セキュリティ設計支援装置及びプログラム
【課題】脅威分析から得られたセキュリティ対策方針に関連したセキュリティ目標を確認でき、脅威分析だけではなく、システムの要求仕様から得られたセキュリティ対策方針とセキュリティ機能要件の設計をも支援することを可能にする。
【解決手段】セキュリティ設計支援装置100においては、セキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、複数のセキュリティ対策方針(O)及び1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報を記憶したゴールモデルDB101を備え、セキュリティ目標に基づいて読み出されたゴールモデル情報から抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成している。
【解決手段】セキュリティ設計支援装置100においては、セキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、複数のセキュリティ対策方針(O)及び1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報を記憶したゴールモデルDB101を備え、セキュリティ目標に基づいて読み出されたゴールモデル情報から抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成している。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、開発対象の情報システムやIT(Information Technology)製品(以下、情報システム等ともいう)におけるセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置及びプログラムに関する。
【背景技術】
【0002】
情報システム等のセキュリティ設計においては、上流工程で情報システム等が具備すべきセキュリティ機能要件を策定し、セキュリティシナリオデータを設計する必要がある。
【0003】
始めに、考えられる脅威とその対策方針をまとめたリストなどによって脅威分析が行われる。この脅威分析結果に基づいてセキュリティ対策方針が定められ、セキュリティ対策方針からセキュリティ機能要件が策定される。続いて、これら脅威分析結果、セキュリティ対策方針及びセキュリティ機能要件内の識別子、定義、対応関係等が整理されてセキュリティシナリオデータが設計される。
【0004】
設計されたセキュリティシナリオデータは、セキュリティ設計書であるセキュリティターゲットST(security target)やセキュリティ要件定義書の作成に用いられる。
【0005】
セキュリティターゲットSTは、情報システム等のセキュリティ基本仕様となる文書であり、セキュリティ機能を保証する国際規格であるセキュリティ国際標準(ISO/IEC15408: International Organization for Standardization / International Electrotechnical Commission 15408)の評価認証に用いられる。セキュリティ要件定義書は、セキュリティ設計の上流工程で作成される要求定義書の中のセキュリティに関する要件をまとめた文書である。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−287496号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、以上のようなセキュリティ設計手法は、本発明者の検討によれば、以下の点で改良の余地がある。
【0008】
すなわち、従来のセキュリティ設計手法は、脅威分析から得られるセキュリティ対策方針と、本来、情報システムが満たすべきセキュリティ目標との関連が分かりにくいことから、セキュリティ目標に基づくセキュリティ対策方針からセキュリティ機能要件への落とし込みが不十分となり易い点で改良の余地があると考えられる。
【0009】
本発明は上記実情を考慮してなされたもので、脅威分析から得られたセキュリティ対策方針に関連したセキュリティ目標を確認でき、システムの要求仕様から得られるセキュリティ対策方針とセキュリティ機能要件の設計をも支援し得るセキュリティ設計支援装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明の一つの局面は、「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置であって、「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を記憶した十分性文書雛形記憶手段と、「ゴールとしてのセキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」を記憶し、且つ前記ゴールモデル情報内のセキュリティ機能要件識別子は、前記十分性文書雛形記憶手段内の各セキュリティ機能要件識別子のいずれかに一致しているゴールモデル情報記憶手段と、「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び前記脅威識別子に関連する関係者識別子を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前記前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO)、及び前記セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び前記根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び前記運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び前記組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける脅威分析結果入力受付手段と、前記入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成手段と、前記入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成手段と、前記入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成手段と、前記ゴールモデル情報記憶手段内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付手段と、前記選択を受け付けたセキュリティ目標に基づいて、前記ゴールモデル情報記憶手段内のゴールモデル情報を読み出すゴールモデル情報読出手段と、前記読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、前記入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較手段と、前記比較の結果、前記脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)を前記ゴールモデル情報から抽出する抽出手段と、前記抽出されたセキュリティ対策方針(O)で前記脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、前記読み出されたゴールモデル情報と前記脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成手段と、前記生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちの前記ゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、前記十分性文書雛形記憶手段からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成手段と、前記ゴールモデル−脅威分析合成情報、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データに基づいて、前記セキュリティシナリオデータを作成するセキュリティシナリオデータ作成手段と、を備えたセキュリティ設計支援装置である。
【0011】
なお、本発明の一つの局面は、装置として表現したが、これに限らず、方法、プログラム、プログラムを記憶したコンピュータ読取り可能な記憶媒体などとして表現することができる。
【0012】
(作用)
本発明の一つの局面においては、セキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、複数のセキュリティ対策方針(O)及び1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報を記憶したゴールモデル情報記憶手段を備え、セキュリティ目標に基づいて読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、脅威分析結果内のセキュリティ対策方針(UO)とを比較し、ゴールモデル情報から抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成している。
【0013】
このとき、脅威分析結果内のセキュリティ対策方針(UO)は、一体化されたセキュリティ対策方針(O)を介してゴールモデル情報内のセキュリティ目標に関連している。このため、脅威分析から得られたセキュリティ対策方針(UO)に関連したセキュリティ目標を確認することができる。
【0014】
また、ゴールモデル情報において一体化に用いなかった他のセキュリティ対策方針及びセキュリティ機能要件識別子は、脅威分析結果だけでなく、システムの要求仕様のゴール指向分析結果から得られたものであるが、セキュリティ目標及び一体化に用いたセキュリティ対策方針を介して脅威分析結果に関連付けられる。このため、脅威分析だけではなく、システムの要求仕様から得られたセキュリティ対策方針とセキュリティ機能要件の設計をも支援することができる。
【発明の効果】
【0015】
以上説明したように本発明によれば、脅威分析から得られたセキュリティ対策方針に関連したセキュリティ目標を確認でき、脅威分析だけではなく、システムの要求仕様から得られたセキュリティ対策方針とセキュリティ機能要件の設計をも支援できる。
【図面の簡単な説明】
【0016】
【図1】本発明の概要を説明するための模式図である。
【図2】本発明の第1の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。
【図3】同実施形態におけるゴールモデルを説明するための模式図である。
【図4】同実施形態におけるゴールモデルの一例を示す模式図である。
【図5】同実施形態におけるゴールモデル情報の一例を示す模式図である。
【図6】同実施形態における関係者一覧表データの一例を示す模式図である。
【図7】同実施形態における保護資産一覧表データの一例を示す模式図である。
【図8】同実施形態における脅威−対策対応表データの一例を示す模式図である。
【図9】同実施形態における対策−機能対応表データの一例を示す模式図である。
【図10】同実施形態におけるセキュリティシナリオの一例を示す模式図である。
【図11】同実施形態におけるミスユースケース図の一例を示す模式図である。
【図12】同実施形態におけるミスユースケース図の一例を示す模式図である。
【図13】同実施形態における脅威分析結果の一例を示す模式図である。
【図14】同実施形態における全体動作を説明するためのフローチャートである。
【図15】同実施形態における合成動作を説明するためのフローチャートである。
【図16】同実施形態における入力を促す動作を説明するための模式図である。
【図17】同実施形態における検証動作を説明するための模式図である。
【図18】同実施形態におけるセキュリティ要件定義書の生成動作を説明するための模式図である。
【図19】同実施形態におけるセキュリティターゲットの生成動作を説明するための模式図である。
【図20】本発明の第2の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。
【図21】本発明の第3の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。
【発明を実施するための形態】
【0017】
以下、本発明の各実施形態について図面を用いて説明するが、その前に、本発明の概要を述べる。本発明の概要は、図1に示すように、利用者による脅威分析の入力範囲に対し、セキュリティ目標(ゴール)、セキュリティ対策方針(ソフトゴール)及びセキュリティ要件(要求)の3段階を再定義したゴールモデルを補足適用することにより、脅威分析から得られたセキュリティ対策方針(UO⊆O)に関連したセキュリティ目標(CIAA+)を確認でき、脅威分析結果だけではなく、システムの要求仕様から得られたセキュリティ対策方針(O)とセキュリティ要件の設計をも支援可能とするものである。
【0018】
このような概要のセキュリティ設計支援装置としては、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体からセキュリティ設計支援装置(コンピュータ)にインストールされ、セキュリティ設計支援装置に各機能を実現させるためのプログラムが用いられる。
【0019】
(第1の実施形態)
図2は本発明の第1の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。このセキュリティ設計支援装置100は、ゴールモデルDB(Database)101、十分性文書雛形DB102、ST雛形DB103、記憶部104、シナリオデータ記憶部105、セキュリティデータ記憶部106、入出力部107、ユースケース処理部108、ゴール指向分析処理部109及び処理エンジン110を備えている。
【0020】
ゴールモデルDB101は、概略的には、ゴール指向分析におけるセキュリティ目標から対策方針、ISO/IEC15408 Part2のセキュリティ機能要件を基にしたセキュリティ要件までのゴールモデルのデータベースである。
【0021】
ゴール指向分析とは、開発対象の情報システム等が達成すべき多種の目標を多様な抽象度から分析するための手法であり、図3に示すように、情報システム等の目標となるゴール(セキュリティ目標)、ゴールを満たすソフトゴール(対策方針)、ゴールを達成するための要求(要件)、期待(前提条件)、ドメインプロパティ(OSP:組織のセキュリティ対策方針)などに分解してゴールモデルを表現する。
【0022】
この手法を用いると、例えば「アクセス制御を行う」というシステムのセキュリティに対する仕様あるいは対策方針がなぜ必要かということがWhy分析によりセキュリティ目標であるゴールで示され、どのように実現するのかということがHow分析により要件として抽出できるという効果がある。
【0023】
なお、ゴール指向要求分析手法の一つであるKAOS法のゴールモデルは、ゴール、ソフトゴール、要求の3段階を定義しており、本実施形態では、ゴールをセキュリティ目標、ソフトゴールをセキュリティ対策方針、要求をセキュリティ要件、期待を前提条件、ドメインプロパティを組織のセキュリティ対策方針(OSP)と再定義している。
【0024】
セキュリティ目標を、例えばGMITS(Guidelines for the Management of IT Security)のセキュリティ特性である機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)、責任追跡性(Accountability)等とする(CIAA+)。セキュリティ目標をデータとサービスに分けてもよい。セキュリティ対策方針とセキュリティ要件を、例えばISO/IEC15408 Part2のセキュリティ機能要件(SFR:Security Functional Requirements)に準拠して、対策方針をクラス、ファミリの要素で分類し、セキュリティ要件をコンポーネントの要素で分類する。決定したセキュリティ目標・対策方針・要件のつながりをゴールモデル書式に従って定義する。
【0025】
ゴールモデルを表すゴールモデル情報は、予め策定してゴールモデルDB101に書き込んでおく。「データの機密性」に関するゴールモデルの一部の例を図4に示す。この例では、「データの機密性が満たされる」というゴール(セキュリティ目標)に対し、「識別認証に成功した利用者のみに、操作が許可される(識別子:O.識別認証)」と「操作履歴のログが取得され、監査証跡として保管される(識別子:O.監査証跡)」という2つのソフトゴール(対策方針(O))を持ち、それぞれセキュリティ機能コンポーネント(FIA_UID.2, FIA_UAU.2, FIA_AFL.1, FIA_SOS.1と、FAU_GEN.1,FAU.SAR.1,FAU.STG.1)を要件(セキュリティ要件)としてモデル化している。
【0026】
このような概略を持つゴールモデルDB101は、具体的には、処理エンジン110により読出/書込可能な記憶部であり、図5に示すように、「ゴールとしてのセキュリティ目標(不図示)毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)(対策方針種別に関連する定義)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子(セキュリティ対策方針識別子に関連する関連識別子)を含むゴールモデル情報」を記憶している。ここで、ゴールモデル情報内のセキュリティ機能要件識別子は、十分性文書雛形DB102内の各セキュリティ機能要件識別子のいずれかに一致している。すなわち、ゴールモデル情報に含まれるセキュリティ機能要件識別子に基づいて、十分性文書雛形DB102内のセキュリティ機能要件十分性文書情報を検索可能となっている。なお、図5に示したゴールモデル情報は、前述した「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(O)及びセキュリティ対策方針(O)に関連したセキュリティ機能要件識別子」以外にも、図示しないセキュリティ目標毎に、「機能種別、セキュリティ機能要件識別子及び当該セキュリティ機能要件識別子に関連するセキュリティ対策方針識別子からなる機能−対策識別子関連情報」と、「根拠種別、根拠識別子、根拠定義及び当該根拠識別子に関連するセキュリティ機能要件識別子からなる根拠−機能関連情報」とを含んでいる。但し、これら機能−対策識別子関連情報及び根拠−機能関連情報は、任意の付加的事項であり、ゴールモデル情報から省略可能となっている。
【0027】
補足すると、図4に示したゴールモデル図においては、図5に示したゴールモデル情報に基づき、図4中の種別内識別子毎に、種別、定義及び関連識別子を表示可能となっている。具体的には例えば、ゴール指向分析処理部109は、ゴールモデル図の種別内識別子がクリックされると、当該クリックされた種別内識別子に基づいて、処理エンジン110によりゴールモデルDB101内のゴールモデル情報を検索し、当該検索により得られた種別、定義及び関連識別子をウインドウ画面に表示する。この補足内容は図3に示したゴールモデル図でも同様である。
【0028】
十分性文書雛形DB102は、処理エンジン110により読出/書込可能な記憶部であり、「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を記憶している。
【0029】
なお、十分性文書情報は、セキュリティターゲットSTの「根拠」を表す箇所の文書情報であり、根拠文書情報などと読み替えてもよい。
【0030】
ST雛形DB103は、処理エンジン110により読出/書込可能な記憶部であり、セキュリティターゲットSTの雛形データを記憶している。
【0031】
記憶部104は、処理エンジン110により読出/書込可能であり、処理エンジン110の処理途中のデータが一時的に書き込まれる。
【0032】
シナリオデータ記憶部105は、処理エンジン110により読出/書込可能であり、図6乃至図9に示すように、「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータを記憶するために用いられる。
【0033】
補足すると、セキュリティシナリオデータとは、セキュリティシナリオやセキュリティ設計書の基になるデータで、開発すべき情報システム固有の(1)関係者と保護資産、(2)脅威(セキュリティ課題)とセキュリティ対策方針、(3)セキュリティ対策方針とセキュリティ要件、といった情報を種別、識別子、定義、対応関係、十分性の根拠について整理したデータである。なお、図6に示す関係者一覧表データは、関係者種別を含んでいるが、関係者種別は任意の付加的事項であり、関係者一覧表データから省略してもよい。同様に、図7に示す保護資産一覧表データは、保護資産種別を含んでいるが、保護資産種別は任意の付加的事項であり、保護資産一覧表データから省略してもよい。
【0034】
セキュリティデータ記憶部106は、処理エンジン110により読出/書込可能であって、処理エンジン110により作成されたセキュリティシナリオ及びセキュリティ設計書を記憶するために用いられる。
【0035】
セキュリティシナリオとは、図10に示すように、ISO/IEC15408 Part1で示されるセキュリティ課題(脅威、前提条件、OSP(Organizational Security Policy))とセキュリティ対策方針、セキュリティ要件の必要十分性をトレースできるように図示したものである。
【0036】
セキュリティ設計書は、セキュリティ設計の成果物の文書であり、例えば、セキュリティ要件定義書又はセキュリティターゲットSTである。
【0037】
入出力部107は、例えば、キーボード及びマウスといった入力装置と、液晶ディスプレイといった表示装置とからなるものであり、セキュリティ設計支援装置100と利用者との間の入出力インタフェースとして機能する。
【0038】
ユースケース処理部108は、概略的には、アセット(保護資産)ベースのミス(アブ)ユースケースの入力を受け付ける処理部であり、利用者による入出力部107の操作により、図11に示すように、保護すべき保護資産データに関するミス(アブ)ユースケース図及び記述情報(図示せず)が入力される。
【0039】
ミス(アブ)ユースケース図及び記述情報とは、開発対象システムの保護資産と通常のユースケース図及び記述情報に対し、ユースケースに脅威を引き起こすミスアクターと、脅威となるミスユースケースと、ミスユースケースを阻止するためのセキュリティ対策方針とを追加したミスユースケース図及び記述情報である。なお、図示しないが、実際には色々な脅威があることから、ミスアクター、ミスユースケース及びセキュリティ対策方針は、それぞれ複数が記述される。また、本実施形態で示すミスユースケース(miss use case)は、アブユースケース(abuse case)を含む。
【0040】
このような概略を持つユースケース処理部108は、具体的には、例えば図12に示すミスユースケース図に対応して図13に示すように、「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び脅威識別子に関連する関係者識別子の記述を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO:Use case Objectives)及び当該セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び当該根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び当該運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び当該組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける機能をもっている。
【0041】
補足すると、図12に示すミスユースケース図においては、図中の種別内識別子毎に、図13に示す如き、種別、定義及び関連識別子を入力可能となっている。具体的には例えば、ユースケース処理部108は、ミスユースケース図が種別内識別子毎にクリック呼出し可能な入力画面データを有する構造により、この入力画面データに基づいて入力画面を表示し、この入力画面に記述された種別、定義及び関連識別子の入力を受け付ければよい。
【0042】
ゴール指向分析処理部109は、ゴール指向分析によりシステム固有の要求部分の入力を受け付ける処理部であり、利用者による入出力部107の操作により、ゴールモデルDB101内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付機能をもっている。
【0043】
処理エンジン110は、概略的には、各処理部からの入力データと、ゴールモデルDB101及び十分性文書雛形DB102内の情報とに基づいて、「脅威−セキュリティ対策方針」と「セキュリティ対策方針−セキュリティ要件」の対応関係を示し、「脅威−セキュリティ対策方針」と「セキュリティ対策方針−セキュリティ要件」の十分性に関する根拠の文章雛形データベース(十分性文書雛形DB102)からセキュリティターゲットSTやセキュリティ要件定義書の基になるセキュリティシナリオデータと、このセキュリティシナリオデータを図式化したセキュリティシナリオとセキュリティ設計書を生成する。
【0044】
このような概略をもつ処理エンジン110は、具体的には以下の機能(f110-1)〜(f110-11)をもっている。
【0045】
(f110-1)「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、対応するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を十分性文書雛形DB102に書き込む機能。
【0046】
(f110-2) 「ゴールとしてのセキュリティ目標毎に、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」をゴールモデルDB101に書き込む機能。但し、ゴールモデル情報内のセキュリティ機能要件識別子は、十分性文書雛形DB102内のセキュリティ機能要件識別子のいずれかに一致している。
【0047】
(f110-3) ユースケース処理部108により入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成機能。
【0048】
(f110-4) ユースケース処理部108により入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成機能。
【0049】
(f110-5) ユースケース処理部108により入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成機能。
【0050】
(f110-6) ゴール指向分析処理部109により選択を受け付けたセキュリティ目標に基づいて、ゴールモデルDB101内のゴールモデル情報を読み出すゴールモデル情報読出機能。
【0051】
(f110-7) 読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較機能。
【0052】
(f110-8) 比較の結果、脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)をゴールモデル情報から抽出する抽出機能。
【0053】
(f110-9) 抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成機能。
【0054】
(f110-10) 生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちのゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、十分性文書雛形DB102からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成機能。
【0055】
(f110-11) ゴールモデル−脅威分析合成情報、作成された関係者一覧表データ、作成された保護資産一覧データ、作成された脅威−対策対応データ及び作成された対策−機能対応データに基づいて、セキュリティシナリオデータを作成するセキュリティシナリオデータ作成機能。
【0056】
ここで、セキュリティシナリオデータ作成機能は、以下の機能(f110-11-1)〜(f110-11-3)を含んでいる。
【0057】
(f110-11-1) ゴールモデル−脅威分析合成情報に基づいて、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」を作成する前提−運用対策対応表データ作成機能。
【0058】
(f110-11-2) ゴールモデル−脅威分析合成情報に基づいて、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」を作成する組織対策方針−対策方針対応表データ作成機能。
【0059】
(f110-11-3) 作成された前提−運用対策対応表データ、作成された組織対策方針−対策方針対応表データ、作成された関係者一覧表データ、作成された保護資産一覧表データ、作成された脅威−対策対応表データ及び作成された対策−機能対応表データを含むセキュリティシナリオデータを作成する機能。
【0060】
補足すると、ユースケース図やゴールモデルの図には、それぞれの要素の識別子(種別内識別子)が表示される。また、付属情報として要素の定義も入力ツールであるユースケース処理部108やゴール指向分析処理部109から利用者が入力できる。なお、ユースケース処理部108は、保護資産情報、アクター(関係者)、脅威、前提条件、対策方針及び根拠をユースケース図から入力できる。但し、ゴール指向分析処理部109が、前提条件、OSP、運用の対策方針をゴールモデル図から入力してもよい。これらユースケース図又はゴールモデル図に入力された識別子や定義を用いて、処理エンジン110は一覧表を生成する。十分性文書情報のみは、図の付属情報として利用者が入力してもよく、過去のSTデータや定型文書を基にした十分性文書雛形DB102から検索、参照して追加してもよい。処理エンジン110は、ユースケース処理部108から渡されたユースケース図に示された識別子とそれぞれの識別子の定義や属性、十分性文書情報といった付属情報の検索、参照と一覧表作成を実行する。
【0061】
ミスユースケースの入力情報により、関係者一覧表データ、保護資産一覧表データ、脅威−対策対応表データが処理エンジン110で作成される。対策−機能対応表データは、ゴールモデルDB101から選択されたセキュリティ対策方針(O)とユースケースのセキュリティ対策方針(UO)とから合成されたセキュリティ対策方針と、それぞれのセキュリティ対策方針に対応するセキュリティ機能(SFR)の識別子と、SFRごとに十分性文書雛形DB102に保存されている十分性文書を用いて、処理エンジン110により作成される。セキュリティ機能がゴールモデルDB101内のゴールモデル情報に無い場合は、利用者が新たにセキュリティ機能を入力でき、新たに入力されたセキュリティ機能に関する識別子、定義、対策に対する根拠といった情報を、処理エンジン110がゴールモデルDB101と十分性文書雛形DB102に追加する。
【0062】
また、図示しないが、図13に示した脅威分析結果と図5に示したゴールモデル情報とを合成してなるゴールモデル−脅威分析合成情報から得られる、前提条件−運用対策対応データ、OSP−対策対応データから前提−運用対策対応表データ及び組織対策方針−対策方針対応表データが処理エンジン110により作成される。
【0063】
次に、以上のように構成されたセキュリティ設計支援装置の動作について図14のフローチャートを用いて説明する。
【0064】
[ユースケースの入力:w10]
セキュリティ設計支援装置においては、利用者による入出力部107の操作(以下、利用者の操作ともいう)により、ユースケース処理部108が、UML(Unified Modeling Language)を適用して図式化する通常のユースケース図及び記述情報を作成して、業務分析を行う。また、ユースケース処理部108は、利用者の操作により、保護資産情報の記述及び評価を行う。
【0065】
これにより、ユースケース図及び記述情報は、関係者種別、関係者識別子及び関係者定義を含む関係者情報と、保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報と、一部の関係者識別子に関連付けられ、保護資産識別子を含む業務の記述を含むユースケース情報とを含むものとなる。
【0066】
ユースケース処理部108は、利用者の操作により、このようなユースケース図及び記述情報にミスアクターとミスユースケースを追加して、ユースケースに対する脅威識別子を含むミスユースケース情報を記述する。
【0067】
ユースケース処理部108は、利用者の操作により、記述した脅威識別子を含むミスユースケース情報のうち、起こりえない脅威や前提条件といった対策の不要な脅威識別子を含むミスユースケース情報を削除し、対策の必要な脅威識別子を含むミスユースケース情報を選択する。
【0068】
ユースケース処理部108は、利用者の操作により、選択した脅威識別子を含むミスユースケース情報に関連付けてセキュリティ対策方針(UO)やセキュリティ対策方針十分性文書情報を記述すると共に、記述したセキュリティ対策方針(UO)やセキュリティ対策方針十分性文書情報を評価する。また、ユースケース処理部108は、利用者の操作により、保護資産識別子に関連付けて前提条件情報を記述する。さらに、ユースケース処理部108は、利用者の操作により、根拠情報、運用対策方針情報及び組織対策方針情報を記述する。
【0069】
ユースケース処理部108は、利用者の操作により、前述した保護資産情報の記述・評価からミスユースケース情報の記述・選択、セキュリティ対策方針(UO)やセキュリティ対策方針十分性文書情報(UO)の記述・評価、前提条件情報、根拠情報、運用対策方針情報及び組織対策方針情報の記述を繰り返す。
【0070】
しかる後、ユースケース処理部108は、利用者の操作により、これら関係者情報(アクター、ミスアクター)、保護資産情報、脅威識別子(T:Threat)の記述を含むミスユースケース情報、前提条件情報、セキュリティ対策方針(UO)及びセキュリティ対策方針十分性文書情報を含むセキュリティ対策方針情報、根拠情報、運用対策方針情報、組織対策方針情報などを決定し、これらの情報を含む脅威分析結果を得る。
【0071】
以上により、セキュリティ設計支援装置100においては、利用者の操作により、ユースケース処理部108が脅威分析結果を処理エンジン110に入力する。処理エンジン110は、脅威分析結果の入力を受け付けると、図13に示す如き、この脅威分析結果を記憶部104に書き込む。
【0072】
[シナリオデータ生成:w20]
処理エンジン110は、記憶部104内の脅威分析結果に含まれる関係者情報、保護資産情報、ミスユースケース情報、セキュリティ対策方針情報からセキュリティシナリオデータの一部を作成する。
【0073】
具体的には、処理エンジン110は、図6に示すように、記憶部104内の脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する。
【0074】
また、処理エンジン110は、図7に示すように、記憶部104内の脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する。
【0075】
また、処理エンジン110は、図8に示すように、記憶部104内の脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する。
【0076】
[セキュリティ目標の選択:w30]
セキュリティ設計支援装置においては、利用者による入出力部107の操作により、ゴール指向分析処理部109がゴールモデルDB101内の各セキュリティ目標を入出力部107に送出する。
【0077】
入出力部107は、各セキュリティ目標を表示出力し、利用者の操作により、いずれかのセキュリティ目標を選択し、選択結果をゴール指向分析処理部109に送出する。
【0078】
ゴール指向分析処理部109は、このセキュリティ目標の選択を受け付けて、選択結果を処理エンジン110に送出する。
【0079】
[脅威分析結果とゴールモデルを合成:w40]
処理エンジン110は、利用者の操作により、図15に示すように、記憶部104内の脅威分析結果からセキュリティ対策方針(UO)及び前提条件(A)を読み出す(w41)。
【0080】
また、処理エンジン110は、利用者の操作により、脅威分析結果から、組織のセキュリティ対策方針(OSP)を抽出する。
【0081】
処理エンジン110は、読み出した前提条件(A)と、組織のセキュリティ対策方針(OSP)とを入出力部107に出力して利用者による評価を促し、利用者による入出力部107の操作により、運用環境の対策方針(OE)を適宜修正して決定する(w42)。これにより、脅威分析結果内の運用環境の対策方針(OE)が決定される。
【0082】
また、処理エンジン110は、選択を受け付けたセキュリティ目標に基づいて、ゴールモデルDB101内のゴールモデル情報を読み出すと共に、このゴールモデル情報内のセキュリティ対策方針(O)から「通信が安全に行われる」等のキーワードを抽出する。なお、ここでいう「キーワード」は、「セキュリティ対策方針の一部」の代表例であり、一部の単語(キーワード)に限らず、一部の句(キーフレーズ;二語以上で文を成さないもの)又は一部の節(キークローズ;文の一部で主語と述語を有するもの)でもよい。また、処理エンジン110は、ステップw41で読み出した脅威分析結果のセキュリティ対策方針(UO)から「ファイルを暗号化する」等のキーワードを抽出し(w43)、各キーワードを比較する。
【0083】
なお、ここでは、ゴールモデル情報内の各セキュリティ対策方針(O)と、脅威分析結果内のセキュリティ対策方針(UO)とを比較できればよいので、必ずしもキーワード抽出によって比較する必要はない。例えば、セキュリティ対策方針の全体を比較してもよい。
【0084】
比較の結果、処理エンジン110は、脅威分析結果内のセキュリティ対策方針(UO)のキーワードが、ゴールモデル情報内のセキュリティ対策方針(O)のキーワードに含まれる関係(UO⊆O)にあれば(w44;YES)、当該脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)をゴールモデル情報から抽出する。
【0085】
しかる後、処理エンジン110は、抽出したセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、ゴールモデル情報と脅威分析結果とを合成する(w45)。このステップw43〜w45は、繰り返し実行する。
【0086】
ステップw43〜w45の繰り返し実行後、ゴールモデル情報と脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報が生成される。処理エンジン110は、ゴールモデル−脅威分析合成情報内のうちのゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、十分性文書雛形DB102からセキュリティ機能要件十分性文書情報を読み込む。
【0087】
また、ステップw43〜w45の繰り返し実行後、ステップw44の比較の結果、否の場合(UO≠O)の対策方針(UO)については、処理エンジン110は、例えば図16に示すように、部分的にステップw45の合成済みの図式データを入出力部107に送出し、ユースケースのセキュリティ対策方針(UO)のためのセキュリティ機能要件(SFR)の入力を促す(w46)。すなわち、処理エンジン110は、生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちのゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を促す。入出力部107は、入力を促された利用者の操作により、ゴールモデル情報に含まれないユースケース対策方針定義(UO)のセキュリティ機能要件(SFR)十分性文書情報を処理エンジン110に入力する。
【0088】
処理エンジン110は、このセキュリティ機能要件十分性文書情報の入力を受け付けることにより、図9に示すように、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する。
【0089】
しかる後、処理エンジン110は、この対策−機能対応表データと、ゴールモデル−脅威分析合成情報とを記憶部104に書き込む(w47)。ここで、ゴールモデル−脅威分析合成情報は、ステップw42で評価した前提条件(A)と、組織のセキュリティ対策方針(OSP)と、運用環境の対策方針(OE)とを含んでいる。
【0090】
[シナリオデータの作成:w50]
処理エンジン110は、図6乃至図9に示すように、ゴールモデル−脅威分析合成情報、作成された関係者一覧表データ、作成された保護資産一覧表データ、作成された脅威−対策対応表データ及び作成された対策−機能対応表データをそれぞれ記憶部104から読み出す。
【0091】
処理エンジン110は、ゴールモデル−脅威分析合成情報に基づいて、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」を作成する。
【0092】
また、処理エンジン110は、ゴールモデル−脅威分析合成情報に基づいて、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」を作成する。
【0093】
さらに、処理エンジン110は、作成された前提−運用対策対応表データ、作成された組織対策方針−対策方針対応表データ、作成された関係者一覧表データ、作成された保護資産一覧表データ、作成された脅威−対策対応表データ及び作成された対策−機能対応表データを含むセキュリティシナリオデータを作成する。
【0094】
しかる後、処理エンジン110は、作成したセキュリティシナリオデータをシナリオデータ記憶部105に書き込む。
【0095】
[ゴールモデルの検証・保存:w60]
処理エンジン110は、図17に示すように、ステップw40で得られたゴールモデル−脅威分析合成情報を検証して、ゴールモデルDB101に保存するか否かを決定する。
【0096】
処理エンジン110は、ゴールモデル−脅威分析合成情報を検証するか否かを利用者に確認する(w61)。否の場合(w61;NO)、ゴールモデル−脅威分析合成情報をゴールモデルDB101に登録せずに終了する。
【0097】
一方、検証する場合(w61;YES)、処理エンジン110は、ゴールモデル−脅威分析合成情報内のセキュリティ機能要件十分性文書情報がセキュリティ対策方針を満たしているか否かをVDM(Vienna Development Method),Z,Bなどのモデルベース形式検証手法を用いて検証する。
【0098】
処理エンジン110は、セキュリティ機能要件の形式記述を作成する(w62)。
【0099】
処理エンジン110は、VDM等で記述したセキュリティ対策方針や想定機能の入力を利用者に促す(w63)。
【0100】
処理エンジン110は、モデルベース形式検証ツールで検証し(w64)、検証結果を利用者に提示する。
【0101】
処理エンジン110は、検証結果からゴールモデルとして妥当と判断されたセキュリティ対策方針とセキュリティ機能要件をゴールモデルDB101に保存し(w65)、妥当でないセキュリティ対策方針とセキュリティ機能要件を保存せずに終了する。
【0102】
[セキュリティシナリオの作成:w70]
処理エンジン110は、図10に示すように、シナリオデータ記憶部105内のセキュリティシナリオデータを図式化してセキュリティシナリオを作成し、このセキュリティシナリオをセキュリティデータ記憶部106に書き込む。また、処理エンジン110は、図4に示すように、セキュリティデータ記憶部106内のセキュリティシナリオを入出力部107を介して利用者に提示することもできる。
【0103】
[セキュリティ設計書の作成:w80]
次に、セキュリティ要件定義書やセキュリティターゲットSTといったセキュリティ設計書の作成について述べる。
【0104】
処理エンジン110は、図18に示すように、シナリオデータ記憶部105内のセキュリティシナリオデータの一覧表及び各対応表の要素を並べ替えることにより、セキュリティ要件定義書を生成することができる。
【0105】
また、処理エンジン110は、図19に示すように、d105内のセキュリティシナリオデータの各表の要素を並べ替えると共に、足りない項目をST雛形記憶部104内の定型文書を参照することにより、セキュリティターゲットSTを作成することができる。
【0106】
なお、ここでいう「足りない項目」としては、例えば「ST概説」、「TOEセキュリティ保証要件」、「適合主張」の各項目が挙げられる。また、セキュリティシナリオデータからセキュリティターゲットSTを生成する技術については、例えば、特許文献1にも開示されている。
【0107】
上述したように本実施形態によれば、セキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、複数のセキュリティ対策方針(O)及び1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報を記憶したゴールモデルDB101を備え、セキュリティ目標に基づいて読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、脅威分析結果内のセキュリティ対策方針(UO)とを比較し、ゴールモデル情報から抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成している。
【0108】
このとき、脅威分析結果内のセキュリティ対策方針(UO)は、一体化されたセキュリティ対策方針(O)を介してゴールモデル情報内のセキュリティ目標に関連している。このため、脅威分析から得られたセキュリティ対策方針(UO)に関連したセキュリティ目標を確認することができる。
【0109】
また、ゴールモデル情報において一体化に用いなかった他のセキュリティ対策方針及びセキュリティ機能要件識別子は、脅威分析結果から得られなかったものであるが、セキュリティ目標及び一体化に用いたセキュリティ対策方針を介して脅威分析結果に関連付けられる。このため、脅威分析から得られなかったセキュリティ対策方針とセキュリティ機能要件の設計をも支援することができる。
【0110】
補足すると、本実施形態によれば、ユースケースを用いた脅威分析とゴール指向分析を用いたセキュリティ要件定義の可視化により、セキュリティシナリオデータの精度を向上させることができる。また、セキュリティシナリオデータ、ゴールモデルの蓄積と再利用を実現することができる。
【0111】
(第2の実施形態)
図20は本発明の第2の実施形態に係るセキュリティ設計支援装置の構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
【0112】
本実施形態は、第1の実施形態の変形例であり、図1に示したユースケース処理部108及びゴール指向分析処理部109に対し、オープンソースなど既存のユースケース入力ツールプログラム及びゴール指向分析入力ツールプログラムを実行するCPUの一機能からなるユースケース入力ツール部111及びゴール指向分析入力ツール部112を付加した構成となっている。これらの入力ツールプログラムとしては、例えば、JUDEシリーズ内のツールが適宜、使用可能となっている。また、窓の杜(まどのもり)<www.forest.impress.co.jp/>などといったオンラインソフトウェアの紹介サイトから適宜、入力ツールプログラムを取得してもよい。
【0113】
ここで、ユースケース入力ツール部111は、通常のユースケース入力機能を有し、例えば、利用者による入出力部107の操作により、ユースケース図及び記述情報をユースケース処理部108に入力する機能をもっている。
【0114】
ゴール指向分析入力ツール部112は、通常のゴール指向分析機能を有し、例えば、利用者による入出力部107の操作により、セキュリティ目標をゴール指向分析処理部109に入力する機能ともっている。
【0115】
以上のような構成によれば、既存のオープンツールを用いてユースケース入力及びゴール指向分析を実行できるため、第1の実施形態の効果に加え、汎用性を向上させることができる。
【0116】
(第3の実施形態)
図21は本発明の第3の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。
【0117】
本実施形態は、第1の実施形態の変形例であり、図1に示したユースケース処理部108及びゴール指向分析処理部109をWebシステムとした構成となっている。これに伴い、入出力部107に代えて、Web通信部113を備えている。この通信部113は、ネットワークを介して利用者端末200と通信するための通信インタフェースである。
【0118】
利用者端末200は、ネットワークを介してセキュリティ設計支援装置100bに通信可能なWebブラウザ機能を有するコンピュータであり、1台のみを図示したが、複数台の利用者端末としてもよい。
【0119】
以上のような構成によれば、ネットワークを介して利用者端末200と通信できるため、第1の実施形態の効果に加え、離れた場所に配置された利用者端末200に対してセキュリティ設計を支援することができる。
【0120】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0121】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0122】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0123】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0124】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0125】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0126】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0127】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【符号の説明】
【0128】
100,100a,100b…セキュリティ設計支援装置、101…ゴールモデルDB、102…十分性文書雛形DB、103…ST雛形DB、104…記憶部、105…シナリオデータ記憶部、106…セキュリティデータ記憶部、107…入出力部、108…ユースケース処理部、109…ゴール指向分析処理部、110…処理エンジン、111…ユースケース入力ツール部、112…ゴール指向分析入力ツール部。
【技術分野】
【0001】
本発明は、開発対象の情報システムやIT(Information Technology)製品(以下、情報システム等ともいう)におけるセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置及びプログラムに関する。
【背景技術】
【0002】
情報システム等のセキュリティ設計においては、上流工程で情報システム等が具備すべきセキュリティ機能要件を策定し、セキュリティシナリオデータを設計する必要がある。
【0003】
始めに、考えられる脅威とその対策方針をまとめたリストなどによって脅威分析が行われる。この脅威分析結果に基づいてセキュリティ対策方針が定められ、セキュリティ対策方針からセキュリティ機能要件が策定される。続いて、これら脅威分析結果、セキュリティ対策方針及びセキュリティ機能要件内の識別子、定義、対応関係等が整理されてセキュリティシナリオデータが設計される。
【0004】
設計されたセキュリティシナリオデータは、セキュリティ設計書であるセキュリティターゲットST(security target)やセキュリティ要件定義書の作成に用いられる。
【0005】
セキュリティターゲットSTは、情報システム等のセキュリティ基本仕様となる文書であり、セキュリティ機能を保証する国際規格であるセキュリティ国際標準(ISO/IEC15408: International Organization for Standardization / International Electrotechnical Commission 15408)の評価認証に用いられる。セキュリティ要件定義書は、セキュリティ設計の上流工程で作成される要求定義書の中のセキュリティに関する要件をまとめた文書である。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−287496号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、以上のようなセキュリティ設計手法は、本発明者の検討によれば、以下の点で改良の余地がある。
【0008】
すなわち、従来のセキュリティ設計手法は、脅威分析から得られるセキュリティ対策方針と、本来、情報システムが満たすべきセキュリティ目標との関連が分かりにくいことから、セキュリティ目標に基づくセキュリティ対策方針からセキュリティ機能要件への落とし込みが不十分となり易い点で改良の余地があると考えられる。
【0009】
本発明は上記実情を考慮してなされたもので、脅威分析から得られたセキュリティ対策方針に関連したセキュリティ目標を確認でき、システムの要求仕様から得られるセキュリティ対策方針とセキュリティ機能要件の設計をも支援し得るセキュリティ設計支援装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明の一つの局面は、「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置であって、「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を記憶した十分性文書雛形記憶手段と、「ゴールとしてのセキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」を記憶し、且つ前記ゴールモデル情報内のセキュリティ機能要件識別子は、前記十分性文書雛形記憶手段内の各セキュリティ機能要件識別子のいずれかに一致しているゴールモデル情報記憶手段と、「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び前記脅威識別子に関連する関係者識別子を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前記前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO)、及び前記セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び前記根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び前記運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び前記組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける脅威分析結果入力受付手段と、前記入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成手段と、前記入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成手段と、前記入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成手段と、前記ゴールモデル情報記憶手段内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付手段と、前記選択を受け付けたセキュリティ目標に基づいて、前記ゴールモデル情報記憶手段内のゴールモデル情報を読み出すゴールモデル情報読出手段と、前記読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、前記入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較手段と、前記比較の結果、前記脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)を前記ゴールモデル情報から抽出する抽出手段と、前記抽出されたセキュリティ対策方針(O)で前記脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、前記読み出されたゴールモデル情報と前記脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成手段と、前記生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちの前記ゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、前記十分性文書雛形記憶手段からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成手段と、前記ゴールモデル−脅威分析合成情報、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データに基づいて、前記セキュリティシナリオデータを作成するセキュリティシナリオデータ作成手段と、を備えたセキュリティ設計支援装置である。
【0011】
なお、本発明の一つの局面は、装置として表現したが、これに限らず、方法、プログラム、プログラムを記憶したコンピュータ読取り可能な記憶媒体などとして表現することができる。
【0012】
(作用)
本発明の一つの局面においては、セキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、複数のセキュリティ対策方針(O)及び1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報を記憶したゴールモデル情報記憶手段を備え、セキュリティ目標に基づいて読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、脅威分析結果内のセキュリティ対策方針(UO)とを比較し、ゴールモデル情報から抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成している。
【0013】
このとき、脅威分析結果内のセキュリティ対策方針(UO)は、一体化されたセキュリティ対策方針(O)を介してゴールモデル情報内のセキュリティ目標に関連している。このため、脅威分析から得られたセキュリティ対策方針(UO)に関連したセキュリティ目標を確認することができる。
【0014】
また、ゴールモデル情報において一体化に用いなかった他のセキュリティ対策方針及びセキュリティ機能要件識別子は、脅威分析結果だけでなく、システムの要求仕様のゴール指向分析結果から得られたものであるが、セキュリティ目標及び一体化に用いたセキュリティ対策方針を介して脅威分析結果に関連付けられる。このため、脅威分析だけではなく、システムの要求仕様から得られたセキュリティ対策方針とセキュリティ機能要件の設計をも支援することができる。
【発明の効果】
【0015】
以上説明したように本発明によれば、脅威分析から得られたセキュリティ対策方針に関連したセキュリティ目標を確認でき、脅威分析だけではなく、システムの要求仕様から得られたセキュリティ対策方針とセキュリティ機能要件の設計をも支援できる。
【図面の簡単な説明】
【0016】
【図1】本発明の概要を説明するための模式図である。
【図2】本発明の第1の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。
【図3】同実施形態におけるゴールモデルを説明するための模式図である。
【図4】同実施形態におけるゴールモデルの一例を示す模式図である。
【図5】同実施形態におけるゴールモデル情報の一例を示す模式図である。
【図6】同実施形態における関係者一覧表データの一例を示す模式図である。
【図7】同実施形態における保護資産一覧表データの一例を示す模式図である。
【図8】同実施形態における脅威−対策対応表データの一例を示す模式図である。
【図9】同実施形態における対策−機能対応表データの一例を示す模式図である。
【図10】同実施形態におけるセキュリティシナリオの一例を示す模式図である。
【図11】同実施形態におけるミスユースケース図の一例を示す模式図である。
【図12】同実施形態におけるミスユースケース図の一例を示す模式図である。
【図13】同実施形態における脅威分析結果の一例を示す模式図である。
【図14】同実施形態における全体動作を説明するためのフローチャートである。
【図15】同実施形態における合成動作を説明するためのフローチャートである。
【図16】同実施形態における入力を促す動作を説明するための模式図である。
【図17】同実施形態における検証動作を説明するための模式図である。
【図18】同実施形態におけるセキュリティ要件定義書の生成動作を説明するための模式図である。
【図19】同実施形態におけるセキュリティターゲットの生成動作を説明するための模式図である。
【図20】本発明の第2の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。
【図21】本発明の第3の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。
【発明を実施するための形態】
【0017】
以下、本発明の各実施形態について図面を用いて説明するが、その前に、本発明の概要を述べる。本発明の概要は、図1に示すように、利用者による脅威分析の入力範囲に対し、セキュリティ目標(ゴール)、セキュリティ対策方針(ソフトゴール)及びセキュリティ要件(要求)の3段階を再定義したゴールモデルを補足適用することにより、脅威分析から得られたセキュリティ対策方針(UO⊆O)に関連したセキュリティ目標(CIAA+)を確認でき、脅威分析結果だけではなく、システムの要求仕様から得られたセキュリティ対策方針(O)とセキュリティ要件の設計をも支援可能とするものである。
【0018】
このような概要のセキュリティ設計支援装置としては、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体からセキュリティ設計支援装置(コンピュータ)にインストールされ、セキュリティ設計支援装置に各機能を実現させるためのプログラムが用いられる。
【0019】
(第1の実施形態)
図2は本発明の第1の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。このセキュリティ設計支援装置100は、ゴールモデルDB(Database)101、十分性文書雛形DB102、ST雛形DB103、記憶部104、シナリオデータ記憶部105、セキュリティデータ記憶部106、入出力部107、ユースケース処理部108、ゴール指向分析処理部109及び処理エンジン110を備えている。
【0020】
ゴールモデルDB101は、概略的には、ゴール指向分析におけるセキュリティ目標から対策方針、ISO/IEC15408 Part2のセキュリティ機能要件を基にしたセキュリティ要件までのゴールモデルのデータベースである。
【0021】
ゴール指向分析とは、開発対象の情報システム等が達成すべき多種の目標を多様な抽象度から分析するための手法であり、図3に示すように、情報システム等の目標となるゴール(セキュリティ目標)、ゴールを満たすソフトゴール(対策方針)、ゴールを達成するための要求(要件)、期待(前提条件)、ドメインプロパティ(OSP:組織のセキュリティ対策方針)などに分解してゴールモデルを表現する。
【0022】
この手法を用いると、例えば「アクセス制御を行う」というシステムのセキュリティに対する仕様あるいは対策方針がなぜ必要かということがWhy分析によりセキュリティ目標であるゴールで示され、どのように実現するのかということがHow分析により要件として抽出できるという効果がある。
【0023】
なお、ゴール指向要求分析手法の一つであるKAOS法のゴールモデルは、ゴール、ソフトゴール、要求の3段階を定義しており、本実施形態では、ゴールをセキュリティ目標、ソフトゴールをセキュリティ対策方針、要求をセキュリティ要件、期待を前提条件、ドメインプロパティを組織のセキュリティ対策方針(OSP)と再定義している。
【0024】
セキュリティ目標を、例えばGMITS(Guidelines for the Management of IT Security)のセキュリティ特性である機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)、責任追跡性(Accountability)等とする(CIAA+)。セキュリティ目標をデータとサービスに分けてもよい。セキュリティ対策方針とセキュリティ要件を、例えばISO/IEC15408 Part2のセキュリティ機能要件(SFR:Security Functional Requirements)に準拠して、対策方針をクラス、ファミリの要素で分類し、セキュリティ要件をコンポーネントの要素で分類する。決定したセキュリティ目標・対策方針・要件のつながりをゴールモデル書式に従って定義する。
【0025】
ゴールモデルを表すゴールモデル情報は、予め策定してゴールモデルDB101に書き込んでおく。「データの機密性」に関するゴールモデルの一部の例を図4に示す。この例では、「データの機密性が満たされる」というゴール(セキュリティ目標)に対し、「識別認証に成功した利用者のみに、操作が許可される(識別子:O.識別認証)」と「操作履歴のログが取得され、監査証跡として保管される(識別子:O.監査証跡)」という2つのソフトゴール(対策方針(O))を持ち、それぞれセキュリティ機能コンポーネント(FIA_UID.2, FIA_UAU.2, FIA_AFL.1, FIA_SOS.1と、FAU_GEN.1,FAU.SAR.1,FAU.STG.1)を要件(セキュリティ要件)としてモデル化している。
【0026】
このような概略を持つゴールモデルDB101は、具体的には、処理エンジン110により読出/書込可能な記憶部であり、図5に示すように、「ゴールとしてのセキュリティ目標(不図示)毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)(対策方針種別に関連する定義)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子(セキュリティ対策方針識別子に関連する関連識別子)を含むゴールモデル情報」を記憶している。ここで、ゴールモデル情報内のセキュリティ機能要件識別子は、十分性文書雛形DB102内の各セキュリティ機能要件識別子のいずれかに一致している。すなわち、ゴールモデル情報に含まれるセキュリティ機能要件識別子に基づいて、十分性文書雛形DB102内のセキュリティ機能要件十分性文書情報を検索可能となっている。なお、図5に示したゴールモデル情報は、前述した「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(O)及びセキュリティ対策方針(O)に関連したセキュリティ機能要件識別子」以外にも、図示しないセキュリティ目標毎に、「機能種別、セキュリティ機能要件識別子及び当該セキュリティ機能要件識別子に関連するセキュリティ対策方針識別子からなる機能−対策識別子関連情報」と、「根拠種別、根拠識別子、根拠定義及び当該根拠識別子に関連するセキュリティ機能要件識別子からなる根拠−機能関連情報」とを含んでいる。但し、これら機能−対策識別子関連情報及び根拠−機能関連情報は、任意の付加的事項であり、ゴールモデル情報から省略可能となっている。
【0027】
補足すると、図4に示したゴールモデル図においては、図5に示したゴールモデル情報に基づき、図4中の種別内識別子毎に、種別、定義及び関連識別子を表示可能となっている。具体的には例えば、ゴール指向分析処理部109は、ゴールモデル図の種別内識別子がクリックされると、当該クリックされた種別内識別子に基づいて、処理エンジン110によりゴールモデルDB101内のゴールモデル情報を検索し、当該検索により得られた種別、定義及び関連識別子をウインドウ画面に表示する。この補足内容は図3に示したゴールモデル図でも同様である。
【0028】
十分性文書雛形DB102は、処理エンジン110により読出/書込可能な記憶部であり、「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を記憶している。
【0029】
なお、十分性文書情報は、セキュリティターゲットSTの「根拠」を表す箇所の文書情報であり、根拠文書情報などと読み替えてもよい。
【0030】
ST雛形DB103は、処理エンジン110により読出/書込可能な記憶部であり、セキュリティターゲットSTの雛形データを記憶している。
【0031】
記憶部104は、処理エンジン110により読出/書込可能であり、処理エンジン110の処理途中のデータが一時的に書き込まれる。
【0032】
シナリオデータ記憶部105は、処理エンジン110により読出/書込可能であり、図6乃至図9に示すように、「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータを記憶するために用いられる。
【0033】
補足すると、セキュリティシナリオデータとは、セキュリティシナリオやセキュリティ設計書の基になるデータで、開発すべき情報システム固有の(1)関係者と保護資産、(2)脅威(セキュリティ課題)とセキュリティ対策方針、(3)セキュリティ対策方針とセキュリティ要件、といった情報を種別、識別子、定義、対応関係、十分性の根拠について整理したデータである。なお、図6に示す関係者一覧表データは、関係者種別を含んでいるが、関係者種別は任意の付加的事項であり、関係者一覧表データから省略してもよい。同様に、図7に示す保護資産一覧表データは、保護資産種別を含んでいるが、保護資産種別は任意の付加的事項であり、保護資産一覧表データから省略してもよい。
【0034】
セキュリティデータ記憶部106は、処理エンジン110により読出/書込可能であって、処理エンジン110により作成されたセキュリティシナリオ及びセキュリティ設計書を記憶するために用いられる。
【0035】
セキュリティシナリオとは、図10に示すように、ISO/IEC15408 Part1で示されるセキュリティ課題(脅威、前提条件、OSP(Organizational Security Policy))とセキュリティ対策方針、セキュリティ要件の必要十分性をトレースできるように図示したものである。
【0036】
セキュリティ設計書は、セキュリティ設計の成果物の文書であり、例えば、セキュリティ要件定義書又はセキュリティターゲットSTである。
【0037】
入出力部107は、例えば、キーボード及びマウスといった入力装置と、液晶ディスプレイといった表示装置とからなるものであり、セキュリティ設計支援装置100と利用者との間の入出力インタフェースとして機能する。
【0038】
ユースケース処理部108は、概略的には、アセット(保護資産)ベースのミス(アブ)ユースケースの入力を受け付ける処理部であり、利用者による入出力部107の操作により、図11に示すように、保護すべき保護資産データに関するミス(アブ)ユースケース図及び記述情報(図示せず)が入力される。
【0039】
ミス(アブ)ユースケース図及び記述情報とは、開発対象システムの保護資産と通常のユースケース図及び記述情報に対し、ユースケースに脅威を引き起こすミスアクターと、脅威となるミスユースケースと、ミスユースケースを阻止するためのセキュリティ対策方針とを追加したミスユースケース図及び記述情報である。なお、図示しないが、実際には色々な脅威があることから、ミスアクター、ミスユースケース及びセキュリティ対策方針は、それぞれ複数が記述される。また、本実施形態で示すミスユースケース(miss use case)は、アブユースケース(abuse case)を含む。
【0040】
このような概略を持つユースケース処理部108は、具体的には、例えば図12に示すミスユースケース図に対応して図13に示すように、「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び脅威識別子に関連する関係者識別子の記述を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO:Use case Objectives)及び当該セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び当該根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び当該運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び当該組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける機能をもっている。
【0041】
補足すると、図12に示すミスユースケース図においては、図中の種別内識別子毎に、図13に示す如き、種別、定義及び関連識別子を入力可能となっている。具体的には例えば、ユースケース処理部108は、ミスユースケース図が種別内識別子毎にクリック呼出し可能な入力画面データを有する構造により、この入力画面データに基づいて入力画面を表示し、この入力画面に記述された種別、定義及び関連識別子の入力を受け付ければよい。
【0042】
ゴール指向分析処理部109は、ゴール指向分析によりシステム固有の要求部分の入力を受け付ける処理部であり、利用者による入出力部107の操作により、ゴールモデルDB101内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付機能をもっている。
【0043】
処理エンジン110は、概略的には、各処理部からの入力データと、ゴールモデルDB101及び十分性文書雛形DB102内の情報とに基づいて、「脅威−セキュリティ対策方針」と「セキュリティ対策方針−セキュリティ要件」の対応関係を示し、「脅威−セキュリティ対策方針」と「セキュリティ対策方針−セキュリティ要件」の十分性に関する根拠の文章雛形データベース(十分性文書雛形DB102)からセキュリティターゲットSTやセキュリティ要件定義書の基になるセキュリティシナリオデータと、このセキュリティシナリオデータを図式化したセキュリティシナリオとセキュリティ設計書を生成する。
【0044】
このような概略をもつ処理エンジン110は、具体的には以下の機能(f110-1)〜(f110-11)をもっている。
【0045】
(f110-1)「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、対応するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を十分性文書雛形DB102に書き込む機能。
【0046】
(f110-2) 「ゴールとしてのセキュリティ目標毎に、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」をゴールモデルDB101に書き込む機能。但し、ゴールモデル情報内のセキュリティ機能要件識別子は、十分性文書雛形DB102内のセキュリティ機能要件識別子のいずれかに一致している。
【0047】
(f110-3) ユースケース処理部108により入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成機能。
【0048】
(f110-4) ユースケース処理部108により入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成機能。
【0049】
(f110-5) ユースケース処理部108により入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成機能。
【0050】
(f110-6) ゴール指向分析処理部109により選択を受け付けたセキュリティ目標に基づいて、ゴールモデルDB101内のゴールモデル情報を読み出すゴールモデル情報読出機能。
【0051】
(f110-7) 読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較機能。
【0052】
(f110-8) 比較の結果、脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)をゴールモデル情報から抽出する抽出機能。
【0053】
(f110-9) 抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成機能。
【0054】
(f110-10) 生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちのゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、十分性文書雛形DB102からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成機能。
【0055】
(f110-11) ゴールモデル−脅威分析合成情報、作成された関係者一覧表データ、作成された保護資産一覧データ、作成された脅威−対策対応データ及び作成された対策−機能対応データに基づいて、セキュリティシナリオデータを作成するセキュリティシナリオデータ作成機能。
【0056】
ここで、セキュリティシナリオデータ作成機能は、以下の機能(f110-11-1)〜(f110-11-3)を含んでいる。
【0057】
(f110-11-1) ゴールモデル−脅威分析合成情報に基づいて、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」を作成する前提−運用対策対応表データ作成機能。
【0058】
(f110-11-2) ゴールモデル−脅威分析合成情報に基づいて、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」を作成する組織対策方針−対策方針対応表データ作成機能。
【0059】
(f110-11-3) 作成された前提−運用対策対応表データ、作成された組織対策方針−対策方針対応表データ、作成された関係者一覧表データ、作成された保護資産一覧表データ、作成された脅威−対策対応表データ及び作成された対策−機能対応表データを含むセキュリティシナリオデータを作成する機能。
【0060】
補足すると、ユースケース図やゴールモデルの図には、それぞれの要素の識別子(種別内識別子)が表示される。また、付属情報として要素の定義も入力ツールであるユースケース処理部108やゴール指向分析処理部109から利用者が入力できる。なお、ユースケース処理部108は、保護資産情報、アクター(関係者)、脅威、前提条件、対策方針及び根拠をユースケース図から入力できる。但し、ゴール指向分析処理部109が、前提条件、OSP、運用の対策方針をゴールモデル図から入力してもよい。これらユースケース図又はゴールモデル図に入力された識別子や定義を用いて、処理エンジン110は一覧表を生成する。十分性文書情報のみは、図の付属情報として利用者が入力してもよく、過去のSTデータや定型文書を基にした十分性文書雛形DB102から検索、参照して追加してもよい。処理エンジン110は、ユースケース処理部108から渡されたユースケース図に示された識別子とそれぞれの識別子の定義や属性、十分性文書情報といった付属情報の検索、参照と一覧表作成を実行する。
【0061】
ミスユースケースの入力情報により、関係者一覧表データ、保護資産一覧表データ、脅威−対策対応表データが処理エンジン110で作成される。対策−機能対応表データは、ゴールモデルDB101から選択されたセキュリティ対策方針(O)とユースケースのセキュリティ対策方針(UO)とから合成されたセキュリティ対策方針と、それぞれのセキュリティ対策方針に対応するセキュリティ機能(SFR)の識別子と、SFRごとに十分性文書雛形DB102に保存されている十分性文書を用いて、処理エンジン110により作成される。セキュリティ機能がゴールモデルDB101内のゴールモデル情報に無い場合は、利用者が新たにセキュリティ機能を入力でき、新たに入力されたセキュリティ機能に関する識別子、定義、対策に対する根拠といった情報を、処理エンジン110がゴールモデルDB101と十分性文書雛形DB102に追加する。
【0062】
また、図示しないが、図13に示した脅威分析結果と図5に示したゴールモデル情報とを合成してなるゴールモデル−脅威分析合成情報から得られる、前提条件−運用対策対応データ、OSP−対策対応データから前提−運用対策対応表データ及び組織対策方針−対策方針対応表データが処理エンジン110により作成される。
【0063】
次に、以上のように構成されたセキュリティ設計支援装置の動作について図14のフローチャートを用いて説明する。
【0064】
[ユースケースの入力:w10]
セキュリティ設計支援装置においては、利用者による入出力部107の操作(以下、利用者の操作ともいう)により、ユースケース処理部108が、UML(Unified Modeling Language)を適用して図式化する通常のユースケース図及び記述情報を作成して、業務分析を行う。また、ユースケース処理部108は、利用者の操作により、保護資産情報の記述及び評価を行う。
【0065】
これにより、ユースケース図及び記述情報は、関係者種別、関係者識別子及び関係者定義を含む関係者情報と、保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報と、一部の関係者識別子に関連付けられ、保護資産識別子を含む業務の記述を含むユースケース情報とを含むものとなる。
【0066】
ユースケース処理部108は、利用者の操作により、このようなユースケース図及び記述情報にミスアクターとミスユースケースを追加して、ユースケースに対する脅威識別子を含むミスユースケース情報を記述する。
【0067】
ユースケース処理部108は、利用者の操作により、記述した脅威識別子を含むミスユースケース情報のうち、起こりえない脅威や前提条件といった対策の不要な脅威識別子を含むミスユースケース情報を削除し、対策の必要な脅威識別子を含むミスユースケース情報を選択する。
【0068】
ユースケース処理部108は、利用者の操作により、選択した脅威識別子を含むミスユースケース情報に関連付けてセキュリティ対策方針(UO)やセキュリティ対策方針十分性文書情報を記述すると共に、記述したセキュリティ対策方針(UO)やセキュリティ対策方針十分性文書情報を評価する。また、ユースケース処理部108は、利用者の操作により、保護資産識別子に関連付けて前提条件情報を記述する。さらに、ユースケース処理部108は、利用者の操作により、根拠情報、運用対策方針情報及び組織対策方針情報を記述する。
【0069】
ユースケース処理部108は、利用者の操作により、前述した保護資産情報の記述・評価からミスユースケース情報の記述・選択、セキュリティ対策方針(UO)やセキュリティ対策方針十分性文書情報(UO)の記述・評価、前提条件情報、根拠情報、運用対策方針情報及び組織対策方針情報の記述を繰り返す。
【0070】
しかる後、ユースケース処理部108は、利用者の操作により、これら関係者情報(アクター、ミスアクター)、保護資産情報、脅威識別子(T:Threat)の記述を含むミスユースケース情報、前提条件情報、セキュリティ対策方針(UO)及びセキュリティ対策方針十分性文書情報を含むセキュリティ対策方針情報、根拠情報、運用対策方針情報、組織対策方針情報などを決定し、これらの情報を含む脅威分析結果を得る。
【0071】
以上により、セキュリティ設計支援装置100においては、利用者の操作により、ユースケース処理部108が脅威分析結果を処理エンジン110に入力する。処理エンジン110は、脅威分析結果の入力を受け付けると、図13に示す如き、この脅威分析結果を記憶部104に書き込む。
【0072】
[シナリオデータ生成:w20]
処理エンジン110は、記憶部104内の脅威分析結果に含まれる関係者情報、保護資産情報、ミスユースケース情報、セキュリティ対策方針情報からセキュリティシナリオデータの一部を作成する。
【0073】
具体的には、処理エンジン110は、図6に示すように、記憶部104内の脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する。
【0074】
また、処理エンジン110は、図7に示すように、記憶部104内の脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する。
【0075】
また、処理エンジン110は、図8に示すように、記憶部104内の脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する。
【0076】
[セキュリティ目標の選択:w30]
セキュリティ設計支援装置においては、利用者による入出力部107の操作により、ゴール指向分析処理部109がゴールモデルDB101内の各セキュリティ目標を入出力部107に送出する。
【0077】
入出力部107は、各セキュリティ目標を表示出力し、利用者の操作により、いずれかのセキュリティ目標を選択し、選択結果をゴール指向分析処理部109に送出する。
【0078】
ゴール指向分析処理部109は、このセキュリティ目標の選択を受け付けて、選択結果を処理エンジン110に送出する。
【0079】
[脅威分析結果とゴールモデルを合成:w40]
処理エンジン110は、利用者の操作により、図15に示すように、記憶部104内の脅威分析結果からセキュリティ対策方針(UO)及び前提条件(A)を読み出す(w41)。
【0080】
また、処理エンジン110は、利用者の操作により、脅威分析結果から、組織のセキュリティ対策方針(OSP)を抽出する。
【0081】
処理エンジン110は、読み出した前提条件(A)と、組織のセキュリティ対策方針(OSP)とを入出力部107に出力して利用者による評価を促し、利用者による入出力部107の操作により、運用環境の対策方針(OE)を適宜修正して決定する(w42)。これにより、脅威分析結果内の運用環境の対策方針(OE)が決定される。
【0082】
また、処理エンジン110は、選択を受け付けたセキュリティ目標に基づいて、ゴールモデルDB101内のゴールモデル情報を読み出すと共に、このゴールモデル情報内のセキュリティ対策方針(O)から「通信が安全に行われる」等のキーワードを抽出する。なお、ここでいう「キーワード」は、「セキュリティ対策方針の一部」の代表例であり、一部の単語(キーワード)に限らず、一部の句(キーフレーズ;二語以上で文を成さないもの)又は一部の節(キークローズ;文の一部で主語と述語を有するもの)でもよい。また、処理エンジン110は、ステップw41で読み出した脅威分析結果のセキュリティ対策方針(UO)から「ファイルを暗号化する」等のキーワードを抽出し(w43)、各キーワードを比較する。
【0083】
なお、ここでは、ゴールモデル情報内の各セキュリティ対策方針(O)と、脅威分析結果内のセキュリティ対策方針(UO)とを比較できればよいので、必ずしもキーワード抽出によって比較する必要はない。例えば、セキュリティ対策方針の全体を比較してもよい。
【0084】
比較の結果、処理エンジン110は、脅威分析結果内のセキュリティ対策方針(UO)のキーワードが、ゴールモデル情報内のセキュリティ対策方針(O)のキーワードに含まれる関係(UO⊆O)にあれば(w44;YES)、当該脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)をゴールモデル情報から抽出する。
【0085】
しかる後、処理エンジン110は、抽出したセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、ゴールモデル情報と脅威分析結果とを合成する(w45)。このステップw43〜w45は、繰り返し実行する。
【0086】
ステップw43〜w45の繰り返し実行後、ゴールモデル情報と脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報が生成される。処理エンジン110は、ゴールモデル−脅威分析合成情報内のうちのゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、十分性文書雛形DB102からセキュリティ機能要件十分性文書情報を読み込む。
【0087】
また、ステップw43〜w45の繰り返し実行後、ステップw44の比較の結果、否の場合(UO≠O)の対策方針(UO)については、処理エンジン110は、例えば図16に示すように、部分的にステップw45の合成済みの図式データを入出力部107に送出し、ユースケースのセキュリティ対策方針(UO)のためのセキュリティ機能要件(SFR)の入力を促す(w46)。すなわち、処理エンジン110は、生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちのゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を促す。入出力部107は、入力を促された利用者の操作により、ゴールモデル情報に含まれないユースケース対策方針定義(UO)のセキュリティ機能要件(SFR)十分性文書情報を処理エンジン110に入力する。
【0088】
処理エンジン110は、このセキュリティ機能要件十分性文書情報の入力を受け付けることにより、図9に示すように、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する。
【0089】
しかる後、処理エンジン110は、この対策−機能対応表データと、ゴールモデル−脅威分析合成情報とを記憶部104に書き込む(w47)。ここで、ゴールモデル−脅威分析合成情報は、ステップw42で評価した前提条件(A)と、組織のセキュリティ対策方針(OSP)と、運用環境の対策方針(OE)とを含んでいる。
【0090】
[シナリオデータの作成:w50]
処理エンジン110は、図6乃至図9に示すように、ゴールモデル−脅威分析合成情報、作成された関係者一覧表データ、作成された保護資産一覧表データ、作成された脅威−対策対応表データ及び作成された対策−機能対応表データをそれぞれ記憶部104から読み出す。
【0091】
処理エンジン110は、ゴールモデル−脅威分析合成情報に基づいて、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」を作成する。
【0092】
また、処理エンジン110は、ゴールモデル−脅威分析合成情報に基づいて、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」を作成する。
【0093】
さらに、処理エンジン110は、作成された前提−運用対策対応表データ、作成された組織対策方針−対策方針対応表データ、作成された関係者一覧表データ、作成された保護資産一覧表データ、作成された脅威−対策対応表データ及び作成された対策−機能対応表データを含むセキュリティシナリオデータを作成する。
【0094】
しかる後、処理エンジン110は、作成したセキュリティシナリオデータをシナリオデータ記憶部105に書き込む。
【0095】
[ゴールモデルの検証・保存:w60]
処理エンジン110は、図17に示すように、ステップw40で得られたゴールモデル−脅威分析合成情報を検証して、ゴールモデルDB101に保存するか否かを決定する。
【0096】
処理エンジン110は、ゴールモデル−脅威分析合成情報を検証するか否かを利用者に確認する(w61)。否の場合(w61;NO)、ゴールモデル−脅威分析合成情報をゴールモデルDB101に登録せずに終了する。
【0097】
一方、検証する場合(w61;YES)、処理エンジン110は、ゴールモデル−脅威分析合成情報内のセキュリティ機能要件十分性文書情報がセキュリティ対策方針を満たしているか否かをVDM(Vienna Development Method),Z,Bなどのモデルベース形式検証手法を用いて検証する。
【0098】
処理エンジン110は、セキュリティ機能要件の形式記述を作成する(w62)。
【0099】
処理エンジン110は、VDM等で記述したセキュリティ対策方針や想定機能の入力を利用者に促す(w63)。
【0100】
処理エンジン110は、モデルベース形式検証ツールで検証し(w64)、検証結果を利用者に提示する。
【0101】
処理エンジン110は、検証結果からゴールモデルとして妥当と判断されたセキュリティ対策方針とセキュリティ機能要件をゴールモデルDB101に保存し(w65)、妥当でないセキュリティ対策方針とセキュリティ機能要件を保存せずに終了する。
【0102】
[セキュリティシナリオの作成:w70]
処理エンジン110は、図10に示すように、シナリオデータ記憶部105内のセキュリティシナリオデータを図式化してセキュリティシナリオを作成し、このセキュリティシナリオをセキュリティデータ記憶部106に書き込む。また、処理エンジン110は、図4に示すように、セキュリティデータ記憶部106内のセキュリティシナリオを入出力部107を介して利用者に提示することもできる。
【0103】
[セキュリティ設計書の作成:w80]
次に、セキュリティ要件定義書やセキュリティターゲットSTといったセキュリティ設計書の作成について述べる。
【0104】
処理エンジン110は、図18に示すように、シナリオデータ記憶部105内のセキュリティシナリオデータの一覧表及び各対応表の要素を並べ替えることにより、セキュリティ要件定義書を生成することができる。
【0105】
また、処理エンジン110は、図19に示すように、d105内のセキュリティシナリオデータの各表の要素を並べ替えると共に、足りない項目をST雛形記憶部104内の定型文書を参照することにより、セキュリティターゲットSTを作成することができる。
【0106】
なお、ここでいう「足りない項目」としては、例えば「ST概説」、「TOEセキュリティ保証要件」、「適合主張」の各項目が挙げられる。また、セキュリティシナリオデータからセキュリティターゲットSTを生成する技術については、例えば、特許文献1にも開示されている。
【0107】
上述したように本実施形態によれば、セキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、複数のセキュリティ対策方針(O)及び1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報を記憶したゴールモデルDB101を備え、セキュリティ目標に基づいて読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、脅威分析結果内のセキュリティ対策方針(UO)とを比較し、ゴールモデル情報から抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成している。
【0108】
このとき、脅威分析結果内のセキュリティ対策方針(UO)は、一体化されたセキュリティ対策方針(O)を介してゴールモデル情報内のセキュリティ目標に関連している。このため、脅威分析から得られたセキュリティ対策方針(UO)に関連したセキュリティ目標を確認することができる。
【0109】
また、ゴールモデル情報において一体化に用いなかった他のセキュリティ対策方針及びセキュリティ機能要件識別子は、脅威分析結果から得られなかったものであるが、セキュリティ目標及び一体化に用いたセキュリティ対策方針を介して脅威分析結果に関連付けられる。このため、脅威分析から得られなかったセキュリティ対策方針とセキュリティ機能要件の設計をも支援することができる。
【0110】
補足すると、本実施形態によれば、ユースケースを用いた脅威分析とゴール指向分析を用いたセキュリティ要件定義の可視化により、セキュリティシナリオデータの精度を向上させることができる。また、セキュリティシナリオデータ、ゴールモデルの蓄積と再利用を実現することができる。
【0111】
(第2の実施形態)
図20は本発明の第2の実施形態に係るセキュリティ設計支援装置の構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
【0112】
本実施形態は、第1の実施形態の変形例であり、図1に示したユースケース処理部108及びゴール指向分析処理部109に対し、オープンソースなど既存のユースケース入力ツールプログラム及びゴール指向分析入力ツールプログラムを実行するCPUの一機能からなるユースケース入力ツール部111及びゴール指向分析入力ツール部112を付加した構成となっている。これらの入力ツールプログラムとしては、例えば、JUDEシリーズ内のツールが適宜、使用可能となっている。また、窓の杜(まどのもり)<www.forest.impress.co.jp/>などといったオンラインソフトウェアの紹介サイトから適宜、入力ツールプログラムを取得してもよい。
【0113】
ここで、ユースケース入力ツール部111は、通常のユースケース入力機能を有し、例えば、利用者による入出力部107の操作により、ユースケース図及び記述情報をユースケース処理部108に入力する機能をもっている。
【0114】
ゴール指向分析入力ツール部112は、通常のゴール指向分析機能を有し、例えば、利用者による入出力部107の操作により、セキュリティ目標をゴール指向分析処理部109に入力する機能ともっている。
【0115】
以上のような構成によれば、既存のオープンツールを用いてユースケース入力及びゴール指向分析を実行できるため、第1の実施形態の効果に加え、汎用性を向上させることができる。
【0116】
(第3の実施形態)
図21は本発明の第3の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。
【0117】
本実施形態は、第1の実施形態の変形例であり、図1に示したユースケース処理部108及びゴール指向分析処理部109をWebシステムとした構成となっている。これに伴い、入出力部107に代えて、Web通信部113を備えている。この通信部113は、ネットワークを介して利用者端末200と通信するための通信インタフェースである。
【0118】
利用者端末200は、ネットワークを介してセキュリティ設計支援装置100bに通信可能なWebブラウザ機能を有するコンピュータであり、1台のみを図示したが、複数台の利用者端末としてもよい。
【0119】
以上のような構成によれば、ネットワークを介して利用者端末200と通信できるため、第1の実施形態の効果に加え、離れた場所に配置された利用者端末200に対してセキュリティ設計を支援することができる。
【0120】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0121】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0122】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0123】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0124】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0125】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0126】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0127】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【符号の説明】
【0128】
100,100a,100b…セキュリティ設計支援装置、101…ゴールモデルDB、102…十分性文書雛形DB、103…ST雛形DB、104…記憶部、105…シナリオデータ記憶部、106…セキュリティデータ記憶部、107…入出力部、108…ユースケース処理部、109…ゴール指向分析処理部、110…処理エンジン、111…ユースケース入力ツール部、112…ゴール指向分析入力ツール部。
【特許請求の範囲】
【請求項1】
「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置であって、
「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を記憶した十分性文書雛形記憶手段と、
「ゴールとしてのセキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」を記憶し、且つ前記ゴールモデル情報内のセキュリティ機能要件識別子は、前記十分性文書雛形記憶手段内の各セキュリティ機能要件識別子のいずれかに一致しているゴールモデル情報記憶手段と、
「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び前記脅威識別子に関連する関係者識別子を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前記前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO)、及び前記セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び前記根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び前記運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び前記組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける脅威分析結果入力受付手段と、
前記入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成手段と、
前記入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成手段と、
前記入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成手段と、
前記ゴールモデル情報記憶手段内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付手段と、
前記選択を受け付けたセキュリティ目標に基づいて、前記ゴールモデル情報記憶手段内のゴールモデル情報を読み出すゴールモデル情報読出手段と、
前記読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、前記入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較手段と、
前記比較の結果、前記脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)を前記ゴールモデル情報から抽出する抽出手段と、
前記抽出されたセキュリティ対策方針(O)で前記脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、前記読み出されたゴールモデル情報と前記脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成手段と、
前記生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちの前記ゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、前記十分性文書雛形記憶手段からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成手段と、
前記ゴールモデル−脅威分析合成情報、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データに基づいて、前記セキュリティシナリオデータを作成するセキュリティシナリオデータ作成手段と、
を備えたことを特徴とするセキュリティ設計支援装置。
【請求項2】
請求項1に記載のセキュリティ設計支援装置において、
前記セキュリティシナリオデータ作成手段は、
前記ゴールモデル−脅威分析合成情報に基づいて、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」を作成する前提−運用対策対応表データ作成手段と、
前記ゴールモデル−脅威分析合成情報に基づいて、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」を作成する組織対策方針−対策方針対応表データ作成手段と、
前記作成された前提−運用対策対応表データ、前記作成された組織対策方針−対策方針対応表データ、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データを含むセキュリティシナリオデータを作成する手段と、
を備えたことを特徴とするセキュリティ設計支援装置。
【請求項3】
十分性文書雛形記憶手段及びゴールモデル情報記憶手段を備え、「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置に用いられるプログラムにおいて、
前記セキュリティ設計支援装置を、
「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」とを前記十分性文書雛形記憶手段に書き込む手段、
「ゴールとしてのセキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」であって且つ「当該セキュリティ機能要件識別子は、前記十分性文書雛形記憶手段内のセキュリティ機能要件識別子のいずれかに一致しているゴールモデル情報」を前記ゴールモデル情報記憶手段に書き込む手段、
「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び前記脅威識別子に関連する関係者識別子を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前記前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO)、及び前記セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び前記根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び前記運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び前記組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける脅威分析結果入力受付手段、
前記入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成手段、
前記入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成手段、
前記入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成手段、
前記ゴールモデル情報記憶手段内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付手段、
前記選択を受け付けたセキュリティ目標に基づいて、前記ゴールモデル情報記憶手段内のゴールモデル情報を読み出すゴールモデル情報読出手段、
前記読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、前記入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較手段、
前記比較の結果、前記脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)を前記ゴールモデル情報から抽出する抽出手段、
前記抽出されたセキュリティ対策方針(O)で前記脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、前記読み出されたゴールモデル情報と前記脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成手段、
前記生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちの前記ゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、前記十分性文書雛形記憶手段からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成手段、
前記ゴールモデル−脅威分析合成情報、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データに基づいて、前記セキュリティシナリオデータを作成するセキュリティシナリオデータ作成手段、
として機能させるためのプログラム。
【請求項1】
「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置であって、
「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を記憶した十分性文書雛形記憶手段と、
「ゴールとしてのセキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」を記憶し、且つ前記ゴールモデル情報内のセキュリティ機能要件識別子は、前記十分性文書雛形記憶手段内の各セキュリティ機能要件識別子のいずれかに一致しているゴールモデル情報記憶手段と、
「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び前記脅威識別子に関連する関係者識別子を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前記前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO)、及び前記セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び前記根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び前記運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び前記組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける脅威分析結果入力受付手段と、
前記入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成手段と、
前記入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成手段と、
前記入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成手段と、
前記ゴールモデル情報記憶手段内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付手段と、
前記選択を受け付けたセキュリティ目標に基づいて、前記ゴールモデル情報記憶手段内のゴールモデル情報を読み出すゴールモデル情報読出手段と、
前記読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、前記入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較手段と、
前記比較の結果、前記脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)を前記ゴールモデル情報から抽出する抽出手段と、
前記抽出されたセキュリティ対策方針(O)で前記脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、前記読み出されたゴールモデル情報と前記脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成手段と、
前記生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちの前記ゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、前記十分性文書雛形記憶手段からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成手段と、
前記ゴールモデル−脅威分析合成情報、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データに基づいて、前記セキュリティシナリオデータを作成するセキュリティシナリオデータ作成手段と、
を備えたことを特徴とするセキュリティ設計支援装置。
【請求項2】
請求項1に記載のセキュリティ設計支援装置において、
前記セキュリティシナリオデータ作成手段は、
前記ゴールモデル−脅威分析合成情報に基づいて、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」を作成する前提−運用対策対応表データ作成手段と、
前記ゴールモデル−脅威分析合成情報に基づいて、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」を作成する組織対策方針−対策方針対応表データ作成手段と、
前記作成された前提−運用対策対応表データ、前記作成された組織対策方針−対策方針対応表データ、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データを含むセキュリティシナリオデータを作成する手段と、
を備えたことを特徴とするセキュリティ設計支援装置。
【請求項3】
十分性文書雛形記憶手段及びゴールモデル情報記憶手段を備え、「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置に用いられるプログラムにおいて、
前記セキュリティ設計支援装置を、
「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」とを前記十分性文書雛形記憶手段に書き込む手段、
「ゴールとしてのセキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」であって且つ「当該セキュリティ機能要件識別子は、前記十分性文書雛形記憶手段内のセキュリティ機能要件識別子のいずれかに一致しているゴールモデル情報」を前記ゴールモデル情報記憶手段に書き込む手段、
「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び前記脅威識別子に関連する関係者識別子を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前記前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO)、及び前記セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び前記根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び前記運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び前記組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける脅威分析結果入力受付手段、
前記入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成手段、
前記入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成手段、
前記入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成手段、
前記ゴールモデル情報記憶手段内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付手段、
前記選択を受け付けたセキュリティ目標に基づいて、前記ゴールモデル情報記憶手段内のゴールモデル情報を読み出すゴールモデル情報読出手段、
前記読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、前記入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較手段、
前記比較の結果、前記脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)を前記ゴールモデル情報から抽出する抽出手段、
前記抽出されたセキュリティ対策方針(O)で前記脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、前記読み出されたゴールモデル情報と前記脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成手段、
前記生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちの前記ゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、前記十分性文書雛形記憶手段からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成手段、
前記ゴールモデル−脅威分析合成情報、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データに基づいて、前記セキュリティシナリオデータを作成するセキュリティシナリオデータ作成手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2011−48560(P2011−48560A)
【公開日】平成23年3月10日(2011.3.10)
【国際特許分類】
【出願番号】特願2009−195579(P2009−195579)
【出願日】平成21年8月26日(2009.8.26)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成23年3月10日(2011.3.10)
【国際特許分類】
【出願日】平成21年8月26日(2009.8.26)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]