[go: up one dir, main page]

JP2008234409A - Security threat analysis support system, method therefor, and security threat analysis support program - Google Patents

Security threat analysis support system, method therefor, and security threat analysis support program Download PDF

Info

Publication number
JP2008234409A
JP2008234409A JP2007074346A JP2007074346A JP2008234409A JP 2008234409 A JP2008234409 A JP 2008234409A JP 2007074346 A JP2007074346 A JP 2007074346A JP 2007074346 A JP2007074346 A JP 2007074346A JP 2008234409 A JP2008234409 A JP 2008234409A
Authority
JP
Japan
Prior art keywords
security threat
access point
component
analysis
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007074346A
Other languages
Japanese (ja)
Inventor
Ikuya Odawara
育也 小田原
Kenji Kojima
健司 小島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2007074346A priority Critical patent/JP2008234409A/en
Publication of JP2008234409A publication Critical patent/JP2008234409A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a security threat analysis support system for comprehensively extracting security threats and facilitating review of an analysis result due to specification change. <P>SOLUTION: The security threat analysis support system is provided with an analysis target input means inputting component information composed of names, types, connection relations, inclusion relations of components constituting an analysis target system, an access point extraction means extracting an access point (an accessible point such as an interface and a point on a communication system path) between the components based on the inputted component information, a security threat input means inputting security threat information showing a possible type of attack on the extracted access point, and a security threat verification support means classifying the security threat information based on a predetermined condition. When the access point is extracted based on the information of the components constituting the analysis target system, and security threat analysis is carried out based on the access point. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、セキュリティ設計において、分析対象で想定されるセキュリティ脅威を、網羅的に抽出するためのセキュリティ脅威分析の実施する、セキュリティ設計技術の分野に関する。 The present invention relates to the field of security design technology in which security threat analysis is performed to comprehensively extract security threats that are assumed to be analyzed in security design.

従来、セキュリティ設計におけるセキュリティ脅威分析は、分析対象で扱う情報資産に基づいて実施していた(特許文献1)。このため、情報資産に依存しないセキュリティ脅威(例えば、踏み台やサービス妨害など)の抽出は、経験則に頼っていた。 Conventionally, security threat analysis in security design has been performed based on information assets handled in the analysis target (Patent Document 1). For this reason, the extraction of security threats that do not depend on information assets (for example, step stools and denial of service) has relied on empirical rules.

特に要件定義など上流の設計フェーズにおけるセキュリティ脅威分析では、分析対象の構成要素およびインタフェース仕様に未確定な部分が存在する場合、それらが確定後に再度分析をしなければならないが、従来、このような場合、情報資産ごとに仕様変更による影響を見直す必要があった。このため、結果としてセキュリティ脅威分析の結果全体を見直さなければならなかった。
特開2005-242754号公報 Especially in the security threat analysis in the upstream design phase such as requirement definition, if there are uncertain parts in the analysis target components and interface specifications, they must be analyzed again after being confirmed. In this case, it was necessary to review the impact of the specification change for each information asset. Therefore, as a result, the entire result of the security threat analysis had to be reviewed.
JP 2005-242754 A

情報資産に基づくセキュリティ脅威分析では、セキュリティ脅威を網羅的に抽出することができず、また、上流の設計フェーズにおけるセキュリティ脅威分析では、情報資産毎に仕様変更による影響を見直さなければならず、セキュリティ設計の生産効率の悪化を招いていた。 Security threat analysis based on information assets cannot exhaustively extract security threats, and security threat analysis in the upstream design phase must review the impact of specification changes for each information asset. The production efficiency of the design was deteriorated.

本発明はこのような事情を考慮してなされたものであり、その目的とするところは、セキュリティ脅威を網羅的に抽出でき、仕様変更による分析結果の見直しを容易にするセキュリティ脅威分析支援システムを提供することである。 The present invention has been made in consideration of such circumstances, and the object of the present invention is to provide a security threat analysis support system that can comprehensively extract security threats and easily review analysis results by changing specifications. Is to provide.

本発明では、アクセス点(インタフェースや通信系路上などアクセス可能な点)に基づくセキュリティ脅威分析を行うことで、情報資産に依存しない踏み台やサービス妨害などを含めた網羅的なセキュリティ脅威の抽出も可能とした。 In the present invention, security threat analysis based on access points (accessible points such as interfaces and communication paths) enables comprehensive extraction of security threats including steps and service interruptions that do not depend on information assets. It was.

内部構成の未確定な部分を含む段階で実施したアクセス点に基づくセキュリティ脅威分析を行う場合、変更されたインタフェースに対応するアクセス点と関連付けられたセキュリティ脅威だけを見直せばよく、全体を見直す必要はない。 When performing security threat analysis based on access points performed at the stage including the uncertain part of the internal configuration, it is only necessary to review the security threats associated with the access points corresponding to the changed interface. Absent.

本発明のセキュリティ脅威分析支援システムでは、セキュリティ脅威を網羅的に抽出でき、仕様変更による分析結果の見直しを容易にする。 In the security threat analysis support system of the present invention, security threats can be comprehensively extracted, and the analysis result can be easily reviewed by changing specifications.

図1は本発明の構成を示すブロック図である。設計者30が、本発明のセキュリティ脅威分析を行う場合、まず分析対象入力手段1によって、構成要素とその属性を入力する。入力されたセキュリティ脅威分析の範囲は、構成要素情報として構成要素情報記憶手段7に格納される。構成要素情報は、少なくとも、構成要素定義、構成要素接続関係、構成要素包含関係を含む 。 FIG. 1 is a block diagram showing the configuration of the present invention. When the designer 30 performs the security threat analysis of the present invention, first, the component and its attributes are input by the analysis target input means 1. The inputted security threat analysis range is stored in the component information storage means 7 as component information. The constituent element information includes at least a constituent element definition, a constituent element connection relation, and a constituent element inclusion relation.

次にアクセス点抽出手段2によって、アクセス点が自動的に抽出される。アクセス点は、構成要素へのインタフェース、または構成要素間の通信経路上の点など、何らかのアクセスが想定されうる点である。 Next, an access point is automatically extracted by the access point extraction means 2. An access point is a point at which some access can be assumed, such as an interface to a component or a point on a communication path between components.

抽出されたアクセス点に対して、設計者30がアクセス点利用方法入力手段3により、利用方法を入力する。利用方法の要素の入力は、構成要素情報を参照して絞込みが行われ、効率的に入力できる。また、分析レベル2以降では、上位の分析レベルで定義したアクセス点とその利用方法が自動的に継承され、さらに効率化される(分析レベルについては後述)。これらのアクセス点と利用方法に関する情報は、アクセス点情報としてアクセス点情報記憶手段8に格納される。 With respect to the extracted access points, the designer 30 inputs the usage method by the access point usage method input means 3. The elements of the usage method are narrowed down by referring to the component element information, and can be input efficiently. In addition, in the analysis level 2 and later, the access points defined in the higher analysis level and the method of using the same are automatically inherited for further efficiency (the analysis level will be described later). Information regarding these access points and usage methods is stored in the access point information storage means 8 as access point information.

次に、設計者30がセキュリティ脅威入力手段4により、編集対象とするアクセス点を選択する。選択されたアクセス点に対して、セキュリティ脅威編集手段5により、セキュリティ脅威を入力する。セキュリティ脅威の要素の入力は、構成要素情報を参照して絞込みが行われ、効率的に入力できる。また、分析レベル2以降では、上位の分析レベルで定義したアクセス点とそのセキュリティ脅威が自動的に継承され、さらに効率化される。 Next, the designer 30 uses the security threat input means 4 to select an access point to be edited. A security threat is input by the security threat editing means 5 to the selected access point. The input of security threat elements is narrowed down by referring to the component element information, and can be input efficiently. In addition, after the analysis level 2, the access points defined in the higher analysis level and their security threats are automatically inherited for further efficiency.

これらのセキュリティ脅威に関する情報は、セキュリティ脅威情報として、セキュリティ脅威情報記憶手段9に格納される。 Information on these security threats is stored in the security threat information storage means 9 as security threat information.

次に、セキュリティ脅威検証支援手段6によって、セキュリティ脅威情報で示されるアクセス点に基づくセキュリティ脅威を、アクセス点とは異なる視点で、設計者30が抽出したセキュリティ脅威に漏れが無いことを検証する。このとき、漏れている可能性のある脅威が自動的に抽出され、設計者30はその中から適切なものを選択することで、効率的に漏れを発見することができる。 Next, the security threat verification support means 6 verifies that the security threat based on the access point indicated by the security threat information is not leaked from the viewpoint different from the access point. At this time, threats that may be leaked are automatically extracted, and the designer 30 can efficiently find a leak by selecting an appropriate one from them.

セキュリティ脅威検証支援手段6で、セキュリティ脅威の抽出作業に漏れが発見された場合は、セキュリティ脅威入力手段4により、新たなセキュリティ脅威を入力し、セキュリティ脅威検証支援手段6による検証を行う。 If the security threat verification support means 6 finds a leak in the security threat extraction work, the security threat input means 4 inputs a new security threat and the security threat verification support means 6 performs verification.

アクセス点が追加、削除、および仕様変更された場合は、アクセス点抽出手段2により変更を反映し、セキュリティ脅威入力手段4で新たなセキュリティ脅威を入力し、セキュリティ脅威検証支援手段6によりセキュリティ脅威の漏れの検証を行う。 When an access point is added, deleted, or specification is changed, the change is reflected by the access point extraction means 2, a new security threat is input by the security threat input means 4, and a security threat is verified by the security threat verification support means 6. Check for leaks.

これらの繰り返しは、脅威の漏れやアクセス点の変更がなくなる(インタフェース仕様が確定する)まで繰り返す。 These repetitions are repeated until there is no threat leakage or access point change (interface specifications are finalized).

図2は、セキュリティ脅威分析の対象として用いる文書管理システムのシステム構成図を示す。 FIG. 2 shows a system configuration diagram of a document management system used as a security threat analysis target.

文書管理システムでは、Webブラウザを配置したクライアントPC12と、文書管理サーバシステム14は、外部ネットワーク13を介して接続されている。文書管理サーバシステム14は、Webソフトウェア17と利用者識別データ18を配置したWebサーバ16、DBソフトウェア20と文書データ21を配置したDBサーバ19、および外部ネットワーク13が、内部ネットワーク15を介して接続されている。 In the document management system, a client PC 12 on which a Web browser is arranged and a document management server system 14 are connected via an external network 13. The document management server system 14 includes a Web server 16 in which Web software 17 and user identification data 18 are arranged, a DB server 19 in which DB software 20 and document data 21 are arranged, and an external network 13 connected via an internal network 15. Has been.

外部ネットワーク13は、公衆網であり、他のシステムによって使用される可能性のあるネットワークである。 The external network 13 is a public network and may be used by other systems.

利用者識別データ18は、管理者が登録した正規の利用者を識別するための利用者IDが登録されたデータである。文書データ21は、利用者が登録した文書が保存されたデータである。 The user identification data 18 is data in which a user ID for identifying a regular user registered by the administrator is registered. The document data 21 is data in which a document registered by the user is stored.

以下は、本実施例でセキュリティ脅威分析支援システムが対象とするシステムである文書管理システムの仕様である。 The following is a specification of a document management system which is a system targeted by the security threat analysis support system in this embodiment.

利用者10は、クライアントPC12から外部ネットワーク13を介して、文書管理サーバシステム14にアクセスし、文書管理サーバシステム14が提供する、文書データの登録、閲覧、削除の機能を使用することができる。 The user 10 can access the document management server system 14 from the client PC 12 via the external network 13 and use the document data registration, browsing, and deletion functions provided by the document management server system 14.

利用者10が、クライアントPC12から文書データ21にアクセスする場合、まずクライアントPC12のWebブラウザ11からWebサーバ16のWebソフトウェア17にアクセスすると、Webソフトウェア17は、応答として利用者10に利用者IDの入力を促す入力フォームを返す。 When the user 10 accesses the document data 21 from the client PC 12, when the user first accesses the web software 17 of the web server 16 from the web browser 11 of the client PC 12, the web software 17 responds to the user 10 with the user ID. Returns an input form that prompts for input.

利用者10が、Webブラウザ11から利用者IDを入力し、Webソフトウェア17に送信すると、Webソフトウェア17が受取った利用者IDと利用者識別データ18と照合する。Webソフトウェアは、照合の結果、利用者IDが、登録済み利用者IDであれば利用者が正規の利用者であると判断し、未登録の利用者IDであれば正規の利用者でないと判断する。未登録の利用者IDであれば、Webソフトウェア17は、応答として利用者に警告メッセージを返し、これ以降の処理は行なわない。登録済み利用者IDであれば、Webソフトウェア17は、応答として処理種別(登録、閲覧、削除のいずれか)と処理対象文書名の入力を促す入力フォームを返す。 When the user 10 inputs the user ID from the Web browser 11 and transmits it to the Web software 17, the user ID received by the Web software 17 is checked against the user identification data 18. If the user ID is a registered user ID, the Web software determines that the user is a legitimate user, and if the user ID is an unregistered user ID, the web software determines that the user ID is not a legitimate user. To do. If it is an unregistered user ID, the Web software 17 returns a warning message to the user as a response, and does not perform any further processing. If it is a registered user ID, the Web software 17 returns an input form asking for input of a processing type (either registration, browsing, or deletion) and a processing target document name as a response.

利用者10が、Webブラウザ11から処理種別と処理対象文書名、および文書(処理種別が登録の場合)を入力し、Webソフトウェア17に送信すると、Webソフトウェア17は、処理種別に従って、DBサーバ19のDBソフトウェア20を介して、文書データ21へアクセスし、書き込み、読み出し、削除を行い、応答として処理結果を返す。 When the user 10 inputs a processing type, a processing target document name, and a document (when the processing type is registered) from the Web browser 11 and sends the document to the Web software 17, the Web software 17 determines the DB server 19 according to the processing type. The document data 21 is accessed through the DB software 20, and writing, reading, and deletion are performed, and a processing result is returned as a response.

管理者22は、文書管理サーバシステム14のWebサーバ16から、文書管理サーバシステム14が提供する、利用者の登録、削除の機能を使用することができる。 The administrator 22 can use the user registration and deletion functions provided by the document management server system 14 from the Web server 16 of the document management server system 14.

管理者22は、文書管理サーバシステム14のWebサーバ16、DBサーバ19の各コンソールから、それぞれWebソフトウェア17、DBソフトウェア20のソフトウェアアップデートを行うことができる。 The administrator 22 can update the software of the Web software 17 and the DB software 20 from the consoles of the Web server 16 and the DB server 19 of the document management server system 14, respectively.

図3は、分析対象入力手段1が提供する図式言語エディタの表示例である。分析対象入力手段1では、図式言語エディタを用いて、分析対象の構成要素名称、構成要素種別、構成要素説明、構成要素接続関係、および構成要素包含関係を入力する。ウインドウタイトルに示された「分析レベル:1」は、初回のセキュリティ脅威分析であることを示しており、この段階では文書管理サーバシステム14内の構成要素として、文書管理機能を実現する文書管理ソフトウェア23と、システムの利用者を識別するための利用者識別データ18と、文書を格納する文書データ21が存在することだけがわかっており、内部の構成要素やそれらの接続関係は明確になっていないものとする。 FIG. 3 is a display example of a graphical language editor provided by the analysis target input means 1. The analysis target input means 1 uses the graphical language editor to input the component name, component type, component description, component connection relationship, and component inclusion relationship of the analysis target. “Analysis level: 1” shown in the window title indicates that this is the first security threat analysis. At this stage, document management software that realizes a document management function as a component in the document management server system 14 23, user identification data 18 for identifying users of the system, and document data 21 for storing documents exist, and the internal components and their connection relations are clear. Make it not exist.

文書管理サーバシステム14内の構成要素が明らかになり、さらにセキュリティ脅威分析を進めていく場合は、分析レベル2、分析レベル3、・・・として分析を行う。構成要素は、文字列を伴う図形で表現されており、文字列は構成要素名称を表している。構成要素種別は、構成要素を表す図形の形状で表現されており、人形が関与者、四角形がコンポーネント(単体または集合したサブシステム)、楕円が通信経路、角丸四角形がプログラム、円柱がデータを、それぞれ表現している。構成要素接続関係は、構成要素間を結ぶ線分で表現している。構成要素包含関係は、構成要素を表す図形の包含関係によって表現している。また、構成要素を表した図形をクリックすることで、構成要素名称、構成要素種別、構成要素説明を編集することが可能である。 When the constituent elements in the document management server system 14 are clarified and the security threat analysis is further advanced, the analysis is performed as analysis level 2, analysis level 3,. The component is represented by a graphic with a character string, and the character string represents the component name. The component type is expressed in the shape of a figure that represents the component. The doll is the participant, the rectangle is the component (single or assembled subsystem), the ellipse is the communication path, the rounded rectangle is the program, and the cylinder is the data. , Expressing each. The component connection relation is expressed by a line segment connecting the components. The component inclusion relationship is expressed by the inclusion relationship of the graphic representing the component. In addition, by clicking a graphic representing a component, it is possible to edit the component name, component type, and component description.

図4は、構成要素情報記憶手段7に格納されている構成要素情報のうち、構成要素定義の、分析レベル1における格納例である。構成要素定義は、 構成要素名称、構成要素種別、構成要素説明から構成される。 FIG. 4 is an example of storage at the analysis level 1 of the component element definition among the component element information stored in the component element information storage unit 7. The component element definition is composed of a component element name, a component element type, and a component element description.

図5は、構成要素情報記憶手段7に格納されている構成要素情報のうち、構成要素接続関係の、分析レベル1における格納例である。構成要素接続関係は、構成要素名称、接続構成要素から構成されており、構成要素ごとに、どの構成要素が接続されているかという関係を示している。 FIG. 5 shows an example of storage at the analysis level 1 of the component connection relation among the component element information stored in the component element information storage means 7. The component connection relationship includes a component name and a connection component, and indicates which component is connected for each component.

図6は、構成要素情報記憶手段7に格納されている構成要素情報のうち、構成要素包含関係の、分析レベル1における格納例である。構成要素包含関係は、構成要素名称、包含構成要素から構成され、構成要素ごとに、どの構成要素が包含されているかという関係を示している。 FIG. 6 shows an example of storage at the analysis level 1 of the component inclusion relationship among the component information stored in the component information storage means 7. The constituent element inclusion relationship is composed of constituent element names and inclusion constituent elements, and indicates a relation as to which constituent element is included for each constituent element.

図7は、アクセス点抽出手段2が提供する図式言語エディタの表示例である。アクセス点抽出手段2は、追加された構成要素に対するアクセス点の抽出とアクセス点IDの付与を行う。図7において、A、Bなどがアクセス点を示しており、○中の英字はアクセス点を識別するためのアクセス点IDを示している。 FIG. 7 is a display example of a graphical language editor provided by the access point extraction means 2. The access point extraction unit 2 extracts an access point and assigns an access point ID to the added component. In FIG. 7, A, B, etc. indicate access points, and the alphabetical characters in the circles indicate access point IDs for identifying access points.

アクセス点の抽出は、以下の手順で行う。 The access point is extracted by the following procedure.

1)新たに追加された構成要素eについて、構成要素eの構成要素種別が、通信経路なら、通信系路上にアクセス点を1つ作成し、コンポーネントなら、コンポーネント上の他の構成要素やアクセス点との接続点、すべてにアクセス点を作成する。 1) For the newly added component e, if the component type of the component e is a communication route, create one access point on the communication path, and if it is a component, create another access point or access point on the component Create access points at all connection points.

図7において、外部ネットワーク13の構成要素種別が通信経路なので、通信系路上にアクセス点が1つ作成されている。また、文書管理サーバシステム14は、構成要素種別がコンポーネントなので、文書管理サーバシステム14の外部ネットワーク13との接続点、および他の管理者22との接続点に、アクセス点が作成されている。 In FIG. 7, since the component type of the external network 13 is a communication path, one access point is created on the communication system path. Further, since the document management server system 14 has a component type as a component, access points are created at the connection points of the document management server system 14 with the external network 13 and the connection points with other administrators 22.

2)新たに追加された構成要素で、アクセス点が抽出されていないものがあれば1)へ
3)終了
分析レベル1では、アクセス点のアクセス点IDは作成された順に、A、B、C、・・・のユニークな番号を付与する。アクセス点部分をクリックすることによって、アクセス点利用方法入力手段3を表示することができる。 2) If there is a newly added component for which no access point has been extracted, go to 1). 3) At end analysis level 1, access point IDs of access points are created in the order of creation, A, B, C. A unique number is assigned. By clicking the access point portion, the access point utilization method input means 3 can be displayed.

図8は、アクセス点抽出手段2が提供する図式言語エディタにおいて、アクセス点部分をクリックした際のアクセス点利用方法入力手段3の表示例である。図8において、利用方法の要素は、だれが、どこから、どこの、なにを(なにに)、どうする、の5つとしているが、要素や要素数はこれに限定されるものではない。 FIG. 8 is a display example of the access point utilization method input means 3 when the access point portion is clicked in the graphical language editor provided by the access point extraction means 2. In FIG. 8, there are five usage method elements: who, where, what, what, and what, but the number of elements and the number of elements are not limited to these.

各要素の入力には、構成要素情報を参照してドロップダウンリストの内容を表示し、入力を効率化している。たとえば、だれがなど関与者を入力する場合は、入力欄をクリックすると、利用者、管理者といった構成要素種別が関与者である構成要素が、リストアップされそこから選択できる。どこからやどこのなど場所を入力する場合は、同様に、構成要素種別がコンポーネントまたは通信経路である構成要素が、リストアップされそこから選択できる。なにをなど対象物を入力する場合は、構成要素種別がデータやプログラムである構成要素が、リストアップされる。どうするは、分析対象の仕様に依存するため、自由記述としているが、対象物の種別により典型的なパターンをリストアップしてもよい。 For the input of each element, the contents of the drop-down list are displayed with reference to the component element information to make the input more efficient. For example, in the case of inputting a participant such as who, by clicking on the input field, the constituent elements whose constituent element type is the participant such as a user and an administrator can be listed and selected from there. In the case of inputting a location such as where and where, similarly, a component whose component type is a component or a communication path is listed and can be selected therefrom. When inputting an object such as what, a component whose component type is data or a program is listed. Although it depends on the specifications of the analysis target, it is a free description, but typical patterns may be listed according to the type of the target.

図9は、アクセス点情報記憶手段8に格納されているアクセス点情報の、分析レベル1における格納例である。アクセス点ごとに、分析対象で想定される利用方法を示しており、1つのアクセス点に対して、複数の利用方法を関連付けることができる。利用方法は、アクセス点でユニークな識別番号を付与し、アクセス点IDと利用方法の識別番号の組合せで、一つの利用方法が特定されるようにしている。これにより、分析レベル2以降で利用方法の継承を行う際に継承元の利用方法の特定を容易にしている。所属構成要素は、アクセス点IDが示すアクセス点が所属している構成要素の構成要素名称が格納される。図9において、利用方法は、「だれが」、「どこから」、「どこの」、「なにを」、「どうする」、の5つの要素で表現しているが、要素や要素数はこれに限定されるものではない。 FIG. 9 is an example of storage at the analysis level 1 of the access point information stored in the access point information storage means 8. For each access point, the usage method assumed in the analysis target is shown, and a plurality of usage methods can be associated with one access point. As the usage method, a unique identification number is assigned at the access point, and one usage method is specified by a combination of the access point ID and the identification number of the usage method. This facilitates specification of the use method of the inheritance source when the use method is inherited at the analysis level 2 or later. In the belonging component, the component name of the component to which the access point indicated by the access point ID belongs is stored. In FIG. 9, the usage method is expressed by five elements, “who”, “from”, “where”, “what”, and “what”. It is not limited.

図10は、セキュリティ脅威入力手段4が提供する図式言語エディタの表示例である。プロットされたアクセス点ID部分をクリックすることで、アクセス点で想定されるセキュリティ脅威を入力することができる。分析レベル2以上では分析レベル1における分析結果を継承して作成する(後述)。 FIG. 10 is a display example of a graphical language editor provided by the security threat input means 4. By clicking the plotted access point ID part, it is possible to input a security threat assumed at the access point. At analysis level 2 or higher, the analysis result at analysis level 1 is inherited and created (described later).

図11は、アクセス点抽出手段2が提供する図式言語エディタにおいて、アクセス点をクリックした際に表示されるセキュリティ脅威編集手段5の表示例である。入力方法は、基本的にアクセス点入力と同様に行うが、「だれが」に分析対象への攻撃を目的とする「第三者」がリストアップされること、および「どうする」がセキュリティ脅威となるアクションを入力する点が異なる。 FIG. 11 is a display example of the security threat editing means 5 that is displayed when an access point is clicked in the graphical language editor provided by the access point extraction means 2. The input method is basically the same as the access point input, except that “who” lists “third parties” for the purpose of attacking the analysis target, and “what” is a security threat. The difference is that you enter an action.

図12は、セキュリティ脅威情報記憶手段4に格納されているセキュリティ脅威情報の、分析レベル1における格納例である。アクセス点ごとに、分析対象で想定されるセキュリティ脅威を示しており、1つのアクセス点に対して、複数のセキュリティ脅威を関連付けることができる。セキュリティ脅威は、アクセス点でユニークな識別番号を付与し、アクセス点IDとセキュリティ脅威の識別番号の組合せで、一つのセキュリティ脅威が特定されるようにしている。これにより、分析レベル2以降でセキュリティ脅威の継承を行う際に継承元のセキュリティ脅威の特定を容易にしている。所属構成要素は、アクセス点IDが示すアクセス点が所属している構成要素の構成要素名称が格納される。図12において、セキュリティ脅威は、「だれが」、「どこから」、「どこの」、「なにを」、「どうする」、の5つの要素で表現しているが、要素や要素数はこれに限定されるものではない。 FIG. 12 shows an example of storage at the analysis level 1 of security threat information stored in the security threat information storage means 4. For each access point, a security threat assumed in the analysis target is shown, and a plurality of security threats can be associated with one access point. A security threat is assigned a unique identification number at an access point, and one security threat is specified by a combination of an access point ID and a security threat identification number. This facilitates the identification of the inheritance source security threat when inheriting the security threat at the analysis level 2 or later. In the belonging component, the component name of the component to which the access point indicated by the access point ID belongs is stored. In FIG. 12, the security threat is expressed by five elements, “who”, “from”, “where”, “what”, and “what”. It is not limited.

対策実施レベルは、どの分析レベルで対策するかを示すもので、後述のセキュリティ脅威検証支援手段6で使用する。 The countermeasure implementation level indicates at which analysis level the countermeasure is taken, and is used by the security threat verification support means 6 described later.

図13は、セキュリティ脅威検証支援手段6のセキュリティ脅威分類条件設定ウインドウの表示例である。セキュリティ脅威検証支援手段6は、アクセス点に基づいて抽出したセキュリティ脅威を、セキュリティ脅威の要素およびその組合せの観点で分類することによって、設計者がセキュリティ脅威の抽出漏れを発見しやすくする表示を提供する。セキュリティ脅威分類条件設定ウインドウは、セキュリティ脅威のどの要素に基づいて分類するかを設定する。要素は複数選択により、組み合わせて分類することもできる。例えば、「どこの」と「なにを」を分類条件とすると、分析対象上の保護すべき情報資産に基づく分類が可能であり、保護すべき情報資産の観点で、セキュリティ脅威の抽出に漏れが無いかを検証することが容易になる。 FIG. 13 is a display example of the security threat classification condition setting window of the security threat verification support means 6. Security threat verification support means 6 provides a display that makes it easier for a designer to find out if a security threat has been extracted by classifying the security threats extracted based on the access points in terms of security threat elements and their combinations. To do. The security threat classification condition setting window sets which element of the security threat to classify. Elements can be classified and combined by multiple selection. For example, if “where” and “what” are the classification conditions, classification based on the information asset to be protected on the analysis target is possible, and it is not possible to extract security threats from the viewpoint of the information asset to be protected. It is easy to verify whether there is any.

図14は、セキュリティ脅威検証支援手段6による図13の分類条件によるセキュリティ脅威の分類結果の表示例である。セキュリティ脅威の要素である、「どこの」と「なにを」により分類されている。この分類結果から、分類条件としなかった、「だれが」、「どこから」、「どうする」を変えた時にそれらがセキュリティ脅威となるかどうかを検証する。 FIG. 14 is a display example of security threat classification results by the security threat verification support means 6 according to the classification conditions of FIG. It is classified by “where” and “what”, which are elements of security threats. From this classification result, it is verified whether or not “who”, “from”, and “what” are not classified conditions, and they become security threats.

検証支援手段における検証の流れは以下の通り。 The flow of verification in the verification support means is as follows.

同じ分類グループに属する脅威について、構成要素情報の構成要素接続関係と構成要素包含関係を考慮して、抽出されていないセキュリティ脅威の要素の組合せをセキュリティ脅威の候補としてリストアップする。リストアップされたセキュリティ脅威を表示し、適切でないものを設計者がリストから削除する。リストに残った脅威をセキュリティ脅威情報に追加する。以上、すべての分類グループについて繰り返す。 For threats belonging to the same classification group, a combination of security threat elements not extracted is listed as a security threat candidate in consideration of the component connection relation and the component inclusion relation of the component information. View listed security threats, and designers remove inappropriate ones from the list. Add the remaining threats to the security threat information. The above is repeated for all classification groups.

この結果、例えば、文書管理サーバシステム上の文書データに対して、第三者が文書管理システムから破壊・改ざんする、文書管理サーバシステム上の利用者識別データに対して、第三者が外部ネットワークから破壊・改ざんする、文書管理サーバシステム上の文書管理ソフトウェアに対して、第三者が外部ネットワークから破壊・改ざんする、というセキュリティ脅威の抽出漏れが発見できる。 As a result, for example, the third party can destroy or falsify the document data on the document management server system from the document management system. From the document management software on the document management server system, which is destroyed or falsified, it is possible to find a missing security threat that a third party destroys or falsifies from an external network.

図15は、セキュリティ脅威検証支援手段6により抽出された、3つの新しいセキュリティ脅威が追加された分類結果の表示例である。 FIG. 15 is a display example of a classification result to which three new security threats extracted by the security threat verification support means 6 are added.

図16は、対策実施レベルの分析レベル1における表示例である。対策実施レベル欄は、少なくとも、現分析レベルで対策するか、下位レベルで対策するかを指定できるようにする。下位レベルで対策するとは、不明確な構成要素が存在し、それが明確になった場合にそこで対策するということを示している。実施例では、「○」が現分析レベルで対策する、「△」が下位レベルで対策することを示している。これにより、「○」とした脅威については、下位レベルでの対策が不要となるため、継承の必要がなく、分析レベルを上げることによる爆発的な脅威の継承を抑制する。 FIG. 16 shows a display example at the analysis level 1 of the countermeasure implementation level. In the measure execution level column, it is possible to specify at least whether to take measures at the current analysis level or at a lower level. Measures at a lower level indicate that there are unclear components that will be addressed when they become clear. In the embodiment, “◯” indicates a countermeasure at the current analysis level, and “Δ” indicates a countermeasure at a lower level. This eliminates the need for measures at the lower level for threats marked “◯”, so there is no need for inheritance, and the inheritance of explosive threats by raising the analysis level is suppressed.

図17は、対策実施レベルが設定されたセキュリティ脅威情報である。この状態が、分析レベル1における最終的なセキュリティ脅威である。 FIG. 17 shows security threat information in which the countermeasure implementation level is set. This state is the final security threat at analysis level 1.

図18は、分析対象入力手段1が提供する図式言語エディタの表示例である。文書管理サーバシステム14の内部構成が明確になったため、分析レベル2として分析レベル1と同様に構成要素情報を入力する。内部ネットワーク15、Webサーバ16、Webソフトウェア17、DBサーバ19、DBソフトウェア20の5つの構成要素が、分析レベル2で新たに明確化された構成要素である。分析レベル1における文書管理ソフトウェアは、Webソフトウェア17とDBソフトウェア20として具体化されている。 FIG. 18 is a display example of a graphical language editor provided by the analysis target input means 1. Since the internal configuration of the document management server system 14 has been clarified, the component information is input as the analysis level 2 as in the analysis level 1. The five components of the internal network 15, the Web server 16, the Web software 17, the DB server 19, and the DB software 20 are newly clarified components at the analysis level 2. The document management software at the analysis level 1 is embodied as Web software 17 and DB software 20.

図19は、構成要素情報記憶手段7に格納される構成要素情報のうち、構成要素定義の、分析レベル2における格納例である。構成要素定義は、 構成要素名称、構成要素種別、構成要素説明から構成される。網掛けした5つの構成要素が、分析レベル2で新規に格納された構成要素である。 FIG. 19 shows an example of storage at the analysis level 2 of the component element definition among the component element information stored in the component element information storage means 7. The component element definition is composed of a component element name, a component element type, and a component element description. The five shaded components are newly stored at analysis level 2.

図20は、構成要素情報記憶手段7に格納される構成要素情報のうち、構成要素接続関係の、分析レベル2における格納例である。構成要素接続関係は、構成要素名称、接続構成要素から構成されており、構成要素ごとに、どの構成要素が接続されているかという関係を示している。網掛けした5つの構成要素が、分析レベル2で新規に格納された構成要素である。 FIG. 20 shows an example of storage at the analysis level 2 of the component connection relation among the component element information stored in the component element information storage means 7. The component connection relationship includes a component name and a connection component, and indicates which component is connected for each component. The five shaded components are newly stored at analysis level 2.

図21は、構成要素情報記憶手段7に格納される構成要素情報のうち、構成要素包含関係の、分析レベル2における格納例である。構成要素包含関係は、構成要素名称、包含構成要素から構成され、構成要素ごとに、どの構成要素が包含されているかという関係を示している。網掛けした5つの構成要素が、分析レベル2で新規に格納された構成要素である。 FIG. 21 shows an example of storage at the analysis level 2 of the component inclusion relationship among the component information stored in the component information storage means 7. The constituent element inclusion relationship is composed of constituent element names and inclusion constituent elements, and indicates a relation as to which constituent element is included for each constituent element. The five shaded components are newly stored at analysis level 2.

図22は、アクセス点抽出手段2が提供する図式言語エディタの表示例である。アクセス点抽出手段2は、追加された構成要素に対するアクセス点の抽出とアクセス点IDの付与を行う。網掛けした5つのアクセス点が、分析レベル2で新規に追加された構成要素に基づいて、抽出されたアクセス点である。 FIG. 22 is a display example of a graphical language editor provided by the access point extraction means 2. The access point extraction unit 2 extracts an access point and assigns an access point ID to the added component. The five access points shaded are access points extracted based on the components newly added at the analysis level 2.

アクセス点の抽出は、以下の手順で行う。 The access point is extracted by the following procedure.

1)新たに追加された構成要素eについて、構成要素eの構成要素種別が、通信経路なら、通信系路上にアクセス点を1つ作成し、コンポーネントなら、コンポーネント上の他の構成要素やアクセス点との接続点、すべてにアクセス点を作成する。 1) For the newly added component e, if the component type of the component e is a communication route, create one access point on the communication path, and if it is a component, create another access point or access point on the component Create access points at all connection points.

図22において、内部ネットワークの構成要素種別が通信経路なので、通信系路上にアクセス点が1つ作成されている。また、Webサーバ16は、構成要素種別がコンポーネントなので、Webサーバ16上の内部ネットワーク15との接続点、および他のアクセス点であるアクセス点5との接続点に、アクセス点を作成している。DBサーバについても同様に作成できる。 In FIG. 22, since the component type of the internal network is a communication path, one access point is created on the communication system path. In addition, since the component type of the Web server 16 is a component, access points are created at the connection point with the internal network 15 on the Web server 16 and the connection point with the access point 5 which is another access point. . A DB server can be created in the same way.

2)新たに追加された構成要素で、アクセス点が抽出されていないものがあれば1)へ
3)終了
新たに抽出されたアクセス点のアクセス点IDは、階層関係を明示できるように次の手順で決定する。 2) If there is a newly added component for which no access point has been extracted, go to 1) 3) Finish The access point ID of the newly extracted access point is as follows so that the hierarchical relationship can be clearly indicated Determine by procedure.

1)新たに追加された構成要素のうち、構成要素種別がコンポーネントと通信経路であるものについて、識別番号(1、2、3、・・・)を付与する。 1) An identification number (1, 2, 3,...) Is assigned to a component whose component type is a component and a communication path among newly added components.

図22では、Webサーバが1、DBサーバが2、内部ネットワークが3としている。 In FIG. 22, the Web server is 1, the DB server is 2, and the internal network is 3.

2)新たに抽出したアクセス点aについて、aと直接または通信経路を介して接続する上位層の構成要素のアクセス点でのIDを取得する。 2) For the newly extracted access point a, obtain the ID at the access point of the upper layer component connected to a directly or via a communication path.

図22のアクセス点D-1では、通信経路である内部ネットワークを介して接続する文書管理サーバシステムのアクセス点でのアクセス点ID(=D)を取得する。 At the access point D-1 in FIG. 22, the access point ID (= D) at the access point of the document management server system connected via the internal network that is the communication path is acquired.

3)2)で取得したIDと、1)で付与したアクセス点aが所属する構成要素の識別番号を結合して、アクセス点aのアクセス点IDを決定する。 3) The access point ID of the access point a is determined by combining the ID acquired in 2) with the identification number of the component to which the access point a assigned in 1) belongs.

図22のアクセス点D-1では、2)で取得したID(=D)と、Webサーバの識別番号(=1)をハイフンで結合して、「D-1」をアクセス点IDとしている。上記手順により決定したアクセス点IDからは、そのアクセス点の派生元(上位層の)のアクセス点を読み取ることができる。図22のアクセス点D-1は、アクセス点Dから派生したものであることが識別できる。 In the access point D-1 in FIG. 22, the ID (= D) acquired in 2) and the web server identification number (= 1) are combined with a hyphen, and “D-1” is set as the access point ID. From the access point ID determined by the above procedure, the access point from which the access point is derived (upper layer) can be read. The access point D-1 in FIG. 22 can be identified as being derived from the access point D.

分析レベル1と同様に、アクセス点をクリックすることによって、アクセス点の利用方法を入力することができる(エディタ表示例による説明は分析レベル1と同様に行われるため省略する)。 As with analysis level 1, by clicking on an access point, the access point utilization method can be entered (the description with the editor display example is the same as in analysis level 1 and is omitted).

図23は、アクセス点情報記憶手段に格納されるアクセス点情報の、分析レベル2における格納例である。ただし、アクセス点D、アクセス点E、およびそれらから派生されたアクセス点以外は、省略してある。新たに追加されたアクセス点に関する利用方法は、上位のアクセス点の利用方法を継承して作成する。アクセス点の利用方法の継承は、以下の手順で行う。 FIG. 23 is an example of storage at the analysis level 2 of access point information stored in the access point information storage means. However, access point D, access point E, and access points derived from them are omitted. The usage method relating to the newly added access point is created by inheriting the usage method of the upper access point. The access point usage method is inherited by the following procedure.

1)上位の分析レベルのアクセス点のうち所属構成要素の順序関係の若いアクセス点aについて、
1−1)アクセス点aの利用方法を、アクセス点Aから派生したアクセス点の利用方法として複製する。アクセス点Dの利用方法を、アクセス点D-1、D-2、D-3の利用方法の利用方法として複製した。 1) Among the access points at the higher analysis level, for the access point a with a younger order relation of the belonging component,
1-1) The method of using the access point a is duplicated as a method of using the access point derived from the access point A. The method of using access point D was duplicated as the method of using access points D-1, D-2, and D-3.

1−2)複製した利用方法について、
1−2−1)「どこから」と「どこの」の部分で、上位の分析レベルのアクセス点の所属構成要素と同じ要素を、複製したアクセス点の所属構成要素で置き換える。 1-2) Regarding the usage method copied
1-2-1) In the “from” and “where” portions, the same element as the belonging component of the access point of the higher analysis level is replaced with the belonging component of the duplicated access point.

1−2−2)所属構成要素の構成要素種別が、コンポーネントである場合、「どこの」と「なにを」が、構成要素情報の包含関係を満たしていない場合、所属構成要素に含まれる構成要素種別が「プログラム」であるものに置き換え、「どうする」を「使用する」に置き換える。   1-2-2) When the component type of the belonging component is a component, “where” and “what” do not satisfy the inclusion relationship of the component information, and are included in the belonging component Replace the component type with “Program” and replace “What” with “Use”.

アクセス点D-1の利用方法(識別番号1)では、変更前「Webサーバの文書データ」となっており、包含関係を満たしていない。このため「なにを」は文書データからWebソフトウェアに置き換えた。順序関係が上位のコンポーネントが存在する場合、「どこから」を上位のコンポーネントに置き換える。   In the method of using access point D-1 (identification number 1), it is “Web server document data” before the change, and the inclusion relationship is not satisfied. For this reason, “What” was replaced from document data to Web software. When there is a higher order component, “From” is replaced with the higher order component.

アクセス点D-2の利用方法(識別番号1)では、「どこから」を、上位のコンポーネントであるWebサーバに置き換えた。通信経路である場合、「どうする」を「中継する」に置き換える。 In the method of using access point D-2 (identification number 1), “From” was replaced with the Web server, which is a higher component. If it is a communication path, replace “how” with “relay”.

アクセス点D-3の利用方法(識別番号1)では、「どうする」を「中継する」に置き換えた。   In the method of using access point D-3 (identification number 1), “how” is replaced with “relay”.

1−4)継承の結果、想定される利用方法でないものは削除する。   1-4) As a result of inheritance, those that are not supposed to be used are deleted.

アクセス点E-2の利用方法(識別番号1)は、継承により「なにを」の「利用者識別データ」が「DBソフトウェア」となるが、DBサーバからDBサーバのDBソフトウェアを使用することはないので削除する。   The access point E-2 usage method (identification number 1) is that the “user identification data” of “What” is changed to “DB software” by inheritance, but the DB software of the DB server must be used from the DB server. Because there is no, delete.

1−3)他に、複製した利用法が存在する場合は、1−2)へ。   1-3) If there are other usages that have been duplicated, go to 1-2).

2)他に、上位の分析レベルのアクセス点が存在する場合は、1)へ。 2) If there are other access points of higher analysis level, go to 1).

3)終了
図24は、セキュリティ脅威情報記憶手段に格納されるセキュリティ脅威情報の、分析レベル2における格納例である。ただし、アクセス点D、アクセス点E(次ページ)、およびそれらから派生されたアクセス点以外は、省略してある。新たに追加されたアクセス点に関するセキュリティ脅威は、基本的に上位のアクセス点のセキュリティ脅威を継承して作成する。 3) End FIG. 24 is an example of storage at the analysis level 2 of security threat information stored in the security threat information storage means. However, access point D, access point E (next page), and access points derived from them are omitted. The security threat related to the newly added access point is basically created by inheriting the security threat of the upper access point.

アクセス点のセキュリティ脅威の継承は、以下の手順で行う。 Access point security threats are inherited by the following procedure.

1)上位の分析レベルのアクセス点のうち所属構成要素の順序関係の若いアクセス点aについて、
1−1)アクセス点aのセキュリティ脅威を、アクセス点aから派生したアクセス点のセキュリティ脅威として複製する。 1) Among the access points at the higher analysis level, for the access point a with a younger order relation of the belonging components,
1-1) The security threat at the access point a is replicated as a security threat at the access point derived from the access point a.

アクセス点Dのセキュリティ脅威を、アクセス点D-1、D-2、D-3のセキュリティ脅威の利用方法として複製した。   The security threat at access point D was replicated as a method of using the security threat at access points D-1, D-2, and D-3.

1−2)複製したセキュリティ脅威について、
1−2−1)「どこから」と「どこの」の部分で、上位の分析レベルのアクセス点の所属構成要素と同じ要素を、複製したアクセス点の所属構成要素で置き換える。 1-2) Regarding copied security threats
1-2-1) In the “from” and “where” portions, the same element as the belonging component of the access point of the higher analysis level is replaced with the belonging component of the duplicated access point.

1−2−2)所属構成要素の構成要素種別が、コンポーネントである場合、「どこの」と「なにを」が、構成要素情報の包含関係を満たしていない場合、所属構成要素に含まれる構成要素種別が「プログラム」であるものに置き換え、「どうする」を「使用する」に置き換える。   1-2-2) When the component type of the belonging component is a component, “where” and “what” do not satisfy the inclusion relationship of the component information, and are included in the belonging component Replace the component type with “Program” and replace “What” with “Use”.

アクセス点D-1のセキュリティ脅威(識別番号1)では、変更前「Webサーバの文書データ」となっており、包含関係を満たしていない。このため「なにを」は文書データからWebソフトウェアに置き換えた。順序関係が上位のコンポーネントが存在する場合、「どこから」を上位のコンポーネントに置き換える。   The security threat (identification number 1) at access point D-1 is “Web server document data” before the change, and does not satisfy the inclusion relationship. For this reason, “What” was replaced from document data to Web software. When there is a higher order component, “From” is replaced with the higher order component.

アクセス点D-2のセキュリティ脅威(識別番号1)では、「どこから」を、上位のコンポーネントであるWebサーバに置き換えた。通信経路である場合、「どうする」を「盗聴する」に置き換える。   In the security threat at access point D-2 (identification number 1), “from where” was replaced with the higher-level component Web server. If it is a communication path, replace “how” with “sniff”.

アクセス点D-3のセキュリティ脅威(識別番号1)では、「どうする」を「盗聴する」に置き換えた。   In the security threat at access point D-3 (identification number 1), "how to" was replaced with "tapping".

1−4)継承の結果、セキュリティ脅威とならないものは削除する。   1-4) Delete those that are not security threats as a result of inheritance.

1−3)他に、複製したセキュリティ脅威が存在する場合は、1−2)へ。   1-3) If a duplicated security threat exists, go to 1-2).

2)他に、上位の分析レベルのアクセス点が存在する場合は、1)へ。 2) If there are other access points of higher analysis level, go to 1).

3)終了
図25は、セキュリティ脅威情報記憶手段9に格納されるセキュリティ脅威情報の、分析レベル2における格納例の続きで、アクセス点Eに関連するセキュリティ脅威を示している。以降、セキュリティ脅威入力手段、およびセキュリティ脅威検証支援手段、および対策実施レベル入力手段については、分析レベル1と同様に処理されるため、省略する。 3) End FIG. 25 shows a security threat related to the access point E, which is a continuation of the storage example at the analysis level 2 of the security threat information stored in the security threat information storage means 9. Hereinafter, the security threat input unit, the security threat verification support unit, and the countermeasure implementation level input unit are processed in the same manner as in the analysis level 1 and thus are omitted.

本発明のセキュリティ分析支援システムの構成を示すブロック図である。It is a block diagram which shows the structure of the security analysis assistance system of this invention. セキュリティ脅威分析の対象として用いる文書管理システムのシステム構成図である。1 is a system configuration diagram of a document management system used as a security threat analysis target. FIG. 分析対象入力手段1が提供する図式言語エディタの表示例を示す図である。FIG. 6 is a diagram showing a display example of a graphical language editor provided by the analysis target input means 1. 構成要素情報記憶手段7に格納されている構成要素情報のうち、構成要素定義の、分析レベル1における格納例を示す図である。FIG. 5 is a diagram showing an example of storage at the analysis level 1 of the component element definition among the component element information stored in the component element information storage unit 7. 構成要素情報記憶手段7に格納されている構成要素情報のうち、構成要素接続関係の、分析レベル1における格納例を示す図である。FIG. 5 is a diagram showing an example of storage at the analysis level 1 of the component connection relation among the component element information stored in the component element information storage unit 7. 構成要素情報記憶手段7に格納されている構成要素情報のうち、構成要素包含関係の、分析レベル1における格納例を示す図である。FIG. 5 is a diagram showing an example of storage at the analysis level 1 of the component element inclusion relationship among the component element information stored in the component element information storage unit 7. アクセス点抽出手段2が提供する図式言語エディタの表示例を示す図である。6 is a diagram showing a display example of a graphical language editor provided by access point extraction means 2. FIG. アクセス点抽出手段2が提供する図式言語エディタにおいて、アクセス点部分をクリックした際のアクセス点利用方法入力手段3の表示例を示す図である。FIG. 10 is a diagram showing a display example of an access point utilization method input unit 3 when an access point part is clicked in a graphical language editor provided by the access point extraction unit 2; アクセス点情報記憶手段8に格納されているアクセス点情報の、分析レベル1における格納例を示す図である。7 is a diagram showing an example of storage at the analysis level 1 of access point information stored in the access point information storage means 8. FIG. セキュリティ脅威入力手段4が提供する図式言語エディタの表示例を示す図である。6 is a diagram showing a display example of a graphical language editor provided by the security threat input means 4. FIG. アクセス点抽出手段2が提供する図式言語エディタにおいて、アクセス点をクリックした際に表示されるセキュリティ脅威編集手段5の表示例を示す図である。FIG. 10 is a diagram showing a display example of security threat editing means 5 displayed when an access point is clicked in the graphical language editor provided by access point extracting means 2. セキュリティ脅威情報記憶手段4に格納されているセキュリティ脅威情報の、分析レベル1における格納例を示す図である。7 is a diagram showing an example of storage at security level 1 of security threat information stored in security threat information storage means 4. FIG. セキュリティ脅威検証支援手段6のセキュリティ脅威分類条件設定ウインドウの表示例を示す図である。FIG. 11 is a view showing a display example of a security threat classification condition setting window of the security threat verification support means 6. セキュリティ脅威検証支援手段6による図13の分類条件によるセキュリティ脅威の分類結果の表示例を示す図である。FIG. 14 is a diagram showing a display example of security threat classification results based on the classification conditions of FIG. 13 by the security threat verification support means 6. セキュリティ脅威検証支援手段6により抽出された、3つの新しいセキュリティ脅威が追加された分類結果の表示例を示す図である。It is a figure which shows the example of a display of the classification result to which the three new security threats extracted by the security threat verification assistance means 6 were added. 対策実施レベルの分析レベル1における表示を示す図である。It is a figure which shows the display in the analysis level 1 of a countermeasure implementation level. 対策実施レベルが設定されたセキュリティ脅威情報を示す図である。It is a figure which shows the security threat information to which the countermeasure implementation level was set. 分析対象入力手段1が提供する図式言語エディタの表示例を示す図である。FIG. 6 is a diagram showing a display example of a graphical language editor provided by the analysis target input means 1. 構成要素情報記憶手段7に格納される構成要素情報のうち、構成要素定義の、分析レベル2における格納例を示す図である。It is a figure which shows the example of a storage in the analysis level 2 of a component element definition among the component element information stored in the component element information storage means 7. FIG. 構成要素情報記憶手段7に格納される構成要素情報のうち、構成要素接続関係の、分析レベル2における格納例を示す図である。It is a figure which shows the example of a storage in the analysis level 2 of the component connection relation among the component information stored in the component information storage means 7. FIG. 構成要素情報記憶手段7に格納される構成要素情報のうち、構成要素包含関係の、分析レベル2における格納例を示す図である。FIG. 5 is a diagram showing a storage example at an analysis level 2 of component element inclusion relationships among the component element information stored in the component element information storage unit 7. アクセス点抽出手段2が提供する図式言語エディタの表示例を示す図である。6 is a diagram showing a display example of a graphical language editor provided by access point extraction means 2. FIG. アクセス点情報記憶手段に格納されるアクセス点情報の、分析レベル2における格納例を示す図である。It is a figure which shows the example of a storage in the analysis level 2 of the access point information stored in an access point information storage means. セキュリティ脅威情報記憶手段9に格納されるセキュリティ脅威情報の、分析レベル2における格納例を示す図である。It is a figure which shows the example of a storage in the analysis level 2 of the security threat information stored in the security threat information storage means 9. FIG. セキュリティ脅威情報記憶手段9に格納されるセキュリティ脅威情報の、分析レベル2における格納例の続きを示す図である。FIG. 10 is a diagram showing a continuation of an example of storage of security threat information stored in security threat information storage means 9 at analysis level 2;

符号の説明Explanation of symbols

1 分析対象入力手段
2 アクセス点抽出手段
4 セキュリティ脅威入力手段
6 セキュリティ脅威検証支援手段 1 Analytical input method
2 Access point extraction means
4 Security threat input means
6 Security threat verification support means

Claims (3)

分析対象となるシステムを構成する構成要素の名称、種別、接続関係、包含関係からなる構成要素情報を入力する分析対象入力手段と、前記分析対象入力手段によって入力された構成要素情報に基づき、構成要素間のアクセス点を抽出するアクセス点抽出手段と、前記アクセス点抽出手段によって抽出されたアクセス点について、どのような攻撃を受ける可能性があるかを示すセキュリティ脅威情報を入力するセキュリティ脅威入力手段と、前記セキュリティ脅威情報を所定の条件に基づいて分類するセキュリティ脅威検証支援手段とを有すること特徴とするセキュリティ脅威分析支援システム。 Based on the component input information input by the analysis target input unit, the analysis target input unit that inputs the component element information including the name, type, connection relationship, and inclusion relationship of the component configuring the system to be analyzed. Access point extracting means for extracting access points between elements, and security threat input means for inputting security threat information indicating what kind of attack is likely to be applied to the access points extracted by the access point extracting means And a security threat analysis support system for classifying the security threat information based on a predetermined condition. 分析対象となるシステムを構成する構成要素の名称、種別、接続関係、包含関係からなる構成要素情報を入力するステップと、入力された構成要素情報に基づき、構成要素間のアクセス点を抽出するステップと、抽出された前記アクセス点について、どのような攻撃を受ける可能性があるかを示すセキュリティ脅威情報を入力するステップと、前記セキュリティ脅威情報を所定の条件に基づいて分類するステップとを有すること特徴とするセキュリティ脅威分析支援方法。 A step of inputting component element information consisting of names, types, connection relationships, and inclusion relationships of components constituting the system to be analyzed, and a step of extracting access points between the components based on the input component element information And inputting security threat information indicating what kind of attack is likely to be applied to the extracted access point, and classifying the security threat information based on a predetermined condition. A characteristic security threat analysis support method. 分析対象となるシステムを構成する構成要素の名称、種別、接続関係、包含関係からなる構成要素情報を入力するステップと、入力された構成要素情報に基づき、構成要素間のアクセス点を抽出するステップと、抽出された前記アクセス点について、どのような攻撃を受ける可能性があるかを示すセキュリティ脅威情報を入力するステップと、前記セキュリティ脅威情報を所定の条件に基づいて分類するステップとをコンピュータに実行させるためのセキュリティ脅威分析支援プログラム。 A step of inputting component element information consisting of names, types, connection relationships, and inclusion relationships of components constituting the system to be analyzed, and a step of extracting access points between the components based on the input component element information And a step of inputting security threat information indicating what kind of attack is likely to be applied to the extracted access point, and a step of classifying the security threat information based on a predetermined condition. Security threat analysis support program to be executed.
JP2007074346A 2007-03-22 2007-03-22 Security threat analysis support system, method therefor, and security threat analysis support program Withdrawn JP2008234409A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007074346A JP2008234409A (en) 2007-03-22 2007-03-22 Security threat analysis support system, method therefor, and security threat analysis support program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007074346A JP2008234409A (en) 2007-03-22 2007-03-22 Security threat analysis support system, method therefor, and security threat analysis support program

Publications (1)

Publication Number Publication Date
JP2008234409A true JP2008234409A (en) 2008-10-02

Family

ID=39907096

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007074346A Withdrawn JP2008234409A (en) 2007-03-22 2007-03-22 Security threat analysis support system, method therefor, and security threat analysis support program

Country Status (1)

Country Link
JP (1) JP2008234409A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011086201A (en) * 2009-10-16 2011-04-28 Fujitsu Ltd Test program, test method, and test device
EP2933749A1 (en) 2014-04-16 2015-10-21 Hitachi, Ltd. System security design support device, and system security design support method
JP2022141966A (en) * 2016-01-24 2022-09-29 ハサン・シェド・カムラン Computer security by artificial intelligence

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011086201A (en) * 2009-10-16 2011-04-28 Fujitsu Ltd Test program, test method, and test device
EP2933749A1 (en) 2014-04-16 2015-10-21 Hitachi, Ltd. System security design support device, and system security design support method
JP2022141966A (en) * 2016-01-24 2022-09-29 ハサン・シェド・カムラン Computer security by artificial intelligence

Similar Documents

Publication Publication Date Title
Kim et al. Data governance framework for big data implementation with NPS Case Analysis in Korea
CN111417954B (en) Data de-identification based on detection of allowable configurations of data de-identification process
US20190155663A1 (en) Software bot conflict-resolution service agent
Kim et al. Data governance framework for big data implementation with a case of Korea
CN108427731A (en) Processing method, device, terminal device and the medium of page code
KR20090007566A (en) Method and computer readable medium for model based event processing
KR20200057903A (en) Artificial intelligence model platform and operation method thereof
KR20170101624A (en) System for monitoring digital contents and method for processing thereof
CN108718307A (en) A kind of behavior retrospect detection method internally threatened below IaaS cloud environment
JP2008234409A (en) Security threat analysis support system, method therefor, and security threat analysis support program
Oesterling et al. Operationalizing the blueprint for an ai bill of rights: Recommendations for practitioners, researchers, and policy makers
JP4585925B2 (en) Security design support method and support device
CN106708897A (en) Quality assurance method, device and system for data warehouse
CN118869268A (en) API risk control method, device, electronic device and storage medium
JP2018180595A (en) Security countermeasure proposal device, security countermeasure proposal method and program
JP2009053896A (en) Unauthorized operation detector and program
CN116483707A (en) Test method, test device, test apparatus, test program, and test program
Ezhilmathi et al. Multiclass Words Analysis Using Supervised Learning Technique in Community Network
JP6274090B2 (en) Threat analysis apparatus and threat analysis method
CN113849386A (en) Log data generation method and device, storage medium and electronic equipment
Hayat et al. A goal based framework by adopting square process for privacy and security requirement engineering
CN115080960B (en) A security policy detection method, related device and storage medium
JP4625353B2 (en) Security design support method, security design support device, and security design support program
KR102780417B1 (en) Security event analysis and visualization apparatus and method based on graph random walk with restart
Bayramova et al. The Role of Blockchain Technology in Augmenting Supply Chain Resilience to Cybercrime. Buildings 2021, 11, 283

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20100601