能と、セキュリティ保護対象資産情報の表示中、セキュリティ状態IDの入力を受け付けると、このセキュリティ状態IDに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報をデータベース部20から抽出する機能。
[0023]
 (f14-3) 抽出したセキュリティ状態情報のセキュリティ状態IDを表示部19により表示する機能。
[0024]
 (f14-4) 表示中のセキュリティ状態ID毎に、安全、危険又は被害発生のグループに関する指定の入力を受け付けると、この指定に基づいて、各セキュリティ状態IDを、安全、危険又は被害発生のいずれかのグループに分類する機能。
[0025]
 (f14-5) 分類したグループに応じた形式の外枠情報を、表示中のセキュリティ状態IDに付加して表示部19に表示する機能。
[0026]
 (f14-6) 表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、安全のグループに応じた形式の外枠情報から危険又は被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に遷移パス情報を描画する機能。
[0027]
 (f14-7) 表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、危険のグループに応じた外枠情報から被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に他の遷移パス情報を描画する機能。
[0028]
 (f14-8) 表示中の各遷移パス情報と、脅威情報との指定の入力を受け付けると、この指定に基づいて、当該遷移パス情報と当該脅威情報とを関連付ける機能。
[0029]
 (f14-9) 脅威情報が関連付けられなかった遷移パス情報を削除することにより、互いに関連付けられた複数のセキュリティ状態情報、外枠情報、第1遷移パス情報、第2遷移パス情報及び脅威情報からなる脅威発生モデル情報を作成する機能。
[0030]
 (f14-10) 脅威発生モデル情報に基づいて、遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報及び脅威情報を互いに関連付けた脅威分析途中データを作成して表示部19に表示する機能。
[0031]
 (f14-11) 脅威分析途中データの表示中に、当該脅威分析途中データ内の脅威情報における脅威の実施者及び実行条件の指定の入力を受け付けると、この指定に基づいて、当該脅威情報から脅威の実施者及び実行条件の情報を抽出する機能。
[0032]
 (f14-12) 脅威分析途中データ内の遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報、及び抽出した脅威の実施者及び実行条件の情報を互いに関連付けた脅威分析結果データを作成する機能。
[0033]
 評価点数算出部15は、例えば、以下の各機能(f15-1)~(f15-12)をもっている。 
 (f15-1) 脅威分析結果データ内の脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報の入力を受け付けると、この対策方針情報を十分条件表雛形情報の対策方針領域に書き込む機能。
[0034]
 (f15-2) 対策方針領域に書き込まれた対策方針情報の実行及び実行のための機能名に関し、選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する機能。
[0035]
 (f15-3) 十分条件評価パラメータに基づいて、選択領域内で選択された選択肢に対応する点数を点数領域に記述する機能。
[0036]
 (f15-4) 対策方針情報が入力された対策方針領域、選択肢が選択された選択領域、及び点数が記述された点数領域を含む十分条件表情報をデータベース部20に書き込む機能。
[0037]
 (f15-5) 対策名の入力を受け付けると、この対策名を対策雛形情報内の対策名領域に書き込む機能。
[0038]
 (f15-6) 対策名領域に書き込まれた対策名の実行及び実行のための機能名に関し、対策雛形情報の選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する機能。
[0039]
 (f15-7) 対策機能評価パラメータに基づいて、対策雛形情報の選択領域内で選択された選択肢に対応する点数を当該対策雛形情報の点数領域に記述する機能。
[0040]
 (f15-8) 対策雛形情報に基づいて作成され、対策名が入力された対策名領域、選択肢が選択された選択領域、及び点数が記述された点数領域を含む対策情報をデータベース部20に書き込む機能。
[0041]
 (f15-9) 対策情報内及び十分条件表情報内の互いに同一の項目における点数領域に関し、当該対策情報の点数領域の点数から当該十分条件表情報の点数領域の点数を引いた差分を算出する機能。
[0042]
 (f15-10) 差分が0以上の値であれば評価結果を正の値の点数とし、差分が負の値であれば評価結果を0値の点数として、対策情報内及び十分条件表情報内の互いに同一の項目毎に、評価結果の点数を記入する評価結果点数記入機能。なお、評価結果点数記入機能は、評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数とする機能を含んでいてもよい。
[0043]
 (f15-11) 各対策方針情報の機能毎に、評価結果の点数の平均値を算出する機能。
[0044]
 (f15-12) 対策方針情報毎に、全ての平均値を積算して評価点数を算出する機能。
[0045]
 また、評価点数算出部15は、情報処理機器に複数のセキュリティ対策機能を施す場合、当該各セキュリティ対策機能に関し、対策方針情報毎に算出された評価点数を当該対策方針情報毎に加算して最終的な評価点数を算出する機能(f15-13)をもっていてもよい。
[0046]
 また、評価点数算出部15は、例えば、以下の各機能(f15-14)~(f15-20)を更にもっていてもよい。 
 (f15-14) 回復モデル作成部18による回復モデル情報の作成後、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報の入力を受け付けると、この回復十分条件情報を回復十分条件表雛形情報の十分条件領域に書き込む機能。
[0047]
 (f15-15) 回復対策方針領域と、回復十分条件情報が書き込まれた十分条件領域とを含む回復十分条件表情報をデータベース部20に書き込む機能。
[0048]
 (f15-16) 回復対策雛形情報に対する対策名の入力を受け付けると、この対策名を回復対策雛形情報内の対策名領域に書き込む機能。
[0049]
 (f15-17) 回復対策雛形情報内の選択肢としての回復十分条件情報の指定を受け付けると、この指定された回復十分条件情報を選択する機能。
[0050]
 (f15-18) 回復対策雛形情報に基づいて作成され、対策名が入力された対策名領域と、回復十分条件情報が選択された選択領域とを含む回復対策情報をデータベース部20に書き込む機能。
[0051]
 (f15-19) 回復対策情報内及び回復十分条件表情報内の互いに同一の項目に関し、当該回復十分条件表情報内の回復十分条件情報と当該回復対策情報内の回復十分条件情報とが一致すれば評価結果を正の値の点数とし、両者が不一致であれば評価結果を0値の点数として、回復十分条件表情報の回復対策方針領域内の各回復機能要件情報における当該同一の項目毎に、評価結果の点数を記入する回復評価点数記入機能。なお、回復評価点数記入機能は、評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数とする機能を含んでいてもよい。
[0052]
 (f15-20) 当該回復機能要件毎に、全ての評価結果の点数を積算して評価点数を算出する機能。
[0053]
 遷移確率算出部16は、以下の各機能(f16-1)~(f16-3)をもっている。 
 (f16-1) 情報処理機器にセキュリティ対策機能を施す前の場合に関し、脅威分析結果データに基づいて、同一の遷移元のセキュリティ状態情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する機能。
[0054]
 (f16-2) 情報処理機器にセキュリティ対策機能を施した後の場合に関し、対策前遷移確率の算出に用いた分子の値から評価点数を減算して当該分子の値を修正し、この修正した分子の値を上記分母の値で除算することにより、対策後遷移確率を算出する機能。
[0055]
 (f16-3) 対策前遷移確率と対策後遷移確率とを表示部19に表示する機能。
[0056]
 また、遷移確率算出部16は、以下の各機能(f16-4)~(f16-6)を更にもっていてもよい。 
 (f16-4) 情報処理機器にセキュリティ対策機能を施す前の場合に関し、回復モデル情報に基づいて、同一の遷移元のセキュリティ状態情報に関連する回復機能要件情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報に関連する回復機能要件情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する機能。
[0057]
 (f16-5) 情報処理機器にセキュリティ対策機能を施した後の場合に関し、この対策前遷移確率の算出に用いた分子の値に上記回復評価点数記入機能による評価点数を乗算して当該分子の値を修正し、この修正した分子の値を上記回復機能要件情報の個数としての分母の値で除算することにより、対策後遷移確率を算出する機能。
[0058]
 (f16-6) 回復モデル情報及び評価点数に基づく対策前遷移確率と対策後遷移確率とを表示部19に表示する機能。
[0059]
 シミュレーション実行部17は、遷移確率算出部16により算出された遷移確率に基づいてシミュレーションを実行する機能と、シミュレーションの実行結果を表示部19により表示する機能とをもっている。
[0060]
 回復モデル作成部18は、以下の各機能(f18-1)~(f18-5)をもっている。
 (f18-1) 評価者による入力部11の操作により、セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令の入力を受け付けると、この選択命令に基づいて、データベース部20からセキュリティ保護対象資産情報を選択して表示し、このセキュリティ保護対象資産情報の表示中、セキュリティ状態IDの入力を受け付けると、このセキュリティ状態IDに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報を脅威発生モデル情報から抽出する機能。
[0061]
 (f18-2) 脅威発生モデル情報から抽出したセキュリティ状態情報のセキュリティ状態IDを表示し、当該セキュリティ状態ID毎に、安全、危険又は被害発生のグループの指定の入力を受け付けると、この指定に基づいて、各セキュリティ状態IDを、安全、危険又は被害発生のいずれかのグループに分類し、当該各グループに応じた形式の外枠情報を、表示中のセキュリティ状態IDに付加して表示部19に表示する機能。
[0062]
 (f18-3) 当該表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、危険又は被害発生のグループに応じた形式の外枠情報からそれぞれ安全のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に遷移パス情報を描画する機能。
[0063]
 (f18-4) 遷移パス情報毎に、回復機能要件情報の入力を受け付けると、当該遷移パス情報と、当該回復機能要件情報とを関連付ける機能。
[0064]
 (f18-5) 互いに関連付けられた複数のセキュリティ状態情報、外枠情報、遷移パス情報及び回復機能要件情報からなる回復モデル情報を作成する機能。
[0065]
 表示部19は、各部11,12,14~18に制御され、各部12,14~18の処理により記憶部13に記憶されたデータや、各部12,14~18から受けたデータを表示するための表示デバイスである。
[0066]
 データベース部20は、保護対象資産DB21、脅威発生モデルDB22、脅威評価指標DB23、セキュリティ対策機能評価指標DB24及び回復モデルDB25を備えている。
[0067]
 ここで、保護対象資産DB21は、各部11,12,14~19から読出/書込可能な不揮発性の記憶部であり、例えば、後述するセキュリティ保護対象資産情報、セキュリティ状態情報、などが適宜、記憶される。
[0068]
 脅威発生モデルDB22は、各部11,12,14~19から読出/書込可能な不揮発性の記憶部であり、例えば、後述する脅威発生モデル情報、などが適宜、記憶される。
[0069]
 脅威評価指標DB23は、各部11,12,14~19から読出/書込可能な不揮発性の記憶部であり、例えば、後述する文書データ、脅威分析結果データ、などが適宜、記憶される。
[0070]
 セキュリティ対策機能評価指標DB24は、各部11,12,14~19から読出/書込可能な不揮発性の記憶部であり、例えば、後述する十分条件評価パラメータ、対策機能評価パラメータ、十分条件表雛形情報、対策雛形情報、回復十分条件表雛形情報、回復対策雛形情報、などが適宜、記憶される。
[0071]
 回復モデルDB25は、各部11,12,14~19から読出/書込可能な不揮発性の記憶部であり、例えば、後述する回復モデル情報などが適宜、記憶される。
[0072]
 なお、各DB21~25は、全てのDB21~25を含む単一のDBとしてもよく、各DB21~25のうちの任意の組合せからなる複数のDBとしてもよい。また、データベース部20は、セキュリティ対策機能評価装置10の外部にある記憶装置に限らず、セキュリティ対策機能評価装置10内の記憶装置として実現してもよい。
[0073]
 次に、以上のように構成されたセキュリティ対策機能評価装置の動作を図2乃至図40を用いて説明する。
[0074]
 (初期設定)
 初期設定部12は、セキュリティ保護対象資産情報や各種の雛形情報をデータベース部20に書き込む。この書き込み動作は、セキュリティ保護対象資産情報、各種の雛形情報、評価パラメータなどを含むセキュリティ対策機能評価プログラムのインストール時に1回だけ実行される。なお、各種の雛形情報は、未記入状態の各種の情報を意味するので、未記入状態の当該情報と読み替えてもよい。例えば「十分条件表雛形情報」は「未記入状態の十分条件表情報」と読み替えてもよい。
[0075]
 続いて、書き込み動作を具体的に説明する。 
 初期設定部12は、図2に示すように、情報処理機器の物理的本体、情報処理機器の機能、及び情報処理機器に保存されたデータ、を個別に示すセキュリティ保護対象資産情報と、各セキュリティ保護対象資産情報に個別に関連付けられたセキュリティ状態ID及び状態情報からなる複数のセキュリティ状態情報とをデータベース部20の保護対象資産DB21に書き込む。
[0076]
 補足すると、セキュリティ保護対象資産は、情報処理機器の物理的本体、情報処理機器の機能、情報処理機器に保存されたデータ、のいずれかに分類される。これら情報処理機器の物理的本体、情報処理機器の機能、及び情報処理機器に保存されたデータは、互いに独立であり、包含関係をもたない。
[0077]
 情報処理機器は、電子データを情報処理(例、記憶処理、加工処理及び/又は演算処理)する機器であり、例えば、パーソナルコンピュータ(以下、パソコンという)、モバイルパソコン、携帯電話、サーバ、家庭電化製品(以下、家電製品ともいう)、ゲーム機器、スマートカード、スマートカード発行機器、ICチップ、情報発信機器、ネットワーク機器等といった任意の情報処理装置が該当する。
[0078]
 情報処理機器の物理的本体は、図2に示すように、CPU、記憶装置、入出力デバイス等のハードウェア資源を有し、物理的に存在するものを意味する。
[0079]
 情報処理機器の機能は、図2に示すように、OS、BIOS等ファームウェア、コマンドライブラリ、各種アプリケーションなどと、これらを実行するために必要な設定情報とからなり、情報処理機器のハードウェアで実行可能な処理手順及び/又は命令を含むようなソフトウェアを意味する。
[0080]
 情報処理機器に保存されたデータとは、図2に示すように、個人情報、音楽データ、業務関係情報、送受信メールなどのデータを意味する。
[0081]
 また、初期設定部12は、セキュリティ状態が安全な状態から危険な状態又は被害発生状態に遷移する原因である脅威の実施者及び実行条件の情報を含む脅威情報を含んだ文書データをデータベース部20の脅威評価指標DB23に書き込む。
[0082]
 さらに、初期設定部12は、図3に示すように、任意の対策方針を実行する十分条件に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む十分条件評価パラメータと、任意のセキュリティ対策機能に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む対策機能評価パラメータとをデータベース部20のセキュリティ対策機能評価指標DB24に書き込む。なお、図3中、十分条件評価パラメータ及び対策機能評価パラメータは、それぞれ評価パラメータ表に含まれているが、これに限らず、十分条件評価パラメータ及び対策機能評価パラメータを別々に分けてもよい。また、ここに挙げた“時間”とは、例えば情報処理機器の起動に要する時間を指している。
[0083]
 また、初期設定部12は、図4に示すように、脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報が入力される対策方針領域と、当該対策方針情報の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を十分条件評価パラメータに関連付けて列挙した選択領域及び選択領域で選択された選択肢に応じた点数が十分条件評価パラメータに基づいて記述される点数領域とを含む十分条件表雛形情報をデータベース部20のセキュリティ対策機能評価指標DB24に書き込む。
[0084]
 さらに、初期設定部12は、図5に示すように、セキュリティ対策機能の製品を特定する対策名が入力される対策名領域と、当該対策名により特定される製品のセキュリティ対策機能の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を対策機能評価パラメータに関連付けて列挙した選択領域及び選択領域で選択された選択肢に応じた点数が対策機能評価パラメータに基づいて記述される点数領域とを含む対策雛形情報をデータベース部20のセキュリティ対策機能評価指標DB24に書き込む。
[0085]
 また、初期設定部12は、図6及び図7に示すように、回復対策方針を示す回復機能要件情報が記述される回復対策方針領域と、当該回復対策方針領域内の回復機能要件情報を実現するための十分条件に関し、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報が入力される十分条件領域とを含む回復十分条件表雛形情報をデータベース部20のセキュリティ対策機能評価指標DB24に書き込む。なお、ログの種類は、対象、位置、ユーザ、時間及び保存先などがある。
[0086]
 さらに、初期設定部12は、図8に示すように、セキュリティ対策機能の製品を特定する対策名が入力される対策名領域と、当該対策名により特定される製品のセキュリティ対策機能に関し、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報を選択肢として示す選択領域とを含む回復対策雛形情報をデータベース部20のセキュリティ対策機能評価指標DB24に書き込む。なお、選択肢としての回復十分条件情報は、前述した回復十分条件表雛形情報に入力された回復十分条件情報が用いられる。ログの種類は、前述同様に、対象、位置、ユーザ、時間及び保存先などがある。
[0087]
 (脅威発生モデル情報の作成処理:図9)
 セキュリティ対策機能評価装置10においては、評価者による入力部11の操作により、セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令を入力部11が受け付けると、この選択命令に基づいて、脅威モデル作成部14がデータベース部20の保護対象資産DB21からセキュリティ保護対象資産情報を選択し(ST11)、当該セキュリティ保護対象資産情報を表示部19に送出する。
[0088]
 表示部19は、このセキュリティ保護対象資産情報を表示する。セキュリティ保護対象資産には、情報処理機器の物理的本体、情報処理機器の機能、情報処理機器に保存されたデータ、の3種類がある。
[0089]
 セキュリティ保護対象資産情報の表示中、脅威モデル作成部14は、評価者の操作により、セキュリティ状態IDを入力部11が受け付けると、このセキュリティ状態IDに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報をデータベース部20の保護対象資産DB21から抽出する(ST12)。
[0090]
 ここで、各セキュリティ状態の妥当性、独立性は、遷移元の状態から遷移先の状態に遷移するための、ユニークな特徴を持つ脅威が存在するという条件で確認している。
[0091]
 脅威モデル作成部14は、抽出したセキュリティ状態情報のセキュリティ状態IDを表示部19に送出する。表示部19は、このセキュリティ状態IDを表示する。
[0092]
 脅威モデル作成部14は、評価者の操作により、表示中のセキュリティ状態ID毎に、安全、危険又は被害発生のグループの指定を入力部11が受け付けると、この指定に基づいて、各セキュリティ状態を、安全、危険又は被害発生、のいずれかのグループに分類する(ST13)。各グループは、互いに独立しており、包含関係を持たない。
[0093]
 ここで、「安全」のグループとは、図10に示すように、正当な管理者の管理下に置かれた状態、正当な管理者の元で廃棄された状態、機能の実行が正当な管理者が意図する範囲で正常に実行されている状態、保護対象データが情報処理機器内に存在する状態、の少なくとも一つを含むグループである。
[0094]
 「危険」のグループとは、正当な管理者の管理下にない状態、機能の実行が正当な管理者の意図した範囲を逸脱する可能性のある状態(例、コンピュータウィルスを保有した状態)、保護対象データが正当な管理者以外に閲覧された状態、保護対象データが通信経路上に存在する状態、保護対象データが情報処理機器以外の機器に存在する状態、保護対象データが外部記憶媒体に保存された状態、保護対象データが印刷された状態、の少なくとも一つを含むグループである。
[0095]
 「被害発生」のグループとは、セキュリティ保護対象資産が、破壊(機能を実行できない状態)、盗難、紛失、コンピュータウィルスに感染した状態、正当な管理者が意図している範囲を逸脱した処理が行われた状態、正当な管理者の意図に関係なく他の情報処理機器及びそこに含まれる他者の資産に被害を与えた状態、の少なくとも一つを含むグループである。
[0096]
 いずれにしても脅威モデル作成部14は、分類したグループに応じた形式の外枠情報を、セキュリティ状態IDに付加して表示部19により表示する。なお、分類したグループに応じた形式としては、例えば、実線(安全)、一点鎖線(危険)、点線(被害発生)など、所望の形式が使用可能となっている。
[0097]
 続いて、脅威モデル作成部14は、評価者による入力部11の操作により、表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、安全のグループに応じた形式の外枠情報から危険又は被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に遷移パス情報(第1遷移パス情報)を描画する(矢印を引く)。
[0098]
 また同様に、脅威モデル作成部14は、表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、危険のグループに応じた外枠情報から被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に遷移パス情報(第2遷移パス情報)を描画する(矢印を引く)(ST14)。
[0099]
 ステップST14で描画する遷移パス情報は、「安全」から「危険」に至る方向、「危険」から「被害発生」に至る方向、「安全」から「被害発生」に至る方向、の3種類の方向の矢印のみとする。なお、この遷移パス情報の方向は3種類のみであるが、矢印の線種は任意の種類(例、実線、破線、一点鎖線、太線など)を使用可能となっている。
[0100]
 脅威モデル作成部14は、評価者による入力部11の操作により、存在する可能性のある脅威を示す脅威情報を脅威評価指標DB23内の文書データから抽出する(ST15)。ここで、脅威とは、安全状態から離れる向きに、セキュリティ状態間の遷移を促す力、すなわち安全状態から離れる向きの、セキュリティ状態間の遷移の原因を意味している。脅威情報は、脅威を記述したテキストデータであり、脅威の実施者及び実行条件を未整理の状態で含んでいる。文書データは、経験則や実際に発生したセキュリティ問題や攻撃例などの文書を電子化したデータである。
[0101]
 脅威モデル作成部14は、評価者による入力部11の操作により、表示中のいずれかの遷移パス情報と、脅威情報との指定の入力を受け付けると、この指定に基づいて、当該遷移パス情報と当該脅威情報とを関連付ける(ST16)。しかる後、脅威モデル作成部14は、脅威情報が関連付けられなかった遷移パス情報を削除する。
[0102]
 これにより、脅威モデル作成部14は、図11、図12又は図13に示すように、互いに関連付けられた複数のセキュリティ状態情報、外枠情報、各遷移パス情報及び脅威情報からなる脅威発生モデル情報を作成する。脅威発生モデル情報は表示部19により表示される。
[0103]
 また、脅威モデル作成部14は、この脅威発生モデル情報と、ステップST12で抽出したセキュリティ状態情報とに基づき、遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報及び脅威情報を互いに関連付けた脅威分析途中データを作成し、この脅威分析途中データを表示部19により表示する。但し、この段階では、脅威情報は未整理の状態にある。
[0104]
 脅威分析途中データの表示中に、脅威モデル作成部14は、評価者による入力部11の操作により、当該脅威分析途中データ内の脅威情報における脅威の実施者及び実行条件の指定の入力を受け付けると、この指定に基づいて、図14及び図15に示すように、脅威情報から脅威の実施者(誰が(Who))及び脅威が効力を持つための実行条件(どうやって(How))の情報を抽出して整理する(ST17)。
[0105]
 これにより、脅威モデル作成部14は、脅威分析途中データ内の遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報、及び抽出した脅威の実施者及び実行条件の情報を互いに関連付けた脅威分析結果データを作成する。
[0106]
 また、情報処理機器の機能の場合には、脅威の実施者及び実行条件の情報に加え、ネットワーク条件を整理することにより、脅威モデル作成部14は、脅威分析途中データから脅威分析結果データを作成する。ネットワーク条件は、送受信可能なネットワークの場合(ON:オン)か、又はネットワークの有無に無関係の場合(any:エニイ)かを表している。ここで、「ネットワークの有無」とは、「ネットワークに接続されているか否か」を意味している。また、「ネットワークの有無に無関係な場合」とは、「ネットワークとの接続に依存しない場合」、すなわち、「ネットワークに接続していてもしていなくても構わない場合」を意味している。ステップST17における整理は、ネットワーク条件の指定内容又は指定値によらず、複数の脅威情報間で脅威の実施者と実行条件が同一であれば、当該複数の脅威情報を同一の脅威情報であるとみなすことを意味する。脅威分析結果の各遷移パスにおける脅威の実施者と実行条件との組合せは、互いに独立しており、包含関係を持たない。
[0107]
 ステップST17の整理が完了すると、脅威モデル作成部14は、図14及び図15に示した如き、脅威分析結果データを脅威評価指標DB23に保存する。
[0108]
 また、脅威モデル作成部14は、図11、図12及び図13に示した如き、脅威発生モデル情報を脅威発生モデルDB22に保存する。
[0109]
 (セキュリティ対策機能の評価処理)
 (準備:十分条件表情報の作成処理)
 セキュリティ対策機能評価装置10においては、評価者による入力部11の操作により、評価点数算出部15が、図4に示した如き、対策方針領域、選択領域及び点数領域が未記入の十分条件表雛形情報をセキュリティ対策機能評価指標DB24から読み出し、この十分条件表雛形情報を表示部19に表示する。
[0110]
 十分条件表雛形情報の表示中、評価点数算出部15は、評価者による入力部11の操作により、脅威分析結果データ内の脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報の入力を受け付けると、この対策方針情報を十分条件表雛形情報の対策方針領域に書き込む。
[0111]
 また、評価点数算出部15は、評価者による入力部11の操作により、対策方針領域に書き込まれた対策方針情報の実行(例、動作タイミング、時間、…等の条件)及び実行のための機能名に関し、選択領域内のいずれかの選択肢(例、定期(動作タイミングの項目)、無関係(時間の項目)、…)が指定されると、当該指定された選択肢を当該選択領域内で選択する。なお、条件や機能名の各項目は、互いに独立しており、包含関係を持たない。また、評価点数算出部15は、評価者による入力部11の操作により、十分条件表の項目をも変更してもよい。
[0112]
 選択肢が選択されると、評価点数算出部15は、セキュリティ対策機能評価指標DB24内の十分条件評価パラメータに基づいて、当該選択領域で選択された選択肢に対応する点数を点数領域に記述する。
[0113]
 これにより、脅威に対抗してセキュリティ対策機能が満たすべき機能や条件とその点数とを関連付けたものとして、図16、図17及び図18に示すように、対策方針情報が入力された対策方針領域、選択肢が選択された選択領域、及び点数が記述された点数領域を含む十分条件表情報が作成される。
[0114]
 十分条件表情報は、脅威分析結果内の実行条件を抑止するための対策方針毎に、不特定のセキュリティ対策機能が満たすべき機能や条件の項目に関し、満たすべき十分条件を選択して点数化した表形式の情報である。
[0115]
 評価点数算出部15は、評価者による入力部11の操作により、十分条件表情報をセキュリティ対策機能評価指標DB24に保存する。
[0116]
 続いて、以下の評価処理においては、各製品を特定したセキュリティ対策機能が、任意のセキュリティ対策機能に関する十分条件表情報を根拠として評価される。
[0117]
 (評価処理:図19)
 セキュリティ対策機能評価装置10においては、評価者による入力部11の操作により、対策雛形情報を指定した読出命令を入力部11が受け付けると、この読出命令に基づいて、評価点数算出部15がセキュリティ対策機能評価指標DB24から対策雛形情報を読み出し、図5に示した如き、対策名、対象、各機能の選択結果及び点数を未記入状態とした対策雛形情報を表示部19により表示する。
[0118]
 対策雛形情報の表示中、評価点数算出部15は、評価者による入力部11の操作により、評価対象のセキュリティ対策機能を示す対策名の入力を受け付けると、この対策名を対策雛形情報内の対策名領域に書き込む(ST21)。対象も同様にして対象領域に書き込まれる。
[0119]
 また、評価点数算出部15は、対策名領域に書き込まれた対策名の実行及び実行のための機能名に関し、評価者による入力部11の操作により、対策雛形情報の選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する(ST22)。この選択された選択肢は、セキュリティ対策機能の特徴を表している。
[0120]
 評価点数算出部15は、セキュリティ対策機能評価指標DB24内の対策機能評価パラメータに基づいて、対策雛形情報の選択領域内で選択された選択肢に対応する点数を、当該対策雛形情報の点数領域に記述する。これにより、セキュリティ対策機能を示す対策名及び対象に対し、機能や条件の項目毎に、点数が付けられたものとして、図20に示すように、対策名が入力された対策名領域、選択肢が選択された選択領域、及び点数が記述された点数領域を含む対策情報が作成される。評価点数算出部15は、この対策情報をデータベース部20内のセキュリティ対策機能評価指標DB24に書き込む。
[0121]
 また、評価点数算出部15は、図21に示すように、対策情報内及び十分条件表情報内の互いに同一の項目における点数領域に関し、当該対策情報内の点数から十分条件表情報内の点数を引いた差分を算出して計算表の差分欄に記入する。
[0122]
 評価点数算出部15は、この差分が0以上の値であれば評価結果を正の値の点数とし、差分が負の値であれば評価結果を0値の点数として、対策情報内及び十分条件表情報内の互いに同一の項目毎に、評価結果の点数を計算表の評価結果欄に記入する(ST23)。この例では、差分が0以上の値における評価結果の正の値を“1”点としている。すなわち、この例では、対策方針の十分条件が必須であるのに、対策機能が十分条件を満たさない場合には評価結果を“0”点とし、他の場合には評価結果を“1”点とするような評価結果の算出方法を用いている。但し、評価結果の正の値は、“1”点に限らず、任意の重み付け値としてもよい。すなわち、評価点数算出部15は、評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数としてもよい。
[0123]
 さらに、評価点数算出部15は、図22に示すように、各対策方針情報の機能毎に評価結果の点数の平均値を算出して計算表の平均値欄に記入し、全ての平均値を積算して評価点数を算出し(ST24)、この評価点数を計算表の評価点数欄に記入する。平均値の算出過程においては、評価結果の点数に重み付けをしてもよく、所望の評価結果の点数を平均値の算出式から除いてもいい。
[0124]
 いずれにしても、評価点数算出部15は、セキュリティ対策機能の評価点数を、対策方針情報毎に算出する。
[0125]
 (シミュレーション演算)
 (準備1:遷移パラメータの設定)
 セキュリティ対策機能評価装置10においては、評価者による入力部11の操作により、遷移確率算出部16が、情報処理機器にセキュリティ対策機能を施す前の場合に関し、脅威分析結果データに基づいて、同一の遷移元のセキュリティ状態情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する。
[0126]
 例えば図14及び図24に示すように、同一の遷移元のセキュリティ状態情報“P1”の個数“16”を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報“P7”の個数“8”を分子の値とし、当該分子の値“8”を当該分母の値“16”で除算することにより、対策前遷移確率“0.5”を算出する。
[0127]
 同様に、遷移確率算出部16は、評価者による入力部11の操作により、情報処理機器にセキュリティ対策機能を施した後の場合に関し、対策前遷移確率の算出に用いた分子の値から評価点数を減算して当該分子の値を修正し、この修正した分子の値を上記分母の値で除算することにより、対策後遷移確率を算出する。
[0128]
 例えば図23及び図25に示すように、対策前遷移確率の算出に用いた分子の値“8”から評価点数“1”を減算して当該分子の値を修正し、この修正した分子の値“7”を上記分母の値“16”で除算することにより、対策後遷移確率“0.4375”を算出する。
[0129]
 ここで、このような遷移確率を算出する工程について詳しく述べる。 
 始めに、セキュリティ対策機能評価装置10においては、評価者による入力部11の操作により、遷移確率算出部16が、脅威発生モデルDB22及びセキュリティ対策機能評価指標DB24を参照しながら、遷移パラメータを設定する。
[0130]
 遷移パラメータは、図23に示すように、遷移元のセキュリティ状態IDa1、遷移先のセキュリティ状態IDa2、遷移を促す脅威(対策前)の数(=“脅威の実施者及び実行条件の情報”の個数)に基づく遷移し易さの値a3、遷移を促す脅威(対策後)の数(=“脅威の実施者及び実行条件の情報”の個数)に基づく遷移し易さの値a4、遷移を促す脅威(回復時)の数に基づく遷移し易さの値a5、評価点数の和a6及び回復の本数a7を含んでいる。
[0131]
 遷移し易さの値a3としては、脅威発生モデルDB22内の脅威発生モデル情報に基づいて、遷移しない場合に「0」が設定され、無条件で遷移する場合には「1」を単位とした“脅威の実施者及び実行条件の情報”の個数が設定される。例えば、図23中、遷移元のセキュリティ状態ID“P1”から遷移先のセキュリティ状態ID“P5”に遷移する場合、遷移し易さの値a3は、“2”である。これは、図14等に示すように、2個の“脅威の実施者及び実行条件の情報”の分だけ遷移し易いことを示している。
[0132]
 対策後の遷移し易さの値a4のうち、安全状態に留まる場合(遷移元の状態a1と遷移先の状態a2が共にP1の場合)の値(3.5)は、対策前のa3の値(1)に対し、評価点数の和a6を合計した値(2.5=1+1.5)を足した値(3.5=1+2.5)である。すなわち、対策後の遷移し易さの値a4のうち、安全状態に留まる場合の値は、対策による脅威の抑制効果の分だけ安全状態に留まる確率が増えることを反映している。
[0133]
 対策後の遷移し易さの値a4のうち、遷移する場合の値は、対策前の値a3に対し、評価点数の和a6を減算した値である。
[0134]
 遷移し易さの値a5としては、回復モデルDB25内の回復モデル情報に基づいて、遷移しない場合に「0」が設定され、無条件で遷移する場合には「1」を単位とした情報の個数が設定される。
[0135]
 評価点数の和a6は、各々の対策名における評価点数を対策方針毎に合計した値が設定される。例えば、別々の対策名をもつ2つの製品を同時に用いた場合、2つの対策名に関して対策方針毎に算出した2通りの評価点数を、それぞれ対策方針毎に加算した値(2つの製品間の対策方針毎の評価点数の合計値)が設定される。
[0136]
 (準備2:遷移確率の計算)
 遷移パラメータの設定後、遷移確率算出部16は、遷移パラメータに基づいて、遷移確率を計算する。
[0137]
 図24は図23の対策前の遷移パラメータによる遷移確率の計算表を示す模式図である。遷移確率の計算表は、遷移元のセキュリティ状態IDb1、遷移先のセキュリティ状態IDb2、遷移の割合b3、遷移確率の分子b4、遷移確率の分母b5、遷移確率b6、遷移確率(累計値)b7、パス通過回数b8及びパス通過確率b9を含んでいる。
[0138]
 図24では、現実には存在しないが、セキュリティ状態が安全である状態のみに遷移する状態を起点状態P0として仮定し、この起点状態P0をシミュレーションの初期状態として遷移元のセキュリティ状態IDb1の一部に設定している。
[0139]
 遷移確率b6の値は、ある遷移元のセキュリティ状態IDb1から1つ以上の異なる遷移先のセキュリティ状態IDb2への遷移パス情報が存在するとき、それぞれの遷移先のセキュリティ状態IDb2に移動する確率として、各セキュリティ状態IDb1,b2間の“脅威の実施者及び実行条件の情報”の個数に基づく遷移の割合b3から算出される。
[0140]
 具体的には、遷移の割合b3は、図23に示す如き、脅威(対策前)の数(=“脅威の実施者及び実行条件の情報”の個数)に基づく遷移のし易さの値a3がコピーされている。値a3のコピーは遷移確率の分子b4にも同様に行われている。
[0141]
 遷移確率の分母b5の値は、遷移元のセキュリティ状態IDb1が同一の値である行における遷移確率の分子b4の値を合計した合計値が入力されている。
[0142]
 例えば、遷移元のセキュリティ状態IDb1が「P0」の行は2行存在し、これらの遷移確率の分子b4の値の合計値2が、それぞれの遷移確率の分母b5の値として入力されている。
[0143]
 遷移確率b6の値には、遷移確率の分子b4の値を、遷移確率の分母b5の値で除算した除算結果が入力されている。
[0144]
 まとめると、遷移確率b6の値は、ある一組の遷移元と遷移先のセキュリティ状態IDに関する“脅威の実施者及び実行条件の情報”の個数(一組分のb3の値)を、当該遷移元のセキュリティ状態IDをもつ複数組の遷移元と遷移先のセキュリティ状態IDに関する“脅威の実施者及び実行条件の情報”の個数(複数組分のb3の値)の合計値(b4の値)で除算した値である。
[0145]
 遷移確率(累計値)b7には、遷移元のセキュリティ状態IDb1が同一の値である行の遷移確率b6を累計した結果が入力されている。
[0146]
 図25は図23の対策後の遷移パラメータによる遷移確率の計算表を示す模式図であり、図24に比べ、各値b3’~b9’が対策後の値となっている。
[0147]
 例えば遷移確率b6’は、ある遷移元のセキュリティ状態IDb1から1つ以上の異なる遷移先のセキュリティ状態IDb2への遷移パス情報が存在するとき、それぞれの遷移先のセキュリティ状態IDb2に移動する確率として、各セキュリティ状態IDb1,b2間の“脅威の実施者及び実行条件の情報”の個数に基づく遷移の割合b3とは異なり、各セキュリティ状態IDb1,b2間の“脅威の実施者及び実行条件の情報”の個数から対策機能の効果(評価点数)を減算した値に基づく遷移の割合b3’から算出される。対策前の“脅威の実施者及び実行条件の情報”の個数を対策機能の効果が上回る場合には、遷移しない“0”という値の遷移の割合b3’から算出される。
[0148]
 具体的には、対策後の遷移の割合b3’は、図23に示す如き、脅威(対策後)の数(=“脅威の実施者及び実行条件の情報”の個数)に基づく遷移のし易さの値a4がコピーされている。値a4のコピーは遷移確率の分子b4’にも同様に行われている。
[0149]
 遷移確率の分母b5’、遷移確率b6’及び遷移確率(累計値)b7’は、前述した対策前の値b5,b6,b7をそれぞれ対策後の値b5’,b6’,b7’としたものである。
[0150]
 いずれにしても、遷移確率は、遷移確率算出部16により算出される。 
 しかる後、遷移確率算出部16は、対策前遷移確率と対策後遷移確率とを表示部19により表示する。
[0151]
 また、遷移確率算出部16は、図24及び図25に示す遷移確率の算出により、セキュリティ対策前の遷移確率b6と、セキュリティ対策後の遷移確率b6’とを遷移パス情報(b1-b2間)毎に比較し、対策前後の遷移確率の減少度合に応じて、セキュリティ対策機能の効果と有効性を判定することができる。
[0152]
 さらに、遷移確率算出部16は、遷移元のセキュリティ状態情報及び遷移先のセキュリティ状態情報の組のうちの互いに同一の組毎に比較するように、対策前遷移確率と対策後遷移確率とをレーダーチャート又は棒グラフ等の任意の視覚表現により表示部19に表示することができる。
[0153]
 (シミュレーション処理:図26)
 セキュリティ対策機能評価装置10においては、評価者による入力部11の操作により、シミュレーション実行部17が、例えば1000回といったシミュレーション試行回数を記憶部13に設定する(ST31)。試行回数が多いほど、シミュレーションにより得られた遷移確率と、算出した遷移確率との誤差が少なくなる。
[0154]
 シミュレーション実行部17は、評価者による入力部11の操作により、例えば4回といった遷移ステップ数の上限値を記憶部13に設定する(ST32)。遷移ステップ数の上限値は、起点状態P0からいずれかの最終到達状態に遷移するまでに用いる遷移パス情報の数の最大値(以下、最大遷移パス情報の数という)に一致させる。例えば、図11に示す脅威発生モデル情報では、図示しない起点状態P0から状態P1,P2,P5を介して最終到達状態P6に遷移するまでに4つの遷移パス情報を用いる場合が最大であり、最大遷移パス情報の数が4となる。
[0155]
 以後、シミュレーション実行部17は、ステップST33-ST41までのシミュレーション処理を遷移ステップ数の上限値に到達するまで、繰り返し実行する。
[0156]
 シミュレーション実行部17は、0以上1以下の乱数を生成する(ST33)。
[0157]
 1度目の試行においては、シミュレーション実行部17は、セキュリティ対策機能評価指標DB24内の「対策前の遷移確率の計算表」を参照し、当該計算表における遷移元のセキュリティ状態が起点状態P0である場合の遷移確率(累計)の値と乱数とを比較し、遷移確率の値が乱数未満か否かを判定する(ST34)。2度目以降の試行においては、シミュレーション実行部17は、前述した「対策前の遷移確率の計算表」における遷移元のセキュリティ状態がシミュレーション実行後の遷移先の状態である場合の遷移確率の値を用いる。判定の結果、遷移確率(累計)の値が乱数以上の場合、シミュレーション実行部17は、再度ステップST34の処理に戻る。
[0158]
 ステップST34の判定の結果、遷移確率(累計)の値が乱数未満の場合、シミュレーション実行部17は、その遷移先状態を、次の遷移先状態と定める(ST35)。
[0159]
 シミュレーション実行部17は、遷移元状態の「パス通過回数」を一回カウントして(ST36)、前述した計算表における当該遷移元状態のパス通過回数b8の値を+1だけ増加させる。
[0160]
 以後、シミュレーション実行部17は、ステップST37-ST41の処理をシミュレーション試行回数分だけ繰り返す。
[0161]
 シミュレーション実行部17は、0以上1以下の乱数を生成する(ST37)。
[0162]
 シミュレーション実行部17は、前述した「対策前の遷移確率の計算表」における現在の遷移元状態の遷移確率(累計)の値と乱数を比較し、遷移確率の値が乱数未満か否かを判定する(ST38)。判定の結果、遷移確率(累計)の値が乱数以上の場合、再度ステップST38の処理に戻る。
[0163]
 シミュレーション実行部17は、ステップST38の判定の結果、遷移確率(累計)の値が乱数未満の場合、その遷移先状態を、次の遷移先状態と定める(ST39)。
[0164]
 シミュレーション実行部17は、遷移元状態の「パス通過回数」を一回カウントして(ST40)、前述した計算表における当該遷移元状態のパス通過回数b8の値を+1だけ増加させる。
[0165]
 シミュレーション実行部17は、遷移元状態と遷移先状態とが同一の場合、遷移元状態の「自己遷移回数」を一回カウントする(ST41)。
[0166]
 シミュレーション実行部17は、ステップST36,ST40,ST41でカウントした回数の合計値がステップST32で設定した遷移ステップ数の上限値に到達したか否かを判定し(ST42)、当該合計値が遷移ステップ数の上限値に到達しない場合にはステップST37に戻る。
[0167]
 ステップST42の判定の結果、上限値に到達した場合、シミュレーション実行部17は、上限値に到達したときの状態(最終到達状態)に到達した回数(最終到達状態の最終到達回数)の値を+1だけ更新し、各最終到達状態の最終到達回数の合計値がステップST31で設定した試行回数を満たすか否かを判定し(ST43)、試行回数を満たさない場合にはステップST33に戻る。
[0168]
 ステップST43の判定の結果、試行回数を満たした場合、シミュレーション実行部17は処理を終了する。
[0169]
 図27は対策前のシミュレーション結果の一例を示す模式図である。図示するように、セキュリティ状態c1毎に、最終到達回数(その状態が最終到達点となった試行の数)c2、最終到達確率c3、状態c1を通過した通過回数c4、通過確率c5、自己遷移回数c6、自己遷移確率(計測値)c7がシミュレーション結果として作成される。
[0170]
 ここで、通過確率c5及び自己遷移確率c7は、それぞれ次式のように算出される。 
通過確率c5=通過回数c4/(最終到達回数c2の合計値) 
自己遷移確率c7=自己遷移回数c6/(通過回数c4+自己遷移回数c6-最終到達回数c2) 
 また、最終到達回数c2の合計値は、ステップST31で設定される試行回数と同じ値である(最終到達回数c2の合計値=試行回数)。
[0171]
 ステップST31で設定される試行回数にステップST32で設定される上限値を乗じた値は、通過回数c4の合計値と自己遷移回数c6の合計値とを合計した値である(試行回数×上限値=通過回数c4の合計値+自己遷移回数c6の合計値)。
[0172]
 自己遷移確率(理論値)c8は、比較用に図24の遷移確率b6がコピーされた値であり、自己遷移確率(計測値)c7との誤差により、シミュレーション試行回数の妥当性を判断する目安に用いられる。
[0173]
 図28は対策後のシミュレーション結果の一例を示す模式図であり、図27に示した各値に比べ、各値c2’~c8’が対策後の値となっている。
[0174]
 例えば、自己遷移確率(理論値)c8’は、比較用に図25の遷移確率b6’がコピーされた値であり、自己遷移確率(計測値)c7’との誤差により、シミュレーション試行回数の妥当性を判断する目安に用いられる。
[0175]
 シミュレーション実行部17は、図27又は図28のような表形式に限らず、図29のような視覚表現により、シミュレーション結果を表示部19に表示することができる。このシミュレーション結果は、図28における最終到達状態c1、最終到達確率c3’、自己遷移確率c7’、及び遷移パスの遷移確率b6’に基づいて、丸い枠線内の状態(c1)と数値(c3’)、丸い枠線の半径(c3’)、丸い枠線の種類(c7’)及び遷移パスの矢印線(c7’)が描画されている。但し、シミュレーション結果は、図29のような表示に限らず、レーダーチャート又は棒グラフなどの任意の視覚表現により表示してもよい。また、シミュレーション実行部17は、セキュリティ対策機能の効果がある場合とない場合とに関し、シミュレーション結果を比較した値を用いて、図29のような表示、レーダーチャート又は棒グラフなどの任意の視覚表現により表示部19に表示してもよい。
[0176]
 (回復モデル情報の作成処理:図30)
 セキュリティ対策機能評価装置10は、前述した脅威発生モデル情報の作成とそれに基づく遷移確率の計算に限らず、回復モデル情報の作成とそれに基づく遷移確率の計算をも実行することができる。
[0177]
 セキュリティ対策機能評価装置10においては、評価者による入力部11の操作により、セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令を入力部11が受け付けると、この選択命令に基づいて、回復モデル作成部18がデータベース部21の保護対象資産DB21からセキュリティ保護対象資産情報を選択し(ST51)、当該セキュリティ保護対象資産情報を表示部19により表示する。
[0178]
 このセキュリティ保護対象資産情報の表示中、回復モデル作成部18は、評価者の操作により、セキュリティ状態IDの入力を受け付けると、このセキュリティ状態IDに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報を脅威発生モデルDB22内の脅威発生モデル情報から抽出する(ST52)。
[0179]
 回復モデル作成部18は、抽出したセキュリティ状態情報のセキュリティ状態IDを表示部19により表示する。この時点では、外枠情報の無い状態でセキュリティ状態IDが表示される。
[0180]
 回復モデル作成部18は、評価者の操作により、表示中のセキュリティ状態ID毎に、安全、危険又は被害発生のグループの指定の入力を入力部11が受け付けると、この指定に基づいて、各セキュリティ状態を、安全、危険、被害発生、のいずれかのグループに分類する(ST53)。
[0181]
 回復モデル作成部18は、分類した各グループに応じた形式の外枠情報を、表示中のセキュリティ状態IDに付加して表示部19により表示する。外枠情報は、前述同様に、実線(安全)、一点鎖線(危険)、点線(被害発生)等の任意の形式が使用可能となっている。
[0182]
 続いて、回復モデル作成部18は、評価者による入力部11の操作により、表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、危険又は被害発生のグループに応じた形式の外枠情報からそれぞれ安全のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に遷移パス情報(第3遷移パス情報)を描画する(矢印を引く)(ST54)。この遷移パス情報は、「危険」から「安全」へ、「被害発生」から「安全」へ、の2種類の方向の矢印のみとする。遷移パス情報は、回復機能に対応している。回復機能とは、安全状態となる向きに、セキュリティ状態間の遷移を促す効果を持つセキュリティ対策機能を意味している。なお、回復機能に対応する遷移パス情報の方向は2種類のみであるが、前述同様に、矢印の線種は任意の種類(例、実線、破線、一点鎖線、太線など)を使用可能となっている。
[0183]
 遷移パス情報を描画した後、回復モデル作成部18は、評価者による入力部11の操作により、表示中の遷移パス情報毎に、“PR1;情報処理機器を取り戻す”といった回復対策方針を示す回復機能要件情報の入力を受け付けると、当該遷移パス情報と当該回復機能要件情報とを関連付ける(ST55)。
[0184]
 なお、回復機能要件情報は、遷移元のセキュリティ状態情報と、遷移先のセキュリティ状態情報とを比較した結果、遷移元のセキュリティ状態情報に対応するセキュリティ保護対象資産に不足しているとみなされた機能要件を示す。換言すると、回復機能要件情報は、安全状態となる方向に遷移を促す対策方針の実行に必要な機能要件であり、危険状態又は被害発生状態のセキュリティ保護対象資産に付加することにより、当該セキュリティ保護対象資産を安全状態に遷移可能とするような機能要件である。回復機能要件は、遷移元と遷移先のセキュリティ状態間において、遷移元のセキュリティ状態に不足しているとみなされた複数の回復機能要件が全く同じであれば、同一の回復機能要件であるとみなされるように整理される(ST56)。この整理は、評価者の入力部11の操作により、回復モデル作成部18が実行する。
[0185]
 いずれにしても、遷移パス情報と回復機能要件情報との関連付けにより、回復モデル作成部18は、図31、図32又は図33に示すように、互いに関連付けられた複数のセキュリティ状態情報、外枠情報、遷移パス情報及び回復機能要件情報からなる回復モデル情報を作成する。回復モデル情報は表示部19により表示される。
[0186]
 次に、回復モデル作成部18は、評価者による入力部11の操作により、図6に示した如き、回復十分条件表雛形情報をデータベース部20のセキュリティ対策機能評価指標DB24から読み出すと、回復モデル情報内の回復機能要件情報を回復十分条件表雛形情報の回復対策方針領域に入力する。
[0187]
 また、回復モデル作成部18は、評価者により入力部11の操作により、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報の入力を受け付けると、この回復十分条件情報を、回復十分条件表雛形情報の十分条件領域に書き込む。
[0188]
 また、回復モデル作成部18は、評価者による入力部11の操作により、図7に示した如き、回復(原因究明)十分条件表雛形情報をデータベース部20のセキュリティ対策機能評価指標DB24から読み出して表示部19により表示する。
[0189]
 回復モデル作成部18は、評価者により入力部11の操作により、原因究明のための対策方針情報の入力を受け付けると、この対策方針情報を回復(原因究明)対策方針領域に入力する。
[0190]
 また、回復モデル作成部18は、評価者による入力部11の操作により、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復(原因究明)十分条件情報の入力を受け付けると、この回復(原因究明)十分条件情報を、回復(原因究明)十分条件表雛形情報の十分条件領域に書き込む。回復(原因究明)十分条件情報は、脅威の痕跡を示す情報である。回復(原因究明)十分条件情報は、複数の回復機能間において、脅威の痕跡を示す情報が全く同じであれば、同じ原因究明の条件であるとみなされ、整理される。子の整理は、前述同様に、評価者の入力部11の操作により、回復モデル作成部18が実行する。
[0191]
 これにより、回復モデル作成部18は、図34及び図35に示す如き、回復対策方針領域と、回復十分条件情報が書き込まれた十分条件領域とを含む回復十分条件表情報をデータベース部20のセキュリティ対策機能評価指標DB24に書き込む。
[0192]
 また、回復モデル作成部18は、回復モデル情報を回復モデルDB25に保存する。
[0193]
 続いて、以下の評価処理においては、前述同様に、各製品を特定したセキュリティ対策機能が、任意のセキュリティ対策機能の回復十分条件表情報を根拠として評価される。
[0194]
 (評価処理)
 セキュリティ対策機能評価装置10においては、評価者による入力部11の操作により、評価対象とするセキュリティ対策機能の指定を含むセキュリティ対策機能の選択命令を入力部11が受け付けると、この選択命令に基づいて、評価点数算出部15がセキュリティ対策機能評価指標DB24から回復対策雛形情報を選択し、図8に示した如き、対策名、ログの種類の各項目(対象、位置、ユーザ、時間、保存先)、追跡機能の対象、バックアップの対象、その他の機能、を未記入状態とした回復対策雛形情報を表示部19により表示する。
[0195]
 回復対策雛形情報の表示中、評価点数算出部15は、評価者による入力部11の操作により、回復対策雛形情報に対する対策名の入力を受け付けると、この対策名を回復対策雛形情報の対策名領域に書き込む。
[0196]
 また、評価点数算出部15は、評価者による入力部11の操作により、回復対策雛形情報内の各項目の選択肢としての回復十分条件情報の指定を受け付けると、この指定された回復十分条件情報を選択する。この選択肢は、セキュリティ対策機能評価指標DB24内の回復十分条件表情報内の回復十分条件情報が使用される。
[0197]
 これにより、評価点数算出部15は、図36に示すように、対策名が入力された対策名領域と、回復十分条件情報が選択された選択領域とを含む回復対策情報をデータベース部20のセキュリティ対策機能評価指標DB24に書き込む。
[0198]
 評価点数算出部15は、図37及び図38に示すように、回復対策情報内及び回復十分条件表情報内の互いに同一の項目に関し、当該回復十分条件表情報内の回復十分条件情報と当該回復対策情報内の回復十分条件情報とが一致すれば評価結果を正の値の点数とし、両者が不一致であれば評価結果を0値の点数として、回復十分条件表情報の回復対策方針領域内の各回復機能要件情報における当該同一の項目毎に、評価結果の点数を記入する。この例では、評価結果の正の値を“1”点としている。但し、評価結果の正の値は、“1”点に限らず、任意の重み付け値としてもよい。すなわち、評価点数算出部15は、評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数としてもよい。
[0199]
 また、評価点数算出部15は、図39に示すように、回復機能要件情報毎に、全ての評価結果の点数を積算して評価点数を算出して評価点数領域に記入する。なお、評価点数の算出過程においては、各評価結果の点数には重み付けをしてもよく、所望の評価結果の点数を評価点数の算出式から除いてもいい。
[0200]
 いずれにしても、評価点数算出部15は、回復機能及び原因究明条件の評価点数を、対策方針領域の回復機能要件情報毎に算出する。
[0201]
 (シミュレーション演算)
 遷移確率算出部16は、回復機能に関し、前述同様に対策前後の遷移確率を計算し、遷移確率に基づくシミュレーション演算を実行することができる。すなわち、遷移確率算出部16は、情報処理機器にセキュリティ対策機能を施す前の場合に関し、回復モデル情報に基づいて、同一の遷移元のセキュリティ状態情報に関連する回復機能要件情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報に関連する回復機能要件情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出することができる。
[0202]
 例えば図31に示すように、同一の遷移元のセキュリティ状態情報“P6”に関連する回復機能要件情報“PR2”の個数“1”を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報“P1”に関連する回復機能要件情報“PR2”の個数“1”を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率“1”を算出することができる。
[0203]
 同様に、遷移確率算出部16は、情報処理機器にセキュリティ対策機能を施した後の場合に関し、この対策前遷移確率の算出に用いた分子の値に評価点数を乗算して当該分子の値を修正し、この修正した分子の値を上記回復機能要件情報の個数としての分母の値で除算することにより、対策後遷移確率を算出することができる。
[0204]
 例えば図31及び図39に示すように、この対策前遷移確率の算出に用いた分子の値“1”に評価点数“0”を乗算して当該分子の値を修正し、この修正した分子の値“0”を上記回復機能要件情報の個数としての分母の値“1”で除算することにより、対策後遷移確率“0”を算出することができる。
[0205]
 また、遷移確率算出部16は、対策前遷移確率と対策後遷移確率とを表示部19により表示する。ここで、遷移確率算出部16は、遷移元のセキュリティ状態情報及び遷移先のセキュリティ状態情報の組のうちの互いに同一の組毎に比較するように、回復モデル情報及び評価点数に基づく対策前遷移確率と対策後遷移確率とをレーダーチャート又は棒グラフにより表示部19に表示してもよい。
[0206]
 また、シミュレーション実行部17は、回復機能に関し、遷移確率の演算結果に基づいて、前述同様にシミュレーション演算を実行できると共に、図40に示すように、シミュレーション結果を表示することができる。
[0207]
 上述したように本実施形態によれば、セキュリティ対策機能の詳細を示す対策情報の各項目が十分条件表情報の各項目を満たすか否かを評価し、各項目の評価結果から評価点数を算出し、評価点数に基づいて遷移確率を算出する構成により、未熟な評価者でも評価対象のセキュリティ対策機能を項目毎に詳細に評価できることから、評価者の熟練度に依存せずに、セキュリティ対策機能の効果を評価することができる。
[0208]
 遷移パス情報毎に、対策前後の遷移確率を算出することにより、対策前後の遷移確率を比較でき、セキュリティ対策機能の効果を定量的に評価することができる。
[0209]
 また、同様の効果をもつセキュリティ対策機能同士を比較することにより、より高い普遍性を有し、情報処理機器の使用目的により適しており、より優秀な方のセキュリティ対策機能を選択するための判断を支援することができる。
[0210]
 さらに、将来にわたって、セキュリティ対策機能の進歩と、脅威の変化とに応じて、セキュリティ対策機能の評価を容易にやり直すことができると共に、過去のセキュリティ対策機能の評価結果との比較をも実現することができる。
[0211]
 また、本実施形態は、情報処理機器に一つのセキュリティ対策機能を施す場合について説明したが、これに限らず、情報処理機器に複数のセキュリティ対策機能を施す場合であっても実施でき、同様の効果を得ることができる。補足すると、情報処理機器に複数のセキュリティ対策機能を施す場合、評価点数算出部15は、当該各セキュリティ対策機能に関し、対策方針情報毎に算出された評価点数を当該対策方針毎に加算して最終的な評価点数を算出することにより、本実施形態を同様に実施して同様の効果を得ることができる。
[0212]
 なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD-ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
[0213]
 また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
[0214]
 また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
[0215]
 さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
[0216]
 また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
[0217]
 尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
[0218]
 また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
[0219]
 なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。

請求の範囲

[請求項1]
 記憶装置であるデータベース部(20)を読出/書込可能であり、情報処理機器に実装されるセキュリティ対策機能を評価するためのセキュリティ対策機能評価装置(10)に対し、前記セキュリティ対策機能評価装置に用いられ、コンピュータ読み取り可能な記憶媒体(M)に記憶されたセキュリティ対策機能評価プログラムであって、
 情報処理機器の物理的本体、情報処理機器の機能、及び情報処理機器に保存されたデータ、を個別に示すセキュリティ保護対象資産情報と、前記各セキュリティ保護対象資産情報に個別に関連付けられたセキュリティ状態ID及び状態情報からなる複数のセキュリティ状態情報とを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第1プログラムコード(12)、
 セキュリティ状態が安全な状態から危険な状態又は被害発生状態に遷移する原因である脅威の実施者及び実行条件の情報を含む脅威情報を含んだ文書データを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第2プログラムコード(12)、
 任意の対策方針を実行する十分条件に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む十分条件評価パラメータと、任意のセキュリティ対策機能に関し、機能の有無、時間、効果、通知範囲、動作タイミング、及び起動への依存度、の項目毎の選択肢及び点数を含む対策機能評価パラメータとを前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第3プログラムコード(12)、
 脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報が入力される対策方針領域と、当該対策方針情報の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を前記十分条件評価パラメータに関連付けて列挙した選択領域及び前記選択領域で選択された選択肢に応じた点数が前記十分条件評価パラメータに基づいて記述される点数領域とを含む十分条件表雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第4プログラムコード(12)、
 前記セキュリティ対策機能の製品を特定する対策名が入力される対策名領域と、当該対策名により特定される製品のセキュリティ対策機能の実行及び実行のための機能名に関し、機能の有無、時間、効果、通知範囲、及び起動への依存度の項目毎の選択肢を前記対策機能評価パラメータに関連付けて列挙した選択領域及び前記選択領域で選択された選択肢に応じた点数が前記対策機能評価パラメータに基づいて記述される点数領域とを含む対策雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第5プログラムコード(12)、
 セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令の入力を受け付けると、この選択命令に基づいて、前記データベース部内のセキュリティ保護対象資産情報を選択する処理を前記セキュリティ対策機能評価装置に実行させるための第6プログラムコード(14)、
 前記選択されたセキュリティ保護対象資産情報を表示する処理を前記セキュリティ対策機能評価装置に実行させるための第7プログラムコード(14)、
 前記セキュリティ保護対象資産情報の表示中、セキュリティ状態IDの入力を受け付けると、このセキュリティ状態IDに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報を前記データベース部から抽出する処理を前記セキュリティ対策機能評価装置に実行させるための第8プログラムコード(14)、
 抽出したセキュリティ状態情報のセキュリティ状態IDを表示する処理を前記セキュリティ対策機能評価装置に実行させるための第9プログラムコード(14)、
 表示中のセキュリティ状態ID毎に、安全、危険又は被害発生のグループに関する指定の入力を受け付けると、この指定に基づいて、各セキュリティ状態IDを、安全、危険又は被害発生のいずれかのグループに分類する処理を前記セキュリティ対策機能評価装置に実行させるための第10プログラムコード(14)、
 分類したグループに応じた形式の外枠情報を、表示中のセキュリティ状態IDに付加して表示する処理を前記セキュリティ対策機能評価装置に実行させるための第11プログラムコード(14)、
 表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、前記安全のグループに応じた形式の外枠情報から前記危険又は被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に第1遷移パス情報を描画する処理を前記セキュリティ対策機能評価装置に実行させるための第12プログラムコード(14)、
 表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、前記危険のグループに応じた外枠情報から前記被害発生のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に第2遷移パス情報を描画する処理を前記セキュリティ対策機能評価装置に実行させるための第13プログラムコード(14)、
 表示中の第1又は第2遷移パス情報と、前記脅威情報との指定の入力を受け付けると、この指定に基づいて、当該第1又は第2遷移パス情報と当該脅威情報とを関連付ける処理を前記セキュリティ対策機能評価装置に実行させるための第14プログラムコード(14)、
 前記脅威情報が関連付けられなかった第1又は第2遷移パス情報を削除することにより、互いに関連付けられた複数のセキュリティ状態情報、外枠情報、第1遷移パス情報、第2遷移パス情報及び脅威情報からなる脅威発生モデル情報を作成する処理を前記セキュリティ対策機能評価装置に実行させるための第15プログラムコード(14)、
 前記脅威発生モデル情報に基づいて、遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報及び脅威情報を互いに関連付けた脅威分析途中データを作成して表示する処理を前記セキュリティ対策機能評価装置に実行させるための第16プログラムコード(14)、
 前記脅威分析途中データの表示中に、当該脅威分析途中データ内の脅威情報における脅威の実施者及び実行条件の指定の入力を受け付けると、この指定に基づいて、当該脅威情報から脅威の実施者及び実行条件の情報を抽出する処理を前記セキュリティ対策機能評価装置に実行させるための第17プログラムコード(14)、
 前記脅威分析途中データ内の遷移元のセキュリティ状態情報、遷移先のセキュリティ状態情報、及び前記抽出した脅威の実施者及び実行条件の情報を互いに関連付けた脅威分析結果データを作成する処理を前記セキュリティ対策機能評価装置に実行させるための第18プログラムコード(14)、
 前記脅威分析結果データ内の脅威の実施者及び実行条件の情報に記述された実行条件を抑制するための対策方針情報の入力を受け付けると、この対策方針情報を前記十分条件表雛形情報の対策方針領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第19プログラムコード(15)、
 前記対策方針領域に書き込まれた対策方針情報の実行及び実行のための機能名に関し、前記選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する処理を前記セキュリティ対策機能評価装置に実行させるための第20プログラムコード(15)、
 前記十分条件評価パラメータに基づいて、前記選択領域内で選択された選択肢に対応する点数を前記点数領域に記述する処理を前記セキュリティ対策機能評価装置に実行させるための第21プログラムコード(15)、
 前記対策方針情報が入力された対策方針領域、前記選択肢が選択された選択領域、及び前記点数が記述された点数領域を含む十分条件表情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第22プログラムコード(15)、
 前記対策名の入力を受け付けると、この対策名を前記対策雛形情報内の対策名領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第23プログラムコード(15)、
 前記対策名領域に書き込まれた対策名の実行及び実行のための機能名に関し、前記対策雛形情報の選択領域内のいずれかの選択肢が指定されると、当該指定された選択肢を当該選択領域内で選択する処理を前記セキュリティ対策機能評価装置に実行させるための第24プログラムコード(15)、
 前記対策機能評価パラメータに基づいて、前記対策雛形情報の選択領域内で選択された選択肢に対応する点数を当該対策雛形情報の点数領域に記述する処理を前記セキュリティ対策機能評価装置に実行させるための第25プログラムコード(15)、
 前記対策雛形情報に基づいて作成され、前記対策名が入力された対策名領域、前記選択肢が選択された選択領域、及び前記点数が記述された点数領域を含む対策情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第26プログラムコード(15)、
 前記対策情報内及び前記十分条件表情報内の互いに同一の項目における点数領域に関し、当該対策情報の点数領域の点数から当該十分条件表情報の点数領域の点数を引いた差分を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第27プログラムコード(15)、
 前記差分が0以上の値であれば評価結果を正の値の点数とし、差分が負の値であれば評価結果を0値の点数として、前記対策情報内及び前記十分条件表情報内の互いに同一の項目毎に、評価結果の点数を記入する評価結果点数記入処理を前記セキュリティ対策機能評価装置に実行させるための第28プログラムコード(15)、
 前記各対策方針情報の機能毎に、評価結果の点数の平均値を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第29プログラムコード(15)、
 前記対策方針情報毎に、全ての平均値を積算して評価点数を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第30プログラムコード(15)、
 前記情報処理機器にセキュリティ対策機能を施す前の場合に関し、前記脅威分析結果データに基づいて、同一の遷移元のセキュリティ状態情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第31プログラムコード(16)、
 前記情報処理機器にセキュリティ対策機能を施した後の場合に関し、前記対策前遷移確率の算出に用いた分子の値から前記評価点数を減算して当該分子の値を修正し、この修正した分子の値を前記分母の値で除算することにより、対策後遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第32プログラムコード(16)、
 前記対策前遷移確率と前記対策後遷移確率とを表示する処理を前記セキュリティ対策機能評価装置に実行させるための第33プログラムコード(16)、
 を備えたことを特徴とするセキュリティ対策機能評価プログラム。
[請求項2]
 請求項1に記載のセキュリティ対策機能評価プログラムにおいて、
 回復対策方針を示す回復機能要件情報が記述される回復対策方針領域と、当該回復対策方針領域内の回復機能要件情報を実現するための十分条件に関し、ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報が入力される十分条件領域とを含む回復十分条件表雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第34プログラムコード(12)、
 セキュリティ対策機能の製品を特定する対策名が入力される対策名領域と、当該対策名により特定される製品のセキュリティ対策機能に関し、前記ログの種類、追跡機能の対象、及びバックアップ、の項目毎の前記回復十分条件情報を選択肢として示す選択領域とを含む回復対策雛形情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第35プログラムコード(12)、
 セキュリティ保護対象資産の指定を含むセキュリティ保護対象資産の選択命令の入力を受け付けると、この選択命令に基づいて、前記データベース部からセキュリティ保護対象資産情報を選択して表示し、このセキュリティ保護対象資産情報の表示中、セキュリティ状態IDの入力を受け付けると、このセキュリティ状態IDに基づいて、当該表示中のセキュリティ保護対象資産情報に関連するセキュリティ状態情報を前記脅威発生モデル情報から抽出する処理を前記セキュリティ対策機能評価装置に実行させるための第36プログラムコード(18)、
 前記脅威発生モデル情報から抽出したセキュリティ状態情報のセキュリティ状態IDを表示し、当該セキュリティ状態ID毎に、安全、危険又は被害発生のグループの指定の入力を受け付けると、この指定に基づいて、各セキュリティ状態IDを、安全、危険又は被害発生のいずれかのグループに分類し、当該各グループに応じた形式の外枠情報を、表示中のセキュリティ状態IDに付加して表示する処理を前記セキュリティ対策機能評価装置に実行させるための第37プログラムコード(18)、
 当該表示中の外枠情報の指定の入力を受け付けると、この指定に基づいて、前記危険又は被害発生のグループに応じた形式の外枠情報からそれぞれ前記安全のグループに応じた外枠情報に向かう矢印の形式により、当該外枠情報間に第3遷移パス情報を描画する処理を前記セキュリティ対策機能評価装置に実行させるための第38プログラムコード(18)、
 前記第3遷移パス情報毎に、回復機能要件情報の入力を受け付けると、当該第3遷移パス情報と、当該回復機能要件情報とを関連付ける処理を前記セキュリティ対策機能評価装置に実行させるための第39プログラムコード(18)、
 互いに関連付けられた複数のセキュリティ状態情報、外枠情報、第3遷移パス情報及び回復機能要件情報からなる回復モデル情報を作成する処理を前記セキュリティ対策機能評価装置に実行させるための第40プログラムコード(18)、
 前記ログの種類、追跡機能の対象、及びバックアップ、の項目毎の回復十分条件情報の入力を受け付けると、この回復十分条件情報を前記回復十分条件表雛形情報の十分条件領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第41プログラムコード(15)、
 前記回復対策方針領域と、前記回復十分条件情報が書き込まれた十分条件領域とを含む回復十分条件表情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第42プログラムコード(15)、
 前記回復対策雛形情報に対する対策名の入力を受け付けると、この対策名を前記回復対策雛形情報内の対策名領域に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第43プログラムコード(15)、
 前記回復対策雛形情報内の選択肢としての回復十分条件情報の指定を受け付けると、この指定された回復十分条件情報を選択する処理を前記セキュリティ対策機能評価装置に実行させるための第44プログラムコード(15)、
 前記回復対策雛形情報に基づいて作成され、前記対策名が入力された対策名領域と、前記回復十分条件情報が選択された選択領域とを含む回復対策情報を前記データベース部に書き込む処理を前記セキュリティ対策機能評価装置に実行させるための第45プログラムコード(15)、
 前記回復対策情報内及び前記回復十分条件表情報内の互いに同一の項目に関し、当該回復十分条件表情報内の回復十分条件情報と当該回復対策情報内の回復十分条件情報とが一致すれば評価結果を正の値の点数とし、両者が不一致であれば評価結果を0値の点数として、前記回復十分条件表情報の回復対策方針領域内の各回復機能要件情報における当該同一の項目毎に、評価結果の点数を記入する回復評価点数記入処理を前記セキュリティ対策機能評価装置に実行させるための第46プログラムコード(15)、
 当該回復機能要件毎に、全ての評価結果の点数を積算して評価点数を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第47プログラムコード(15)、
 前記情報処理機器にセキュリティ対策機能を施す前の場合に関し、前記回復モデル情報に基づいて、同一の遷移元のセキュリティ状態情報に関連する回復機能要件情報の個数を分母の値とし、当該遷移元を共通とした同一の遷移先のセキュリティ状態情報に関連する回復機能要件情報の個数を分子の値とし、当該分子の値を当該分母の値で除算することにより、対策前遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第48プログラムコード(16)、
 前記情報処理機器にセキュリティ対策機能を施した後の場合に関し、この対策前遷移確率の算出に用いた分子の値に前記回復評価点数記入処理による評価点数を乗算して当該分子の値を修正し、この修正した分子の値を前記回復機能要件情報の個数としての分母の値で除算することにより、対策後遷移確率を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第49プログラムコード(16)、
 前記回復モデル情報に基づく前記対策前遷移確率と前記対策後遷移確率とを表示する処理を前記セキュリティ対策機能評価装置に実行させるための第50プログラムコード(16)、
 を更に備えたことを特徴とするセキュリティ対策機能評価プログラム。
[請求項3]
 請求項1に記載のセキュリティ対策機能評価プログラムにおいて、
 前記評価結果点数記入処理は、前記評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数とする処理、
 を含むことを特徴とするセキュリティ対策機能評価プログラム。
[請求項4]
 請求項1に記載のセキュリティ対策機能評価プログラムにおいて、
 前記情報処理機器に複数のセキュリティ対策機能を施す場合、当該各セキュリティ対策機能に関し、前記対策方針情報毎に算出された評価点数を当該対策方針情報毎に加算して最終的な評価点数を算出する処理を前記セキュリティ対策機能評価装置に実行させるための第34プログラムコード(15)、
 を更に備えたことを特徴とするセキュリティ対策機能評価プログラム。
[請求項5]
 請求項2に記載のセキュリティ対策機能評価プログラムにおいて、
 前記回復評価点数記入処理は、前記評価結果を正の値の点数とする場合、予め項目毎に設定された重み付け値を当該評価結果の点数とする処理、
 を含むことを特徴とするセキュリティ対策機能評価プログラム。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9]

[ 図 10]

[ 図 11]

[ 図 12]

[ 図 13]

[ 図 14]

[ 図 15]

[ 図 16]

[ 図 17]

[ 図 18]

[ 図 19]

[ 図 20]

[ 図 21]

[ 図 22]

[ 図 23]

[ 図 24]

[ 図 25]

[ 図 26]

[ 図 27]

[ 図 28]

[ 図 29]

[ 図 30]

[ 図 31]

[ 図 32]

[ 図 33]

[ 図 34]

[ 図 35]

[ 図 36]

[ 図 37]

[ 図 38]

[ 図 39]

[ 図 40]